尽管金融企业在2008年金融危机的余波中进行了大量监管改革,但他们依然蒙受着欺诈及其他不轨行为之害。
结果,到2020年为止,他们总共支付了4000多亿美元的罚款。哈佛商学院2019年对《财富》500强企业的一项研究——基于上榜企业的抽样样本——发现,这些公司平均每周都会发生两起以上内部查证属实的不轨行为。
许多风险管理专家越来越清楚地认识到,防止企业不法行为的传统方法——强制实行正式规章、投资建设强大的合规职能部门,来确保机构、管理者和雇员遵守这些规则,并不能保护企业。这就是为何近年来,在包括纽约联邦储备银行(the Federal Reserve Bank of New York)在内的监管机构的推动下金融机构已开始采用一种涉及行为层面的补充方法。这种方法有时被人称为行为风险管理,它承认工作场所的行为受人们的职业环境背景所驱动并将其作为考虑的因素:比如员工工作的团队,他们必须实现的目标,他们接受的直接领导,以及他们工作遵循的流程。
正如我们将展示的那样,行为风险管理涉及认定行为驱动因素,并通过改变流程或组织环境来应对这些因素。这些举措可以采取“推促(nudges)”[由行为经济学家理查德·塞勒(Richard Thaler)和卡斯·松斯坦(Cass Sunstein)创造的词汇]的形式,可能看上去力道轻盈,甚至微不足道,但却能够对行为产生深远影响。
行为风险管理的新意何在?
标准的风险管理方法,比如企业风险管理(enterprise risk management,ERM),会假定行为者具有理性。这一假设当然是值得怀疑的:相当数量的行为科学研究已经证明,人类的判断存在严重偏颇。比如,人们通常高估最近数据或者可以证实他们先前信念的数据的重要性。
另一个缺陷也许更令人不安,那就是传统的方法造成了自身的风险。当人们感觉到错误(哪怕是善意的错误)会受到指责和惩罚时,他们通常会掩盖自己的错误——如果他们意识到自己受到监视,这种行为就会加剧。员工认为惩罚性政策是自己不被信任的信号,而研究表明,不信任的气氛会让违反规章的行为增多。
在用行为方法来管理风险时,管理者会分析流程和组织结构,以确定引发风险行为的要素。让我们看看某证券交易团队的例子。假设它主要由过度自信的专业人士组成(通常是男性,他们比女性更有可能对未来的财务业绩抱有不切实际的想法)。如果这个团队由一个道德水准低下的经理领导,团队成员就更有可能在道德上误入歧途。如果薪酬制度奖励的是个人销售目标,团队成员很可能会感到嫉妒,这会让他们更有可能为不道德的行为找到借口。这样的团队可能还具有强烈的群体认同,进一步助长道德松懈的氛围。
管理该团队行为的传统方法是制定一套规章,强制进行定期培训,然后依靠监督(比如录音电话)和其他机制(比如匿名举报热线)来确保人们遵守规章。问题是,这些行动在解决团队成员的行为形象或者他们铤而走险的动机方面无济于事。行为科学家会告诉你,具有前述证券交易团队特征的任何团队都极有可能从事危险行为,无论实行了什么规则,而且监督可能只会让事情变得更糟。即使是善意的员工,当他们按照鼓励这些行为的程序工作时,或者他们工作领域里的文化和环境将行为推向消极方向时,也可能表现出不良的或高风险的行为。
几家主要的欧洲金融机构——国民西敏寺银行集团(NatWest Group)[前身为苏格兰皇家银行(RBS)]、荷兰国际集团(ING Group)和荷兰银行(ABN AMRO)等等——已经实施了用行为方法来管理风险,主要是通过建立团队来分析风险行为的根本原因。近年来,包括汇丰银行(HSBC)、渣打银行(Standard Chartered)和加拿大皇家银行(Royal Bank of Canada)在内的非欧洲机构也跟风效法。在我们为这些机构和其他机构提供咨询的工作中,我们发现,大多数金融服务企业采取了两步法来实施行为风险管理。
确定并了解热点
第一步是确定组织中最有可能发生员工行为负面结果的程序和单位。企业可以首先探究现有的数据,比如员工敬业度调查结果、客户满意度评分和已登记在册的政策违规数量。他们可以通过生成团队文化等方面的新比较数据来补充这些信息,以进一步完善他们的调查。
程序:行为洞察扫描。这些扫描可以帮助管理者确定什么因素妨碍了优良决策,包括对某一选定程序中的关键参与者进行多次深入访谈,以及对工作情况的观察。现在让我们来看看身为我们客户的某欧洲银行机构是如何进行行为洞察扫描的。
该银行设计并实施了一道程序,以便让身居第一道防线的业务风险经理们能够评估其单位在网络安全、气候、运营和洗钱等领域的非金融风险管理的成熟度。经理们应要求给他们各单位的成熟度打分。接下来,风险部门的同事,即银行的第二道防线,会评估业务风险经理的工作,并认同或者不认同他们的打分。一旦出现不认同的情况,业务风险经理必须重新审视分析。该银行希望知道这道程序的设计——尤其是两个级别的评分——是否会增进业务风险经理评估的准确性。我们公司受邀来回答这一问题。
在八周的时间里,我们与业务风险经理、二线审核人员和管理层进行了16次半结构化的访谈。我们问了诸如此类的问题:“谁实际上对这个程序负责?”以及“上一次难以照此程序工作是什么时候?为什么,发生了什么事?”这些访谈的结果通过对评估程序记录的桌面审核以及自我评估的效度研究而得到补充。我们还进行了两次跟踪会议,其间一位业务风险经理通过屏幕共享详细介绍了评估过程中的所有步骤,我们还旁观了两次管理层会议,会上讨论了评估的结果。
扫描显示,有两个因素可能会使管理者对其非财务风险管理质量的评估出现偏差。其一,在程序结束时打分的要求产生了一个尽可能获得最高分的内在目标。因此,经理们可能不会报告关键的负面证据,或者至少提出证据的方式让风险部门的主管认为这事无足轻重。大量的行为研究表明,人们对实现量化目标的渴望会导致他们忽视那些以定性目标形式表现出来的合规或诚信标准。
其二,由于风险部门的主管们在监视他们的工作(在某些情况下还会对他们的工作重新评分),业务经理们已经从这一程序中抽身出来。这种后果最有可能因这一程序中的“非我发明”观念以及群内群外的偏见而加剧。众所周知,这种偏见会鼓励不合作的行为。正如一位业务风险经理所评论的,“二线人员从来没有一次来找过我们,赞赏我们业务经营状况。他们不知道该关注什么,因此,这个过程完全是在浪费我们的宝贵时间。”
当我们的报告被提交给首席风险官时,他表示自己没有意识到程序的设计引起了这些原本无意、不希望看到的行为和认知。
单位:行为风险审查。这些审查可以让人细致了解行为模式和驱动因素,而这些行为模式和驱动因素可能导致高风险业务团队或单位在未来出现问题。我们为之提供咨询的一家全球金融服务公司提供了一个很好的例子。该公司因其资本市场业务部门一再发生不道德行为和非法行为而受到了监管部门的仔细审查。事实证明,清晰的规则传达、强有力的控制环境和增强的约束措施对于减少不轨行为的发生无效。
在三周的时间里,我们与该单位各团队的员工(随机抽样了全体员工的20%)以及与那些在该地区与各团队打交道或支持各团队并提供由外向内视角的员工进行了大约50次一小时的秘密谈话。我们在这些谈话中的目标不是要了解员工如何评价他们的职业环境,而是为了听听他们描述自己如何对这种环境做出反应。比如,我们要求交易员详细描述他们的部门主管如何应对现实生活场景中所犯的错误——而不是要求他们评估部门主管的管理成效。
除了这些一对一的交谈之外,我们还要求该单位的所有员工完成一份包含20条表述的简短在线调查;对工作中的两个团队进行三个小时的观察;并审查管理数据(比如业绩、风险和人力资源信息)和政策文件(关于战略、治理、业绩管理、后果管理和行为守则)。我们对定性和定量数据进行了相互对照检验,也对照研究结果进行了检验。
这种审查揭示出许多导致员工采取不道德或非法行为的因素。首先,我们发现,在对无意中出错的情况做出反应时,直接管理者会在未充分考虑到背景和动机的情况下严厉指责个人。比如,当一笔交易因客户方面的意外财务问题而被客户取消时,负责商谈的员工会被扣分,并在团队会议上被“点名批评”,相关的境况却只字不提。这种反应可能会引发行为风险:当错误被看作是员工个人的责任时,由此产生的焦虑会降低人们遵守组织规章的意愿。
其次,员工认为有关晋升的决定和程序是不可预测且并非始终如一的。他们表示,他们感觉自己对结果鲜有或者没有影响:我看到没有业绩的人得到了晋升;我觉得这完全是随机的。可以肯定的是,这种随机性确实意味着人们不太可能违反规则来提高他们的业绩数字,但所感知到的不公平本身就是不轨行为的一个驱动因素。研究表明,它会引发各种异常的工作场所行为,包括报复和不遵守准则。
细致的洞察让我们的客户能够采取有针对性的缓解策略,直接解决需要改进的具体驱动因素,而不是在更广泛的意义上寻求改善业务部门的文化。它对不同类别的不良行为进行了定义,把它们放在环境背景中,并针对每一种行为配置了适当的制裁。比如,一个未参加在线培训的员工最初会收到一份警告,而不是处罚(以前会是这样的结果)。这样的小变化有助于让员工放心,他们会受到管理者的公平对待。与此同时,高级管理人员接受了培训,以提升他们处理感知到的不公平并应对负面结果的能力。
找到解决方案
我们以两种方式帮助企业解决通过行为洞察扫描或风险审查所揭示的问题。第一种方式是研讨会,我们带领在特定领域或程序中工作的员工确定简单的推促行为,这会改变他们对特定行为的处理。这些研讨会通常被称为推促实验室,是行为研究和咨询的主要内容,包括各种标准的头脑风暴和游戏练习。[关于推促实验室的更多描述,请参见在线版《麦肯锡季刊》(McKinsey Quarterly)中由安娜·金特纳(Anna Güntner)、康斯坦丁·卢克斯(Konstantin Lucks)和朱莉娅·斯珀林-马格罗(Julia Sperling-Magro)撰写的“来自企业推促一线的经验教训”(Lessons from the Front Line of Corporate Nudging)。]
我们可以用荷兰国际集团的一个例子来说明这种方法。在这个例子中,行为洞察扫描显示,致力于减少金融犯罪风险的各个团队缺乏共同的目标和集体认同。在随后的推促实验室会议上,员工、行为科学家和游戏专家合作制定了能够激发理想行为的推促措施。他们的设计借鉴了互惠和共同目标等基本的游戏原则,这些原则鼓励人们“保持游戏”并自愿合作——在本案中就是要继续遵循减轻金融犯罪风险的程序。
比如,荷兰国际集团团队开发了一个互动电子邮件签名档,目的是在整个流程的工作人员中产生一种共同的身份感。该签名档融合了那些涉及客户档案的员工的姓名、个人相片和头衔。荷兰国际集团随后在一次持续了几周的试点中测试了这项干预措施。结果前景看好:正如一份简短的问卷调查所查明的,使用这种电子邮件签名提高了相关员工之间的信任度,也减少了不必要的电子邮件的数量。在这个例子中开发的推促措施目前正在整个企业内推广。
另一项有效的干预措施是我们所称的“室内系统”会议。这些会议是为高层领导设计的互动式研讨会,旨在从所有利益相关者的角度,对管理已确定行为风险所涉及的挑战形成共同和完整的认识。有了这种认识,团队就能设计出相应的有效解决方案。通常,我们会举行两到三次为期一天的会议,将需改进程序所涉及的每一个人都聚集起来。我们聚集在房间里的人通常多达25位,从高管、国别负责人、全球流程负责人、技术专家到一线员工。让每个人都在房间里,这就很难随意指责他人,或者逼迫人们承认自己的行为对其他团队造成影响。
以另一个客户,一家全球金融服务公司为例。该客户进行过一次行为风险审查,结果显示,主人翁精神欠缺以及各单位和职能部门之间的合作不足是金融犯罪的主要风险驱动因素。我们带领该客户经历了头脑风暴的步骤,从界定问题到通过一系列“如若……会怎样”的问题来找到解决方案。这种方法因受到设计思维的启发而非常有效地应用于许多业务流程,从产品开发到战略制定。[比如,参见“战略之科学艺术”(Bringing Science to the Art of Strategy),作者雷富礼(A.G. Lafley)、罗杰·马丁(Roger L. Martin)、简·里夫金(Jan W. Rivkin)和尼古拉·斯格科(Nicolaj Siggelkow),《哈佛商业评论》,2012年9月。]
我们确定的一个解决方案是,在风险管理团队和高层领导之间引入每周10分钟的系统更新会议,类似于全面质量管理圈。这些更新附加于正常例会,因而没有打乱任何人的日程安排,但它们已被证明是一个有用的论坛,可以在风险管理过程的早期引起对行为问题的注意。
这些会议本身就是解决方案的一部分:他们导致互联感和归属感增强且持久,促进了主人翁意识和围绕相关程序的有效合作。正如一位高级经理所言:“这种会议是让彼此更加了解的一种极好方式,并将不同的观点联系起来。这会增加建设性合作的意愿,并找到可行的、无需费劲但却具有很大预期影响的优秀解决方案。”
影响到金融机构与监管机构之间对话的前瞻性风险管理方法极具吸引力。然而,欲让行为风险管理取得成功,有胆识的领导工作是必要条件,部分原因是这种方法与数字驱动的金融部门背道而驰。在这个行业中,监管者心怀的是“拿证据给我看”的心态,鼓励金融机构提出证据,证明风险在他们的掌控之中。
相比之下,行为风险管理在本质上是预防性的,它使用定性和定量的数据来揭示令人不快的真相及工作场所的现实情况。由于它采取的是寻根溯源的方法,在问题出现之前就解决高风险的行为,因此提供无可争议的证据证明其有效性存在难度。可是,结构良好的行为风险管理举措的结果无疑是员工行为的改善,大大减少了苦恼或政府制裁的概率。对于那些靠权衡风险和收益为生的企业来说,这样一个简单的优化练习应该是不费脑筋的事。
维克·朔尔滕是总部位于荷兰的战略咨询企业&samhoud公司的行为风险专家,也是伦敦国民西敏寺银行内部审计部门中某行为风险团队的前负责人。费姆克·德弗里斯是荷兰格罗宁根大学(University of Groningen)监督学特聘教授,&samhoud公司任事股东。蒂吉斯·贝西厄是&samhoud公司行为变化资深专家,法国IÉSEG管理学院的领导力客座教授,以及比利时鲁汶大学(KU Leuven)的研究员。
维克·朔尔滕(Wieke Scholten)
费姆克·德弗里斯(Femke de Vries)
蒂吉斯·贝西厄(Tijs Besieux)| 文
永年 | 译 时青靖 | 校 李源 | 编辑