做风控你应该知道的十件事!
随着互联网黑色产业的发展,越来越多的公司开始重视自己的风控问题。但重视是一回事,能不能做到又是一回事!
随着互联网黑色产业的发展,越来越多的公司开始重视自己的风控问题。但重视是一回事,能不能做到又是一回事!
1、风控是永恒存在的
不要企图消灭风险,因为那是不可能的。只要有利益存在,所有的攻击和尝试都不会停止,无论它有多么的因难,哪怕它是违法的。我们称之为风控问题的未知性和不可控性。虽然你很努力的在防御着,但你的确无法知道下一个问题在何处,也无法保证有绝对意义上的安全。
2、服务于业务
有人说,风控部门像个警察,这理解就错了。没有业务的存在,风控便毫无价值。所以,其实风控部门更像一个保镖,而你的业务部门,就是你的雇主。保护好他们并让他们满意,才是你的职责所在。不要企图去阻拦业务,而是尽可能的帮助他看清问题并提供解决方案。
3、动态平衡
我们无法消灭风险。那么,风险和损失就是一个动态平衡的过程。平衡好风险和资损,才是我们追求的目标。举个例子,如果风控拦截保护的资金小于这些订单带来的价值、处理成本或者是用户流失,那么我们就应该考虑是否还需要这么做。当然,平衡要考虑的东西越不止这些,你同样要考虑如果风险发生了对公司的声誉影响,用户感受以及你的合作方对你的压力。总之,平衡是风控的第一要素。
4、积累数据
在今天,几乎所有的人都知道大数据,而风控的基本做法,就是通过数据来展现异常。所以在你没有数据的时候,你将寸步难行。因此现在非常流行大数据风控,风控数据它的庞大超过你的想像。我在这里要强调的是,你要积累的是所有的,尽可能多的细节数据,因为大部分时候你无法知道这些数据你将用在什么地方。例如,早些时候,大部分的网站更关心登录成功的数据,而没有对失败的详细原因做记录。那么,你就无法对机器人攻击(图片验证码失败)、扫号撞库(账户密码失败及账号验证)以及自然失败做区分。同时,积累数据的另一层含义是“创造”数据。你需要尽可能早的对你需要的数据做埋点、采集以及加工处理。比如你想知道的一个人的常用地,它就涉及数据的采集(IP或者坐标),数据的处理(计算可信位置),加工(对应IP解析地并处理IP解析的正确性)等等。
5、木桶原理
你的风控水平取决于你防御体系最薄弱的环节。如果你发现了一个明显会被利用的漏洞或者缺陷并且是你无法控制或者承受的,都应该尽快的修补它,否则你将承受比你评估时还要多的损失。相信我,漏洞被发现的速度远高于你的想像。基于这个事实,你应该在你监控最薄弱的环节多加监控,了解你现在的处境和状况以便于你做出正确的判断。
6、引流原则
由于风控问题本身的未知性,所以尽量将问题暴露在自己已知的范围下。简单的说,攻击者引到自己知道的场景下并给予适当的损失做为风控的基础成本。比如,在某一风控策略下,并不是完全将符合条件的攻击拦截,而是随机做1%的放行,或者,将价值超过50元的才做拦截。这样做的好处是显而易见的,在双方都处于黑盒的情况下,可以尽可能保护到自己未知的问题,以避免出现攻击者全力研究新漏洞造成的不可控制的突然一击。减少问题,同时注意不要去创造新的问题。当然,这本身取决于风控损失的承受能力,如果这个漏洞你无法做到50元以上的都拦截(没有对这个问题有“控制力”)那么就应该尽可能的完全修复这个问题。
7、用户体验
风控不可回避的一个问题是用户体验,也就是在风险识别后处理决策时要面对的问题。无论是短信校验,或者是要求验证各种各样的密码、身份识别问题,都是用户体验的伤害。更可怕的是,每中断一个环节,就会流失大量的用户。比如,每校验一次短信,就会流失30%的用户。所以,站在大部分正常用户的角度思考问题,减少用户本身的思考,提高风控的识别能力,尽量的对有把握的再做处理,会让你的业务和风险控制都获利。
8、安全感
用户体验是很奇怪的东西。验证短信打扰他了他会烦恼,但如果他尝试支付1万元时你没有给他发个验证短信,他也一样会很苦恼。安全感本身特别的重要,在自助处理问题的场景下,安全感才是用户最关心的问题。比如手机客户端上,如果短信验证码就能找回密码,用户就会质问手机丢失的场景下的安全性。这就是一个典型的安全感的场景。尽量的营造适当场景下的安全感,有助于你的用户配合支撑你的各种安全策略。
9、忽略用户的智商
在风控问题上,请相信绝大部分用户都没有安全意识。他们既不知道个人信息的重要性,也不知道密码设成什么好,更不知道为什么他的账户就受到了攻击,或者想参加一个活动受到了举办方的各种限制。请一定多走几步,帮用户设想好更种可能出现的状况,并对风控做评估,制定合适的策略。比如现在被广泛应用于账户安全中的二步验证(短信验证),至少要考虑到如下问题:短信收不到怎么办、短信时效性如何设置、验证码长度多少合适、什么情况下才能变更验证手机、短信验证码是否存在泄漏/劫持/被钓鱼的风险、手机当前状态下是否持有在本人手中等等。用户往往很单纯,请保护好他们单纯的心。
10、对抗性
风控最有的意思的地方,在于它是一个对抗性的工作。一旦你做了防御,敌人便会放弃进攻(没有人会在明知会触犯风控拦截的情况下无谓的尝试同样的方法浪费手中资源)。所以,整体的风控策略、规则、模型都需要不断的调整,来应对这样的对抗情况。比如我们根据历史的CASE发现穿红色衣服敲门的都是坏人,所以我们对穿红色衣服的人都加强了检查。那么坏人也会在一段时间后发现我们的策略而穿上黑衣服。这个时候,我们找到的穿红衣服的人,好人的比例就会不断的上升而几乎抓不到坏人了。这就是对抗性带来的规则准确率下降。因此,不断的监控我们的数据并及时回顾,是一项基本的风控工作。同时,对抗性还要求我们对风控的策略有健壮性。还是上面的例子,单一性状或者简单条件的规则,对于临时的防控会很有效,但维持的时间通常都很短,需要不断的调整。所以我们需要尽可能多的组合条件,减少策略被发现的可能。
做一名优秀的从业人员必须要知道风控在每个企业的定义是不一样的。总体来说,有一些共性的东西可能也是需要注意的,在我个人看来,“风控”至少应当是包括以下三个部份:法务、财务、咨询。
1、对行业和企业业务的理解
做风控,首先要识别风险。风险从哪儿来?有业务就有风险。因此,如果对企业所处的行业、对企业自身的业务理解不够深入的话,风险的识别自然就不到位。举一个例:同样是大宗商品贸易类企业,一个是做铁矿石贸易的,另一个是做粮油贸易的,二者的库存风险一致么?就算是有相同的风险点,例如库存货物损毁灭失的风险,但可以考虑采用的控制措施也是不同的。即使同样是做快餐,麦当劳和肯德基也不一样。
2、和业务部门的关系
不管在企业内部做风控还是作为咨询公司做风控,和业务部门的关系也是一只看不见的手。如果业务部门真心理解风控能为企业带来价值,能给他们带来价值,那么比较容易让你了解到实际情况。了解到真实问题之后汇报给高级管理层又确实真能起到作用,这样才是风控最好的状态。企业内部也一样,同是部门总经理,业务部门总经理经常自认为比风控总经理要高半个头,而且认为自己站在业务一线,最了解业务,最了解风险,要你风控写写报告何用?风控要开展工作,心情好且有时间配合一下,心情不好或没空压着不干你又不能怎样。
3、风控技术和视野
风控技术,没两把刷子谁鸟你啊。视野却决定了风控的高低。风控通常不是作为一个业务领域向老板负责,而是要站到企业整体的角度看问题。除了会识别、评估、分析、计量、处置风险,除了知道流程、控制点、控制性质、执行人、认定、测试步骤等等之外,更要有企业整体或负责人的视野去看待这些风险与控制,会不会给高管层讲明白这些KRI变化背后的意义及为什么需要采取行动。
律师事务所涉及到企业风控的主要是以下几点。公司法务日常的工作也主要是这些,但他们的活儿的质量比律所的就要低一些(客观事实):
1.为企业日常经营管理提供法律咨询和建议;
2.对业务经营模式的合法性进行研究,并提出切实可行的改进建议;
3.对企业的管理制度等进行规范,加以改进;
4.为企业修改各种合同(包括一线业务部门使用的格式合同以及重大交易使用的一次性合同)并出具相关各种法律文书(包括律师函、法律意见书等);
5.就企业拟进行的重大项目进行尽职调查,出具调查报告;
6.列席会议,参与谈判;
7.培训、指导企业工作人员。
除上述几点之外,企业法务通常还要兼做一些行政事务性工作、日常杂活儿、上传下达等等。但在风险控制这一点上,律师和法务的工作目标是一致的。能否高质量地完成上述工作,就是判断该人是否是一个优秀的律师/法务的标准。
高质量完成上述工作的必要条件:
一、对行业和企业业务的深刻理解
对这个行业缺乏了解的话肯定做不好风控,因为你连哪里会有风险、会有什么样的风险都不清楚。
二、对现有法律、法规、政策的精通
律师、法务都是靠法律吃饭的,对法律不熟那就真的是对不起自己的饭碗了。
三、与企业管理层的良好关系
依靠良好的专业素养和可靠的品行,赢得管理层的信任,之后意见才有可能被重视、被采纳。
四、随时留有后招
风控是“控制”而非“消灭”风险。如果风险消灭了,那么业务、利润也没了。摆不正这个心态,那一线业务部门首先就不会鸟你。所谓的控制风险,说白了就是判断“如果出事儿了能不能善后”,只要能善后,不会砸场,那么这事儿原则上就是可以做的。风控要做的事就是在细节部分完善一下,确保一旦真出了事儿能收场,就OK了。当然,提前要跟老板汇报风险,这样出了事儿不能赖风控,事后也要能搞定,这样业务部门也会感激你。
来源:注册风险管理师