举个例子,如果风控拦截保护的资金小于这些订单带来的价值、处理成本或者是用户流失,那么我们就应该考虑是否还需要这么做。
当然,平衡要考虑的东西越不止这些,你同样要考虑如果风险发生了对公司的声誉影响,用户感受以及你的合作方对你的压力。总之,平衡是风控的第一要素。
4、服务于业务
有人说,风控部门像个警察,这理解就错了。没有业务的存在,风控便毫无价值。所以,其实风控部门更像一个保镖,而你的业务部门,就是你的雇主。保护好他们并让他们满意,才是你的职责所在。
不要企图去阻拦业务,而是尽可能的帮助他看清问题并提供解决方案。
5、木桶原理
你的风控水平取决于你防御体系最薄弱的环节。如果你发现了一个明显会被利用的漏洞或者缺陷并且是你无法控制或者承受的,都应该尽快的修补它,否则你将承受比你评估时还要多的损失。
相信我,漏洞被发现的速度远高于你的想像。基于这个事实,你应该在你监控最薄弱的环节多加监控,了解你现在的处境和状况以便于你做出正确的判断。
6、安全感
用户体验是很奇怪的东西。验证短信打扰他了他会烦恼,但如果他尝试支付1万元时你没有给他发个验证短信,他也一样会很苦恼。安全感本身特别的重要,在自助处理问题的场景下,安全感才是用户最关心的问题。
比如手机客户端上,如果短信验证码就能找回密码,用户就会质问手机丢失的场景下的安全性。这就是一个典型的安全感的场景。
尽量的营造适当场景下的安全感,有助于你的用户配合支撑你的各种安全策略。
7、用户体验
更可怕的是,每中断一个环节,就会流失大量的用户。比如,每校验一次短信,就会流失30%的用户。
8、引流原则
由于风控问题本身的未知性,所以尽量将问题暴露在自己已知的范围下。简单的说,攻击者引到自己知道的场景下并给予适当的损失做为风控的基础成本。
比如,在某一风控策略下,并不是完全将符合条件的攻击拦截,而是随机做1%的放行,或者,将价值超过50元的才做拦截。这样做的好处是显而易见的,在双方都处于黑盒的情况下,可以尽可能保护到自己未知的问题,以避免出现攻击者全力研究新漏洞造成的不可控制的突然一击。
减少问题,同时注意不要去创造新的问题。当然,这本身取决于风控损失的承受能力,如果这个漏洞你无法做到50元以上的都拦截(没有对这个问题有“控制力”)那么就应该尽可能的完全修复这个问题。
9、对抗性
风控最有的意思的地方,在于它是一个对抗性的工作。一旦你做了防御,敌人便会放弃进攻(没有人会在明知会触犯风控拦截的情况下无谓的尝试同样的方法浪费手中资源)。
所以,整体的风控策略、规则、模型都需要不断的调整,来应对这样的对抗情况。比如我们根据历史的CASE发现穿红色衣服敲门的都是坏人,所以我们对穿红色衣服的人都加强了检查。
那么坏人也会在一段时间后发现我们的策略而穿上黑衣服。这个时候,我们找到的穿红衣服的人,好人的比例就会不断的上升而几乎抓不到坏人了。这就是对抗性带来的规则准确率下降。
因此,不断的监控我们的数据并及时回顾,是一项基本的风控工作。同时,对抗性还要求我们对风控的策略有健壮性。还是上面的例子,单一性状或者简单条件的规则,对于临时的防控会很有效,但维持的时间通常都很短,需要不断的调整。所以我们需要尽可能多的组合条件,减少策略被发现的可能。
如果规则变成如果来敲门的人是男性且穿着红色衣服且敲门的声音大于70分贝,那么他是坏人,那么,衣服颜色为红色这一判断要素被发现的概率就会大大下降,同时,即使被发现了,也无法确认这个条件所占的比例和作用情况。更进一步,如果模型的计算变成0.3*性别+0.5*衣服颜色+0.2*分贝,那么这个策略就更为健壮了。
10、忽略用户的智商
在风控问题上,请相信绝大部分用户都没有安全意识。他们既不知道个人信息的重要性,也不知道密码设成什么好,更不知道为什么他的账户就受到了攻击,或者想参加一个活动受到了举办方的各种限制。
请一定多走几步,帮用户设想好更种可能出现的状况,并对风控做评估,制定合适的策略。
比如现在被广泛应用于账户安全中的二步验证(短信验证),至少要考虑到如下问题:短信收不到怎么办、短信时效性如何设置、验证码长度多少合适、什么情况下才能变更验证手机、短信验证码是否存在泄漏/劫持/被钓鱼的风险、手机当前状态下是否持有在本人手中等等。用户往往很单纯,请保护好他们单纯的心。
所以,无论在什么时候,都要考虑到风控研究的对象,都是一群想着办法在模仿正常人的人,他们善于伪装,拥抱变化,牢记对抗性,与人斗其乐无穷嘛。
2023年新金融监管体制下信用风险合规管理与新规实施专题培训
商业银行不良资产处置策略、方式与流程、方案制定及清收技巧暨常见法律问题详解专题研修班
2023年公开课课程~
《今日农信人》
金融人专注风险研究|尽职调查-风险管理返回搜狐,查看更多