A. 如何帮助企业把风控做的更好
如何企业把风控做的更好,首先从内部风险管理开始,可以使用企业现代管理技巧FMEA,即失败模式与效益分析。也叫潜在失效模式与后果分析,是指在产品/过程/服务等的策划设计阶段,对构成产品的各子系统、零部件,对构成过程,服务的各个程序逐一进行分析,找出潜在的失效模式,分析其可能的后果,评估其风险,从而预先采取措施,减少失效模式的严重程序,降低其可能发生的概率,以有效地提高质量与可靠性,确保顾客满意的系统化活动。
这一管理方法被扩展到整个企业管理活动中来,就是在企业管理活动过程中,任何可能出错或潜在出错因素或不可确定因素,均对其过程进行后果分析,以求降低风险或损失。
B. 怎样提升企业的风控能力
风控总则:以业务为导向
“利益是黑客攻击的本质,互联网企业所有的风险最终归根到底是为了“利”,因此,风险控制应该从业务层面出发,以业务为导向进行风控。”
以互联网企业为例。互联网风险控制主要应用于三个方面,首先是互联网金融,尤其是P2P领域,其风险非常高,早期发布的千万左右账款仅用了5分钟,但经过3-6个月的跟踪,发现这笔投资根本无法回收,这是当时的P2P行业真实的风险写照。
其次是互联网旅游,如携程,2011年几乎不存在安全问题,其内部风控人员仅十多人,但目前携程正遭遇很大的风险,携程礼品卡资金账户,黑客攻击成百倍的增长用来盗号。
再次是O2O行业,2015年O2O行业投资较多,但钱来的快,烧的也很快,定单造假等乱象丛生,风险较大,倒闭颇多。
构建风控架构
风控最简单的方法是风控回避、转移、保留等一系列的控制方法。比如一个网站今天开发了一个新的网页,网站最大的问题是盗号或者账户被盗,致使整个账户体系不安全。要保证账户安全,一般采取四种解决方案:
第一、风险控制,即采用必要的技术手段把风险控制住。
第二、风险接受,即对某些危害不太大的风险予以接收。
第三、风险回避,对某些高风险采取回避制度。
第四、风险转移,对某些风险很高的实行转移,比如可以把登录外包开放给腾讯QQ等三方登录接口等。
但风控最主要的目标是要比最后一个竞争对手跑得快,即要比同行业技术做的好,这是做风控最基本的依据。怎么样把攻击者的攻击流量导到别人身上,用一毛钱的成本可以产生十块钱的利益。
风控部门则发挥着为业务部门“挡枪”的功能,比如订单减少了,会有人分析因为风控的措施造成订单的减少,当然防止系统瘫痪更是风控的主要职能,风控对企业扮演着“把门神”角色。
风控人应具备的四项能力
风控人需要具备哪些能力?
第一、要懂技术,哪些技术手段可以帮助企业实现风控管理。
第二、明确企业业务的目标,只能清楚了解企业业务目标,才能知道通过哪些技术进行防护,风控最大的问题是会对业务造成损失,不管是隐性的还是显性损失;
第三,制定风险控制策略,根据未来几年的安全趋势或者是风险控制趋势制定风险控制策略;
第四,要有担当,即出事能顶,不出事能抗,三观要正。风控人员三观一定要正,如果三观不正,很可能造成企业资金流向损失,风险控制部门手抖一抖就是几千万,几百万的损失。
明确风控部门职能
风控部门可以从技术和管理手段,或者从风险控制角度来帮助企业解决问题,不管每个产品的发布风控都应该介入,风控人员要懂技术和业务。
以某互联网企业为例,风控部门职能如下:
第一、 业务风险评估,在业务上线之前,对整个需求进行评估,风控从业务规划开始,便会参与其中,评估信息安全方面的风险,包括是否要上验证码,是否要加防护,如何防范账户盗号,撞库和信息披露等。
第二、 评估合规风险,是否满足各种法律法规;
第三、 第三方数据接入评估;
第四、 了解本地行业信息数据。
重视风控部门管理
风控应包括五个团队,分别为技术团队、产品团队、市场应急团队,运营团队,审计团队。其中,产品团队及运营团队尤其重要。运营团队提供运营数据,从而改进产品。
上述团队如何运转管理?其业务运程如下:
新业务上线前,产品经理识别风险,产品经理识别好风险后,让技术开发风控识别模块风险。风控开发模块认可后,由运营监控人员负责监控和处理,对可能发现的异常行为或者漏掉的行为进行二次提交,最后由产品经理再次识别风险,并提出风险控制建议。也就是不管外界的趋势如何变化,风险环境怎样,便形成了持续改进状态。
制定风控流程
风控有两个流程,一是异常阻止;二是正常通过。一笔交易是成功还是不能成功,有两个判断方式,一个是异常阻止,即发现异常的交易行为,就把这个异常交易行为阻止掉,这是一般性的做法。如果交易行业正常,风控正常通过即可。
风控根据处理速度分为实时风控和非实时风控两块。实时风控就是达到目标需要速度快,交易能不能成交,是否能正常登录,速度快则对用户的干扰少。非实时风控主要应用于线下,比如大数据分析,模型建立等。风控的基线是全部流程均正常,任意缺失均认为是异常行为。
现今国内外经济形势复杂,市场竞争激烈,对于企业来说要想继续保持高速稳定增长难度越来越大。企业在经营发展、转型升级过程中面临的风险日益复杂,一些潜在风险逐步显现,我们应该更加重视风险管控体系的建设,提升风险管控能力,平衡效益与风险,促进企业更好适应国内外形势的变化,确保企业持续健康稳定发展,提升核心竞争力,保障实现战略目标。
C. 风控怎么做
第一,风控人员要提高自身理论水平和专业知识。随着业务的开展,期货公司对高素
质专业人才的需求越来越大,风控人员应该加强理论知识、国家政策、业务技能等方面的学习和提高,以更好地完成自身的工作。
第二,要熟悉公司的风控制度,合理把握公司保证金比例和交易所保证金比例直接的
关系。在达客户到风险的第一时间及时向客户发出预警,通知客户及时追加保证金等。若联系不上客户,则要找到其客户经理对客户进行追踪,尽力让客户能够及时知道其风险状况并进行处理,以避免客户的损失。
第三,风控岗也要了解市场行情,对行情的走势要有一个比较客观的判断,尤其是在
极端行情出现的时候,要能冷静清晰分析该如何引导客户规避风险,该给客户多少时间进行追保减仓处理,用专业的态度做出合理的判断。
第四,要有扎实的业务素养和良好的沟通技巧。风控人员要熟悉交易规则,能向有疑
问的客户讲解清楚交易所的提保制度、本公司的风控制度及各品种合约的最新保证金政策等。同时要学会及时和业务部门及客户进行沟通,尤其是在对重点客户的风险处理上,第一要注意沟通技巧,谨慎解答客户疑问,以免造成误解;第二个就是要合理把关,该通融的通融,不该通融的绝不通融,要有控制风险的底线。
第五,风控岗要有坚强的意志。期货市场是一个高风险的市场,每年总会有一段时间
行情剧烈波动,风险警示压力很大,这就要求风控人员必须要有过硬的心理素质,能够从容地面对压力,帮助客户规避风险。
第六,风控人员还要学会自我疏导,在重大的工作压力之下要学会适时地释放负面情
绪,工作之余多外出散心,呼吸新鲜空气,洗涤内心的戾气,让自己有一个平静的好心态。因为只有用好的心态去工作,才能设身处地去维护客户的利益,才能在理解客户的同时亦换来客户的理解。
有关风控,可以网络 红途 风控交流学习。
D. 如何做风控策略
风控决策引擎本质上是一系列规则的集合。风控规则也叫做风控政策、风控策略。欺诈、盗号、作弊、套现以及营销活动恶意刷单、恶意抢占资源等都是风险,都需要复杂但高效的规则引擎。这里我们只关注信贷风控。
风控规则的制定原则:
监管层面
监管会约束机构禁止对未成年发放贷款,执行起来,准入规则就会强制要求用户年龄大于等于 18 周岁。
学生贷也会有较多监管要求,因为学生群体大多没什么稳定的经济收入来源,按时还款的能力不足,容易滋生过度借贷和诈骗。
公司层面
准入通常也会设定一个年龄上限,例如 60 岁。设定年龄上限往往是出于舆论的考虑,老年人贷后事故可能会更大,例如遇到催收反应过激。这一般并不在监管范畴,而是公司层面的原则。
高危地区 也是如此,某些区域历史上出现过集中诈骗,为了防止被团伙攻击,在公司层面直接不对这些高危地区准入的做法也是存在的。
另外,公司也会规定同一申请人被拒绝一个月内不能再次申请借款。这是因为短时间内用户的信息不会发生明显变化,用户的风险评估结果不会前后差异过大,前次被拒绝,再次评估往往还会被拒绝。而评估一个人是有成本的,低效地去重复查询数据是不可取的。
风控层面
根据行业经验,制定欺诈类、黑名单类、多头类、信用不良类的强规则是不言而喻的。
欺诈 主要可分为一方欺诈和三方欺诈。一方欺诈是指申请人自身的欺诈行为;三方欺诈是第三方盗用、冒用他人身份进行欺诈,申请者本人并不知情,比如团伙利用非法收集的身份证进行欺诈。
其实还有两方欺诈,是内部人员勾结的欺诈,一般不在考虑范围。
一方欺诈往往较难定义,它跟信用不良的表现结果无二。可以先验地设置一些专家判断,例如手机号入网时长一般限制最小值为 6 个月或 12 个月。新号来注册申请,显然更可能是欺诈骗贷,当然这些规则很容易被撸口子大军绕过。道高一尺,魔高一丈。
人脸识别 显然是一个很有效的三方欺诈防控的办法,但也是一个很笨重很伤用户体验的办法。三方欺诈防控更大程度地依赖于大数据挖掘,盗用冒用在设备行为和关系网络上一般是有迹可循的。基于大数据的反欺诈模型是风控中重要的内容之一。
黑名单 一般分产品内部黑名单和行业外部黑名单,内部黑名单指的是历史用户中的欺诈用户和严重征信不良用户,外部黑名单指的是三方数据提供的命中信贷逾期名单或法院执行名单或其他高风险的用户。黑名单防控和一方欺诈有交叉重叠。
命中黑名单的客群一般会直接拒绝。业务持续发展过程中,黑名单客群数量可能积累过大,这往往是由于入黑规则过于严格,误杀会较严重。将其根据风险差异再拆分黑名单和灰名单是必要的,对灰名单用户可以测试放开。从而实现名单优化。
多头 指的是用户在多家平台借款,存在借新还旧、以贷养贷的风险。用户也许能够从其他平台借到款来还自己平台的款,但对任何单一平台来说,赌自己不会成为受害方就跟赌比特币自己不接盘一样,不是风控该允许的做法。
行业的共识就是制定多头规则。多头指标往往是制定成可变规则,因为多头是一个程度问题,阈值可以调整,多头规则是整个风控规则中调整频率比较高的。
实际上,基于数据分析的规则制定是方便易行的。基于特征库,挑选出一些风险区分度高的变量是一个单变量分析的过程。 只要遵循三个指标,准确率、召回率和稳定性,就能找出有效可用的规则集。
准确率 是说命中的人当中坏用户占比要尽量高。
召回率 指的是命中的坏用户要足够多,一条规则只找出了几个人,即使都是坏人,也没有意义。
稳定性 当然很重要,命中的人数、命中的人当中坏用户占比,都需要持续稳定。否则要频繁跟踪调整。
需要说明的是,模型也可以理解成一条规则,只不过它是将许许多多的弱变量组合成一个强变量。强变量用于规则,弱变量用于模型。
他们的本质都是将用户分层,方便我们将用户一分为二,将其通过或拒绝。
对于一些可变规则,应定期检测规则的时效性,有些规则是经常需要更新的。另外还需要保密,尤其是反欺诈规则。
说说策略同学的关键技能。
业务总会不断对策略进行迭代优化,这往往也导致策略体系过于庞杂,怎么样从庞杂的体系中分清轻重缓急是策略同学的核心能力。
如果推倒重来要怎么做?给一家新公司业务做策略顾问你要怎么做?这些都不是照搬现有体系能够解决的。设想下,假如需要你去做风控能力输出,从 0 开始制定一套风控流程。你会怎么做?
决策引擎是一套决策流程,它的要素组成是规则清单和规则被执行的顺序。 前者要求全面且高区分性,后者对成本优化至关重要。
为了使风控输出的规则保持清晰有效,既需要考虑规则变量提取的易行性,又要考虑规则执行的必要性。命中低、难执行、成本高是失败规则的常见特点。重复命中也是策略体系中常见的问题。
规则清单制定完成后,需要动态监控每条规则命中的人数。不同时期激活的规则可能不一样,也就是说,可能其中一部分是激活状态,另一部分是抑制状态。动态调整规则的阈值,以及激活抑制的状态,是很有必要的。
例如,某些月份的逾期相对较高,新增了一些规则,后期监控到这些规则发现其区分能力明显下降,就应该适当取消。
不管是规则还是模型,一定会有很多误杀,但误杀是允许的,因为贷款本金的损失往往是利息收益的几十甚至数百倍。
平衡决策对通过率的影响和对风险的影响,对成本的影响和对收益的影响,是风控策略从业者需要培养的职业嗅觉。
多头借贷在策略上一般作为拒绝维度参与到整个风控流程中。不同机构、不同信贷产品、不同场景,对于多头借贷的拒绝线划分都是不一样的。
如何找到当下最适合的多头借贷拒绝线,是风控策略分析人员工作中的核心任务。
以上,如果我们采用宽松政策,可以将阈值定为大于等于 2 作为拒绝线,这样拒绝率只占 3.2%,被排除的用户坏账率更高。
而如果我们采用严格政策,可以改为大于 0 则拒绝,这样拒绝率增加为 10%,被拒绝的用户相比通过用户仍然显着要高。
这两个规则都是有效的,实际业务中采用什么样的阈值取决于公司的政策。从严 or 从宽。
当然,最顶层的目标是利润最大化。
值得说明的是,多头数据往往覆盖率有限,体现在变量取值上是 0 值占比过高,这个时候便可以考虑取大于 0 的部分来做多头排黑规则。
利用决策树制定更多变量更丰富的交叉组合可以得到更有效的规则。
多头变量除了用于制定强规则直接去拒绝用户外,还以为作为软规则用于客群划分。多头严重或者不严重区分出来后,再结合其他维度的风险评估交叉使用。
国内缺的从来不是策略,而是将策略贯彻的决心与环境。
以上文章来源于thunderbang ,作者雷帅