| 首頁 | | | 資訊中心 | | | 貿(mào)金人物 | | | 政策法規(guī) | | | 考試培訓(xùn) | | | 供求信息 | | | 會(huì)議展覽 | | | 汽車金融 | | | O2O實(shí)踐 | | | CFO商學(xué)院 | | | 紡織服裝 | | | 輕工工藝 | | | 五礦化工 | ||
貿(mào)易 |
| | 貿(mào)易稅政 | | | 供 應(yīng) 鏈 | | | 通關(guān)質(zhì)檢 | | | 物流金融 | | | 標(biāo)準(zhǔn)認(rèn)證 | | | 貿(mào)易風(fēng)險(xiǎn) | | | 貿(mào)金百科 | | | 貿(mào)易知識(shí) | | | 中小企業(yè) | | | 食品土畜 | | | 機(jī)械電子 | | | 醫(yī)藥保健 | ||
金融 |
| | 銀行產(chǎn)品 | | | 貿(mào)易融資 | | | 財(cái)資管理 | | | 國(guó)際結(jié)算 | | | 外匯金融 | | | 信用保險(xiǎn) | | | 期貨金融 | | | 信托投資 | | | 股票理財(cái) | | | 承包勞務(wù) | | | 外商投資 | | | 綜合行業(yè) | ||
推薦 |
| | 財(cái)資管理 | | | 交易銀行 | | | 汽車金融 | | | 貿(mào)易投資 | | | 消費(fèi)金融 | | | 自貿(mào)區(qū)通訊社 | | | 電子雜志 | | | 電子周刊 | ||||||||||
隨著互聯(lián)網(wǎng)黑色產(chǎn)業(yè)的發(fā)展,越來越多的公司開始重視自己的風(fēng)控問題。但重視是一回事,能不能做到又是一回事!
1、風(fēng)控是永恒存在的
不要企圖消滅風(fēng)險(xiǎn),因?yàn)槟鞘遣豢赡艿摹V灰欣娲嬖冢械墓艉蛧L試都不會(huì)停止,無論它有多么的因難,哪怕它是違法的。我們稱之為風(fēng)控問題的未知性和不可控性。雖然你很努力的在防御著,但你的確無法知道下一個(gè)問題在何處,也無法保證有絕對(duì)意義上的安全。
2、服務(wù)于業(yè)務(wù)
有人說,風(fēng)控部門像個(gè)警察,這理解就錯(cuò)了。沒有業(yè)務(wù)的存在,風(fēng)控便毫無價(jià)值。所以,其實(shí)風(fēng)控部門更像一個(gè)保鏢,而你的業(yè)務(wù)部門,就是你的雇主。保護(hù)好他們并讓他們滿意,才是你的職責(zé)所在。不要企圖去阻攔業(yè)務(wù),而是盡可能的幫助他看清問題并提供解決方案。
3、動(dòng)態(tài)平衡
我們無法消滅風(fēng)險(xiǎn)。那么,風(fēng)險(xiǎn)和損失就是一個(gè)動(dòng)態(tài)平衡的過程。平衡好風(fēng)險(xiǎn)和資損,才是我們追求的目標(biāo)。舉個(gè)例子,如果風(fēng)控?cái)r截保護(hù)的資金小于這些訂單帶來的價(jià)值、處理成本或者是用戶流失,那么我們就應(yīng)該考慮是否還需要這么做。當(dāng)然,平衡要考慮的東西越不止這些,你同樣要考慮如果風(fēng)險(xiǎn)發(fā)生了對(duì)公司的聲譽(yù)影響,用戶感受以及你的合作方對(duì)你的壓力。總之,平衡是風(fēng)控的第一要素。
4、積累數(shù)據(jù)
在今天,幾乎所有的人都知道大數(shù)據(jù),而風(fēng)控的基本做法,就是通過數(shù)據(jù)來展現(xiàn)異常。所以在你沒有數(shù)據(jù)的時(shí)候,你將寸步難行。因此現(xiàn)在非常流行大數(shù)據(jù)風(fēng)控,風(fēng)控?cái)?shù)據(jù)它的龐大超過你的想像。我在這里要強(qiáng)調(diào)的是,你要積累的是所有的,盡可能多的細(xì)節(jié)數(shù)據(jù),因?yàn)榇蟛糠謺r(shí)候你無法知道這些數(shù)據(jù)你將用在什么地方。例如,早些時(shí)候,大部分的網(wǎng)站更關(guān)心登錄成功的數(shù)據(jù),而沒有對(duì)失敗的詳細(xì)原因做記錄。那么,你就無法對(duì)機(jī)器人攻擊(圖片驗(yàn)證碼失敗)、掃號(hào)撞庫(kù)(賬戶密碼失敗及賬號(hào)驗(yàn)證)以及自然失敗做區(qū)分。同時(shí),積累數(shù)據(jù)的另一層含義是“創(chuàng)造”數(shù)據(jù)。你需要盡可能早的對(duì)你需要的數(shù)據(jù)做埋點(diǎn)、采集以及加工處理。比如你想知道的一個(gè)人的常用地,它就涉及數(shù)據(jù)的采集(IP或者坐標(biāo)),數(shù)據(jù)的處理(計(jì)算可信位置),加工(對(duì)應(yīng)IP解析地并處理IP解析的正確性)等等。
5、木桶原理
你的風(fēng)控水平取決于你防御體系最薄弱的環(huán)節(jié)。如果你發(fā)現(xiàn)了一個(gè)明顯會(huì)被利用的漏洞或者缺陷并且是你無法控制或者承受的,都應(yīng)該盡快的修補(bǔ)它,否則你將承受比你評(píng)估時(shí)還要多的損失。相信我,漏洞被發(fā)現(xiàn)的速度遠(yuǎn)高于你的想像。基于這個(gè)事實(shí),你應(yīng)該在你監(jiān)控最薄弱的環(huán)節(jié)多加監(jiān)控,了解你現(xiàn)在的處境和狀況以便于你做出正確的判斷。
6、引流原則
由于風(fēng)控問題本身的未知性,所以盡量將問題暴露在自己已知的范圍下。簡(jiǎn)單的說,攻擊者引到自己知道的場(chǎng)景下并給予適當(dāng)?shù)膿p失做為風(fēng)控的基礎(chǔ)成本。比如,在某一風(fēng)控策略下,并不是完全將符合條件的攻擊攔截,而是隨機(jī)做1%的放行,或者,將價(jià)值超過50元的才做攔截。這樣做的好處是顯而易見的,在雙方都處于黑盒的情況下,可以盡可能保護(hù)到自己未知的問題,以避免出現(xiàn)攻擊者全力研究新漏洞造成的不可控制的突然一擊。減少問題,同時(shí)注意不要去創(chuàng)造新的問題。當(dāng)然,這本身取決于風(fēng)控?fù)p失的承受能力,如果這個(gè)漏洞你無法做到50元以上的都攔截(沒有對(duì)這個(gè)問題有“控制力”)那么就應(yīng)該盡可能的完全修復(fù)這個(gè)問題。
7、用戶體驗(yàn)
風(fēng)控不可回避的一個(gè)問題是用戶體驗(yàn),也就是在風(fēng)險(xiǎn)識(shí)別后處理決策時(shí)要面對(duì)的問題。無論是短信校驗(yàn),或者是要求驗(yàn)證各種各樣的密碼、身份識(shí)別問題,都是用戶體驗(yàn)的傷害。更可怕的是,每中斷一個(gè)環(huán)節(jié),就會(huì)流失大量的用戶。比如,每校驗(yàn)一次短信,就會(huì)流失30%的用戶。所以,站在大部分正常用戶的角度思考問題,減少用戶本身的思考,提高風(fēng)控的識(shí)別能力,盡量的對(duì)有把握的再做處理,會(huì)讓你的業(yè)務(wù)和風(fēng)險(xiǎn)控制都獲利。
8、安全感
用戶體驗(yàn)是很奇怪的東西。驗(yàn)證短信打擾他了他會(huì)煩惱,但如果他嘗試支付1萬元時(shí)你沒有給他發(fā)個(gè)驗(yàn)證短信,他也一樣會(huì)很苦惱。安全感本身特別的重要,在自助處理問題的場(chǎng)景下,安全感才是用戶最關(guān)心的問題。比如手機(jī)客戶端上,如果短信驗(yàn)證碼就能找回密碼,用戶就會(huì)質(zhì)問手機(jī)丟失的場(chǎng)景下的安全性。這就是一個(gè)典型的安全感的場(chǎng)景。盡量的營(yíng)造適當(dāng)場(chǎng)景下的安全感,有助于你的用戶配合支撐你的各種安全策略。
9、忽略用戶的智商
在風(fēng)控問題上,請(qǐng)相信絕大部分用戶都沒有安全意識(shí)。他們既不知道個(gè)人信息的重要性,也不知道密碼設(shè)成什么好,更不知道為什么他的賬戶就受到了攻擊,或者想?yún)⒓右粋€(gè)活動(dòng)受到了舉辦方的各種限制。請(qǐng)一定多走幾步,幫用戶設(shè)想好更種可能出現(xiàn)的狀況,并對(duì)風(fēng)控做評(píng)估,制定合適的策略。比如現(xiàn)在被廣泛應(yīng)用于賬戶安全中的二步驗(yàn)證(短信驗(yàn)證),至少要考慮到如下問題:短信收不到怎么辦、短信時(shí)效性如何設(shè)置、驗(yàn)證碼長(zhǎng)度多少合適、什么情況下才能變更驗(yàn)證手機(jī)、短信驗(yàn)證碼是否存在泄漏/劫持/被釣魚的風(fēng)險(xiǎn)、手機(jī)當(dāng)前狀態(tài)下是否持有在本人手中等等。用戶往往很單純,請(qǐng)保護(hù)好他們單純的心。
10、對(duì)抗性
風(fēng)控最有的意思的地方,在于它是一個(gè)對(duì)抗性的工作。一旦你做了防御,敵人便會(huì)放棄進(jìn)攻(沒有人會(huì)在明知會(huì)觸犯風(fēng)控?cái)r截的情況下無謂的嘗試同樣的方法浪費(fèi)手中資源)。所以,整體的風(fēng)控策略、規(guī)則、模型都需要不斷的調(diào)整,來應(yīng)對(duì)這樣的對(duì)抗情況。比如我們根據(jù)歷史的CASE發(fā)現(xiàn)穿紅色衣服敲門的都是壞人,所以我們對(duì)穿紅色衣服的人都加強(qiáng)了檢查。那么壞人也會(huì)在一段時(shí)間后發(fā)現(xiàn)我們的策略而穿上黑衣服。這個(gè)時(shí)候,我們找到的穿紅衣服的人,好人的比例就會(huì)不斷的上升而幾乎抓不到壞人了。這就是對(duì)抗性帶來的規(guī)則準(zhǔn)確率下降。因此,不斷的監(jiān)控我們的數(shù)據(jù)并及時(shí)回顧,是一項(xiàng)基本的風(fēng)控工作。同時(shí),對(duì)抗性還要求我們對(duì)風(fēng)控的策略有健壯性。還是上面的例子,單一性狀或者簡(jiǎn)單條件的規(guī)則,對(duì)于臨時(shí)的防控會(huì)很有效,但維持的時(shí)間通常都很短,需要不斷的調(diào)整。所以我們需要盡可能多的組合條件,減少策略被發(fā)現(xiàn)的可能。
做一名優(yōu)秀的從業(yè)人員必須要知道風(fēng)控在每個(gè)企業(yè)的定義是不一樣的。總體來說,有一些共性的東西可能也是需要注意的,在我個(gè)人看來,“風(fēng)控”至少應(yīng)當(dāng)是包括以下三個(gè)部份:法務(wù)、財(cái)務(wù)、咨詢。
1、對(duì)行業(yè)和企業(yè)業(yè)務(wù)的理解
做風(fēng)控,首先要識(shí)別風(fēng)險(xiǎn)。風(fēng)險(xiǎn)從哪兒來?有業(yè)務(wù)就有風(fēng)險(xiǎn)。因此,如果對(duì)企業(yè)所處的行業(yè)、對(duì)企業(yè)自身的業(yè)務(wù)理解不夠深入的話,風(fēng)險(xiǎn)的識(shí)別自然就不到位。舉一個(gè)例:同樣是大宗商品貿(mào)易類企業(yè),一個(gè)是做鐵礦石貿(mào)易的,另一個(gè)是做糧油貿(mào)易的,二者的庫(kù)存風(fēng)險(xiǎn)一致么?就算是有相同的風(fēng)險(xiǎn)點(diǎn),例如庫(kù)存貨物損毀滅失的風(fēng)險(xiǎn),但可以考慮采用的控制措施也是不同的。即使同樣是做快餐,麥當(dāng)勞和肯德基也不一樣。
2、和業(yè)務(wù)部門的關(guān)系
不管在企業(yè)內(nèi)部做風(fēng)控還是作為咨詢公司做風(fēng)控,和業(yè)務(wù)部門的關(guān)系也是一只看不見的手。如果業(yè)務(wù)部門真心理解風(fēng)控能為企業(yè)帶來價(jià)值,能給他們帶來價(jià)值,那么比較容易讓你了解到實(shí)際情況。了解到真實(shí)問題之后匯報(bào)給高級(jí)管理層又確實(shí)真能起到作用,這樣才是風(fēng)控最好的狀態(tài)。企業(yè)內(nèi)部也一樣,同是部門總經(jīng)理,業(yè)務(wù)部門總經(jīng)理經(jīng)常自認(rèn)為比風(fēng)控總經(jīng)理要高半個(gè)頭,而且認(rèn)為自己站在業(yè)務(wù)一線,最了解業(yè)務(wù),最了解風(fēng)險(xiǎn),要你風(fēng)控寫寫報(bào)告何用?風(fēng)控要開展工作,心情好且有時(shí)間配合一下,心情不好或沒空壓著不干你又不能怎樣。
3、風(fēng)控技術(shù)和視野
風(fēng)控技術(shù),沒兩把刷子誰鳥你啊。視野卻決定了風(fēng)控的高低。風(fēng)控通常不是作為一個(gè)業(yè)務(wù)領(lǐng)域向老板負(fù)責(zé),而是要站到企業(yè)整體的角度看問題。除了會(huì)識(shí)別、評(píng)估、分析、計(jì)量、處置風(fēng)險(xiǎn),除了知道流程、控制點(diǎn)、控制性質(zhì)、執(zhí)行人、認(rèn)定、測(cè)試步驟等等之外,更要有企業(yè)整體或負(fù)責(zé)人的視野去看待這些風(fēng)險(xiǎn)與控制,會(huì)不會(huì)給高管層講明白這些KRI變化背后的意義及為什么需要采取行動(dòng)。
律師事務(wù)所涉及到企業(yè)風(fēng)控的主要是以下幾點(diǎn)。公司法務(wù)日常的工作也主要是這些,但他們的活兒的質(zhì)量比律所的就要低一些(客觀事實(shí)):
1.為企業(yè)日常經(jīng)營(yíng)管理提供法律咨詢和建議;
2.對(duì)業(yè)務(wù)經(jīng)營(yíng)模式的合法性進(jìn)行研究,并提出切實(shí)可行的改進(jìn)建議;
3.對(duì)企業(yè)的管理制度等進(jìn)行規(guī)范,加以改進(jìn);
4.為企業(yè)修改各種合同(包括一線業(yè)務(wù)部門使用的格式合同以及重大交易使用的一次性合同)并出具相關(guān)各種法律文書(包括律師函、法律意見書等);
5.就企業(yè)擬進(jìn)行的重大項(xiàng)目進(jìn)行盡職調(diào)查,出具調(diào)查報(bào)告;
6.列席會(huì)議,參與談判;
7.培訓(xùn)、指導(dǎo)企業(yè)工作人員。
除上述幾點(diǎn)之外,企業(yè)法務(wù)通常還要兼做一些行政事務(wù)性工作、日常雜活兒、上傳下達(dá)等等。但在風(fēng)險(xiǎn)控制這一點(diǎn)上,律師和法務(wù)的工作目標(biāo)是一致的。能否高質(zhì)量地完成上述工作,就是判斷該人是否是一個(gè)優(yōu)秀的律師/法務(wù)的標(biāo)準(zhǔn)。
高質(zhì)量完成上述工作的必要條件:
一、對(duì)行業(yè)和企業(yè)業(yè)務(wù)的深刻理解
對(duì)這個(gè)行業(yè)缺乏了解的話肯定做不好風(fēng)控,因?yàn)槟氵B哪里會(huì)有風(fēng)險(xiǎn)、會(huì)有什么樣的風(fēng)險(xiǎn)都不清楚。
二、對(duì)現(xiàn)有法律、法規(guī)、政策的精通
律師、法務(wù)都是靠法律吃飯的,對(duì)法律不熟那就真的是對(duì)不起自己的飯碗了。
三、與企業(yè)管理層的良好關(guān)系
依靠良好的專業(yè)素養(yǎng)和可靠的品行,贏得管理層的信任,之后意見才有可能被重視、被采納。
四、隨時(shí)留有后招
風(fēng)控是“控制”而非“消滅”風(fēng)險(xiǎn)。如果風(fēng)險(xiǎn)消滅了,那么業(yè)務(wù)、利潤(rùn)也沒了。擺不正這個(gè)心態(tài),那一線業(yè)務(wù)部門首先就不會(huì)鳥你。所謂的控制風(fēng)險(xiǎn),說白了就是判斷“如果出事兒了能不能善后”,只要能善后,不會(huì)砸場(chǎng),那么這事兒原則上就是可以做的。風(fēng)控要做的事就是在細(xì)節(jié)部分完善一下,確保一旦真出了事兒能收?qǐng)觯蚈K了。當(dāng)然,提前要跟老板匯報(bào)風(fēng)險(xiǎn),這樣出了事兒不能賴風(fēng)控,事后也要能搞定,這樣業(yè)務(wù)部門也會(huì)感激你。
來源:注冊(cè)風(fēng)險(xiǎn)管理師
