作为一个互金的产品经理,本文能帮助你更好的熟悉互金平台的各种风控需求,你甚至拿来就可以用。同时,作为运营、技术和风控,它能帮你站在各自角度更好的理解风控。文章提到的各种方案并不是一定非得实施,但了解这些能让产品人员知道哪些地方需要进行风控,且牢固树立风控意识,做到处变不惊。
1 风控的定义
首先了解两个概念:风险管理和风险控制。
风险管理:是指如何在项目或者企业在一定的风险的环境里,把风险减至最低的管理过程。它的基本程序包括风险识别、风险估测、风险评价、风险控制和风险管理效果评价等环节。
风险控制:是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失。所以其实风险控制是风险管理中的一个环节。风控是风险控制的简称。
(风险管理流程)
在互金行业,风控的内涵非常宽广,包含了对所有可能风险事件的控制,涉及人员操作风险、业务操作风险、技术操作风险和外部事件带来的风险。本文所阐述的风控并不是把所有风险相关的知识都囊括其中,比如指定公司内部各种规范以防范风险事件发生。本文侧重业务上和技术上风险控制讨论。
2 风控应用场景
废话少说,那么风控在什么地方能用到呢?按照其定义,风控被运用到互金的各个地方,主要包括信贷中的个人信贷与小微企业信贷、投资过程中的风险控制、平台资金安全、平台技术安全、用户资金安全、用户账户安全、推广运营活动等环节。通俗来说,风控用于还款能力、还款意愿的判断,反欺诈反作弊反薅羊毛,防止外部对内部系统的攻击,防范平台和用户的资金出现问题等等。
从行业维度来看,风控运用于互金行业中的消费金融、供应链金融、信用借贷、理财平台、P2P、大数据征信、第三方支付(第四方聚合支付)等各细分领域,同时还可用于电商、游戏、社交等“传统”互联网公司。甚至可以说,任何互联网公司都需要风控。
(风控应用场景)
当然,互金行业的风控不只是一上来就各种数据,各种算法建模,各种风险评估。实际上,用户的账户、投资支付等环节往往存在着各种风险,了解这部分也非常重要。本文是互联网金融风控基础知识的第一篇,主要阐述用户账户安全、投资支付安全以及推广运营种的风险控制。
3 用户账户安全
较于互联网其他行业,互联网金融产品的账号与资金安全显得尤为重要。若用户遭受经济损失,则平台的利益与口碑可能双输。基于此,互联网金融产品(无论是移动端还是Web端),均采取各种措施来保护用户帐号资金安全。对于互金平台,用户体验和安全永远是鱼和熊掌,在保证安全的前提下提高用户体验。在产品设计与后台开发的时候,应事前预计各种情况并给出解决产品层面和技术层面的方案。
用户账户安全涉及到木马植入,暴力破解密码,拖库撞库、虚假注册、短信轰炸、手机丢失等行为。在注册登录验证码发送等场景下均可能出现各种问题。
3.1 注册行为
- 建立注册手机号黑名单。在注册时就进行控制。此处可采用第三方风控平台建立的号码黑名单。
- 实名认证。通过直接实名认证或者银行卡绑定完成注册后的实名认证,增加平台对用户的了解。当然,按照监管要求,所有投资借贷支付均需实名认证。
3.2 短信验证码
互金平台可能遇到的情况包括垃圾注册,调用短信接口进行轰炸,干扰了正常的短信下发且大量消耗短信服务费。黑客可通过抓包的形式,获取短信接口,并通过代理IP,采用不同的手机号,源源不断的请求短信接口。本人所在的项目就遇到过类似的情况。防止措施包括:
- 产品层面采用图形验证:在用户注册时,为了识别出机器人注册,需输入验证码或者拖动滑条等方式。
- IP地址和手机号码地理位置映射:IP地址和手机号码本身携带着地理位置属性,通过建立GEO-IP库和手机号码归属地库映射,从而判断出风险。
- 请求限制:同一IP请求短信接口达到一定次数(例如5次)则限制该IP请求24小时。单个手机号码60s只能请求1次短信接口,1小时内至多请求3次,24小时内至多请求5次。
- 短信预警:通过评估平台短信业务量,帐号开设日发送上限,限定每天最大发送额度,超出一定限度则提醒相关人员。
3.3 登录行为
- 判定用户是否在常驻地登录。建立地理栅栏,若用户当前登录地与用户号码归属地、常驻地存在差异,通过下发短信通知用户。
- 移动端采用Touch ID、图形绘制进入app。为了让用户获取更高的安全保障,在用户完成注册行为后就立马启用Touch ID、图形绘制,也可以在用户完成充值投资后立马提示用户。
- 修改密码等场景下,需要输入原始密码并进行短信验证。(但此处存在一个悖论,我就是因为不知道原密码才来改密码的啊……请慎重)
- 常用设备登录。普通用户常用设备为1台,多则两台。每台设备均对应特定的型号,若用户账号与最近登录设备不一致,通过下发短信告知用户。
- 登录连续输入密码错误5次,则限制该账号24小时不能登录。
以上关于登录注册的风险控制,并非要全部都做,也不是做完了所有的功能就安全了。需要开发能力开发优先级进行评估,同时产品经理需要梳理好各个功能的关系,防止出现无解的情况。
4 投资风控
对于理财类平台,在相同的量级下用户往往追捧高收益。在某些理财平台,热门高收益的理财产品一开标就被秒光的情况很常见。此时一些会技术的用户会利用脚本进行作弊,以达到秒标的目的。因此这些热门平台存在一标难求的情况,占用了其他用户的资源。为了防止这类问题:
- 程序识别自动投标。程序自动投标有以下特征,单个用户的投标操作频繁,对相应页面(接口)的在1分钟内大于10次,且在开标时间点之前就已经频繁请求。平台可以根据情况设定阈值,进行识别。通过撰写相应的脚本识别出这类用户,据规则将涉及自动投资的账户交给运营处理。
- 产品层面增加投资过程难度。如机器投标的情形非常猖獗,对平台造成了很大的影响,则应考虑牺牲用户体验而增加投资难度。与注册行为类似,在投资流程中增加滑动验证码、计算题、辨别倒立的汉字等等(例如淘宝在秒杀活动中加入了计算题,四字成语的首字母)。
5 推广运营风控
随着互联网不断发展,获客成本很高。而互联网金融获取一个投资用户的成本在几百元。在竞争日趋激烈的互金行业,特别是理财类产品,产品要获客需要去不同的平台推广以获取目标用户。但某些平台为了业绩,营造流量很大的氛围,通过虚拟机+代理IP点击广告。同时,某些渠道通过购买用户信息,机器模拟注册,甚至完成实名认证和甚至银行卡验证。对此,消耗了推广费用却没有获得真正的用户。
在互联网中,有一群人称为“羊毛党“,各种信用卡的,赚取积分各种奖品优惠券。哪里有红包哪里就有他们的身影。他们是真实用户,但他们来平台的目的不是参加活动或者投资,这些人不能成为平台用户,且占用消耗了平台资源。
反作弊措施:
5.1 建立完善内部系统“黑名单”(“灰名单”)
通过自己或者通过第三方,建立羊毛党用户的“黑名单”(“灰名单”)。这类用户的特点是,平时不活跃,在平台有推广活动有红包优惠时,表现比较活跃。通过分析用户行为,建立羊毛党用户的“黑名单”。不过建立这样的名单是一项长期的过程。
5.2 推广效果监控系统
在通过渠道推广之前,谨慎考虑每个渠道的用户质量与渠道本身的口碑。如不能确定推广渠道的优劣,前期可以小部分投放推广。大量投放之前,运营团队与产品、技术团队一道,搭建市场推广效果监控系统。在活动页面埋点,监测页面UV、PV量。同时监控不同渠道的注册转化率、投资转化率、投资额度等关键指标。差的渠道,注册转化率,投资比例都会很低。这样不同的渠道优劣很容易就区分开来。
5.3 电话回访
通过“人肉”的方法判定渠道的优劣。在不同的渠道随机抽取用户播放回访电话,并询问用户在哪里看到当前的产品的,同时对用户做一个产品体验调查。重点关注用户所在的区域,用户的年龄性别职业等信息,与目标用户的特征进行比较。笔者所在的项目遇到过,在试推广阶段发现某个渠道的注册手机号多来自广东,果断弃之。
5.4 建立自动预警机制
首先,辨别作弊者的行为特征,然后量化这种行为。再通过撰写特定的脚本识别出这种行为,识别后自动告知运营人员。最后可将这些用户加入系统的“黑名单“(“灰名单“)。采用这种“机器+人工”方式可以有效帮助运营对抗羊毛党。比如,在短时间内(1个小时内),5个或更多用户被同一个人邀请,完成了登录注册和投资,但平均投资额度很低(<10元)。这样的用户肯定存疑。类似的规则需要不断新增与完善。
本文是互联网金融风控基础知识的第二篇,主要阐述资金安全、平台技术安全、借贷风控以及对应的数据获取方式。
6 资金安全
资金安全可分为两个维度,一是用户个人的资金安全,二是平台的资金安全。
1.1 用户个人资金安全
“人命大于天”,那么用户的资金安全对于互金平台来说大于天。账号可以被盗,但是用户的钱不能丢。用户可能因为采用了与其他地方相同的账号密码导致撞库,也可能出现手机遗失等问题。对于个人资金安全,风控措施包括:
1)引入交易密码。投资转账提现、修改密码等场景下需要采用二次验证交易密码。但若采用了交易密码功能,当用户在设置交易密码时,要警示用户不能与登录密码一致。“交易密码”+“短信验证码”可进一步提交安全性。值得注意的是,在产品设计过程中,用户的登录行为+资金操作行为的各项风控措施是有机的结合在一起的。
2)同卡进出。若平台没有个人统一平台(即所谓的充值提现中心),采用绑定银行卡直接投资,资金到期后,只能从该卡提现。另外当用户在更换绑定的银行卡时,需要进行严格的(人工)审核。
3)提现审核。根据平台自身业务要求不同,有些平台提现只需系统自动审核,有些平台提现需要人工审核,或是二者相结合。用户发起提现请求后,经风控系统判断是否有资金风险。提现审核的要点在于与过去的基本行为特征一致。比如用户在常驻地,采用的是常用的设备等等。
1.2 平台资金安全
平台资金安全有多个层次,首先是流动性风险,其次是平台本身可能存在的跑路情况,导致平台资金链断裂。
流动性风险是指金融机构(如商业银行)无法提供足额资金来应付资产增加需求,或履行到期债务的相关风险。流动性风险主要是由资产和负债的差额及期限的不匹配所引起的。某些P2P将项目拆分为更短期限或更小金额的标的(俗称拆标错配),一旦平台无力及时偿还或出现突发事件时,就可能出现“一根稻草压死骆驼”的情况。另外,当平台遭遇突发事件或者信任危机时,或者互金相关行业遭遇意外事件波及各个平台,短时间内将会面临大规模的提现请求。提现挤兑将对平台的资金以及网络带来很大负担。风控措施如下:
1)风险准备金。风险备用金指专门用于在一定限额内补偿由于借款人违约而使得出借人遭受本金及利息损失的资金,一般平台会先出一大部分,然后抽取借款人与出借人的服务费注入。为充分保障资金的流动性,平台应从借款中提取一定比例的资金作为风险准备金。
2)提现限制。那么针对短时间挤兑的风险点,平台应限制单个用户提现次数与金额上限(比如一天最多三次,单日提现最高金额为20万元),从而缓解用户在短时间内大量提现的压力。当然,某些银行卡本身也存在着投资提现额度上限。
3)银行托管。过去很多P2P公司吸收了用户的钱,将其整合到一起形成了自有的资金池。按照监管部门的要求,从2016年起,所有的P2P平台定位是信息中介,不能存钱。所有的钱必须存管于银行,存管银行对于平台资金进行全程监管。用户投资完成后,信息平台为每个用户在银行开具一个独立的存管账户。用户与平台的每一笔交易资金均通过银行审核。企业无法触碰资金,以防资金挪用,企业跑路。
7 平台技术安全
此处主要涉及技术方面的内容,但产品经理要懂得对应的概念。平台技术安全、数据安全是资金安全的基础。
2.1 信息传输
采用https加密传输,从而保障用户信息和交易数据真实、安全、私密。(iOS要求2017年后,所有新上架的app必须采用https加密传输)
2.2 数据备份
用户的各类信息数据以及平台交易数据,是互金平台赖以生存的财富。所以数据的安全非常重要。风控措施包括敏感数据全加密存储、异地存储多份等。
2.3 运维监测
产品团队、运营团队与运维团队一道,建立监控方案,对平台各个关键点与关键处全天候7*24小时不间断监控管理,并根据监控结果划分不同的等级,采取不同的处理措施。
请输入标题
8 借贷风控
上文讲了用户的账户安全、投资、推广运营、资金安全、平台技术安全等场景下的风控措施。在互联网金融中还存在一种非常重要的商业模式——借贷。按照借贷的实体分为贷款(现金)与贷物(消费金融),按照借贷的主体又分为个人借贷与企业借贷。针对借贷的风控别人用了一本书才讲完这个问题。本文则为了简化问题,特指针对个人的现金贷款。
个人借贷分为个人抵押贷款与个人信用贷款。个人抵押贷款利用房产、汽车、商铺等固定资产进行抵押,比如微贷网专门做汽车抵押贷款这一垂直领域。个人消费信贷则覆盖银行贷款所未覆盖到的“长尾”用户,通过大数据分析用户的还款能 力与还款意愿。因此,针对个人借贷的风控显得异常重要。
(个人借贷流程)
一个用户借贷的完整流程是:用户提交借贷申请-平台审批资料-平台授信-发放贷款-用户偿还贷款-(逾期管理)-完成贷款偿还。
3.1 审核环节
根据审核模式,可分为纯线上风控和“线下”+“线上”风控模式。比如蚂蚁金服的“借呗”,通过建立自己的征信系统——芝麻信用,这是一种纯系统完成的审核模式。而有些平台需要人工进行审核。
进行基本信贷政策的核查,主要是审核用户提交的申请信息的真实性,包括基本情况、工作情况、借贷情况、担保情况以及还款情况,如下图。
(个人借贷审核内容)
系统会审核剔除不符合基本信贷政策要求的客户,例如有严重不良征集记录的,内部已经有违约记录的,或者近期有较大风险被纳入关联黑名单的,不符合监管政策要求的客户。经过系统基本审查后,再进入人工审核。审核通过进入下一环节。
审核的关键点在于各种信息之间的逻辑校验。与登录行为一样,欺诈客户由于通过自行伪造或者挪用别人的信息,在申报的相关信息中存在不符合常理的情况。比如批量伪造提交信息的IP和地理位置均一样。
3.2 授信环节
借贷平台都有自己的用户授信模型。当完成了对用户的资料审核后,进入授信环节。不同类型的借款申请调用不同的信用评分规则引擎。最后通过特定模型转化为个人授信评分数据。当然,整个风控的关键点在于授信的模型的优劣,在于数据维度的多样性,在于风险的定价。产品经理应与风控人员一道致力于搭建更好的风控模型。
3.3 贷后存量客户风控
不要以为截止目前,某个用户借款后按期还款就万事大吉,针对存量用户的风控也尤为重要。关注点在于存量客户授信调整。通过第三方平台发现该用户在其他平台存在逾期行为,则应调整该用户在当前平台的授信。
同时关注当前借贷用户中是否发生早期逾期,连续多期不还欠款、联系方式失效等。存量客户中是否有与新增的黑名单、灰名单数据匹配。
3.4 贷后逾期客户风控
用户借贷后逾期后,平台肯定不能坐以待毙,白白浪费借出的资金。这个环节需要重新评估用户的还款意愿与还款能力,进而采取对应的催收措施。
催收手段包括电话催收、外放催收、委外催收以及诉讼催收。一般来说,若借贷用户出现逾期,开始是比较温和的手段,若用户继续逾期,则考虑采用第三方催收团队。
但同时不同客户对于不同的催收手段有不同的反应。比如学生会更加在意自己在学校的形象,通过网络公示的手段有一定的效果。而对于一个几乎无上网记录的客户,采取外访催收更有效果。
9 数据获取
前面提高,借贷风控需要搭建风控模型。而模型存在的基础在于数据。虽然用户在申请借贷时会向平台提高一些数据和信息,但这些信息对于构建一个用户的征信评价模型还远远不够。因此我们面临的问题是如何获取更多更优质的数据来对一个用户建立征信评价。
4.1 数据稀缺的原因
数据稀缺有很多原因,但是主要存在以下3个原因:
1)基础数据的缺乏。银行征信能覆盖到近3亿人,有好几亿人口无法覆盖到的。原因是对这部分人的基础数据基本没有。
2)有效数据缺乏积累。从全国来看,只有大公司(BAT)等少数公司经过长时间发展,积累了用户的电商购物、社交数据,而中小型公司从时间维度与体量上无法达到很大的数据量积累。
3)数据孤岛。各政府部门,各大小企业之间均有各自的数据,但相互之间缺乏有效的数据沟通,造成数据孤岛,这个问题短时间无解。
4.2 数据获取维度
获取单个用户的有效信息越多越好。这些信息包括身份数据,交易数据、信用数据及各类行为数据。
1)身份数据。实名认证信息(姓名、身份证号、手机号、银行卡、单位、职位)、行业、家庭住址、单位地址、关系圈等等。
2)用户的交易数据/支付数据。例如B2C/B2B/C2C电商平台的交易数据,P2P平台的借款、投资的交易数据等。
3)信用数据。例如P2P平台借款、还款等行为累积形成的信用数据,电商平台根据交易行为形成的信用数据及信用分(京东白条、支付宝花呗),SNS平台的信用数据。
4)行为数据。例如电商的购买行为、互动行为、实名认证行为(例如类似新浪微博单位认证及好友认证)、修改资料(例如修改家庭及单位住址,通过更换频率来确认职业稳定性)。比如在芝麻信用中,一个人五年都使用同一个号码,相比一个人每年都换号码,前者更可靠。
5)黑名单/白名单。信用卡黑名单、账户白名单等,法院的欠款人名单等。
4.3 可能的数据获取方式
以API接口、网络爬虫、批量购买、设备抓取、用户提交等形式获得的数据
1)用户提交。为了鼓励用户提交更多的人个资,绑定社交帐号,互金平台可以采用积分奖励政策。用户个人资料提交越完整,获得的积分越多。甚至填写完整可获取现金红包奖励等。
2)批量购买。好的数据都在别人家。比如通讯数据,电商平台的交易数据,这些数据都非常的珍贵,无法从其他渠道获取。因此可与对应的企业合作购买此类数据。
3)API接口。当前很多API聚合网站提交多种数据API,比如百度APIstore,数据堂等。
4)网络爬虫。太阳下无新鲜事,网络中无隐私。知道了用户的账号、手机号、社交资料等信息后,可通过网络爬虫获取对应用户的信息。虽然这种行为比较流氓,但是比较有效。
PS:以上内容若有不对的地方,还请大家不吝批评并不断完善!本文参考了《P2P网贷》、《互联网信贷风险与大数据》等书的观点,在此统一表示感谢。如果你喜欢的话就请收藏并点赞。