如何成为一名优秀的风控从业人员

如何成为⼀名优秀的风控从业⼈员
| 看得越多想看更多 |
| 中国最专业的信贷风控与⼤数据公众号 |
了解风控
1风控是永恒存在的
不要企图消灭风险，因为那是不可能的。

只要有利益存在，所有的攻击和尝试都不会停⽌，⽆论它有多么的因难，哪怕它是违法的。

我们称之为风控问题的未知性和不可控性。

虽然你很努⼒的在防御着，但你的确⽆法知道下⼀个问题在何处，也⽆法保证有绝对意义上的安全。

2服务于业务
有⼈说，风控部门像个警察，这理解就错了。

没有业务的存在，风控便毫⽆价值。

所以，其实风控部门更像⼀个保镖，⽽你的业务部门，就是你的雇主。

保护好他们并让他们满意，才是你的职责所在。

不要企图去阻拦业务，⽽是尽可能的帮助他看清问题并提供解决⽅案。

3动态平衡
我们⽆法消灭风险。

那么，风险和损失就是⼀个动态平衡的过程。

平衡好风险和资损，才是我们追求的⽬标。

举个例⼦，如果风控拦截保护的资⾦⼩于这些订单带来的价值、处理成本或者是⽤户流失，那么我们就应该考虑是否还需要这么做。

当然，平衡要考虑的东西越不⽌这些，你同样要考虑如果风险发⽣了对公司的声誉影响，⽤户感受以及你的合作⽅对你的压⼒。

总之，平衡是风控的第⼀要素。

4积累数据
在今天，⼏乎所有的⼈都知道⼤数据，⽽风控的基本做法，就是通过数据来展现异常。

所以在你没有数据的时候，你将⼨步难⾏。

因此现在⾮常流⾏⼤数据风控，风控数据它的庞⼤超过你的想像。

我在这⾥要强调的是，你要积累的是所有的，尽可能多的细节数据，因为⼤部分时候你⽆法知道这些数据你将⽤在什么地⽅。

例如，早些时候，⼤部分的⽹站更关⼼登录成功的数据，⽽没有对失败的详细原因做记录。

那么，你就⽆法对机器⼈攻击（图⽚验证码失败）、扫号撞库（账户密码失败及账号验证）以及⾃然失败做区分。

同时，积累数据的另⼀层含义是“创造”数据。

你需要尽可能早的对你需要的数据做埋点、采集以及加⼯处理。

⽐如你想知道的⼀个⼈的常⽤地，它就涉及数据的采集（IP或者坐标），数据的处理（计算可信位置），加⼯（对应IP解析地并处理IP解析的正确性）等等。

5⽊桶原理
你的风控⽔平取决于你防御体系最薄弱的环节。

如果你发现了⼀个明显会被利⽤的漏洞或者缺陷并且是你⽆法控制或者承受的，都应该尽快的修补它，否则你将承受⽐你评估时还要多的损失。

相信我，漏洞被发现的速度远⾼于你的想像。

基于这个事实，你应该在你监控最薄弱的环节多加监控，了解你现在的处境和状况以便于你做出正确的判断。

6引流原则
由于风控问题本⾝的未知性，所以尽量将问题暴露在⾃⼰已知的范围下。

简单的说，攻击者引到⾃⼰知道的场景下并给予适当的损失做为风控的基础成本。

⽐如，在某⼀风控策略下，并不是完全将符合条件的攻击拦截，⽽是随机做1%的放⾏，或者，将价值超过50元的才做拦截。

这样做的好处是显⽽易见的，在双⽅都处于⿊盒的情况下，可以尽可能保护到⾃⼰未知的问题，以避免出现攻击者全⼒研究新漏洞造成的不可控制的突然⼀击。

减少问题，同时注意不要去创
造新的问题。

当然，这本⾝取决于风控损失的承受能⼒，如果这个漏洞你⽆法做到50元以上的都拦截（没有对这个问题有“控制⼒”）那么就应该尽可能的完全修复这个问题。

7⽤户体验
风控不可回避的⼀个问题是⽤户体验，也就是在风险识别后处理决策时要⾯对的问题。

⽆论是短信校验，或者是要求验证各种各样的密码、⾝份识别问题，都是⽤户体验的伤害。

更可怕的是，每中断⼀个环节，就会流失⼤量的⽤户。

⽐如，每校验⼀次短信，就会流失30%的⽤户。

所以，站在⼤部分正常⽤户的⾓度思考问题，减少⽤户本⾝的思考，提⾼风控的识别能⼒，尽量的对有把握的再做处理，会让你的业务和风险控制都获利。

8安全感
⽤户体验是很奇怪的东西。

验证短信打扰他了他会烦恼，但如果他尝试⽀付1万元时你没有给他发个验证短信，他也⼀样会很苦恼。

安全感本⾝特别的重要，在⾃助处理问题的场景下，安全感才是⽤户最关⼼的问题。

⽐如⼿机客户端上，如果短信验证码就能找回密码，⽤户就会质问⼿机丢失的场景下的安全性。

这就是⼀个典型的安全感的场景。

尽量的营造适当场景下的安全感，有助于你的⽤户配合⽀撑你的各种安全策略。

9忽略⽤户的智商
在风控问题上，请相信绝⼤部分⽤户都没有安全意识。

他们既不知道个⼈信息的重要性，也不知道密码设成什么好，更不知道为什么他的账户就受到了攻击，或者想参加⼀个活动受到了举办⽅的各种限制。

请⼀定多⾛⼏步，帮⽤户设想好更种可能出现的状况，并对风控做评估，制定合适的策略。

⽐如现在被⼴泛应⽤于账户安全中的⼆步验证（短信验证），⾄少要考虑到如下问题：短信收不到怎么办、短信时效性如何设置、验证码长度多少合适、什么情况下才能变更验证⼿机、短信验证码是否存在泄漏/劫持/被钓鱼的风险、⼿机当前状态下是否持有在本⼈⼿中等等。

⽤户往往很单纯，请保护好他们单纯的⼼。

10对抗性
风控最有的意思的地⽅，在于它是⼀个对抗性的⼯作。

⼀旦你做了防御，敌⼈便会放弃进攻（没有⼈会在明知会触犯风控拦截的情况下⽆谓的尝试同样的⽅法浪费⼿中资源）。

所以，整体的风控策略、规则、模型都需要不断的调整，来应对这样的对抗情况。

⽐如我们根据历史的CASE发现穿红⾊⾐服敲门的都是坏⼈，所以我们对穿红⾊⾐服的⼈都加强了检查。

那么坏⼈也会在⼀段时间后发现我们的策略⽽穿上⿊⾐服。

这个时候，我们找到的穿红⾐服的⼈，好⼈的⽐例就会不断的上升⽽⼏乎抓不到坏⼈了。

这就是对抗性带来的规则准确率下降。

因此，不断的监控我们的数据并及时回顾，是⼀项基本的风控⼯作。

同时，对抗性还要求我们对风控的策略有健壮性。

还是上⾯的例⼦，单⼀性状或者简单条件的规则，对于临时的防控会很有效，但维持的时间通常都很短，需要不断的调整。

所以我们需要尽可能多的组合条件，减少策略被发现的可能。

做好风控
做⼀名优秀的从业⼈员必须要知道风控在每个企业的定义是不⼀样的。

总体来说，有⼀些共性的东西可能也是需要注意的，在我个⼈看来，“风控”⾄少应当是包括以下三个部份：法务、财务、咨询。

1
对⾏业和企业业务的理解
做风控，⾸先要识别风险。

风险从哪⼉来？有业务就有风险。

因此，如果对企业所处的⾏业、对企业⾃⾝的业务理解不够深⼊的话，风险的识别⾃然就不到位。

举⼀个例：同样是⼤宗商品
贸易类企业，⼀个是做铁矿⽯贸易的，另⼀个是做粮油贸易的，⼆者的库存风险⼀致么？就算是有相同的风险点，例如库存货物损毁灭失的风险，但可以考虑采⽤的控制措施也是不同的。

即使同样是做快餐，麦当劳和肯德基也不⼀样。

2
和业务部门的关系
不管在企业内部做风控还是作为咨询公司做风控，和业务部门的关系也是⼀只看不见的⼿。

如果业务部门真⼼理解风控能为企业带来价值，能给他们带来价值，那么⽐较容易让你了解到实际情况。

了解到真实问题之后汇报给⾼级管理层⼜确实真能起到作⽤，这样才是风控最好的状态。

企业内部也⼀样，同是部门总经理，业务部门总经理经常⾃认为⽐风控总经理要⾼半个头，⽽且认为⾃⼰站在业务⼀线，最了解业务，最了解风险，要你风控写写报告何⽤？风控要开展⼯作，⼼情好且有时间配合⼀下，⼼情不好或没空压着不⼲你⼜不能怎样。

3
风控技术和视野
风控技术，没两把刷⼦谁鸟你啊。

视野却决定了风控的⾼低。

风控通常不是作为⼀个业务领域向⽼板负责，⽽是要站到企业整体的⾓度看问题。

除了会识别、评估、分析、计量、处置风险，除了知道流程、控制点、控制性质、执⾏⼈、认定、测试步骤等等之外，更要有企业整体或负责⼈的视野去看待这些风险与控制，会不会给⾼管层讲明⽩这些KRI变化背后的意义及为什么需要采取⾏动。

法律（法务）风控
律师事务所涉及到企业风控的主要是以下⼏点。

公司法务⽇常的⼯作也主要是这些，但他们的活⼉的质量⽐律所的就要低⼀些（客观事实）： 1.为企业⽇常经营管理提供法律咨询和建议；
2.对业务经营模式的合法性进⾏研究，并提出切实可⾏的改进建议；
3.对企业的管理制度等进⾏规范，加以改进；
4.为企业修改各种合同（包括⼀线业务部门使⽤的格式合同以及重⼤交易使⽤的⼀次性合同）并出具相关各种法律⽂书（包括律师函、法律意见书等）；
5.就企业拟进⾏的重⼤项⽬进⾏尽职调查，出具调查报告；
6.列席会议，参与谈判；
7.培训、指导企业⼯作⼈员。

除上述⼏点之外，企业法务通常还要兼做⼀些⾏政事务性⼯作、⽇常杂活⼉、上传下达等等。

但在风险控制这⼀点上，律师和法务的⼯作⽬标是⼀致的。

能否⾼质量地完成上述⼯作，就是判断该⼈是否是⼀个优秀的律师/法务的标准。

⾼质量完成上述⼯作的必要条件：⼀、对⾏业和企业业务的深刻理解对这个⾏业缺乏了解的话肯定做不好风控，因为你连哪⾥会有风险、会有什么样的风险都不清楚。

⼆、对现有法律、法规、政策的精通律师、法务都是靠法律吃饭的，对法律不熟那就真的是对不起⾃⼰的饭碗了。

三、与企业管理层的良好关系依靠良好的专业素养和可靠的品⾏，赢得管理层的信任，之后意见才有可能被重视、被采纳。

四、随时留有后招风控是“控制”⽽⾮“消灭”风险。

如果风险消灭了，那么业务、利润也没了。

摆不正这个⼼态，那⼀线业务部门⾸先就不会鸟你。

所谓的控制风险，说⽩了就是判断“如果出事⼉了能不能善后”，只要能善后，不会砸场，那么这事⼉原则上就是可以做的。

风控要做的事就是在细节部分完善⼀下，确保⼀旦真出了事⼉能收场，就OK了。

当然，提前要跟⽼板汇报风险，这样出了事⼉不能赖风控，事后也要能搞定，这样业务部门也会感激你。

来源：注册风险管理师。