企业级风控系统对于风险的管控,通常可以分成几个阶段:
1.风险识别
企业应当把识别移动金融服务特有的风险作为企业战略规划中的重要组成部分,应该从移动设备、金融产品、金融服务以及技术等不同层面有机结合,识别移动金融业务中的风险项,将其纳入整体风控系统中统一考虑;
2.风险评级
通常我们会区分关键业务(如支付、转账)和非关键业务(如注册、登录),对不同类型的业务点采用不同的风控强度方案。那么这意味着具有相同程度的欺诈风险出现时,由于对应的业务类型不同,企业对它的风险评级是不同的,关键业务需要更为严格的风险评级,而非关键业务则可以相对宽松。但是在业务发展的不同时期,这一标准可能又会做出相应的调整,因此在识别出潜在业务风险后,企业还应当有一套完整的风险衡量和评级方案;
3.风险规避
风险评级完成后,则是对应的风险规避动作。例如人工审核、电话核实、短信二次验证、人脸识别等等各类操作手段,都是风控系统可以选择的,针对不同的风险等级而选择相应风险规避动作;
在风险管理的几个阶段中,风险识别是后续管理流程的开端,并且由于业务从线下转至线上,对风险识别的实时性要求越来越高,因此线上业务的欺诈风险识别,我们通常称之在线欺诈检测(OFD:Online Fraud Detection),也越来越受到金融行业的重视。
Gartner从2010年开始关注并研究这一领域,每年都会针对这个市场发布研报以及建议。在2016年10月发布的“线上欺诈检测市场研究报告”中,总结了该领域的主要需求以及解决方案供应商的特点,提出了分层级的自动欺诈检测的最佳实践。在这个建议中,Gartner认为一个完整的线上业务欺诈检测系统,应该分为5个层级,分别是:
第一层 终端风险识别:
以终端为核心,分析交易发起终端(PC、移动设备等)的属性,并且这些分析的前提应当是,欺诈检测系统能够和终端直接发生交互,而不是通过其它中间系统。主要技术手段包括设备指纹、生物检测、木马检测、终端行为与地理位置检测等;
第二层 交互行为监测:
以帐户为核心,采集帐户与业务系统之间的交互行为或网络行为,实时采集并分析,学习用户行为模式,通过行为模式的对比,发现欺诈交易;
第三层 渠道内行为异常检测:
使用统计模型或规则系统,在单一渠道上针对某一特定用户,进行行为分析和异常检测。在这一层级,同时可能利用内、外部数据,针对高风险交易,共同进行身份验证;
第四层 全方位行为异常检测:
以用户为核心,跨渠道、跨产品地对用户行为进行监控和分析,对高风险异常行为进行预警。例如全方位采集某个用户在信用卡、手机银行、网上银行、ATM机、POS机等各个渠道上的交易行为数据,集中分析,实现全渠道的风控;
第五层 UEBA:
基于大数据的UEBA(User and Entity Behavior Analytics),通过全面的数据采集与数据治理,在不同的属性上对用户或实体之间的关系进行关联分析,发现潜在的欺诈风险;
目前市场上的解决方案供应商,通常会专注于其中一层或几层中的某些技术手段,为业务方提供产品,解决特定领域的问题。而业务方也应当根据业务发展阶段、所面临的主要风险、自身技术能力等多种因素,有选择地逐步将自身的反欺诈能力从单一层级扩展成为多层级能力。
随着移动金融业务的广泛开展,金融行业面临的业务风险也发生了巨大的变化,传统个人信贷业务发生在线下渠道,加上业务流程的设计,主要是解决信用风险的问题。但随着信贷业务渠道由实转虚,客群逐步下沉,由此带来了新的风控问题,欺诈成为线上个人信贷业务需要面对的主要风险。因此如何应对移动金融业务中特有的新型风险,如何将其纳入完整的企业风险管理框架,成为银行开拓互联网金融业务必须考虑的重点问题。
而在Gartner提出的5个风险检测层级中,第一层的终端风险识别,对于移动金融业务的欺诈风险检测具有特殊的意义,这是由移动金融业务的风险特点所决定的。虽然传统渠道金融业务面临的操作风险,在移动渠道中也大多存在,但是移动渠道因其客户媒介的差异和业务模式的差异,会有其特有的风险,这些风险和移动金融业务所使用的技术及设备直接相关,主要表现在
- 业务风险暴露点的变化
- 欺诈者攻击手段的丰富
- 业务方技术准备的不足
- 移动用户安全意识相对于现实的落后
