支付系统概述（十）：风控能力

支付业务，是一个高风险的业务。其中的风险包括用户信用和欺诈的风险、市场的风险、内部人员操作的风险、法律合规的风险、应用系自身的风险等。其中，对于用户相关的风险，主要由风控系统来应对。

风控系统关注的用户，包括商户和用户两类。对于商户主要关注下单的风险，对于用户主要关注支付的风险。

风控系统的主要职责，是根据用户历史的行为，评估用户相应操作对应的风险程度。对于高风险的操作，通过二次核身、限制交易金额、限权等手段进行应对。

风控系统在支付系统中承担的是一个刹车片的作用，风控系统对于业务量的贡献是负相关的。但是，低风险的交易才最终能转化成利润，如果交易后大量由于盗刷引起的拒付，那最终会对利润造成巨大的损失。正由于风控这个反向作用的特点，所以风控的阈值是一个非常关键的要素，太高会影响日活和交易量，太低无法防控业务的风险。

风控系统最重要的组成部分包括数据和规则。

数据是风控系统的基础。风控系统主要需要收集和统计分析的数据包括用户的信息、交易的信息和网络上一些关于风险警示的信息。

用户的信息可以通过 KYC、KYB 的时候由用户输入，也可以根据用户的标识从网络上获取。用户的信息主要用来定位用户的行业、区域、交易偏好等。对于和用户信息相悖的交易，需要做挑战和限权。
交易信息。所谓的以史为镜。通过对用户历史交易行为的收集和分析，可以比较好的判断出一个用户的交易活跃区间、交易金额分布、交易地区分布、交易对手方分布等。对于和历史分布差距较大的交易，理论上就存在较高的风险。交易信息可以通过用户的历史交易积累，也可以通过购买的方式从其他支付机构获取。对于交易信息过少的初创型支付公司，可以将这部分风控要求委托给相应的支付网络例如卡组。
网络上的风险警示信息。这部分信息包括一些机构公布的黑名单信息、网络上的舆情信息等。这部分信息主要用于通过分析这部分风险提示信息，确定高风险个人、高风险区域和高风险交易行为，进行重点的关注。

风控规则可以分为人工维护的规则和系统通过数据自动匹配的规则两类。

风控系统识别出问题后，有三类的处置手段：

事中的风控挑战：要求用户输入支付密码、OTP 等，确定是用户本人交易。
对用户的自动限额和限权：明确了用户的异常行为后，可以通过限制交易金额和限制流入流出权限的方式进行应对。用户如果需要恢复权限，可以走线下流程申诉。通过申诉流程，可以进一步的收集用户信息。
对交易的事后审核：出于用户体验的考虑，实时的风控规则有一定的时效要求。对于过于复杂的规则，可能不适合进行实时拦截。对于这部分规则，可以通过事后分析和事后审核的方式对交易进行拦截。但是，需要我们在对用户的协议以及交互上，为这部分事后处置留下可能。

构建风控系统，我们需要引入大量的大数据相关的组件：