信用风险与反欺诈哪个更加重要？为什么是先讲策略再谈模型？一个完整的反欺诈流程如何搭建？如何说服CEO接受模型测试成本？在一本财经商学院举办的第二期风控闭门课程上，天创信用首席科学家陈黎明一一做出解答。

以下是她现场分享的部分干货：

01基本概念

今天我讲的主要课题是“反欺诈策略和模型”。

为什么要把策略放前面呢？因为不管是拍脑袋决定，还是通过数据挖掘出来，反欺诈一般是先有策略，然后通过数据的积累，慢慢去构建模型。

首先讲一下常见的几种风险：

流动性风险，就是资产在上升时，你手上的现金流是不是足够。

市场风险，一般是指汇率、利率两个风险，这个在国内不是那么明显，在国外受市场风险是相当大的。

信用风险，就是客户的还款意愿和还款能力。

操作风险，比如意外事故等。

政策风险，比如贷款年化率不能超过36%，和近期的数据隐私的保护。

反欺诈和信用风险区别在哪？

欺诈是你想彻底铲除的，你建立了足够的壁垒、堡垒把欺诈挡在门外；但你并不希望信用风险为零，信用风险框定在一定范围之内，再去设计产品。

信用管理是进攻，反欺诈是防守。在不同场景中，反欺诈和信用管理重要程度不同。比如说航旅分期，欺诈风险比较小。Paydayloan本身是针对信用差的人群，欺诈风险往往更为重要。

欺诈原因主要有几点：

征信体系有待推广和完善。

欺诈成本很低。

没有信息保护意识。别人帮你买机票，你就把身份证号码透露了。

贫富差异下的利益驱动。

最后一点就是互联网，比较线上和线下的欺诈概率，线上欺诈是线下的六倍，因为线上不需要跟人打交道，被逮到的可能性比较低。并且，一旦诈骗犯发现平台一个漏洞，他可以在网上得到迅速的推广。

一般来说，当你的贷款额度越来越小的时候，你会越来越依赖于大数据，依赖模型化和自动化，去进行反欺诈预防和信用管理。

反欺诈其实是通过各种方法把高危人群、帐号异常、设备异常、身份伪冒、申请异常、使用异常、恶意炒信等等去除。但去除时，我们要关心两个概率，一个是召回率、一个是准确率。

偶发的欺诈并不可怕，大家主要担心欺诈中的正规军，欺诈的黑色产业链，所以黑色产业力量挖掘是非常重要的。

欺诈一般分为第一方欺诈和第三方欺诈：

第一方欺诈是，我就是欺诈主体，我是怀着恶意来骗贷的。

第三方欺诈是，骗贷人不是我，其他人是伪冒我的身份，盗用我的帐户进行欺诈的。

根据第一方欺诈和第三方欺诈的不同，在防控点上的设计也不同。比如第三方欺诈，你可以通过人脸识别等等去做排除；第一方欺诈可能是通过一些模型去识别，是否是恶意骗贷。

02欺诈类型与反欺诈策略

常见的欺诈风险类型有：

身份伪冒，这是非常典型的第三方欺诈，指的是不法分子使用虚假身份证等身份信息、未经他人同意而冒用他人身份获取贷款的骗贷行为。

另外还有帐号垃圾注册，通过大规模的帐号注册，养号养卡，控制帐号骗贷。此外还有中介包装、团伙作案、虚假材料等。

其实欺诈并不是对单个的个人，你对的就是团伙，对的是有相当风控经验的职业诈骗人员，好多人以前就是线下贷款的审批人员，他们有相当的风控经验。

如何通过构建系统架构来实现反欺诈？

首先需要底层数据，比如外部数据、内部数据、业务数据等。其实反欺诈是需要大家发挥自己的聪明才智去设计的，不会有两家反欺诈政策是完全一样的。现在对数据隐私的监管越来越强，越来越保守，如果在外部数据获取遇到阻力的时候，就越来越依靠于对内部数据和业务数据的获取能力。

其次是规则，目前大部分规则是模型，比如从贷前准入、认证、支用等。这些规则引擎，是经常要更新的；尤其是反欺诈规则，一要保密，二要随时更新。

再次，需要一个管理系统，至少要有四块功能：第一个配置系统，就是规则阀值的设置。第二个查询系统，能查询每一单人的申请，从客户现在的表现追溯到其申请时刻，能做一些关联性的分析。第三个是分析系统，一般是自动化的，比如对历史时长、IP地址进行一个跟踪，也可以针对每一个反欺诈规则，追踪今天申请了多少量，拦截了多少量。第四个是预警系统，如果发现异常现象，它可以随时预警。比如发现某一个IP地址、某一个GPS、某一个社区，它申请量急剧增加的时候，可以实现实时预警，这时候可以人工及时干预，去修改规则引擎。这四个系统是反欺诈中，最起码的要求。

03审批流程与反欺诈流程

一旦收集了多维度数据后，就可以设计申请的审批流程：

首先是准入规则，可以初筛一遍客户，可以进行聚焦，达到精准营销的目的。

然后是信息验证，包括姓名、身份证、手机号码、银行卡四要素验证等。

再次是黑名单，自有的反欺诈规则等。

之后是第三方反欺诈、申请评分卡，最后再人工审批、抽检。至于中间怎么设计黑名单、反欺诈，这个跟不同的金融产品侧重点不一样。

其次是反欺诈管理流程：

首先要有策略，可以通过数据分析，也可以基于以前线上线下的经验，将规则、管理布入你的风控引擎里面，这是第一步。

第二步，要认识我们的客户，目标客户群是什么，会存在哪些风险。

下一步是分析客户风险是怎么样的。

再下一步是预防警示，出现异常需要有一个预警提示。

最后就是分析报告，通过整个过程，返回去优化整个策略，不断循环优化。

反欺诈的策略一定要非常保密，因为骗贷者一旦知道，可以用其他的方法去通过这个保护墙而进来。越理解市场有的欺诈风险，你的策略就越有针对性。大家如果做风控团队，会有专门人员欺诈岗，他们时不时做一个舆情监控，比如上网吧看一看，第一个你的贷款公司名字是不是出现在大家讨论的热点当中，第二个最新欺诈的方法是什么。

欺诈客户一般不会全部拒绝。如果想要知道策略、模型是否有效，必须要做测试，只要有测试就必须有测试成本。不过，我们在向CEO汇报时，说我要放一批欺诈人进来，这次欺诈率会上升，CEO会不会同意，会不会买单呢？

实际上，Capital One成功最重要的两点，一个是数据驱动策略，第二个就是测试，通过不断的测试，找到理想的人群，优化产品、优化流程、优化策略。

另外一点要强调的，反欺诈经常有误杀。我们以前做信用卡交易反欺诈的时候，业务天天抱怨的就是误差，比如经常有优质的客户，要验证他的身份，业务出于客户满意度是不愿意好多误杀的。

不过，在审批阶段误杀时的问题还不算不大；一旦到了客户管理阶段再误杀，造成的影响就比较大，客户关系的维护，客户的满意度等等成本也是蛮高的。

不过，这是一个权衡，反欺诈总是会有误杀。