微派学院——教你做风控

摘要：怎么做第三方支付风控，对第三方支付来说，风控是必不可少的功能，本文将为大家从风险控制方面来分析一个企业如何做好第三方支付。

 

怎么做第三方支付风控，这是一个伤脑筋的问题。对于一个企业的决策者来说，怎么做第三方支付涉及到方方面面的问题，不仅有企业内部运营问题，还有公司外部决策问题。下面我们就从风控的维度来谈谈如何做好第三方支付。

风控是一个让人爱恨交加的话题。 对支付来说风控是必不可少的功能。只要老板不想把底裤都赔掉，那就必须上风控。可对互联网公司来说，风控是一个谜一般的话题，无论是对风控专家还是IT工程师而言。随着互联网和大数据技术的引入，风控变成了一个跨学科的领域，可这无疑是互联网公司里面最同床异梦的跨学科。

概念定义

按照教科书的说法， 风险是指在特定场景下，特定时间内某个损失发生的可能性，或者说是在某一个特定时间段里，人们所期望达到的目标与实际出现的结果之间的差距。金融领域自从诞生以来，就一直伴随着风险。风险控制是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或风险控制者减少风险事件发生时造成的损失。这里又引入了一个词，风险事件， 它和风险因素经常容易混淆。 风险事件指造成风险的直接原因，风险因素则是间接原因。 如下雨天路滑导致发生车祸造成人员伤亡。 则车祸是人员伤亡的直接原因，是风险事件。而下雨天是间接原因，属于风险因素。 先看一条小道消息惊悚下：

风控做不好，一晚上2个亿就出去了。饶是该公司财大气粗，也扛不住几次折腾。一个漏洞搞垮一个小公司也是常有的事。对支付系统来说，安全是第一考虑的问题，特别是资金安全，这需要风控系统来保驾护航。那一般来说，支付系统会面临哪些风险？ 不同文献有不同的风险分类，本文试图从账户、资金、交易、操作、信用风险角度来详细描述。

一、账户风险

怎么做第三方支付风控？那么首先，支付系统最常见的，也是在黑产圈中最为成熟的，那就得算账户的风险，即俗话说的“盗号”。近几年来，各大型互联网网站的账户泄露事故层出不穷，携程，京东，CSDN等都中过招，每一次都能引起轩然大波。而在黑产圈，账号窃取都形成了一套完整成熟的产业链。

这是目前在黑产圈中账户攻击的主要流程，以下分析在这个过程中每个阶段的具体操作，为风险系统设计提供依据。

二、交易风险

支付的交易风险主要是交易过程中的各种恶意行为，而这些行为在电商系统中表现特别突出，包括 自动刷单、人工批量下单以及异常大额订单等场景。在秒杀的时候， 由于其价格有很大的优惠力度， 黄牛会采用机器批量注册账号、机器抢购等方式来争取秒杀商品，普通消费者很难享受到秒杀的实惠，使得秒杀活动效果大打折扣。此外，在商家侧，主要的风险在于刷单。不少商家使用刷单、刷评价的方式来以非正常途径提升销量，积分，信誉等。甚至通过刷单的方式来套取补贴，帮助套现。 从阿里公司发布的《互联网信任环境调查报告》来看，大部分用户在购买的时候，会看中商家的资质和诚信，商品的销量、评论也往往会成为购买的一个参考。 在这种情况下， 刷单就成为一个提升店铺交易量的重要手段。而刷单和反刷的猫鼠游戏，也推高了刷单识别的难度。

三、资金风险

2016年11月份的时候， 网上突然出现了大量怀疑支付宝沉淀资金用途的帖子，这些帖子在有意无意地引导一个观点： 支付宝将沉淀资金用于恒生HOMS系统的场外配资，用户将资金投放到余额宝有巨大资金风险。 毫无疑问，从监管的角度来看，这是不可能的事情。 但这谣传也揭示了支付系统的另一个风险：资金风险。 发展沉淀资金成为支付系统，特别是第三方支付系统的一个公开的秘密。

沉淀资金主要有两种形式：

在途资金：指买卖双方在确认交易后，完成结算前尚未到达卖方账户的资金。在买方没有最终确认收货之前，资金暂时交由第三方支付进行保管。这样在买卖双 方从开始交易到最终完成货款两清的这段时间差内，这些存在于第三方支付平台内部的资金，被称为在途资金。

留存资金：对采用交易担保型账户的支付机构，客户需要开立虚拟账户来完 成交易。机构也会吸引客户进行充值操作，即留存一些资金用于交易。比如微信支付和支付宝的钱包。 当有交易需求时，可以直接从这里进行扣款。这些留存于虚拟账户中的资金也是沉淀资金的一部分。

沉淀资金对支付来说是必要的， 通过这个资金来帮助买卖双方解决信任的问题，有利于提升用户体验。但这个资金也带来不少风险。2013 年 央行出台了《支付机构客户备付金存管办法》，其中明确要求第三方支付机 构对于客户的备付金要进行严格的区分管理，这一定程度上限制了沉淀资金风险的发生。也就是说，沉淀资金是客户的钱，支付公司不能挪用。支付公司可以获得沉淀资金的利息收益，但是不能够用这个资金来进行投资或者公司内部的消费。对这笔资金进行合理监控避免出现风险，也是支付系统需要考虑的问题。

四、套现风险

我国法律明确禁止使用信用卡套现，使用信用卡套现是违法的。但是在线支付系统中，使用信用卡进行套现，几乎是不需要成本的。 信用卡套现的手段也很多，一般是通过客户和商家的勾结来完成，比如：

虚假购买客户通过信用卡购买某商品后，商品并未实际发货，商家将购买的款项打回给客户，完成套现。

退货套现：或者通过信用卡来购买商品，然后退货，将退款返回到借记卡或者其他可提现的渠道，也能完成套现。

自买自卖：商家通过信用卡购买自己的商品，将货款打入到借记卡中，完成套现。

上述的套现手段，很难识别。套现很难完全杜绝，除了要求退款资金必须原路返回外，还可以通过数据分析手段来减少发生的频率。

五、操作风险

按照巴塞尔委员会《操作风险管理》的定义， 操作风险主要是指那些由于用户支付终端操作失误、工作人员违规操作、内控机制失灵等人员操作上的原因引致损失的风险，或者说是外部风险、员工风险和流程风险。

流程风险指由公司的规章制度管理、业务流程不完善而引发的风险。对一些支付公司而言，作为新兴的经济形式，不像银行那样有一套成熟、规范的流程以及完善的培训机制，这就容易触发流程风险。在以“快”为特征的互联网公司，功能创新非常重要，但往往也容易忽视了风险管理相关配套制度的建设和落实，从而为线上运行的新功能带来隐患。当新的支付方式上线后，配套的清结算、记账、对账等功能，未必能够及时地跟上，更不用说相关的内控制度建设、岗位人员配备的工作。

员工风险指的是支付机构的员工不遵守职业道德，违法违规或违章操作，单独或参与骗取、盗用机构资产和客户资金，工作疏忽等行为导致的损失。在缺乏成熟培训机制的互联网公司中，这类问题往往更加突出。

六、合规风险

合规风险指机构因未能遵守相关的法律法规从而导致机构可能受到处罚、声誉受损的风险。合规风险是国内第三方公司一个无法规避的风险，在企业发展过程中，需要密切关注央行的动向，减少合规带来的负面影响。

支付与风控密切相关，对任何一个企业来讲，特别是互联网支付公司，想要做好第三方支付，就必须做好风控团队的建设，防范于未然。

( 微派聚合支付 ，怎么做第三方支付！)