代理商风控架构
风控不是封号后申诉,也不是每天看一眼花费。成熟代理商要识别资产、建立控制、限制损失半径,并持续演练恢复能力。
任何高消耗账户都会遇到人员误操作、自动化失控、权限泄露、政策变化、数据中断、付款异常和供应链故障。目标不是承诺零事故,而是降低发生概率、缩短发现时间、限制损失并留下证据。
36.1 先识别要保护的资产与信任关系#
| 资产 | 风险 | 最低保护要求 |
|---|---|---|
| 账户与 MCC | 未知用户、错误关联、越权变更、账户被盗 | 独立登录、两步验证、最小权限、季度复核 |
| 预算与付款 | 异常消耗、付款失败、拒付、账单责任不清 | 预算基线、告警、审批矩阵、对账和升级联系人 |
| 网站与落地页 | 恶意软件、页面失效、跳转异常、政策风险 | 可用性监控、版本管理、上线 QA、故障 owner |
| 数据与标签 | 漏数、重复、金额错误、隐私违规、密钥泄露 | 事件字典、对账、访问控制、保存期限和回滚版本 |
| 素材、Feed 与品牌 | 拒登、侵权、价格库存失真、品牌安全问题 | 授权证据、审批记录、Feed 监控、展示位置复核 |
| 自动化与第三方工具 | 脚本批量误改、API 权限过大、供应商中断 | Preview、白名单、速率限制、审批、回滚和下线开关 |
36.2 风险不是清单,而是概率、影响和可探测性#
风险登记册至少记录:资产、场景、触发条件、发生概率、最大影响、发现方式、现有控制、owner、升级路径、恢复动作和演练日期。阈值不能照搬模板,要按客户预算、业务容忍度和响应能力配置。
| 控制类型 | 作用 | 示例 |
|---|---|---|
| 预防性控制 | 降低事故发生概率 | 最小权限、双人审批、上线 QA、政策核验 |
| 侦测性控制 | 缩短发现时间 | 预算告警、转化中断告警、页面监控、Change History 巡检 |
| 纠正性控制 | 限制损失并恢复服务 | 暂停开关、回滚版本、密钥轮换、事件响应 SOP |
| 证据性控制 | 支持复盘、申诉和责任确认 | 审批记录、截图、日志、工单、变更卡、对账记录 |
36.3 权限治理:每个身份只拥有完成工作所需权限#
共享密码会破坏审计链。每个人使用独立身份,权限根据岗位授予,并设置入职、转岗、离职和定期复核流程。MCC 用户访问级别不同,管理员权限应限制在少数负责人。
- 人员、公司、邮箱、角色、账户范围、访问级别、审批人
- MCC、Ads、GA4、GTM、Merchant Center、Looker Studio、云盘和第三方工具权限
- 授予日期、最后复核日期、到期日期、离职回收状态
- 两步验证状态、恢复方式、API 或自动化凭证 owner
Google Ads 支持对账户启用两步验证。两步验证能降低密码泄露后的接管风险,但不能替代权限最小化、设备安全和恢复信息维护。
36.4 预算风控:区分平台正常波动与真正异常#
平均每日预算不是每天硬上限。多数 Campaign 的日支出上限和月支出上限由平台规则计算,预算变更也会影响上限。代理商必须监控 served cost、billed cost、预算变更和账户级限制,而不是看到单日超出平均值就直接判断失控。
| 控制层 | 需要记录 | 发现异常后的动作 |
|---|---|---|
| 客户授权 | 月预算、可浮动范围、临时加预算审批人 | 超出授权范围前升级审批 |
| 平台预算 | Campaign 平均每日预算、共享预算、账户级限制 | 核对最近变更和受影响对象 |
| 消耗节奏 | 同星期基线、促销日、served cost、billed cost | 区分流量高峰、预算变更和异常流量 |
| 自动化 | 规则、脚本、API 工具、最近部署和执行日志 | 必要时关闭自动化并回滚 |
36.5 变更治理:高风险动作必须限制损失半径#
| 变更等级 | 示例 | 最低控制 |
|---|---|---|
| 低风险 | 报告列、标签、备注 | 执行后抽查 |
| 中风险 | 否定词、素材、页面 URL、商品范围 | 变更卡、第二人复核、观察窗口 |
| 高风险 | 预算、出价目标、Primary 转化、地区、网络、批量操作 | 审批、影响范围、回滚方案、分批发布 |
| 关键风险 | 管理员权限、付款、MCC 关联、自动化凭证 | 双人确认、证据留存、完成后立即复核 |
Google Ads Change History 可查看过去两年的大量账户变更,包括界面、自动规则、API 和 Editor 产生的记录。它是诊断证据,不是完整备份系统。关键配置仍要保存基线、导出和回滚计划。
36.6 自动化风控:任何批量能力都需要刹车系统#
- 最小范围:默认只允许白名单账户、Campaign 和字段。
- Preview:先输出计划修改对象、旧值、新值和原因,不直接执行。
- 阈值:单次对象数、预算变化幅度和总影响金额超过内部阈值时停止并升级审批。
- 分批发布:先小范围执行,确认无异常后再扩大。
- 日志:记录触发者、版本、时间、结果、失败对象和回滚动作。
- 下线开关:出现异常时能停止规则、脚本、API 工具或任务调度。
36.7 政策风险:合规设计必须早于上线#
政策风险来自业务模式、网站、声明、素材、Feed、地区、验证资料和关联账户,不只是广告文案。严重违规可能导致无预警暂停;重复违规也可能逐步升级。规避审核、提交虚假验证信息、暂停后新建账户重新进入系统,都可能构成规避系统风险。
- 确认业务模式、目标国家、许可证、认证和禁止或受限内容边界
- 逐页检查身份、联系方式、价格、条款、隐私说明和声明证据
- 保存广告、素材、授权、Feed、页面截图和审批记录
- 检查关联账户历史,不承接要求绕过审核或新建账户规避暂停的客户
- 申诉前先完整修复并整理证据,一次提交一份准确说明
36.8 数据、无效流量与业务欺诈要分层处理#
| 场景 | 不要直接等同于 | 检查路径 |
|---|---|---|
| 点击增加但会话没有同步增加 | 平台一定多收费 | 点击、会话、无效点击列、账单调整、页面可用性 |
| 线索暴增但成交率下降 | 投放一定成功 | 搜索词、来源、重复线索、电话有效性、CRM 状态 |
| 订单收入增长但退款上升 | ROAS 一定改善 | 订单 ID、SKU、退款原因、转化调整、贡献毛利 |
| 转化突然归零 | 市场需求一定消失 | 标签、页面、Consent、导入任务、失败队列、最近变更 |
Google 会识别无效点击和展示,并在适用时从报告或后续账单中调整。代理商仍需监控无效点击列、流量质量、业务欺诈和页面故障,因为它们回答的是不同问题。
36.9 Incident:先限制损失,再恢复,再复盘#
- 发现:告警、客户反馈、账户通知或巡检触发。
- 分级:按影响资产、最大损失、客户影响和是否持续扩大判断等级。
- 止损:暂停受影响对象、关闭自动化、移除未知权限或切换回滚版本。
- 保全证据:保存 Change History、截图、日志、账单、页面版本和沟通记录。
- 恢复:按最小范围逐步恢复,验证数据和支出正常后再扩大。
- 复盘:区分触发原因、根因、控制失效点和改进 owner。
- 演练:定期测试权限回收、转化中断、预算异常、网站故障和账户接管场景。
当团队需要定义风险容忍度、控制矩阵、RTO、RPO 和恢复演练时,继续阅读 第 39 章:风险量化与业务连续性。
官方核验入口: 两步验证 · MCC 用户访问级别 · Change History · 无效流量 · 账户被盗处理 · 账户暂停 · 规避系统政策
本章要点
- 先列资产和风险,再配置预防、侦测、纠正和证据控制
- 共享密码、无限权限和无日志自动化会让代理商失去审计能力
- 预算异常要区分正常平台波动、配置变更、自动化失控和无效流量
- 事件响应顺序是止损、保全证据、恢复、复盘和演练