Risk & Compliance bij Equens: ‘We moeten altijd in de lucht zijn’
Het mag dan crisis zijn, maar aan het volume betalingstransacties dat Equens verwerkt is het niet te merken. Met de verwerking van negen miljard girale betalingen en ruim drie miljard toonbankbetalingen en geldopnames per jaar is Equens (voorheen bekend als Interpay) de afgelopen jaren uitgegroeid tot een van de grootste en meest toonaangevende betalingsverwerkers van Europa. Het aantal transacties is ondanks de crisis nog steeds groeiende, vertelt Eric Luijks, General Manager Risk Management bij Equens. ‘Waarschijnlijk wordt het bedrag per transactie wat lager, maar qua volume – aantal verwerkte transacties – breken we ieder jaar weer alle records. De verwachting is dat dit ook in 2009 weer gaat gebeuren.’
Binnen de SEPA-zone behoort Equens tot de top 3 verwerkers van zowel girale als kaartgerelateerde betalingen. ‘In Nederland hebben we een cruciale positie’, vertelt Luijks. ‘We zijn niet de enige, maar wel de grootste verwerker van betaaltransacties. Onze business, betalingsverkeer, heeft een groot economisch en maatschappelijk belang en is daarom kritisch voor de Nederlandse infrastructuur voor betalingsverkeer. We moeten altijd in de lucht zijn en onze dienstverlening moet 100% betrouwbaar zijn. Dat stelt bijzonder hoge eisen aan de beschikbaarheid, integriteit en vertrouwelijkheid van de betalingsverkeersdiensten die wij operationeel hebben.’
Sinds de aanslagen van 11 september is de aandacht voor risk en compliance wereldwijd toegenomen. ‘Hacks’ die in het internationale betalingsverkeer hebben plaatsgevonden hebben dit voor organisaties als Equens alleen maar versterkt. ‘Door deze hacks zijn organisaties als VISA en MasterCard steeds stringenter bezig met risk en compliance’, aldus Luijks. ‘Als de boel niet op orde is, kun je als organisatie enorme boetes tegemoet zien. Zelfs het intrekken van licenties om hun producten te mogen verwerken is een mogelijke consequentie. De uitdaging voor Equens is niet alleen voldoen aan wet- en regelgeving, maar dit ook op een zo efficiënt en effectief mogelijke manier te organiseren. Anders maak je te hoge kosten om te voldoen aan de regels. Daar zit een spanningsveld.’
Risk Management
Eric Luijks is sinds 1993 werkzaam voor de voorlopers van Equens, Interpay en daarvoor Eurocard Nederland. In 2007 is hij verantwoordelijk geworden voor Risk Management. Luijks vindt het mooi om de groei van Equens – van nationale tot internationale speler – van dichtbij mee te maken. Het werkterrein risicomanagement heeft daarmee een Europees karakter gekregen. Luijks: ‘Door de toenemende globalisering krijgen we ook te maken met verschillende culturen die het vak op een andere manier benaderen. Het creëren van bewustzijn voor risicomanagement en informatiebeveiliging is een grote persoonlijke uitdaging.’
Naast het vaststellen van beveiligingsbeleid is de afdeling van Luijks verantwoordelijk voor de operationele dienstverlening van risicomanagement, zoals fraudebestrijding met betaalproducten. Fraude is binnen de markt waarin Equens opereert een van de belangrijkste risico’s. ‘We hebben mensen in dienst afkomstig uit de politiewereld. Zij doen onderzoek naar fraudes rond betaaltransacties. Dat gebeurt mede op basis van slimme systemen die op basis van patroonherkenning frauduleuze transacties detecteren. Naast Nederlandse banken heeft Risk Management ook een liaisonfunctie naar politie en justitie. De banken willen dat fraude centraal wordt aangepakt en dat gebeurt hier. Dit betekent dat hier de nodige bewijslast wordt verzameld die gebruikt kan worden in aanklachten tegen fraudeurs.’
Aanvallen worden steeds geavanceerder, waarbij georganiseerde misdaad veel kennis opbouwen. Bovendien zijn er mondiaal voorbeelden bekend waarbij een aanval gecombineerd wordt met een infiltratie van binnenuit. ‘Fraudeurs zoeken altijd naar de zwakste schakel. Dit stelt hoge eisen aan je informatiebeveiliging. Alle betalingsinformatie wordt door Equens versleuteld. Zo kunnen gegevens niet zomaar worden gelezen. In het hele betalingsverkeer zijn zogenaamde security boxen geïmplementeerd. Die boxen zelf zijn ook weer beveiligd met fysieke maatregelen en sleutels. Wij verzorgen het beheer van deze boxen.’
Compliance
Binnen de afdeling Risk Management is Ruud Kouwenoord verantwoordelijk voor compliance. Hij werkt al voor Equens sinds 1988 en heeft verschillende disciplines doorlopen alvorens hij in 2004 benoemd werd tot Compliance Officer. De afgelopen jaren heeft veel nieuwe regelgeving haar intrede gedaan. Zo is sinds 11 september 2001 de aandacht voor beveiliging van ICT sterk toegenomen. Maar ook de verdere verscherping van o.a. privacyregels en toenemende maatschappelijke controle maken dat Equens in toenemende mate geconfronteerd wordt met nieuwe regelgeving. Deze ontwikkeling kan resulteren in verdere bureaucratisering en hogere kosten, vindt Kouwenoord. ‘Dan lijkt het erop dat we geleefd gaan worden door regels. Per definitie willen we dat in Nederland niet. Daar ligt voor mij een belangrijke uitdaging. Hoe gaan we daar als organisatie mee om? Hoe presenteer je compliance op zo’n manier dat het bedrijf het belang ervan begrijpt en er graag mee aan de slag gaat?’
Vanuit zijn rol als compliance expert adviseert Kouwenoord ook klanten van Equens, vooral banken, over de regelgeving rond betalingsverkeer. Compliance wil niet automatisch zeggen dat je er altijd aan moet voldoen. Je zult een risicoafweging moeten maken. Wat kost een investering en wat levert het op? Rond het gebied ‘cards’ komt er ook veel regelgeving uit de Verenigde Staten op ons af, waar anders met regelgeving wordt omgegaan dan in Europa. Dat vraagt nogal wat aandacht van een organisatie als Equens om te zorgen dat we dat toch op een passende wijze geïmplementeerd kunnen krijgen.’
Wat ook meespeelt bij de benadering ten aanzien van compliance en regelgeving zijn de culturele achtergronden, meent Kouwenoord. ‘Je ziet duidelijke verschillen tussen landen. In Nederland gaan we in de regel uit van principal based principe, als organisatie geeft dat ons meer ruimte bij de implementatie t.o.v. een rule based benadering.’
Wat zou er volgens Kouwenoord nog beter kunnen als het gaat om compliance? ‘Vaak wordt compliance nog gezien als een extra kostenpost om te kunnen voldoen aan toenemende wet- en regelgeving. De vraag kan echter ook zijn of compliance kan worden ingezet voor het bereiken van betere bedrijfsresultaten. Een consequent compliance beleid kan bijdragen aan een grotere mate van zekerheid, lagere kosten en procesverbetering.’
Globalisering
Naast de dagelijkse verwerking van betalingen staat Equens nog voor een andere grote uitdaging. Momenteel werkt Europa hard aan de realisatie van een uniforme Europese betaalmarkt: SEPA. Dit betekent dat betaalproducten en betaalsystemen in Europa aan dezelfde standaarden moeten voldoen, zodat betalen van het ene naar het andere land sneller en gemakkelijker wordt. Om dit te realiseren, moet ervoor worden gezorgd dat het Nederlandse betaalsysteem kan communiceren met andere Europese landen. De Europese richtlijnen worden door de deelnemende landen omgezet in nationale wetten en richtlijnen. ‘Daar ligt, juist omdat er interpretatieverschillen kunnen zijn, een uitdaging voor Equens’, aldus Kouwenoord.
Ook moeten de systemen van Equens in staat zijn om de nieuwe Europese betaalproducten te verwerken. ‘In de Nederlandse markt loopt de discussie over de afbouw van het merk PIN en de komst van internationale merken zoals MasterCard, VISA, Maestro en V PAY’, vertelt Luijks. ‘Dat is een belangrijke ontwikkeling die plaatsvindt op kaartgebied. Op het gebied van girale betalingen zie je vergelijkbare ontwikkelingen, zoals bijvoorbeeld de invoering van de Europese incasso en de Europese overboeking.’
Bij Equens lopen enorm veel projecten rond SEPA, waarin ook veel wordt geïnvesteerd. ‘Er is geen harde einddatum voor SEPA, het gebruik van SEPA-betaalproducten zal door marktwerking van de grond komen. Als gevolg daarvan blijven de planning en volumes achter bij wat de EU wil’, geeft Luijks aan. ‘Hierdoor zitten we in een duale situatie waarbij zowel de nationale als de Europese systemen naast elkaar draaien. Dit brengt hoge kosten met zich mee. Daarom pleiten wij, net als vele andere instanties, voor het vaststellen van een harde einddatum.’
Regelgeving is niet statisch, zeker niet in het internationale speelveld waarin Equens opereert. Er verschijnen regelmatig nieuwe releases op de markt. Flexibel meebewegen met alle wet- en regelgeving is een uitdagend aspect van de risk en compliance functie. ‘En het op een efficiënte manier inrichten’, voegt Luijks toe. ‘We zitten in zware economische tijden. Daardoor neemt de druk op onze tarieven toe.’
Compliance en risicomanagement blijven ook in de toekomst een belangrijke taak voor Risk Management bij Equens. Luijks: ‘Op fraudegebied volgen we de trends, kijken we welke maatregelen we kunnen nemen en welke diensten we aan banken kunnen bieden om schade te voorkomen of te beperken. SEPA zal ongetwijfeld nieuwe uitdagingen op dat gebied met zich meebrengen.’