Risikostyring betyr ulike ting for forskjellige organisasjoner. En risk manager i et produksjonsselskap kan f.eks. fokusere på risikostyring relatert til forsyningskjeden, produksjonsprosessen og distribusjon. En forsikringsgiver vil vurdere risikoen ved å forsikre noe og risikoprofilen til dem som ønsker forsikringen. Og hva med et skadeoppgjørsselskap?
Et skadeoppgjørsselskap arbeider med risikostyring og compliance
- innenfor egen organisasjon
- i forhold til kundenes skadebehandlingsprosesser (forsikringsselskap, meklere, captive selskaper)
- og deres forsikringstakere (fra enkeltindivider til store selskaper)
Når en kunde vurderer å outsource skadeoppgjøret , er det som oftest fordi de ikke lenger kan ta beslutningene basert utelukkende på pris. Når en kunde outsourcer skadeoppgjøret, overtar skadeoppgjørsselskapet et stort ansvar, det er derfor det veldig viktig for beslutningsprosessene at deres risikostyring og compliance fungerer optimalt. Nye lover om personvern og compliance betyr at dette blir stadig viktigere.
En kunde som ønsker å outsource skadeoppgjøret bør stille seg følgende spørsmål som en del av beslutningsprosessen:
Blir regelverk og lovgivning aktivt implementert?
Skadeoppgjørsselskapet må forberede implementeringen lenge før ny lovgivning trer i kraft. Van Ameyde begynte f.eks. arbeidet med implementering av EUs nye personvernforordning (GDPR) allerede i 2016. Annen relevant lovgivning er EUs hvitvaskingsdirektiv, som krever omfattende tilpasninger til dagens økonomisystemer.
Har skadeoppgjørsselskapet kontroll over prosessene?
Prosesskontroll er knyttet tett opp mot selskapets IT-systemer. Hvordan vurderer du om tjenesteleverandøren har kontroll over sine egne prosesser? Som en pekefingerregel må du i det minste kunne dokumentere at tjenesteleverandøren din faktisk har kontroll over prosessene. Dette kan lett dokumenteres hvis tjenesteleverandøren har ISAE 3402 type 2-rapportering. ISAE 3402 er den internasjonale outsourcingsstandarden. Risikostyringens rammeverk er en del av rapporteringen. Type 2-rapportering dokumenterer ikke bare eksistensen av kontrolltiltak (= type 1-rapportering), men også hvor effektive tiltakene er.
Hvordan sikrer skadeoppgjørsselskapet dataopplysninger?
Skadebehandling krever at IT-systemet har den høyeste sikkerhetsstandarden. Dette skyldes ikke minst den nye personvernforordningen (GDPR). Selv om ISO-sertifisering ikke er obligatorisk under personvernforordningen, så er ISO 27001:2013 relevant sertifisering av styringssystemet for informasjonssikkerhet. Med denne sertifiseringen kan du som kunde være sikker på at dine tjenesteleverandører har full kontroll når det gjelder cybersikkerhet som omfatter mer enn bare personvern.
Risikostyring og compliance innenfor skadeoppgjør
Et skadeoppgjørsselskap som tar risikostyring og compliance på alvor, har mye å tilby kundene sine:
- Et skadeoppgjørsselskap behandler hundretusenvis av skadesaker årlig og har råd til å investere i skaderelatert risikostyring og compliance.
- Kjernevirksomhet: mens en kunde får ekstra investeringskostnader, investerer skadeoppgjørselskapet i sin kjernevirksomhet.
- Bred ekspertise fra mange vinkler: en kunde kan bare referere til egen virksomhet, mens et skadeoppgjørsselskap lærer fra hundretusenvis av kunder og uendelig mange ulike situasjoner.
Risikostyring og compliance gir ikke bare høyere sikkerhet og mer effektive prosesser: det forbedrer også organisasjonen som helhet. Tilbakemeldinger fra våre saksbehandlere hjelper oss med å forbedre prosessene, noe som får saksbehandlerne til å arbeide mer effektivt. Risikostyring og compliance er tverrfaglig: fra det juridiske til operasjonelle og fra IT til LEAN.
Når det gjelder profesjonell risikostyring og compliance, ligger Van Ameyde langt foran resten av skadeoppgjørsmarkedet. I 2008 var vi de første på markedet som fikk SAS70-rapportering: forløperen til ISAE 3402-rapportering (som vi har hatt siden). Med vår egen IT-organisasjon (Zero)70, var Van Ameyde også førstemann ute med ISO 27001:2013-sertifisering av vårt styringssystem for informasjonssikkerhet. I 2016 ble denne sertifikasjonen et av de første trinnene i den kommende personvernforordningen. Vi sikrer våre systemer på en måte som går langt lenger enn kravene i personvernforordningen, fordi vi mener at sikring av kunder mot cyberrisiko er en helt nødvendig del av de tjenestene vi tilbyr.
Spørsmål om risikostyring og compliance i forbindelse med skadeoppgjør?
Jeg svarer gjerne på spørsmål hvis det er noe du lurer på. Det er bare å ta kontakt!
Som en pekefingerregel må du i det minste kunne dokumentere at tjenesteleverandøren din faktisk har kontroll over prosessene.