Risikostyring betyder forskellige ting for forskellige organisationer. En risikoansvarlig i en produktionsvirksomhed kan f.eks. fokusere på risici i forbindelse med forsyningskæden, fremstillingsprocessen og distribution. Et forsikringsselskab vil vurdere risikoen for objektet, der skal forsikres og den forsikrede parts risikoprofil. Og hvad med en skadebehandlingsorganisation?
En skadebehandlingsorganisation fokuserer på Risk & Compliance
- inden for sin egen organisation
- i forbindelse med skadebehandlingsprocesser for sine kunder (forsikringsselskaber, mæglere, captiveselskaber)
- og deres forsikringstagere (lige fra enkeltpersoner til store virksomheder)
Lad os nøjes med at sige, at når en kunde overvejer outsourcing af skadebehandlingsprocesser, har kunden ikke længere råd til at træffe beslutninger alene baseret på pris. Ved outsourcing af skadebehandlingsprocesser flytter kunden så meget ansvar, at skadebehandlerens professionalisme i forbindelse med Risk & Compliance funktionen er afgørende i beslutningstagningsprocessen. Ny lovgivning om beskyttelse af personlige oplysninger og overholdelse af regler resulterer i, at funktionen bliver stadig vigtigere.
En kunde, der ønsker at outsource skadebehandlingsprocesser, bør stille følgende tre nærtbeslægtede spørgsmål som en del af beslutningsprocessen:
Er regler og lovgivning aktivt implementeret?
I god tid før ikrafttrædelsesdatoen for ny lovgivning skal skadebehandlingsorganisationen forberede implementeringen. Van Ameyde startede f.eks. allerede i 2016 med implementeringen af GDPR. Anden relevant lovgivning omfatter antihvidvaskningsdirektivet, som kræver væsentlig tilpasning af de finansielle systemer.
Har skadebehandlingsorganisationen styr på sine processer?
Proceskontrol er tæt knyttet til virksomhedens it-systemer. Hvordan vurderer du, om tjenesteudbyderen har styr på sine processer? Som opdragsgiver skal du jo kunne påvise, at tjenesteudbyder faktisk har styr på det. Det er let at påvise, hvis tjenesteudbyderen har ISAE 3402 type 2-rapportering. ISAE 3402 er den internationale outsourcingstandard. Risikostyringsrammen indgår i rapporteringen. Type 2-rapportering påviser ikke kun eksistensen af kontrolforanstaltninger (= type 1-rapportering), men også effektiviteten af disse foranstaltninger.
Hvordan sikrer skadebehandlingsorganisationen data?
Ikke mindst på grund af GDPR kræver skadebehandling IT-systemer med det højest mulige sikkerhedsniveau. Selvom ISO-certificering ikke er obligatorisk inden for rammerne af GDPR, er ISO 27001:2013 den relevante certificering for styringssystemer til informationssikkerhed. Med denne certificering kan du som kunde være sikker på, at dine tjenesteudbydere er helt på toppen, når det kommer til cybersikkerhed ud over beskyttelse af personlige oplysninger.
Risk & Compliance i skadebehandling: et skridt foran
En skadebehandlingsorganisation som prioriterer Risk & Compliance højt, har et betydeligt forspring i forhold til sine kunder:
- Stordriftsfordele: En skadebehandlingsorganisation, der beskæftiger sig med hundredtusinder skader om året, har råd til at investere i Risk & Compliance i forbindelse med skadebehandlingsprocesser.
- Kerneforretning: Hvor en kunde står overfor investeringer i et omkostningselement, investerer skadebehandlingsorganisationen i sin kerneforretning
- Bred vifte af ekspertise: En kunde har kun sin egen virksomhed som referenceramme, mens en skadebehandlerorganisation lærer fra hundredvis af kunder og uendelige forskellige situationer.
Risk & Compliance bidrager ikke kun til forbedring af sikkerhed og processer. Funktionen spiller en vigtig rolle inden for organisationsforbedring. Feedback fra vores skadebehandlere hjælper os med at forbedre processer, som igen hjælper skadebehandlere med at udføre deres arbejde mere effektivt. Risk & Compliance-funktionen er tværfaglig, fra retlige aspekter til transaktioner og fra it til LEAN.
Når det kommer til professionel Risk and Compliance, er Van Ameyde langt foran markedet for skadebehandling. I 2008 var vi de første på markedet til at opnå SAS70-rapportering, forløberen for ISAE 3402-rapportering (som vi har haft lige siden). Med sin interne it-organisation (Zero) 70 var Van Ameyde også først til at blive ISO 27001:2013-certificeret for sit styringssystem for informationssikkerhed. Denne certificering var et af de første skridt i GDPR-overholdelsesprojektet i 2016. Lad os nøjes med at sige, at vores sikring af vores systemer går videre end GPDR-kravene, da vi anser sikringen af vores kunder mod cyberrisici som en vital del af vores servicetilbud.
Spørgsmål om Risk & Compliance i skadebehandling?
Du er velkommen til at kontakte mig!
Som opdragsgiver skal du jo kunne påvise, at tjenesteudbyder faktisk har styr på det.
