Vi hanterar risker och efterlevnad. Riskhantering innebär olika saker för olika företag. Chefen för riskhantering på ett tillverkningsföretag kanske fokuserar på risker i leverantörskedjan, tillverkningsprocessen och distributionen. Försäkringsbolag bedömer risker för objektet som ska försäkras och den försäkrades riskprofil. Men vad gäller för ett skaderegleringsföretag?
Ett skaderegleringsföretag hanterar risker och efterlevnad:
- inom sin egen organisation
- i relation till kundernas skaderegleringsprocesser (försäkringsgivare, mäklare och captivebolag) och deras försäkringstagare (allt från privatpersoner till stora företag).
En kund som överväger att outsourca sina skadehanteringsprocesser har inte längre råd att fatta beslut som bara baseras på pris. Vid outsourcing av skadehanteringsprocesser förflyttar kunden så mycket ansvar att leverantörens riskhanterings- och efterlevnadsfunktion är avgörande i beslutsprocessen. Dessutom gör ny integritetslagstiftning att funktionen blir allt viktigare.
En kund som vill outsourca sina skadehanteringsprocesser bör ställa sig följande tre frågor som en del av beslutsprocessen:
Efterföljs regler och lagstiftning?
I god tid före det nya lagstiftningsdatumet måste skaderegleringsföretag förbereda sig för implementeringen. Van Ameyde började redan 2016 med genomförandet av GDPR. Annan relevant lagstiftning inkluderar lag om penningtvätt som kräver omfattande anpassning till ekonomisystemen.
Har skaderegleringsföretaget kontroll över sina processer?
Processkontroll är kopplat med företagets IT-system – och hur bedömer du om leverantören har kontroll över sina processer? Som chef måste du kunna bevisa att din leverantör har kontrollen. Det blir enkelt att bevisa om leverantören har ISAE 3402 typ 2-rapportering då ISAE 3402 är den internationella outsourcingstandarden. Ramverket för riskhantering är en del av rapporteringen. Typ 2-rapportering visar inte bara att kontrollmätningsverktyg finns på plats (= typ 1-rapportering) utan även att de är effektiva.
Hur säkrar skaderegleringsföretag sina data?
Inte minst på grund av GDPR innebär skadehanteringsprocesser att IT-systemen måste ha högsta möjliga säkerhet. Även om ISO-certifiering inte är obligatorisk för GDPR är ISO 27001: 2013 en viktig certifiering för säkerhet i informationshanteringssystem. Med denna certifiering kan du som kund vara säker på att dina tjänsteleverantörer satsar på säkerhet i alla nivåer.
Vi hanterar risker och efterlevnad i skadereglering: ett steg före
Ett företag som satsar seriöst på riskhantering och efterlevnad ligger steget före:
- stordriftsfördelar: ett företag som hanterar hundratusentals skadestånd årligen har råd att investera i en skadehanteringsrelaterad risk- och efterlevnadsfunktion
- kärnverksamhet: där en kund skulle stå inför investeringar i kostnadsdrivande faktorer, satsar skaderegleringsföretag på sin kärnverksamhet
- bred kompetens från många vinklar: en kund kan bara referera till sin egen verksamhet medan ett företag som arbetar med skadehantering lär sig från hundratals kunder och oändligt många situationer.
En risk- och efterlevnadsfunktion bidrar inte bara till säkerhets- och processförbättringar: funktionen har samtidigt en viktig roll när det gäller organisationsförbättringar. Feedback från våra skadereglerare hjälper oss att förbättra processerna, vilket i sin tur hjälper skadereglerare att göra sitt arbete mer effektivt. Risk- och efterlevnadsfunktionen innebär ett multidisciplinärt arbetssätt: från juridik till drift och från IT till LEAN.
När det gäller professionell risk- och efterlevnad ligger Van Ameyde långt före marknaden för skadereglering. Under 2008 var vi de första på marknaden för att få SAS70-rapportering, föregångaren till ISAE 3402-rapportering (som vi har haft sedan dess). Med vår interna IT-organisation (Zero) 70 var Van Ameyde också först med att bli ISO 27001: 2013-certifierade för vårt ledningssystem för informationssäkerhet. 2016 var denna certifiering ett av de första stegen i efterlevnad av GDPR. Våra system sträcker sig bortom GPDR-kraven eftersom en viktig del av vårt serviceutbud är att säkra våra kunder mot cyberrisker.
Har du några frågor angående risk- och efterlevnadsfunktionen i skadereglering?
Svarar jag gärna på dina frågor – tveka inte att kontakta mig om det är något du undrar över!
Som chef måste du kunna bevisa att din leverantör har kontrollen.