Risk management betekent voor verschillende organisaties verschillende dingen. Een riskmanager bij een productiebedrijf heeft bijvoorbeeld aandacht voor de risico’s van de supply chain, het productieproces en distributie. Een verzekeraar kijkt naar het risico van het te verzekeren object en het risicoprofiel van de verzekerde. En een schadebehandelaar?
Een claims-managementorganisatie krijgt te maken met risico’s en compliance
- binnen de eigen organisatie
- in relatie tot schadeprocessen van de klant [verzekeraars, makelaars, volmachten, captives]
- én hun verzekerden [van particulieren tot grootzakelijke klanten]
Het mag duidelijk zijn dat een klant bij het uitbesteden van schadeprocessen niet alleen meer naar prijs kan kijken. De klant legt zoveel verantwoordelijkheid neer bij de schadebehandelaar, dat de professionaliteit van Risk & Compliance een zeer belangrijk beslispunt is. Dit wordt als gevolg van de wetgeving alleen maar belangrijker.
Een klant die schadeprocessen wil uitbesteden, moet in ieder geval drie vragen stellen, die nauw verband met elkaar houden:
Wordt wet- en regelgeving actief geïmplementeerd?
De schadebehandelaar moet ruim voor deadlines van nieuwe wetgeving aan de slag. Van Ameyde is bijvoorbeeld al begin 2016 gestart met de implementatie van AVG. Andere relevante wetgeving is bijvoorbeeld de Witwas richtlijn (Anti Money Laundering Directive), waarop de financiële systemen moeten zijn ingericht.
Beheerst de schadebehandelaar de processen?
Procesbeheersing is heel nauw verbonden met de IT-systemen. Hoe beoordeel je of de dienstverlener de procesbeheersing op orde heeft? Immers, u als opdrachtgever moet kunnen aantonen dat processen beheerst worden. Dat is eenvoudig aan te tonen als de dienstverlener (schadebehandelaar) beschikt over ISAE 3402 type 2 rapportage. ISAE 3402 is de internationale outsourcingstandaard. Een onderdeel van de rapportage is het risicomanagement framework. Type 2 toont niet alleen het bestaan van beheersmaatregelen aan (= type 1), maar ook de effectieve werking van de beheersmaatregelen.
Hoe gaat de schadebehandelaar om met informatiebeveiliging?
Mede in het kader van AVG moet de beveiliging van de IT-systemen van het allerhoogste niveau zijn. Weliswaar is ISO-certificering voor AVG niet verplicht, maar als u zekerheid wilt over de mate van informatiebeveiliging dat is ISO 27001:2013 dé relevante certificering voor het managementsysteem voor informatiebeveiliging. Daarmee weet u als klant zeker dat de schadebehandelaar echt op kop ligt als het gaat om het beveiliging tegen cyberrisico’s. En dat gaat veel verder dan ‘alleen’ privacy.
Risk & compliance bij schadebehandeling: voorsprong op klanten
Een schadebehandelaar die de Risk & Compliance functie op orde heeft, heeft een grote voorsprong op zijn klant:
- de schaalgrootte: een schadebehandelaar die honderdduizenden claims op jaarbasis behandelt, kan zich veroorloven hierin te investeren
- core-business: een klant moet investeren in een cost-driver, de schadebehandelaar investeert in zijn core-business
- brede expertise vanuit veel invalshoeken: een klant kijkt alleen vanuit de eigen business, terwijl een schadebehandelaar leert van honderden klanten en eindeloos veel situaties
Risk & compliance draagt niet alleen bij aan veiligheid en procesverbetering: er ligt een belangrijke rol op het gebied van organisatieverbetering. Incidenten worden niet eenmalig maar structureel aangepakt. Feedback van onze schadebehandelaren draagt bij aan verbetering van processen. En daarmee helpen we schadebehandelaren weer hun werk efficiënter te maken. De functie van Risk & Compliance is multidisciplinair: van legal tot operaties en van IT tot LEAN.
Van Ameyde is in de schadebehandelingsbranche voorloper als het gaat om professionele risk & compliance. In 2008 beschikte Van Ameyde als eerste in de branche over SAS70 rapportage: de voorloper van ISAE 3402. Ook in 2016 had Van Ameyde met haar eigen IT-organisatie (Zero)70 weer een primeur: als eerste IT-dienstverlener in de verzekeringsbranche is (Zero)70 sinds oktober 2016 ISO 27001:2013 gecertificeerd voor haar managementsysteem voor informatiebeveiliging. Deze certificering was een van de eerste stappen in het project om te voldoen aan AVG. Maar de beveiliging van onze systemen dient natuurlijk ook ‘gewoon’ om ons en onze klanten te beschermen tegen cyberrisico’s.
Vragen over risk & compliance bij schadebehandeling?
Ik beantwoord graag uw vragen: neem daarom bij vragen gerust contact met mij op!
U moet als opdrachtgever immers kunnen aantonen dat uw dienstverlener de processen beheerst.