Risikomanagement bedeutet für verschiedene Organisationen unterschiedliche Dinge. Ein Risikomanager eines Fertigungsunternehmens kann sich beispielsweise auf Risiken im Zusammenhang mit der Lieferkette, dem Fertigungsprozess und dem Vertrieb konzentrieren. Ein Versicherer bewertet das Risiko des zu versichernden Objekts und das Risikoprofil des Versicherten. Und was ist mit einer Schadensregulierungsorganisation?
Eine Schadenbearbeitungsorganisation befasst sich mit Risiken und Compliance innerhalb ihrer eigenen Organisation in Bezug auf Schadenprozesse ihrer Kunden (Versicherer, Makler, firmeneigene Versicherer) und deren Versicherungsnehmer (von Einzelpersonen bis hin zu großen Unternehmen). Es genügt zu sagen, dass ein Kunde, der die Auslagerung von Schadenprozessen in Betracht zieht, es sich nicht mehr leisten kann, Entscheidungen allein auf der Grundlage des Preises zu treffen. Bei der Auslagerung von Schadenprozessen überträgt der Kunde so viel Verantwortung, dass die Professionalität der Risiko- und Compliance-Funktion des Schadenbearbeiters im Entscheidungsprozess von entscheidender Bedeutung ist. Neue Datenschutz- und Compliance-Gesetze führen dazu, dass diese Funktion immer wichtiger wird.
Ein Kunde, der Schadenprozesse auslagern möchte, sollte im Rahmen des Entscheidungsprozesses die folgenden drei – eng miteinander verbundenen – Fragen stellen:
Werden Vorschriften und Gesetze aktiv umgesetzt?
Lange vor dem Inkrafttreten neuer Gesetze muss sich die Schadenregulierungsorganisation auf die Umsetzung vorbereiten. Van Ameyde hat beispielsweise bereits 2016 mit der Umsetzung der DSGVO begonnen. Zu den weiteren relevanten Gesetzen gehört die Geldwäscherichtlinie, die erhebliche Anpassungen der Finanzsysteme erfordert.
Hat die Schadenregulierungsorganisation die Kontrolle über ihre Prozesse?
Die Prozesskontrolle ist eng mit den IT-Systemen des Unternehmens verbunden. Wie beurteilen Sie, ob der Dienstleister seine Prozesse unter Kontrolle hat? Als Auftraggeber müssen Sie schließlich nachweisen können, dass Ihr Dienstleister tatsächlich die Kontrolle hat. Dies lässt sich leicht nachweisen, wenn der Dienstleister über eine Berichterstattung nach ISAE 3402 Typ 2 verfügt. ISAE 3402 ist der internationale Outsourcing-Standard. Der Risikomanagementrahmen ist Teil der Berichterstattung. Die Berichterstattung nach Typ 2 weist nicht nur das Vorhandensein von Kontrollmaßnahmen nach (= Berichterstattung nach Typ 1), sondern auch die Wirksamkeit dieser Maßnahmen.
Wie sichert die Schadensregulierungsorganisation Daten?
Nicht zuletzt aufgrund der DSGVO erfordert die Schadenbearbeitung ein Höchstmaß an Sicherheit der IT-Systeme. Obwohl die ISO-Zertifizierung im Rahmen der DSGVO nicht obligatorisch ist, ist ISO 27001:2013 die relevante Zertifizierung für Informationssicherheits-Managementsysteme. Mit dieser Zertifizierung können Sie als Kunde sicher sein, dass Ihre Dienstleister in Sachen Cybersicherheit an der Spitze stehen, und zwar über den Datenschutz hinaus.
Risiko und Compliance bei der Schadensabwicklung: einen Schritt voraus
Ein Unternehmen für die Schadensabwicklung, das es in Bezug auf Risiko und Compliance ernst meint, hat einen erheblichen Vorsprung gegenüber seinen Kunden:
- Größenvorteil: Ein Unternehmen für die Schadensabwicklung, das jährlich Hunderttausende von Schadensfällen bearbeitet, kann es sich leisten, in Risiko und Compliance im Zusammenhang mit dem Schadensabwicklungsprozess zu investieren
- Kerngeschäft: Während ein Kunde mit Investitionen in einen Kostentreiber konfrontiert wäre, investiert die Schadensregulierungsorganisation in ihr Kerngeschäft
- umfassende Expertise aus vielen Blickwinkeln: Ein Kunde kann nur auf sein eigenes Geschäft Bezug nehmen, während eine Schadensregulierungsorganisation von Hunderten von Kunden und unendlich vielen verschiedenen Situationen lernt
Risiko- und Compliance-Management trägt nicht nur zur Sicherheit und zu Prozessverbesserungen bei: Die Funktion spielt auch eine wichtige Rolle im Bereich der Organisationsverbesserung. Das Feedback unserer Schadensbearbeiter hilft uns, Prozesse zu verbessern, was wiederum dazu beiträgt, dass die Schadensbearbeiter ihre Arbeit effizienter erledigen können. Die Risiko- und Compliance-Funktion ist multidisziplinär: von Recht bis Betrieb und von IT bis LEAN.
Wenn es um professionelles Risiko- und Compliance-Management geht, ist Van Ameyde dem Markt für Schadenmanagement weit voraus. 2008 waren wir die ersten auf dem Markt, die eine SAS70-Berichterstattung erhielten: den Vorläufer der ISAE 3402-Berichterstattung (die wir seitdem haben). Mit seiner internen IT-Organisation (Zero)70 war Van Ameyde auch das erste Unternehmen, das für sein Informationssicherheits-Managementsystem nach ISO 27001:2013 zertifiziert wurde. Im Jahr 2016 war diese Zertifizierung einer der ersten Schritte im Rahmen des Projekts zur Einhaltung der DSGVO. Es genügt zu sagen, dass die Sicherung unserer Systeme über die Anforderungen der DSGVO hinausgeht, da wir die Absicherung unserer Kunden gegen Cyberrisiken als einen wesentlichen Bestandteil unseres Dienstleistungsangebots betrachten.
Nehmen Sie Kontakt mit uns auf und erfahren Sie, wie wir Ihnen helfen können!