La gestione del rischio assume significati diversi a seconda del tipo di azienda. Per fare un esempio, il risk manager di un’impresa manifatturiera potrà occuparsi dei rischi legati alla catena di approvvigionamento, al processo di produzione e alla distribuzione. Un assicuratore valuterà invece il rischio dell’oggetto da assicurare e il profilo di rischio dell’assicurato. E per quanto riguarda le società di gestione dei sinistri?
Una società di gestione sinistri presidia i rischi e la compliance
- nella propria struttura
- relativamente ai processi di trattamento dei sinistri dei clienti (assicuratori, broker, captive)
- e dei loro assicurati (dalle persone fisiche alle grandi aziende)
Oggi, un cliente interessato alla possibilità di esternalizzare i processi di trattamento dei sinistri non può più permettersi di basare le proprie decisioni sul solo criterio del prezzo. L’affidamento in outsourcing dei processi di trattamento dei sinistri comporta il trasferimento di una mole di responsabilità tale per cui la professionalità della funzione Rischio e Compliance dell’outsourcer diventa un elemento discriminante nel processo decisionale del cliente. Con le nuove normative in materia di privacy e di conformità, questa funzione sta assumendo sempre maggiore importanza.
Un cliente che intenda esternalizzare i processi di trattamento dei sinistri, prima di scegliere l’outsourcer dovrebbe porsi le seguenti tre domande, strettamente interconnesse:
I regolamenti e le normative vengono applicati in maniera attiva?
La società di gestione dei sinistri deve prepararsi all’adeguamento alle nuove norme molto prima della loro entrata in vigore. Ad esempio, per quanto concerne l’attuazione dell’RGPD, Van Ameyde si è portata avanti sin dal 2016. Altre normative pertinenti comprendono la direttiva antiriciclaggio, che richiede adeguamenti sostanziali dei sistemi finanziari.
La società di gestione sinistri ha il controllo dei propri processi?
Il controllo dei processi è strettamente correlato ai sistemi IT dell’azienda. Come si valuta se il prestatore di servizi ha il controllo dei propri processi? Un committente, dopo tutto, deve essere in grado di dimostrare che il proprio fornitore soddisfa questo imprescindibile criterio. E può farlo con molta facilità se il prestatore di servizi ha un Report ISAE 3402 di tipo 2. L’ISAE 3402 è lo standard internazionale per i servizi di outsourcing e il quadro di gestione del rischio rientra nelle valutazioni del report. Il report di tipo 2 non si limita ad attestare l’esistenza delle misure di controllo (report di tipo 1) ma ne certifica anche l’efficacia.
Come vengono protetti i dati dalla società di gestione sinistri?
La gestione dei sinistri impone il più alto livello possibile di sicurezza dei sistemi informatici, non da ultimo per via del regolamento RGPD. Fermo restando che la certificazione ISO non è obbligatoria nell’ambito dell’RGPD, ricordiamo che la certificazione pertinente per i sistemi di gestione della sicurezza delle informazioni è l’ISO 27001:2013. Con questa certificazione, il cliente può star certo che i suoi fornitori di servizi esprimono l’eccellenza in fatto di cibersicurezza, andando ben oltre la mera tutela della privacy.
Rischio e compliance nella gestione dei sinistri: essere un passo avanti
Una società di gestione sinistri seriamente impegnata sul fronte del rischio e della compliance ha molti vantaggi da offrire ai propri clienti:
- vantaggio di scala: un outsourcer che gestisce centinaia di migliaia di sinistri all’anno può permettersi di investire nel presidio del rischio e della compliance nei processi di trattamento dei sinistri;
- linea di business principale: mentre al cliente si presenterebbe la necessità di effettuare investimenti in un fattore di costo, la società di gestione sinistri investe nella propria linea di business principale;
- un bagaglio di esperienza ampio e sfaccettato: un cliente ha come unica misura di riferimento il proprio ambito di attività, mentre una società di gestione sinistri impara da centinaia di clienti e da un’infinità di situazioni diverse.
La funzione Rischio e Compliance non solo contribuisce al miglioramento della sicurezza e dei processi, ma svolge anche un ruolo importante sul piano del miglioramento dell’azienda. Il feedback dei nostri gestori sinistri ci aiuta a migliorare i processi e questo a sua volta aiuta i gestori sinistri ad essere più efficienti nello svolgimento del loro lavoro. La funzione Rischio e Compliance è multidisciplinare: spazia dal legale all’operativo, dall’IT ai processi “LEAN”.
Per quanto riguarda il presidio professionale del rischio e della compliance, Van Ameyde è l’outsourcer più performante del mercato della gestione sinistri. Nel 2008 siamo stati i primi a ottenere il report SAS70, il precursore del report ISAE 3402 (che da allora abbiamo sempre conseguito). Grazie alla nostra struttura informatica interna (Zero)70, siamo stati anche i primi a ottenere la certificazione ISO 27001:2013 per il sistema di gestione della sicurezza delle informazioni. Nel 2016 questa certificazione ha rappresentato una delle prime tappe del progetto di conformità all’RGPD. Basti dire che la protezione dei nostri sistemi va oltre i requisiti dell’RGPD, perché riteniamo che tutelare i nostri clienti dai rischi informatici sia una componente essenziale della nostra offerta di servizi.
Rischio e compliance nella gestione dei sinistri: qualche domanda?
Sarò lieto di rispondere a tutte le vostre domande. Non esitate a contattarmi!
Un committente, dopo tutto, deve essere in grado di dimostrare che il proprio fornitore soddisfa questo imprescindibile criterio.