Les sociétés peuvent avoir une vision différente de la gestion des risques. Le gestionnaire des risques d’une entreprise de fabrication se concentrera sur la chaîne logistique, le processus de fabrication, et la distribution. Un assureur évaluera le risque de l’objet à assurer et le profil de risque de la partie assurée. Qu’en est-il d’une société de gestion des sinistres ?
Les sociétés peuvent avoir une vision différente de la gestion des risques. Le gestionnaire des risques d’une entreprise de fabrication se concentrera sur la chaîne logistique, le processus de fabrication, et la distribution. Un assureur évaluera le risque de l’objet à assurer et le profil de risque de la partie assurée. Qu’en est-il d’une société de gestion des sinistres ?
Cette société gère le Risque et la Conformité :
- au sein de sa propre structure
- en lien avec les processus de gestion des sinistres de ses clients (assureurs, courtiers, captives)
- et de leurs souscripteurs (particuliers ou grandes entreprises)
À l’heure actuelle, lorsqu’un client envisage d’externaliser ses processus de gestion des sinistres, le prix ne peut plus être le facteur décisif de sa prise de décisions. Dans ce type de processus, le client doit être certain du professionnalisme de la fonction Risque et Conformité du gestionnaire des sinistres auquel il s’en remet, afin de prendre une décision raisonnable. Avec l’entrée en vigueur de la nouvelle législation relative à la confidentialité des données et à la conformité, cette fonction ne cesse de prendre de l’importance.
Avant de prendre une décision, un client désireux d’externaliser ses processus de gestion des sinistres doit se poser les trois questions suivantes :
Les réglementations et la législation sont-elles implémentées de manière active ?
Bien avant la date d’entrée en vigueur de la nouvelle législation, la société de gestion des sinistres doit se préparer à leur implémentation. Van Ameyde, par ex., a commencé à implémenter le RGPD dès 2016. D’autres législations, comme la directive anti-blanchiment par exemple exigent de sérieuses adaptations de la part des systèmes financiers.
La société de gestion des sinistres a-t-elle un contrôle direct sur ses processus ?
Le contrôle des processus est étroitement lié aux systèmes de technologie de l’information de la société. Comment évalue-t-on le contrôle direct d’un fournisseur de services sur ses processus ? En votre qualité de « mandant », vous devez être en mesure de démontrer que votre fournisseur de services a effectivement un contrôle direct sur ses processus. Si le fournisseur de services est certifié ISAE 3402, rapport de type II, rien de plus simple. L’ISAE 3402 est la norme internationale relative à l’externalisation. Elle intègre la gestion des risques. Outre l’existence de mesures de contrôle (qui sont l’objet du rapport de type I), le rapport de type II démontre l’efficacité de ces mesures.
Comment la société de gestion des sinistres protège-t-elle les données ?
Hormis les exigences du GDPR, la gestion des sinistres requiert des systèmes de technologie de l’information un niveau de sécurité maximal. Bien que la certification ISO ne soit pas obligatoire dans le cadre du GDPR, les systèmes de gestion de la sécurité de l’information dignes de ce nom sont certifiés ISO 27001:2013. Cette certification est la garantie que vos fournisseurs de services sont en pointe en termes de cybersécurité, et qu’ils respectent voire dépassent les exigences liées au respect de la confidentialité des données.
Risque et Conformité intégrés à la gestion des sinistres : un plus pour les entreprises
Une société de gestion des sinistres qui intègre une fonction Risque et Conformité présente une valeur ajoutée pour ses clients :
- économies d’échelle : une société de gestion des sinistres qui gère des centaines de milliers de sinistres par an peut se permettre d’investir dans une fonction Risque et Conformité intégrée à ses processus de gestion des sinistres
- cœur de métier : alors qu’un client doit investir dans un inducteur de coûts, une société de gestion des sinistres investit dans son cœur de métier
- expertise accrue : alors qu’un client n’a que sa propre activité comme référence, une société de gestion des sinistres apprend de ses centaines de clients et d’une infinité de cas de figures différents
La fonction Risque et Conformité ne contribue pas seulement à améliorer la sécurité et les processus. Elle joue également un rôle crucial dans le développement propre de l’entreprise. Les retours des gestionnaires de sinistres nous aident à améliorer nos processus. Ils les aident également eux-mêmes à travailler plus efficacement. La fonction Risque et Conformité est pluridisciplinaire dans le sens où elle concerne aussi bien le juridique que les opérations, et aussi bien la technologie de l’information que la méthodologie LEAN.
Lorsqu’elle s’applique aux professionnels, il ne s’agit pas simplement de gestion des sinistres pour Van Ameyde. En 2008, nous avons été les premiers à obtenir la certification SAS70, modèle précurseur de la norme ISAE 3402 (que nous possédons depuis). Notre norme interne « IT organisation (Zero)70 » nous a également permis d’être les premiers à obtenir la certification ISO 27001:2013 relative aux systèmes de gestion de la sécurité de l’information. En 2016, cette certification fut en partie à l’origine du projet de conformité GDPR. Il va sans dire que les systèmes mis en place vont au-delà des exigences du GDPR dans la mesure où la protection de nos clients contre les cyber-risques constitue un élément majeur de notre offre de services.
Questions relatives à la fonction Risque et Conformité en termes de gestion des sinistres ?
Je me ferai un plaisir de répondre aux questions que vous pouvez vous poser. N’hésitez pas à me contacter !
En votre qualité de « mandant », vous devez être en mesure de démontrer que votre fournisseur de services a effectivement un contrôle direct sur ses processus.
