Como uma empresa de saúde lida com o risco de terceiros com tecnologia e dados

No início de 2024, um ataque de ransomware prejudicou um dos maiores processadores de sinistros médicos dos EUA, responsável por 15 bilhões de transações anualmente. Essa violação, a maior do gênero na história dos Estados Unidos, causou uma onda de choque no setor, afetando as informações pessoais de mais de 190 milhões de pacientes e ameaçando levar os médicos à falência.¹

Os riscos de terceiros, principalmente aqueles que apoiam ou estão diretamente envolvidos nas operações de uma empresa, podem causar danos significativos às operações, à reputação e aos clientes de uma organização — e a segurança cibernética é apenas um aspecto do gerenciamento desses riscos. Para a maioria dos setores, os riscos de terceiros podem abranger qualidade, reputação, resiliência, privacidade, operações e muito mais. Especificamente no setor de saúde, proteger grandes quantidades de dados pessoais confidenciais e atender às demandas regulatórias continua sendo um equilíbrio diário cada vez mais delicado.

Como muitas organizações grandes e em crescimento, a empresa de serviços de saúde globais da Fortune 50 vinha enfrentando desafios no gerenciamento de riscos de terceiros: dados e sistemas díspares e processos em silos limitavam a capacidade da organização de melhorar sua postura de riscos de terceiros em um ecossistema em rápida mudança.

Para esse grande cliente do setor de saúde, o risco de terceiros pode surgir por meio de dois fluxos específicos, sua rede de fornecedores ou por meio de fornecedores tradicionais, como call centers, terceirizados e parceiros de tecnologia. Os executivos queriam uma solução personalizada que abordasse o gerenciamento de riscos de terceiros de ponta a ponta.

"Estamos vendo mais clientes adotarem estratégias baseadas em tecnologia e dados para enfrentar os desafios do gerenciamento de riscos, conectando sistemas e processos em toda a empresa", disse Daniel Prior, líder de gerenciamento de riscos integrados da EY Americas. "Essa abordagem é especialmente predominante no gerenciamento de riscos de terceiros, embora esteja ganhando força também em outras áreas."

Estabelecimento de um processo conectado de ponta a ponta por meio da orquestração

O gerenciamento de riscos de terceiros não era novidade para essa organização, mas sua abordagem precisava evoluir para eliminar silos, oferecer visibilidade abrangente dos riscos de terceiros e simplificar o processo para a empresa, permitindo uma tomada de decisão mais rápida e melhor. Parte de sua solução foi aproveitar o ServiceNow para estabelecer uma porta de entrada digital e fluxos de trabalho para conectar melhor os processos de aquisição e de risco de terceiros entre os parceiros da matriz.

A ServiceNow atua como um backbone digital, simplificando os processos de ponta a ponta, aprimorando o gerenciamento de riscos de terceiros, melhorando a experiência do usuário final e conectando operações anteriormente isoladas para aumentar a eficiência. Por exemplo, um usuário pode iniciar uma única solicitação de compra de produtos ou serviços e fornecerá todas as informações necessárias para acionar o processo downstream uma única vez, reduzindo o que antes exigia vários pontos de contato e logins em diferentes sistemas sem um objetivo claro. Os usuários podem pesquisar terceiros e entender antecipadamente quaisquer riscos potenciais associados a esses terceiros ou a seus serviços. Além disso, a plataforma oferece um painel único para iniciar ou responder a várias necessidades ao longo do processo.

Essa foi uma maneira eficaz de simplificar e automatizar processos tradicionalmente complexos para focar nos riscos certos no momento certo, aprimorando a experiência comercial e permitindo uma abordagem mais dinâmica e orientada por dados para o gerenciamento de riscos. Em vez de serem bombardeados com e-mails de vários sistemas, os funcionários são integrados a esse novo processo otimizado, reconhecendo rapidamente que ele simplifica seu trabalho.

Aplicar uma abordagem orientada por dados, aproveitando informações internas e externas

As empresas geralmente dependem de pesquisas auto-relatadas de terceiros para avaliar os controles sobre dados confidenciais. No entanto, as organizações também têm acesso a uma ampla gama de dados valiosos — abrangendo qualidade, desempenho, resiliência, privacidade, conformidade regulamentar e segurança cibernética — que podem aprimorar a avaliação e a priorização de riscos. O desafio é que esses dados geralmente estão espalhados por sistemas desconectados. Cada vez mais, as organizações estão aproveitando as fontes de dados internas e externas para avaliar os riscos de forma mais eficaz e em tempo real.

Esse cliente criou "produtos de dados" na Databricks para centralizar dados relevantes para gerenciar riscos de terceiros e estabelecer fontes claras de verdade. Aplicando a ciência e a análise de dados, esses produtos de dados criaram outra camada essencial da nova abordagem da empresa para gerenciar riscos de terceiros. Os modelos de risco permitem a identificação, a avaliação e a priorização dos riscos, aproveitando os dados internos e externos, muitos dos quais em tempo real. Essa base permite insights orientados por IA, transformando a forma como a empresa e seus parceiros gerenciarão os riscos por meio de dados.

Estabelecimento de processos de decisão e escalonamento de riscos

Gerenciar o risco de terceiros requer não apenas saber onde há risco, mas também ser capaz de tomar decisões eficientes e eficazes em relação a esses riscos. Esse cliente trabalhou para definir processos e critérios claros para a tomada de decisões sobre riscos, incluindo o escalonamento de riscos para os níveis apropriados da organização, conforme necessário.

Com as novas ferramentas, o cliente pode levar os riscos aos tomadores de decisão apropriados com base em critérios orientados por dados para análise e tomada de decisão. Além disso, a IA pode ser utilizada para analisar riscos e determinar as possíveis próximas etapas para os tomadores de decisão, mantendo o "humano no circuito".

As visualizações e a IA ajudam a sintetizar dados complexos, acelerando a análise de riscos e gerando resultados mais rápidos e informados. Por exemplo, a IA pode analisar terceiros com base nos critérios fornecidos e identificar as possíveis próximas etapas a serem consideradas, economizando muito tempo e enfatizando as atividades estratégicas.

Adote a IA para adicionar autoatendimento e outras eficiências à análise de riscos

Os painéis de risco são úteis, mas a IA generativa (Gen AI) pode oferecer um recurso de autoatendimento muito mais interativo. O cliente desenvolveu um chatbot habilitado para IA no qual os usuários podem gerar informações ou inserir critérios de análise para embasar a tomada de decisões sobre riscos. Os dados podem ser interrogados por meio de uma discussão em linguagem natural, como qualquer outra interface de IA.

Com base nos principais princípios de gerenciamento de riscos e nas novas tecnologias modernas, essa organização de saúde terá uma solução totalmente digital e habilitada para IA para gerenciar riscos de terceiros em toda a empresa em um setor de saúde em rápida evolução, no qual o desafio de proteger os pacientes é maior do que nunca. Esses esforços para trabalhar com fornecedores terceirizados e aumentar a eficiência e reduzir os custos são valiosos por si só. Além disso, os líderes da empresa agora podem examinar seu ecossistema de terceiros de forma mais eficaz e dinâmica e tomar decisões melhores em tempo real.

E isso é só o começo. A empresa continuará a explorar recursos adicionais de IA em contratos e em outros lugares. Ao aproveitar a IA, por exemplo, esse líder de serviços de saúde prevê uma expansão significativa do leque de terceiros estratégicos ou de alto risco que recebem um maior grau de monitoramento e gerenciamento contínuos.