Como é que uma empresa de cuidados de saúde enfrenta o risco de terceiros com tecnologia e dados

Noinício de 2024, um ataque de ransomware paralisou um dos maiores processadores de pedidos de indemnização médica dos EUA, responsável por 15 mil milhões de transacções anuais. Esta violação — a maior do género na história dos EUA — provocou ondas de choque em todo o sector, afectando as informações pessoais de mais de 190 milhões de doentes e ameaçando levar os médicos à falência.¹

Os riscos de terceiros, especialmente os que apoiam ou estão diretamente envolvidos nas operações de uma empresa, podem infligir danos significativos às operações de uma organização, à sua reputação e aos seus clientes — e a cibersegurança é apenas um aspeto da gestão desses riscos. Para a maioria dos sectores, os riscos de terceiros podem abranger a qualidade, a reputação, a resiliência, a privacidade, as operações e muitos outros. Especificamente no sector dos cuidados de saúde, a proteção de grandes quantidades de dados pessoais sensíveis, a par do cumprimento das exigências regulamentares, continua a ser um equilíbrio diário cada vez mais delicado.

Como muitas organizações grandes e em crescimento, a empresa de serviços de saúde global da Fortune 50 vinha enfrentando desafios no gerenciamento de riscos de terceiros: dados e sistemas díspares e processos em silos limitavam a capacidade da organização de melhorar sua postura de riscos de terceiros em um ecossistema em rápida mudança.

Para este grande cliente do sector dos cuidados de saúde, o risco de terceiros pode surgir através de dois fluxos específicos, a sua rede de fornecedores ou através de fornecedores tradicionais, tais como centros de atendimento telefónico, subcontratantes e parceiros tecnológicos. Os executivos queriam uma solução personalizada que abordasse a gestão de riscos de terceiros de ponta a ponta.

"Estamos vendo mais clientes adotarem estratégias baseadas em tecnologia e dados para enfrentar os desafios de gerenciamento de risco, conectando sistemas e processos em toda a empresa", disse Daniel Prior, Líder de Gerenciamento de Risco Integrado da EY Americas. "Esta abordagem é especialmente predominante na gestão de riscos de terceiros, embora também esteja a ganhar força noutras áreas."

Estabelecer um processo ligado de ponta a ponta através da orquestração

A gestão de riscos de terceiros não era novidade para esta organização, mas a sua abordagem precisava de evoluir para eliminar silos, fornecer uma visibilidade abrangente dos riscos de terceiros e simplificar o processo para a empresa - permitindo uma tomada de decisões mais rápida e melhor. Parte da sua solução consistiu em utilizar o ServiceNow para estabelecer uma porta de entrada digital e fluxos de trabalho para ligar melhor os processos de aquisição e de risco de terceiros entre os parceiros da matriz.

O ServiceNow funciona como uma espinha dorsal digital, simplificando os processos de ponta a ponta, melhorando a gestão de riscos de terceiros, melhorando a experiência do utilizador final e ligando operações anteriormente isoladas para aumentar a eficiência. Por exemplo, um utilizador pode iniciar um único pedido de compra de bens ou serviços e fornecerá todas as informações necessárias para desencadear o processo a jusante uma única vez, reduzindo o que antes exigia vários pontos de contacto e registos em diferentes sistemas sem um objetivo claro. Os utilizadores podem pesquisar terceiros e compreender antecipadamente quaisquer riscos potenciais associados a esses terceiros ou aos seus serviços. Além disso, a plataforma fornece um painel de controlo único para iniciar ou responder a várias necessidades ao longo do processo.

Esta foi uma forma eficaz de simplificar e automatizar processos tradicionalmente complexos para se concentrar nos riscos certos no momento certo — melhorando a experiência empresarial e permitindo uma abordagem mais dinâmica e baseada em dados para a gestão de riscos. Em vez de serem bombardeados com mensagens de correio eletrónico de vários sistemas, os funcionários são integrados neste novo processo racionalizado, reconhecendo rapidamente que este simplifica o seu trabalho.

Aplicar uma abordagem orientada para os dados, tirando partido das informações internas e externas

As empresas dependem frequentemente de inquéritos auto-declarados de terceiros para avaliar os controlos sobre dados sensíveis. No entanto, as organizações também têm acesso a uma vasta gama de dados valiosos — abrangendo a qualidade, o desempenho, a resiliência, a privacidade, a conformidade regulamentar e a cibersegurança — que podem melhorar a avaliação e a definição de prioridades dos riscos. O desafio é que estes dados estão frequentemente dispersos por sistemas desconexos. Cada vez mais, as organizações estão a utilizar fontes de dados internas e externas para avaliar o risco de forma mais eficaz e em tempo real.

Este cliente criou "produtos de dados" na Databricks para centralizar os dados relevantes para a gestão de riscos de terceiros e estabelecer fontes claras de verdade. Aplicando a ciência e a análise de dados, estes produtos de dados criaram outra camada essencial da nova abordagem da empresa para gerir o risco de terceiros. Os modelos de risco permitem a identificação, avaliação e priorização de riscos, aproveitando dados internos e externos, muitos dos quais em tempo real. Esta base permite obter informações baseadas em IA, transformando a forma como a empresa e os seus parceiros irão gerir o risco através dos dados.

Estabelecimento de processos de decisão e de escalonamento de riscos

Gerir o risco de terceiros exige não só saber onde existe risco, mas também ser capaz de tomar decisões eficientes e eficazes relativamente a esses riscos. Este cliente trabalhou para definir processos e critérios claros para a tomada de decisões de risco, incluindo o escalonamento de riscos para os níveis apropriados da organização, conforme necessário.

Com as novas ferramentas, o cliente pode apresentar os riscos aos decisores adequados com base em critérios de análise e decisão orientados por dados. Além disso, a IA pode ser utilizada para analisar riscos e determinar potenciais passos seguintes para os decisores, mantendo o "humano no circuito".

As visualizações e a IA ajudam a sintetizar dados complexos, acelerando a análise de riscos e conduzindo a resultados mais rápidos e informados. Por exemplo, a IA pode analisar terceiros com base em critérios fornecidos e identificar potenciais passos seguintes a considerar, poupando tempo significativo e dando ênfase a actividades estratégicas.

Adopte a IA para adicionar autosserviço e outras eficiências à análise de risco

Os painéis de risco são úteis, mas a IA generativa (Gen AI) pode proporcionar uma capacidade de autosserviço muito mais interactiva. O cliente desenvolveu um chatbot com IA no qual os utilizadores podem gerar informações ou introduzir critérios de análise para fundamentar a tomada de decisões de risco. Os dados podem ser interrogados através de uma discussão em linguagem natural, como qualquer outra interface de IA.

Com base nos princípios fundamentais de gestão do risco e nas novas tecnologias modernas, esta organização de cuidados de saúde disporá de uma solução totalmente digital e com recurso a IA para gerir o risco de terceiros em toda a empresa, num sector de cuidados de saúde em rápida evolução, em que o desafio de proteger os doentes é maior do que nunca. Estes esforços para trabalhar com fornecedores terceiros e aumentar a eficiência e reduzir os custos são valiosos por si só. Além disso, os líderes das empresas podem agora analisar o seu ecossistema de terceiros de forma mais eficaz e dinâmica — e tomar melhores decisões em tempo real.

E é apenas o início. A empresa continuará a explorar capacidades adicionais de IA em contratos e noutros locais. Ao tirar partido da IA, por exemplo, este líder de serviços de saúde prevê expandir significativamente o leque de terceiros estratégicos ou de alto risco que recebem um maior grau de monitorização e gestão contínuas.