Português
- +

23/02/2018

Um modelo para gerenciamento de riscos em organizações de saúde

O vazamento de dados decorrente de um cyberataque pode atingir a reputação de uma instituição, pela exposição de sua incapacidade e prover segurança sobre o databank, ocasionando perda de credibilidade e de confiança perante a sociedade. Numa instituição de saúde esta classe de dano pode incidir ainda mais profundamente, diante da perda de dados como prontuários de pacientes, imagens geradas em exames diagnósticos e outras informações de caráter privado. O prejuízo financeiro para restaurar o controle do sistema se somará ao esforço para reestruturar a linha de cuidado para aqueles que tiveram suas informações clínicas afetadas pelo incidente. Além disso, esta instituição precisará organizar uma estrutura de gestão de riscos corporativos, governança e compliance para acompanhar os processos com pedidos de indenização.

Este tipo de situação faz com que as instituições públicas e privadas do mundo despendam cerca de U$ 100 bilhões ao ano, segundo dados consolidados até 2015 no relatório Global Cyber Market Overview: Uncovering the Hidden Opportunities, da Aon, publicado no ano passado. A quantia supera, por exemplo, o orçamento anual da saúde pública do Brasil, que ficou em pouco mais de R$ 110 bilhões em 2017.

Neste cenário, os pesquisadores Ana Paula Beck da Silva Etges (IATS), Joana Siqueira de Souza (PPGEP/UFRGS), Francisco José Kliemann Neto (PPGEP/UFRGS) e Elaine Aparecida Felix (HCPA/UFRGS) compuseram o estudo sobre a gestão de riscos corporativos em hospitais, que resultou no artigo “A Proposed Enterprise Risk Management Model for Health Organizations”, publicado no mês passado pelo periódico britânico Journal of Risk Research.

“Os custos para mitigar os danos provocados a uma instituição, seja por um cyberataque ou consequência de qualquer outra fonte de risco corporativo, como fraudes e problemas de relações entre funcionários, são superiores ao investimento para o desenvolvimento de um sistema de gestão de riscos. A gestão de riscos corporativos é um tema atual e uma clara necessidade para o setor da saúde”, define Ana Paula, após estudar 15 organizações de saúde do Brasil e dos Estados Unidos que apontaram ter iniciados seus programas de gestão de riscos a partir de 2012.

A pesquisadora do IATS conta que o modelo desenvolvido na tese faz um mapeamento das etapas necessárias para a gestão de riscos corporativos (ERM), acompanhadas de um detalhamento de atividades e ferramentas que podem ser adotadas pelas instituições para exercer com êxito a ERM, além de um inventário com os 28 principais riscos corporativos aos quais organizações de saúde estão expostas. O inventário, explica Ana Paula, foi validado por executivos de diversos países durante a conferência da American Society of Healthcare Risk Management, em 2017, em Seattle (EUA). “A tese determina um modelo claro sobre como construir uma análise e avaliação econômica de riscos, sugerindo ações para criar meios de prevenção e mitigação dos riscos”, descreve.

Ana Paula destaca que o projeto teve início em novembro de 2014, vinculado ao Programa de Pós-graduação em Engenharia de Produção da UFRGS. As atividades envolveram revisão sistemática em 26 artigos precedentes dedicados ao tema e examinou o cenário brasileiro através de questionários distribuídos a administradores de hospitais, obtendo a adesão de cinco instituições hospitalares do Rio Grande do Sul e outras duas instituições do Estado de São Paulo. Na sequência, o estudo somou o esforço da empresa que exerce a gestão de riscos do hospital de Stanford, a The Risk Authority Stanford, permitindo a adesão de oito hospitais norte-americanos e a proposição do modelo Economic Enterprise Risk Management for Healthcare (E2RMhealthcare).

De acordo com a pesquisadora, os achados da pesquisa poderão beneficiar hospitais, clínicas e seguradoras, “que podem passar a gerir de forma proativa os riscos, mensurar economicamente o impacto desses riscos, alinhar os projetos de tecnologia e inovação com os objetivos estratégicos da organização considerando os riscos, aumentar a capacidade de exercer compliance, abastecer os stakeholders com informações importantes para a 

governança corporativa e educar os funcionários para uma cultura de gestão de riscos, além de aproximar a gestão de riscos assistenciais com a gestão estratégica da organização", sustenta Ana Paula (foto abaixo).

 

Cybersegurança lidera gastos globais em gestão de risco corporativo

A Cyber Security (segurança para o meio digital) está em primeiro lugar entre os principais investimentos relacionados ao gerenciamento de riscos corporativos. Conforme a pesquisadora Ana Paula Beck da Silva Etges, 2017 será lembrado pelo número de ataques cibernéticos empreendidos contra instituições de saúde. “Os hackers acessaram bases de dados hospitalares em todo o mundo, interrompendo operações e roubando dados de milhões de pacientes e milhares de empresas. Somente o Serviço Nacional de Saúde da Inglaterra e da Escócia anunciou, em maio de 2017, a estimativa de gastos na ordem de € 60 milhões, por ano, para melhorar sua segurança de seus sistemas. Em agosto de 2017, ocorreram 233 relatos de incidentes por violação de dados ao Departamento de Saúde e Serviços Humanos dos EUA. Mais de 3,16 milhões de registros de pacientes foram violados, de acordo com reports de seguradoras e o monitoramento do Healthcare IT News.

Ana Paula acredita que o estudo realizado pelo grupo reforçou a percepção de que o risco relacionado ao ataque cibernético é o “risco corporativo número um para instituições de saúde”, devendo ser objeto de atenção e investimento para combater hackers. “O último relatório desenvolvido pela Aon (agência britânica, cujo relatório está disponível no link acima) sugere que as organizações de saúde estão adquirindo cada vez mais sistemas de cobertura contra violação de dados para proteger as informações confidenciais de seus pacientes”, alerta a engenheira de Produção.

Segundo ela, este movimento tem sido impulsionado também por atualizações em legislação para regulação da atividade e responsabilização civil sobre os incidentes. Entre as iniciativas, Ana Paula menciona a norma HIPAA (Health Insurance Portability and Accountability Act), que já está em vigor nos Estados Unidos, e Data Protection, que está em fase de implementação pela União Europeia.

 

Texto e edição: Luiz Sérgio Dibe