A conformidade com aspectos ambientais, sociais e de governança foi apontada como o terceiro maior risco para o setor de saúde, atrás apenas de dinâmica de mercado e falhas no ciclo de receitas. O quarto maior ponto de preocupação das empresas desse segmento é a adequação à LGPD (Lei Geral de Proteção de Dados) e vulnerabilidade a ataques cibernéticos. Essas constatações fazem parte de workshop promovido pela consultoria EY com 15 empresas do setor de saúde — três hospitais, duas operadoras de saúde, três laboratórios de diagnósticos e sete farmacêuticas.
Das empresas participantes, 40% consideraram provável que o risco da ausência ou da insuficiência do compliance com ESG se materialize, com impacto alto ou crítico para 53% delas. “É fundamental que a aderência às normas ligadas ao ESG esteja alinhada com o planejamento estratégico da organização, e que os tomadores de decisão busquem, para transformação dos negócios, orientação da ciência, que deve ser uma aliada do setor corporativo na busca por novas tecnologias e inovação”, diz Ricardo Assumpção, CSO (chief sustainability officer) da EY e líder de ESG e sustentabilidade. “As oportunidades de inovação e criação de valor surgem quando os riscos são gerenciados adequadamente em três pilares fundamentais: reputação, legal e financeiro. Para as empresas, isso significa incorporar práticas sustentáveis e promover a inovação em processos e produtos, com o objetivo de não apenas enfrentar os desafios como transformá-los em vantagens competitivas”, completa.
O workshop destacou o consumo alto de energia por parte do setor de saúde, motivo pelo qual deve ser prioritária a adoção de fontes de energia limpas e renováveis. A economia circular é outro fator de atenção, já que promove a redução da quantidade de resíduos produzidos por meio da reutilização e reciclagem dos materiais.
O setor de saúde está entre os mais vulneráveis a ameaças cibernética. Isso ocorre, de acordo com Márcia Bolesina, sócia da EY em cibersegurança, por causa do alto volume de dados confidenciais, incluindo pessoais sensíveis, que são considerados valiosos pelos cibercriminosos. “As empresas acabam expostas às ameaças do tipo ransomware e estão propensas a pagar pelo resgate no caso de sucesso desses ataques. Além disso, mais da metade dos dispositivos médicos hospitalares estão em situação de vulnerabilidade a uma invasão cibernética, assim como, por causa da obsolescência da tecnologia adotada, um terço dos dispositivos de IoT (internet das coisas) usados em leitos hospitalares”, diz ela.
Sobre a materialização desse risco, 53% das empresas entendem que é possível, e o impacto de uma parada sistêmica e/ou indisponibilidade de rede seria alto ou crítico para 67% delas. No caso dos hospitais, por exemplo, cada segundo de parada sistêmica operacional tende a causar enormes prejuízos para a assistência à saúde dos pacientes.
“As empresas em geral não contam com um plano definido de continuidade de negócios para lidar com o risco de incidentes cibernéticos. No entanto, depois de sofrer o ataque, a organização muda completamente sua postura, passando a tratar a gestão de risco e continuidade de negócios como um tema prioritário nas agendas executivas e dos comitês de governança”, finaliza a especialista da EY. As informações são da Agência EY.
