Episodio 36: Hablemos del cumplimiento normativo: los riesgos y las dificultades del cumplimiento normativo en la cadena de suministro sanitaria.

En este episodio, Monica Chmielewski, vicepresidenta del Grupo de Práctica de Atención Médica de Foley, y Shannon Sumner, directora de Cumplimiento Normativo y directora general de la oficina de Nashville de PYA, analizan cómo el cumplimiento normativo de la cadena de suministro está afectando al sector sanitario y comparten los riesgos y sanciones asociados al incumplimiento.

Para obtener más información sobre la serie de podcasts «Let’s Talk Compliance», haga clicaquí.

Tenga en cuenta que la transcripción de la entrevista que aparece a continuación no es literal. Hacemos todo lo posible por ofrecerle un resumen de lo que se trata durante el programa. ¡Gracias por su consideración y disfrute del programa!

Angie Caldwell

Hola y bienvenidos a la serie de podcasts «Let’s Talk Compliance» (Hablemos de cumplimiento normativo) de Health Care Law Today, presentada por Foley & Lardner y PYA. Soy su copresentadora, Angie Caldwell, directora consultora de PYA.

Jana Kolarik

Y yo soy su otra copresentadora, Jana Kolarik, socia del Grupo de Práctica de Atención Médica de Foley. Estamos encantados de que nos acompañe hoy. Antes de comenzar nuestro programa, queremos recordarle que se suscriba a Health Care Law Today, ya sea en iTunes o en su aplicación de podcasts preferida. Visiten healthcarelawtoday.com o pyapc.com. En el programa de hoy, Monica Chmielewski, vicepresidenta del Grupo de Práctica de Salud de Foley, y Shannon Sumner, directora de cumplimiento normativo de la oficina de Nashville y directora general de PYA, analizan cómo el cumplimiento normativo de la cadena de suministro está afectando al sector sanitario y comparten los riesgos y sanciones asociados al incumplimiento. Voy a ceder la palabra a Monica y Shannon para que se presenten.

Mónica Chmielewski

Gracias de nuevo, Angie y Jana, por esa cálida bienvenida. Como ya se ha mencionado, mi nombre es Monica Chmielewski, soy socia de Foley & Lardner en nuestra oficina de Chicago y vicepresidenta del grupo de práctica de atención sanitaria. Shannon, estoy muy contenta de estar aquí hoy para hablar con ustedes sobre el cumplimiento de la cadena de suministro, concretamente en relación con el sector sanitario, tanto desde el punto de vista de los proveedores como de los fabricantes y distribuidores. Creo que, como la mayoría de la gente sabe muy bien, el sector sanitario es uno de los más regulados que existen, y hay numerosas leyes, reglamentos y consideraciones de cumplimiento que afectan a las operaciones de la cadena de suministro de los sistemas sanitarios hospitalarios que, según mi experiencia, muchos proveedores y fabricantes que no están acostumbrados a hacer negocios y transacciones con entidades sanitarias realmente desconocen, y los riesgos de incumplimiento de las leyes sanitarias conllevan ciertas sanciones. Por eso, vemos que las entidades sanitarias están implementando, o deberían implementar, diversos sistemas de cumplimiento y basados en el riesgo para ayudar a identificar problemas y abordar el cumplimiento. Estoy muy interesado en conocer su opinión sobre lo que está observando y cómo asesora a sus clientes en este ámbito.

Pero antes de entrar en detalles, me gustaría ofrecer una breve descripción general de algunas de las leyes y normativas que pueden ser más específicas del sector sanitario, para que podamos entender qué se hace en términos de programas de cumplimiento normativo y evaluación de riesgos de mitigación. ¿Cómo abordan y aplican esto las entidades?

Para empezar, como visión general de alto nivel, el sector sanitario está sujeto a numerosas leyes, incluida la Ley federal contra el soborno. Además, los estados suelen tener sus propias leyes contra el soborno, o todos los pagadores. Existe la ley Stark, numerosas leyes de privacidad, incluida la HIPAA, y leyes estatales individuales que abordan la privacidad y la ciberseguridad, así como leyes que abordan la transparencia y la presentación de informes. Y los sistemas sanitarios deben cumplir todas estas leyes cuando realizan transacciones con proveedores y fabricantes.

La Ley Antisoborno es probablemente la más conocida de todas las leyes, y lo más significativo es que se trata de una ley penal que, tal y como su nombre indica, previene los sobornos. Impide los pagos conscientes o deliberados destinados a inducir o recompensar la derivación de pacientes mediante la generación de negocio. Ahora bien, existen numerosas salvaguardias o excepciones que los sistemas sanitarios suelen exigir a los proveedores para que sus transacciones se ajusten a ellas, incluidas excepciones relativas a descuentos, rebajas, la concesión de garantías, leyes y reglamentos.

Existe la Ley Stark, que es similar en esencia a la Ley Antisoborno, ya que la Ley Stark prohíbe esencialmente las transacciones y acuerdos indebidos para la derivación de determinados negocios, incluida la recepción de productos entre entidades que son en parte propiedad de médicos y proveedores de atención médica. Y luego también hay diversas consideraciones relacionadas con los datos y la privacidad. Y estamos viendo cómo eso afecta a los acuerdos y arreglos de la cadena de suministro de muchas maneras, incluso en relación con los productos que se compran y adquieren. Hoy en día, muchos productos, ya sean equipos o incluso dispositivos médicos, tienen la capacidad de recopilar y transmitir información sanitaria protegida, datos y otra información. Por eso, debido a todas estas leyes, vemos que los sistemas sanitarios intentan implementar varios programas de cumplimiento y exigen a los proveedores que se adhieran realmente a los protocolos relativos a la evaluación de riesgos y la implementación de los protocolos de evaluación de riesgos. Pero voy a hacer una pausa aquí y preguntarle a Shannon: ¿qué está observando en términos de problemas comunes de cumplimiento? ¿Cómo aconseja a sus clientes para ayudarles a poner en marcha programas de cumplimiento, estrategias de mitigación de riesgos en relación con el cumplimiento de la cadena de suministro de datos y, en definitiva, las mejores prácticas en este momento?

Shannon Sumner

Bueno, Mónica, es un placer hablar contigo sobre este tema. Como has mencionado, sin duda todas las leyes que has comentado históricamente han sido el principal catalizador para la mitigación de riesgos en la cadena de suministro o de terceros a través de sólidos programas de cumplimiento. Pero, en realidad, el sector sanitario, como has mencionado, no es ajeno a las recientes violaciones de datos de terceros, las interrupciones del suministro, la COVID y el mayor escrutinio en torno al acceso y la divulgación de información sanitaria protegida. Así que realmente es una tormenta perfecta. Y según nuestra experiencia, cuando preguntamos a nuestros clientes cuáles son los principales riesgos que les quitan el sueño, entre los tres primeros diría que sin duda se encuentran la ciberseguridad y las violaciones de datos, pero cuando profundizamos más, realmente es la gestión de riesgos de terceros y todo lo que has mencionado en relación con la cadena de suministro.

Históricamente, a lo largo de los años, hemos considerado la cadena de suministro como una especie de adquisición de bienes y servicios. Pero, en realidad, cuando se analiza el amplio espectro de entidades y relaciones que tienen los sistemas de salud, se trata de algo más que simplemente obtener esos medicamentos y otros tipos de suministros médicos. Se trata realmente de aquellas personas, grupos y empresas con los que se establece algún tipo de colaboración. Y hay que tener muy presente que este mayor énfasis no solo en la seguridad de los datos, sino también en los riesgos de la cadena de suministro, llega justo después de la COVID, donde todos hemos experimentado esa escasez en la cadena de suministro, ya sea de respiradores, equipos de protección sanitaria o incluso suero fisiológico. Creo que eso ha puesto de manifiesto esas vulnerabilidades cuando dependemos de terceros.

En lo que respecta a una función realmente sólida de mitigación de riesgos y cumplimiento normativo, estamos empezando a ver la evolución de lo que se denomina programas de gestión de riesgos de terceros dentro de una organización. Por lo tanto, está muy estrechamente relacionado con la gestión de riesgos empresariales (ERM), pero no es lo mismo. Es un componente de la ERM, pero es un componente muy importante y con gran impacto, ahora que estamos empezando a ver cada vez más estas relaciones.

Por lo tanto, cuando pensamos en lo que realmente es un programa de gestión de riesgos de terceros, vemos que va más allá de las evaluaciones tradicionales de compras y proveedores, y que está empezando a abarcar un enfoque más holístico que incorpora la gobernanza, la gestión de riesgos y el cumplimiento normativo y legal a lo largo de todo el ciclo de vida de las relaciones con terceros. Por lo tanto, si pensamos en la incorporación de un nuevo proveedor, un nuevo servicio, una nueva empresa, la supervisión continua y la salida, pero realmente, ¿por qué, cuando pensamos en todas las cosas que ha mencionado, no solo desde la perspectiva jurídica, las leyes y las nuevas regulaciones que se están incorporando, sino realmente cuáles son algunos de esos otros factores clave por los que está aumentando el riesgo relacionado con los terceros?

Se puede señalar, y estas son algunas de las cosas que escuchamos cuando hablamos con nuestros clientes cuando hacemos las evaluaciones de cumplimiento, que realmente durante la recesión, creemos que más organizaciones están empezando a externalizar esos negocios a terceros con el fin de reducir costes. El precio de los datos sanitarios está aumentando en el mercado abierto o en la web oscura. Si pensamos en todo lo que hay ahí fuera, ni siquiera quiero entrar en ese tema hoy, pero ¿cuántas organizaciones sanitarias no disponen de los recursos internos para abordar esta cuestión y realmente necesitan socios de confianza que les ayuden a certificar, alojar, mantener y dar soporte a esos sistemas informáticos sanitarios con capacidades de ciberseguridad realmente modernas, especialmente los proveedores rurales? No vamos a entrar en los fundamentos de la ciberseguridad, pero ese es realmente uno de los principales factores que contribuyen a que algunos de estos riesgos se agraven.

Y luego, realmente, el Departamento de Justicia de los Estados Unidos (DOJ) ha publicado directrices adicionales sobre la evaluación de los programas de cumplimiento corporativo en materia de gestión de riesgos de terceros. Y, sin duda, si a eso le sumamos todas las leyes y normativas que acaba de mencionar, creo que es el momento oportuno. Es el momento oportuno para pensar detenidamente si se dispone de los canales adecuados, de las estrategias adecuadas de mitigación de riesgos relacionadas con la mitigación de los riesgos de la cadena de suministro de los proveedores y de terceros. Pero me gustaría saber un poco más sobre algunas de las cosas que está observando y cómo asesora a sus clientes en términos de mitigación de algunos de esos riesgos.

Mónica Chmielewski

Sí, por supuesto. Y creo que realmente ha identificado algunos de los problemas clave a los que se enfrentan los proveedores del sistema sanitario en relación con esto. Y antes de entrar en algunas cosas que he visto, creo que una cosa que ha dicho me ha llamado mucho la atención y me ha parecido una buena práctica en lo que respecta a estos programas de gestión de riesgos de terceros: la interacción entre la gobernanza, la gestión de riesgos, el cumplimiento normativo y los aspectos legales. Creo que todos ellos son componentes clave y que, si se omite uno de ellos, si no se cuenta con un buen proceso y una buena cadena de comunicación, se deja al sistema y al proveedor de atención médica en una posición vulnerable ante estos problemas de cumplimiento. Y creo que una de las cosas que estamos viendo y que aconsejamos a nuestros clientes cuando implementan o renuevan sus programas de gestión de riesgos de terceros es: ¿cuál es el alcance del programa?

Entonces, cuando intentas abordar los retos de la cadena de suministro, y Shannon, como mencionaste, con el COVID, hay escasez de productos. ¿Cómo vamos a poder adquirir productos? Nosotros, acertadamente o no, vimos a varias entidades adquirir productos de diferentes canales, incluyendo proveedores extranjeros que tal vez no habían, bueno, tal vez no habían investigado a fondo para ver si se trataba de una entidad capaz de cumplir con las regulaciones estadounidenses. ¿Cuentan con políticas de ciberseguridad adecuadas? ¿Están pasando por las revisiones de TI adecuadas? El producto que estamos adquiriendo, ¿cuenta con todas las aprobaciones reglamentarias necesarias para comercializarlo y venderlo en los Estados Unidos? ¿Han recibido las autorizaciones o aprobaciones adecuadas de la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) en función del tipo de medicamento o, si se trata de un dispositivo, ¿de dónde lo obtienen?

Y luego, dando un paso más, supongamos que estás pasando por el proceso de selección de los proveedores con los que vas a trabajar, ¿qué pasa con sus subcontratistas? ¿Están subcontratando? ¿El proveedor con el que está contratando está subcontratando a una empresa fuera de los Estados Unidos que va a manejar datos? Desafortunadamente, hemos visto algunos casos en los que el proveedor con el que se había contratado tenía un subcontratista que realizaba servicios de mantenimiento remoto en diversos dispositivos y equipos médicos dentro de los hospitales. Pues bien, los equipos y dispositivos en los que realizaban el mantenimiento remoto, por supuesto, contenían información médica protegida (PHI). Al no contar con ese subcontratista externo, al no haberlo evaluado, no se llevaron a cabo las revisiones de TI y se produjeron violaciones de datos. Y eso da lugar a problemas de cumplimiento.

Por eso, hemos estado aconsejando a nuestros clientes que revisen detenidamente sus programas actuales de gestión de riesgos de terceros, si es que tienen alguno, y que, si no lo tienen, implementen uno y se aseguren de que, aunque entiendan que hay presiones de tiempo, realmente abarque el riesgo de cumplimiento legal y cuente con una estructura de gobernanza sólida. Porque creo que un obstáculo para el cumplimiento es la velocidad. Hay necesidades detrás de la adquisición de los productos, de obtener los servicios rápidamente. Hay necesidades y demandas de los pacientes. Por lo tanto, es necesario contar con un programa que permita realizar estas evaluaciones de riesgos y verificaciones de forma rápida y eficiente, ya que, de lo contrario, las posibles sanciones por incumplimiento, no solo desde el punto de vista penal, con sanciones económicas, sino también por los posibles daños a los pacientes y los problemas de reputación a los que se enfrentan estos sistemas.

Shannon Sumner

Sí, algunas de las cosas que acabas de mencionar relacionadas con la rapidez, sin duda la rapidez para conseguir un proveedor o incluso el hecho de que hoy hemos visto, tan tarde como hoy, que algunas organizaciones, algunos sistemas sanitarios, se están viendo obligados a suspender algunas de sus intervenciones quirúrgicas porque no cuentan con los médicos, los anestesistas, necesarios para prestar esos servicios. Por lo tanto, cuando pensamos en la cadena de suministro y la rapidez de los servicios, también pensamos en los proveedores con los que trabajamos a diario. Ellos también se enfrentan al reto de la escasez de personal, lo que tiene un efecto dominó en su organización.

Por lo tanto, al pensar en cómo sería ese programa de gestión de riesgos de terceros, lo que realmente hay que hacer es pensar en quiénes participan en él y asegurarse de que se cuenta con las personas adecuadas para ello. Y, desde una perspectiva legal y de cumplimiento normativo, sí, es cierto que hay que seguir operando como organización, pero si se omiten ciertos elementos de los procesos de control interno eficaces a la hora de revisar los contratos, asegurándose de que se cumplen las condiciones que acaba de mencionar sobre determinados proveedores, en particular los deslocalizados, y ese es un aspecto sobre el que quiero hablar un poco. Está bastante claro que tienes una relación con una persona, un grupo, unos servicios o una empresa que está subcontratada, pero a veces no es así, y ahí es donde contar con un programa de gestión de riesgos de terceros realmente sólido puede ayudarte a identificar aquellos elementos y procesos que quizá no estén tan claros que están externalizados.

Y cuando pensamos en cuáles son algunos de esos servicios que se suelen externalizar, sin duda la auditoría puede ser uno de ellos, vemos la auditoría interna, la auditoría externa, la facturación, la codificación, la contabilización de pagos, los centros de atención telefónica. Quiero decir, ¿cuántos de nosotros hemos llamado personalmente a una organización y realmente se trata de externalización, almacenamiento de datos, revisión de la utilización, transcripción? Así que muchas de esas áreas pueden estar ocultas en algunos de los acuerdos marco de servicios que usted pueda tener.

Pero pensar realmente en el primer paso para tener ese programa integral de gestión de riesgos de terceros es pensar en cuál es nuestro inventario. Entonces, ¿a quiénes estamos utilizando realmente de un servicio de terceros? Y algunos de los ejemplos que tenemos, trabajando con clientes, se relacionan con lo que dijiste antes: fabricantes de dispositivos médicos, proveedores de servicios de TI, plataformas de telesalud, registros médicos electrónicos, proveedores de servicios en la nube, administradores externos. La lista podría seguir y seguir. Incluso sus proveedores de servicios de marketing y de sitios web, servicios de laboratorio, cadena de suministro... La lista es interminable.

Por lo tanto, cuando se piensa en adoptar ese enfoque multidisciplinario para la gestión de riesgos de terceros, es importante considerar quiénes formarán parte del comité, es decir, aquellas personas que realmente deberían formar parte de la estructura del comité. Según nuestra experiencia, se trata de los departamentos de auditoría interna, cumplimiento normativo, jurídico, calidad, gestión de riesgos y cadena de suministro. Se trata realmente de analizar aquellos procesos que son muy importantes para sus operaciones y pensar en algunos de los expertos en la materia. Además, si está externalizando la gestión de una línea de servicios, por ejemplo, ¿cuenta con las personas adecuadas para evaluar esos procesos?

Por lo tanto, cuando pensamos en cuáles serían las funciones y responsabilidades de ese comité, en realidad se trata de supervisar lo que llamamos el ciclo de vida de la gestión de riesgos de terceros. Y Monica, tú ya lo has mencionado antes, pero realmente empieza con la incorporación, el inicio de la relación con el proveedor, incluyendo la revisión legal y de diligencia debida adecuada para establecer ese contrato. Se trata de la evaluación de riesgos. Se trata de evaluar los riesgos potenciales, como los de cumplimiento, financieros y operativos. Por lo tanto, cuando antes hablábamos de la gestión de riesgos empresariales, se trata de garantizar que ese componente también se tenga en cuenta en las funciones y responsabilidades de ese comité.

También hablamos de la siguiente fase de supervisión, que consiste en la supervisión continua de esa relación. Y antes de volver a PYA, uno de los hitos de mi carrera fue trabajar en auditoría interna. Hicimos un gran trabajo al conseguir algunos contratos increíbles, pero, francamente, a veces fallaban en la ejecución, y ahí es donde creo que es importante contar con un componente de auditoría interna realmente sólido para supervisar y auditar de forma continua esos contratos específicos y esos requisitos contractuales. Y eso incluye la evaluación del rendimiento, es decir, examinar realmente los resultados de los proveedores, los niveles de servicio en comparación con las expectativas.

Y luego, lamentablemente, a veces hay que pensar en la salida. ¿Qué ocurre cuando se termina esa relación o simplemente llega a su fin natural? ¿Dónde residen muchos de esos riesgos una vez que se ha despedido a ese proveedor en particular?

Por lo tanto, un área en la que trabajamos muy estrechamente con Mónica, con el asesor jurídico, es realmente analizarlo desde una perspectiva de diligencia debida. Así que cuando pensamos, vale, sabemos que tenemos este servicio, sabemos que posiblemente tengamos que externalizar este servicio o asociarnos con un tercero, estos son algunos de los elementos en los que trabajamos específicamente con bufetes de abogados, pero queríamos conocer su opinión, pero analizamos si han tenido alguna violación de la privacidad de los datos en particular en el pasado. ¿Están sujetos a un acuerdo de integridad corporativa? ¿Están en la lista de vigilancia? ¿Han tenido algún tipo de acuerdo de conciliación, algún incidente de ciberseguridad? Ahora hay calificaciones de seguridad que están relacionadas en tiempo real con la infraestructura de una organización para gestionar y mantener la seguridad de la información. Analizamos los conflictos de intereses. Analizamos el programa de cumplimiento de una organización. Si se asocia con una organización, ¿tiene esta un programa de cumplimiento sólido? ¿Cuándo fue la última vez que se auditó? ¿Tiene alguna información al respecto?

Y, por último, hay un par de elementos más relacionados con la estabilidad financiera y operativa, así como con aspectos básicos, como por ejemplo: ¿se trata de un proveedor excluido de la participación en programas gubernamentales?

Pero a Mónica le encantaría conocer tu opinión sobre cuándo os involucráis con vuestros clientes y en qué les ayudáis en lo que respecta a la evaluación de riesgos de terceros.

Mónica Chmielewski

Por supuesto. Y ha mencionado los puntos clave. Y uno, antes de entrar en lo que les estamos ayudando a examinar, lo que ha dicho sobre un contrato que falla en su ejecución. Quiero destacar que eso es fundamental. Se pueden tener, y hemos visto clientes que tienen contratos fenomenales con términos y condiciones maravillosos que abordan el cumplimiento de la mayoría de las leyes aplicables por parte de los proveedores externos. La Ley Antisoborno encaja dentro del ámbito de aplicación del descuento seguro. Aborda la HIPAA y las leyes estatales individuales. Por ejemplo, California tiene su propia ley de privacidad muy estricta (CCPA, Ley de Privacidad del Consumidor de California), que no es muy diferente del RGPD (Reglamento General de Protección de Datos), ¿abordará la ciberseguridad? Puedes tener ese maravilloso contrato aparentemente hermético, pero si una entidad no ha realizado la debida diligencia sobre el proveedor antes de celebrar ese contrato, este podría incumplirse en el momento en que el proveedor lo ejecute.

Porque si un proveedor firma un contrato pero en realidad no tiene la capacidad de cumplirlo, potencialmente usted tiene un argumento para denunciar el incumplimiento. Pero, ¿qué va a conseguir con eso? Porque el daño ya está hecho. Porque Shannon, en relación con lo que usted dice, lo que realmente ayudamos a los clientes y lo que consideramos un aspecto fundamental a la hora de realizar la diligencia debida con los proveedores son precisamente las cosas que usted ha destacado en relación con la no exclusión. ¿Ha sido excluido alguna vez el proveedor? ¿Tienen un proceso para realizar controles de exclusión de sus empleados? ¿Son parte de un acuerdo de integridad corporativa relacionado con la auditoría? Este tipo de cosas son importantes, especialmente en lo que respecta a las entidades sanitarias, porque si una entidad sanitaria contrata a un proveedor que ha sido excluido de participar en cualquier programa sanitario, el propio sistema sanitario podría enfrentarse a sanciones por contratar a una entidad excluida.

La ciberseguridad de la privacidad HIPAA es una parte extremadamente importante de la diligencia debida, ya que garantiza que el proveedor cumpla con los estándares del sistema sanitario y se someta a una revisión informática con fines de seguridad, tanto el proveedor como sus subcontratistas, porque, de nuevo, podríamos tener unas condiciones contractuales maravillosas que aborden el cumplimiento y exijan el cumplimiento de las leyes nacionales e internacionales de privacidad, pero si un proveedor no tiene esas capacidades y se produce una violación y una fuga de datos, de nuevo, se producen daños. Es posible que se produzcan reclamaciones por incumplimiento de contrato, pero el daño ya está hecho. Por lo tanto, es muy importante contar con este sólido programa de gestión de riesgos. Y creo que la fase de diligencia debida es una de las más críticas.

Y creo que una de las formas, y en cierto modo, una de las cosas que hemos aconsejado a los clientes cuando les ayudamos a elaborar estos programas es involucrar y hacer partícipes a las partes interesadas clave que van a ayudar a promover el valor y la necesidad de estos programas. A menudo vemos, y lo utilizaremos como ejemplo, un sistema en el que hay médicos, líderes de opinión clave que quieren que un determinado fabricante de dispositivos médicos esté contratado, quieren artículos que se lleven al quirófano, intentan impulsar los artículos porque pueden ser, no sé, artículos previos de los médicos, algo así.

Pero si el proveedor en sí no ha sido evaluado y no ha pasado por el proceso estándar de la cadena de suministro, que realmente debería estar incluido, Shannon, como tú has señalado, en este programa general de riesgo de proveedores externos que abarca diferentes disciplinas, ese proveedor, el uso de ese equipo que se ha incorporado o el uso de esos servicios podrían suponer responsabilidades potenciales para el sistema sanitario. Y si una entidad es capaz de involucrar a algunos de estos líderes de opinión clave, a estos médicos como partes interesadas clave en este programa de riesgo, en el programa de evaluación de riesgos, esas personas realmente ayudan a promover el programa y son un gran apoyo para ayudar a sus colegas y a los demás empleados y contratistas del sistema sanitario a aceptar y comprender la importancia de este programa de gestión de riesgos.

Además, también proporciona información sobre los objetivos del programa, su importancia y cómo ayuda realmente a todo el sistema sanitario. Y, dado que estamos hablando de sistemas de salud, cómo está realmente diseñado para ayudar aún más a los pacientes y garantizar su seguridad, ya sea en términos de seguridad en el uso de un producto que se adquiere o protección contra violaciones de datos, protección contra la difusión de información personal, disponer de una forma de presentar, socializar o reeducar a las personas dentro de una organización en cuanto a la función, el propósito y la importancia de este programa de mitigación de riesgos de proveedores externos realmente contribuye en gran medida, por lo que hemos visto, a garantizar el cumplimiento y a asegurar que las personas, cuando quieran contratar a un proveedor de servicios externo, ¿van a externalizar la operación de facturación? ¿Quieren contratar una nueva plataforma de telesalud? Cuando piensen en los componentes de TI asociados a ello.

Realmente hace que la gente se detenga y se pregunte: «¿Se ha comprobado esto? ¿Ha pasado por nuestro programa para asegurarnos de que el proveedor cumple con nuestros estándares? No solo se trata de que el proveedor cumpla con nuestros estándares, sino también de saber quién es ese proveedor». Es decir, ¿se trata solo del proveedor? ¿Utilizan subcontratistas? ¿Dónde se encuentran? ¿Deslocalizan los datos? ¿Qué tecnologías utilizan? ¿Cómo es su programa de cumplimiento normativo? Es importante comprender realmente con quién se está trabajando y a quién se le están confiando las operaciones, los datos y la tecnología. Creo que es realmente importante, y es algo que muchos clientes están adoptando, hasta el punto de que, si ya cuentan con un sistema de evaluación de riesgos de terceros, lo están revisando y reevaluando, y buscando formas de reforzarlo.

Y ahí es donde Shannon, apuesto a que estás viendo esto, pero dime, vemos que los clientes contratan tus servicios y luego quieren que realices auditorías, revisiones y evaluaciones para saber si su programa de gestión de riesgos de proveedores externos es suficiente. Con todo lo que está pasando hoy en día y el clima en el que vivimos, debido a que la tecnología está cambiando tan rápidamente, incluyendo la introducción de mucha Inteligencia Artificial (IA), ¿cómo estás ayudando a los clientes a evaluar sus sistemas, lo que tienen implementado en este momento? ¿Qué les estás diciendo que consideren?

Shannon Sumner

Es una gran pregunta, porque estamos empezando a ver cada vez más sistemas sanitarios, principalmente centros médicos académicos, que han creado lo que se denomina centros de innovación. Es ahí donde algunos proveedores y otros actores están aportando algunos de esos nuevos dispositivos médicos, quizá nuevas formas de prestar atención al paciente. Se trata de nuevos sistemas y herramientas, y formas únicas de asociarse con otros tipos de organizaciones en fases posteriores, y sin duda la inteligencia artificial también ha sido un catalizador. Al reflexionar sobre todos esos matices de la atención sanitaria que no existían hace años, nuevas partes con las que hacer negocios, hemos ayudado a las organizaciones a pensar en ello a través de su gestión de riesgos y sus procesos de evaluación de riesgos.

Así que, si lo analizamos detenidamente, ¿tenemos un inventario? ¿Sabemos dónde están todos nuestros datos? ¿Sabemos con quién estamos conectados? Y ese es probablemente uno de los ejercicios más reveladores, porque cuando piensas en todas las dependencias que tiene una organización, y realmente creo que eso quedó patente con algunos de los problemas relacionados con el cambio en la asistencia sanitaria, las violaciones cibernéticas y el ransomware. Creo que puso de manifiesto con cuántas partes colaboramos y cómo, si se pone todo el huevo en la misma cesta, se pueden producir interrupciones muy importantes en el negocio. Por lo tanto, se trata realmente de un enfoque múltiple, ya sea pensando en un programa de cumplimiento normativo o en ejercicios de recuperación ante desastres en el escritorio. A veces pensábamos: «Bueno, si algo ocurre dentro de las cuatro paredes de nuestras instalaciones o dentro de nuestra organización...», y ahora realmente tenemos que pensar en términos más amplios: ¿qué pasaría si un socio comercial importante con el que contamos sufriera una violación de la seguridad, ya sea un centro de datos o un administrador externo?

Esas son las áreas en las que realmente estamos empezando a ver un mayor énfasis en esa educación, como usted ha mencionado, asegurándonos de saber con quién hacemos negocios. Y para nuestros propósitos de ayudar a los clientes, ¿somos conscientes, los incluimos en nuestras auditorías internas de cumplimiento, en los ejercicios de mitigación de riesgos de ERM, ya sea en la auditoría y la supervisión, y luego aprovechamos algunas de las orientaciones e investigaciones adicionales que existen?

Y, por ejemplo, una de las cosas que mencioné anteriormente es, sin duda, que el Departamento de Justicia está involucrado en garantizar que los fiscales formen parte de su evaluación de las directrices del programa de cumplimiento corporativo de marzo de 2023, que incluía una sección sobre las expectativas de gestión de terceros. Por eso, cuando asesoramos a nuestros clientes, les recomendamos que se aseguren de preguntarse internamente: «¿Hemos integrado nuestros procesos basados en el riesgo con los procesos de gestión de compras y proveedores? ¿Nos aseguramos de tener una justificación comercial adecuada para establecer esas relaciones con terceros? Esto nos lleva de vuelta a Monica y a su diligencia debida. ¿Especifican e identifican esos términos contractuales los servicios que se van a prestar? Sí. Quiero decir, la mayoría de nuestros acuerdos lo especifican, pero ¿cómo lo supervisamos? ¿Cómo lo auditamos?».

Y, por último, las áreas en las que estamos haciendo hincapié son la supervisión de la gobernanza y la estructura de gobernanza que usted ha mencionado. Por lo tanto, proporcionamos una lista de algunas de las preguntas que los miembros de la junta directiva deberían plantear sobre el programa de gestión de riesgos de terceros de la organización, y también la incluimos como parte de las preguntas que deben responderse de forma continua si usted forma parte de un comité interno relacionado con la gestión de riesgos de terceros. Así pues, muchas de estas preguntas circulan, por ejemplo: «¿Se ha creado ese comité? ¿Quiénes forman parte de él? ¿Cómo se selecciona a los terceros? ¿Se evalúan los conflictos de intereses? ¿Cómo se auditan y supervisan, y quién lo hace? ¿Ha considerado y analizado la organización esas estructuras de compensación para terceros en relación con esos riesgos de cumplimiento? ¿Sabe cómo se compensa o incentiva a esas entidades y si podrían estar haciendo algo que le afecte directa o indirectamente desde el punto de vista del riesgo? Volvamos a algunas de las leyes que ha mencionado anteriormente sobre Stark y las reclamaciones falsas contra el soborno.

Y, por último, una cuestión importante es cómo se identifican y mitigan esas señales de alerta en la diligencia debida. Por ejemplo, identificamos una señal de alerta con un proveedor. Creemos que tenemos algunas estrategias de mitigación en marcha, las ponemos en práctica y luego esa diligencia debida, aunque nos duela decirlo, queda en el olvido porque ya no hay nada en el olvido, pero ¿hemos hecho algo al respecto? Lo sabemos, lo sabíamos, contratamos a este tercero y ahora, si surge algún problema, ¿adivinen qué? El gobierno lo sabrá y lo identificará como un problema para ustedes en términos de litigios y obligaciones de liquidación, porque deberían haberlo sabido, porque lo sabían. Así que esas son las cosas en las que estamos ayudando a nuestros clientes a poner en marcha esa estructura relacionada con la mitigación de los riesgos que se han identificado.

Mónica Chmielewski

Creo que es muy importante lo que acabas de decir en cuanto a que, si vas a llevar a cabo la debida diligencia, si vas a disponer de la información, como deberías, tienes que actuar en consecuencia cuando surjan problemas, porque los reguladores, el Departamento de Justicia, la Oficina del Inspector General (OIG), quienquiera que sea el que intervenga, quieren comprender y quieren ver que nuestras entidades cumplen con la normativa. Hay un gran interés en el sector sanitario en lo que respecta al fraude y el abuso, y realmente algunas de estas relaciones de la cadena de suministro pueden considerarse como un objetivo fácil para estos reguladores gubernamentales. Si tienes un acuerdo que no cumple con la Ley Antisoborno o con la Ley Stark, puedes enfrentarte a sanciones penales, sanciones monetarias civiles y reclamaciones falsas. Es decir, los daños pueden ascender a cientos de millones.

Desgraciadamente, tuvimos un caso en el que una entidad, con toda razón, recopilaba información sobre los proveedores como parte de su evaluación de gestión de riesgos, para saber si algún médico era propietario del proveedor.

¿Existe alguna relación entre alguno de nuestros médicos y el proveedor que pueda dar lugar a un conflicto de intereses? Bueno, como parte del proceso de diligencia debida, se obtuvo información que indicaba que el proveedor no solo tenía una participación sustancial de médicos, sino que también existían relaciones entre este y algunas de las entidades que empleaban a médicos. Y lo que eso demostró fue que el acuerdo debía estructurarse de manera que se ajustara a uno de estos refugios seguros o a una de las excepciones de la Ley Stark. Desgraciadamente, se produjo un fallo en el proceso y esa información quedó archivada, como ha mencionado Shannon, aunque ya no haya archivadores, pero el proceso falló y esa información no llegó al departamento jurídico ni al de cumplimiento normativo y, debido a ello, se mantuvo durante más de un año un acuerdo que no estaba estructurado de manera conforme a la normativa, cuando podría haberlo estado. Se impusieron sanciones y se acabó teniendo que realizar auto-divulgaciones al gobierno. Todo eso se podría haber evitado si se hubiera seguido el proceso de evaluación de riesgos establecido.

Hay formas de mitigar esto. Hay formas de identificar y mitigar el riesgo, como señalaba Shannon, pero para mí es igual de importante que, si vas a hacerlo y debes hacerlo, actúes en función de la información. No se pueden dar pasos en falso en el proceso, porque eso dará lugar a responsabilidades adicionales. Por lo tanto, es muy importante seguir el proceso, supervisarlo y garantizar que se audita a efectos de cumplimiento, porque de lo contrario, tanto los proveedores como el sistema sanitario podrían estar sujetos a diversas sanciones, incluyendo acuerdos de integridad corporativa y hasta la exclusión.

Shannon Sumner

Mónica, ahora que estamos llegando al final de este podcast, ¿por dónde crees que debería empezar una organización? ¿Qué dirías a alguien que dice: «Vale, no hemos hecho esto. Sabemos que tenemos un programa de gestión de riesgos empresariales, tenemos un programa de cumplimiento normativo, tenemos un programa de auditoría interna, pero no sabemos por dónde empezar»? ¿Qué primeros pasos recomendarías?

Mónica Chmielewski

Los primeros pasos que recomendamos son, en primer lugar, identificar, como acaba de decir, que necesitan este tipo de programa, ya sea específico para la cadena de suministro o para toda la empresa. A continuación, identificar quiénes van a ser los impulsores de este programa, de su puesta en marcha, e involucrar a las partes interesadas clave de las diferentes áreas. Siempre consideramos importante contar con un vicepresidente de gestión de materiales, cadena de suministro o presidente, dependiendo de los cargos, alguien de TI, alguien del departamento jurídico, alguien de cumplimiento normativo, pero también, si se van a incluir otras áreas, quizás el jefe del personal médico, porque también se quiere contar con la aceptación de los médicos.

Así que empiezas por identificar quiénes van a ser las partes interesadas clave, quiénes van a ser los impulsores de este programa. A continuación, hay que averiguar en qué punto te encuentras. ¿Tienes un programa en marcha que hay que ampliar o estás empezando desde cero? En ese momento, hay que identificar, hacer una revisión, evaluar las deficiencias, ver qué tipo de programa de cumplimiento tiene, si se puede desarrollar a partir de él, y luego involucrar a Shannon, a alguien como ella, junto con el departamento jurídico, para ayudar a desarrollar el programa, proporcionar formación y capacitación al respecto, y luego implementarlo y ponerlo en marcha. Quiero decir, eso es realmente, a alto nivel, lo que hemos visto en términos de cómo se inicia y qué se hace con él. ¿Ves lo mismo? ¿Es eso lo que recomendarías también?

Shannon Sumner

Por supuesto, y yo diría que el siguiente nivel sería la gobernanza. Así que, si hay algún oyente que forme parte de un comité de gobernanza del consejo de administración o incluso de un comité de gobernanza dentro de su organización, que se plantee: ¿tenemos esto? Y creo que el primer paso siempre es el más difícil, y siempre es más difícil reconocer con cuántas organizaciones se puede tener un contrato y no necesariamente se sabe. Pero yo diría que el primer paso es realmente tener la conversación, comprender cuáles son los riesgos y cómo se están mitigando. Y creo que nunca podremos predecir todos los riesgos y nunca podremos gestionar todos los riesgos.

Pero creo que una organización que tiene un fuerte deseo de servir a sus comunidades, a sus pacientes y a sus empleados, y de ser un buen administrador de los recursos, creo que este es, obviamente, el mejor paso para garantizar que eso se lleve a cabo. Y así, Mónica, ha sido un placer hablar contigo sobre el riesgo de terceros, y realmente hemos disfrutado pasando tiempo con nuestros oyentes hoy, y espero que todos tengan un gran día.

Mónica Chmielewski

Sí, estoy de acuerdo. Y Shannon, gracias. Igualmente. Ha sido un placer y espero que todos hayan encontrado esto interesante, informativo y útil.

Shannon Sumner

Muy bien, gracias.

Mónica Chmielewski

Gracias.

Angie Caldwell

Gracias, Monica y Shannon, por este interesante debate. Les agradecemos que hayan dedicado su tiempo a acompañarnos hoy. Queremos dar las gracias a nuestros oyentes por unirse a nuestra serie de podcasts «Let’s Talk Compliance» con Health Care Law Today, su conexión con las últimas novedades legales en el sector de la salud y las ciencias de la vida. Les animamos a que se suscriban a este podcast y visiten el blog Health Care Law Today de Foley en healthcarelawtoday.com y en pyapc.com. Si les gusta este programa, no olviden suscribirse y valorarnos con cinco estrellas. Hasta la próxima, soy Angie Caldwell, de PYA.

Jana Kolarik

Soy Jana Kolarik, de Foley & Lardner. Muchas gracias por escuchar.