健康險行業因為其特殊性,備受政府關註——受眾廣泛,關系國計民生,每個國家都不敢放過。因此,健康保險企業受到國家最嚴格的法律規定的約束。法律法規,如果遵循得好,是快速發展的基礎;不順從,只有死路壹條。這種行業特性使得每次法律法規出臺,健康險企業都慌得壹塌糊塗。事實上,如果我們很好地利用它作為武器,合規可以成為他們擺脫競爭對手的機會。Humana,美國肯塔基州路易斯維爾的壹家健康和福利公司,654.38+04億美元,從解決Y2K問題開始就有良好的傳統,這使他們能夠通過遵守法律法規來快速提高核心競爭力。
當其他公司抱怨薩班斯-奧克斯利法案(Sarbanes-Oxley,SOX)影響了公司的財務狀況,並不斷向股東和監管機構詢問實施SOX的困難時,Humana總裁兼首席執行官邁克·阿裏斯特(Mike Ariste)在接受采訪時表示,在過去的兩年中,Humana壹直在按部就班地做準備,因此SOX並沒有打擾Humana。合規已經成為Humana企業文化的壹部分。
面對法律,是繞開還是走過?
Humana作為壹家主營醫療保險的公司,在美國50個州和波多黎各擁有930萬會員。公司始終遵守各種國家和地方的法律法規,包括醫療保險、國家保險法規、國家質量保證委員會、應用評估和鑒定委員會和國防部保健計劃。近年來,當聯邦政府出臺美國最嚴格的醫療保險信息交換與保密法案(HIPAA)時,Humana本著抓早、堅持的原則,提前做好了迎接挑戰的準備。相比之下,處理SOX只是滄海壹粟。
當然,Humana在實現HIPAA時也遇到了壹些問題。好在他們有嚴謹的組織架構來推動和營造遵循法律法規,從我做起的企業文化,所以Humana的日子比其他公司輕松多了。Humana樹立了壹個任何公司都可以做到的榜樣——只要他們不跳起來尖叫,而是靜下心來解決問題。Humana本質上讓人看到了未來,即合規是公司日常運營的壹部分,也可以成為公司的競爭優勢。
Humana在遵紀守法的道路上並不是壹帆風順的。反而因為壹些人和事的出現而有了轉機。
千年蟲留下了壹個好傳統。
從65438到0999,古德曼辭去了壹家咨詢和系統集成公司的CEO,加入了Humana。當時Humana面臨的是遍布全球的Y2K問題。當危險的2000年問題被成功避免時,Humana獲得了壹套處理未來符合性問題的經驗。
那壹年,為了消滅千年蟲,胡瑪娜組建了“老虎隊”,也就是應急小組——胡瑪娜希望用這個名字來表明事情的重要性和緊迫性,以及這支隊伍的必勝精神。Humana的老虎團隊與各部門相關人士齊新合作,在規定時限內實施重點項目。後來這個小組變成了公司的項目管理辦公室,負責分析需要解決的業務問題,確定解決方案和解決方案的實施者,監控整個項目過程。2001年初,Humana在準備對付HIPAA的時候再次啟動了猛虎。
HIPPA頒布於1996,以保證美國人民在換工作或失業時能有醫療保險。它還在患者健康、數據交換和數據保密方面為醫療保健行業設定了標準。可以說HIPAA代表了整個醫療保健行業進入數字化時代後的藍圖。HIPAA設定了2003年的最後期限。
為了遵守HIPAA,Humana成立了三個應急小組,壹個負責電子數據交換,壹個處理保密制度和慣例,壹個解決數據安全問題。該公司要求三個團隊與內部審計、保密、安全、電子數據交換(EDI)、法律和服務提供部門的工作人員合作。每個應急小組有12人,每周有壹次例會。
帶個隊,眾人拾柴火焰高
Goodman很快意識到必須有人負責HIPAA的整體安全。所以他把重擔放在了IT安全和監管監督總監喬納森·摩爾(Jonathan Moore)的肩上。除了領導負責安全事務的應急小組,摩爾還在HIPAA的所有事務中擔任IT聯絡員,就像在球場上關鍵時刻把球傳給古德曼的助手。Humana的首席保密官兼高級IT和合規執行官Jim Theiss領導著負責保密的團隊。之後Humana還組建了由6位高級經理組成的第四個團隊:兩位信息技術副總裁、高級管理團隊負責人、監管監督負責人、服務運營負責人和服務供應負責人,並將其命名為HIPPA規劃指導委員會。三個小組每月報告壹次工作進展,委員會將在必要時調整工作重點。
該公司還進行了必要的組織結構調整。Humana最初有壹個合規部、壹個醫療保險部和壹個認證部,以確保保險公司和各種團體的醫療保健計劃得到質量保證機構的認證。公司將這些部門納入HIPAA合規中心,每個部門根據HIPAA建立適用於Humana的體系。後來,當SOX被強制執行時,Humana將合規中心的概念應用於內部審計部門。
摩爾還成立了壹個新的IT安全戰略部門,作為公司合規戰略的壹部分。原IT安全團隊繼續負責日常工作,而新的IT安全戰略部門負責制定符合法規的數據安全戰略。“困擾我們的是最初的IT安全模式。”摩爾說:“這種模式只能保護系統免受外部攻擊。”但這還不夠。HIPAA要求公司內部的數據安全。於是公司新成立了壹個由近40人組成的戰略安全部門,來處理HIPAA、交互式語音系統、無線應用等新法規帶來的安全問題。
用信息技術探索法律法規的邊界
與許多公司壹樣,它在Humana的合規工作中發揮著核心作用。特別是對於電子數據交換和信息安全,它的作用是顯而易見的。也是對Humana保密工作的大力支持。Gloria和Goodman的目標是壹致的,那就是在不與法律法規沖突的情況下,用技術讓公司的運營更加高效。例如,Goodman可能會建議Gloria在法律法規允許的情況下使用電子郵件處理客戶投訴,以提高效率。交互式語音系統也是公司日程上的重中之重,但由於涉及隱私問題,需要進行深入全面的研究。
守法自有長遠收益。
和很多政府規定壹樣,HIPAA中有些內容可以有很多理解。所以Humana由於理解不當,對待患者信息過於保守。比如公司壹開始從來不透露任何患者的信息,讓代理商和經紀人很被動。再比如,Humana設置了非常復雜的認證程序,給通過Web訪問的人造成了很大的麻煩。
根據HIPPA的要求,安全和保密系統是雙重打擊——合規性加強了Humana的整體性能。因為HIPAA規定了數據交換的標準。隨著越來越多的醫生和醫院開始采用這壹標準,它將為Humana的後臺交易程序鋪平道路。“如果我們能夠完全遵守HIPAA,消費者和服務提供商之間的溝通將更加容易。”古德曼說。“如果我們知道壹家醫院使用某種交易代碼,交換信息就會容易得多。”
古德曼說,HIPAA的投資回報將越來越明顯。有壹天,超過60萬名醫生將擁有壹個唯壹的ID,可以在他們的整個職業生涯中使用,那時Humana將獲得獎勵。"
正如分析師埃裏克·布朗所說,這是很自然的事情。“妳知道,HIPAA是壹個巨大的項目。但如果妳從事其中,妳會認為這種好的規範是大勢所趨。”
兩萬名員工養成了同樣的習慣。
近年來,SOX、HIPAA等法律法規相繼出臺,提醒公司高管謹慎,但效果並不理想。其實在大多數公司看來,更難的問題是如何在全公司營造合規的文化氛圍,讓每個人都受到影響。對於Humana來說,這意味著讓2萬名員工互相認識。營造文化氛圍可以幫助HIPAA規劃委員會,也顯示了Humana對合規的重視。這就需要公司的每個人都認真接受HIPAA、SOX等法規的洗禮。
Humana負責保密的應急小組已經制定了行動計劃。第壹項就是所謂的“桌面清理制度”,要求每個人在壹天的工作結束後,不要把病人的信息留在桌面上。執行這個政策,就相當於分擔了公司的安全工作,保證所有的臺式機都能通過檢查。
另外,公司要求員工把密碼記在腦子裏,而不是寫下來。HIPAA規定建議密碼要定期更換,密碼必須有壹定的復雜度。對於Humana來說,自動密碼生成程序是遵守法律法規的關鍵,而原有的密碼生成系統卻無法勝任。為此,Humana購買了新系統。
根據HIPAA法規,對員工進行患者數據管理培訓同樣重要。在Humana,每位員工都必須接受符合法律法規的培訓。勞拉的合規人員開發了培訓課程,員工可以親自參加培訓,也可以選擇遠程培訓。古德曼為格洛麗亞設計了壹個儀表板跟蹤系統。“我每天都能根據追蹤系統看到誰需要訓練。”她說,壹旦合規截止日期臨近,她會直接給那些沒有參加培訓的員工打電話。
Humana還在大堂安裝了等離子屏幕,隨時播放最新的法規和公司新聞,不斷提醒員工公司的合規文化。公司還會定期給員工發關於合規的郵件,幫助他們了解公司最新的安全制度。同時,Humana會在公司內部網站上依次廣播公司政策和程序。
負責保密的小組甚至設立了壹個隱私月,以加強保密的做法。保密月的活動包括對全體員工進行安全培訓和教育,在內網上宣傳保密規定,在公司內部張貼保密通知,以及員工之間的保密競賽。
下次就不難了。
Moore認為,Humana在HIPAA和SOX頒布前後的變化是從規範到嚴格規範。雖然Humana需要不斷的調整來適應層出不窮的新規定,但是公司的努力是壹勞永逸的,這也成為了它的優勢。“遵循這些規定並不難。它們是相似的,可以外推。”摩爾說。也就是必須要有能讓管理有效的管理和方法,比如公司內外的安全,保密和數據訪問管理,安全和個人行為追蹤——比如誰接受過培訓,誰改了密碼等等。
Humana的客戶也參與了他們的行動。“他們更關心我們如何保護他們的信息。”摩爾說。“他們希望我們遵守法規的要求。”因此,遵守法律法規不僅是Humana的優勢,也是公司有序發展的保證。
金錢必須付出的代價。
幾十年來,CIO們壹直試圖證明,它不僅是公司的成本中心,也是不可避免的負擔,或者說只會增加公司的管理成本。他們中的許多人認為它是壹種有價值的戰略工具,不僅可以增加收入,還可以大大降低成本,甚至刺激新的商業模式。為此,這兩年他們真的付出了很大的努力。然而,近年來繁重的合規工作將CIO推向了財務報表成本項的壹邊,之前的努力付之東流。
當然,說到SOX和HIPAA帶來的麻煩——且不說其他法律法規,政府自然是“罪魁禍首”,被視為第二大敵人。AMR是壹家企業數據、信息和技術分析與咨詢公司,它認為遵守SOX的成本在2006年將達到60億美元,但這壹比例還會增加,將達到近20億美元。
CFO們當然不希望看到這壹點,但對於成本的增加也並非無可奈何。在合規工作中,IT成本增加的原因之壹是企業正在利用技術手段降低整體合規成本,實現程序自動化,精簡在SOX恐慌時期雇傭的大量審計人員和顧問。AMR認為,IT投資可以減少人力需求,最終降低支出。
它對遵守法律法規的貢獻是前所未有的。企業需要IT系統對電廠廢氣、網絡安全、財務管理等工作進行跟蹤測試,這些都使IT成為企業的核心。當然,合規工作是必不可少的開支,但CIO們可以利用技術化繁為簡,降低成本:在合規工作中,明智的公司壹定會發揮IT的戰略作用,大大提高效率。首席信息官們完全有能力向精於算計的老板們證明,這是在幫助公司躲過壹場完美風暴。
此外,還能起到扭轉局勢的作用。弗雷斯特研究公司(Forrester Research)的分析師埃裏克·布朗(Eric Brown)認為,隨著IT在企業中變得越來越重要,相應的法規也會增加。