美国Harmona公司的Humana体验
健康险行业因为其特殊性,备受政府关注——受众广泛,关系国计民生,每个国家都不敢放过。因此,健康保险企业受到国家最严格的法律规定的约束。法律法规,如果遵循得好,是快速发展的基础;不顺从,只有死路一条。这种行业特性使得每次法律法规出台,健康险企业都慌得一塌糊涂。事实上,如果我们很好地利用它作为武器,合规可以成为他们摆脱竞争对手的机会。Humana,美国肯塔基州路易斯维尔的一家健康和福利公司,654.38+04亿美元,从解决Y2K问题开始就有良好的传统,这使他们能够通过遵守法律法规来快速提高核心竞争力。
当其他公司抱怨萨班斯-奥克斯利法案(Sarbanes-Oxley,SOX)影响了公司的财务状况,并不断向股东和监管机构询问实施SOX的困难时,Humana总裁兼首席执行官迈克·阿里斯特(Mike Ariste)在接受采访时表示,在过去的两年中,Humana一直在按部就班地做准备,因此SOX并没有打扰Humana。合规已经成为Humana企业文化的一部分。
面对法律,是绕开还是走过?
Humana作为一家主营医疗保险的公司,在美国50个州和波多黎各拥有930万会员。公司始终遵守各种国家和地方的法律法规,包括医疗保险、国家保险法规、国家质量保证委员会、应用评估和鉴定委员会和国防部保健计划。近年来,当联邦政府出台美国最严格的医疗保险信息交换与保密法案(HIPAA)时,Humana本着抓早、坚持的原则,提前做好了迎接挑战的准备。相比之下,处理SOX只是沧海一粟。
当然,Humana在实现HIPAA时也遇到了一些问题。好在他们有严谨的组织架构来推动和营造遵循法律法规,从我做起的企业文化,所以Humana的日子比其他公司轻松多了。Humana树立了一个任何公司都可以做到的榜样——只要他们不跳起来尖叫,而是静下心来解决问题。Humana本质上让人看到了未来,即合规是公司日常运营的一部分,也可以成为公司的竞争优势。
Humana在遵纪守法的道路上并不是一帆风顺的。反而因为一些人和事的出现而有了转机。
千年虫留下了一个好传统。
从65438到0999,古德曼辞去了一家咨询和系统集成公司的CEO,加入了Humana。当时Humana面临的是遍布全球的Y2K问题。当危险的2000年问题被成功避免时,Humana获得了一套处理未来符合性问题的经验。
那一年,为了消灭千年虫,胡玛娜组建了“老虎队”,也就是应急小组——胡玛娜希望用这个名字来表明事情的重要性和紧迫性,以及这支队伍的必胜精神。Humana的老虎团队与各部门相关人士齐新合作,在规定时限内实施重点项目。后来这个小组变成了公司的项目管理办公室,负责分析需要解决的业务问题,确定解决方案和解决方案的实施者,监控整个项目过程。2001年初,Humana在准备对付HIPAA的时候再次启动了猛虎。
HIPPA颁布于1996,以保证美国人民在换工作或失业时能有医疗保险。它还在患者健康、数据交换和数据保密方面为医疗保健行业设定了标准。可以说HIPAA代表了整个医疗保健行业进入数字化时代后的蓝图。HIPAA设定了2003年的最后期限。
为了遵守HIPAA,Humana成立了三个应急小组,一个负责电子数据交换,一个处理保密制度和惯例,一个解决数据安全问题。该公司要求三个团队与内部审计、保密、安全、电子数据交换(EDI)、法律和服务提供部门的工作人员合作。每个应急小组有12人,每周有一次例会。
带个队,众人拾柴火焰高
Goodman很快意识到必须有人负责HIPAA的整体安全。所以他把重担放在了IT安全和监管监督总监乔纳森·摩尔(Jonathan Moore)的肩上。除了领导负责安全事务的应急小组,摩尔还在HIPAA的所有事务中担任IT联络员,就像在球场上关键时刻把球传给古德曼的助手。Humana的首席保密官兼高级IT和合规执行官Jim Theiss领导着负责保密的团队。之后Humana还组建了由6位高级经理组成的第四个团队:两位信息技术副总裁、高级管理团队负责人、监管监督负责人、服务运营负责人和服务供应负责人,并将其命名为HIPPA规划指导委员会。三个小组每月报告一次工作进展,委员会将在必要时调整工作重点。
该公司还进行了必要的组织结构调整。Humana最初有一个合规部、一个医疗保险部和一个认证部,以确保保险公司和各种团体的医疗保健计划得到质量保证机构的认证。公司将这些部门纳入HIPAA合规中心,每个部门根据HIPAA建立适用于Humana的体系。后来,当SOX被强制执行时,Humana将合规中心的概念应用于内部审计部门。
摩尔还成立了一个新的IT安全战略部门,作为公司合规战略的一部分。原IT安全团队继续负责日常工作,而新的IT安全战略部门负责制定符合法规的数据安全战略。“困扰我们的是最初的IT安全模式。”摩尔说:“这种模式只能保护系统免受外部攻击。”但这还不够。HIPAA要求公司内部的数据安全。于是公司新成立了一个由近40人组成的战略安全部门,来处理HIPAA、交互式语音系统、无线应用等新法规带来的安全问题。
用信息技术探索法律法规的边界
与许多公司一样,它在Humana的合规工作中发挥着核心作用。特别是对于电子数据交换和信息安全,它的作用是显而易见的。也是对Humana保密工作的大力支持。Gloria和Goodman的目标是一致的,那就是在不与法律法规冲突的情况下,用技术让公司的运营更加高效。例如,Goodman可能会建议Gloria在法律法规允许的情况下使用电子邮件处理客户投诉,以提高效率。交互式语音系统也是公司日程上的重中之重,但由于涉及隐私问题,需要进行深入全面的研究。
守法自有长远收益。
和很多政府规定一样,HIPAA中有些内容可以有很多理解。所以Humana由于理解不当,对待患者信息过于保守。比如公司一开始从来不透露任何患者的信息,让代理商和经纪人很被动。再比如,Humana设置了非常复杂的认证程序,给通过Web访问的人造成了很大的麻烦。
根据HIPPA的要求,安全和保密系统是双重打击——合规性加强了Humana的整体性能。因为HIPAA规定了数据交换的标准。随着越来越多的医生和医院开始采用这一标准,它将为Humana的后台交易程序铺平道路。“如果我们能够完全遵守HIPAA,消费者和服务提供商之间的沟通将更加容易。”古德曼说。“如果我们知道一家医院使用某种交易代码,交换信息就会容易得多。”
古德曼说,HIPAA的投资回报将越来越明显。有一天,超过60万名医生将拥有一个唯一的ID,可以在他们的整个职业生涯中使用,那时Humana将获得奖励。"
正如分析师埃里克·布朗所说,这是很自然的事情。“你知道,HIPAA是一个巨大的项目。但如果你从事其中,你会认为这种好的规范是大势所趋。”
两万名员工养成了同样的习惯。
近年来,SOX、HIPAA等法律法规相继出台,提醒公司高管谨慎,但效果并不理想。其实在大多数公司看来,更难的问题是如何在全公司营造合规的文化氛围,让每个人都受到影响。对于Humana来说,这意味着让2万名员工互相认识。营造文化氛围可以帮助HIPAA规划委员会,也显示了Humana对合规的重视。这就需要公司的每个人都认真接受HIPAA、SOX等法规的洗礼。
Humana负责保密的应急小组已经制定了行动计划。第一项就是所谓的“桌面清理制度”,要求每个人在一天的工作结束后,不要把病人的信息留在桌面上。执行这个政策,就相当于分担了公司的安全工作,保证所有的台式机都能通过检查。
另外,公司要求员工把密码记在脑子里,而不是写下来。HIPAA规定建议密码要定期更换,密码必须有一定的复杂度。对于Humana来说,自动密码生成程序是遵守法律法规的关键,而原有的密码生成系统却无法胜任。为此,Humana购买了新系统。
根据HIPAA法规,对员工进行患者数据管理培训同样重要。在Humana,每位员工都必须接受符合法律法规的培训。劳拉的合规人员开发了培训课程,员工可以亲自参加培训,也可以选择远程培训。古德曼为格洛丽亚设计了一个仪表板跟踪系统。“我每天都能根据追踪系统看到谁需要训练。”她说,一旦合规截止日期临近,她会直接给那些没有参加培训的员工打电话。
Humana还在大堂安装了等离子屏幕,随时播放最新的法规和公司新闻,不断提醒员工公司的合规文化。公司还会定期给员工发关于合规的邮件,帮助他们了解公司最新的安全制度。同时,Humana会在公司内部网站上依次广播公司政策和程序。
负责保密的小组甚至设立了一个隐私月,以加强保密的做法。保密月的活动包括对全体员工进行安全培训和教育,在内网上宣传保密规定,在公司内部张贴保密通知,以及员工之间的保密竞赛。
下次就不难了。
Moore认为,Humana在HIPAA和SOX颁布前后的变化是从规范到严格规范。虽然Humana需要不断的调整来适应层出不穷的新规定,但是公司的努力是一劳永逸的,这也成为了它的优势。“遵循这些规定并不难。它们是相似的,可以外推。”摩尔说。也就是必须要有能让管理有效的管理和方法,比如公司内外的安全,保密和数据访问管理,安全和个人行为追踪——比如谁接受过培训,谁改了密码等等。
Humana的客户也参与了他们的行动。“他们更关心我们如何保护他们的信息。”摩尔说。“他们希望我们遵守法规的要求。”因此,遵守法律法规不仅是Humana的优势,也是公司有序发展的保证。
金钱必须付出的代价。
几十年来,CIO们一直试图证明,它不仅是公司的成本中心,也是不可避免的负担,或者说只会增加公司的管理成本。他们中的许多人认为它是一种有价值的战略工具,不仅可以增加收入,还可以大大降低成本,甚至刺激新的商业模式。为此,这两年他们真的付出了很大的努力。然而,近年来繁重的合规工作将CIO推向了财务报表成本项的一边,之前的努力付之东流。
当然,说到SOX和HIPAA带来的麻烦——且不说其他法律法规,政府自然是“罪魁祸首”,被视为第二大敌人。AMR是一家企业数据、信息和技术分析与咨询公司,它认为遵守SOX的成本在2006年将达到60亿美元,但这一比例还会增加,将达到近20亿美元。
CFO们当然不希望看到这一点,但对于成本的增加也并非无可奈何。在合规工作中,IT成本增加的原因之一是企业正在利用技术手段降低整体合规成本,实现程序自动化,精简在SOX恐慌时期雇佣的大量审计人员和顾问。AMR认为,IT投资可以减少人力需求,最终降低支出。
它对遵守法律法规的贡献是前所未有的。企业需要IT系统对电厂废气、网络安全、财务管理等工作进行跟踪测试,这些都使IT成为企业的核心。当然,合规工作是必不可少的开支,但CIO们可以利用技术化繁为简,降低成本:在合规工作中,明智的公司一定会发挥IT的战略作用,大大提高效率。首席信息官们完全有能力向精于算计的老板们证明,这是在帮助公司躲过一场完美风暴。
此外,还能起到扭转局势的作用。弗雷斯特研究公司(Forrester Research)的分析师埃里克·布朗(Eric Brown)认为,随着IT在企业中变得越来越重要,相应的法规也会增加。