Human a保健保险企业守规矩才能更保险
Humana的CIO布鲁斯·古德曼从一开始就把法规遵从作为提升企业管理的手段,而不是一项任务。
关乎众多百姓生命及健康问题的保健保险企业,怎么才能安全运营?
正因为他们服务的人群面广泛,政府才会出台五花八门又极其严格的法规,以规范他们的管理、财务、服务行为。要想生存,这些企业必须在规定时间内遵从层出不穷的政府规定,而IT则是帮助他们快速实现法规遵从并保有核心竞争力的关键。
保健保险行业因为其特殊性而备受政府关注—受众广泛,关乎国计民生,每个国家都不敢放任自流,任其发展。因此,保健保险企业受到国家最严格的法律规定约束。
法规,如果好好遵从,是快速发展的基础;如果不遵从,只有死路一条。这种行业特性,使得保健保险企业在每次法规颁布之后都诚惶诚恐,乱做一团。
而其实,如果利用好IT这个武器,法规遵从反而可以成为他们甩掉竞争对手的机会。位于美国肯塔基州路易维尔市身价140亿美元的保健福利公司Humana从解决千年虫问题时留下的好传统,使得他们因遵从法规而快速提高了核心竞争力。
当其它公司抱怨萨班斯·奥克斯利法案(Sarbanes-Oxley, SOX)影响了公司的财务状况,不断向股东和监管机构提出执行SOX的困难时,Humana公司的总裁兼CEO迈克尔·迈克阿里斯特(Mike McAllister)则在一次采访中表示,过去两年,Humana一直在循序渐进做准备,所以SOX没有惊动Humana。法规遵从已经成为Humana企业文化的一部分。
面对法律 绕行还是穿行
作为一家以医疗保险为主营业务的企业,Humana公司在全美50个州以及波多黎各拥有930名万会员,公司始终不渝地遵循着各种国家、地方法规,包括联邦医疗保险(Medicare)、国家保险规定、国家质保委员会、应用评估鉴定委员会以及国防部医疗保健计划。近几年,当联邦政府推出美国最严厉的医疗保险信息交换与保密法案(HIPAA)时,Humana本着重在早抓、贵在坚持的原则提前做好了应对挑战的准备,相比之下,应对SOX就是小巫见大巫了。
“别误会我的意思,其实我们做了大量的法规遵从工作。”Humana的CIO布鲁斯·古德曼(Bruce Goodman)说。
当然,Humana在贯彻落实HIPAA时也遇到了一些问题。好在他们有严谨的组织结构负责推动,且营造了遵循法规从我做起的企业文化,所以Humana的日子比其它公司要好过得多。Humana树立的榜样是任何一家公司都能做到的—只要他们不是又跳又叫,而是静下来解决问题。实质上,Humana让人们看到了未来,即法规遵从是公司日常运营的一部分,而且还能成为公司的竞争优势。
在法规遵从的道路上,Humana并不是一帆风顺的,相反,他们也是因为某些人、某些事情的出现而有了转机。
千年虫留下了好传统
1999年,古德曼辞去一家咨询及系统整合公司的CEO职位,加入Humana。当时,Humana正面临波及全世界的千年虫问题。当成功避免了岌岌可危的千年虫问题之后,Humana由此得出了一套应对未来法规遵从问题的经验。
那一年,为了扫除千年虫,Humana组建了一支“老虎队”,即紧急小组—Humana希望借用这个名字表现事情的重要、紧急性以及这个团队必胜的精神。Humana的老虎队与各个部门相关人员齐心协力,在指定期限内执行了关键项目。后来这个小组成了公司的一个项目管理办公室,负责分析需要解决的业务问题,确定解决方案以及方案的实施人员,并监控整个项目流程。2001年初,Humana准备应对HIPAA时,再次启动了老虎队。
1996年颁布的HIPPA是为了保障美国民众在换工作或失业的情况下能有医疗保障。它还为保健行业在病人健康、数据交换以及数据保密等方面制定了标准。可以说,HIPAA代表了整个保健行业进入数字化时代之后的蓝图。HIPAA设定了遵从法规的最终期限—2003年。
为了遵从HIPAA,Humana组建了三个紧急小组,一个负责电子数据交换,一个处理保密制度和实践,一个解决数据安全问题。公司让三个小组与来自内部审计、保密、安全、电子数据交换(EDI)、法律以及提供服务等部门的工作人员合作。每个紧急小组有12个人,每周一次例会。
搭班子 众人拾柴火焰高
古德曼很快意识到必须有人专门负责HIPAA的全面安全事宜。于是他将重担放在IT安全及法规监查总监乔纳森·摩尔(Jonathan Moore)的肩膀上。摩尔除了带领负责安全事务的紧急小组外,还像球场上关键时刻将球传给古德曼的助攻者,在所有HIPAA事宜中扮演着IT联络员的角色。Humana首席保密官及资深IT和法规遵从执行官吉姆·提萨(Jim Theiss)则带领负责保密事务的小组。
之后,Humana还组建了由六位高级经理组成的第四支队伍:两个信息技术副总裁、高级管理小组主管、法规监察主管、服务运营主管以及服务供应主管,并命名为HIPPA筹划指导委员会。三个小组每个月汇报一次工作进展,委员会将据此在必要时调整工作重点。
公司还进行了必要的机构重组。Humana本来设有一个法规遵从部门、医疗保险部门以及鉴定部门—确保保险公司和各种团体的保健计划有质保机构的鉴定。公司将这些部门编入了HIPAA法规遵从中心,每个部门根据HIPAA建立了适用Humana的制度。后来SOX强制执行时,Humana又将法规遵从中心的概念沿用到内部审计部门。
摩尔还建立了一个新的IT安全性战略部门,作为公司法规遵从战略的一部分。原有IT安全组继续负责日常工作,而新的IT安全战略部门负责开发一个遵守法规的数据安全战略。“让我们头疼的是原有IT安全模式。”摩尔说:“这个模式只能防止系统受到外部侵袭。”但这还不够,HIPAA要求公司内部也要做到数据安全保障。于是公司成立了一个由近40人组成的新战略性安全部门,专门处理由于新法规如HIPAA、互动语音系统以及无线应用等产生的安全问题。
用IT探索法规的边界
像众多公司一样,IT在Humana的法规遵从工作中占有核心地位。尤其对于电子数据交换和信息安全,IT的作用显而易见。而且IT对于Humana的保密工作也是一个强有力的支持。“我很早就着手法规遵从工作中的IT安全问题。”提萨说:“IT安全与保密是唇亡齿寒的关系。”
提萨并不是唯一一个与IT密切接触的人。Humana负责法规遵从的总监劳拉·凯莱(Laura Kelley)说:“我每天都会与IT人员沟通好几次,其他地方的同事也是如此。”开会内容可能涉及从电子签名到关于在线政策文件法规的各种问题。
凯莱和古德曼有着同一个目标,那就是利用技术让公司运营变得更有效,同时又不会与法规发生冲突。例如,古德曼可能会建议凯莱在法律法规允许的情况下使用电子邮件来处理客户投诉以提高效率。互动语音系统也是公司日程上的头等大事,但是由于涉及隐私问题,需要深度和全面的研究。
守法自有长远收获
正如许多政府法规一样,HIPAA也有一些内容存在多种理解方式。因此,由于理解不当,Humana在对待病人的信息时表现得过于保守。例如,公司一开始从不公开任何关于病人的信息,导致代理和经纪商很被动。再例如,Humana设定了一个非常复杂的身份认证程序,给那些通过Web访问的人制造了不少麻烦。