關乎眾多百姓生命及健康問題的保健保險企業,怎麽才能安全運營?正因為他們服務的人群面廣泛,政府才會出臺五花八門又極其嚴格的法規,以規範他們的管理、財務、服務行為。要想生存,這些企業必須在規定時間內遵從層出不窮的政府規定,而IT則是幫助他們快速實現法規遵從並保有核心競爭力的關鍵。Humana就是其中的佼佼者。
保健保險行業因為其特殊性而備受政府關註—受眾廣泛,關乎國計民生,每個國家都不敢放任自流,任其發展。因此,保健保險企業受到國家最嚴格的法律規定約束。法規,如果好好遵從,是快速發展的基礎;如果不遵從,只有死路壹條。這種行業特性,使得保健保險企業在每次法規頒布之後都誠惶誠恐,亂做壹團。而其實,如果利用好IT這個武器,法規遵從反而可以成為他們甩掉競爭對手的機會。位於美國肯塔基州路易維爾市身價140億美元的保健福利公司Humana從解決千年蟲問題時留下的好傳統,使得他們因遵從法規而快速提高了核心競爭力。
當其它公司抱怨薩班斯·奧克斯利法案(Sarbanes-Oxley, SOX)影響了公司的財務狀況,不斷向股東和監管機構提出執行SOX的困難時,Humana公司的總裁兼CEO邁克爾·邁克阿裏斯特(Mike McAllister)則在壹次采訪中表示,過去兩年,Humana壹直在循序漸進做準備,所以SOX沒有驚動Humana。法規遵從已經成為 Humana企業文化的壹部分。
面對法律 繞行還是穿行
作為壹家以醫療保險為主營業務的企業,Humana公司在全美50個州以及波多黎各擁有930名萬會員,公司始終不渝地遵循著各種國家、地方法規,包括聯邦醫療保險(Medicare)、國家保險規定、國家質保委員會、應用評估鑒定委員會以及國防部醫療保健計劃。近幾年,當聯邦政府推出美國最嚴厲的醫療保險信息交換與保密法案(HIPAA)時,Humana本著重在早抓、貴在堅持的原則提前做好了應對挑戰的準備,相比之下,應對SOX就是小巫見大巫了。
當然,Humana在貫徹落實HIPAA時也遇到了壹些問題。好在他們有嚴謹的組織結構負責推動,且營造了遵循法規從我做起的企業文化,所以Humana的日子比其它公司要好過得多。Humana樹立的榜樣是任何壹家公司都能做到的—只要他們不是又跳又叫,而是靜下來解決問題。實質上,Humana讓人們看到了未來,即法規遵從是公司日常運營的壹部分,而且還能成為公司的競爭優勢。
在法規遵從的道路上,Humana並不是壹帆風順的,相反,他們也是因為某些人、某些事情的出現而有了轉機。
千年蟲留下了好傳統
1999年,古德曼辭去壹家咨詢及系統整合公司的CEO職位,加入Humana。當時,Humana正面臨波及全世界的千年蟲問題。當成功避免了岌岌可危的千年蟲問題之後,Humana由此得出了壹套應對未來法規遵從問題的經驗。
那壹年,為了掃除千年蟲,Humana組建了壹支“老虎隊”,即緊急小組—Humana希望借用這個名字表現事情的重要、緊急性以及這個團隊必勝的精神。 Humana的老虎隊與各個部門相關人員齊心協力,在指定期限內執行了關鍵項目。後來這個小組成了公司的壹個項目管理辦公室,負責分析需要解決的業務問題,確定解決方案以及方案的實施人員,並監控整個項目流程。2001年初,Humana準備應對HIPAA時,再次啟動了老虎隊。
1996年頒布的HIPPA是為了保障美國民眾在換工作或失業的情況下能有醫療保障。它還為保健行業在病人健康、數據交換以及數據保密等方面制定了標準。可以說,HIPAA代表了整個保健行業進入數字化時代之後的藍圖。HIPAA設定了遵從法規的最終期限—2003年。
為了遵從HIPAA,Humana組建了三個緊急小組,壹個負責電子數據交換,壹個處理保密制度和實踐,壹個解決數據安全問題。公司讓三個小組與來自內部審計、保密、安全、電子數據交換(EDI)、法律以及提供服務等部門的工作人員合作。每個緊急小組有12個人,每周壹次例會。
搭班子 眾人拾柴火焰高
古德曼很快意識到必須有人專門負責HIPAA的全面安全事宜。於是他將重擔放在IT安全及法規監查總監喬納森·摩爾(Jonathan Moore)的肩膀上。摩爾除了帶領負責安全事務的緊急小組外,還像球場上關鍵時刻將球傳給古德曼的助攻者,在所有HIPAA事宜中扮演著IT聯絡員的角色。Humana首席保密官及資深IT和法規遵從執行官吉姆·提薩(Jim Theiss)則帶領負責保密事務的小組。之後,Humana還組建了由六位高級經理組成的第四支隊伍:兩個信息技術副總裁、高級管理小組主管、法規監察主管、服務運營主管以及服務供應主管,並命名為HIPPA籌劃指導委員會。三個小組每個月匯報壹次工作進展,委員會將據此在必要時調整工作重點。
公司還進行了必要的機構重組。Humana本來設有壹個法規遵從部門、醫療保險部門以及鑒定部門—確保保險公司和各種團體的保健計劃有質保機構的鑒定。公司將這些部門編入了HIPAA法規遵從中心,每個部門根據HIPAA建立了適用Humana的制度。後來SOX強制執行時,Humana又將法規遵從中心的概念沿用到內部審計部門。
摩爾還建立了壹個新的IT安全性戰略部門,作為公司法規遵從戰略的壹部分。原有IT安全組繼續負責日常工作,而新的IT安全戰略部門負責開發壹個遵守法規的數據安全戰略。“讓我們頭疼的是原有IT安全模式。”摩爾說:“這個模式只能防止系統受到外部侵襲。”但這還不夠,HIPAA要求公司內部也要做到數據安全保障。於是公司成立了壹個由近40人組成的新戰略性安全部門,專門處理由於新法規如HIPAA、互動語音系統以及無線應用等產生的安全問題。
用IT探索法規的邊界
像眾多公司壹樣,IT在Humana的法規遵從工作中占有核心地位。尤其對於電子數據交換和信息安全,IT的作用顯而易見。而且IT對於Humana的保密工作也是壹個強有力的支持。凱萊和古德曼有著同壹個目標,那就是利用技術讓公司運營變得更有效,同時又不會與法規發生沖突。例如,古德曼可能會建議凱萊在法律法規允許的情況下使用電子郵件來處理客戶投訴以提高效率。互動語音系統也是公司日程上的頭等大事,但是由於涉及隱私問題,需要深度和全面的研究。
守法自有長遠收獲
正如許多政府法規壹樣,HIPAA也有壹些內容存在多種理解方式。因此,由於理解不當,Humana在對待病人的信息時表現得過於保守。例如,公司壹開始從不公開任何關於病人的信息,導致代理和經紀商很被動。再例如,Humana設定了壹個非常復雜的身份認證程序,給那些通過Web訪問的人制造了不少麻煩。
根據HIPPA的要求制定的安全和保密制度是壹件壹舉多得的事情—法規遵從加強了 Humana的整體業績。因為HIPAA規定了數據交換的標準。隨著越來越多的醫生和醫院都開始采用這種標準,必將為Humana的後臺交易程序鋪平道路。“如果能夠完全遵循HIPAA,那麽消費者和服務提供方會更容易溝通。”古德曼說。“如果我們知道某家醫院使用某個交易代碼,那麽信息交換就容易多了。”
HIPAA的投資回報會日益明顯,古德曼說。總有壹天,60多萬名醫生都會擁有壹個可以在整個職業生涯中使用的、獨壹無二的ID,那個時候就是Humana得到回報的時候。”
正如分析師埃裏克·布朗(Eric Brown)所說的,這是順理成章的事情。“要知道,HIPAA是壹項巨大的工程。但是如果妳是搞IT的,妳會認為這種良好的規範是大勢所趨。”
兩萬名員工養成同壹種習慣
近些年頒布的SOX、HIPAA等法規就是要提醒公司高管們謹慎行事,可惜效果並不理想。其實在大多數公司看來,更難的問題是如何在整個公司範圍內營造出壹種法規遵從的文化氛圍,讓每壹個人都受到熏陶。對於Humana而言,這意味著要讓兩萬名員工認識壹致。營造文化氛圍能夠幫助HIPAA籌劃委員會,同時也表明Humana對法規遵從的重視。這需要公司每個人都認真接受HIPAA和SOX等法規的洗禮。
Humana負責保密工作的緊急小組制定了壹個行動計劃,第壹項就是所謂的“清理桌面制度”,要求每個人在結束壹天工作後不得將病人的信息留在桌面上。執行這壹政策等於分擔了公司的安全工作,保證所有桌面都能通過檢查。
此外,公司要求員工將密碼記在腦子裏,而不是寫下來。HIPAA法規建議定期更改密碼,而且密碼必須具有壹定的復雜度。對於Humana而言,密碼自動生成程序是法規遵從的關鍵,而原有密碼生成系統不能勝任。為此,Humana購買了新系統。
根據HIPAA法規,對員工進行病人數據管理的培訓同樣至關重要。在Humana,每個員工都要接受法規遵循培訓。勞拉手下負責法規遵從的工作人員制訂了培訓課程,員工可以親自參加培訓,也可以選擇遠程培訓。古德曼為凱萊創建了壹個儀表板式的跟蹤系統。“我每天都能根據跟蹤系統察看誰還需要培訓。”她說,壹旦法規遵從的最後期限臨近時,她就會直接打電話給那些沒有參加培訓的員工。
Humana還在大廳內安裝了等離子屏幕,隨時播報最新的法規和公司新聞,以不斷提醒員工公司的法規遵從文化。公司還會定期向員工發送關於法規遵從的郵件,幫助他們了解公司最新的安全制度。與此同時,Humana會在公司內部網站上輪流播放公司政策和手續。
負責保密的小組甚至設定了保密月(Privacy Month),用於加強保密實踐。保密月活動包括對所有員工進行安全培訓和教育、在內網上宣傳有關保密的規定、在公司內部張貼保密告示以及在員工中間開展關於保密的競賽等。
舉壹反三 下次不再難
摩爾認為,Humana在HIPAA和SOX頒布前後的變化是從規範變成嚴格規範。盡管Humana需要不斷調整以適應層出不窮的新法規,但公司所付出的努力是壹勞永逸的,這也成為它的優勢。“遵循這些法規並不是難如登天。它們大同小異,可以舉壹反三。”摩爾說。那就是,必須有管理以及能讓管理奏效的方法,比如公司內外的安全保障、保密和數據訪問管理、安全保障以及個人行為的跟蹤——例如誰接受了培訓,誰更改了密碼等等。
Humana的客戶也參與了他們的行動。“他們更關心我們是如何保護他們的信息的。”摩爾說。“而且他們希望我們遵守法規的要求。”因此,遵守法規不僅是Humana的優勢,而且還保證了公司的有序發展。
金錢必須付出的代價
幾十年來,CIO們壹直在努力證明IT不僅僅是公司的成本中心,更不是不可避免的累贅,或只會增加公司的管理費用。他們中的許多人認為,IT是壹套寶貴的戰略性工具,不僅能增加收益,而且能大大降低成本,甚至能激發新的商業模式。為此,他們這兩年確實付出了巨大的努力。然而,近年來繁重的法規遵從工作又將 CIO推向了財務報表的成本項目壹邊,以前的努力付之東流。
當然,要說SOX和HIPAA制造的麻煩——且不說其他法規,政府自然是“罪魁禍首”,IT則被看作第二號敵人。企業數據、信息和技術分析與咨詢公司AMR認為,遵循SOX的成本將於2006年達到60億美元,但是其中IT所占的比例將會增加——將達到近20億美元。
CFO 們肯定不會願意看到這種情況,但他們對於成本增加也不是束手無策。在法規遵從工作中,IT成本之所以增加,壹個原因就是企業正在利用技術手段降低法規遵從的總體成本,實現程序自動化,同時精簡在SOX恐慌時期雇傭的大批審計員和顧問。據AMR介紹,IT的投入能夠降低人力需求,最終減少支出。
IT對法規遵從的貢獻是前所未有的,企業需要IT系統來跟蹤並檢驗諸如發電廠排出的廢氣、網絡安全以及財務管理等工作,所有這些使IT成為企業的核心。當然,法規遵從工作是必不可少的開支,但是CIO們能夠利用技術化繁為簡,降低成本:在法規遵從工作中,明智的公司壹定會發揮IT的戰略作用,大大提高效率。CIO們完全有能力向斤斤計較的老板們證明,IT正在幫助公司躲過壹場完美風暴。
此外,IT還能發揮扭轉局面的作用。Forrester Research公司的分析師埃裏克·布朗(Eric Brown)認為,隨著IT在企業中變得日益重要,相應的法規也會有所增加。