美国哈门那公司的Humana经验

关乎众多百姓生命及健康问题的保健保险企业,怎么才能安全运营?正因为他们服务的人群面广泛,政府才会出台五花八门又极其严格的法规,以规范他们的管理、财务、服务行为。要想生存,这些企业必须在规定时间内遵从层出不穷的政府规定,而IT则是帮助他们快速实现法规遵从并保有核心竞争力的关键。Humana就是其中的佼佼者。

保健保险行业因为其特殊性而备受政府关注—受众广泛,关乎国计民生,每个国家都不敢放任自流,任其发展。因此,保健保险企业受到国家最严格的法律规定约束。法规,如果好好遵从,是快速发展的基础;如果不遵从,只有死路一条。这种行业特性,使得保健保险企业在每次法规颁布之后都诚惶诚恐,乱做一团。而其实,如果利用好IT这个武器,法规遵从反而可以成为他们甩掉竞争对手的机会。位于美国肯塔基州路易维尔市身价140亿美元的保健福利公司Humana从解决千年虫问题时留下的好传统,使得他们因遵从法规而快速提高了核心竞争力。

当其它公司抱怨萨班斯·奥克斯利法案(Sarbanes-Oxley, SOX)影响了公司的财务状况,不断向股东和监管机构提出执行SOX的困难时,Humana公司的总裁兼CEO迈克尔·迈克阿里斯特(Mike McAllister)则在一次采访中表示,过去两年,Humana一直在循序渐进做准备,所以SOX没有惊动Humana。法规遵从已经成为 Humana企业文化的一部分。

面对法律 绕行还是穿行

作为一家以医疗保险为主营业务的企业,Humana公司在全美50个州以及波多黎各拥有930名万会员,公司始终不渝地遵循着各种国家、地方法规,包括联邦医疗保险(Medicare)、国家保险规定、国家质保委员会、应用评估鉴定委员会以及国防部医疗保健计划。近几年,当联邦政府推出美国最严厉的医疗保险信息交换与保密法案(HIPAA)时,Humana本着重在早抓、贵在坚持的原则提前做好了应对挑战的准备,相比之下,应对SOX就是小巫见大巫了。

当然,Humana在贯彻落实HIPAA时也遇到了一些问题。好在他们有严谨的组织结构负责推动,且营造了遵循法规从我做起的企业文化,所以Humana的日子比其它公司要好过得多。Humana树立的榜样是任何一家公司都能做到的—只要他们不是又跳又叫,而是静下来解决问题。实质上,Humana让人们看到了未来,即法规遵从是公司日常运营的一部分,而且还能成为公司的竞争优势。

在法规遵从的道路上,Humana并不是一帆风顺的,相反,他们也是因为某些人、某些事情的出现而有了转机。

千年虫留下了好传统

1999年,古德曼辞去一家咨询及系统整合公司的CEO职位,加入Humana。当时,Humana正面临波及全世界的千年虫问题。当成功避免了岌岌可危的千年虫问题之后,Humana由此得出了一套应对未来法规遵从问题的经验。

那一年,为了扫除千年虫,Humana组建了一支“老虎队”,即紧急小组—Humana希望借用这个名字表现事情的重要、紧急性以及这个团队必胜的精神。 Humana的老虎队与各个部门相关人员齐心协力,在指定期限内执行了关键项目。后来这个小组成了公司的一个项目管理办公室,负责分析需要解决的业务问题,确定解决方案以及方案的实施人员,并监控整个项目流程。2001年初,Humana准备应对HIPAA时,再次启动了老虎队。

1996年颁布的HIPPA是为了保障美国民众在换工作或失业的情况下能有医疗保障。它还为保健行业在病人健康、数据交换以及数据保密等方面制定了标准。可以说,HIPAA代表了整个保健行业进入数字化时代之后的蓝图。HIPAA设定了遵从法规的最终期限—2003年。

为了遵从HIPAA,Humana组建了三个紧急小组,一个负责电子数据交换,一个处理保密制度和实践,一个解决数据安全问题。公司让三个小组与来自内部审计、保密、安全、电子数据交换(EDI)、法律以及提供服务等部门的工作人员合作。每个紧急小组有12个人,每周一次例会。

搭班子 众人拾柴火焰高

古德曼很快意识到必须有人专门负责HIPAA的全面安全事宜。于是他将重担放在IT安全及法规监查总监乔纳森·摩尔(Jonathan Moore)的肩膀上。摩尔除了带领负责安全事务的紧急小组外,还像球场上关键时刻将球传给古德曼的助攻者,在所有HIPAA事宜中扮演着IT联络员的角色。Humana首席保密官及资深IT和法规遵从执行官吉姆·提萨(Jim Theiss)则带领负责保密事务的小组。之后,Humana还组建了由六位高级经理组成的第四支队伍:两个信息技术副总裁、高级管理小组主管、法规监察主管、服务运营主管以及服务供应主管,并命名为HIPPA筹划指导委员会。三个小组每个月汇报一次工作进展,委员会将据此在必要时调整工作重点。

公司还进行了必要的机构重组。Humana本来设有一个法规遵从部门、医疗保险部门以及鉴定部门—确保保险公司和各种团体的保健计划有质保机构的鉴定。公司将这些部门编入了HIPAA法规遵从中心,每个部门根据HIPAA建立了适用Humana的制度。后来SOX强制执行时,Humana又将法规遵从中心的概念沿用到内部审计部门。

摩尔还建立了一个新的IT安全性战略部门,作为公司法规遵从战略的一部分。原有IT安全组继续负责日常工作,而新的IT安全战略部门负责开发一个遵守法规的数据安全战略。“让我们头疼的是原有IT安全模式。”摩尔说:“这个模式只能防止系统受到外部侵袭。”但这还不够,HIPAA要求公司内部也要做到数据安全保障。于是公司成立了一个由近40人组成的新战略性安全部门,专门处理由于新法规如HIPAA、互动语音系统以及无线应用等产生的安全问题。

用IT探索法规的边界

像众多公司一样,IT在Humana的法规遵从工作中占有核心地位。尤其对于电子数据交换和信息安全,IT的作用显而易见。而且IT对于Humana的保密工作也是一个强有力的支持。凯莱和古德曼有着同一个目标,那就是利用技术让公司运营变得更有效,同时又不会与法规发生冲突。例如,古德曼可能会建议凯莱在法律法规允许的情况下使用电子邮件来处理客户投诉以提高效率。互动语音系统也是公司日程上的头等大事,但是由于涉及隐私问题,需要深度和全面的研究。

守法自有长远收获

正如许多政府法规一样,HIPAA也有一些内容存在多种理解方式。因此,由于理解不当,Humana在对待病人的信息时表现得过于保守。例如,公司一开始从不公开任何关于病人的信息,导致代理和经纪商很被动。再例如,Humana设定了一个非常复杂的身份认证程序,给那些通过Web访问的人制造了不少麻烦。

根据HIPPA的要求制定的安全和保密制度是一件一举多得的事情—法规遵从加强了 Humana的整体业绩。因为HIPAA规定了数据交换的标准。随着越来越多的医生和医院都开始采用这种标准,必将为Humana的后台交易程序铺平道路。“如果能够完全遵循HIPAA,那么消费者和服务提供方会更容易沟通。”古德曼说。“如果我们知道某家医院使用某个交易代码,那么信息交换就容易多了。”

HIPAA的投资回报会日益明显,古德曼说。总有一天,60多万名医生都会拥有一个可以在整个职业生涯中使用的、独一无二的ID,那个时候就是Humana得到回报的时候。”

正如分析师埃里克·布朗(Eric Brown)所说的,这是顺理成章的事情。“要知道,HIPAA是一项巨大的工程。但是如果你是搞IT的,你会认为这种良好的规范是大势所趋。”

两万名员工养成同一种习惯

近些年颁布的SOX、HIPAA等法规就是要提醒公司高管们谨慎行事,可惜效果并不理想。其实在大多数公司看来,更难的问题是如何在整个公司范围内营造出一种法规遵从的文化氛围,让每一个人都受到熏陶。对于Humana而言,这意味着要让两万名员工认识一致。营造文化氛围能够帮助HIPAA筹划委员会,同时也表明Humana对法规遵从的重视。这需要公司每个人都认真接受HIPAA和SOX等法规的洗礼。

Humana负责保密工作的紧急小组制定了一个行动计划,第一项就是所谓的“清理桌面制度”,要求每个人在结束一天工作后不得将病人的信息留在桌面上。执行这一政策等于分担了公司的安全工作,保证所有桌面都能通过检查。

此外,公司要求员工将密码记在脑子里,而不是写下来。HIPAA法规建议定期更改密码,而且密码必须具有一定的复杂度。对于Humana而言,密码自动生成程序是法规遵从的关键,而原有密码生成系统不能胜任。为此,Humana购买了新系统。

根据HIPAA法规,对员工进行病人数据管理的培训同样至关重要。在Humana,每个员工都要接受法规遵循培训。劳拉手下负责法规遵从的工作人员制订了培训课程,员工可以亲自参加培训,也可以选择远程培训。古德曼为凯莱创建了一个仪表板式的跟踪系统。“我每天都能根据跟踪系统察看谁还需要培训。”她说,一旦法规遵从的最后期限临近时,她就会直接打电话给那些没有参加培训的员工。

Humana还在大厅内安装了等离子屏幕,随时播报最新的法规和公司新闻,以不断提醒员工公司的法规遵从文化。公司还会定期向员工发送关于法规遵从的邮件,帮助他们了解公司最新的安全制度。与此同时,Humana会在公司内部网站上轮流播放公司政策和手续。

负责保密的小组甚至设定了保密月(Privacy Month),用于加强保密实践。保密月活动包括对所有员工进行安全培训和教育、在内网上宣传有关保密的规定、在公司内部张贴保密告示以及在员工中间开展关于保密的竞赛等。

举一反三 下次不再难

摩尔认为,Humana在HIPAA和SOX颁布前后的变化是从规范变成严格规范。尽管Humana需要不断调整以适应层出不穷的新法规,但公司所付出的努力是一劳永逸的,这也成为它的优势。“遵循这些法规并不是难如登天。它们大同小异,可以举一反三。”摩尔说。那就是,必须有管理以及能让管理奏效的方法,比如公司内外的安全保障、保密和数据访问管理、安全保障以及个人行为的跟踪——例如谁接受了培训,谁更改了密码等等。

Humana的客户也参与了他们的行动。“他们更关心我们是如何保护他们的信息的。”摩尔说。“而且他们希望我们遵守法规的要求。”因此,遵守法规不仅是Humana的优势,而且还保证了公司的有序发展。

金钱必须付出的代价

几十年来,CIO们一直在努力证明IT不仅仅是公司的成本中心,更不是不可避免的累赘,或只会增加公司的管理费用。他们中的许多人认为,IT是一套宝贵的战略性工具,不仅能增加收益,而且能大大降低成本,甚至能激发新的商业模式。为此,他们这两年确实付出了巨大的努力。然而,近年来繁重的法规遵从工作又将 CIO推向了财务报表的成本项目一边,以前的努力付之东流。

当然,要说SOX和HIPAA制造的麻烦——且不说其他法规,政府自然是“罪魁祸首”,IT则被看作第二号敌人。企业数据、信息和技术分析与咨询公司AMR认为,遵循SOX的成本将于2006年达到60亿美元,但是其中IT所占的比例将会增加——将达到近20亿美元。

CFO 们肯定不会愿意看到这种情况,但他们对于成本增加也不是束手无策。在法规遵从工作中,IT成本之所以增加,一个原因就是企业正在利用技术手段降低法规遵从的总体成本,实现程序自动化,同时精简在SOX恐慌时期雇佣的大批审计员和顾问。据AMR介绍,IT的投入能够降低人力需求,最终减少支出。

IT对法规遵从的贡献是前所未有的,企业需要IT系统来跟踪并检验诸如发电厂排出的废气、网络安全以及财务管理等工作,所有这些使IT成为企业的核心。当然,法规遵从工作是必不可少的开支,但是CIO们能够利用技术化繁为简,降低成本:在法规遵从工作中,明智的公司一定会发挥IT的战略作用,大大提高效率。CIO们完全有能力向斤斤计较的老板们证明,IT正在帮助公司躲过一场完美风暴。

此外,IT还能发挥扭转局面的作用。Forrester Research公司的分析师埃里克·布朗(Eric Brown)认为,随着IT在企业中变得日益重要,相应的法规也会有所增加。