Experiencia Humana de American Humana Company
¿Cómo pueden operar de forma segura las compañías de seguros de salud, que están relacionadas con la vida y la salud de muchas personas? Precisamente porque atienden a una amplia gama de personas, el gobierno ha emitido diversas regulaciones extremadamente estrictas para regular sus comportamientos de gestión, finanzas y servicios. Para sobrevivir, estas empresas deben cumplir con las regulaciones gubernamentales cada vez mayores dentro del tiempo especificado, y la TI es la clave para ayudarlas a lograr rápidamente el cumplimiento normativo y mantener la competitividad central. Humana es una de las mejores.
La industria de los seguros de salud ha atraído mucha atención del gobierno debido a su particularidad: tiene una amplia audiencia y está relacionada con la economía nacional y el sustento de la gente. Ningún país se atreve a permitir que se desarrolle. Por lo tanto, las compañías de seguros de salud están sujetas a las normas legales más estrictas del país. Las regulaciones, si se siguen bien, son la base para un desarrollo rápido; si no se siguen, sólo se llega a un callejón sin salida. Esta característica de la industria hace que las compañías de seguros de salud entren en pánico y se equivoquen cada vez que se promulgan regulaciones. De hecho, si hacen un buen uso de la TI como arma, el cumplimiento normativo puede convertirse en una oportunidad para deshacerse de sus competidores. Humana, una empresa de beneficios de salud de 14 mil millones de dólares con sede en Louisville, Kentucky, tiene una buena tradición que le quedó de resolver el problema del año 2000, lo que le permite mejorar rápidamente su competitividad central mediante el cumplimiento de las regulaciones.
Mientras otras empresas se quejaron del impacto de Sarbanes-Oxley (SOX) en la situación financiera de la compañía y continuaron planteando las dificultades de implementar SOX a los accionistas y reguladores, el presidente y director ejecutivo de Humana, Mike McAllister, dijo en una entrevista que Humana se ha estado preparando paso a paso durante los últimos dos años, por lo que SOX no alarmó a Humana. El cumplimiento se ha convertido en parte de la cultura corporativa de Humana.
Frente a la ley, da la vuelta o pasa
Como empresa cuyo principal negocio es el seguro médico, Humana tiene 9,3 millones de afiliados en 50 estados y Puerto Rico. siempre se ha adherido constantemente a diversas regulaciones estatales y locales, incluidas Medicare, las regulaciones estatales de seguros, la Junta Nacional de Garantía de Calidad, la Junta de Acreditación de Evaluación de Aplicaciones y los Programas de Atención Médica del Departamento de Defensa. En los últimos años, cuando el gobierno federal introdujo la Ley de Privacidad e Intercambio de Información sobre Seguros Médicos (HIPAA, por sus siglas en inglés) más estricta en los Estados Unidos, Humana estaba preparada para enfrentar el desafío con anticipación basándose en el principio de centrarse en detectar temprano y persistir. Por el contrario, lidiar con SOX no es nada comparado con uno grande.
Por supuesto, Humana también encontró algunos problemas al implementar HIPAA. Afortunadamente, tienen una estructura organizacional rigurosa para promoverlo y han creado una cultura corporativa donde el cumplimiento de las regulaciones comienza conmigo, por lo que la vida de Humana es mucho más fácil que la de otras empresas. Humana da un ejemplo que cualquier empresa puede dar, si tan solo dejara de saltar y gritar y, en cambio, se sentara y resolviera los problemas. En esencia, Humana ofrece una visión de un futuro en el que el cumplimiento normativo forma parte de las operaciones diarias de una empresa y puede convertirse en una ventaja competitiva.
El camino de Humana hacia el cumplimiento normativo no ha sido fácil. Al contrario, ha experimentado un cambio debido a la aparición de ciertas personas y ciertas cosas.
Y2K dejó un buen legado
En 1999, Goodman renunció a su puesto como director ejecutivo de una empresa de consultoría e integración de sistemas y se unió a Humana. En ese momento, Humana enfrentaba el problema del año 2000 que afectaba al mundo. Habiendo evitado con éxito el inminente problema del año 2000, Humana ha aprendido una serie de lecciones para abordar futuros problemas de cumplimiento.
Ese año, para erradicar el virus del milenio, Humana formó un "equipo tigre", es decir, un equipo de emergencia; Humana espera utilizar este nombre para expresar la importancia y urgencia del asunto y la espíritu ganador del equipo. El equipo de tigres de Humana trabajó junto con el personal relevante de varios departamentos para ejecutar el proyecto crítico dentro del plazo especificado.
Posteriormente, este grupo se convirtió en una oficina de gestión de proyectos de la empresa, responsable de analizar los problemas comerciales que deben resolverse, determinar las soluciones y las personas que implementarán las soluciones y monitorear todo el proceso del proyecto. A principios de 2001, mientras Humana se preparaba para lidiar con HIPAA, lanzó Tiger nuevamente.
HIPPA se promulgó en 1996 para garantizar que los estadounidenses tengan cobertura médica cuando cambian de trabajo o pierden su empleo. También establece estándares para la industria de la salud en áreas como la salud del paciente, el intercambio de datos y la confidencialidad de los datos. Se puede decir que HIPAA representa el modelo para toda la industria del cuidado de la salud a medida que ingresa a la era digital. HIPAA establece como fecha límite de cumplimiento el año 2003.
Para cumplir con HIPAA, Humana formó tres equipos de emergencia, uno responsable del intercambio electrónico de datos, otro para abordar los sistemas y prácticas de confidencialidad y otro para abordar los problemas de seguridad de los datos. La empresa cuenta con tres grupos que trabajan con personal de auditoría interna, confidencialidad, seguridad, intercambio electrónico de datos (EDI), legal y prestación de servicios. Cada equipo de emergencia cuenta con 12 personas y se reúne una vez por semana.
Al formar un equipo, todos echan leña al fuego
Goodman rápidamente se dio cuenta de que alguien debía ser responsable de la seguridad integral de HIPAA. Así que puso la carga sobre los hombros de Jonathan Moore, director de seguridad de TI y cumplimiento normativo. Además de liderar el equipo de emergencia responsable de los asuntos de seguridad, Moore también es el facilitador que pasa el balón a Goodman en momentos críticos en la cancha y desempeña el papel de enlace de TI en todos los asuntos de HIPAA. Jim Theiss, director de privacidad de Humana y ejecutivo senior de cumplimiento y TI, dirige el grupo de confidencialidad. Posteriormente, Humana también formó un cuarto equipo compuesto por seis altos directivos: dos vicepresidentes de tecnología de la información, el director del grupo de alta dirección, el director de supervisión regulatoria, el director de operaciones de servicios y el director de suministro de servicios, y nombró es el Comité Directivo de HIPPA. Los tres grupos informarán sobre el progreso de su trabajo una vez al mes y el comité ajustará sus prioridades de trabajo en consecuencia si es necesario.
La empresa también llevó a cabo la necesaria reestructuración organizativa. Humana originalmente tenía un departamento de cumplimiento, un departamento de seguro médico y un departamento de acreditación para garantizar que las compañías de seguros y varios planes de salud grupales tuvieran la acreditación de agencias de control de calidad. La empresa ha organizado estos departamentos en el Centro de cumplimiento de HIPAA y cada departamento ha establecido un sistema aplicable a Humana de acuerdo con HIPAA. Más tarde, cuando se hizo cumplir SOX, Humana aplicó el concepto de centro de cumplimiento al departamento de auditoría interna.
Moore también estableció una nueva unidad de estrategia de seguridad de TI como parte de la estrategia de cumplimiento de la empresa. El grupo de seguridad de TI original sigue siendo responsable del trabajo diario, mientras que el nuevo departamento de estrategia de seguridad de TI es responsable de desarrollar una estrategia de seguridad de datos que cumpla con las regulaciones. "Lo que nos da dolor de cabeza es el modelo de seguridad TI original", afirmó Moore: "Este modelo sólo puede proteger el sistema de ataques externos". Pero esto no es suficiente para que las empresas garanticen también la seguridad de los datos dentro de la empresa. Por eso, la empresa estableció un nuevo departamento de seguridad estratégico compuesto por casi 40 personas para abordar los problemas de seguridad que surgen de las nuevas regulaciones como HIPAA, sistemas de voz interactivos y aplicaciones inalámbricas.
Uso de TI para explorar los límites de las regulaciones
Al igual que muchas empresas, TI desempeña un papel fundamental en el trabajo de cumplimiento normativo de Humana. Especialmente en el caso del intercambio electrónico de datos y la seguridad de la información, el papel de las TI es obvio. Y TI también brinda un sólido respaldo al trabajo de confidencialidad de Humana. Kelley y Goodman comparten el mismo objetivo, que es utilizar la tecnología para hacer que las operaciones de la empresa sean más eficientes sin infringir las regulaciones. Por ejemplo, Goodman podría recomendar que Kelley utilice el correo electrónico para manejar las quejas de los clientes y mejorar la eficiencia, según lo permitan las leyes y las regulaciones. Los sistemas de voz interactivos también están en la cima de la agenda de la compañía, pero requieren una investigación exhaustiva y profunda debido a preocupaciones de privacidad.
Cumplir con la ley dará sus frutos a largo plazo
Al igual que muchas regulaciones gubernamentales, HIPAA tiene un contenido que puede entenderse de múltiples maneras.
Por lo tanto, debido a una comprensión inadecuada, Humana actuó de manera demasiado conservadora en el tratamiento de la información de los pacientes. Por ejemplo, la empresa nunca reveló ninguna información sobre los pacientes en primer lugar, dejando a los agentes y corredores pasivos. Por poner otro ejemplo, Humana ha establecido un proceso de autenticación de identidad muy complicado, que crea muchos problemas para quienes acceden a través de la web.
Contar con una política de seguridad y privacidad que cumpla con HIPPA es un beneficio multipropósito: el cumplimiento fortalece el desempeño general de Humana. Porque HIPAA estipula estándares para el intercambio de datos. A medida que más médicos y hospitales adopten este estándar, allanará el camino para los procesos de transacciones administrativas de Humana. "Si se puede seguir plenamente la HIPAA, será más fácil para los consumidores y los proveedores de servicios comunicarse", dijo Goodman. "Si sabemos que un determinado hospital utiliza un determinado código de transacción, el intercambio de información será mucho más fácil".
El retorno de la inversión de HIPAA será cada vez más claro, afirmó Goodman. Un día, más de 600.000 médicos tendrán una identificación única que podrán utilizar a lo largo de sus carreras, y entonces será cuando Humana dará sus frutos. "
Como dijo el analista Eric Brown, esto es algo natural. "Sabes, HIPAA es un proyecto enorme. Pero si se dedica a TI, pensará que este tipo de buenas prácticas es la tendencia general. ”
Veinte mil empleados han desarrollado el mismo hábito
Las regulaciones como SOX e HIPAA promulgadas en los últimos años tienen como objetivo recordar a los ejecutivos de la empresa que actúen con precaución, pero desafortunadamente el efecto no es De hecho, desde la perspectiva de la mayoría de las empresas, el problema más difícil es cómo crear una cultura de cumplimiento en toda la empresa para que todos puedan educarse. Para Humana, esto significa contratar a 20.000 empleados para que tengan una comprensión coherente. una atmósfera cultural puede ayudar al Comité Directivo de HIPAA y también demostrar que Humana se toma en serio el cumplimiento de las normas. Esto requiere que todos en la empresa tomen en serio el bautismo de HIPAA y SOX.
Humana es responsable de la confidencialidad. El equipo desarrolló un plan de acción, el primero de los cuales fue la llamada "política de escritorio claro" que requería que todos no dejaran información de los pacientes en sus escritorios al final del día. La aplicación de esta política compartía de manera efectiva los esfuerzos de seguridad de la empresa. que todos los escritorios pasen la inspección.
Además, la empresa exige que los empleados recuerden las contraseñas en lugar de escribirlas. Las normas HIPAA recomiendan que las contraseñas se cambien periódicamente y deben ser de cierta complejidad. El proceso de generación de contraseñas fue clave para el cumplimiento y el sistema de generación de contraseñas original no estaba a la altura de la tarea.
Humana compró un nuevo sistema para administrar los datos de los pacientes de los empleados de conformidad con las regulaciones de HIPAA. Humana, cada empleado recibe capacitación sobre cumplimiento. El personal de cumplimiento de Laura desarrolla cursos de capacitación a los que los empleados pueden asistir en persona o de forma remota. Lay creó un sistema de seguimiento estilo panel que “puedo usar el sistema de seguimiento para ver quién necesita capacitación todos los días. Dijo que una vez que se acerque la fecha límite de cumplimiento normativo, llamará directamente a los empleados que no hayan participado en la capacitación.
Humana también instaló pantallas de plasma en el vestíbulo para transmitir constantemente las últimas regulaciones y noticias de la empresa. recordar a los empleados la cultura de cumplimiento de la empresa. La empresa también envía periódicamente correos electrónicos sobre cumplimiento para ayudarlos a comprender los sistemas de seguridad más recientes de la empresa. Al mismo tiempo, Humana transmitirá las políticas de la empresa en el sitio web y los procedimientos internos de la empresa. p>El equipo responsable de la confidencialidad incluso ha establecido un Mes de la Privacidad para fortalecer las prácticas de confidencialidad. Las actividades del mes de la privacidad incluyen capacitación y educación en seguridad para todos los empleados y publicidad sobre las regulaciones de confidencialidad en la intranet, publicación de avisos de confidencialidad dentro de la empresa y realización de confidencialidad. competencias entre empleados.
Aprenda de un ejemplo y no será difícil la próxima vez
Moore cree que el cambio de Humana antes y después de la promulgación de HIPAA y SOX es de una norma a una norma estricta. Aunque Humana necesita adaptarse constantemente al flujo interminable de nuevas regulaciones, los esfuerzos de la compañía son de una vez por todas, lo que se ha convertido en su ventaja. "No es tan difícil seguir estas regulaciones. Son similares y se pueden hacer inferencias de una a otra", dijo Moore. Es decir, debe haber gestión y formas de hacer que la gestión funcione, como seguridad dentro y fuera de la empresa, gestión de confidencialidad y acceso a los datos, seguridad y seguimiento del comportamiento individual -como quién ha recibido formación, quién ha cambiado contraseñas, etc.
Los clientes de Humana también se sumaron a sus esfuerzos. "Están más preocupados por cómo protegemos su información", dijo Moore. "Y esperan que cumplamos con los requisitos reglamentarios". Por lo tanto, el cumplimiento de las reglamentaciones no sólo es una ventaja para Humana, sino que también garantiza el desarrollo ordenado de la empresa.
El dinero tiene que pagar
Durante décadas, los CIO han estado tratando de demostrar que TI no es sólo un centro de costos para sus empresas, ni es una carga inevitable que solo aumentará los gastos de gestión. Muchos de ellos creen que la TI es un valioso conjunto de herramientas estratégicas que no sólo pueden aumentar los ingresos, sino también reducir significativamente los costos e incluso inspirar nuevos modelos de negocio. Con este fin, efectivamente han hecho grandes esfuerzos en los últimos dos años. Sin embargo, en los últimos años, el engorroso trabajo de cumplimiento normativo ha empujado a los CIO a dejar de lado las partidas de costos en los estados financieros, y los esfuerzos anteriores han sido en vano.
Por supuesto, cuando se trata de los problemas causados por SOX y HIPAA, sin mencionar otras regulaciones, el gobierno es naturalmente el "culpable", y TI es considerado como el segundo enemigo. AMR, una firma de consultoría y análisis de datos, información y tecnología empresarial, cree que el costo de cumplir con SOX alcanzará los 6 mil millones de dólares en 2006, pero la proporción de TI aumentará, llegando a casi 2 mil millones de dólares.
Los directores financieros ciertamente no quieren que esto suceda, pero no están indefensos ante el aumento de los costos. Una de las razones por las que los costos de TI están aumentando en los esfuerzos de cumplimiento es que las empresas están utilizando la tecnología para reducir el costo general del cumplimiento, automatizar procesos y optimizar las legiones de auditores y consultores contratados durante el susto SOX. Según AMR, la inversión en TI puede reducir las necesidades de mano de obra y, en última instancia, reducir los gastos.
La contribución de la TI al cumplimiento normativo no tiene precedentes. Las empresas necesitan sistemas de TI para rastrear y verificar tareas como los gases de escape de las plantas de energía, la seguridad de la red y la gestión financiera, todo lo cual convierte a la TI en el núcleo de la empresa. Por supuesto, el trabajo de cumplimiento es un gasto esencial, pero los CIO pueden usar la tecnología para simplificar la complejidad y reducir los costos: en el trabajo de cumplimiento, las empresas inteligentes definitivamente desempeñarán el papel estratégico de TI para mejorar en gran medida la eficiencia. Los CIO están bien posicionados para demostrarles a sus preocupados jefes que TI está ayudando a sus empresas a evitar una tormenta perfecta.
Además, la TI también puede desempeñar un papel a la hora de cambiar la situación. Eric Brown, analista de Forrester Research, cree que a medida que las TI adquieran mayor importancia en las empresas, también aumentarán las regulaciones correspondientes.