많은 사람의 생명과 건강 문제와 관련된 건강보험회사가 어떻게 안전하게 운영될 수 있을까요? 다양한 사람들에게 서비스를 제공하기 때문에 정부는 관리, 재정 및 서비스 행위를 규제하기 위해 다양하고 매우 엄격한 규정을 발표했습니다. 이들 기업이 생존하려면 날로 늘어나는 정부 규제를 정해진 시간 내에 준수해야 하는데, 이들 기업이 신속하게 규제를 준수하고 핵심 경쟁력을 유지할 수 있도록 돕는 것은 IT가 핵심이다. Humana는 최고 중 하나입니다.
건강보험산업은 수요층이 넓고, 국가경제 및 민생과 직결되는 산업이라는 특수성 때문에 정부의 많은 관심을 받아왔다. 따라서 건강보험회사는 해당 국가에서 가장 엄격한 법적 규제를 받습니다. 규정을 잘 따르면 급속한 발전의 기반이 되고, 그렇지 않으면 막다른 골목에 이르게 됩니다. 이런 업계 특성 때문에 건강보험사들은 규제가 나올 때마다 당황하고 난리를 피운다. 실제로 IT를 무기로 잘 활용한다면 규제 준수는 경쟁사를 물리칠 수 있는 기회가 될 수 있습니다. 켄터키 주 루이빌에 본사를 둔 140억 달러 규모의 건강 혜택 회사인 Humana는 Y2K 문제를 해결하면서 규정 준수를 통해 핵심 경쟁력을 빠르게 향상시킬 수 있는 좋은 전통을 갖고 있습니다.
다른 기업들이 SOX(Sarbanes-Oxley)가 재무 건전성에 미치는 영향에 대해 불평하고 SOX 구현에 대해 주주 및 규제 기관에 계속 어려움을 제기하는 동안 Humana의 사장 겸 CEO인 Mike McAllister는 인터뷰에서 Humana가 다음과 같이 말했습니다. 지난 2년간 차근차근 준비를 해왔기 때문에 SOX는 휴마나를 불안하게 하지 않았습니다. 규정 준수는 Humana의 기업 문화의 일부가 되었습니다.
법률 앞에서 우회하거나 통과
의료 보험을 주요 사업으로 하는 회사로 휴마나는 50개 주와 푸에르토리코에 930만 명의 회원을 보유하고 있는 회사입니다. Medicare, 주 보험 규정, 국가 품질 보증 위원회, 신청 평가 인증 위원회 및 국방부 의료 프로그램을 포함한 다양한 주 및 지방 규정을 항상 일관되게 준수합니다. 최근 연방정부가 미국에서 가장 엄격한 건강보험정보교환 및 개인정보 보호법(HIPAA)을 도입했을 때 휴마나는 조기에 포착하고 지속하는 데 중점을 두는 원칙을 바탕으로 사전에 문제에 대처할 준비가 되어 있었습니다. 대조적으로, SOX를 다루는 것은 큰 것에 비하면 아무것도 아닙니다.
물론 Humana도 HIPAA를 구현하면서 몇 가지 문제에 직면했습니다. 다행스럽게도 이를 추진할 수 있는 엄격한 조직 구조를 가지고 있고, 규정 준수는 나로부터 시작되는 기업 문화를 만들어 왔기 때문에 휴마나의 생활은 다른 회사보다 훨씬 편합니다. Humana는 점프하고 비명을 지르는 것을 멈추고 가만히 앉아 문제를 해결한다면 모든 회사가 할 수 있는 모범을 보여줍니다. 본질적으로 Humana는 규제 준수가 회사의 일상 업무의 일부이며 경쟁 우위가 될 수 있는 미래를 엿볼 수 있는 기회를 제공합니다.
휴먼나의 규제준수 길은 순탄치만은 않았다. 오히려 어떤 인물, 어떤 사물의 등장으로 반전을 겪었다.
Y2K 버그는 좋은 유산을 남겼습니다
1999년 Goodman은 컨설팅 및 시스템 통합 회사의 CEO 자리에서 사임하고 Humana에 합류했습니다. 당시 Humana는 전 세계에 영향을 미치고 있는 Y2K 문제에 직면하고 있었습니다. 다가오는 Y2K 문제를 성공적으로 피함으로써 Humana는 향후 규정 준수 문제를 처리하기 위한 교훈을 얻었습니다.
그 해, 휴마나는 밀레니엄 버그를 근절하기 위해 '호랑이 팀', 즉 비상팀을 결성했는데, 휴마나는 이 이름을 사용해 사안의 중요성과 긴급성을 표현하고, 팀의 승리 정신. Humana의 Tiger 팀은 다양한 부서의 관련 인력과 협력하여 지정된 기한 내에 중요한 프로젝트를 실행했습니다. 나중에 이 그룹은 회사의 프로젝트 관리 사무실이 되어 해결해야 할 비즈니스 문제를 분석하고, 솔루션과 솔루션을 구현할 인력을 결정하고, 전체 프로젝트 프로세스를 모니터링하는 일을 담당했습니다. 2001년 초 Humana는 HIPAA 대응을 준비하면서 Tiger를 다시 출시했습니다.
HIPPA는 미국인이 직업을 바꾸거나 실직할 때 의료 혜택을 받을 수 있도록 1996년에 제정되었습니다. 또한 환자 건강, 데이터 교환, 데이터 기밀성 등의 분야에서 의료 산업의 표준을 설정합니다. HIPAA는 디지털 시대를 맞이하는 헬스케어 산업 전체의 청사진이라고 할 수 있습니다. HIPAA는 규정 준수 기한을 2003년으로 설정합니다.
HIPAA를 준수하기 위해 Humana는 전자 데이터 교환을 담당하는 팀, 기밀 유지 시스템 및 관행을 담당하는 팀, 데이터 보안 문제를 담당하는 팀 등 3개의 긴급 팀을 구성했습니다. 회사에는 내부 감사, 기밀 유지, 보안, 전자 데이터 교환(EDI), 법률 및 서비스 제공 분야의 직원과 함께 일하는 세 개의 그룹이 있습니다. 각 비상팀은 12명으로 구성되며 일주일에 한 번씩 회의를 갖는다.
팀을 구성하고 모두가 열심히 일하고 있습니다.
Goodman은 누군가가 HIPAA의 포괄적인 보안을 책임져야 한다는 것을 금방 깨달았습니다. 그래서 그는 IT 보안 및 규정 준수 담당 이사인 조나단 무어(Jonathan Moore)의 어깨에 부담을 주었습니다. 보안 문제를 담당하는 긴급 팀을 이끄는 것 외에도 Moore는 코트의 중요한 순간에 Goodman에게 공을 패스하는 진행자이기도 하며 모든 HIPAA 문제에 대한 IT 연락 담당자 역할을 합니다. Humana의 최고 개인 정보 보호 책임자이자 수석 IT 및 규정 준수 책임자인 Jim Theiss가 기밀 유지 그룹을 이끌고 있습니다. 이후 휴마나는 정보기술 담당 부사장 2명, 고위 관리 그룹 이사, 규제 감독 이사, 서비스 운영 이사, 서비스 공급 이사 등 6명의 고위 관리자로 구성된 네 번째 팀도 구성했다. 바로 HIPPA 운영위원회입니다. 세 그룹은 한 달에 한 번씩 업무 진행 상황을 보고하며, 필요한 경우 위원회는 이에 따라 업무 우선순위를 조정합니다.
회사에서도 필요한 조직 개편을 단행했다. Humana는 원래 보험회사와 다양한 단체 건강 보험이 품질 보증 기관으로부터 인증을 받았는지 확인하기 위해 규정 준수 부서, 건강 보험 부서 및 인증 부서를 두었습니다. 회사는 이러한 부서를 HIPAA 컴플라이언스 센터로 구성하고, 각 부서는 HIPAA에 따라 Humana에 적용 가능한 시스템을 구축했습니다. 이후 SOX가 시행되면서 휴마나는 컴플라이언스 센터 개념을 내부감사부서에 적용했다.
무어는 회사 규정 준수 전략의 일환으로 새로운 IT 보안 전략 부서도 설립했습니다. 기존 IT 보안 그룹은 계속해서 일상 업무를 담당하고, 새로운 IT 보안 전략 부서는 규정을 준수하는 데이터 보안 전략 개발을 담당합니다. 무어는 "우리에게 골칫거리인 것은 원래의 IT 보안 모델이다"라고 말했다. "이 모델은 외부 공격으로부터 시스템을 보호할 수 있을 뿐입니다. 그러나 HIPAA는 기업이 회사 내부의 데이터 보안도 보장할 것을 요구합니다." 이에 회사는 HIPAA, 대화형 음성 시스템, 무선 애플리케이션 등 새로운 규정으로 인해 발생하는 보안 문제를 처리하기 위해 약 40명으로 구성된 새로운 전략 보안 부서를 설립했습니다.
IT를 사용하여 규제 경계 탐색
많은 회사와 마찬가지로 IT는 Humana의 규제 준수 업무에서 핵심 역할을 합니다. 특히 전자 데이터 교환과 정보 보안에 있어 IT의 역할은 분명하다. 그리고 IT는 Humana의 기밀 유지 업무에도 강력한 지원을 제공합니다. Kelley와 Goodman은 기술을 사용하여 규정을 위반하지 않고 회사 운영을 보다 효율적으로 만드는 동일한 목표를 공유합니다. 예를 들어, Goodman은 법률 및 규정에서 허용하는 대로 효율성을 높이기 위해 Kelley에게 이메일을 사용하여 고객 불만 사항을 처리하도록 권장할 수 있습니다. 대화형 음성 시스템도 회사의 최우선 과제이지만 개인 정보 보호 문제로 인해 심층적이고 포괄적인 연구가 필요합니다.
법을 준수하면 장기적으로 큰 성과를 거둘 수 있습니다.
많은 정부 규정과 마찬가지로 HIPAA에도 여러 가지 방법으로 이해할 수 있는 내용이 있습니다. 따라서, 부적절한 이해로 인해 휴마나는 환자 정보 처리에 있어서 너무 보수적으로 행동했습니다. 예를 들어 회사는 애초에 환자에 대한 정보를 전혀 공개하지 않았기 때문에 대리인과 브로커는 소극적이었습니다. 또 다른 예로 Humana는 매우 복잡한 신원 인증 프로세스를 설정하여 웹을 통해 액세스하는 사람들에게 많은 문제를 야기합니다.
HIPPA를 준수하는 보안 및 개인 정보 보호 정책을 마련하는 것은 다목적 이점입니다. 규정 준수는 Humana의 전반적인 성과를 강화합니다. HIPAA는 데이터 교환 표준을 규정하기 때문입니다.
더 많은 의사와 병원이 이 표준을 채택함에 따라 Humana의 백오피스 거래 프로세스의 기반이 마련될 것입니다. "HIPAA를 완전히 준수할 수 있다면 소비자와 서비스 제공업체의 의사소통이 더 쉬워질 것입니다"라고 Goodman은 말했습니다. "특정 병원이 특정 거래 코드를 사용한다는 사실을 알면 정보 교환이 훨씬 쉬워집니다."
HIPAA의 투자 수익이 점점 더 명확해질 것이라고 Goodman은 말했습니다. 언젠가는 60만 명 이상의 의사가 평생 동안 사용할 수 있는 고유 ID를 갖게 될 것이며, 그때 Humana가 성과를 거두게 될 것입니다. "
애널리스트 에릭 브라운이 말했듯이 이는 자연스러운 일이다. "아시다시피 HIPAA는 거대한 프로젝트입니다. 하지만 IT 분야에 종사하신다면 이런 좋은 습관이 대세라고 생각하실 겁니다. ”
2만 명의 직원이 동일한 습관을 갖게 되었습니다.
최근 몇 년간 공포된 SOX 및 HIPAA와 같은 규정은 회사 경영진에게 주의 깊게 행동하도록 상기시키기 위한 것이지만 불행히도 효과는 그렇지 않습니다. 사실 대부분의 기업 입장에서 보면 더 어려운 문제는 어떻게 하면 모두가 교육을 받을 수 있도록 회사 전체에 규정 준수 문화를 조성하는가 하는 것입니다. 문화적 분위기는 HIPAA 운영 위원회에 도움이 될 수 있으며, 이는 또한 Humana가 규정 준수를 진지하게 받아들인다는 것을 보여줄 수 있습니다. 이를 위해서는 회사의 모든 사람이 HIPAA 및 SOX 세례를 진지하게 받아들여야 합니다.
Humana는 비상 사태에 대한 책임이 있습니다. 팀은 행동 계획을 개발했는데, 그 중 첫 번째는 하루가 끝날 때 모든 사람이 환자 정보를 책상에 두지 않도록 요구하는 소위 "명확한 책상 정책"이었습니다. 이 정책을 시행하여 회사의 보안 노력을 효과적으로 공유했습니다.
또한 회사에서는 직원들이 비밀번호를 적어 두는 대신 기억하도록 요구합니다. HIPAA 규정에서는 비밀번호를 정기적으로 변경하도록 권장하고 있으며 Humana의 경우 자동 변경이 어느 정도 복잡해야 합니다. 비밀번호 생성 프로세스는 규정 준수의 핵심이었고 원래의 비밀번호 생성 시스템은 해당 작업을 수행할 수 없었습니다.
Humana는 HIPAA 규정을 준수하여 직원 환자 데이터를 관리하기 위해 새로운 시스템을 구입했습니다. Humana에서는 모든 직원이 Laura의 규정 준수 직원이 개발하고 Goodman이 원격으로 수행할 수 있는 규정 준수 교육을 받습니다. Lay는 “추적 시스템을 사용하여 매일 교육이 필요한 사람을 확인할 수 있는 대시보드 스타일 추적 시스템을 만들었습니다. 규정 준수 기한이 다가오면 교육에 참여하지 않은 직원들에게 직접 전화를 하겠다고 말했다.
휴마나는 또한 로비에 플라즈마 스크린을 설치해 최신 규정과 회사 소식을 지속적으로 방송했다. 회사는 또한 회사의 최신 안전 시스템에 대한 이해를 돕기 위해 규정 준수에 관한 이메일을 정기적으로 발송합니다. 동시에 회사 내부 웹사이트와 절차를 통해 회사 정책을 공지합니다.
기밀유지 담당팀에서는 비밀유지 관행을 강화하기 위해 개인정보 보호의 달을 제정하기도 했습니다. 개인정보 보호의 달 활동에는 전 직원을 대상으로 한 보안 교육 및 비밀유지 관련 규정 홍보, 회사 내 비밀유지 공지 게시, 비밀유지 실시 등이 포함됩니다.
다음번에는 추론을 도출하는 것이 어렵지 않을 것입니다.
무어는 HIPAA와 SOX의 공포 전후에 변화가 있을 것이라고 믿습니다. 끊임없는 새로운 규정에 끊임없이 적응해야 하지만, 회사의 노력은 단번에 휴마나의 장점이 되었습니다. 그것들은 유사하며 다른 경우에 대해 추론을 이끌어낼 수 있습니다. 즉, 회사 내부와 외부의 보안, 기밀 유지 및 데이터 액세스 관리, 보안 및 개인 행동 추적(교육을 받은 사람, 변경한 사람 등) 등 관리를 효과적으로 수행할 수 있는 방법과 관리가 있어야 한다고 말했습니다.
Humana의 고객 역시 그들의 노력에 무게를 두었습니다. “그들은 우리가 자신의 정보를 어떻게 보호하는지에 대해 더 관심을 갖고 있습니다. "그리고 그들은 우리가 규정의 요구 사항을 준수할 것으로 기대합니다"라고 Moore는 말했습니다. “따라서 규정을 준수하는 것은 휴마나의 장점일 뿐만 아니라 회사의 질서 있는 발전을 보장하는 것이기도 합니다.
돈은 지불해야 합니다
수십년 동안 CIO들은 IT가 회사의 단순한 비용 센터가 아니며, 단지 비용만 증가시키는 피할 수 없는 부담이 아니라는 점을 증명하려고 노력해 왔습니다. 관리비. 그들 중 다수는 IT가 수익을 증대할 뿐만 아니라 비용을 대폭 절감하고 새로운 비즈니스 모델에 영감을 줄 수 있는 귀중한 전략적 도구 세트라고 믿습니다. 이를 위해 그들은 지난 2년간 참으로 많은 노력을 기울였습니다. 그러나 최근 몇 년간 부담스러운 규제 준수 업무로 인해 CIO는 재무제표에서 비용 항목을 중시하게 되었고 이전의 노력은 헛수고가 되었습니다.
물론 다른 규제는 말할 것도 없고 SOX와 HIPAA로 인한 문제에 있어서는 당연히 정부가 '범인'이고, IT가 제2의 적으로 간주된다. 기업 데이터, 정보, 기술 분석 및 컨설팅 회사인 AMR은 SOX를 준수하는 데 드는 비용이 2006년에 미화 60억 달러에 달할 것으로 믿고 있으며, IT 부문의 비중도 증가하여 거의 미화 20억 달러에 이를 것으로 예상합니다.
CFO들은 확실히 이런 일이 일어나는 것을 원하지 않지만 비용 상승에 무력하지는 않습니다. 규정 준수 노력에서 IT 비용이 증가하는 이유 중 하나는 기업이 기술을 사용하여 전체 규정 준수 비용을 줄이고, 프로세스를 자동화하고, SOX 위기 중에 고용된 감사인 및 컨설턴트 군단을 합리화하고 있기 때문입니다. AMR에 따르면 IT에 대한 투자는 인력 요구 사항을 줄이고 궁극적으로 지출을 줄일 수 있습니다.
규정 준수에 대한 IT의 기여는 전례가 없습니다. 기업에는 발전소의 배기가스, 네트워크 보안, 재무 관리 등의 작업을 추적하고 확인하기 위한 IT 시스템이 필요하며, 이 모든 것이 IT를 기업의 핵심으로 만듭니다. 물론 규정 준수 작업은 필수적인 비용이지만 CIO는 기술을 사용하여 복잡성을 단순화하고 비용을 절감할 수 있습니다. 규정 준수 작업에서 현명한 기업은 확실히 IT의 전략적 역할을 수행하여 효율성을 크게 향상시킬 것입니다. CIO는 IT가 회사가 완벽한 폭풍을 피하도록 돕고 있다는 점을 바쁜 상사에게 증명할 수 있는 좋은 위치에 있습니다.
또한 IT는 상황을 반전시키는 역할도 할 수 있습니다. Forrester Research의 분석가인 Eric Brown은 IT가 기업에서 점점 더 중요해짐에 따라 그에 따른 규제도 증가할 것이라고 믿습니다.