8月
2015
加大对有意义使用审计的投入
Selena Chavis著
郑重声明
第二十七卷第八页
随着安全问题成为人们关注的焦点,OIG扩大了其影响范围。
一段时间以来,审计领域一直存在很大的噪音。随着联邦政府的审查越来越严格,以确保合规,并保护政府的激励和保险计划,供应商必须跟上最新的动向。beplay最新备用网站
近年来,有意义的使用(MU)一直是审计活动的主要来源,主要是由于奖励性支付的资金数额巨大——截至4月份,医疗保险和医疗补助基金的金额接近300亿美元。对MU合规的关注只会加剧。beplay最新备用网站
虽然医疗保险和医疗补助服务中心(CMS)一直通过承包商Figliozzi & Co监督MU的激励支付,但监察长办公室(OIG)近年来也采取了行动,以确保医疗保险和医疗补助服务中心对该计划提供充分的监督。
布瑞克律师事务所(Bricker & Eckler)合伙人、该律所医疗保健部门主席詹姆斯•弗林(James Flynn)表示:“只要你看到这么多钱流出,只要声称收到付款就像(MU的认证要求)那么简单,就会有审计活动,就会出现虚假声明。”“这只是OIG跟着钱走。有很多钱流失了;这很容易得到,很多人都这么说。”
2012年底,监察长发布了一份报告,批评CMS对MU项目的监督。从那时起,审计委员会的审计活动在该机构的年度工作计划中有所增加。
最近,监察长完成了对佛罗里达州和马萨诸塞州医疗补助MU项目运作的审计。虽然佛罗里达州成功地通过了审计,但马萨诸塞州的报告却讲述了一个不同的故事。目前的建议包括规定州政府退还联邦政府支付给19家医院的超过200万美元的净超额支付,并调整这些医院剩余的奖励支付,以解释错误的计算。
“这些审计工作已经列入监察长办公室的工作计划好几年了。我们都知道它会来,”弗林指出。“重点是机构,但由于它影响到行业和实际接受医疗补助支付的提供者,看来监察长将采取一个方向,要求各州纠正和收回他们不应该支付的费用。因此,它让许多供应商处于紧张状态。”
OIG于2014年底发布的最新工作计划表明,该机构正在进一步扩大其目标领域。该组织打算将重点放在几个电子病历具体问题上,包括:
•供应商是否有权获得激励付款;
•CMS支付监管的有效性;
•医院联网医疗设备的安全性;
•承保实体和业务伙伴是否充分保护了受电子保护的健康信息并进行了风险评估;和
•是否执行了HIPAA安全规则要求的EHR应急计划。
安全问题成为焦点
医师电子档案协会主席兼首席执行官卡罗琳·哈特利(Carolyn Hartley)表示,安全现在是监察长办公室审计活动的核心,“让医疗保健专业人员感到恐惧”。有充分的理由认为,CMS MU审计失败的最常见原因之一是未能进行安全风险评估——这是MU和HIPAA都要求的。
随着OIG的发展,哈特利强调,供应商不应该把头埋在沙子里。“正确的做法是期待审计,”她表示。
随着MU的每个阶段的引入,被覆盖的实体必须证明各种核心和菜单措施才有资格获得奖励。贯穿所有阶段的几个一致的核心措施之一是要求维护和保护患者信息的机密性。弗林说:“实现这一目标的方式是通过外部机构进行的风险评估。”“有人会检查你的系统,以确保采取了正确的安全措施,防止数据泄露。”
哈特利说,监察长发现,医疗机构没有按照要求更新他们的安全程序。事实上,她指出,国会议员在2013年底和2014年底对违规事件的数量感到“震惊”。
哈特利说:“2013年,CMS进行随机安全审计时,他们发现了巨大的安全漏洞。”他补充说,消费者对该系统的信心大幅下降。“监察长对CMS说,‘如果你要把纳税人的钱给医疗保健专业人员,让他们采用医疗信息技术,最好有人来确保我们没有安全漏洞。’”
由于CMS进行了审计,一个反复出现的主题是过时的风险评估。Flynn指出,这种混淆可能与HIPAA和MU要求之间的差异有关。虽然HIPAA要求松散地建议风险评估每两年或每三年进行一次,但没有具体的频率参数。相反,MU要求每年进行风险评估。
哈特利说,安全检查应该至少每年进行一次,他指出,最近的HIPAA指南也建议采用这种策略。
最新的风险评估确定了新的风险,例如医生在医疗服务中利用移动技术。哈特利说:“如果你还在使用2005年或2010年的安全措施,而医生正在使用USB驱动器或门户网站将信息带回家,这可能是一个危险信号。”“这些USB驱动器很容易丢失,如果发生这种情况,那么你必须报告违规行为。从安全的角度来看,HIM经理必须显示进度。你必须在审计中证明这一点。”在这种情况下,显示“进展”的能力可能与制定一项禁止医生将患者信息放在USB驱动器上带回家的规则有关。
在另一个例子中,医疗保健组织已经实施了短信程序,通过发送提醒或预约确认来吸引患者,必须使用加密技术,以确保只有相关方才能理解这些信息。
弗林说,CMS的MU审计的主要目标是确保进行了风险评估,而不一定是衡量其在改进安全措施方面的有效性。认识到这一限制,监察长正在进一步开展审计工作。
弗林说:“据我所知,监察长正在进行新的审计活动,目的是测试和拓展一个组织运作的方方面面,看看他们的信息是否安全。”他指出,早期迹象表明,一次可能需要数周的时间进行密集的现场审计。“我认为监察长给了CMS通行证,说,‘你们要求他们进行风险评估,这太好了。如果这足以让你给MU美元,那么我想这取决于你。我们不满足。’”
弗林认为,虽然监察长办公室的任务是确保CMS做好自己的工作,但主要目标是医疗服务提供者本身。虽然现在就知道监察长是否会试图通过这些审计来收回MU美元还为时过早,但他怀疑该机构“将利用HIPAA法而不是MU法提供的补救措施”,并补充说,这种新的活动比以前的监察长MU工作“更可怕”。
审计过程
弗林说,安全审计的程序和方法还不太清楚,因为目前这一轮才刚刚开始。哈特利表示,虽然正在进行随机审计,但监察长往往会从CMS未完成的地方开始,通常作为CMS审计失败的后续工作。她还指出,在CMS审计中发现的可能属于刑事性质或涉及民事处罚的情况通常也会提交给监察长办公室。
“大多数人不知道OIG为什么要进行审计。他们只需在10天内提供所要求的信息,”哈特利说,并补充说,最初的联系方式几乎都是给被列为联系人的人发电子邮件。“监察长会过来说,‘MU的审计报告似乎有些不对劲。’”
虽然几乎所有CMS MU的审计都是通过电子手段处理的,但Flynn指出OIG MU的审计有很大不同。他说:“审计员会来到现场,他们会把你的组织彻底翻个底朝天,仔细检查哪里出现了漏洞。”“这些供应商的业务中断了,这是一次非常痛苦的经历。”
Flynn指出,Figliozzi & Co的审计人员很少到现场进行CMS审计,并补充说,典型的审计侧重于技术和程序指南。例如,如果一家医疗机构报告说,它看到了一定数量的病人,其中一定比例的人通过电子方式收到了护理摘要文件,CMS要求它通过与经过认证的电子病历技术相关联的计算机生成报告提供证据。
在隐私和安全MU审计中,审计人员更有可能测试流程以查看可能存在的差距,从而将提供者暴露于更多漏洞中。监察长组的审计也有不同之处,它们考虑的是三年期间的某项措施,而CMS审计组的审计涵盖的是一年的证明期措施。
准备和回应
由于许多行业合规问题源于未能进行安全风险评估beplay最新备用网站,Hartley建议医疗保健组织从这方面着手。她建议:“当你制定技术计划时,也要制定风险管理计划。”“如果你不每年都做风险评估,那么菲格里奥齐就会说‘你失败了’,这就给监察长办公室的审计留下了很大的空间。”
接下来,哈特利建议重新审视HIPAA综合规则,并提出一些关键问题,如:是否有更新的商业伙伴协议?加密管理是否有效?
另一个重要步骤是组建审计响应小组。Hartley说,在医生实践中,这个小组应该包括HIMSS专业人员,律师,实践或运营经理以及医生。最后,找出组织在审计准备方面所处的位置。
“我强烈建议做一次模拟审计,”哈特利说,并指出医院比医生更有可能遵循这一步骤。“在任何时候,为MU的审计做准备都是一项伟大的活动。”
弗林建议组织创建一个MU审计“辩护书”,其中包含来自每个证明的文件。此资源可以作为向前推进的最佳实践的指导方针和模型。此外,本书可以提供文档证明,证明认证过程的每一步都得到了满足,并包括如何实现每个单独的测量和需求的指导。
辩护书也是记录风险评估和针对调查结果采取的行动的理想场所。弗林说:“如果你做了一个安全风险评估,结果得出的建议是a、B、C和D,你需要证明你在明年做了这些事情。”
一旦收到监察长办公室的审计请求,指定人员应立即与该机构联系,核实请求的所有内容。除了澄清组织可能存在的任何问题之外,最初的电话可以是请求延期的合适时机,以便更好地为审计做准备。哈特利建议,在给监察长打电话时,要有多名工作人员在场,以确保每个人都能达成共识。
哈特利提醒各组织不要在OIG的审计中单打独斗,这个过程可能会非常激烈。她建议聘请法律顾问。哈特利说:“律师们对监察长办公室审计的了解要比CMS审计的了解多。“确保领导、律师和HIM专业人士都参与其中。(OIG)的审计可能会让你关门大吉。”
虽然所有这些措施都能让组织更好地应对OIG的审计,但弗林承认,对于资源紧张的普通医生来说,前景是具有挑战性的。“医院往往有更好、更多的资源投入到这项活动中。由于这个原因,他们比医生更能处理这些情况,”他说,并指出内科医生接受MU审计的失败率高于他们的医院同行。“我可以很容易地告诉你所有这些事情;我只是不知道医生办公室能不能做到。这只是一个挑战。”
- Selena Chavis是佛罗里达州的一名自由撰稿人,她的文章经常出现在各种贸易和消费者出版物上,内容涵盖从企业和管理到医疗保健和旅行的所有主题。
