Landelijke set producten Horizontaal Toezicht Zorg

advertisement
Landelijke set producten
Horizontaal Toezicht Zorg
(versie 1.0 definitief)
maart 2017
Voorwoord
Onder de noemer Horizontaal Toezicht werkten NVZ, ZN en NFU aan
één landelijk raamwerk om de controledruk en administratieve lasten
in de zorgsector het hoofd te bieden. Naast een gezamenlijke visie en
implementatiestrategie bevat dit raamwerk ook een aantal producten die
de daadwerkelijke invoering gaan ondersteunen. Deze landelijke set aan
producten is nu vastgesteld door de besturen van betrokken koepels.
Bij Horizontaal Toezicht nemen zorgaanbieders en zorgverzekeraars
gezamenlijk de verantwoordelijkheid voor een juiste besteding van de
zorguitgaven. In plaats van gegevensgerichte controle achteraf werken
partijen bij Horizontaal Toezicht samen om de rechtmatigheid van
declaraties in de processen aan de voorkant te borgen.
Dit is niet alleen een efficiëntere manier om correct registreren en
declareren te borgen, maar het is ook effectiever. Horizontaal toezicht sluit
namelijk aan op het profiel en de systemen van het ziekenhuis. Wederzijds
vertrouwen tussen een zorgaanbieder en de zorgverzekeraars is daarvoor
de basis.
Bovendien hebben verzekerden en patiënten hier baat bij. Zij krijgen beter
inzicht in hun zorgkosten, omdat facturen achteraf niet meer worden
gewijzigd. Ook is er sneller duidelijkheid over de verrekening van het
eigen risico. De komende jaren zullen wij deze producten samen blijven
doorontwikkelen.
Yvonne van Rooy
voorzitter Nederlandse Vereniging van Ziekenhuizen
André Rouvoet
voorzitter Zorgverzekeraars Nederland
Ernst Kuipers
voorzitter Nederlandse Federatie van Universitair Medische Centra
2
Inhoud
Gezamenlijke visie
Implementatiestrategie
Businesscase HT
Instapmodel HT
Control framework
3
Gezamenlijke visie
4
Horizontaal Toezicht Zorg
Wat is Horizontaal Toezicht?
Zorgaanbieders en zorgverzekeraars:
• dragen gezamenlijk zorg voor een juiste besteding van huidige
en toekomstige zorguitgaven;
• geven gezamenlijk invulling aan de maatschappelijke
verantwoording over deze uitgaven;
• creëren gezamenlijk op een efficiënte, effectieve en tijdige
manier zekerheid over deze uitgaven naar alle ketenpartijen.
van HT gereed. Gedurende deze ingroeiperiode zullen gepast gebruik
elementen worden toegevoegd aan het Control Framework en kunnen de
representerende zorgverzekeraar en de zorgaanbieder hier afspraken over
maken.
formele en
materiële
controles
gepast
gebruik
contractuele
afspraken
correct registreren en
declareren
effectieve zorg en
medische noodzaak
kwaliteit, innovatie
en efficiency
Scope
rechtmatigheid
Horizontaal Toezicht richt zich op de rechtmatigheid van de zorguitgaven.
Dit gaat enerzijds over correct registreren en declareren en anderzijds over
gepast gebruik van zorg.
Ten aanzien van correct registreren en declareren zal het kader ‘compliant
registreren en declareren’ en het bijhorende 7S-model van de NZa een
belangrijke plek innemen. Daar waar HT aantoonbaar werkzaam en effectief
is ingevoerd vervangt dit gegevensgerichte achterafcontroles ten aanzien
van de rechtmatigheid van de zorguitgaven vanuit de Zorgverzekeringswet
(Zvw). HT vormt dan voor zorgverzekeraars de basis voor de naleving van
het protocol Zvw.
Gepast gebruik betekent dat zorg wordt geleverd aan patiënten die deze
zorg ook echt nodig hebben. Twee basiscriteria uit de Zvw zijn daarbij
leidend. De zorg voldoet aan de stand van wetenschap en praktijk
(effectieve zorg) en de verzekerde moet redelijkerwijs zijn aangewezen
op de zorg gezien zijn gezondheidssituatie (medische noodzaak).
Aangezien dit basiscriteria zijn vanuit de Zvw is ook gepast gebruik een
rechtmatigheidsonderdeel en valt dit onder HT.
Voor gepast gebruik geldt in de komende jaren een ingroeimodel. Met
ingang van 2020 is het toetsingskader ‘gepast gebruik’ als onderdeel
doelmatigheid
Scope HT
Contractuele afspraken tussen een zorgverzekeraar en zorgaanbieder ten
aanzien van bijvoorbeeld kwaliteit, innovatie en effiency van zorg vallen
niet onder HT. Ook contractafspraken over efficiency in de zorgverlening
is geen onderdeel van HT. Contractnaleving is aan de individuele partijen.
Ook (verzekerden)signalen en fraude worden individueel door de
zorgverzekeraar uitgezet bij de zorgaanbieder.
Ambitie
Per 2020 is 80% van de ziekenhuizen en UMC’s ingericht op
Horizontaal Toezicht ten aanzien van correct registreren en
declareren. Ingericht op HT betekent dat het Control Framework in de
betreffende instelling is ingericht en HT in de praktijk beoefend wordt
in samenwerking met de zorgverzekeraar. Voor gepast gebruik geldt
in de komende jaren een ingroeimodel. Met ingang van 2020 is het
‘toetsingskader gepast gebruik’ als onderdeel van HT gereed.
5
Horizontaal Toezicht Zorg
De 10 principes van HT
1. Gefundeerd vertrouwen
Wederzijds vertrouwen tussen een zorgaanbieder en de
zorgverzekeraars is de basis. Vertrouwen moet groeien en zowel
zorgaanbieders als zorgverzekeraars dienen zich hiervoor in te
zetten. Het fundament van dit vertrouwen is transparantie en een
gezamenlijke aanpak en verantwoording.
2. Betekenis voor de keten
Ketenpartijen zoals toezichthouders en accountants moeten er ook op
kunnen steunen. Hier is bij de opzet en verantwoording rekening mee
gehouden.
3. Representatie
Zorgverzekeraars werken volgens representatie en steunen
op
elkaars werkzaamheden. Bij Horizontaal Toezicht is er één
aanspreekpunt vanuit de zorgverzekeraars. Zorgverzekeraars houden
toezicht op elkaar.
4. Eén landelijk raamwerk
Er is één landelijk raamwerk voor HT. Dit raamwerk bevat ook een
HT- toolkit die bestaat uit een businesscase, een instapmodel en een
control framework.
5. Ruimte voor maatwerk
Er is binnen HT ruimte voor maatwerk en risicoselectie per instelling.
Deze risicoselectie vindt plaats aan de hand van een gezamenlijk
afgesproken methodiek.
6. Taken en verantwoordelijkheden
Wettelijke taken en verantwoordelijkheden worden gerespecteerd
en HT is vormgegeven binnen de huidige kaders van het zorgstelsel.
Horizontaal toezicht wil risicogericht invulling geven aan de taken en
verantwoordelijkheden van zorgaanbieders en zorgverzekeraars.
7. Eenduidige normering
Bestaande wet- en regelgeving is leidend. HT draagt bij aan het
eenduidig interpreteren van wet- en regelgeving, overbodige wet- en
regelgeving weg te nemen en tijdige duiding van wet- en regelgeving.
8. Hard en soft controls
HT zal op alle aspecten ingaan die de NZa heeft gedefinieerd in haar
kader voor compliant registreren en declareren. Ook cultuur en gedrag
zijn belangrijke elementen.
9. Stimuleren vastlegging aan de bron
Het in één keer in de keten juist en tijdig registreren en declareren van
rechtmatig geleverde zorg vindt zo vroeg mogelijk in de registratie- en
declaratieketen plaats.
10. Administratieve processen
HT beoogt efficiënte en effectieve administratieve processen in de
keten. Onnodige opeenstapeling van administratieve lasten wordt
gereduceerd. Daar waar HT aantoonbaar werkzaam en effectief
is ingevoerd vervangt dit gegevensgerichte achterafcontroles
ten aanzien van de rechtmatigheid van de zorguitgaven vanuit de
Zorgverzekeringswet (Zvw).
6
Implementatiestrategie
7
Implementatiestrategie
Inleiding
Om de gezamenlijke ambitie voor de uitrol van Horizontaal Toezicht waar
te maken is het van belang dat ziekenhuizen, UMC’s en zorgverzekeraars
gezamenlijk zorgdragen voor een zorgvuldige implementatiestrategie. De
implementatiestrategie maakt concreet wat het betekent als we in 2020
80% van de ziekenhuizen en UMC’s ingericht willen hebben op Horizontaal
Toezicht ten aanzien van correct registreren en declareren.
De implementatiestrategie schetst de route van uitrol en invoering van
Horizontaal Toezicht op twee niveaus. De implementatiestrategie maakt
duidelijk hoe de invoering van Horizontaal Toezicht er in de navolgende jaren
uit zal zien en welke fases daarin aan bod komen. Maar ook laat het zien
welke stappen een instelling, samen met de zorgverzekeraars, moet nemen
om te participeren en hoe de ontwikkelde HT-producten daarbij van dienst
kunnen zijn.
Verder gaat de implementatiestrategie in op het representatiemodel zoals
toegepast zal worden bij de uitrol van HT. Tot slot wordt de landelijke
organisatie van de uitrol van HT besproken. Samen met de visie vormt de
implementatiestrategie dan ook de kapstok voor de overige HT-producten:
de businesscase, het instapmodel en het control framework.
Inhoud
Uitrol binnen een instelling
Landelijke uitrol
Representatie
Landelijke organisatie
8
Uitrol binnen een instelling
Handreiking óf Horizontaal Toezicht
Een instelling legt verantwoording af aan de zorgverzekeraars over de
rechtmatigheid van de zorgdeclaraties. Vanaf 2012 vindt dit voor een
aanzienlijk deel plaats op basis van de zelfonderzoeken van ziekenhuizen
(in de sector beter bekend als de Handreiking). Daarnaast voeren
zorgverzekeraars nog talrijke eigen controles uit. Afgesproken is dat
wanneer een ziekenhuis of UMC eenmaal over is op Horizontaal Toezicht
slechts één wijze van verantwoording van toepassing is.
De Handreiking wordt dan ook aangeduid als het ‘oude regime’ van
rechtmatigheidsverantwoording en Horizontaal Toezicht als het
‘nieuwe regime’. Het is niet de bedoeling om op basis van twee regimes
verantwoording af te leggen aan de zorgverzekeraar. Over het jaar waarop
op basis van Horizontaal Toezicht verantwoording wordt afgelegd hoeft
dus niet ook nog verantwoording te worden afgelegd op basis van de
Handreiking.
In de transitiefase van de Handreiking naar Horizontaal Toezicht kunnen
instellingen per risicogebied op procesmatige wijze verantwoording
afleggen binnen de gestelde eisen van de Handreiking. Het is namelijk
binnen de Handreiking mogelijk om te differentiëren in de wijze waarop
het risico van een controlepunt wordt onderzocht. Wel geldt hierbij dat de
verantwoording over de werking van het betreffende proces meeloopt in de
verantwoording van het zelfonderzoek.
Welke voorbereidende stappen kunnen worden gezet
vanuit het zelfonderzoek (HR)?
Een instelling kan ervoor kiezen om de implementatie van Horizontaal
Toezicht gefaseerd uit te voeren. Een reden hiervoor kan zijn dat het
verbeterplan dit vraagt of de investering van de transitiefase wordt
uitgesmeerd in tijd.
Bij de keuze van een geleidelijke overgang van het oude naar het nieuwe
regime verloopt de verantwoording via het zelfonderzoek en binnen de
kaders van de Handreiking. De wijze van uitvoering van controlepunten
kan bijvoorbeeld geleidelijk wijzigen van een gegevensgerichte controle
naar een systeemgerichte controle. Hier is echter dan nog wel het oude
regime op van toepassing. Zorgverzekeraars spelen hierin dan nog
steeds de rol van reviewer van de uitkomsten van het zelfonderzoek.
Ook de verantwoording zal op basis van de Handreikingsmethodiek
plaatsvinden (zelfonderzoek met rapportages en dergelijke).
Fases
Een instelling gaat fasegewijs over naar Horizontaal Toezicht. Deze fases
zijn processtappen en wanneer aan een aantal voorwaarden is voldaan kan
een volgende fase worden ingezet.
De fases:
A. Verkenningsfase
B. Inventarisatiefase
C. Verbeterfase
D. Implementatiesfase
E. Verantwoordingsfase
9
Uitrol binnen een instelling
VERKENNINGSFASE
INVENTARISATIESFASE
VERBETERFASE
IMPLEMENTATIEFASE
VERANTWOORDINGSFASE
verantwoording op
basis van aantoonbaar
werkzaam en effectief
Horizontaal Toezicht
afweging maken op
basis van businesscase
toetsing van
geschiktheid op basis
van instapmodel
verbetertraject
n.a.v. bevindingen
instapmodel
invoering Control
Framework &
Horizontaal Toezicht in
de praktijk beoefenen
ZORGAANBIEDER
ZORGAANBIEDER
ZORGAANBIEDER
ZORGAANBIEDER
ZORGAANBIEDER
ZORGVERZEKERAAR
ZORGVERZEKERAAR
ZORGVERZEKERAAR
ZORGVERZEKERAAR
(validatie)
(validatie)
1 - 2 MAANDEN
1 - 12 MAANDEN
B
C
0 - 1 MAAND
A
ACCOUNTANT
12 - 24 MAANDEN
D
Initiele fase 6-12 MND
Structurele fase >>>
E
10
Uitrol binnen een instelling
VERKENNINGSFASE
afweging maken op
basis van businesscase
ZORGAANBIEDER
0 - 1 MAAND
A. Verkenningsfase
Tijdens de inventarisatiefase besluit de Raad van
Bestuur van een ziekenhuis of UMC om al dan
niet te starten met de verkenning van Horizontaal
Toezicht als verantwoordingsregime voor de
rechtmatigheid van de zorgdeclaraties. Er kan
hierbij gebruik worden gemaakt van de landelijk
opgestelde businesscase. Daarnaast is ook de
intrinsieke motivatie van groot belang, om voor
de patiënt ‘first-time-right’ te registreren en te
declareren.
aan de gewenste norm kan door worden gegaan met de implementatiefase.
Vaak zullen er echter eerst een aantal verbeteringen moeten worden
doorgevoerd. Ook de representerende zorgverzekeraar heeft een rol bij het
beoordelen van de uitkomsten van de inventarisatiefase.
Instapmodel
Met behulp van het Instapmodel Horizontaal Toezicht kan een
zorgaanbieder aantoonbaar maken of de huidige mate van governance,
besturing en compliance rondom registreren en declareren voldoende
is voor een effectieve Horizontaal Toezicht relatie. Dit betreft een
kwalitatieve toets op organisatie- en beleidsniveau.
Businesscase
Om instellingen te helpen bij de afweging al dan niet voorbereidingen
te treffen voor de invoering Horizontaal Toezicht is een landelijke
businesscase ontwikkeld. Op basis van de businesscase kunnen
zorginstellingen een gefundeerde afweging maken of de inzet van
Horizontaal Toezicht voor hen voldoende voordelen biedt ten opzicht van
het traditionele toezicht van de zorgverzekeraars.
VERBETERFASE
verbetertraject n.a.v.
bevindingen instapmodel
ZORGAANBIEDER
INVENTARISATIESFASE
toetsing van
geschiktheid op basis
van instapmodel
ZORGAANBIEDER
ZORGVERZEKERAAR
(validatie)
1 - 2 MAANDEN
B. Inventarisatiefase
Nadat een zorginstelling op basis van de
businesscase tot de conclusie is gekomen dat
invoering van Horizontaal Toezicht voor de
organisatie zinvol en waardevol is, kan op basis van
het instapmodel bepaald worden of de instelling
ook daadwerkelijk gereed is om hierop over te gaan.
De uitkomst van deze fase geeft een indicatie of de
instelling in staat is om een effectieve Horizontaal
Toezicht relatie, zoals indicatief meegegeven bij het
instapmodel, aan te gaan. Wanneer voldaan wordt
ZORGVERZEKERAAR
(validatie)
1 - 12 MAANDEN
C. Verbeterfase
Uit het instapmodel zal doorgaans een verbeterplan
volgen. Daar waar het ziekenhuis nog niet voldoet
aan de volwassenheidsnorm zijn verbeteringen
noodzakelijk. Nadat de verbeteringen zijn
doorgevoerd zal overleg plaatsvinden met de
representerende zorgverzekeraar.
De instelling en de zorgverzekeraar (in
representatie) bepalen vervolgens gezamenlijk of er
daadwerkelijk een effectieve Horizontaal Toezicht
relatie mogelijk is en of dus de overgang naar de
implementatiefase gemaakt kan worden.
11
Uitrol binnen een instelling
IMPLEMENTATIEFASE
invoering Control
Framework &
Horizontaal Toezicht in
de praktijk beoefenen
ZORGAANBIEDER
ZORGVERZEKERAAR
12 - 24 MAANDEN
D. Implementatiefase
In de implementatiefase geeft de instelling invulling
aan Horizontaal Toezicht door het ontwikkelde
Control Framework te implementeren in de
organisatie. Aan de hand van dit Control Framework
wordt middels een risicoanalyse bepaalt welke
risico’s voor de betreffende instelling van toepassing
zijn. Vervolgens worden de risico’s geclassificeerd
in hoog, midden of laag. De representerende
zorgverzekeraar kijkt en denkt hierin mee.
Vervolgens gaat de instelling in kaart brengen welke beheersmaatregelen
er bij de geprioriteerde risico’s zijn (ist) en welke beheersmaatregelen
er nodig zijn (soll) om de gedefinieerde risico’s af te dekken. Middels een
nulmeting van de meest significante risico’s, kan er een interne analyse
worden uitgevoerd naar de effecitiviteit van deze beheersmaatregelen.
Meer hierover wordt beschreven in het Control Framework. Belangrijk
in het proces is het zichtbaar vastleggen van beheersmaatregelen,
dossiervorming én de borging dat de werkzaamheden op het juiste niveau
zijn uitgevoerd. De uitkomst van de implementatiefase wordt gedeeld en
besproken met de (representerende) zorgverzekeraar.
Control Framework
VERANTWOORDINGSFASE
E. Verantwoordingsfase
De instelling zorgt er in deze fase voor dat de
verantwoording op
beheersmaatregelen van de geprioriteerde risico’s
basis van aantoonbaar
aantoonbaar gedurende een periode van zes tot
werkzaam en effectief
twaalf maanden effectief werken. In deze periode
Horizontaal Toezicht
zal de instelling interne tussentijdse meetmomenten
ZORGAANBIEDER
hebben om niet effectieve beheersmaatregelen te
ZORGVERZEKERAAR
detecteren. De risico’s die niet worden afgedekt als
ACCOUNTANT
Initiele fase 6-12 MND
gevolg van deze niet effectieve beheersmaatregelen
Structurele fase >>>
zullen op een andere wijze moeten worden afgedekt
door bijvoorbeeld gegevensgerichte controles of
andere herstelacties. De instelling zal verantwoording afleggen over hoe
zij is omgegaan met niet beheerste risico’s vanuit het Control Framework
en welke herstelacties zij heeft gedaan. De assurance die voor de
verantwoording nodig is, is uitgewerkt in het Control Framework. Na de
initiële verantwoordingsfase volgt de structurele verantwoordingsfase.
Wanneer is een instelling over op HT?
Wanneer de implementatiefase (fase D) is afgerond en wordt overgegaan naar de verantwoordingsfase (fase E) is een instelling over
op HT. Wanneer voor een bepaald boekjaar overgegaan is naar de
verantwoordingsfase op basis van HT, met de benodigde assurance,
kan voor dat jaar de Handreiking worden stopgezet. Per dat
boekjaar is het nieuwe verantwoordingsregime van toepassing.
Om de uitvoering van Horizontaal Toezicht op een eenduidige manier te
laten plaatsvinden is een landelijk Control Framework ontwikkeld. Het
Control Framework bestaat uit landelijke richtlijnen en producten voor
gezamenlijk risicomanagement en effectieve/proportionele inzet van
controle instrumenten rondom registreren en declareren van zorg. Dit
product gaat over het proces en de inhoud en is opgebouwd uit diverse
deelproducten die separaat worden beschreven.
12
Landelijke uitrol
Het is de gezamenlijke ambitie om in 2020 80% van de ziekenhuizen en
UMC’s ingericht te hebben op Horizontaal Toezicht. Er zal worden gewerkt
met verschillende tranches. Elk ziekenhuis en UMC kan per 2017 beginnen
met de verkenningsfase, gevolgd door de inventarisatie- en verbeterfase.
Enkele pilotinstellingen die reeds vergevorderd zijn met de invoering van HT
zullen als koplopers fungeren. Concreet betekent dit dat naar verwachting
5 instellingen zich over 2017 zullen gaan verantwoorden op basis van
Horizontaal Toezicht.
Per 2018, 2019 en 2020 volgen dan naar verwachting 20 instellingen per
jaar. Bij deze voortgang kan de ambitie worden gerealiseerd. De totale
doorlooptijd van de landelijke uitrol wordt ingeschat op 5 jaar voor alle
ziekenhuizen en UMC’s. Dat is ambitieus en het is noodzakelijk dat er
een goede afstemming plaatsvindt tussen de instellingen en de zorg
verzekeraars, zodat er aan beide kanten op het juiste moment voldoende
middelen, capaciteit, kennis en kunde beschikbaar is.
INDICATIE
AANTAL
INSTELLINGEN
2017
2018
2019
2020
2021
KOPLOPERS
E
E
E
E
E
5
VERSNELD TRAJECT
D
E
E
E
E
20
NORMAAL TRAJECT 1
A,B,C
D
E
E
E
20
NORMAAL TRAJECT 2
A,B,C
A,B,C
D
E
E
20
VERTRAAGD TRAJECT 1
A,B,C
A,B,C
C
D
E
VERTRAAGD TRAJECT 2
A,B,C
A,B,C
C
C
D
Ambitie
Per 2020 is 80% van de ziekenhuizen en UMC’s ingericht op
Horizontaal Toezicht ten aanzien van correct registreren en
declareren. Ingericht op HT betekent dat het Control Framework in de
betreffende instelling is ingericht en HT in de praktijk beoefent wordt
in samenwerking met de zorgverzekeraar. Voor gepast gebruik geldt
in de komende jaren een ingroeimodel. Met ingang van 2020 is het
‘toetsingskader gepast gebruik’ als onderdeel van HT gereed.
A
B
C
D
E
80%
Verkenningsfase
Inventarisatiefase
Verbeterfase
Implementatiesfase
Verantwoordingsfase
13
Representatie
Waarom representatie?
Het startpunt van HT is de gezamenlijke visie die is opgesteld. In de
gezamenlijke visie is opgenomen (principe 3): ‘Zorgverzekeraars werken
volgens representatie en steunen op elkaars werkzaamheden. Bij
Horizontaal Toezicht is er één aanspreekpunt vanuit de zorgverzekeraars.
Zorgverzekeraars houden toezicht op elkaar.’
Door op basis van een representatiemodel te gaan werken is HT niet
alleen effectiever, maar ook efficiënter. Er is één aanspreekpunt (de
representerende zorgverzekeraar) waar een instelling afspraken mee maakt
over de rechtmatigheid van zorgdeclaraties. Dit zorgt voor een vermindering
van de administratieve lasten. Om de eenduidige toepassing van het Control
Framework te borgen past de representerende zorgverzekeraar gedurende
het HT-proces hoor en wederhoor toe bij de tweede zorgverzekeraar voor
de go/no go momenten binnen het Control Framework. Deze momenten
betreft de stappen 3 en 5 in het Control Framework.
Geschillen binnen HT-traject tussen een representerende zorgverzekeraar
en een instelling worden besproken in het Landelijk platform Horizontaal
Toezicht, met een escalatiemogelijkheid naar de bestuurlijke commissie HT.
1
Benoemen van
beheersingsdoelstellingen
2
Identificeren
van risico’s
3
Uitvoeren risicoanalyse
4
Bepalen
beheersmaatregelen
5
Beoordelen opzet van
de beheersmaatregelen
6
Verantwoorden over opzet,
bestaan en werking
Kader representatie
•Uitgangspunt is dat zorgverzekeraar met het grootste marktaandeel bij de
betreffende zorgaanbieder de representerende zorgverzekeraar is. •De representerende zorgverzekeraar kan deze verantwoordelijkheid voor
een bepaalde instelling, in overleg met de andere zorgverzekeraars, overdragen aan een andere zorgverzekeraar. Die andere zorgverzekeraar is
dan de verantwoordelijke representerende zorgverzekeraar. •De representerende zorgverzekeraar vervult deze functie minimaal drie
jaar, gerekend vanaf het moment dat een instelling over is op HT (fase E). •Elke drie jaar wordt geëvalueerd of de representerende zorgverzekeraar
ook in de komende drie jaar de representant is. •Jaarlijks vindt er minimaal vier keer overleg plaats tussen de representerende zorgverzekeraar en de zorgaanbieder. •Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten
binnen het Control Framework (zie processtap 3 en 5 in het Control Framework) om zo eenduidige toepassing van het Control Framework te borgen. •De go/nog go bij processtap 3 en 5 wordt afgegeven door de representerende zorgverzekeraar. •De representerende zorgverzekeraar beoordeelt de uitkomst van de verantwoordingsfase (processtap 6) en draagt zorg voor adequate opvolging
van bevindingen door de zorgaanbieders. •De representerende zorgverzekeraar accordeert de werkzaamheden van
de zorgaanbieder in processtap 6. •De andere zorgverzekeraars steunen op de werkzaamheden van de representerende zorgverzekeraar. •De representerende zorgverzekeraar is verantwoordelijk voor goede dossiervoering ten behoeve van de andere zorgverzekeraars en zorgt ervoor
dat het dossier voor hen inzichtelijk is.
•Opmerkingen van andere zorgverzekeraars, bij het verantwoordingsdossier van processtap 6, worden besproken met de representerende zorgverzekeraar, maar kunnen een reeds gegeven akkoord niet terugdraaien.
•De representerende zorgverzekeraar beoordeelt opmerkingen bij processtap 6, in het kader van kwaliteitsbevordering, en bespreekt de opvolging
hiervan met de betreffende verzekeraar. Zo nodig neemt de representerende zorgverzekeraar dit mee in de HT- cyclus voor het volgende kalenderjaar. Dat geldt ook voor nieuw ontdekte risico’s.
14
Landelijke organisatie HT
Hoe gaat de landelijke organisatie eruit zien?
Bestuurlijke commissie
Om de implementatie van Horizontaal Toezicht goed te laten verlopen zal
er ook in die fase een landelijke organisatiestructuur worden ingericht.
Door ook op landelijk niveau verbonden te blijven als ziekenhuizen, UMC’s
en zorgverzekeraars blijft de gezamenlijke regie voor dit traject in stand.
Deze landelijke organisatiestructuur zal de implementatie van Horizontaal
Toezicht gaan begeleiden en bestaat uit leden van de zorgverzekeraars,
ziekenhuizen en UMC’s en de brancheorganisaties. Hierbij zal een
evenwichtige participatie worden nagestreefd.
De coördinatie van dit landelijke platform Horizontaal Toezicht zal belegd
worden bij een centrale voorzitter. Ook de gezamenlijke begeleidingscommissie en bestuurlijke commissie HT zullen blijven bestaan.
De gezamenlijke opdrachtgevers NVZ, NFU, ZN worden vertegenwoordigd in een Bestuurlijke commissie HT bestaand uit bestuurders van
ziekenhuizen, UMC’s en zorgverzekeraars. Deze bestuurlijke commissie
beoordeelt of de uitrol van HT op koers ligt en of de werkzaamheden van
het landelijk platform HT aan de verwachtingen voldoet. De bestuurlijke
commissie HT is tevens een escalatiemogelijkheid voor het Landelijk
platform HT.
Tot 1 april 2017
Vanaf 1 april 2017
Bestuurlijke
commissie
NVZ, ZN, NFU
(opdrachtgever)
Begeleidingscommissie
Horizontaal
Toezicht
Bestuurlijke
commissie HT
(NVZ, ZN, NFU)
Klankbord /
adviseurs
Landelijke
projectgroep
Horizontaal
Toezicht
Begeleidingscommissie HT
(NVZ, ZN, NFU)
Landelijk Platform HT
15
Landelijke organisatie HT
Landelijk platform Horizontaal Toezicht
Het landelijk platform zal zich bezig houden met:
• Het verbeteren en onderhouden van de landelijke HT-producten.
Dit gebeurt op basis van de input vanuit de verschillende stakeholders,
wijzigingen wet- en regelgeving of overige bronnen. Hierbij kan
gedacht worden aan het actualiseren van de bruto risicolijst op basis
van de gewijzigde wet- en regelgeving, of aan het verder verfijnen
of versimpelen van het instapmodel. Ook zal de businesscase en het
control framework van updates moeten worden voorzien.
• Het begeleiden van de inventarisatie- en verbeterfase.
Het landelijke platform zal worden belast met het ondersteunen van
de invoering van HT en het gebruik van de landelijke producten. Daarbij
ligt de primaire focus op de begeleiding bij de toepassing van het
instapmodel en het monitoren van de voortgang. Onder begeleiding
van instellingen wordt bijvoorbeeld verstaan het organiseren van
workshops, het fungeren als vraagbaak en het opstellen van FAQ’s. In
de ‘verbeterfase’ heeft ook de representerende zorgverzekeraar een
belangrijke rol.
• Landelijke planning opstellen en periodiek herijken.
Dit is noodzakelijk om de capaciteit die ingezet wordt voor Horizontaal
Toezicht, zowel vanuit instellingen als verzekeraars, zoveel mogelijk op
elkaar te laten aansluiten.
• Invulling geven aan het gepast gebruik in relatie tot HT.
Van belang is dat het platform een proces gaat inrichten hoe het thema
gepast gebruik ingebed kan worden in het Horizontaal Toezicht. Dit met
het oog op de ambitie om met ingang van 2020 is het ‘toetsingskader
gepast gebruik’ als onderdeel van HT gereed te hebben.
• Het delen van kennis en ervaring.
Wanneer de koplopers voor het eerst een volledige HT-cyclus hebben
doorlopen, dienen de ervaringen te worden gedeeld, zodat de volgende
groep instellingen daar baat bij kan hebben.
16
Businesscase HT
17
Businesscase HT
Inleiding
Wat betekent Horizontaal Toezicht voor de keten?
Op basis van de businesscase kunnen zorginstellingen en zorgverzekeraars
een gefundeerde afweging maken of de inzet van Horizontaal Toezicht voor
hen voldoende voordelen biedt ten opzichte van het traditionele toezicht.
Voor de zorginstelling dient de businesscase als kwalitatieve zelftoets.
Deze businesscase moet op diverse niveaus in de organisatie het gesprek
kunnen faciliteren over Horizontaal Toezicht. Voor zorgverzekeraars heeft
de businesscase een informatieve functie om de eigen organisaties goed
mee te nemen.
• Er ontstaat door Horizontaal Toezicht een verschuiving van gegevensgerichte controle achteraf naar procesgerichte controle vooraf.
Dit met als doel de controle zo dicht mogelijk bij de bronregistratie te
leggen.
• Door het registratie- en declaratieproces te beheersen wordt invulling gegeven aan het ‘first time right’ principe. Herstelwerkzaamheden worden zo voorkomen. Er ontstaat vroegtijdig zekerheid over de
zorgkosten/omzet. De patiënt ondervindt minder correcties op haar
nota’s.
• Horizontaal Toezicht beoogt efficiënte administratieve processen in
de keten. Onnodige opeenstapeling van administratieve lasten wordt
weggenomen. Daar waar Horizontaal Toezicht aantoonbaar werkt
vervangt dit gegevensgerichte achterafcontroles.
• Door efficiënter en effectiever invulling geven aan taken en verantwoordelijkheden rondom rechtmatigheid kan er weer een gezonde
balans ontstaan tussen de verantwoording van de uitgaven aan zorg,
de wijze waarop zorg wordt ingekocht en de kwaliteit van de geleverde zorg. Horizontaal Toezicht is maatwerk per instelling aan de hand
van een gezamenlijk afgesproken methodiek.
• Horizontaal Toezicht kan als vliegwiel dienen om het gefundeerde vertrouwen breder toe te passen dan alleen op het terrein van de rechtmatigheid. Ook ketenpartijen zoals toezichthouders en accountants
kunnen hierop steunen. Hier is bij de opzet van Horizontaal Toezicht
rekening mee gehouden. Zo geeft Horizontaal Toezicht invulling aan het
7S-model van de NZa voor compliant registreren en declareren.
• Omdat zorgverzekeraars werken volgens representatie heeft de
zorgaanbieder één aanspreekpunt. Ook voor de zorgverzekeraars is
de span-of-control groter.
• Horizontaal Toezicht draagt bij aan eenduidige interpretatie van weten regelgeving, overbodige wet- en regelgeving weg te nemen en tijdige duiding van wet- en regelgeving. Partijen gaan proactief aan de
slag met regelgeving.
De businesscase moet zowel zorginstellingen als zorgverzekeraars
verleiden gezamenlijk de handschoen van Horizontaal Toezicht op te
pakken, maar moet tegelijk ook een reëel beeld geven van de (kwalitatieve)
kosten en baten. Kortgezegd is de businesscase een objectieve en reële
enthousiasmerende brochure over Horizontaal Toezicht Zorg.
Inhoud
De businesscase bevat uitgangspunten, principes en voorbeelden die voor
zorginstellingen een goede en objectieve afweging faciliteren om al dan
niet over te stappen op Horizontaal Toezicht. Het is een verdieping op de
gezamenlijke visie en stelt de instelling in staat de voor- en nadelen van de
eigen instelling op een goede manier af te wegen. Vragen als ‘Waarom zou
je meedoen?’, ‘Wat levert het op?’, ‘Wat betekent dit voor de organisatie?’
komen hierin aan bod. Voor zorgverzekeraars geldt dat collectief besloten
is Horizontaal Toezicht mogelijk te maken voor die instellingen die daar
klaar voor zijn. Dat betekent dat de businesscase vooral moet uitleggen
waarom invoering belangrijk is en welke afwegingen daarbij een rol hebben
gespeeld.
18
Ervaringen uit de praktijk
Horizontaal Toezicht is een belangrijke ontwikkeling voor de zorgsector
en heeft ook veel gevolgen voor alle betrokkenen zoals zorginstellingen,
zorgverzekeraars, patiënten en verzekerden. We stellen een aantal
vragen over het onderwerp aan bestuurders van zorgverzekeraar Menzis,
zorgverzekeraar Coöperatie VGZ, het Universitair Medisch Centrum Erasmus
MC en ziekenhuis Rijnstate. Hun zienswijze op Horizontaal Toezicht komt in
deze businesscase uitgebreid aan bod.
Drs. D.W. (David) Voetelink RA
Lid raad van bestuur
Erasmus MC
Drs. F. (Frank) Janssen
Vicevoorzitter raad van
bestuur Menzis
Drs. J.K. (JanKees) Cappon
Lid raad van bestuur
Rijnstate
Drs. C.F. (Kees) Hamster RA RC
Lid raad van bestuur
Coörperatie VGZ
19
Ervaringen uit de praktijk (1)
Welke voordelen levert horizontaal toezicht op voor u als
instelling?
Welke voordelen heeft horizontaal toezicht voor u als
zorgverzekeraar?
David Voetelink:
We zijn nog meer in control op onze processen rond registratie en facturatie. Het resultaat is dat we zekerheid hebben over de juistheid (rechtmatigheid) van declaraties die we indienen bij zorgverzekeraars en op termijn
gemeenten. Dure herstelkosten die samenhangen met achteraf corrigeren
worden verminderd. Het geeft sneller zekerheid over gerealiseerde omzet
en verbetert de relatie met zorgverzekeraars en financiers.
Frank Janssen:
Op de eerste plaats krijgen onze klanten sneller en beter inzicht in de
zorgkosten. We streven naar een nota die in één keer goed is. En er ontstaat sneller en beter inzicht in de zorgkosten van een zorgaanbieder. Dit
draagt niet alleen bij aan administratieve lastenverlichting, maar ook aan
het nauwkeuriger vaststellen van onze premie. Daarnaast hoeven we geen
controles uit te voeren bij zorginstellingen die al door andere zorgverzekeraars zijn gecontroleerd. Dit is het gevolg van de afspraak die tussen zorgverzekeraars is gemaakt over representatie. Dat bespaart ons tijd en geld.
Jankees Cappon:
Samengevat: samenwerking, dialoog en transparantie levert gefundeerd
vertrouwen op (‘wie vertrouwen zaait, oogst vertrouwen’). Door een goede
organisatie geven we gezamenlijk invulling aan de maatschappelijke verantwoording van zorguitgaven met een vermindering van onnodige overhead c.q. corrigerende administratie.
Als ziekenhuis willen we een zo werkbare, effectief en efficiënt mogelijke
samenwerking in de hele administratieve keten. Op deze wijze willen we
in samenwerking met de zorgverzekeraars verantwoording afleggen over
de zorguitgaven met meer ruimte om invulling te geven aan zinnige zorg.
De nadruk ligt dan op correcte registratie en declaratie vanuit het primaire
proces, het in een keer goed doen en continue verbetering van het proces vooraan in de keten, bij het ziekenhuis. Het grote voordeel hiervan is
dat het ziekenhuis beter in control is en er een continue verbetering kan
plaatsvinden. Dit leidt tot betere stuurinformatie, minder (ideaal: geen)
achterafcontroles door verzekeraars en eerder zekerheid over de omzet.
Kees Hamster:
Het voornaamste voordeel is het gezamenlijke vertrekpunt van zorgaanbieders en ons als zorgverzekeraars. We zetten ons sámen in voor de
rechtmatigheid van declaraties. Hierbij zijn verwachtingspatronen goed op
elkaar afgestemd en de processen zo ingericht dat tijdig bijgestuurd kan
worden. Horizontaal toezicht moet op deze manier grote correcties achteraf voorkomen. Dat voorkomt onderling gedoe en het vergroot daarmee
ook het maatschappelijk vertrouwen dat euro’s voor de zorg goed besteed
worden.
20
Investeringen zorgaanbieder
OPE
R AT I O N E E
L
S
TA C T I S C H
AT E G I S C H
TR
HORIZONTAAL TOEZICHT
STRATEGISCH
-Vanuit governance en besturing invulling geven
aan correct registreren en declareren
-Meer samenwerking in de keten
-Op gang brengen cultuur- en gedragsverandering
TACTISCH
Investeringen voor de zorginstelling
De invoering van Horizontaal Toezicht vraag om een bepaalde investering
en inspanning van de zorgaanbieder. Zo moet er bereidheid zijn bij de zorg
instellingen om de zorgverzekeraars mee te laten kijken bij de opzet van
processen binnen in een instelling. En alhoewel het inzicht in processen
wordt vergroot kan de privacy wel effectiever worden bewaakt, omdat
door een procesgerichte benadering de gegevens zelf ondergeschikt zijn.
Ten aanzien van de investeringen zal de instelling vooral kosten maken
voor het opzetten en onderhouden van het Control Framework en bijbehorende Assurance. Ook het opleiden en aantrekken van anders geschoold
personeel betreft een investering. Het betreft medewerkers met aandachtsgebieden als compliance, AO/IC en audit. Wat betreft de werkzaamheden zal er vooral ook een verschuiving plaatsvinden van lijstwerk naar
het inrichten van het Control Framework en het testen van de beheersingsmaatregelen.
- Aanpassen functiehuis
-Systemen en processen op orde brengen
-Communicatie extern bevorderen
- Draagvlak intern vergroten
-Goed gedrag stimuleren
-‘three lines of defence’ inrichten
OPERATIONEEL
-Opleiden en werven personeel
-General IT-controls
-Processen beschrijven, inrichten en verbeteren
-Dialoog stakeholders intensiveren
-Software aanpassen
-Inrichten Control Framework
-Zekerheid intern en extern (assurance)
-Taken en verantwoordelijkheden beleggen
21
Ervaringen uit de praktijk (2)
Waarom zouden instellingen moeten overgaan op
horizontaal toezicht?
Frank Janssen:
Horizontaal toezicht helpt de zorgaanbieder om zelf aantoonbaar in control te zijn op het gebied van registreren en declareren. De betaling van de
declaraties vindt eerder plaats. Dit kan doordat de controle al bij het leveren van zorg heeft plaatsgevonden. Bovendien voorkomt het herstelwerkzaamheden achteraf van afgekeurde declaraties.
Kees Hamster:
Het is belangrijk dat zorgverleners zorgen voor rechtmatige declaraties.
Door horizontaal toezicht toe te passen, komt dit bewustzijn terecht in de
haarvaten van organisaties. Het zorgt voor meer grip op de geldstromen
en daarmee voor rust in de organisatie en de relatie met zorgverzekeraars.
Daarmee kan dit geen splijtzwam meer zijn tussen zorgverzekeraar en
zorgverlener.
Waarom zouden instellingen moeten overgaan op
horizontaal toezicht?
David Voetelink:
Het is een volgende stap in de professionalisering van de bedrijfsvoering.
Door middel van onder meer het Nederlands Instituut voor Accreditatie in
de Zorg (NIAZ) tonen we kwaliteit van zorg aan, met horizontaal toezicht
doen we dat met de kwaliteit van declaraties.
De weg naar horizontaal toezicht kent organisatorische en inhoudelijke
uitdagingen, maar geeft veel inzicht in welke verbeterpunten er nog zijn.
Ook geeft het meer zekerheid vooraf, dat de uitkomsten van de registratieen facturatieprocessen goed zijn. Daarnaast zou het op termijn moeten
leiden tot minder werk om richting zorgverzekeraars aan te tonen dat je in
control bent.
Jankees Cappon:
Als horizontaal toezicht goed wordt uitgewerkt, heeft de instelling een
eigen regierol, is de organisatie op diverse niveaus goed aangesloten op
correct registreren en declareren en kan de instelling tijdig aantonen dat
de facturatie van geleverde zorgprestaties juist en rechtmatig is. De relatie met de zorgverzekeraar en andere ketenpartijen is meer gericht op gelijkwaardigheid, transparantie en vertrouwen.
22
Baten zorgaanbieder
OPE
R AT I O N E E
L
S
TA C T I S C H
AT E G I S C H
TR
HORIZONTAAL TOEZICHT
STRATEGISCH
-Governance en besturing op orde
-Meer samenwerking en wederzijds vertrouwen
-In control zijn van bedrijfsvoering
- Correct registreren en declareren vanuit primaire
proces geborgd
TACTISCH
Voordelen voor de zorgaanbieder
•Als organisatie ben je meer ‘in control’, doordat er meer kennis is over de
risico’s, processen en beheersing.
•De procesgerichte benadering levert ook winst op voor de bedrijfsvoering.
Zo wordt de interne stuurinformatie verbeterd en kan het leiden tot verbetering van de financieringspositie.
•Er is één aanspreekpunt bij de zorgverzekeraars (in de vorm van representatie).
•Er is sprake van continue verbetering van de bronregistratie door focus op
het proces aan de voorkant. Verbeterde bronregistratie leidt tot meer inzicht in kosten van behandelingen.
•Meer grip op wet- en regelgeving en meer inzicht hoe hier binnen de eigen
instelling mee wordt omgegaan.
•Tijdig op een efficiënte en effectieve manier zekerheid verkrijgen over de
omvang en juist van zorgdeclaraties in een boekjaar.
•Die tijdige zekerheid werkt door in andere processen zoals de contractering, financiering extern (banken) en bevoorschotting.
•Er gaan minder foute facturen (via de verzekeraar) naar de patiënt en
daarmee wordt invulling gegeven aan de maatschappelijke verantwoordelijkheid.
•Er is beduidend minder risico voor de instelling op correcties achteraf. Intensiteit van het toezicht neemt naar verloop van tijd af.
-Verbetering financieringspositie
-Sneller en meer zekerheid zorgomzet
-Vermindering administratieve lasten
-Kwaliteitsverbetering processen
- Continue verbetering bronregistratie
-Effectieve dialoog met zorgverzekeraar
OPERATIONEEL
-Contracteren financiers
-Verbeterde stuurinformatie
-Vermindering achterafcontroles
-Nota in één keer goed voor de patiënt
- Bewustwording verantwoordelijkheden
-Meer grip op wet- en regelgeving
-Eén aanspraakpunt zorgverzekeraars
23
Ervaringen uit de praktijk (3)
Wat is het risico voor een instelling die niet overgaat op
horizontaal toezicht?
David Voetelink:
Overgaan op horizontaal toezicht is een keuze. Ik zie niet direct risico’s
voor een instelling. Wel voor de gehele keten: het is inefficiënt wanneer
twee controlesystemen naast elkaar blijven bestaan. Dit is moeilijk verenigbaar met het gezamenlijke doel de zorgkosten beheersbaar te houden.
Jankees Cappon:
Er kan veel energie blijven zitten in voorgeschreven, achteraf controles.
Hierdoor worden oorzaken van eventuele fouten bij de bron en in het proces zelf, mogelijk onvoldoende aangepakt en het is de vraag of deze achterafcontroles alle instellingsspecifieke risico’s voldoende dekken. Je mist
dan de impuls tot een proactief, integraal risicomanagement.
Wat is het risico voor een instelling die niet overgaat op
horizontaal toezicht?
Frank Janssen:
We streven er naar dat alle ziekenhuizen overgaan op horizontaal toezicht.
Het niet benutten van de voordelen van horizontaal toezicht is niet alleen
een gemiste kans, maar het zegt ook wat over de kwaliteit van de interne organisatie van een instelling. Dit heeft tot gevolg dat er veel achteraf
controles bij deze instellingen blijven bestaan. Zorgverzekeraars blijven bij
het niet overgaan op horizontaal toezicht individueel formele en materiële
controles na betaling uitvoeren. Hierdoor heeft de zorgaanbieder minder
snel zekerheid over de omzet. Ook hebben accountants meer moeite om
hierover zekerheid te geven.
Kees Hamster:
Het omarmen van horizontaal toezicht is een stap in de groei van de organisatie. Als dat niet gebeurt, blijft herstel achteraf noodzakelijk en zullen
zorgverzekeraars zich noodzakelijkerwijze richten op bijvoorbeeld materiële controles met de daaraan gekoppelde negatieve energie. Ook blijft de
instelling na afsluiting van het jaar met een onzekerheid zitten. Kortom,
niet meedoen is een gemiste kans!
24
Investeringen zorgverzekeraar
OPE
R AT I O N E E
L
S
TA C T I S C H
AT E G I S C H
TR
HORIZONTAAL TOEZICHT
STRATEGISCH
-Herinrichting verantwoordingscyclus
- Samenwerken en wederzijds vertrouwen
-Op gang brengen cultuur- en gedragsverandering
TACTISCH
Investeringen voor de zorgverzekeraar
De invoering van Horizontaal Toezicht vraag om een bepaalde investering
en inspanning van de zorgverzekeraars. Zo zullen zorgverzekeraars medewerkers moeten opleiden in de nieuwe manier van controleren. Waar
nodig dient ook nieuw personeel geworven te worden met vaardigheden op het gebied van AO/IC, audit, advisering, zorginhoud en met goede
communicatieve vaardigheden en kennis van ziekenhuisprocessen. Ook
zal er geïnvesteerd moeten worden in benchmark-tooling, aanpassingen
van het interne en externe verantwoordingsproces en meer focus op beheersing aan de voorkant. Ook zal de organisatie en bemensing van het
representatiemodel moeten worden gerealiseerd en moet dit dusdanig
georganiseerd worden dat zorgverzekeraars ook onderling op elkaars
werkzaamheden kunnen vertrouwen.
- Aanpassen functiehuis
-Werken in representatie
-Communicatie extern bevorderen
-Werkprocessen controleafdelingen aanpassen
- Draagvlak intern vergroten
-Stimuleren goed presterende instellingen
OPERATIONEEL
-Opleiden en werven personeel
- Ontwikkelen benchmark tooling
-Kwaliteitsbewaking en eenduidigheid toepassing
Control Framework
-Kennis over ziekenhuisprocessen opschalen
-Dialoog stakeholders intensiveren
-Zekerheid intern en extern (assurance)
-Taken en verantwoordelijkheden beleggen
25
Ervaringen uit de praktijk (4)
Wat zijn de gevolgen van horizontaal toezicht voor uw
organisatie?
Welke tip zou u uw collega-bestuurders geven bij het
starten van een horizontaal toezicht-traject?
Frank Janssen:
We gaan samenwerken met onze zorgaanbieders op basis van gefundeerd
vertrouwen. Wij gaan op een andere wijze controleren. Dit heeft gevolgen
voor de wijze waarop onze medewerkers nu met formele en materiële
controles omgaan. We gaan werken in representatie en dat vraagt intensieve samenwerking met andere zorgverzekeraars. Dit proces moeten we
zorgvuldig opzetten.
David Voetelink:
Horizontaal toezicht is niet binnen enkele maanden geïmplementeerd. Het
is een meerjarentraject, dat vraagt om het ondersteunen van de visie van
horizontaal toezicht en vervolgens om een investering in tijd en capaciteit.
Maar het resultaat verdient zich uiteindelijk terug. De stap om deze professionalisering door te maken zou iedere instelling zichzelf en haar patiënten moeten gunnen.
Kees Hamster:
Het vereist opbouw van de expertise over horizontaal toezicht en een
scherpe focus op het gezamenlijk hierin optrekken als zorgverzekeraars.
Zorgverleners mogen van ons verwachten dat we eenduidig en voorspelbaar zijn in onze communicatie en ons gedrag. Op die manier ontstaat
een betere balans tussen de partijen en een grond voor samenwerking en
verdergaand vertrouwen.
Jankees Cappon:
Betrek de hele organisatie en heb de ambitie om samen met de organisatie
de risico’s in beeld te brengen en de processen aan de bron te verbeteren.
Vooral taken en verantwoordelijkheden kunnen hierdoor wijzigen en het
vraagt om gedragsverandering. De “Tone on at the Top” is belangrijk. Pak
dit onderwerp ook samen met de medische staf op. Onderken daarnaast
dat dit een investering is en dat hiervoor middelen beschikbaar moeten
worden gesteld.
26
Baten zorgverzekeraar
OPE
R AT I O N E E
L
S
TA C T I S C H
AT E G I S C H
TR
HORIZONTAAL TOEZICHT
STRATEGISCH
-Meer samenwerking en wederzijds vertrouwen
-Op effectieve en efficiente manier invulling
geven aan taken en verantwoordelijkheden
TACTISCH
Voordelen voor de zorgverzekeraar
•Zorgverzekeraar geven invulling aan de maatschappelijke verantwoordelijkheid voor kostenbeheersing en correcte en gepaste uitgaven van de
zorgeuro’s in het belang van de verzekerden.
•Proactief en voorafgaand aan de declaratie wordt zekerheid verkregen
over de nota zodat verrekening van eigen risico tijdig en op een juiste manier plaatsvindt.
•Grotere transparantie en vergrote zekerheid ten aanzien van de zorguitgaven. Dit komt de zuiverheid van de verevening ten goede, maar helpt ook
het contracterings- en premieproces.
•De doorlooptijd van controles zullen afnemen, dus sneller zekerheid over
de schadelast.
•Capaciteit op beheersing en rechtmatigheid van de zorguitgaven wordt
door het representatiemodel van zorgverzekeraars of een zo effectief en
efficiënt mogelijke manier ingezet.
•Meer omzet wordt verantwoord als rechtmatig ten opzichte van de verticale controles. Door meer maatwerk en de risicogerichte benadering worden per ziekenhuis de juiste risico geselecteerd.
-Sneller en meer zekerheid zorguitgaven
-Vermindering administratieve lasten
-Minder rework op reeds uitbetaalde nota’s
-Effectieve dialoog met zorgaanbieder
OPERATIONEEL
-Vermindering achterafcontroles
-Nota in één keer goed voor de patiënt
-Minder correctie op verrekeningen eigen risico
- Bewustwording verantwoordelijkheden
-Meer grip op wet- en regelgeving
- Eenduidigheid werkwijze zorgverzekeraars
27
Ervaringen uit de praktijk (5)
Wat levert horizontaal toezicht op voor uw verzekerden
(als premiebetaler of als patiënt)?
Frank Janssen:
Onze klanten krijgen sneller en beter inzicht in hun eigen zorgkosten.
Doordat de controle al plaatsvindt bij het leveren van de zorg, wordt een
extra controle achteraf voorkomen. Daardoor krijgt onze klant eerder een
overzicht van de geleverde zorg. Het overzicht met geleverde zorg, inclusief een overzicht van het eigen risico, wordt achteraf niet meer gewijzigd.
Dit gebeurt nu soms wel. Dus in dit opzicht voorkomt horizontaal toezicht
veel onbegrip bij onze klanten.
Wat levert horizontaal toezicht op voor uw patiënten?
David Voetelink:
Er is snel een correcte declaratie, er zijn minder correcties achteraf en er is
sneller duidelijkheid over het eigen risico.
Jankees Cappon:
Doordat de bronregistratie goed is ingericht en minder correcties achteraf
plaatsvinden, ontvangt de patiënt eerder de factuur en de opbouw van de
rekening en heeft hij minder last van correcties op zijn declaraties en/of
verrekening met het eigen risico.
Kees Hamster:
Voor individuele klanten biedt het meer houvast over de eigen zorgkosten
en voor onze klanten als collectief zal het vertrouwen groeien dat zorgaanbieders en zorgverzekeraars samen werken aan goede en betaalbare
zorg, in plaats van tegenover elkaar staan. Daarmee dragen we ook bij aan
een andere sfeer in de zorg. Minder bureaucratie, meer tijd voor de zorg
waar het om draait.
28
Berekening verschil kosten Handreiking versus Horizontaal Toezicht
Toelichting voorbeeldberekening
In deze voorbeeldberekening worden de kosten voor het uitvoeren van
het zelfonderzoek (Handreiking) afgezet tegen de verwachte kosten
voor Horizontaal Toezicht. Deze berekening is afkomstig van een
middelgroot ziekenhuis (omzet € 400 mln.) die naar verwachting tegen de
volwassenheidsnorm uit het instapmodel aanzit. In deze inschatting zijn
de structurele kosten van Horizontaal Toezicht gelijk aan de kosten van
de Handreiking. Wel wordt hier nadrukkelijk bij opgemerkt dat Horizontaal
Toezicht veel voordelen oplevert, zoals het in control zijn van de organisatie
en sneller zekerheid over de omzet, maar dat deze niet gekwantificeerd zijn
in deze berekening. Zie voor meer voordelen: baten zorgaanbieder.
Overgang naar Horizontaal Toezicht Jaar X + 1
EUR
Doorlopende kosten Handreiking
245.000
Invullen implementatiemodel
8.000 Investering
Bespreken RvB/Medische staf/audit commissie
8.000 Investering
Beschrijven zorgprocessen/verbeterpunten implementatiemodel 81.000 Investering
Verkennen control framework
8.000 Investering
Competentie interne audit upgraden
31.000 Structureel
381.000
Jaar X + 2
EUR
Doorlopende kosten Handreiking
195.000 Leereffect,
dus 20% minder
Procesverbeteringen inzet ZA
36.000 Investering
Procesverbeteringen inzet ZIS
45.000 Investering
Procesverbeteringen inzet Auditafdeling
11.000 Investering
Prijsverschil HBO-MBO op zorgadministratie
79.000 Structureel
Prijsverschil ervaring versus starter op audit
31.000 Structureel
Vullen control framework
45.000 Investering (75%)
+ structureel (25%)
BI of auditing tools voor control testing*
100.000 Investering (80%)
*wanneer dit wordt uitbesteed liggen deze kosten aanzienlijk hoger + structureel
542.000
Kosten Handreiking jaar X
EUR
Inhuur externen uitvoer + correctie
65.000
Uitvoer medewerker auditafdeling
30.000
Uitvoer medewerkers zorgadministratie
18.000
Bouw datafreeze + queries + review queries
14.000
ICT component database
10.000
Coordinatie operational audit
68.000
Terugkoppeling artsen/RvB/management/medewerkers
25.000
Rapport van bevindingen accountant
15.000
245.000
Jaar X + 3
EUR
Doorlopende kosten Handreiking
122.000 Leereffect,
dus 50% minder
Procesverbeteringen inzet ZA
5.000 Structureel
Procesverbeteringen inzet ZIS
11.000 Structureel
Procesverbeteringen inzet Auditafdeling
11.000 Structureel
Prijsverschil HBO-MBO op zorgadministratie
79.000 Structureel
Prijsverschil ervaring versus starter op audit
31.000 Structureel
Onderhoud control framework + testing
90.000 Structureel
BI of auditing tools voor control testing
20.000 Structureel
Externe kosten (o.a. assurance en inhuur expertise AO/IC)
60.000 Investering (50%)
+ structureel (50%)
429.000
Jaar X + 4 (volledig over op HT)
EUR
HR
0 Niet meer van
toepassing
Procesverbeteringen inzet ZA
5.000 Structureel
Procesverbeteringen inzet ZIS
11.000 Structureel
Procesverbeteringen inzet Auditafdeling
11.000 Structureel
Eens per 3 jaar implementatiemodel updaten (tbv inzicht RvB en RvT)3.000 Structureel
Prijsverschil HBO-MBO op zorgadministratie
79.000 Structureel
Prijsverschil ervaring versus starter op audit
31.000 Structureel
Onderhoud control framework + testing
90.000 Structureel
BI of auditing tools voor control testing
20.000 Structureel
Externe kosten (o.a. assurance en inhuur expertise AO/IC)
30.000 Structureel
Vermindering Rework door wegvallen achterafcontroles
-35.000 Structureel
245.000
29
Ervaringen uit de praktijk (6)
Wat zijn de belangrijkste succesfactoren voor horizontaal
toezicht?
Wat zijn de belangrijkste succesfactoren voor horizontaal
toezicht?
David Voetelink:
Commitment van de Raad van Bestuur, betrokkenheid van zorgprofessionals, transparantie en wederzijds vertrouwen dienen als uitgangspunten
voor informatie-uitwisseling. Dit vraagt een cultuuromslag bij zowel zorginstellingen, zorgverzekeraars als de toezichthouder.
Frank Janssen:
Samenwerking in de keten. Dit vraagt een bijdrage van regelgevers, zorgaanbieders, zorgverzekeraars en toezichthouders. Ook voor toezichthouders is het een grote stap om deze vorm van controleren mogelijk te maken. Vertrouwen tussen alle partijen in de keten is ook een succesfactor.
Vertrouwen in elkaar en in het proces om te komen tot horizontaal toezicht.
Jankees Cappon:
Betrokkenheid van bestuurders, medisch specialisten en management en
draagvlak bij de eigen Raad van Toezicht en externe toezichthouder/NZa
is een absolute voorwaarde. Daarnaast moeten de zorgverzekeraars zich
bij horizontaal toezicht committeren aan een gezamenlijke benadering per
ziekenhuis. Een succesfactor is zeker ook dat geen stapeling plaatsvindt
van interne en externe controles en ruimte is voor leren.
Kees Hamster:
Er ligt een goed uitgewerkt plan hoe we als sector dit kunnen omarmen.
Belangrijkste succesfactor daarbij is de benodigde bestuurlijke aandacht
voor de uitvoering ervan. Daarbij moeten we bereid zijn elkaar aan te sporen, scherpte te tonen en er begrip voor te hebben dat er gedurende de invoering issues optreden die we in gezamenlijkheid moeten oplossen.
30
Instapmodel HT
31
Instapmodel HT
Wat is het instapmodel?
Aan de hand van het instapmodel Horizontaal Toezicht Zorg kan een
zorgaanbieder een quickscan van de organisatie maken om vast te stellen in
hoeverre de organisatie gereed is om over te gaan op Horizontaal Toezicht.
Het instapmodel is een vertaling van randvoorwaarden naar toetsbare
normen. Deze normen hebben betrekking op de organisatie, besturing
en beheersing van zorgaanbieders en zijn gebaseerd op internationaal
bewezen methodologie (o.a. COSO en Cobit), maar dan specifiek gemaakt
voor de zorgbranche en geconcentreerd rondom rechtmatigheid van
de zorgdeclaraties. Doel van het instapmodel is vaststellen of een
zorgaanbieder in staat is om effectief een Horizontaal Toezicht relatie aan
te gaan en waar verbeteringen nodig zijn. Het instapmodel is een bewuste
stap in het Horizontaal Toezicht proces. Het voorkomt dat direct capaciteit
en middelen worden ingezet bij het inhoudelijke controleraamwerk, terwijl
de randvoorwaarden nog niet op orde zijn.
Totstandkoming
Het instapmodel is opgezet door PWC in opdracht van zorgverzekeraar Menzis. Dit instapmodel is verder uitgewerkt in samenwerking
tussen de zorgverzekeraars CZ, Menzis, VGZ en Zilveren Kruis en diverse zorgaanbieders vanuit de Horizontaal Toezicht pilots. Dit proces is
gefaciliteerd door PWC. KPMG heeft het model gereviewed. Tot slot is
het instapmodel toegepast en aangescherpt naar aanleiding van een
0-meting bij de pilot instellingen van Menzis (drie ziekenhuizen en drie
GGZ-instellingen).
Bij zowel de opzet van het instapmodel, als de duiding van de verschillende niveaus is gebruik gemaakt van uitgangspunten van internationaal bewezen methodologieën zoals COSO ERM en COBIT.
De Compliance handvatten uit NZa/Berenschotrapport ‘Compliant Registreren en Declareren’ (7S-model) zijn verwerkt in het Instapmodel,
alsmede de richtlijnen vanuit het ‘Head handreiking control framework’.
In dit instapmodel komen ook governance-elementen van een instelling
aan bod. Zie ook rapport ‘Toezicht op Goed Bestuur’ van NZa en IGZ.
Opzet Instapmodel
Het instapmodel Horizontaal Toezicht Zorg bestaat uit 6 categorieën, 15
subcategorieën, en in totaal 29 normen. De opzet is hieronder weergegeven.
1 In- en externe omgeving
2 Bedrijfsvoering
3 Registratie en Declaratie
4 Risico Management
5 Monitoring en Testing
6 Assurance
32
5 niveaus
Toepassing
Voor elk van de 29 normen zijn 5 niveaus uitgewerkt, waarbij steeds
de volgende uitgangspunten zijn meegenomen.
1. Initieel. De organisatie opereert voornamelijk naar aanleiding van
incidenten. Kwesties worden ad hoc opgepakt en afgehandeld
wanneer zij zich voordoen.
2. Informeel. Rollen en verantwoordelijkheden zijn voornamelijk
informeel neergelegd en uitvoering gebeurt op basis van ervaring
met processen. Er is geen formele training, communicatie of
standaardisatie. De verantwoordelijkheid ligt bij de persoon die de
taak uitvoert.
3. Gestandaardiseerd. Processen zijn gestandaardiseerd,
gedocumenteerd en worden gecommuniceerd (bijvoorbeeld via
training). Het volgen van deze processen is nog altijd vooral een
persoonlijke aangelegenheid. Afwijkingen van de schriftelijke
procedure blijven mogelijk onopgemerkt. De gedocumenteerde
processen hebben nog geen efficiëntietoets ondergaan, hoewel er
wel sprake is van codificatie van de bestaande procedures.
4. Beheerd. Processen worden actief bewaakt en afwijkingen
opgemerkt. Processen worden op efficiënte wijze getoetst en
voortdurend verbeterd.
5. Geoptimaliseerd. Processen zijn gebaseerd op best practices, er
wordt voortdurend gekeken of zich mogelijkheden voor verbetering
voordoen en er vindt benchmarking met de processen van andere
organisaties plaats. De kwaliteit en efficiëntie van processen is
hoog en de organisatie is in staat zich snel aan te passen.
Nadat een zorginstelling op basis van de businesscase tot de
veronderstelling is gekomen dat invoering van Horizontaal Toezicht voor
de organisatie zinvol en waardevol is, kan op basis van het instapmodel
bepaald worden of de instelling ook daadwerkelijk klaar is om over te
gaan op een Horizontaal Toezicht relatie. Met behulp van het instapmodel
HT kan een zorgaanbieder aantoonbaar maken dat de huidige mate van
governance, besturing en compliance rondom de rechtmatigheid van de
zorgdeclaraties voldoende is voor een effectieve Horizontaal Toezicht
relatie. Dit betreft een kwalitatieve toets op organisatie- en beleidsniveau.
Faciliteiten
Koepelorganisaties NFU, NVZ en ZN faciliteren beschikbaarheid, toepassing
en het beheer van het instapmodel. Hieronder is dit verder uitgewerkt:
• Periodieke bijeenkomsten. Er worden proactief workshops georganiseerd,
waar wordt uitgelegd wat het instapmodel is, waarom we het model
toepassen en hoe het samenhangt met andere producten Horizontaal
Toezicht Zorg. Daarna hebben deze bijeenkomsten meer een ‘good practice’
karakter waarbij delen van kennis en ervaringen centraal staat.
• Online omgeving. Er komt een online omgeving beschikbaar met een vast
format, zodat de 0-meting voor het instapmodel eenduidig uitgevoerd kan
worden.
• Instructie. Er is een (digitale) instructie beschikbaar op basis waarvan
een zorgaanbieder de 0-meting zelfstandig kan invullen, met per norm
achtergrondinformatie.
• Q&A. Er is een Q&A beschikbaar in de online omgeving waar de invuller
antwoorden kan vinden bij de meest gestelde vragen.
• Hulplijn. Er is een ondersteuning en begeleiding beschikbaar bij vragen bij
het invullen.
33
Belangrijk bij toepassing instapmodel
Voor de toepassing van het instapmodel zijn onderstaande
uitgangspunten van toepassing.
• Opzet. Met het instapmodel toetst de zorgaanbieder het niveau (1
tot 5) van 29 normen die belangrijk zijn bij een Horizontaal Toezicht
relatie. Dit betreft een kwalitatieve toets op organisatie- en
beleidsniveau.
• Norm. De norm voor geschiktheid voor Horizontaal Toezicht is een
gemiddelde van een 3 (score 1-5) op categorieniveau (6 categorieën),
zonder een score van een 1 op subcategorieniveau
(15 subcategorieën).
• Uitkomst. De uitkomst van de quickscan is niet goed of fout, maar
leidt tot een intern verbeterplan (in geval niet wordt voldaan aan
de norm) of een gesprek met de representerende zorgverzekeraar
voor de implementatie van het Control Framework (indien wel wordt
voldaan). Ook over het interne verbeterplan kan gesproken worden
met de representerende zorgverzekeraar.
• Aantonen. De instelling geeft een toelichting op de gemaakte keuzes
voor alle 29 normen. Tevens voegt de instelling op onderdelen
bewijsvoering toe om dit te onderbouwen. Hiervoor zijn eenduidige
richtlijnen en instructies van toepassing.
• Groeimodel. Zorgaanbieders kunnen per norm aangeven welke groei
ambitie de organisatie op een betreffend onderdeel heeft (1-5). Het
instapmodel is daarmee ook een groeimodel.
• Validatie. Van belang is dat er een kwalitatief en zo objectief
mogelijk oordeel over de huidige stand van zaken is, welke gebruikt
kan worden in de dialoog met representerende zorgverzekeraar.
Het valideren van de uitkomsten door bijvoorbeeld deskresearch
of interviews is daarom van belang. Dit kan plaatsvinden
door zorgverzekeraars, peer review door ziekenhuizen of een
onafhankelijke derde partij.
34
1
2
3
4
5
6
Instapmodel HT
1
In- en externe omgeving
2
Bedrijfsvoering
3
Registratie en Declaratie
4
Risico Management
5
Monitoring en Testing
6
Assurance
35
1
1
2
3
4
5
6
In- en externe omgeving
1.1
Strategie
1.1.1 Bedrijfsstrategie
1.1.2 Compliance strategie Horizontaal Toezicht in de zorg
1.1.3 Visie Horizontaal Toezicht in de zorg
1.2 Stakeholder management
1.2.1 Intern (medisch specialist/ zorgprofessional/ zorgadministratie)
1.2.2 Extern
1.3 Soft Controls
1.3.1 Missie en kernwaarden
1.3.2 Toon aan de top
1.3.3 Houding en gedrag
36
1
2
3
4
5
6
1.1.1 STRATEGIE | Bedrijfsstrategie
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er is geen duidelijke visie
en missie. Strategische
beslissingen worden
genomen op basis van
onderbuikgevoel of intuïtie,
niet op basis van de feitelijke
situatie.
Het belang van een
visie en missie wordt op
managementniveau erkend,
maar is niet geformaliseerd en
wordt niet effectief binnen de
organisatie gecommuniceerd.
Er bestaat consensus over
de visie en missie en tevens
is documentatie beschikbaar
voor stakeholders. Over
de effectiviteit van de
communicatie bestaat
onduidelijkheid.Wel worden
maatregelen genomen om de
activiteiten op de visie en missie
van de organisatie aan te laten
sluiten.
De visie en missie is
vastgesteld,
gedocumenteerd en wordt
efficiënt gecommuniceerd
richting interne en externe
stakeholders. Er word intern
actie ondernomen om
aansluiting op de visie en missie
te borgen.
Visie en missie zijn
overeengekomen,
gedocumenteerd, helder
geformuleerd, worden door
alle stakeholders begrepen
en vormen de basis voor alle
besluitvorming. Visie en missie
worden voortdurend
bewaakt met behulp van Key
Performance Indicators (KPI’s).
1.1.2 STRATEGIE | Compliance strategie horizontaal toezicht in de zorg
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er is geen specifieke
compliance strategie.
Beslissingen rondom het
voldoen aan wet- en
regelgeving (rechtmatigheid)
worden niet gebaseerd op
feiten en omstandigheden
maar op basis van een
onderbuikgevoel.
Het belang van een specifieke
strategie voor het voldoen
aan weten regelgeving
(rechtmatigheid) wordt
onderkend, echter is deze niet
geformaliseerd en wordt niet
gecommuniceerd binnen de
organisatie.
Een compliance strategie is
geformaliseerd en
gedocumenteerd en ziet op
rechtmatigheid en doelmatigheid van geleverde zorg. De
strategie is niet helder
gecommuniceerd en staat los
van de algemene strategie,
maar men probeert hier zoveel
mogelijk bij aan te sluiten.
De compliance strategie (op
rechtmatigheid en doelmatigheid) van geleverde zorg is
vastgesteld, gedocumenteerd
en effectief gecommuniceerd
naar zowel interne als externe
stakeholders. De compliance
strategie is afgestemd
op de algemene strategie
en de risicobereidheid is
geëxpliciteerd.
De compliance strategie is
gedocumenteerd, helder
gecommuniceerd en afgestemd
met alle stakeholders en ziet
op zowel rechtmatigheid en
doelmatigheid van geleverde
zorg als risicobereidheid. Ten
aanzien van het nemen van
beslissingen wordt zwaar
geleund op het voldoen aan
wet- en regelgeving. De
compliance strategie wordt
voortdurend bewaakt en
bijgesteld in het geval van
nieuwe wet- en regelgeving en
afgestemd met stakeholders.
37
1
2
3
4
5
6
1.1.3 STRATEGIE | Visie horizontaal toezicht in de zorg
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Het management is op de
hoogte van horizontaal
toezicht (voor wat betreft
rechtmatigheid) in de zorg,
maar er is geen duidelijke
visie op de impact voor de
organisatie.
Horizontaal toezicht in de zorg
(voor wat betreft rechtmatigheid) is in beeld bij de
organisatie en staat op de
agenda bij het management,
maar is niet opgenomen in
de doelstellingen van de
organisatie. Af en toe wordt
hierover gecommuniceerd naar
de relevante stakeholders.
Het thema horizontaal
toezicht in de zorg is een
terugkomend agendapunt
bij het management en is
opgenomen in de doelstellingen van de organisatie.
Het wordt gecommuniceerd
richting medewerkers en
externe stakeholders, zoals
zorgfinanciers. De organisatie
heeft een duidelijk beeld bij de
visie op horizontaal toezicht
in de zorg, zowel wat betreft
rechtmatigheid als doelmatigheid en heeft voor zichzelf
de voor- en nadelen in kaart
gebracht (de business case).
De visie op horizontaal toezicht
is vastgesteld, gedocumenteerd
in de vorm van een business
case en gecommuniceerd
richting interne en externe
stakeholders. Horizontaal
toezicht in de zorg ,zowel wat
betreft rechtmatigheid als
doelmatigheid, hangt samen
met de compliance strategie.
Regelmatig wordt met in- en
externe auditors gekeken of de
visie nog wordt nageleefd
en hoe de organisatie hier
verbetering in kan brengen.
Processen zijn gedocumenteerd.
Horizontaal toezicht in de zorg,
zowel wat betreft rechtmatigheid als doelmatigheid, is een
strategisch speerpunt van de
organisatie en komt zo ook
terug in de doelstellingen en in
de (compliance) strategie. Er zijn
processen om de visie kracht
bij te staan en documentatie
voorhanden. Eveneens wordt
de visie op regelmatige basis
gecommuniceerd naar interne
en externe stakeholders en
kunnen zij ook aandachtspunten
onder ogen brengen. Periodiek
wordt dan ook geëvalueerd of
horizontaal toezicht in de zorg
wordt nagestreefd en of de
opgestelde Key Performance
Indicators (KPI’s) zijn nageleefd.
38
1
2
3
4
5
6
1.2.1 STAKEHOLDER MANAGEMENT | Intern (medisch specialist / zorgprofessional / zorgadministratie)
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Interne stakeholders, zoals
de medisch specialist, zorgprofessional of zorgadministratie zijn niet of nauwelijks
op de hoogte van (de visie)
horizontaal toezicht in de
zorg en het voldoen aan
wet- en regelgeving. De
noodzaak van het management om interne stakeholders te betrekken bij de visie,
wordt nauwelijks erkend.
Interne stakeholders zijn bewust van de visie van de instelling ten opzichte van horizontaal toezicht in de zorg, maar
worden slechts zelden betrokken bij besluitvorming rondom
compliance. De visie is gedocumenteerd,maar niet actief
gecommuniceerd naar interne
stakeholders. Afhankelijk van
hoe afdelingen betrokken zijn bij
compliance, zijn zij in staat om
een bijdrage te leveren.
Interne stakeholders worden zo
veel mogelijk betrokken bij de
visie horizontaal toezicht in de
zorg en hoe te voldoen aan
weten regelgeving (in de vorm
van een compliance strategie).
Het is voor interne stakeholders
duidelijk hoe hun werk
beïnvloed wordt hierdoor. Zij
kunnen feedback geven, maar
het is niet duidelijk of hier iets
mee gedaan wordt. Periodiek
vindt communicatie over de
voortgang plaats.
Er is een proces om interne
stakeholders te betrekken bij
een brede dialoog rondom de
visie horizontaal toezicht in de
zorg en de compliance strategie.
De voordelen van horizontaal
toezicht in de zorg (shared
savings) zijn gecommuniceerd
naar interne stakeholders. Er
wordt door het management
actie ondernomen om eventuele
zorgen bij het medewerkers
weg te nemen. Communicatie
vindt plaats volgens een
formeel communicatieproces.
Met interne stakeholders wordt
uitgebreid de dialoog aangegaan rondom de visie horizontaal toezicht in de zorg en de
compliance strategie. Periodiek
wordt geëvalueerd met interne
stakeholders wat goed gaat en
wat beter kan. Communicatie
vindt proactief plaats en is
transparant. Interne stakeholders zijn zich bewust van de
impact van het voldoen aan
wet- en regelgeving op hun
werk. Stakeholders profiteren
van de voordelen van horizontaal toezicht in de zorg (shared
savings). Er is een verantwoordelijke (bijv. een Chief Compliance Officer) die zorgt dat alle
interne stakeholders worden
gehoord en betrokken zijn bij
horizontaal toezicht in de zorg.
39
1
2
3
4
5
6
1.2.2 STAKEHOLDER MANAGEMENT | Extern
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Communicatie over de
compliance strategie vindt
plaats naar aanleiding van
incidenten en gaat niet over
het voorkomen ervan. De
noodzaak om over compliance het gesprek met een
bredere groep stakeholders
aan te gaan, wordt slechts in
beperkte mate erkend.
Er is bewustzijn bij de relevante
stakeholders en deze zijn in
zekere mate op de hoogte van
de aandachtspunten met betrekking tot het voldoen aan
wet- en regelgeving van de
organisatie (meestal via
informele kanalen).
Communicatie is afhankelijk
van individuele behoeftes van
de afdelingen.
Er is een gedegen gedocumenteerd en gecommuniceerd beleid inzake de communicatie
rondom compliance, waarin de
belangrijkste onderwerpen zijn
opgenomen. Relevante stakeholders zijn bekend, worden
op de hoogte gehouden en
hebben goed zicht op hun
vereisten en/of aandachtspunten. De voordelen van
horizontaal toezicht in de zorg
zijn voor de organisatie kaart
gebracht (business case).
Er wordt regelmatig en op
relevante wijze contact
onderhouden tussen medewerkers van de diverse
afdelingen en andere stakeholders. Communicatie over
compliance wordt op een
proactievemanier ingevuld,
doorgaans met behulp van een
formeel communicatieproces.
De voordelen van horizontaal
toezicht in de zorg zijn voor de
organisatie in kaart gebracht en
verdeeld tussen de financiers en
de organisatie.geëxpliciteerd.
Er is brede consensus over de
vereisten van stakeholders.
Deze zijn gedocumenteerd en
kunnen door de betreffende
stakeholders worden toegelicht.
Communicatie vindt proactief,
transparant en op begrijpelijke
wijze plaats. De communicatie
over compliance is in lijn met
de visie, missie en strategische
doelen en doelstellingen, alsmede met best practices. De
voordelen van horizontaal toezicht zijn voor de organisatie in
kaart gebracht, verdeeld tussen
de financiers en de organisatie
en worden continu herijkt.
40
1
2
3
4
5
6
1.3.1 SOFT CONTROLS | Missie en kernwaarden
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er is geen duidelijk beeld van
de visie en missie rondom
compliance, risicobereidheid,
het gewenste gedrag
of vooraf gedefinieerde
criteria voor risico’s rondom
compliance.
Algemene compliance risico’s
en mogelijke reputatieschade
worden meegenomen in de
besluitvorming. Het gewenste
gedrag is impliciet bekend en
sluit aan bij de algemene
bedrijfsstrategie. Binnen de
organisatie is er geen overeenstemming over risicobereidheid rondom het voldoen
aan wet- en regelgeving.
Het management heeft een
duidelijk beeld van de visie en
missie rondom compliance,
compliance strategie en mate
van risicobereidheid en dit is
gedocumenteerd, gecommuniceerd en afgestemd op de
algemene bedrijfsstrategie (inclusief het verwachte gedrag).
Medische specialisten/ behandelaars zijn betrokken. Het handelen van medewerkers sluit
hier echter niet altijd bij aan.
Er zijn processen aanwezig om
de activiteiten van de organisatie af te stemmen op de compliance strategie en mate van
risicobereidheid. De gewenste
houding en het gewenste gedrag worden in overeenstemming met medische specialisten/behandelaars afgestemd,
gecommuniceerd en in acht
genomen. Er wordt actie ondernomen om gevallen van ongewenst gedrag te managen en
gedrag zo nodig te veranderen.
Visie,missie en compliance strategie zijn volledig afgestemd
met de medische specialisten/
behandelaars en vormen de
basis voor alle besluitvormingsprocessen (in lijn met criteria
voor risicobereidheid rondom
het voldoen aan wet- en regelgeving). De waarden die hieruit
volgen, komen tot uitdrukking in
het gedrag van medewerkers. Er
is een cultuur van voortdurende
analyse, zelfevaluatie en verbetering.
1.3.2 SOFT CONTROLS | Toon aan de top
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
De organisatie heeft geen
(duidelijke) visie op de (gewenste) compliance moraal,
houding en gedrag.
De gewenste compliancemoraal
en houding van de organisatie is
duidelijk vastgelegd (bijvoorbeeld in een gedragscode) en
sluit aan bij de strategie van de
organisatie. Het management
erkent het belang hiervan voor
de organisatie.
De waarden van de organisatie
rondom het voldoen aan weten regelgeving zijn duidelijk
vastgelegd en gecommuniceerd
(met name richting belangrijke
beslissers). Deze waarden
vertalen zich in de praktijk in
verwacht (compliant) gedrag.
Ethisch gedrag is regelmatig
onderwerp van gesprek.
Beslissingen met gevolgen voor
compliance worden regelmatig
geëvalueerd en afgezet tegen
de waarden rondom compliance. Bovendien worden deze
waarden periodiek gemeten,
geanalyseerd en gecommuniceerd met het bestuur van de
organisatie.
De afstemming tussen de waarden rondomhet voldoen aan
wet- en regelgeving en het daadwerkelijke gedrag van de organisatie wordt (continu) bewaakt,
waarbij zo nodig actie wordt ondernomen. Deze waarden van de
organisatie zijn verankerd in de
besluitvorming van het senior of
topmanagement en de toon aan
de top (waardoor mag worden
verwacht dat alle overige onderdelen van de organisatie zich
hierbij aansluiten). Het management communiceert hier actief
41
over met stakeholders.
1
2
3
4
5
6
1.3.3 SOFT CONTROLS | Houding en gedrag
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Medewerkers en management zien compliance als
een losstaand onderdeel van
de bedrijfsvoering. Er is
weinig aandacht voor het
voldoen aan wet- en regelgeving.
Medewerkers en management
handelen op basis van een
onderbuikgevoel rondom weten regelgeving. Er bestaat weinig communicatie over compliance en hoe dit is verankerd in
de bedrijfsvoering.
Regels rondomde gewenste
houding en gedrag zijn vastgelegd en het belang wordt
onderkent door het management. Een ongewenste houding
en ongewenst gedrag wordt
besproken door het management en resultaten hiervan
worden besproken met het
management.
Regelmatig wordt de houding
en het gedrag van medewerkers
enmanagement geëvalueerd.
Periodiek wordt de compliance
strategie gecommuniceerd en
afgezet tegen de praktijk. Er zijn
processen aanwezig om
medewerkers en management
te sturen en te helpen rondom
het voldoen aan wet- en regelgeving.
De houding en het gedrag van
iedereen binnen de organisatie is in lijn met de compliance
strategie en met de algemene
strategie. Voortdurend wordt dit
geëvalueerd en over gerapporteerd. Compliance is verankerd
in het DNA van de organisatie en
zo wordt dit ook ervaren door
het medewerkers en het management. Daarnaast spreken
medewerkers elkaar ook aan
wanneer niet wordt voldaan
aan de compliance strategie.
42
1
2
3
4
5
6
2
Bedrijfsvoering
2.1 Bedrijfsproces
2.1.1 Typologie
2.1.2 Documentatie
2.2 Compliance en organisatie
2.2.1 Rollen en verantwoordelijkheden
2.2.2 Competenties
2.2.3 Compliance functie Horizontaal Toezicht
2.3 IT
2.3.1 General IT Controls
43
1
2
3
4
5
6
2.1.1 BEDRIJFSPROCES | Typologie
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er is geen typologie gehanteerd om de bedrijfsprocessen te bepalen. Bij het management wordt niet de
noodzaak gevoeld om een
typologie door te voeren
voor het bepalen van
de bedrijfsprocessen.
Het management ziet de noodzaak in van een typologie voor
het bepalen van de bedrijfsprocessen, maar heeft deze slechts
op een beperkt aantal onderdelen doorgevoerd.
Een eenduidige typologie voor
een zorginstelling is gebruikt
om de bedrijfsprocessen te
bepalen. Deze typologie zorgt
ervoor dat de belangrijkste processen zijn geïdentificeerd.
Een typologie is doorgevoerd
binnen de hele organisatiemet
aandacht voor het geheel aan
bedrijfsprocessen. Intern wordt
door de third line of defence
vastgesteld dat de meeste risico’s zijn afgedekt door middel
van procedures.Medewerkers
zijn in staat om hiaten door te
geven aan het management en
follow-up planning te realiseren en bewaken.
De typologie van een zorginstelling is volledig doorgevoerd
in de bedrijfsprocessen. De
volledigheid, juistheid, rechtmatigheid en doelmatigheid van
opbrengsten is duidelijk verantwoord, evenals de uitgaven.
Periodiek wordt geëvalueerd of
de typologie nog werkt. De typologie helpt de onderneming
om kansen en bedreigingen te
zien voordat ze zich voordoen,
evenals potentiële hiaten in bepaalde bedrijfsprocessen.
2.1.2 BEDRIJFSPROCES | Documentatie
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Processen zijn meestal niet
gedocumenteerd, of de
documentatie is verouderd,
en de organisatie vertrouwt
op de kennis van individuele
personen. Overkoepelende
procedures voor onderdelen
van de organisatie zijn doorgaans niet geïntegreerd.
Er is sprake van een beperkte
mate van documentatie van
processen en integratie van
procedures,maar (nog) niet van
een uniforme aanpak. Het actueel houden van deze processen
en procedures is geen aandachtspunt.
Er is sprake van een duidelijk
omschreven, effectief gecommuniceerd kader voor het documenteren van processen, plus
procedurele handleidingen, die
worden begrepen en nageleefd.
De documentatie wordt opgeslagen, regelmatig bijgewerkt
en in een elektronische omgeving waar alle relevante gebruikers er toegang toe hebben.
De naleving van documentatienormen en het ontwikkelen en
in stand houden van procedures
wordt gewaarborgd door beheersmaatregelen, wat mede
zorgt voor een gestandaardiseerde set aan documentatie
(document management systeem). Achteraf wordt feedback
ingewonnen bij bedrijfsonderdelen en gebruikers als onderdeel van een procesvan voortdurende verbetering.
Er vindt toezicht plaats op het
proces voor het ontwikkelen,
documenteren en in stand houden van processen en procedures, waarbij zo nodig best practices worden overgenomen en
wordt aangepast op basis van
de documentatienormen van de
organisatie (documentmanagement systeem). Documentatie
wordt bijgewerkt naar aanleiding van organisatorische en
operationele wijzigingen en is
beschikbaar voor naslag en monitoring en wordt in of extern
gevalideerd op toereikendheid.
44
1
2
3
4
5
6
2.2.1 COMPLIANCE EN ORGANISATIE | Rollen en verantwoordelijkheden
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Het toezicht op het proces
van verslaglegging rondom
het voldoen aan wet- en regelgeving en wie wat doet is
onduidelijk. Er worden geen
(externe) deskundigen betrokken. Het proces wordt
geleid door de financiële
administratie met minimale
inbreng van compliance
specialisten.
Er is een ongeschreven verdeling van rollen en verantwoordelijkheden, maar de
eindverantwoording en -verantwoordelijkheid voor de positie rondom het voldoen aan
wet- en regelgeving is voor
betrokkenen onduidelijk. Waarschijnlijk nemen medewerkers
van Financiën het voortouw.
Rollen en verantwoordelijkheden zijn gedefinieerd en
beschreven, maar er is geen
end-to-end systeem voor het
prestatiemanagement van medewerkers. Hoewel vanuit het ‘3
lines of defence model’ de rollen
en verantwoordelijkheden zijn
beschreven, worden deze niet
optimaal benut. Waarschijnlijk
neemt Financiën het voortouw.
De rol van de externe accountant is duidelijk vastgelegd.
Alle medewerkers op alle afdelingen en op alle locaties hebben duidelijke rollen en verantwoordelijkheden op basis van
het ‘3 lines of defence model’.
De resultaten worden bewaakt
en de informatie in alle waarschijnlijkheid gebruikt voor interne rapportage.
Alle medewerkers op alle afdelingen en op alle locaties
hebben duidelijke rollen en
verantwoordelijkheden en de
prestaties en tevredenheid van
medewerkers wordt bewaakt.
Hierbij is het ‘3 lines of defence
model’ ingebed in de organisatie. Indien noodzakelijk worden
externe specialisten ingeschakeld. Voor iedereen in de organisatie zijn de verantwoordelijkheden duidelijk.
2.2.2 COMPLIANCE EN ORGANISATIE | Competenties
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Dagelijkse werkzaamheden
worden uitgevoerd op basis
van routine. Er is sprake van
een impliciete taakverdeling,
functieprofielen zijn niet
gedocumenteerd en gecommuniceerd. Focus is op eigen
activiteiten. “Learning by
doing” is het uitgangspunt.
De noodzaak van het toepassen
van competenties in functieprofielen wordt erkend, maar
krijgt geen opvolging. Functieprofielen zijn op algemeen
niveau gedocumenteerd, maar
niet actief gecommuniceerd.
Taken zijn verdeeld, maar het is
voor medewerkers niet duidelijk
aan welke eisen zij dienen te
voldoen. Slechts zelden wordt
herkend door medewerkers dat
werkzaamheden gelinked zijn
aan of overlappen met andere
functies.
Functieprofielen zijn gedocumenteerd en worden, indien
mogelijk, ingevuld met inachtneming van de voor de functie
benodigde competenties. Taken
zijn verdeeld op basis van functies en zijn voldoende ingebed
in de organisatie. Wanneer competenties ontbreken voor een
bepaalde taak, worden medewerkers ad hoc ingezet. Medewerkers dienen zelf actief aan
te geven of zij behoefte hebben
aan (bij)scholing.
Functieprofielen zijn voorzien
van alle competenties voor de
functie. Ze zijn consistent voor
de gehele organisatie, zijn gecommuniceerd en zijn goed bekend en ingebed in het dagelijks
handelen. Voor medewerkers is
het duidelijk wat van hen verwacht wordt. Het voldoen aan
competenties wordt gemonitord
door middel van Key Performance Indicators (KPI’s) voor het
medewerkers. (Bij)scholing/
cursussen zijn gelinked aan de
benodigde competenties.
Competenties zijn gedocumenteerd in functieprofielen en
worden actief gecommuniceerd.
De functieprofielen zijn afgeleid
van taken en bevoegdheden van
het medewerkers en worden
periodiek bijgewerkt. Er is een
functiemix van competenties
binnen de diverse afdelingen.
Scholing en het verwerven van
competenties is geïntegreerd
in het medewerkersbeleid van
de organisatie. Het niveau van
de medewerkers en het opleidingsbudget ondersteunt het
behalen van het gewenste com45
petentieniveau.
1
2
3
4
5
6
2.2.3 COMPLIANCE EN ORGANISATIE | Compliance functie Horizontaal
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
De organisatie heeft geen
vastgelegde compliance
strategie. De compliance
functie wordt als een losstaand bedrijfsonderdeel
gezien, waarmee weinig tot
geen rekening gehouden
wordt: er is geen accountability. Rapportage vindt slechts
plaats naar aanleiding van
incidenten. Compliance
wordt als bureaucratische
verplichting ervaren en de
lijn wordt niet proactief betrokken. Het management
erkent niet de noodzaak van
het integreren van de compliance functie in de reguliere bedrijfsprocessen.
Er is een impliciete compliance
strategie, waarbij compliance
op het netvlies van de werknemers staat. De compliance
functie communiceert niet frequent en informeel met de lijn.
In slechts een aantal processen is compliance geïntegreerd
en dan alleen op hoofdlijnen.
Wanneer incidenten zich voordoen worden deze opgepakt en
wordt de verantwoordelijkheid
genomen, een escalatie en een
verbeterproces is echter niet
geformaliseerd. Bij managementoverleg wordt over compliance gesproken, vertaling en
implementatie in de lijn ontbreekt.
De compliance functie is geformaliseerd, maar is niet volledig
geïntegreerd binnen de bedrijfsvoering. Compliance staat op de
agenda van het management,
maar de impact en wegingsfactor bij besluitvorming is
beperkt. Compliance is geïncorporeerd in de voornaamste processen, dit is gedocumenteerd
en gecommuniceerd naar de
betrokken medewerkers. Issues
worden gecommuniceerd naar
het management, gemonitord
en (proces)verbeteringen worden doorgevoerd waar nodig.
De compliance functie is een
integraal onderdeel van de organisatie, staat in een continue
dialoog met alle (relevante) afdelingen en compliance is ingebed in bedrijfsprocessen. Deze
processen worden periodiek
gemonitord en verbeterd, waar
mogelijk. Compliance staat
nadrukkelijk op de agenda van
het management en is geïncorporeerd in de bedrijfsstrategie.
Het is voor iedere medewerker
duidelijk wat voor een impact
hun handelen op compliance
heeft. De compliance functie
produceert data en rapporteert
hierover met het doel inzicht te
geven en de dialoog tussen het
management en de diverse inen externe toezichthouders te
vergemakkelijken.
De compliance strategie is gedocumenteerd en gecommuniceerd. De compliance functie
maakt integraal onderdeel uit
van de bedrijfsvoering en is op
deze manier geïntegreerd in de
bedrijfsprocessen. Het proces
en de controls sluiten aan op
een kans x impact-analyse (bijv.
een risicomatrix). De impact van
compliance wordt meegewogen
bij besluitvorming en gemonitord. Er is sprake van een continu verbeterproces. Periodiek
wordt aan de Raad van Bestuur
gerapporteerd over alle zaken
die de compliance functie aangaan. De organisatie heeft een
continue dialoog met cliënten
en externe stakeholders.
46
1
2
3
4
5
6
2.3.1 IT | General IT Controls
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
De organisatie heeft General
IT Controls, maar het is niet
duidelijk wat dit betekent
voor de bedrijfsvoering. Het
is niet besproken op managementniveau. Het inbedden van General IT Controls
gebeurt naar aanleiding
van incidenten. Er zijn geen
processen gedocumenteerd
voor IT controls die te maken
hebben met de bedrijfsvoering. Compliance data wordt
opgevraagd bij diverse stakeholders, omdat de compliance afdeling meerdere
systemen gebruikt.
General IT Controls voor de bedrijfsvoering worden erkend,
maar niet specifiek geïmplementeerd. Toegangsrechten
worden op organisatieniveau
toegekend en de afdeling bedrijfsvoering levert input op
IT controls op een informele
manier en slechts op basis van
individuele gevallen. Er is geen
proces voorhanden om de documentatie van General IT Controls te waarborgen.
Het IT landschap binnen de
organisatie heeft (applicatie)
controls die de integriteit en
beveiliging van compliance
data waarborgen. De compliance functie heeft specifieke
General IT Controls geïmplementeerd, die relevant zijn voor
de bedrijfsvoering. Een proces
zorgt ervoor dat de compliance
functie input kan leveren op IT
controls / functies. Relevante
geautomatiseerde controls die
van essentieel belang zijn voor
de compliance functie worden
overwogen. General IT Controls
zijn geformaliseerd, gedocumenteerd en gecommuniceerd
naar relevante stakeholders en
eindgebruikers.
De compliance functie is onderdeel van de General IT Controls.
De compliance afdeling heeft
geïntegreerde datasoftware, die
data kunnen delen met andere
afdelingen. Consistente data
integriteit controls zijn geïmplementeerd om IT risico’s te mitigeren. De compliance afdeling
houdt zich veel bezig met het
leveren van input op IT controls.
Problemen met toegangsrechten en specifieke (compliance)
IT risico’s worden opgelost
wanneer zij zich voordoen. General IT Controls die gerelateerd
zijn aan de compliance functie
worden constant gemonitord
om specifieke (compliance) IT
risico’s te adresseren.
General IT Controls zijn volledig
aangesloten bij compliance
processen en bij andere organisatorische processen. General
IT Controls worden constant
gemonitord en continu waar
mogelijk verbeterd. De compliance functie is gewaarborgd
door middel van toegangsrechten. De compliance functie
maakt gebruik van verschillende rapportage technieken. Deze
technieken zijn bekend bij de
eigenaars van General IT Controls. Data integriteit is gewaarborgd in het hele IT landschap
en General IT Controls zijn ‘agile’
opgesteld, zodat deze kunnen
worden aangepast aan toekomstige wensen.
47
1
3
2
3
4
5
6
Registratie en Declaratie
3.1 Richtlijnen en medisch beleid
3.1.1 Richtlijnen
3.1.2 Medisch beleid
3.2 Zorgregistratie en declaratie
3.2.1 Proces PRSADI (Prijsstelling/ Registratie/ Samenvatten/ Afleiden/
Declareren/ Incasso)
3.2.2 Rollen en verantwoordelijkheden
48
1
2
3
4
5
6
3.1.1 RICHTLIJNEN EN MEDISCH BELEID | Richtlijnen
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Richtlijnen zoals opgelegd
door de verschillende weten regelgevers (NZa, IGZ, ZiN,
etc.) en privaatrechtelijke afspraken met zorgfinanciers
zijn informeel bekend en niet
geïntegreerd in de reguliere
werkprocessen. Documentatie, indien aanwezig, is
niet aantoonbaar actueel en
medewerkers weten (onvoldoende) waar ze deze
kunnen vinden. Naleving van
richtlijnen heeft geen prioriteit voor het management.
Het eigenaarschap van de
toetsing op de naleving van
de richtlijnen is niet geborgd.
Naleving van de richtlijnen is
een agendapunt van het management, maar er wordt informeel invulling aan gegeven.
Richtlijnen zijn gedocumenteerd, maar niet of beperkt door
vertaald naar de organisatie.
De inbedding in de dagelijkse
activiteiten is beperkt, er wordt
weinig rekening gehouden met
het naleven van richtlijnen in
de werkprocessen. Er bestaat
een medisch beleid, echter is
het voor medewerkers en management niet duidelijk hoe de
richtlijnen hierin verweven zijn.
Bij incidenten stelt het management iemand verantwoordelijk
voor de toetsing op de naleving
van de richtlijnen.
Richtlijnen zijn gedocumenteerd
en worden bijgehouden en bijgewerkt, waar nodig. De richtlijnen dienen als basis voor het
medisch beleid. In de meeste
werkprocessen zijn richtlijnen
geïntegreerd. Jaarlijks wordt getest of de richtlijnen actueel zijn
en of processen voldoen aan
deze richtlijnen. Het management is bewust van de impact
van het niet voldoen aan richtlijnen en stuurt het medewerkers hierop aan. Werknemers
nemen verantwoordelijkheid
wanneer het aankomt op de
naleving van richtlijnen. Verantwoording hierover wordt vooral
afgelegd aan interne stakeholders.
In de werkprocessen zijn richtlijnen geïntegreerd en wordt
er periodiek gemonitord op
naleving van de richtlijnen.
Management en medewerkers
voelen zich verantwoordelijk en
betrokken en weten wat de impact is van het niet naleven van
richtlijnen. Het medisch beleid
is opgesteld met inachtneming
van de richtlijnen die zijn opgelegd door de verschillende weten regelgevers (NZa, IGZ, ZiN
etc.) alsmede privaatrechtelijke
afspraken met zorgfinanciers.
Er bestaat een proces om de
actualiteit van de richtlijnen te
toetsen.
Richtlijnen zoals opgelegd door
de verschillende wet- en regelgevers (NZa, IGZ, ZiN etc.), maar
ook privaatrechtelijke afspraken met zorgfinanciers, zijn het
uitgangspunt van het medisch
beleid. De richtlijnen zijn geïntegreerd in de reguliere werkprocessen, waarbij periodiek wordt
beoordeeld of de richtlijnen nog
actueel zijn. Het management
en het medewerkers zijn zich
bewust van de verschillende
richtlijnen en handelen hier ook
naar. Naleving van de richtlijnen
wordt getoetst en verantwoording wordt hierover afgelegd
aan interne en externe stakeholders.
49
1
2
3
4
5
6
3.1.2 RICHTLIJNEN EN MEDISCH BELEID | Medisch beleid
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Het medisch beleid is impliciet. Het medisch beleid
wordt ervaren als een administratieve norm die van
bovenaf is opgelegd en is
niet ingebed in het dagelijkse handelen. De functionele
inrichting is vormvrij, waarbij
geen eenduidige normen bestaan voor codes en begrippen. Er is geen (geformaliseerd) escalatiemodel.
Er bestaat een medisch beleid,
maar deze is niet gedocumenteerd of verouderd. Zorgprofessionals zijn zich niet genoeg
bewust van het medisch beleid
en hoe dit hen in staat stelt te
helpen in hun werk. Er is een
richtlijn voor de dossiervorming,
deze is informeel bekend. Het
management erkent de noodzaak van het expliciet bekendmaken van het medisch beleid.
Bij escalatie wordt gehandeld
vanuit routine en ervaringen in
het verleden. Er zijn hierbij geen
autorisatierechten vastgelegd.
Het medisch beleid is gedocumenteerd en actief in de organisatie. Het voldoet in grote mate
aan richtlijnen en is deels door
vertaald naar zorgpaden. In het
dagelijks handelen wordt de
impact van het medisch beleid
gewogen en er wordt zoveel
mogelijk naar gehandeld. Er
bestaat een proces voor de dossiervoering. Codes en begrippen
zijn vastgelegd voor de functionele inrichting van het dossier.
Bij escalatie is documentatie
aanwezig om het proces in goede banen te leiden.
Het medisch beleid is opgesteld
samen met zorgprofessionals
met inachtneming van richtlijnen (Nza, IGZ, ZiN, etc.). Het
beleid is de basis voor de zorgpaden zoals verplicht gesteld
door zorgfinanciers. Uitkomsten
van praktijkvariatie-analyses
worden vaak gebruikt voor
eventuele aanpassingen van het
medisch beleid en richtlijnen.
Onderdeel van het beleid zijn
geformaliseerde protocollen
welke zijn ingebed in het dagelijks handelen van alle zorgprofessionals. Naleving wordt
regulier gemonitord. De functionele inrichting van het dossier
vergemakkelijkt de taken van
medewerkers. Het escalatiemodel is gedocumenteerd en
gecommuniceerd, waarbij autorisatierechten zijn bepaald om
van standaard protocollen af te
wijken.
Het medisch beleid is expliciet
bepaald, door derden geaccordeerd en voldoet aan alle richtlijnen (NZa, IGZ, ZiN, etc.) en is
ingebed in de zorgpaden. Het
medisch beleid is opgesteld samen met de zorgprofessionals,
wat zorgt voor een werkbaar
proces en protocollen en daarmee bijdraagt aan de intrinsieke motivatie. Uitkomsten van
praktijkvariatie-analyses zijn de
basis voor eventuele aanpassingen van het medisch beleid
en richtlijnen. De dossiervoering is functioneel ingericht en
maakt optimaal gebruik van de
IT-omgeving van de organisatie.
Er is een geformaliseerd escalatiemodel, waarin autorisatierechten zijn vastgelegd om van
de standaard protocollen af te
wijken.
50
1
2
3
4
5
6
3.2.1 ZORGREGISTRATIE EN DECLARATIE | Proces PRSADI (Prijsstelling / Registratie / Samenvatten /
Afleiden / Declareren / Incasso)
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er is geen geformaliseerd
PRSADI proces dat borgt dat
aan richtlijnen wordt voldaan. Een proceseigenaar is
niet aangesteld. Procesbeschrijvingen zijn niet gedocumenteerd of zijn verouderd.
Werkzaamheden gebeuren
op basis van routine en zijn
vormvrij. Er is onvoldoende
bewustzijn bij medewerkers
van hun rol in het proces.
Monitoring van de processen
of controle vindt niet of achteraf plaats (detective controls) en is niet geborgd aan
de bron.
Er bestaat een ruwe opzet van
het PRSADI proces. Inbedding
in de reguliere werkzaamheden is beperkt waardoor de
aanpak van medewerkers niet
universeel is, wat kan zorgen
voor misverstanden. er is geen
formeel proces dat monitort of
aan alle richtlijnen is voldaan.
Er wordt gebruik gemaakt van
IT, training van medewerkers en
praktische handleidingen zijn
echter onvoldoende. Foutieve
declaraties worden intern niet
opgemerkt, wat voor reparatiewerkzaamheden zorgt. Doorvertaling van de oorzaak van
deze omissies naar in de PRSADI-keten vindt op ad-hoc basis
plaats.
Het PRSADI proces zorgregistratieproces is gedocumenteerd
en bekend in de organisatie.
Zorgprofessionals weten waar
ze documentatie en handleidingen van het proces en IT
systemen kunnen vinden. Werkzaamheden die niet zijn gedocumenteerd worden uitgevoerd op
basis van routine. Het eigenaarschap van het proces ligt bij de
compliance-afdeling. Er wordt
gemonitord op een aantal controls, die ervoor kunnen zorgen
dat het proces faalt. Jaarlijks
wordt geëvalueerd of het proces naar behoren heeft gewerkt.
Er is aandacht voor het verbeteren van het PRSADI proces.
Er bestaat een formeel PRSADI
proces dat is ingebed in het dagelijks handelen. In het proces
is rekening gehouden met de
IT-omgeving en het ontlasten
van het medewerkers. Medewerkers zijn in staat om feedback te geven op het proces. Het
proces wordt verbeterd wanneer incidenten zich voordoen
en periodiek wordt gemonitord
of aan de richtlijnen wordt voldaan. Hierover wordt intern
gerapporteerd. Als prestatie
indicatoren worden de goedgekeurde declaraties gebruikt.
Het zorgregistratieproces is
gedocumenteerd, gecommuniceerd en wordt gevolgd door
iedere zorgprofessional. Het
zorgregistratieproces is geïntegreerd in de IT-omgeving en
ondersteunt de zorgprofessionals in hun werkzaamheden.
De borging van de juistheid van
het registratieproces vindt zoveel mogelijk aan de bron plaats
(preventieve controls). Monitoring en een continu verbeter- en
feedbackproces bestaan en
werken, bijvoorbeeld in de vorm
van een PDCA-cyclus (Plan, Do,
Check, Act). Rapportage richting
interne en externe stakeholders
over de juistheid en volledigheid
van het registratieproces vindt
periodiek plaats.
51
1
2
3
4
5
6
3.2.2 ZORGREGISTRATIE EN DECLARATIE | Rollen en verantwoordelijkheden
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Rollen en verantwoordelijkheden binnen het registratieen declaratieproces zijn niet
duidelijk en informeel. Documentatie, indien aanwezig,
is verouderd en niet passend
bij de huidige invulling van
de functie. Werkzaamheden
worden uitgevoerd op basis van eigen ervaringen en
routine. Functiescheiding is
daarmee onvoldoende geborgd. De focus is primair op
eigen rol en werkzaamheden
en niet per se op het ondersteunen van de medische
specialisten/ behandelaren.
Het belang van de eigen rol
in het proces is onduidelijk
bij medewerkers en er wordt
weinig tot geen verantwoordelijkheid gevoeld voor het
gehele proces.
Rollen en verantwoordelijkheden zijn informeel verdeeld en
bekend, maar het is onduidelijk
wie het eigenaarschap heeft
voor de rollen in het registratieen declaratieproces. Medische
specialisten/ behandelaren
worden slechts zelden ondersteund, vrijwel alleen in het geval van escalatie. Bij incidenten
wordt pas gekeken waar de verantwoordelijkheid in de keten
ligt. Meestal wordt hier invulling aan gegeven om het proces
te verbeteren, maar blijft het bij
een intentie en geen documentatie.
Rollen en verantwoordelijkheden binnen het registratie- en
declaratieproces zijn bepaald,
gedocumenteerd en gecommuniceerd. Bij de inrichting hiervan
is zoveel als mogelijk rekening gehouden met de diverse
functieprofielen en de daarin
aanwezige competenties. De
rollen en verantwoordelijkheden worden jaarlijks nagelopen
bijgewerkt indien nodig. Er is
aandacht voor functiescheiding
bestaat, deze is echter beperkt
ingebed. Binnen de rollen en
verantwoordelijkheden is rekening gehouden met het ondersteunen van de medische
specialisten/behandelaren. Medewerkers en medisch specialisten/ behandelaren zijn zich
bewust van hun acties en hun
rol in het proces. Er wordt alleen
verantwoordelijkheid genomen
daar waar het gaat om de eigen
werkzaamheden.
De rollen en verantwoordelijkheden zijn vastgelegd en
gecommuniceerd. Daarnaast
zijn de rollen en verantwoordelijkheden geïntegreerd in de bedrijfsprocessen waarbij functiescheiding voldoende is geborgd.
De rollen en verantwoordelijkheden zorgen ervoor dat medische specialisten/behandelaren
worden ondersteund en ontlast
in hun werkzaamheden. Rollen
en verantwoordelijkheden sluiten aan op de functieprofielen.
Er is een vast proces voor het
regulier updaten van de rollen
en verantwoordelijkheden. Medewerkers en medisch specialisten/ behandelaren zijn zich
bewust van het belang van het
registratie- en declaratieproces
en onderkennen hun rol in dit
geheel.
Rollen en verantwoordelijkheden zijn vastgelegd en gecommuniceerd. De rollen en
verantwoordelijkheden zijn geïntegreerd in de werkprocessen
en werkinstructies en zijn daarnaast geborgd in de IT-omgeving. Functiescheiding is hierbij
optimaal ingericht en geborgd.
Uitgangspunt is een zo efficiënt
mogelijke ondersteuning van de
medische specialisten/ behandelaren. Medewerkers en medisch specialisten/behandelaren zijn zich bewust van zijn of
haar rol in het gehele registratie
en declaratieketen. Daarnaast
voelen de medewerkers en medisch specialisten/ behandelaren zich verantwoordelijk voor
het gehele proces (ownership).
52
1
4
2
3
4
5
6
Risico Management
4.1 Risico beleid
4.1.1 Risico beheersingskader Horizontaal Toezicht in de zorg
4.2 Identificatie en beoordeling
4.2.1Identificatie van risico’s PRSADI Toezicht in de zorg
4.2.2 Risico beheersingskader Horizontaal Toezicht in de zorg
4.3 Risicobeheersing
4.3.1 Inrichting risk & control framework met beheersmaatregelen PRSADI
53
1
2
3
4
5
6
4.1.1 RISICO BELEID | Risico beheersingskader Horizontaal Toezicht in de zorg
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er is geen visie op integraal
risicomanagement, een duidelijk kader voor rechtmatig
en doelmatig declareren
ontbreekt. De organisatie
beschikt niet over een geformaliseerd intern risicobeheersingskader en controledoelstellingen voor effectief
risicobeheer. Risicobeheersing is fragmentarisch, reactief (brandjes blussen) en ad
hoc. Risicobeheersing, indien
al aanwezig, is geïsoleerd en
als zodanig niet geïntegreerd
in de reguliere bedrijfsprocessen.
Er is een informele visie op risicomanagement voor rechtmatig
en doelmatig declareren. Deze
visie wordt echter niet door iedereen binnen de organisatie
gedragen. Het management is
zich bewust van de noodzaak
van een uniform kader op risicobeheersing, maar heeft
dit nog niet ingevuld. Af en toe
wordt er gereageerd op risico’s. De processen zijn meestal
mondeling afgestemd. Ze zijn
daarnaast veelal inconsistent
en dekken niet alle risico’s af.
Controledoelstellingen zijn niet
geformaliseerd.
De visie op risicobeheersing is
gedocumenteerd voor rechtmatig en doelmatig declareren en
medewerkers zijn op de hoogte
van een visie op risicobeheersing inclusief controledoelstellingen. Het risico beheersingskader is geformaliseerd en de
bedoeling is dat iedereen zich
eraan houdt. Risicobeheersing
is als zodanig onderdeel van de
bedrijfsvoering. Bij het opstellen en veranderen van processen wordt rekening gehouden
met het risico beheersingskader.
Er is een breed gedragen risico beheersingskader voor
rechtmatig en doelmatig declareren. Periodiek wordt beoordeeld of deze aansluit bij de
controledoelstellingen van de
organisatie. De integratie van
risicobeheersing in de bedrijfsprocessen is consistent. Aan
relevante medewerkers wordt
regelmatig gecommuniceerd
over de visie op risicobeheersing. Monitoring is geborgd door
de interne controlefunctie. Deze
verzorgt periodiek rapportages
over de uitkomsten van deze
activiteiten.
Er is een duidelijke visie op risicobeheersing voor rechtmatig
en doelmatig declareren, deze
wordt periodiek getoetst aan
de specifieke controledoelstellingen van de organisatie die op
basis van kans en impact zijn
afgestemd met de zorgfinanciers. Het kader is geborgd in
het integrale risicomanagement
en als zodanig breed gedragen binnen de organisatie. Alle
medewerkers zijn zich bewust
van de risicokaders. Op basis
van een PDCA-cyclus (Plan,
Do, Check, Act) is monitoring
geborgd, is er sprake van een
continu verbeterproces en kan
de organisatie over de werking
zowel intern als extern communiceren.
54
1
2
3
4
5
6
4.2.1 IDENTIFICATIE EN BEOORDELING | Identificatie van risico’s PRSADI Toezicht in de zorg
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Belangrijke risico’s binnen de
PRSADI keten worden nauwelijks geïdentificeerd. Bovendien vindt het vaststellen
van de kans en impact van
risico’s die wel worden geïdentificeerd plaats op basis
van ervaring en voortschrijdend inzicht, niet op basis
van een consistente methodologie. Over het algemeen
identificeert de organisatie
gebeurtenissen niet als specifieke potentiële risico’s of
kansen.
De organisatie identificeert risico’s of kansen binnen de PRSADI keten op basis van eerdere
ervaringen met onverwachte
gebeurtenissen. Er wordt incidenteel een externe adviseur
betrokken, maar uitsluitend in
reactie op en nooit in aanloop
naar gebeurtenissen. Het vaststellen van kans en impact vindt
vooral plaats op basis van ervaring en voortschrijdend inzicht,
soms in zekere mate ook op
basis van eenvoudige methodologie.
Er is voldoende knowhow om
risico’s en kansen binnen de
PRSADI keten te herkennen. Het
proces voor het identificeren
van risico’s is gericht op het
schetsen van duidelijke verbanden tussen de (controle) doelstellingen en bijbehorende risico’s. Dit wordt regelmatig met
een externe deskundige besproken. Het expliciet vaststellen
van kans en impact vindt plaats.
Kansen en risico’s binnen de
PRSADI keten worden proactief
geïdentificeerd door middel van
risicostratificatie, bijvoorbeeld
op basis van omzetsegmentatie.
Relevante experts beoordelen
de gebeurtenissen en distilleren hier zinvolle informatie uit.
Kwalitatieve en kwantitatieve
methoden en technieken worden regelmatig kritisch doorgelicht en beoordeeld op efficiëntie en effectiviteit. In het kader
van horizontaal toezicht worden de meest relevante risico’s
afgestemd met de zorgfinancier(s).
Het identificeren en onderscheiden van risico’s en kansen
binnen de PRSADI keten is gebaseerd op best practices en het
gebruik van geavanceerde concepten en technieken voor risicobeheer rondom het voldoen
aan wet- en regelgeving. Het
proces voor het vaststellen van
kans en impact wordt kritisch
vergeleken met best practices
(in de branche). De organisatie
is in staat zich aan te passen
aan veranderende omgevingsfactoren zonder vertraging voor
de organisatie of het beheer
van risico’s rondom het voldoen
aan wet- en regelgeving. In het
kader van horizontaal toezicht
worden de meest relevante risico’s afgestemd met de zorgfinancier(s).
55
1
2
3
4
5
6
4.2.2 IDENTIFICATIE EN BEOORDELING | Risico prioritering en scoping PRSADI
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er is geen (directe) relatie
tussen de compliance strategie en de risico prioritering
en scoping binnen de PRSADI
keten. De risicobereidheid
van de organisatie is onduidelijk. Door het ontbreken
van een beleid met betrekking tot risico prioritering en
scoping, worden risico’s ad
hoc aangevlogen en er wordt
geen kans en impactanalyse
uitgevoerd.
De risicobereidheid van de organisatie m.b.t de PRSADI keten is
gebaseerd op incidenten in het
verleden. Informeel is dit vastgelegd in beleid. De grootste
risico’s krijgen prioriteit, maar
kleine(re) risico’s worden ad hoc
opgelost. Slechts zelden wordt
de kans en impact van een risico gemeten. De organisatie
begrijpt het nut van risico prioritering en scoping, maar kan dit
nog niet systematisch kwantificeren.
De risico prioritering en scoping
binnen de PRSADI keten is vastgesteld op basis van de compliance strategie en controledoelstellingen en verwerkt in een
risicomatrix met risico’s gekoppeld aan controledoelstellingen.
Er is een geformaliseerd beleid
waarin de risicobereidheid van
de organisatie binnen de PRSADI keten (voor zover mogelijk)
is gedocumenteerd. Wanneer
risico’s zich voordoen, wordt er
op basis van een consistente
aanpak een kans en impactanalyse gemaakt. Periodiek wordt
geanalyseerd of het beleid nog
actueel is.
In de compliance strategie is
vastgelegd wat de risicobereidheid van de organisatie in de
PRSADI keten is. Er is een beleid
opgesteld, gedocumenteerd en
gecommuniceerd. Risico’s zijn
gerangschikt naar mate van
kans en impact in een periodiek
onderhouden risicomatrix met
risico’s gekoppeld aan controledoelstellingen. Een verantwoordelijke is aangesteld om te monitoren of alle relevante risico’s
actueel in kaart zijn gebracht en
gekoppeld zijn aan de controledoelstellingen.
Op basis van de compliance
strategie zijn de risicobereidheid en controledoelstellingen
gedocumenteerd en gecommuniceerd met interne en externe stakeholders (bijvoorbeeld
zorgfinanciers). Er is een geformaliseerd beleid waarin de risicomatrix met risico’s gekoppeld
aan controledoelstellingen van
de organisatie binnen de PRSADI keten is gedocumenteerd
en afgestemd met zowel interne als externe stakeholders.
Voor de kans en impactanalyse
wordt gebruik gemaakt van een
dashboard. De PDCA-cyclus
(Plan, Do, Check, Act) borgt een
continu verbeterproces en leidt
waar nodig tot aanpassing van
het beleid.
56
1
2
3
4
5
6
4.3.1 RISICOBEHEERSING | Inrichting control framework met beheersmaatregelen PRSADI
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Beheersmaatregelen binnen
de PRSADI keten zijn niet
gedefinieerd en informatie
hierover is gefragmenteerd
en vaak niet actueel. Er is
geen integratie met de bedrijfsvoering of geautomatiseerde beheersmaatregelen
van IT-systemen. Wel begint
de organisatie te begrijpen
wat de voordelen zijn van het
structureel vastleggen van
deze beheersmaatregelen in
control framework.
De organisatie begrijpt wat de
voordelen zijn van het verankeren van een risk & control
framework in de bedrijfsvoering
en plannings- en beheersingscyclus binnen de PRSADI keten.
De beheersingsactiviteiten zijn
nog niet gedocumenteerd.
Het risk & control framework
binnen de PRSADI keten is gedefinieerd en gedocumenteerd.
De beheersactiviteiten zijn een
onderdeel van de primaire operationele en ondersteunende
processen. IT-oplossingen,
waaronder daily auditingtools,
worden ingezet om beheersactiviteiten te monitoren.
Het risk & control framework
binnen de PRSADI keten is gedefinieerd en gedocumenteerd
en wordt periodiek geactualiseerd binnen de organisatie.
De onderliggende IT-systemen,
waaronder daily auditingtools,
worden in toenemende mate
gebruikt voor de monitoring
& testing van consistente beheersmaatregelen. Uitkomsten
hiervan leveren waardevolle
gegevens en managementinformatie op, waarop wordt gestuurd en de waar de feedbackloop naar de eerste lijn steeds
mee wordt gevoed. De organisatie kent adequate General IT
Controls ter ondersteuning van
deze processen.
Het proces voor het bijhouden
en bijwerken van het risk &
control framework binnen de
PRSADI keten wordt voortdurend verbeterd en afgestemd
met zowel interne als externe
stakeholders. Het inrichten en
evalueren van het risk & control
framework wordt ondersteund
door besluitvormingsmethodologie en/of softwaretoepassingen. De beheersactiviteiten
worden kritisch vergeleken met
best practices (in de branche).
De organisatie maakt optimaal
gebruik van IT-oplossingen en
aantoonbaar toereikende
General IT Controls.
57
1
5
2
3
4
5
6
Monitoring en testing
5.1 Methodologie
5.1.1 Methode en aanpak
5.2 Opvolging, escalatie en communicatie
5.2.1 Opvolging en escalatie
5.2.2 Interne communicatie
5.2.3 Externe communicatie
58
1
2
3
4
5
6
5.1.1 METHODOLOGIE | Methode en aanpak
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Hoewel het management
mogelijk wel de noodzaak
van monitoring en testing
erkent, is hier geen proces
voor. De methodologie voor
monitoring en testing (inclusief materialiteit) wordt
selectief gekozen, al naar
gelang de behoeften van
specifieke projecten en processen. Toetsing is een reactieve exercitie om gegevens
te verzamelen over gebeurtenissen uit het verleden die
mogelijk tot schade hebben
geleid.
Er zijn methoden en technieken
beschikbaar voor de beoordeling van rechtmatig en doelmatig declareren, deze worden
echter niet door de organisatie
consequent toegepast. De vereisten van stakeholders zijn
impliciet bekend. Gegevensverzameling wordt opgepakt door
individuele medewerkers op basis van eerdere ervaring, niet op
basis van een formeel proces.
Een algemeen niveau van materialiteit is niet gedefinieerd.
Het management heeft voor
de hele organisatie standaard
processen voor monitoring en
testing verspreid en geïnstitutionaliseerd. De vereisten van
stakeholders worden gecategoriseerd en op juiste wijze opgepakt. De methode voor monitoring is gedefinieerd, inclusief
een algemeen materialiteitsniveau. Tools worden gedefinieerd
en binnen de hele organisatie
gebruikt. Er is een plan van aanpak voor het verzamelen van
informatie. De voordelen van
een geïntegreerde aanpak zijn
bekend.
Binnen alle processen vindt
integratie van cijfers en data
plaats. De vereisten van stakeholders zijn beoordeeld en geïntegreerd in de algemene definities. Binnen de hele organisatie
worden geautomatiseerde oplossingen gebruikt om informatie te verzamelen en processen
te bewaken. Het management
beoordeelt de prestaties op basis van overeengekomen criteria
met de verschillende stakeholders (inclusief materialiteit).
De organisatie heeft een continue verbeterproces ingeregeld
voor de beoordeling en monitoring van rechtmatig en doelmatig declareren. Alle processen
voor monitoring zijn geoptimaliseerd en ondersteunen de vereisten van stakeholders. Procesbewaking en -verbetering
zijn onderdeel van organisatie
brede procesverbeterplannen.
Benchmarking met de branche
en belangrijke concurrenten
gebeurt regelmatig en met een
goed begrip van de vergelijkingscriteria.
59
1
2
3
4
5
6
5.2.1 OPVOLGING, ESCALATIE EN COMMUNICATIE | Opvolging en escalatie
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er zijn geen processen of relevante activiteiten om vervolg te geven aan eventuele
resultaten van monitoring en
testing, of deze te escaleren.
Als relevante informatie al
wordt opgevolgd, gebeurt dit
ad hoc.
Er is een informeel proces om
vervolg te geven aan resultaten
van monitoring en testing, of
deze te escaleren. Dit proces is
gebaseerd op ongecoördineerde activiteiten voor monitoring
en testing.
Er is een formeel, gedocumenteerd, gecommuniceerd en adequaat functionerend proces om
vervolg te geven aan resultaten
van monitoring en testing, of
deze te escaleren. Er vindt uitgebreide monitoring van processen plaats, maar dit bestrijkt
mogelijk niet de hele organisatie.
Er is een formeel, gedocumenteerd, gecommuniceerd en effectief functionerend proces om
vervolg te geven aan resultaten
van monitoring en testing, of
deze te escaleren. Alle relevante KPI’s worden bewaakt.
De organisatie bewaakt en
toetst alle belangrijke KPI’s en is
in staat de eigen bedrijfsvoering
en bedrijfsprocessen voortdurend te verbeteren en verfijnen.
5.2.2 OPVOLGING, ESCALATIE EN COMMUNICATIE | Interne communicatie
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Rapportage vindt doorgaans
uitsluitend naar aanleiding
van incidenten plaats. Het
is niet duidelijk welke eisen
stakeholders stellen aan
managementinformatie. Informatieverschaffing over
problemen gebeurt ad hoc.
Rapportage vindt plaats, maar
niet volgens een vastgelegd
proces. Rapportage gebeurt
mogelijk onregelmatig en onvolledig. De eisen die stakeholders stellen zijn tot op zekere
hoogte bekend. De noodzaak
van transparantie wordt in de
organisatie begrepen, maar nog
niet goed gecommuniceerd.
Informatieverschaffing over
problemen gebeurt naar het
oordeel van individuele medewerkers.
Er is een gedocumenteerd rapportageproces, wat echter mogelijk niet in alle kwesties en
zaken voorziet. In principe functioneert het, maar het proces is
niet volledig effectief en efficiënt. Het rapportageproces staat
de organisatie ter beschikking
en wordt effectief gecommuniceerd. De communicatiestrategie is gebaseerd op interne
standpunten over de wenselijkheid van transparantie.
Rapportage vindt plaats op
overeengekomen wijze en volgt
een standaard en periodiek proces. Ook bestaat er een proces
om rapportagenormen te evalueren en aan eisen van stakeholders te voldoen. De mate van
transparantie is gebaseerd op
eisen van stakeholders en in lijn
met de bedrijfsstrategie.
De frequentie van rapportage
is gebaseerd op voortdurende
communicatie tussen alle relevante stakeholders. Rapportagenormen worden bijgewerkt
op basis van een voortdurend
aangescherpt proces om maximale transparantie, duidelijkheid en vergelijkbaarheid met
best practices uit de branche
mogelijk te maken. Transparantie vormt onderdeel van de bedrijfsstrategie.
60
1
2
3
4
5
6
5.2.3 OPVOLGING, ESCALATIE EN COMMUNICATIE | Externe communicatie
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Externe rapportage naar de
zorgfinancier vindt slechts
plaats naar aanleiding van
incidenten en mismatches in
het systeem. Voor de organisatie is het niet duidelijk wat
de eisen zijn van de zorgfinancier(s) rondom de informatieverschaffing. Externe
communicatie vindt dan ook
ad hoc plaats.
Externe rapportage vindt
plaats, maar niet volgens een
vast proces. De zorgfinancier
ontvangt niet stelselmatig juiste en volledige informatie. Tot
op een zekere hoogte, zijn de
eisen die de zorgfinancier aan
informatie stelt, bekend. De organisatie erkent de noodzaak
van een juiste en volledige informatieverschaffing in het kader van horizontaal toezicht in
de zorg, maar heeft dit nog niet
effectief gecommuniceerd.
Er bestaat een gedocumenteerd
rapportageproces, echter is dit
niet uitgebreid genoeg van aard.
De zorgfinancier ontvangt informatie, maar niet op een tijdige
manier. De eisen die de zorgfinancier stelt aan informatieverschaffing, is bekend en er wordt
hiernaar gehandeld.
De rapportage richting de zorgfinancier vindt plaats op een
gestructureerde en efficiënte
manier. Informatieverschaffing
vindt plaats op een tijdige en
juiste manier. Het rapportageproces is uitgebreid en wordt
aangepast bij incidenten. Bewustwording bestaat binnen de
gehele organisatie rondom externe rapportage.
Voortdurende communicatie
met externe stakeholders, zoals
de zorgfinanciers, zorgt voor
een effectieve en efficiënte
communicatie. De eisen voor
informatieverschaffing zijn bekend en wordt op een juiste en
volledige wijze ingevuld door
de organisatie. In de strategie is
rekening gehouden met informatieverschaffing naar externe
stakeholders en hier wordt dan
ook uitgebreid over gerapporteerd in het jaarverslag. Processen zijn gedocumenteerd
en gecommuniceerd en worden
aangepast bij veranderende
omstandigheden.
61
1
2
3
4
5
6
6
Assurance
6.1 Verbijzonderde interne controle
6.1.1 Methodologie, werkprogramma, rapportage en feedbackloop
6.1.2 Opvolging, escalatie en communicatie
6.2 Externe Assurance
6.2.1 Methode en aanpak
62
1
2
3
4
5
6
6.1.1 VERBIJZONDERDE INTERNE CONTROLE | Methodologie, werkprogramma, rapportage en feedbackloop
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Hoewel het management
mogelijk wel de noodzaak
van een verbijzonderde interne controle erkent, is hier
geen proces voor. Het toepassen van een verbijzonderde interne controle wordt
selectief gekozen, al naar gelang de behoeften van specifieke projecten en processen.
(Toetsing is een reactieve
exercitie om gegevens te
verzamelen over gebeurtenissen uit het verleden die
mogelijk tot schade hebben
geleid).
Hoewel er methoden en technieken voor verzameling en
beoordeling beschikbaar zijn,
worden deze niet door de organisatie toegepast. De vereisten
van stakeholders zijn impliciet
bekend. Gegevensverzameling
wordt opgepakt door individuele medewerkers op basis van
eerdere ervaring, niet op basis
van een formeel proces. Een algemeen niveau van materialiteit
en de omvang van de daarbij
behorende testing, is niet gedefinieerd (deelwaarnemingen/
dossieronderzoeken).
Het management heeft standaard opdrachten voor verbijzonderde interne controle
geformuleerd. De eisen van
stakeholders worden gecategoriseerd en meegenomen in
het interne controleplan. De
methode voor verbijzonderde
interne controle is gedefinieerd
inclusief een algemeen materialiteitsniveau.
Bij verbijzonderde interne controle worden alle relevante
cijfers en data geïntegreerd (op
basis van GRC tooling) en ziet
op zowel rechtmatigheid als
doelmatigheid. Er vindt afstemming plaats tussen de zorgadministratie en de verbijzonderde interne controlefunctie. De
eisen van stakeholders worden
gecategoriseerd, geëvalueerd
en geïntegreerd in de opdrachten. Opdrachten opvolging te
geven aan negatieve bevindingen is onderdeel van de standaardprocedure.
De organisatie heeft een proces
voor continue verbetering ontwikkeld om toezicht te houden
op het functioneren van belangrijke beheersmaatregelen en
invoeren van best practices uit
de branche, dit betreft zowel
rechtmatigheid als doelmatigheid. Alle processen ten aanzien
van de (verbijzonderde) interne
controle en in de lijn (inclusief
GRC tooling) zijn geoptimaliseerd en ondersteunen de vereisten van stakeholders. Procesbewaking en -verbetering
zijn onderdeel van organisatie
brede procesverbeterplannen.
Benchmarking met de branche
en belangrijke concurrenten
gebeurt regelmatig en met een
goed begrip van de vergelijkingscriteria.
63
1
2
3
4
5
6
6.1.2 VERBIJZONDERDE INTERNE CONTROLE | Opvolging, escalatie en communicatie
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
Er zijn geen processen of
relevante activiteiten om uitkomsten van interne controle te rapporteren. Relevante
informatie wordt ad hoc gedeeld.
Er is een proces om opvolging
te geven aan de uitzonderingen
geconstateerd tijdens de interne controle werkzaamheden.
Het opvolgen van deze uitkomsten volgt geen standaardprocedure. Opvolgingstrajecten
worden gestart, maar doorgaans alleen wanneer hier tijd
voor is.
Er is een formeel, gedocumenteerd, gecommuniceerd en adequaat functionerend proces om
vervolg te geven aan resultaten
van interne controle uit het risk
& control framework.
Er is een formeel, gedocumenteerd, gecommuniceerd en effectief functionerend proces om
opvolging te geven aan resultaten van interne controle. Alle
gedefinieerde elementen uit het
risk & control framework worden bewaakt.
De organisatie bewaakt en
toetst alle belangrijke elementen uit het risk & control
framework en is in staat de
eigen bedrijfsvoering en bedrijfsprocessen voortdurend tot
verbetering te laten leiden en
hierover met stakeholders gestructureerd (middels GRC
tooling) te communiceren.
6.2.1 EXTERNE ASSURANCE | Methode en aanpak
Initieel
Informeel
Gestandaardiseerd
Beheerd
Geoptimaliseerd
De accountant verricht alleen gegevensgerichte werkzaamheden in het kader van
de jaarrekeningscontrole.
De accountant neemt kennis
van de Horizontaal Toezicht
processen in het kader van de
jaarrekeningcontrole, maar kan
hierop niet steunen.
De accountant rapporteert aan
de zorgaanbieder over de opzet
en verbeterpunten (n.a.v. een
nulmeting) van de Horizontaal
Toezicht processen.
De accountant verstrekt alleen
assurance over op de door de
zorginstelling zelf gekozen specifieke controledoelstellingen in
het kader van Horizontaal Toezicht in de zorg.
Afhankelijk van de behoefte van
zorgfinancier(s) en zorgaanbieder verleent de accountant
assurance (COS 3000) over de
opzet, bestaan en/of werking
van de met de zorgfinancier(s)
afgestemde Horizontaal Toezicht processen.
64
Control Framework
65
Control Framework
Inleiding
Relatie met implementatiestrategie
Het Control Framework is een gestructureerd beheersingskader dat in
de praktijk de uitvoering van Horizontaal Toezicht faciliteert. Het maakt
de dialoog mogelijk tussen een zorgaanbieder en de representerende
zorgverzekeraar over de vraag of met de interne beheersing de onderkende
beheersingsdoelstellingen voor het rechtmatig registreren en declareren
van zorg in toereikende mate wordt gehaald.
Dit framework wordt toegepast door instellingen die zich bevindingen
in de implementatiefase (fase D implementatiestrategie) of in
de verantwoordingsfase (fase E implementatiestrategie). In de
implementatiefase doorloopt de instelling de eerste 5 processtappen uit
het Control Framework. De overgang naar processtap 6 is tegelijk ook de
overgang naar fase E uit te implementatiestrategie en dus de overgang naar
Horizontaal
Toezicht.
Uitrol binnen een instelling
Inhoud
In het Control Framework worden de beheersingsdoelstellingen, de
bijbehorende risico’s en beheersingsmaatregelen opgenomen. Het doel
is om op een uniforme wijze hierover verantwoording af te leggen in
de keten. Om de zorgverzekeraars voldoende zekerheid te bieden ten
behoeve van hun verantwoording verder in de keten is assurance een
sluitstuk, zodat de wettelijke controletaken vanuit de verzekeraars zijn
geborgd. Assurance is complementair om de Horizontaal Toezicht relatie (gefundeerd vertrouwen) te faciliteren, maar niet het startpunt van
Horizontaal Toezicht. Immers niet het verkrijgen van assurance maar
het stevig inregelen van de dialoog is tenslotte de ruggengraat van HT.
Het Control Framework beschrijft de processtappen die een instelling,
verzekeraar en een assurance provider moeten zetten om Horizontaal
Toezicht in de praktijk vorm te geven.
Een aantal processtappen worden vanuit het landelijk platform
Horizontaal Toezicht ondersteund met een specifiek product.
Er zijn zes processtappen gedefinieerd:
1
2
3
4
5
6
Benoemen van beheersingsdoelstellingen
Identificeren van risico’s
Uitvoeren risicoanalyse
Bepalen beheersingsmaatregelen
Beoordelen opzet van de beheersingsmaatregelen
Verantwoorden over opzet, bestaan en werking.
VERKENNINGSFASE
INVENTARISATIESFASE
VERBETERFASE
IMPLEMENTATIEFASE
VERANTWOORDINGSFASE
afweging maken op
basis van businesscase
toetsing van
geschiktheid op basis
van instapmodel
verbetertraject
n.a.v. bevindingen
instapmodel
invoering Control
Framework &
Horizontaal Toezicht in
de praktijk beoefenen
verantwoording op
basis van aantoonbaar
werkzaam en effectief
Horizontaal Toezicht
ZORGAANBIEDER
ZORGAANBIEDER
ZORGAANBIEDER
ZORGAANBIEDER
ZORGAANBIEDER
ZORGVERZEKERAAR
ZORGVERZEKERAAR
ZORGVERZEKERAAR
ZORGVERZEKERAAR
(validatie)
(validatie)
1 - 2 MAANDEN
1 - 12 MAANDEN
B
C
0 - 1 MAAND
A
ACCOUNTANT
12 - 24 MAANDEN
D
Initiele fase 6-12 MND
Structurele fase >>>
E
4
Wanneer een instelling eenmaal de stap heeft gemaakt naar de
verantwoordingsfase (fase E implementatiestrategie) worden de
processtappen 1 t/m 6 uit het Control Framework jaarlijks toegepast. Het
Control Framework blijft dus continue van toepassing als vast onderdeel
binnen de bedrijfsvoering van de instelling.
66
1
Benoemen van
beheersingsdoelstellingen
2
Identificeren
van risico’s
3
Uitvoeren risicoanalyse
4
Bepalen
beheersingsmaatregelen
5
Beoordelen opzet van
de beheersingsmaatregelen
6
Verantwoorden over opzet,
bestaan en werking
67
1 1
Benoemen Benoemen
van
van
beheersingsdoelstellingen
beheersingsdoelstellingen
Binnen de context van de door de instelling geformuleerde missie of visie,
formuleert het management van een instelling strategische doelstellingen.
Vervolgens worden er beheersingsdoelstellingen geformuleerd en richt de
instelling zich op een cyclus van sturen en beheersen, verantwoorden en toezicht.
De primaire processen van instellingen zijn op hoofdlijnen vergelijkbaar en
moeten voldoen aan de vigerende wet- en regelgeving en landelijke afspraken. Als handvat is daarom landelijk een aantal beheersingsdoelstellingen
uitgewerkt. Deze set aan beheersingsdoelstellingen is dynamisch en wordt
periodiek onderhouden door het landelijke platform Horizontaal Toezicht.
De hoofddoelstelling voor de instelling in het kader van Horizontaal Toezicht
is om rechtmatige declaraties aan de zorgverzekeraar of patient aan te
bieden. Bij de totstandkoming van een declaratie spelen diverse registratieprocessen een rol. Ieder proces kent zijn eigen beheersingsdoelstellingen en
bijbehorende risico’s die beheerst moeten worden om een rechtmatige declaratie te waarborgen. Dit zal per zorginstelling verschillend zijn.
De eerste stap in het Control Framework is om op grond van wet- en regelgeving en de specifieke situatie van het ziekenhuis de van toepassing zijnde beheersingsdoelstellingen te benoemen. Deze beheersingsdoelstellingen hebben betrekking op de activiteiten rondom rechtmatige declaraties, gebaseerd
op juiste, tijdige en volledige registraties van de instelling.
68
22
Identificeren
Identificeren
van risico’svan risico’s
De beheersingsdoelstellingen worden bedreigd door risico’s binnen
en tussen processen. Na de selectie van beheersingsdoelstellingen
worden de voor de instelling van toepassing zijnde risico’s geselecteerd.
Om ook dat proces te faciliteren zijn aan de set met landelijke
beheersingsdoelstellingen ook generieke bruto risico’s toegevoegd.
Deze generieke risico’s worden zo nodig verder uitgewerkt of
aangevuld op basis van de instelling specifieke situatie. Ook zullen
regelmatig instellingspecifieke risico’s van toepassing zijn bij een
beheersingsdoelstelling die niet opgenomen staat in de landelijke
brutolijst. Horizontaal Toezicht is maatwerk en het is van groot belang dat
dergelijke risico’s door de instelling worden geidentificeerd.
Jaarlijks stelt een instelling een controleplan op (bijvoorbeeld op basis
van het Plan-Do-Check-Act principe), met daar in opgenomen een
inventarisatie van de risico’s behorende bij de van toepassing zijnde
beheersingsdoelstellingen.
Ook de landelijke lijst met generieke bruto risico’s zal jaarlijks
geactualiseerd worden op basis van onder meer wijzigingen in wet- en
regelgeving en informatie van instellingen, zorgverzekeraars en overige
stakeholders zoals de NZa.
Actualisatie landelijke lijst
Het landelijk platform Horizontaal Toezicht, bestaande uit vertegenwoordigers van de koepelorganisaties (ZN, NFU, NVZ), wordt verantwoordelijk voor het actualiseren van alle HT-producten waaronder de
landelijke lijst met beheersingsdoelstellingen en risico’s.
Zie implementatiestrategie.
Een belangrijk aandachtspunt hierbij is de volledigheid van de lijsten. De
volledigheid dient geborgd te worden door een brede vertegenwoordiging
vanuit de achterban in het landelijk platform en door het actief ophalen
van informatie uit het veld. De landelijke lijsten wordt jaarlijks vastgesteld
door de besturen van de drie koepels. De jaarlijkse update dient tijdig, voor
aanvang van het nieuwe declaratiejaar, bekend te zijn.
Bronnen voor de landelijke risicolijst zijn de beleidsregels en nadere regels van de NZa, uitkomsten van het zelfonderzoek, Dot Controle Module,
retourinformatie, individuele controles zorgverzekeraar, eigen controles
zorgaanbieders, NOREA, declaratiestandaarden (VECOZO), signalen van de
Nederlandse Zorgautoriteit en duidingen of signalen van het Zorginstituut
Nederland.
Het jaarlijkse actualisatie proces zal als volgt worden ingericht:
• 1/1 Start jaar T
• 1/3 Instellingen verantwoorden over jaar T-1
• 1/4 Landelijk platform start met voorbereiding actualisatie landelijke lijst (teams samenstellen, inplannen sessies en besluitvorming,
verzamelen input vanuit ervaringen tot dan toe)
• 1/5 NZa publiceert nieuwe regelgeving T+1
• 1/5 Start actualisatie landelijk lijst
• 1/9 Concept lijst T+1 bekend
• 1/10Definitieve lijst T+1 vastgesteld
69
3
Uitvoeren risicoanalyse
De risicoanalyse moet op een frequente en gestructureerde wijze plaatsvinden. Een instelling kan bijvoorbeeld elke twee jaar een diepgaande analyse
doen en minimaal jaarlijks een update uitvoeren.
De van toepassing zijnde risico’s worden door de instelling geclassificeerd in
de categorieën: hoog, midden en laag. De risico’s worden gewogen op basis
van kans en impact, waarbij mede gebruik wordt gemaakt van controle-informatie van zorgverzekeraars, instellingen en overige externe bronnen. De
afweging kan kwalitatief of kwantitatief van aard zijn:
- Kwantitatief: Op basis van onder andere omzetstromen, benchmark analyses en fouten vanuit het verleden.
- Kwalitatief: Imagorisico’s, risico van noncompliance, invloed verantwoordingen zorgverzekeraars (bijvoorbeeld diagnosecodes), verandering in- en
externe omgeving (nieuw EPD, fusie, etc.) en wijzigingen in wet- en regelgeving.
Zowel de kwantitatieve als de kwalitatieve factoren worden meegenomen bij
het proces van risicoclassificering. De laag geclassificeerde risico’s worden,
gegeven een bepaald minimaal volwassenheidsniveau, in een bepaalde mate
ondervangen in de bedrijfsvoering (bijvoorbeeld eerste en tweede lijns beheersingsmaatregelen) van de instelling, zoals opgenomen in het instapmodel.
Er zijn meerdere manieren om risico’s te wegen. Dit kan bijvoorbeeld met behulp van een vijfpuntenschaal, maar ook andere methoden kunnen worden
toegepast. De methodiek wordt in onderling overleg tussen de instelling en
zorgverzekeraar bepaald.
Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten
binnen het Control Framework om zo eenduidige toepassing van het Control
Framework te borgen. Het beoordelen van de risicoanalyse is zo’n go/no go
moment. De go/no go bij deze processtap wordt na hoor en wederhoor met
de tweede zorgverzekeraar afgegeven door de representerende zorgverzekeraar.
70
Vijfpuntenschaal
De vijfpuntenschaal is een voorbeeldmethode om risico’s te wegen.
Deze weging vindt plaats voor zowel de kans als impact.
Kans
1. Zeer lage kans van optreden 2. Lage kans van optreden 3. Gemiddelde kans van optreden 4. Hoge kans van optreden 5. Zeer hoge kans van optreden Kwantificeerbare impact
1. Zeer lage impact
2. Lage impact
3. Gemiddelde impact
4. Hoge impact
5. Zeer hoge impact
IMPACT
X
Niet kwantificeerbare impact voor bijvoorbeeld reputatie/kwaliteit
1. Zeer lage impact
(Verwaarloosbaar)
2. Lage impact
(tijdelijk verminderd publiek vertrouwen
via lokale media)
3. Gemiddelde impact
(langdurig verminderd publiek vertrouwen via lokale media)
4. Hoge impact
(Tijdelijk verminderd publiek vertrouwen
via nationale media)
5. Zeer hoge impact
(Langdurig verminderd publiek vertrouwen via nationale media)
(Jaarlijks)
(Maandelijks)
(Wekelijks)
(Dagelijks)
(Meerdere keren per dag)
( <0,01% van de omzet)
(tussen 0,01% en 0,05% van de omzet)
(tussen 0,05% en de 0,1% van de omzet)
(tussen 0,1% en 1 % van de omzet)
( >1% van de omzet)
KANS
1
2
3
4
5
2
4
6
8
10
3
6
9
12
15
4
8
12
16
20
5
10
15
20
25
De kans maal de impact leidt tot de
risicoscore. De risicoscore is vervolgens
Middel (5 t/m 14) gekoppeld aan een risico classificatie
van laag, midden of hoog. Hiernaast een
Hoog (15 t/m 25) voorbeeld matrix.
Laag 1 t/m 4
71
44
Bepalen van
Bepalen
beheersingsmaatregelen
beheersingsmaatregelen
Het Control Framework gaat uit van een procesgerichte benadering van
beheersingsmaatregelen vanuit het principe van het three lines-of-defence
model. De keuze voor de aard en het type beheersingsmaatregel is aan de
instelling. Het doel is om aantoonbaar de beheersingsdoelstelling op orde te
hebben. Logischerswijs zijn de hoge en midden risico’s relevant in de beoordeling van het in control zijn op de individuele beheersingsdoelstelling.
Het ziekenhuis kan ook kiezen voor gegevensgerichte beheersingsmaatregelen zoals compenserende gegevensgerichte maatregelen bij ontoereikende
procesgerichte beheersingsmaatregelen. Er zijn diverse tools beschikbaar die
gegevensgerichte interne controles mogelijk maken. In bijzondere situaties
zou een instelling een beroep kunnen doen op de representerende zorgverzekeraar om de controle door de zorgverzekeraar te laten uitvoeren. Dit zal met
name gelden voor controles waarbij informatie nodig is van de zorgverzekeraar, zoals U-bocht controles.
In deze stap koppelt de instelling zijn beschreven beheersingsmaatregelen
aan de gedefinieerde beheersingsdoelstellingen en bijbehorende risico’s.
Hierbij zal de aandacht uitgaan naar de hoge en midden risico’s. Bij de beschrijving van de beheersingsmaatregelen dient de instelling aan te geven
welke controleactiviteiten waar, wanneer, hoe en met welke frequentie
worden uitgevoerd en in welke line of defence (eerste, tweede, derde) de betreffende beheersingsmaatregelen zitten die de risico’s in het proces ondervangen. Beleid en procedures worden door een instelling opgesteld, onderhouden en geïmplementeerd om zo de benodigde beheersingsmaatregelen te
verankeren.
Randvoorwaardelijk voor het borgen van de juiste en volledige dataverwerking zijn general IT controles. Ook hiervoor geldt het principe van aantoonbaar in control zijn op deze beheersingsmaatregelen.
72
5
Beoordelen opzet van
de beheersingsmaatregelen
De voorgaande processtappen leiden tot een ingevuld beheersingskader
van beheersingsdoelstellingen, risico’s en beheersingsmaatregelen. Na deze
stappen volgt de dialoog tussen de instelling en de zorgverzekeraar over de
vraag of de onderkende beheersingsmaatregelen de risico’s in toereikende
mate ondervangen en of de instelling daarmee op het niveau van de beheersingsdoelstelling ‘in control’ is. Blijkt uit deze stap dat bestaande maatregelen ontoereikend zijn om de risico’s te mitigeren en daarmee de doelstellingen
te borgen dan zal de instelling eerst aanvullende maatregelen moeten implementeren en deze stap opnieuw met de zorgverzekeraar doorlopen.
Bij de beoordeling van opzet van de beheersingsmaatregelen richt de zorgverzekeraar zich op de midden en hoge risico’s. De mate van diepgang van de
werkzaamheden is afhankelijk van de mix van beheersingsmaatregelen in
relatie tot de controledoelstellingen die je wilt bereiken.
Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten binnen
het Control Framework om zo eenduidige toepassing van het Control Framework te borgen. Het beoordelen van de opzet van de beheersingsmaatregelen
is zo’n go/no go moment. De go/no go bij deze processtap wordt na hoor en
wederhoor met de tweede zorgverzekeraar afgegeven door de representerende zorgverzekeraar.
73
6
Verantwoorden over opzet,
bestaan en werking
De instelling legt aantoonbaar en periodiek (jaarlijks) verantwoording af over
de mate waarin de beheersingsdoelstellingen zijn behaald. Gebruikmakend
van het Control Framework wordt dat gerealiseerd door aan te tonen dat in
opzet, bestaan en werking de gezamenlijk aangewezen beheersingsmaatregelen aanwezig zijn én effectief zijn.
•De opzet van een controle kan bijvoorbeeld door middel van een procedure
worden aangetoond.
• Voor het aantonen van het bestaan dient daarbij een voorbeeld te worden
overlegd.
• De effectieve werking dient door middel van een dataanalyse of een vooraf
overeengekomen aantal deelwaarnemingen verspreid over de werkingsperiode te worden aangetoond.
Om de werking aan te tonen zal de instelling gedurende het jaar de beheersingsmaatregelen moeten toetsen, zoals opgenomen in het afgestemde controleplan. De hoeveelheid benodigde deelwaarnemingen is afhankelijke van
de gemiddelde periodiciteit en het risico.
Restrisico’s
Onder restrisico wordt verstaan het overblijvende risico indien
beheersingsmaatregelen niet werken of ontbreken met als gevolg dat
het oorspronkelijke hoge risico onvoldoende wordt beheerst. Afhankelijk
van de omvang van het restrisico kan dit leiden tot compenserende
gegevensgerichte maatregelen die worden afgestemd met de
zorgverzekeraar met als doel het restrisico alsnog naar een acceptabel
(laag) niveau te krijgen. Op restrisico’s die als laag worden ingeschat,
hoeven geen compenserende gegevensgerichte maatregelen te worden
getroffen.
De term “restrisico” moet niet verward worden met de term “laag risico”
die voortkomt uit de risicoanalyse. Voor de lage risico’s uit de risicoanalyse
geldt dat, gegeven een bepaald minimaal volwassenheidsniveau, dit
in voldoende mate wordt ondervangen in de bedrijfsvoering van de
instellingen. De elementen hiervoor zijn opgenomen in het instapmodel.
Periodiek stelt de instelling een tussenrapportage op met de uitkomsten van
de toetsing en bespreekt deze met de zorgverzekeraar. Gedurende het verantwoordingsjaar wordt deze dialoog dus periodiek gevoerd om geconstateerde gebreken op passende wijze te adresseren, zodat na afloop van het
jaar geen onacceptabele onzekerheden overblijven.
74
Assurance
Uitgangspunten
Assurance in de keten
Zorgverzekeraars en zorgaanbieders hebben een gezamenlijke ketenverantwoordelijkheid voor de verantwoording van de zorgkosten. Dat
betekent dat alle partijen (ook de toezichthouder NZa) moeten kunnen
steunen op de werkzaamheden die in de gehele keten worden uitgevoerd.
De toereikendheid van de opzet van de beheersingsmaatregelen wordt
in onderling overleg tussen de representerende zorgverzekeraar en de
zorgaanbieder vastgesteld. De representerende zorgverzekeraar beoordeelt
bestaan en werking van de beheersingsmaatregelen op de midden en hoge
risico’s. Voor hoge risico’s zal ook de accountant worden ingeschakeld om de
werking van de beheersingsmaatregelen aan te tonen.
• De zorgaanbieder en zorgverzekeraar schatten samen de risico’s in op
hoog, midden of laag (processtap 3) en kijken gezamenlijk naar de opzet
van de beheersingsmaatregelen (processtap 5). In deze fases is er geen
accountantscontrole.
• De toereikendheid van de opzet van de beheersingsmaatregelen wordt
in onderling overleg tussen de representerende zorgverzekeraar en de
zorgaanbieder vastgesteld.
• De representerende zorgverzekeraar beoordeelt bestaan en werking
van de beheersingsmaatregelen op de midden en hoge risico’s.
• Voor hoge risico’s zal de accountant worden ingeschakeld om de
werking van de beheersingsmaatregelen aan te tonen. Daarbij is de
aanname dat de beheersing van de hoge risico’s ook zijn vruchten
afwerpt voor de beheersing van de overige risico’s.
• Er vindt dus één controle plaats (door de accountant) op basis
van een gezamenlijk opgestelde opdracht van zorgaanbieder en
zorgverzekeraar.
• Instellingen kunnen zelf een derde lijn inrichten waar de accountant
gebruik van kan maken. Indien deze derde lijn zelf ook een
assuranceverklaring kan afgeven is dat in bepaalde omstandigheden
toegestaan.
• Om van processtap 5 (beoordelen opzet beheersingsmaatregelen)
naar processtap 6 (verantwoordingsfase) te gaan dient de opzet en
het bestaan van de beheersingsmaatregelen op de hoge risico’s te
worden aangetoond en gerapporteerd. De eerste keer zal dit zijn door
middel van een COS 3000 type 1 verklaring of een rapportage van de
onafhankelijke derde lijn. Wanneer de instelling voor het eerst over
gaat naar processtap 6 is de instelling over op HT.
• In de reguliere jaarcyclus waarin de instelling de processtappen 1 t/m
6 jaarlijks doorloopt wordt over de beheersing van de hoge risico’s
jaarlijks een COS 3000 type 2 verklaring afgegeven.
Doelstelling
Assurance moet de zuivere dialoog tussen zorgaanbieder en
representerende zorgverzekeraar ondersteunen, het onderlinge vertrouwen
versterken en een bepaalde mate van zekerheid geven voor de andere
zorgverzekeraars (niet zijnde de representerende zorgverzekeraar). Ook
voor de toezichthouder NZa is assurance belangrijk in de verantwoording.
Type verklaringen
Een assurance-verklaring geeft een redelijke mate van zekerheid over:
• De betrouwbaarheid (juistheid, tijdigheid en volledigheid)
• Van de onderzochte registratie- en declaratiewerkzaamheden
• Op een afgesproken tijdstip (COS 3000 type 1) of over een afgesproken
werkingsperiode (COS 3000 type 2).
75
Jaarplanning
Het Horizontaal Toezicht Control Framework is een beheersingskader dat
verankerd wordt in de planning & control cyclus van de instelling en de
zorgverzekeraar. Jaarlijks keren de meeste activiteiten uit de stappen 1 t/m
6 terug. De benodigde capaciteit die gevraagd wordt zal voor een aantal
activiteiten wel sterk afnemen naarmate instelling en verzekeraar verder
Horizontaal Toezicht ingroeien. Wanneer processen van het ene op het
andere jaar niet veranderen hoeft de opzet niet steeds opnieuw te worden
beoordeeld. Ook de risico-classificatie zal steeds gemakkelijker worden.
Door de continue dialoog en verbeteringen van de beheermaatregelen zal
dit kunnen leiden tot verschuiving van risico’s van hoog naar laag. Uiteraard
kunnen ook nieuwe risico’s aan het licht komen.
76
www.horizontaaltoezichtzorg.nl
[email protected]
77
Download