Landelijke set producten Horizontaal Toezicht Zorg (versie 1.0 definitief) maart 2017 Voorwoord Onder de noemer Horizontaal Toezicht werkten NVZ, ZN en NFU aan één landelijk raamwerk om de controledruk en administratieve lasten in de zorgsector het hoofd te bieden. Naast een gezamenlijke visie en implementatiestrategie bevat dit raamwerk ook een aantal producten die de daadwerkelijke invoering gaan ondersteunen. Deze landelijke set aan producten is nu vastgesteld door de besturen van betrokken koepels. Bij Horizontaal Toezicht nemen zorgaanbieders en zorgverzekeraars gezamenlijk de verantwoordelijkheid voor een juiste besteding van de zorguitgaven. In plaats van gegevensgerichte controle achteraf werken partijen bij Horizontaal Toezicht samen om de rechtmatigheid van declaraties in de processen aan de voorkant te borgen. Dit is niet alleen een efficiëntere manier om correct registreren en declareren te borgen, maar het is ook effectiever. Horizontaal toezicht sluit namelijk aan op het profiel en de systemen van het ziekenhuis. Wederzijds vertrouwen tussen een zorgaanbieder en de zorgverzekeraars is daarvoor de basis. Bovendien hebben verzekerden en patiënten hier baat bij. Zij krijgen beter inzicht in hun zorgkosten, omdat facturen achteraf niet meer worden gewijzigd. Ook is er sneller duidelijkheid over de verrekening van het eigen risico. De komende jaren zullen wij deze producten samen blijven doorontwikkelen. Yvonne van Rooy voorzitter Nederlandse Vereniging van Ziekenhuizen André Rouvoet voorzitter Zorgverzekeraars Nederland Ernst Kuipers voorzitter Nederlandse Federatie van Universitair Medische Centra 2 Inhoud Gezamenlijke visie Implementatiestrategie Businesscase HT Instapmodel HT Control framework 3 Gezamenlijke visie 4 Horizontaal Toezicht Zorg Wat is Horizontaal Toezicht? Zorgaanbieders en zorgverzekeraars: • dragen gezamenlijk zorg voor een juiste besteding van huidige en toekomstige zorguitgaven; • geven gezamenlijk invulling aan de maatschappelijke verantwoording over deze uitgaven; • creëren gezamenlijk op een efficiënte, effectieve en tijdige manier zekerheid over deze uitgaven naar alle ketenpartijen. van HT gereed. Gedurende deze ingroeiperiode zullen gepast gebruik elementen worden toegevoegd aan het Control Framework en kunnen de representerende zorgverzekeraar en de zorgaanbieder hier afspraken over maken. formele en materiële controles gepast gebruik contractuele afspraken correct registreren en declareren effectieve zorg en medische noodzaak kwaliteit, innovatie en efficiency Scope rechtmatigheid Horizontaal Toezicht richt zich op de rechtmatigheid van de zorguitgaven. Dit gaat enerzijds over correct registreren en declareren en anderzijds over gepast gebruik van zorg. Ten aanzien van correct registreren en declareren zal het kader ‘compliant registreren en declareren’ en het bijhorende 7S-model van de NZa een belangrijke plek innemen. Daar waar HT aantoonbaar werkzaam en effectief is ingevoerd vervangt dit gegevensgerichte achterafcontroles ten aanzien van de rechtmatigheid van de zorguitgaven vanuit de Zorgverzekeringswet (Zvw). HT vormt dan voor zorgverzekeraars de basis voor de naleving van het protocol Zvw. Gepast gebruik betekent dat zorg wordt geleverd aan patiënten die deze zorg ook echt nodig hebben. Twee basiscriteria uit de Zvw zijn daarbij leidend. De zorg voldoet aan de stand van wetenschap en praktijk (effectieve zorg) en de verzekerde moet redelijkerwijs zijn aangewezen op de zorg gezien zijn gezondheidssituatie (medische noodzaak). Aangezien dit basiscriteria zijn vanuit de Zvw is ook gepast gebruik een rechtmatigheidsonderdeel en valt dit onder HT. Voor gepast gebruik geldt in de komende jaren een ingroeimodel. Met ingang van 2020 is het toetsingskader ‘gepast gebruik’ als onderdeel doelmatigheid Scope HT Contractuele afspraken tussen een zorgverzekeraar en zorgaanbieder ten aanzien van bijvoorbeeld kwaliteit, innovatie en effiency van zorg vallen niet onder HT. Ook contractafspraken over efficiency in de zorgverlening is geen onderdeel van HT. Contractnaleving is aan de individuele partijen. Ook (verzekerden)signalen en fraude worden individueel door de zorgverzekeraar uitgezet bij de zorgaanbieder. Ambitie Per 2020 is 80% van de ziekenhuizen en UMC’s ingericht op Horizontaal Toezicht ten aanzien van correct registreren en declareren. Ingericht op HT betekent dat het Control Framework in de betreffende instelling is ingericht en HT in de praktijk beoefend wordt in samenwerking met de zorgverzekeraar. Voor gepast gebruik geldt in de komende jaren een ingroeimodel. Met ingang van 2020 is het ‘toetsingskader gepast gebruik’ als onderdeel van HT gereed. 5 Horizontaal Toezicht Zorg De 10 principes van HT 1. Gefundeerd vertrouwen Wederzijds vertrouwen tussen een zorgaanbieder en de zorgverzekeraars is de basis. Vertrouwen moet groeien en zowel zorgaanbieders als zorgverzekeraars dienen zich hiervoor in te zetten. Het fundament van dit vertrouwen is transparantie en een gezamenlijke aanpak en verantwoording. 2. Betekenis voor de keten
Ketenpartijen zoals toezichthouders en accountants moeten er ook op kunnen steunen. Hier is bij de opzet en verantwoording rekening mee gehouden. 3. Representatie Zorgverzekeraars werken volgens representatie en steunen
op elkaars werkzaamheden. Bij Horizontaal Toezicht is er één aanspreekpunt vanuit de zorgverzekeraars. Zorgverzekeraars houden toezicht op elkaar. 4. Eén landelijk raamwerk Er is één landelijk raamwerk voor HT. Dit raamwerk bevat ook een HT- toolkit die bestaat uit een businesscase, een instapmodel en een control framework. 5. Ruimte voor maatwerk Er is binnen HT ruimte voor maatwerk en risicoselectie per instelling. Deze risicoselectie vindt plaats aan de hand van een gezamenlijk afgesproken methodiek. 6. Taken en verantwoordelijkheden Wettelijke taken en verantwoordelijkheden worden gerespecteerd en HT is vormgegeven binnen de huidige kaders van het zorgstelsel. Horizontaal toezicht wil risicogericht invulling geven aan de taken en verantwoordelijkheden van zorgaanbieders en zorgverzekeraars. 7. Eenduidige normering Bestaande wet- en regelgeving is leidend. HT draagt bij aan het eenduidig interpreteren van wet- en regelgeving, overbodige wet- en regelgeving weg te nemen en tijdige duiding van wet- en regelgeving. 8. Hard en soft controls HT zal op alle aspecten ingaan die de NZa heeft gedefinieerd in haar kader voor compliant registreren en declareren. Ook cultuur en gedrag zijn belangrijke elementen. 9. Stimuleren vastlegging aan de bron Het in één keer in de keten juist en tijdig registreren en declareren van rechtmatig geleverde zorg vindt zo vroeg mogelijk in de registratie- en declaratieketen plaats. 10. Administratieve processen HT beoogt efficiënte en effectieve administratieve processen in de keten. Onnodige opeenstapeling van administratieve lasten wordt gereduceerd. Daar waar HT aantoonbaar werkzaam en effectief is ingevoerd vervangt dit gegevensgerichte achterafcontroles ten aanzien van de rechtmatigheid van de zorguitgaven vanuit de Zorgverzekeringswet (Zvw). 6 Implementatiestrategie 7 Implementatiestrategie Inleiding Om de gezamenlijke ambitie voor de uitrol van Horizontaal Toezicht waar te maken is het van belang dat ziekenhuizen, UMC’s en zorgverzekeraars gezamenlijk zorgdragen voor een zorgvuldige implementatiestrategie. De implementatiestrategie maakt concreet wat het betekent als we in 2020 80% van de ziekenhuizen en UMC’s ingericht willen hebben op Horizontaal Toezicht ten aanzien van correct registreren en declareren. De implementatiestrategie schetst de route van uitrol en invoering van Horizontaal Toezicht op twee niveaus. De implementatiestrategie maakt duidelijk hoe de invoering van Horizontaal Toezicht er in de navolgende jaren uit zal zien en welke fases daarin aan bod komen. Maar ook laat het zien welke stappen een instelling, samen met de zorgverzekeraars, moet nemen om te participeren en hoe de ontwikkelde HT-producten daarbij van dienst kunnen zijn. Verder gaat de implementatiestrategie in op het representatiemodel zoals toegepast zal worden bij de uitrol van HT. Tot slot wordt de landelijke organisatie van de uitrol van HT besproken. Samen met de visie vormt de implementatiestrategie dan ook de kapstok voor de overige HT-producten: de businesscase, het instapmodel en het control framework. Inhoud Uitrol binnen een instelling Landelijke uitrol Representatie Landelijke organisatie 8 Uitrol binnen een instelling Handreiking óf Horizontaal Toezicht Een instelling legt verantwoording af aan de zorgverzekeraars over de rechtmatigheid van de zorgdeclaraties. Vanaf 2012 vindt dit voor een aanzienlijk deel plaats op basis van de zelfonderzoeken van ziekenhuizen (in de sector beter bekend als de Handreiking). Daarnaast voeren zorgverzekeraars nog talrijke eigen controles uit. Afgesproken is dat wanneer een ziekenhuis of UMC eenmaal over is op Horizontaal Toezicht slechts één wijze van verantwoording van toepassing is. De Handreiking wordt dan ook aangeduid als het ‘oude regime’ van rechtmatigheidsverantwoording en Horizontaal Toezicht als het ‘nieuwe regime’. Het is niet de bedoeling om op basis van twee regimes verantwoording af te leggen aan de zorgverzekeraar. Over het jaar waarop op basis van Horizontaal Toezicht verantwoording wordt afgelegd hoeft dus niet ook nog verantwoording te worden afgelegd op basis van de Handreiking. In de transitiefase van de Handreiking naar Horizontaal Toezicht kunnen instellingen per risicogebied op procesmatige wijze verantwoording afleggen binnen de gestelde eisen van de Handreiking. Het is namelijk binnen de Handreiking mogelijk om te differentiëren in de wijze waarop het risico van een controlepunt wordt onderzocht. Wel geldt hierbij dat de verantwoording over de werking van het betreffende proces meeloopt in de verantwoording van het zelfonderzoek. Welke voorbereidende stappen kunnen worden gezet vanuit het zelfonderzoek (HR)? Een instelling kan ervoor kiezen om de implementatie van Horizontaal Toezicht gefaseerd uit te voeren. Een reden hiervoor kan zijn dat het verbeterplan dit vraagt of de investering van de transitiefase wordt uitgesmeerd in tijd. Bij de keuze van een geleidelijke overgang van het oude naar het nieuwe regime verloopt de verantwoording via het zelfonderzoek en binnen de kaders van de Handreiking. De wijze van uitvoering van controlepunten kan bijvoorbeeld geleidelijk wijzigen van een gegevensgerichte controle naar een systeemgerichte controle. Hier is echter dan nog wel het oude regime op van toepassing. Zorgverzekeraars spelen hierin dan nog steeds de rol van reviewer van de uitkomsten van het zelfonderzoek. Ook de verantwoording zal op basis van de Handreikingsmethodiek plaatsvinden (zelfonderzoek met rapportages en dergelijke). Fases Een instelling gaat fasegewijs over naar Horizontaal Toezicht. Deze fases zijn processtappen en wanneer aan een aantal voorwaarden is voldaan kan een volgende fase worden ingezet. De fases: A. Verkenningsfase B. Inventarisatiefase C. Verbeterfase D. Implementatiesfase E. Verantwoordingsfase 9 Uitrol binnen een instelling VERKENNINGSFASE INVENTARISATIESFASE VERBETERFASE IMPLEMENTATIEFASE VERANTWOORDINGSFASE verantwoording op basis van aantoonbaar werkzaam en effectief Horizontaal Toezicht afweging maken op basis van businesscase toetsing van geschiktheid op basis van instapmodel verbetertraject n.a.v. bevindingen instapmodel invoering Control Framework & Horizontaal Toezicht in de praktijk beoefenen ZORGAANBIEDER ZORGAANBIEDER ZORGAANBIEDER ZORGAANBIEDER ZORGAANBIEDER ZORGVERZEKERAAR ZORGVERZEKERAAR ZORGVERZEKERAAR ZORGVERZEKERAAR (validatie) (validatie) 1 - 2 MAANDEN 1 - 12 MAANDEN B C 0 - 1 MAAND A ACCOUNTANT 12 - 24 MAANDEN D Initiele fase 6-12 MND Structurele fase >>> E 10 Uitrol binnen een instelling VERKENNINGSFASE afweging maken op basis van businesscase ZORGAANBIEDER 0 - 1 MAAND A. Verkenningsfase Tijdens de inventarisatiefase besluit de Raad van Bestuur van een ziekenhuis of UMC om al dan niet te starten met de verkenning van Horizontaal Toezicht als verantwoordingsregime voor de rechtmatigheid van de zorgdeclaraties. Er kan hierbij gebruik worden gemaakt van de landelijk opgestelde businesscase. Daarnaast is ook de intrinsieke motivatie van groot belang, om voor de patiënt ‘first-time-right’ te registreren en te declareren. aan de gewenste norm kan door worden gegaan met de implementatiefase. Vaak zullen er echter eerst een aantal verbeteringen moeten worden doorgevoerd. Ook de representerende zorgverzekeraar heeft een rol bij het beoordelen van de uitkomsten van de inventarisatiefase. Instapmodel Met behulp van het Instapmodel Horizontaal Toezicht kan een zorgaanbieder aantoonbaar maken of de huidige mate van governance, besturing en compliance rondom registreren en declareren voldoende is voor een effectieve Horizontaal Toezicht relatie. Dit betreft een kwalitatieve toets op organisatie- en beleidsniveau. Businesscase Om instellingen te helpen bij de afweging al dan niet voorbereidingen te treffen voor de invoering Horizontaal Toezicht is een landelijke businesscase ontwikkeld. Op basis van de businesscase kunnen zorginstellingen een gefundeerde afweging maken of de inzet van Horizontaal Toezicht voor hen voldoende voordelen biedt ten opzicht van het traditionele toezicht van de zorgverzekeraars. VERBETERFASE verbetertraject n.a.v. bevindingen instapmodel ZORGAANBIEDER INVENTARISATIESFASE toetsing van geschiktheid op basis van instapmodel ZORGAANBIEDER ZORGVERZEKERAAR (validatie) 1 - 2 MAANDEN B. Inventarisatiefase Nadat een zorginstelling op basis van de businesscase tot de conclusie is gekomen dat invoering van Horizontaal Toezicht voor de organisatie zinvol en waardevol is, kan op basis van het instapmodel bepaald worden of de instelling ook daadwerkelijk gereed is om hierop over te gaan. De uitkomst van deze fase geeft een indicatie of de instelling in staat is om een effectieve Horizontaal Toezicht relatie, zoals indicatief meegegeven bij het instapmodel, aan te gaan. Wanneer voldaan wordt ZORGVERZEKERAAR (validatie) 1 - 12 MAANDEN C. Verbeterfase Uit het instapmodel zal doorgaans een verbeterplan volgen. Daar waar het ziekenhuis nog niet voldoet aan de volwassenheidsnorm zijn verbeteringen noodzakelijk. Nadat de verbeteringen zijn doorgevoerd zal overleg plaatsvinden met de representerende zorgverzekeraar. De instelling en de zorgverzekeraar (in representatie) bepalen vervolgens gezamenlijk of er daadwerkelijk een effectieve Horizontaal Toezicht relatie mogelijk is en of dus de overgang naar de implementatiefase gemaakt kan worden. 11 Uitrol binnen een instelling IMPLEMENTATIEFASE invoering Control Framework & Horizontaal Toezicht in de praktijk beoefenen ZORGAANBIEDER ZORGVERZEKERAAR 12 - 24 MAANDEN D. Implementatiefase In de implementatiefase geeft de instelling invulling aan Horizontaal Toezicht door het ontwikkelde Control Framework te implementeren in de organisatie. Aan de hand van dit Control Framework wordt middels een risicoanalyse bepaalt welke risico’s voor de betreffende instelling van toepassing zijn. Vervolgens worden de risico’s geclassificeerd in hoog, midden of laag. De representerende zorgverzekeraar kijkt en denkt hierin mee. Vervolgens gaat de instelling in kaart brengen welke beheersmaatregelen er bij de geprioriteerde risico’s zijn (ist) en welke beheersmaatregelen er nodig zijn (soll) om de gedefinieerde risico’s af te dekken. Middels een nulmeting van de meest significante risico’s, kan er een interne analyse worden uitgevoerd naar de effecitiviteit van deze beheersmaatregelen. Meer hierover wordt beschreven in het Control Framework. Belangrijk in het proces is het zichtbaar vastleggen van beheersmaatregelen, dossiervorming én de borging dat de werkzaamheden op het juiste niveau zijn uitgevoerd. De uitkomst van de implementatiefase wordt gedeeld en besproken met de (representerende) zorgverzekeraar. Control Framework VERANTWOORDINGSFASE E. Verantwoordingsfase De instelling zorgt er in deze fase voor dat de verantwoording op beheersmaatregelen van de geprioriteerde risico’s basis van aantoonbaar aantoonbaar gedurende een periode van zes tot werkzaam en effectief twaalf maanden effectief werken. In deze periode Horizontaal Toezicht zal de instelling interne tussentijdse meetmomenten ZORGAANBIEDER hebben om niet effectieve beheersmaatregelen te ZORGVERZEKERAAR detecteren. De risico’s die niet worden afgedekt als ACCOUNTANT Initiele fase 6-12 MND gevolg van deze niet effectieve beheersmaatregelen Structurele fase >>> zullen op een andere wijze moeten worden afgedekt door bijvoorbeeld gegevensgerichte controles of andere herstelacties. De instelling zal verantwoording afleggen over hoe zij is omgegaan met niet beheerste risico’s vanuit het Control Framework en welke herstelacties zij heeft gedaan. De assurance die voor de verantwoording nodig is, is uitgewerkt in het Control Framework. Na de initiële verantwoordingsfase volgt de structurele verantwoordingsfase. Wanneer is een instelling over op HT? Wanneer de implementatiefase (fase D) is afgerond en wordt overgegaan naar de verantwoordingsfase (fase E) is een instelling over op HT. Wanneer voor een bepaald boekjaar overgegaan is naar de verantwoordingsfase op basis van HT, met de benodigde assurance, kan voor dat jaar de Handreiking worden stopgezet. Per dat boekjaar is het nieuwe verantwoordingsregime van toepassing. Om de uitvoering van Horizontaal Toezicht op een eenduidige manier te laten plaatsvinden is een landelijk Control Framework ontwikkeld. Het Control Framework bestaat uit landelijke richtlijnen en producten voor gezamenlijk risicomanagement en effectieve/proportionele inzet van controle instrumenten rondom registreren en declareren van zorg. Dit product gaat over het proces en de inhoud en is opgebouwd uit diverse deelproducten die separaat worden beschreven. 12 Landelijke uitrol Het is de gezamenlijke ambitie om in 2020 80% van de ziekenhuizen en UMC’s ingericht te hebben op Horizontaal Toezicht. Er zal worden gewerkt met verschillende tranches. Elk ziekenhuis en UMC kan per 2017 beginnen met de verkenningsfase, gevolgd door de inventarisatie- en verbeterfase. Enkele pilotinstellingen die reeds vergevorderd zijn met de invoering van HT zullen als koplopers fungeren. Concreet betekent dit dat naar verwachting 5 instellingen zich over 2017 zullen gaan verantwoorden op basis van Horizontaal Toezicht. Per 2018, 2019 en 2020 volgen dan naar verwachting 20 instellingen per jaar. Bij deze voortgang kan de ambitie worden gerealiseerd. De totale doorlooptijd van de landelijke uitrol wordt ingeschat op 5 jaar voor alle ziekenhuizen en UMC’s. Dat is ambitieus en het is noodzakelijk dat er een goede afstemming plaatsvindt tussen de instellingen en de zorg verzekeraars, zodat er aan beide kanten op het juiste moment voldoende middelen, capaciteit, kennis en kunde beschikbaar is. INDICATIE AANTAL INSTELLINGEN 2017 2018 2019 2020 2021 KOPLOPERS E E E E E 5 VERSNELD TRAJECT D E E E E 20 NORMAAL TRAJECT 1 A,B,C D E E E 20 NORMAAL TRAJECT 2 A,B,C A,B,C D E E 20 VERTRAAGD TRAJECT 1 A,B,C A,B,C C D E VERTRAAGD TRAJECT 2 A,B,C A,B,C C C D Ambitie Per 2020 is 80% van de ziekenhuizen en UMC’s ingericht op Horizontaal Toezicht ten aanzien van correct registreren en declareren. Ingericht op HT betekent dat het Control Framework in de betreffende instelling is ingericht en HT in de praktijk beoefent wordt in samenwerking met de zorgverzekeraar. Voor gepast gebruik geldt in de komende jaren een ingroeimodel. Met ingang van 2020 is het ‘toetsingskader gepast gebruik’ als onderdeel van HT gereed. A B C D E 80% Verkenningsfase Inventarisatiefase Verbeterfase Implementatiesfase Verantwoordingsfase 13 Representatie Waarom representatie? Het startpunt van HT is de gezamenlijke visie die is opgesteld. In de gezamenlijke visie is opgenomen (principe 3): ‘Zorgverzekeraars werken volgens representatie en steunen op elkaars werkzaamheden. Bij Horizontaal Toezicht is er één aanspreekpunt vanuit de zorgverzekeraars. Zorgverzekeraars houden toezicht op elkaar.’ Door op basis van een representatiemodel te gaan werken is HT niet alleen effectiever, maar ook efficiënter. Er is één aanspreekpunt (de representerende zorgverzekeraar) waar een instelling afspraken mee maakt over de rechtmatigheid van zorgdeclaraties. Dit zorgt voor een vermindering van de administratieve lasten. Om de eenduidige toepassing van het Control Framework te borgen past de representerende zorgverzekeraar gedurende het HT-proces hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten binnen het Control Framework. Deze momenten betreft de stappen 3 en 5 in het Control Framework. Geschillen binnen HT-traject tussen een representerende zorgverzekeraar en een instelling worden besproken in het Landelijk platform Horizontaal Toezicht, met een escalatiemogelijkheid naar de bestuurlijke commissie HT. 1 Benoemen van beheersingsdoelstellingen 2 Identificeren van risico’s 3 Uitvoeren risicoanalyse 4 Bepalen beheersmaatregelen 5 Beoordelen opzet van de beheersmaatregelen 6 Verantwoorden over opzet, bestaan en werking Kader representatie •Uitgangspunt is dat zorgverzekeraar met het grootste marktaandeel bij de betreffende zorgaanbieder de representerende zorgverzekeraar is. •De representerende zorgverzekeraar kan deze verantwoordelijkheid voor een bepaalde instelling, in overleg met de andere zorgverzekeraars, overdragen aan een andere zorgverzekeraar. Die andere zorgverzekeraar is dan de verantwoordelijke representerende zorgverzekeraar. •De representerende zorgverzekeraar vervult deze functie minimaal drie jaar, gerekend vanaf het moment dat een instelling over is op HT (fase E). •Elke drie jaar wordt geëvalueerd of de representerende zorgverzekeraar ook in de komende drie jaar de representant is. •Jaarlijks vindt er minimaal vier keer overleg plaats tussen de representerende zorgverzekeraar en de zorgaanbieder. •Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten binnen het Control Framework (zie processtap 3 en 5 in het Control Framework) om zo eenduidige toepassing van het Control Framework te borgen. •De go/nog go bij processtap 3 en 5 wordt afgegeven door de representerende zorgverzekeraar. •De representerende zorgverzekeraar beoordeelt de uitkomst van de verantwoordingsfase (processtap 6) en draagt zorg voor adequate opvolging van bevindingen door de zorgaanbieders. •De representerende zorgverzekeraar accordeert de werkzaamheden van de zorgaanbieder in processtap 6. •De andere zorgverzekeraars steunen op de werkzaamheden van de representerende zorgverzekeraar. •De representerende zorgverzekeraar is verantwoordelijk voor goede dossiervoering ten behoeve van de andere zorgverzekeraars en zorgt ervoor dat het dossier voor hen inzichtelijk is. •Opmerkingen van andere zorgverzekeraars, bij het verantwoordingsdossier van processtap 6, worden besproken met de representerende zorgverzekeraar, maar kunnen een reeds gegeven akkoord niet terugdraaien. •De representerende zorgverzekeraar beoordeelt opmerkingen bij processtap 6, in het kader van kwaliteitsbevordering, en bespreekt de opvolging hiervan met de betreffende verzekeraar. Zo nodig neemt de representerende zorgverzekeraar dit mee in de HT- cyclus voor het volgende kalenderjaar. Dat geldt ook voor nieuw ontdekte risico’s. 14 Landelijke organisatie HT Hoe gaat de landelijke organisatie eruit zien? Bestuurlijke commissie Om de implementatie van Horizontaal Toezicht goed te laten verlopen zal er ook in die fase een landelijke organisatiestructuur worden ingericht. Door ook op landelijk niveau verbonden te blijven als ziekenhuizen, UMC’s en zorgverzekeraars blijft de gezamenlijke regie voor dit traject in stand. Deze landelijke organisatiestructuur zal de implementatie van Horizontaal Toezicht gaan begeleiden en bestaat uit leden van de zorgverzekeraars, ziekenhuizen en UMC’s en de brancheorganisaties. Hierbij zal een evenwichtige participatie worden nagestreefd. De coördinatie van dit landelijke platform Horizontaal Toezicht zal belegd worden bij een centrale voorzitter. Ook de gezamenlijke begeleidingscommissie en bestuurlijke commissie HT zullen blijven bestaan. De gezamenlijke opdrachtgevers NVZ, NFU, ZN worden vertegenwoordigd in een Bestuurlijke commissie HT bestaand uit bestuurders van ziekenhuizen, UMC’s en zorgverzekeraars. Deze bestuurlijke commissie beoordeelt of de uitrol van HT op koers ligt en of de werkzaamheden van het landelijk platform HT aan de verwachtingen voldoet. De bestuurlijke commissie HT is tevens een escalatiemogelijkheid voor het Landelijk platform HT. Tot 1 april 2017 Vanaf 1 april 2017 Bestuurlijke commissie NVZ, ZN, NFU (opdrachtgever) Begeleidingscommissie Horizontaal Toezicht Bestuurlijke commissie HT (NVZ, ZN, NFU) Klankbord / adviseurs Landelijke projectgroep Horizontaal Toezicht Begeleidingscommissie HT (NVZ, ZN, NFU) Landelijk Platform HT 15 Landelijke organisatie HT Landelijk platform Horizontaal Toezicht Het landelijk platform zal zich bezig houden met: • Het verbeteren en onderhouden van de landelijke HT-producten. Dit gebeurt op basis van de input vanuit de verschillende stakeholders, wijzigingen wet- en regelgeving of overige bronnen. Hierbij kan gedacht worden aan het actualiseren van de bruto risicolijst op basis van de gewijzigde wet- en regelgeving, of aan het verder verfijnen of versimpelen van het instapmodel. Ook zal de businesscase en het control framework van updates moeten worden voorzien. • Het begeleiden van de inventarisatie- en verbeterfase. Het landelijke platform zal worden belast met het ondersteunen van de invoering van HT en het gebruik van de landelijke producten. Daarbij ligt de primaire focus op de begeleiding bij de toepassing van het instapmodel en het monitoren van de voortgang. Onder begeleiding van instellingen wordt bijvoorbeeld verstaan het organiseren van workshops, het fungeren als vraagbaak en het opstellen van FAQ’s. In de ‘verbeterfase’ heeft ook de representerende zorgverzekeraar een belangrijke rol. • Landelijke planning opstellen en periodiek herijken. Dit is noodzakelijk om de capaciteit die ingezet wordt voor Horizontaal Toezicht, zowel vanuit instellingen als verzekeraars, zoveel mogelijk op elkaar te laten aansluiten. • Invulling geven aan het gepast gebruik in relatie tot HT. Van belang is dat het platform een proces gaat inrichten hoe het thema gepast gebruik ingebed kan worden in het Horizontaal Toezicht. Dit met het oog op de ambitie om met ingang van 2020 is het ‘toetsingskader gepast gebruik’ als onderdeel van HT gereed te hebben. • Het delen van kennis en ervaring. Wanneer de koplopers voor het eerst een volledige HT-cyclus hebben doorlopen, dienen de ervaringen te worden gedeeld, zodat de volgende groep instellingen daar baat bij kan hebben. 16 Businesscase HT 17 Businesscase HT Inleiding Wat betekent Horizontaal Toezicht voor de keten? Op basis van de businesscase kunnen zorginstellingen en zorgverzekeraars een gefundeerde afweging maken of de inzet van Horizontaal Toezicht voor hen voldoende voordelen biedt ten opzichte van het traditionele toezicht. Voor de zorginstelling dient de businesscase als kwalitatieve zelftoets. Deze businesscase moet op diverse niveaus in de organisatie het gesprek kunnen faciliteren over Horizontaal Toezicht. Voor zorgverzekeraars heeft de businesscase een informatieve functie om de eigen organisaties goed mee te nemen. • Er ontstaat door Horizontaal Toezicht een verschuiving van gegevensgerichte controle achteraf naar procesgerichte controle vooraf. Dit met als doel de controle zo dicht mogelijk bij de bronregistratie te leggen. • Door het registratie- en declaratieproces te beheersen wordt invulling gegeven aan het ‘first time right’ principe. Herstelwerkzaamheden worden zo voorkomen. Er ontstaat vroegtijdig zekerheid over de zorgkosten/omzet. De patiënt ondervindt minder correcties op haar nota’s. • Horizontaal Toezicht beoogt efficiënte administratieve processen in de keten. Onnodige opeenstapeling van administratieve lasten wordt weggenomen. Daar waar Horizontaal Toezicht aantoonbaar werkt vervangt dit gegevensgerichte achterafcontroles. • Door efficiënter en effectiever invulling geven aan taken en verantwoordelijkheden rondom rechtmatigheid kan er weer een gezonde balans ontstaan tussen de verantwoording van de uitgaven aan zorg, de wijze waarop zorg wordt ingekocht en de kwaliteit van de geleverde zorg. Horizontaal Toezicht is maatwerk per instelling aan de hand van een gezamenlijk afgesproken methodiek. • Horizontaal Toezicht kan als vliegwiel dienen om het gefundeerde vertrouwen breder toe te passen dan alleen op het terrein van de rechtmatigheid. Ook ketenpartijen zoals toezichthouders en accountants kunnen hierop steunen. Hier is bij de opzet van Horizontaal Toezicht rekening mee gehouden. Zo geeft Horizontaal Toezicht invulling aan het 7S-model van de NZa voor compliant registreren en declareren. • Omdat zorgverzekeraars werken volgens representatie heeft de zorgaanbieder één aanspreekpunt. Ook voor de zorgverzekeraars is de span-of-control groter. • Horizontaal Toezicht draagt bij aan eenduidige interpretatie van weten regelgeving, overbodige wet- en regelgeving weg te nemen en tijdige duiding van wet- en regelgeving. Partijen gaan proactief aan de slag met regelgeving. De businesscase moet zowel zorginstellingen als zorgverzekeraars verleiden gezamenlijk de handschoen van Horizontaal Toezicht op te pakken, maar moet tegelijk ook een reëel beeld geven van de (kwalitatieve) kosten en baten. Kortgezegd is de businesscase een objectieve en reële enthousiasmerende brochure over Horizontaal Toezicht Zorg. Inhoud De businesscase bevat uitgangspunten, principes en voorbeelden die voor zorginstellingen een goede en objectieve afweging faciliteren om al dan niet over te stappen op Horizontaal Toezicht. Het is een verdieping op de gezamenlijke visie en stelt de instelling in staat de voor- en nadelen van de eigen instelling op een goede manier af te wegen. Vragen als ‘Waarom zou je meedoen?’, ‘Wat levert het op?’, ‘Wat betekent dit voor de organisatie?’ komen hierin aan bod. Voor zorgverzekeraars geldt dat collectief besloten is Horizontaal Toezicht mogelijk te maken voor die instellingen die daar klaar voor zijn. Dat betekent dat de businesscase vooral moet uitleggen waarom invoering belangrijk is en welke afwegingen daarbij een rol hebben gespeeld. 18 Ervaringen uit de praktijk Horizontaal Toezicht is een belangrijke ontwikkeling voor de zorgsector en heeft ook veel gevolgen voor alle betrokkenen zoals zorginstellingen, zorgverzekeraars, patiënten en verzekerden. We stellen een aantal vragen over het onderwerp aan bestuurders van zorgverzekeraar Menzis, zorgverzekeraar Coöperatie VGZ, het Universitair Medisch Centrum Erasmus MC en ziekenhuis Rijnstate. Hun zienswijze op Horizontaal Toezicht komt in deze businesscase uitgebreid aan bod. Drs. D.W. (David) Voetelink RA Lid raad van bestuur Erasmus MC Drs. F. (Frank) Janssen Vicevoorzitter raad van bestuur Menzis Drs. J.K. (JanKees) Cappon Lid raad van bestuur Rijnstate Drs. C.F. (Kees) Hamster RA RC Lid raad van bestuur Coörperatie VGZ 19 Ervaringen uit de praktijk (1) Welke voordelen levert horizontaal toezicht op voor u als instelling? Welke voordelen heeft horizontaal toezicht voor u als zorgverzekeraar? David Voetelink: We zijn nog meer in control op onze processen rond registratie en facturatie. Het resultaat is dat we zekerheid hebben over de juistheid (rechtmatigheid) van declaraties die we indienen bij zorgverzekeraars en op termijn gemeenten. Dure herstelkosten die samenhangen met achteraf corrigeren worden verminderd. Het geeft sneller zekerheid over gerealiseerde omzet en verbetert de relatie met zorgverzekeraars en financiers. Frank Janssen: Op de eerste plaats krijgen onze klanten sneller en beter inzicht in de zorgkosten. We streven naar een nota die in één keer goed is. En er ontstaat sneller en beter inzicht in de zorgkosten van een zorgaanbieder. Dit draagt niet alleen bij aan administratieve lastenverlichting, maar ook aan het nauwkeuriger vaststellen van onze premie. Daarnaast hoeven we geen controles uit te voeren bij zorginstellingen die al door andere zorgverzekeraars zijn gecontroleerd. Dit is het gevolg van de afspraak die tussen zorgverzekeraars is gemaakt over representatie. Dat bespaart ons tijd en geld. Jankees Cappon: Samengevat: samenwerking, dialoog en transparantie levert gefundeerd vertrouwen op (‘wie vertrouwen zaait, oogst vertrouwen’). Door een goede organisatie geven we gezamenlijk invulling aan de maatschappelijke verantwoording van zorguitgaven met een vermindering van onnodige overhead c.q. corrigerende administratie. Als ziekenhuis willen we een zo werkbare, effectief en efficiënt mogelijke samenwerking in de hele administratieve keten. Op deze wijze willen we in samenwerking met de zorgverzekeraars verantwoording afleggen over de zorguitgaven met meer ruimte om invulling te geven aan zinnige zorg. De nadruk ligt dan op correcte registratie en declaratie vanuit het primaire proces, het in een keer goed doen en continue verbetering van het proces vooraan in de keten, bij het ziekenhuis. Het grote voordeel hiervan is dat het ziekenhuis beter in control is en er een continue verbetering kan plaatsvinden. Dit leidt tot betere stuurinformatie, minder (ideaal: geen) achterafcontroles door verzekeraars en eerder zekerheid over de omzet. Kees Hamster: Het voornaamste voordeel is het gezamenlijke vertrekpunt van zorgaanbieders en ons als zorgverzekeraars. We zetten ons sámen in voor de rechtmatigheid van declaraties. Hierbij zijn verwachtingspatronen goed op elkaar afgestemd en de processen zo ingericht dat tijdig bijgestuurd kan worden. Horizontaal toezicht moet op deze manier grote correcties achteraf voorkomen. Dat voorkomt onderling gedoe en het vergroot daarmee ook het maatschappelijk vertrouwen dat euro’s voor de zorg goed besteed worden. 20 Investeringen zorgaanbieder OPE R AT I O N E E L S TA C T I S C H AT E G I S C H TR HORIZONTAAL TOEZICHT STRATEGISCH -Vanuit governance en besturing invulling geven aan correct registreren en declareren -Meer samenwerking in de keten -Op gang brengen cultuur- en gedragsverandering TACTISCH Investeringen voor de zorginstelling De invoering van Horizontaal Toezicht vraag om een bepaalde investering en inspanning van de zorgaanbieder. Zo moet er bereidheid zijn bij de zorg instellingen om de zorgverzekeraars mee te laten kijken bij de opzet van processen binnen in een instelling. En alhoewel het inzicht in processen wordt vergroot kan de privacy wel effectiever worden bewaakt, omdat door een procesgerichte benadering de gegevens zelf ondergeschikt zijn. Ten aanzien van de investeringen zal de instelling vooral kosten maken voor het opzetten en onderhouden van het Control Framework en bijbehorende Assurance. Ook het opleiden en aantrekken van anders geschoold personeel betreft een investering. Het betreft medewerkers met aandachtsgebieden als compliance, AO/IC en audit. Wat betreft de werkzaamheden zal er vooral ook een verschuiving plaatsvinden van lijstwerk naar het inrichten van het Control Framework en het testen van de beheersingsmaatregelen. - Aanpassen functiehuis -Systemen en processen op orde brengen -Communicatie extern bevorderen - Draagvlak intern vergroten -Goed gedrag stimuleren -‘three lines of defence’ inrichten OPERATIONEEL -Opleiden en werven personeel -General IT-controls -Processen beschrijven, inrichten en verbeteren -Dialoog stakeholders intensiveren -Software aanpassen -Inrichten Control Framework -Zekerheid intern en extern (assurance) -Taken en verantwoordelijkheden beleggen 21 Ervaringen uit de praktijk (2) Waarom zouden instellingen moeten overgaan op horizontaal toezicht? Frank Janssen: Horizontaal toezicht helpt de zorgaanbieder om zelf aantoonbaar in control te zijn op het gebied van registreren en declareren. De betaling van de declaraties vindt eerder plaats. Dit kan doordat de controle al bij het leveren van zorg heeft plaatsgevonden. Bovendien voorkomt het herstelwerkzaamheden achteraf van afgekeurde declaraties. Kees Hamster: Het is belangrijk dat zorgverleners zorgen voor rechtmatige declaraties. Door horizontaal toezicht toe te passen, komt dit bewustzijn terecht in de haarvaten van organisaties. Het zorgt voor meer grip op de geldstromen en daarmee voor rust in de organisatie en de relatie met zorgverzekeraars. Daarmee kan dit geen splijtzwam meer zijn tussen zorgverzekeraar en zorgverlener. Waarom zouden instellingen moeten overgaan op horizontaal toezicht? David Voetelink: Het is een volgende stap in de professionalisering van de bedrijfsvoering. Door middel van onder meer het Nederlands Instituut voor Accreditatie in de Zorg (NIAZ) tonen we kwaliteit van zorg aan, met horizontaal toezicht doen we dat met de kwaliteit van declaraties. De weg naar horizontaal toezicht kent organisatorische en inhoudelijke uitdagingen, maar geeft veel inzicht in welke verbeterpunten er nog zijn. Ook geeft het meer zekerheid vooraf, dat de uitkomsten van de registratieen facturatieprocessen goed zijn. Daarnaast zou het op termijn moeten leiden tot minder werk om richting zorgverzekeraars aan te tonen dat je in control bent. Jankees Cappon: Als horizontaal toezicht goed wordt uitgewerkt, heeft de instelling een eigen regierol, is de organisatie op diverse niveaus goed aangesloten op correct registreren en declareren en kan de instelling tijdig aantonen dat de facturatie van geleverde zorgprestaties juist en rechtmatig is. De relatie met de zorgverzekeraar en andere ketenpartijen is meer gericht op gelijkwaardigheid, transparantie en vertrouwen. 22 Baten zorgaanbieder OPE R AT I O N E E L S TA C T I S C H AT E G I S C H TR HORIZONTAAL TOEZICHT STRATEGISCH -Governance en besturing op orde -Meer samenwerking en wederzijds vertrouwen -In control zijn van bedrijfsvoering - Correct registreren en declareren vanuit primaire proces geborgd TACTISCH Voordelen voor de zorgaanbieder •Als organisatie ben je meer ‘in control’, doordat er meer kennis is over de risico’s, processen en beheersing. •De procesgerichte benadering levert ook winst op voor de bedrijfsvoering. Zo wordt de interne stuurinformatie verbeterd en kan het leiden tot verbetering van de financieringspositie. •Er is één aanspreekpunt bij de zorgverzekeraars (in de vorm van representatie). •Er is sprake van continue verbetering van de bronregistratie door focus op het proces aan de voorkant. Verbeterde bronregistratie leidt tot meer inzicht in kosten van behandelingen. •Meer grip op wet- en regelgeving en meer inzicht hoe hier binnen de eigen instelling mee wordt omgegaan. •Tijdig op een efficiënte en effectieve manier zekerheid verkrijgen over de omvang en juist van zorgdeclaraties in een boekjaar. •Die tijdige zekerheid werkt door in andere processen zoals de contractering, financiering extern (banken) en bevoorschotting. •Er gaan minder foute facturen (via de verzekeraar) naar de patiënt en daarmee wordt invulling gegeven aan de maatschappelijke verantwoordelijkheid. •Er is beduidend minder risico voor de instelling op correcties achteraf. Intensiteit van het toezicht neemt naar verloop van tijd af. -Verbetering financieringspositie -Sneller en meer zekerheid zorgomzet -Vermindering administratieve lasten -Kwaliteitsverbetering processen - Continue verbetering bronregistratie -Effectieve dialoog met zorgverzekeraar OPERATIONEEL -Contracteren financiers -Verbeterde stuurinformatie -Vermindering achterafcontroles -Nota in één keer goed voor de patiënt - Bewustwording verantwoordelijkheden -Meer grip op wet- en regelgeving -Eén aanspraakpunt zorgverzekeraars 23 Ervaringen uit de praktijk (3) Wat is het risico voor een instelling die niet overgaat op horizontaal toezicht? David Voetelink: Overgaan op horizontaal toezicht is een keuze. Ik zie niet direct risico’s voor een instelling. Wel voor de gehele keten: het is inefficiënt wanneer twee controlesystemen naast elkaar blijven bestaan. Dit is moeilijk verenigbaar met het gezamenlijke doel de zorgkosten beheersbaar te houden. Jankees Cappon: Er kan veel energie blijven zitten in voorgeschreven, achteraf controles. Hierdoor worden oorzaken van eventuele fouten bij de bron en in het proces zelf, mogelijk onvoldoende aangepakt en het is de vraag of deze achterafcontroles alle instellingsspecifieke risico’s voldoende dekken. Je mist dan de impuls tot een proactief, integraal risicomanagement. Wat is het risico voor een instelling die niet overgaat op horizontaal toezicht? Frank Janssen: We streven er naar dat alle ziekenhuizen overgaan op horizontaal toezicht. Het niet benutten van de voordelen van horizontaal toezicht is niet alleen een gemiste kans, maar het zegt ook wat over de kwaliteit van de interne organisatie van een instelling. Dit heeft tot gevolg dat er veel achteraf controles bij deze instellingen blijven bestaan. Zorgverzekeraars blijven bij het niet overgaan op horizontaal toezicht individueel formele en materiële controles na betaling uitvoeren. Hierdoor heeft de zorgaanbieder minder snel zekerheid over de omzet. Ook hebben accountants meer moeite om hierover zekerheid te geven. Kees Hamster: Het omarmen van horizontaal toezicht is een stap in de groei van de organisatie. Als dat niet gebeurt, blijft herstel achteraf noodzakelijk en zullen zorgverzekeraars zich noodzakelijkerwijze richten op bijvoorbeeld materiële controles met de daaraan gekoppelde negatieve energie. Ook blijft de instelling na afsluiting van het jaar met een onzekerheid zitten. Kortom, niet meedoen is een gemiste kans! 24 Investeringen zorgverzekeraar OPE R AT I O N E E L S TA C T I S C H AT E G I S C H TR HORIZONTAAL TOEZICHT STRATEGISCH -Herinrichting verantwoordingscyclus - Samenwerken en wederzijds vertrouwen -Op gang brengen cultuur- en gedragsverandering TACTISCH Investeringen voor de zorgverzekeraar De invoering van Horizontaal Toezicht vraag om een bepaalde investering en inspanning van de zorgverzekeraars. Zo zullen zorgverzekeraars medewerkers moeten opleiden in de nieuwe manier van controleren. Waar nodig dient ook nieuw personeel geworven te worden met vaardigheden op het gebied van AO/IC, audit, advisering, zorginhoud en met goede communicatieve vaardigheden en kennis van ziekenhuisprocessen. Ook zal er geïnvesteerd moeten worden in benchmark-tooling, aanpassingen van het interne en externe verantwoordingsproces en meer focus op beheersing aan de voorkant. Ook zal de organisatie en bemensing van het representatiemodel moeten worden gerealiseerd en moet dit dusdanig georganiseerd worden dat zorgverzekeraars ook onderling op elkaars werkzaamheden kunnen vertrouwen. - Aanpassen functiehuis -Werken in representatie -Communicatie extern bevorderen -Werkprocessen controleafdelingen aanpassen - Draagvlak intern vergroten -Stimuleren goed presterende instellingen OPERATIONEEL -Opleiden en werven personeel - Ontwikkelen benchmark tooling -Kwaliteitsbewaking en eenduidigheid toepassing Control Framework -Kennis over ziekenhuisprocessen opschalen -Dialoog stakeholders intensiveren -Zekerheid intern en extern (assurance) -Taken en verantwoordelijkheden beleggen 25 Ervaringen uit de praktijk (4) Wat zijn de gevolgen van horizontaal toezicht voor uw organisatie? Welke tip zou u uw collega-bestuurders geven bij het starten van een horizontaal toezicht-traject? Frank Janssen: We gaan samenwerken met onze zorgaanbieders op basis van gefundeerd vertrouwen. Wij gaan op een andere wijze controleren. Dit heeft gevolgen voor de wijze waarop onze medewerkers nu met formele en materiële controles omgaan. We gaan werken in representatie en dat vraagt intensieve samenwerking met andere zorgverzekeraars. Dit proces moeten we zorgvuldig opzetten. David Voetelink: Horizontaal toezicht is niet binnen enkele maanden geïmplementeerd. Het is een meerjarentraject, dat vraagt om het ondersteunen van de visie van horizontaal toezicht en vervolgens om een investering in tijd en capaciteit. Maar het resultaat verdient zich uiteindelijk terug. De stap om deze professionalisering door te maken zou iedere instelling zichzelf en haar patiënten moeten gunnen. Kees Hamster: Het vereist opbouw van de expertise over horizontaal toezicht en een scherpe focus op het gezamenlijk hierin optrekken als zorgverzekeraars. Zorgverleners mogen van ons verwachten dat we eenduidig en voorspelbaar zijn in onze communicatie en ons gedrag. Op die manier ontstaat een betere balans tussen de partijen en een grond voor samenwerking en verdergaand vertrouwen. Jankees Cappon: Betrek de hele organisatie en heb de ambitie om samen met de organisatie de risico’s in beeld te brengen en de processen aan de bron te verbeteren. Vooral taken en verantwoordelijkheden kunnen hierdoor wijzigen en het vraagt om gedragsverandering. De “Tone on at the Top” is belangrijk. Pak dit onderwerp ook samen met de medische staf op. Onderken daarnaast dat dit een investering is en dat hiervoor middelen beschikbaar moeten worden gesteld. 26 Baten zorgverzekeraar OPE R AT I O N E E L S TA C T I S C H AT E G I S C H TR HORIZONTAAL TOEZICHT STRATEGISCH -Meer samenwerking en wederzijds vertrouwen -Op effectieve en efficiente manier invulling geven aan taken en verantwoordelijkheden TACTISCH Voordelen voor de zorgverzekeraar •Zorgverzekeraar geven invulling aan de maatschappelijke verantwoordelijkheid voor kostenbeheersing en correcte en gepaste uitgaven van de zorgeuro’s in het belang van de verzekerden. •Proactief en voorafgaand aan de declaratie wordt zekerheid verkregen over de nota zodat verrekening van eigen risico tijdig en op een juiste manier plaatsvindt. •Grotere transparantie en vergrote zekerheid ten aanzien van de zorguitgaven. Dit komt de zuiverheid van de verevening ten goede, maar helpt ook het contracterings- en premieproces. •De doorlooptijd van controles zullen afnemen, dus sneller zekerheid over de schadelast. •Capaciteit op beheersing en rechtmatigheid van de zorguitgaven wordt door het representatiemodel van zorgverzekeraars of een zo effectief en efficiënt mogelijke manier ingezet. •Meer omzet wordt verantwoord als rechtmatig ten opzichte van de verticale controles. Door meer maatwerk en de risicogerichte benadering worden per ziekenhuis de juiste risico geselecteerd. -Sneller en meer zekerheid zorguitgaven -Vermindering administratieve lasten -Minder rework op reeds uitbetaalde nota’s -Effectieve dialoog met zorgaanbieder OPERATIONEEL -Vermindering achterafcontroles -Nota in één keer goed voor de patiënt -Minder correctie op verrekeningen eigen risico - Bewustwording verantwoordelijkheden -Meer grip op wet- en regelgeving - Eenduidigheid werkwijze zorgverzekeraars 27 Ervaringen uit de praktijk (5) Wat levert horizontaal toezicht op voor uw verzekerden (als premiebetaler of als patiënt)? Frank Janssen: Onze klanten krijgen sneller en beter inzicht in hun eigen zorgkosten. Doordat de controle al plaatsvindt bij het leveren van de zorg, wordt een extra controle achteraf voorkomen. Daardoor krijgt onze klant eerder een overzicht van de geleverde zorg. Het overzicht met geleverde zorg, inclusief een overzicht van het eigen risico, wordt achteraf niet meer gewijzigd. Dit gebeurt nu soms wel. Dus in dit opzicht voorkomt horizontaal toezicht veel onbegrip bij onze klanten. Wat levert horizontaal toezicht op voor uw patiënten? David Voetelink: Er is snel een correcte declaratie, er zijn minder correcties achteraf en er is sneller duidelijkheid over het eigen risico. Jankees Cappon: Doordat de bronregistratie goed is ingericht en minder correcties achteraf plaatsvinden, ontvangt de patiënt eerder de factuur en de opbouw van de rekening en heeft hij minder last van correcties op zijn declaraties en/of verrekening met het eigen risico. Kees Hamster: Voor individuele klanten biedt het meer houvast over de eigen zorgkosten en voor onze klanten als collectief zal het vertrouwen groeien dat zorgaanbieders en zorgverzekeraars samen werken aan goede en betaalbare zorg, in plaats van tegenover elkaar staan. Daarmee dragen we ook bij aan een andere sfeer in de zorg. Minder bureaucratie, meer tijd voor de zorg waar het om draait. 28 Berekening verschil kosten Handreiking versus Horizontaal Toezicht Toelichting voorbeeldberekening In deze voorbeeldberekening worden de kosten voor het uitvoeren van het zelfonderzoek (Handreiking) afgezet tegen de verwachte kosten voor Horizontaal Toezicht. Deze berekening is afkomstig van een middelgroot ziekenhuis (omzet € 400 mln.) die naar verwachting tegen de volwassenheidsnorm uit het instapmodel aanzit. In deze inschatting zijn de structurele kosten van Horizontaal Toezicht gelijk aan de kosten van de Handreiking. Wel wordt hier nadrukkelijk bij opgemerkt dat Horizontaal Toezicht veel voordelen oplevert, zoals het in control zijn van de organisatie en sneller zekerheid over de omzet, maar dat deze niet gekwantificeerd zijn in deze berekening. Zie voor meer voordelen: baten zorgaanbieder. Overgang naar Horizontaal Toezicht Jaar X + 1 EUR Doorlopende kosten Handreiking 245.000 Invullen implementatiemodel 8.000 Investering Bespreken RvB/Medische staf/audit commissie 8.000 Investering Beschrijven zorgprocessen/verbeterpunten implementatiemodel 81.000 Investering Verkennen control framework 8.000 Investering Competentie interne audit upgraden 31.000 Structureel 381.000 Jaar X + 2 EUR Doorlopende kosten Handreiking 195.000 Leereffect, dus 20% minder Procesverbeteringen inzet ZA 36.000 Investering Procesverbeteringen inzet ZIS 45.000 Investering Procesverbeteringen inzet Auditafdeling 11.000 Investering Prijsverschil HBO-MBO op zorgadministratie 79.000 Structureel Prijsverschil ervaring versus starter op audit 31.000 Structureel Vullen control framework 45.000 Investering (75%) + structureel (25%) BI of auditing tools voor control testing* 100.000 Investering (80%) *wanneer dit wordt uitbesteed liggen deze kosten aanzienlijk hoger + structureel 542.000 Kosten Handreiking jaar X EUR Inhuur externen uitvoer + correctie 65.000 Uitvoer medewerker auditafdeling 30.000 Uitvoer medewerkers zorgadministratie 18.000 Bouw datafreeze + queries + review queries 14.000 ICT component database 10.000 Coordinatie operational audit 68.000 Terugkoppeling artsen/RvB/management/medewerkers 25.000 Rapport van bevindingen accountant 15.000 245.000 Jaar X + 3 EUR Doorlopende kosten Handreiking 122.000 Leereffect, dus 50% minder Procesverbeteringen inzet ZA 5.000 Structureel Procesverbeteringen inzet ZIS 11.000 Structureel Procesverbeteringen inzet Auditafdeling 11.000 Structureel Prijsverschil HBO-MBO op zorgadministratie 79.000 Structureel Prijsverschil ervaring versus starter op audit 31.000 Structureel Onderhoud control framework + testing 90.000 Structureel BI of auditing tools voor control testing 20.000 Structureel Externe kosten (o.a. assurance en inhuur expertise AO/IC) 60.000 Investering (50%) + structureel (50%) 429.000 Jaar X + 4 (volledig over op HT) EUR HR 0 Niet meer van toepassing Procesverbeteringen inzet ZA 5.000 Structureel Procesverbeteringen inzet ZIS 11.000 Structureel Procesverbeteringen inzet Auditafdeling 11.000 Structureel Eens per 3 jaar implementatiemodel updaten (tbv inzicht RvB en RvT)3.000 Structureel Prijsverschil HBO-MBO op zorgadministratie 79.000 Structureel Prijsverschil ervaring versus starter op audit 31.000 Structureel Onderhoud control framework + testing 90.000 Structureel BI of auditing tools voor control testing 20.000 Structureel Externe kosten (o.a. assurance en inhuur expertise AO/IC) 30.000 Structureel Vermindering Rework door wegvallen achterafcontroles -35.000 Structureel 245.000 29 Ervaringen uit de praktijk (6) Wat zijn de belangrijkste succesfactoren voor horizontaal toezicht? Wat zijn de belangrijkste succesfactoren voor horizontaal toezicht? David Voetelink: Commitment van de Raad van Bestuur, betrokkenheid van zorgprofessionals, transparantie en wederzijds vertrouwen dienen als uitgangspunten voor informatie-uitwisseling. Dit vraagt een cultuuromslag bij zowel zorginstellingen, zorgverzekeraars als de toezichthouder. Frank Janssen: Samenwerking in de keten. Dit vraagt een bijdrage van regelgevers, zorgaanbieders, zorgverzekeraars en toezichthouders. Ook voor toezichthouders is het een grote stap om deze vorm van controleren mogelijk te maken. Vertrouwen tussen alle partijen in de keten is ook een succesfactor. Vertrouwen in elkaar en in het proces om te komen tot horizontaal toezicht. Jankees Cappon: Betrokkenheid van bestuurders, medisch specialisten en management en draagvlak bij de eigen Raad van Toezicht en externe toezichthouder/NZa is een absolute voorwaarde. Daarnaast moeten de zorgverzekeraars zich bij horizontaal toezicht committeren aan een gezamenlijke benadering per ziekenhuis. Een succesfactor is zeker ook dat geen stapeling plaatsvindt van interne en externe controles en ruimte is voor leren. Kees Hamster: Er ligt een goed uitgewerkt plan hoe we als sector dit kunnen omarmen. Belangrijkste succesfactor daarbij is de benodigde bestuurlijke aandacht voor de uitvoering ervan. Daarbij moeten we bereid zijn elkaar aan te sporen, scherpte te tonen en er begrip voor te hebben dat er gedurende de invoering issues optreden die we in gezamenlijkheid moeten oplossen. 30 Instapmodel HT 31 Instapmodel HT Wat is het instapmodel? Aan de hand van het instapmodel Horizontaal Toezicht Zorg kan een zorgaanbieder een quickscan van de organisatie maken om vast te stellen in hoeverre de organisatie gereed is om over te gaan op Horizontaal Toezicht. Het instapmodel is een vertaling van randvoorwaarden naar toetsbare normen. Deze normen hebben betrekking op de organisatie, besturing en beheersing van zorgaanbieders en zijn gebaseerd op internationaal bewezen methodologie (o.a. COSO en Cobit), maar dan specifiek gemaakt voor de zorgbranche en geconcentreerd rondom rechtmatigheid van de zorgdeclaraties. Doel van het instapmodel is vaststellen of een zorgaanbieder in staat is om effectief een Horizontaal Toezicht relatie aan te gaan en waar verbeteringen nodig zijn. Het instapmodel is een bewuste stap in het Horizontaal Toezicht proces. Het voorkomt dat direct capaciteit en middelen worden ingezet bij het inhoudelijke controleraamwerk, terwijl de randvoorwaarden nog niet op orde zijn. Totstandkoming Het instapmodel is opgezet door PWC in opdracht van zorgverzekeraar Menzis. Dit instapmodel is verder uitgewerkt in samenwerking tussen de zorgverzekeraars CZ, Menzis, VGZ en Zilveren Kruis en diverse zorgaanbieders vanuit de Horizontaal Toezicht pilots. Dit proces is gefaciliteerd door PWC. KPMG heeft het model gereviewed. Tot slot is het instapmodel toegepast en aangescherpt naar aanleiding van een 0-meting bij de pilot instellingen van Menzis (drie ziekenhuizen en drie GGZ-instellingen). Bij zowel de opzet van het instapmodel, als de duiding van de verschillende niveaus is gebruik gemaakt van uitgangspunten van internationaal bewezen methodologieën zoals COSO ERM en COBIT. De Compliance handvatten uit NZa/Berenschotrapport ‘Compliant Registreren en Declareren’ (7S-model) zijn verwerkt in het Instapmodel, alsmede de richtlijnen vanuit het ‘Head handreiking control framework’. In dit instapmodel komen ook governance-elementen van een instelling aan bod. Zie ook rapport ‘Toezicht op Goed Bestuur’ van NZa en IGZ. Opzet Instapmodel Het instapmodel Horizontaal Toezicht Zorg bestaat uit 6 categorieën, 15 subcategorieën, en in totaal 29 normen. De opzet is hieronder weergegeven. 1 In- en externe omgeving 2 Bedrijfsvoering 3 Registratie en Declaratie 4 Risico Management 5 Monitoring en Testing 6 Assurance 32 5 niveaus Toepassing Voor elk van de 29 normen zijn 5 niveaus uitgewerkt, waarbij steeds de volgende uitgangspunten zijn meegenomen. 1. Initieel. De organisatie opereert voornamelijk naar aanleiding van incidenten. Kwesties worden ad hoc opgepakt en afgehandeld wanneer zij zich voordoen. 2. Informeel. Rollen en verantwoordelijkheden zijn voornamelijk informeel neergelegd en uitvoering gebeurt op basis van ervaring met processen. Er is geen formele training, communicatie of standaardisatie. De verantwoordelijkheid ligt bij de persoon die de taak uitvoert. 3. Gestandaardiseerd. Processen zijn gestandaardiseerd, gedocumenteerd en worden gecommuniceerd (bijvoorbeeld via training). Het volgen van deze processen is nog altijd vooral een persoonlijke aangelegenheid. Afwijkingen van de schriftelijke procedure blijven mogelijk onopgemerkt. De gedocumenteerde processen hebben nog geen efficiëntietoets ondergaan, hoewel er wel sprake is van codificatie van de bestaande procedures. 4. Beheerd. Processen worden actief bewaakt en afwijkingen opgemerkt. Processen worden op efficiënte wijze getoetst en voortdurend verbeterd. 5. Geoptimaliseerd. Processen zijn gebaseerd op best practices, er wordt voortdurend gekeken of zich mogelijkheden voor verbetering voordoen en er vindt benchmarking met de processen van andere organisaties plaats. De kwaliteit en efficiëntie van processen is hoog en de organisatie is in staat zich snel aan te passen. Nadat een zorginstelling op basis van de businesscase tot de veronderstelling is gekomen dat invoering van Horizontaal Toezicht voor de organisatie zinvol en waardevol is, kan op basis van het instapmodel bepaald worden of de instelling ook daadwerkelijk klaar is om over te gaan op een Horizontaal Toezicht relatie. Met behulp van het instapmodel HT kan een zorgaanbieder aantoonbaar maken dat de huidige mate van governance, besturing en compliance rondom de rechtmatigheid van de zorgdeclaraties voldoende is voor een effectieve Horizontaal Toezicht relatie. Dit betreft een kwalitatieve toets op organisatie- en beleidsniveau. Faciliteiten Koepelorganisaties NFU, NVZ en ZN faciliteren beschikbaarheid, toepassing en het beheer van het instapmodel. Hieronder is dit verder uitgewerkt: • Periodieke bijeenkomsten. Er worden proactief workshops georganiseerd, waar wordt uitgelegd wat het instapmodel is, waarom we het model toepassen en hoe het samenhangt met andere producten Horizontaal Toezicht Zorg. Daarna hebben deze bijeenkomsten meer een ‘good practice’ karakter waarbij delen van kennis en ervaringen centraal staat. • Online omgeving. Er komt een online omgeving beschikbaar met een vast format, zodat de 0-meting voor het instapmodel eenduidig uitgevoerd kan worden. • Instructie. Er is een (digitale) instructie beschikbaar op basis waarvan een zorgaanbieder de 0-meting zelfstandig kan invullen, met per norm achtergrondinformatie. • Q&A. Er is een Q&A beschikbaar in de online omgeving waar de invuller antwoorden kan vinden bij de meest gestelde vragen. • Hulplijn. Er is een ondersteuning en begeleiding beschikbaar bij vragen bij het invullen. 33 Belangrijk bij toepassing instapmodel Voor de toepassing van het instapmodel zijn onderstaande uitgangspunten van toepassing. • Opzet. Met het instapmodel toetst de zorgaanbieder het niveau (1 tot 5) van 29 normen die belangrijk zijn bij een Horizontaal Toezicht relatie. Dit betreft een kwalitatieve toets op organisatie- en beleidsniveau. • Norm. De norm voor geschiktheid voor Horizontaal Toezicht is een gemiddelde van een 3 (score 1-5) op categorieniveau (6 categorieën), zonder een score van een 1 op subcategorieniveau (15 subcategorieën). • Uitkomst. De uitkomst van de quickscan is niet goed of fout, maar leidt tot een intern verbeterplan (in geval niet wordt voldaan aan de norm) of een gesprek met de representerende zorgverzekeraar voor de implementatie van het Control Framework (indien wel wordt voldaan). Ook over het interne verbeterplan kan gesproken worden met de representerende zorgverzekeraar. • Aantonen. De instelling geeft een toelichting op de gemaakte keuzes voor alle 29 normen. Tevens voegt de instelling op onderdelen bewijsvoering toe om dit te onderbouwen. Hiervoor zijn eenduidige richtlijnen en instructies van toepassing. • Groeimodel. Zorgaanbieders kunnen per norm aangeven welke groei ambitie de organisatie op een betreffend onderdeel heeft (1-5). Het instapmodel is daarmee ook een groeimodel. • Validatie. Van belang is dat er een kwalitatief en zo objectief mogelijk oordeel over de huidige stand van zaken is, welke gebruikt kan worden in de dialoog met representerende zorgverzekeraar. Het valideren van de uitkomsten door bijvoorbeeld deskresearch of interviews is daarom van belang. Dit kan plaatsvinden door zorgverzekeraars, peer review door ziekenhuizen of een onafhankelijke derde partij. 34 1 2 3 4 5 6 Instapmodel HT 1 In- en externe omgeving 2 Bedrijfsvoering 3 Registratie en Declaratie 4 Risico Management 5 Monitoring en Testing 6 Assurance 35 1 1 2 3 4 5 6 In- en externe omgeving 1.1 Strategie 1.1.1 Bedrijfsstrategie 1.1.2 Compliance strategie Horizontaal Toezicht in de zorg 1.1.3 Visie Horizontaal Toezicht in de zorg 1.2 Stakeholder management 1.2.1 Intern (medisch specialist/ zorgprofessional/ zorgadministratie) 1.2.2 Extern 1.3 Soft Controls 1.3.1 Missie en kernwaarden 1.3.2 Toon aan de top 1.3.3 Houding en gedrag 36 1 2 3 4 5 6 1.1.1 STRATEGIE | Bedrijfsstrategie Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er is geen duidelijke visie en missie. Strategische beslissingen worden genomen op basis van onderbuikgevoel of intuïtie, niet op basis van de feitelijke situatie. Het belang van een visie en missie wordt op managementniveau erkend, maar is niet geformaliseerd en wordt niet effectief binnen de organisatie gecommuniceerd. Er bestaat consensus over de visie en missie en tevens is documentatie beschikbaar voor stakeholders. Over de effectiviteit van de communicatie bestaat onduidelijkheid.Wel worden maatregelen genomen om de activiteiten op de visie en missie van de organisatie aan te laten sluiten. De visie en missie is vastgesteld, gedocumenteerd en wordt efficiënt gecommuniceerd richting interne en externe stakeholders. Er word intern actie ondernomen om aansluiting op de visie en missie te borgen. Visie en missie zijn overeengekomen, gedocumenteerd, helder geformuleerd, worden door alle stakeholders begrepen en vormen de basis voor alle besluitvorming. Visie en missie worden voortdurend bewaakt met behulp van Key Performance Indicators (KPI’s). 1.1.2 STRATEGIE | Compliance strategie horizontaal toezicht in de zorg Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er is geen specifieke compliance strategie. Beslissingen rondom het voldoen aan wet- en regelgeving (rechtmatigheid) worden niet gebaseerd op feiten en omstandigheden maar op basis van een onderbuikgevoel. Het belang van een specifieke strategie voor het voldoen aan weten regelgeving (rechtmatigheid) wordt onderkend, echter is deze niet geformaliseerd en wordt niet gecommuniceerd binnen de organisatie. Een compliance strategie is geformaliseerd en gedocumenteerd en ziet op rechtmatigheid en doelmatigheid van geleverde zorg. De strategie is niet helder gecommuniceerd en staat los van de algemene strategie, maar men probeert hier zoveel mogelijk bij aan te sluiten. De compliance strategie (op rechtmatigheid en doelmatigheid) van geleverde zorg is vastgesteld, gedocumenteerd en effectief gecommuniceerd naar zowel interne als externe stakeholders. De compliance strategie is afgestemd op de algemene strategie en de risicobereidheid is geëxpliciteerd. De compliance strategie is gedocumenteerd, helder gecommuniceerd en afgestemd met alle stakeholders en ziet op zowel rechtmatigheid en doelmatigheid van geleverde zorg als risicobereidheid. Ten aanzien van het nemen van beslissingen wordt zwaar geleund op het voldoen aan wet- en regelgeving. De compliance strategie wordt voortdurend bewaakt en bijgesteld in het geval van nieuwe wet- en regelgeving en afgestemd met stakeholders. 37 1 2 3 4 5 6 1.1.3 STRATEGIE | Visie horizontaal toezicht in de zorg Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Het management is op de hoogte van horizontaal toezicht (voor wat betreft rechtmatigheid) in de zorg, maar er is geen duidelijke visie op de impact voor de organisatie. Horizontaal toezicht in de zorg (voor wat betreft rechtmatigheid) is in beeld bij de organisatie en staat op de agenda bij het management, maar is niet opgenomen in de doelstellingen van de organisatie. Af en toe wordt hierover gecommuniceerd naar de relevante stakeholders. Het thema horizontaal toezicht in de zorg is een terugkomend agendapunt bij het management en is opgenomen in de doelstellingen van de organisatie. Het wordt gecommuniceerd richting medewerkers en externe stakeholders, zoals zorgfinanciers. De organisatie heeft een duidelijk beeld bij de visie op horizontaal toezicht in de zorg, zowel wat betreft rechtmatigheid als doelmatigheid en heeft voor zichzelf de voor- en nadelen in kaart gebracht (de business case). De visie op horizontaal toezicht is vastgesteld, gedocumenteerd in de vorm van een business case en gecommuniceerd richting interne en externe stakeholders. Horizontaal toezicht in de zorg ,zowel wat betreft rechtmatigheid als doelmatigheid, hangt samen met de compliance strategie. Regelmatig wordt met in- en externe auditors gekeken of de visie nog wordt nageleefd en hoe de organisatie hier verbetering in kan brengen. Processen zijn gedocumenteerd. Horizontaal toezicht in de zorg, zowel wat betreft rechtmatigheid als doelmatigheid, is een strategisch speerpunt van de organisatie en komt zo ook terug in de doelstellingen en in de (compliance) strategie. Er zijn processen om de visie kracht bij te staan en documentatie voorhanden. Eveneens wordt de visie op regelmatige basis gecommuniceerd naar interne en externe stakeholders en kunnen zij ook aandachtspunten onder ogen brengen. Periodiek wordt dan ook geëvalueerd of horizontaal toezicht in de zorg wordt nagestreefd en of de opgestelde Key Performance Indicators (KPI’s) zijn nageleefd. 38 1 2 3 4 5 6 1.2.1 STAKEHOLDER MANAGEMENT | Intern (medisch specialist / zorgprofessional / zorgadministratie) Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Interne stakeholders, zoals de medisch specialist, zorgprofessional of zorgadministratie zijn niet of nauwelijks op de hoogte van (de visie) horizontaal toezicht in de zorg en het voldoen aan wet- en regelgeving. De noodzaak van het management om interne stakeholders te betrekken bij de visie, wordt nauwelijks erkend. Interne stakeholders zijn bewust van de visie van de instelling ten opzichte van horizontaal toezicht in de zorg, maar worden slechts zelden betrokken bij besluitvorming rondom compliance. De visie is gedocumenteerd,maar niet actief gecommuniceerd naar interne stakeholders. Afhankelijk van hoe afdelingen betrokken zijn bij compliance, zijn zij in staat om een bijdrage te leveren. Interne stakeholders worden zo veel mogelijk betrokken bij de visie horizontaal toezicht in de zorg en hoe te voldoen aan weten regelgeving (in de vorm van een compliance strategie). Het is voor interne stakeholders duidelijk hoe hun werk beïnvloed wordt hierdoor. Zij kunnen feedback geven, maar het is niet duidelijk of hier iets mee gedaan wordt. Periodiek vindt communicatie over de voortgang plaats. Er is een proces om interne stakeholders te betrekken bij een brede dialoog rondom de visie horizontaal toezicht in de zorg en de compliance strategie. De voordelen van horizontaal toezicht in de zorg (shared savings) zijn gecommuniceerd naar interne stakeholders. Er wordt door het management actie ondernomen om eventuele zorgen bij het medewerkers weg te nemen. Communicatie vindt plaats volgens een formeel communicatieproces. Met interne stakeholders wordt uitgebreid de dialoog aangegaan rondom de visie horizontaal toezicht in de zorg en de compliance strategie. Periodiek wordt geëvalueerd met interne stakeholders wat goed gaat en wat beter kan. Communicatie vindt proactief plaats en is transparant. Interne stakeholders zijn zich bewust van de impact van het voldoen aan wet- en regelgeving op hun werk. Stakeholders profiteren van de voordelen van horizontaal toezicht in de zorg (shared savings). Er is een verantwoordelijke (bijv. een Chief Compliance Officer) die zorgt dat alle interne stakeholders worden gehoord en betrokken zijn bij horizontaal toezicht in de zorg. 39 1 2 3 4 5 6 1.2.2 STAKEHOLDER MANAGEMENT | Extern Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Communicatie over de compliance strategie vindt plaats naar aanleiding van incidenten en gaat niet over het voorkomen ervan. De noodzaak om over compliance het gesprek met een bredere groep stakeholders aan te gaan, wordt slechts in beperkte mate erkend. Er is bewustzijn bij de relevante stakeholders en deze zijn in zekere mate op de hoogte van de aandachtspunten met betrekking tot het voldoen aan wet- en regelgeving van de organisatie (meestal via informele kanalen). Communicatie is afhankelijk van individuele behoeftes van de afdelingen. Er is een gedegen gedocumenteerd en gecommuniceerd beleid inzake de communicatie rondom compliance, waarin de belangrijkste onderwerpen zijn opgenomen. Relevante stakeholders zijn bekend, worden op de hoogte gehouden en hebben goed zicht op hun vereisten en/of aandachtspunten. De voordelen van horizontaal toezicht in de zorg zijn voor de organisatie kaart gebracht (business case). Er wordt regelmatig en op relevante wijze contact onderhouden tussen medewerkers van de diverse afdelingen en andere stakeholders. Communicatie over compliance wordt op een proactievemanier ingevuld, doorgaans met behulp van een formeel communicatieproces. De voordelen van horizontaal toezicht in de zorg zijn voor de organisatie in kaart gebracht en verdeeld tussen de financiers en de organisatie.geëxpliciteerd. Er is brede consensus over de vereisten van stakeholders. Deze zijn gedocumenteerd en kunnen door de betreffende stakeholders worden toegelicht. Communicatie vindt proactief, transparant en op begrijpelijke wijze plaats. De communicatie over compliance is in lijn met de visie, missie en strategische doelen en doelstellingen, alsmede met best practices. De voordelen van horizontaal toezicht zijn voor de organisatie in kaart gebracht, verdeeld tussen de financiers en de organisatie en worden continu herijkt. 40 1 2 3 4 5 6 1.3.1 SOFT CONTROLS | Missie en kernwaarden Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er is geen duidelijk beeld van de visie en missie rondom compliance, risicobereidheid, het gewenste gedrag of vooraf gedefinieerde criteria voor risico’s rondom compliance. Algemene compliance risico’s en mogelijke reputatieschade worden meegenomen in de besluitvorming. Het gewenste gedrag is impliciet bekend en sluit aan bij de algemene bedrijfsstrategie. Binnen de organisatie is er geen overeenstemming over risicobereidheid rondom het voldoen aan wet- en regelgeving. Het management heeft een duidelijk beeld van de visie en missie rondom compliance, compliance strategie en mate van risicobereidheid en dit is gedocumenteerd, gecommuniceerd en afgestemd op de algemene bedrijfsstrategie (inclusief het verwachte gedrag). Medische specialisten/ behandelaars zijn betrokken. Het handelen van medewerkers sluit hier echter niet altijd bij aan. Er zijn processen aanwezig om de activiteiten van de organisatie af te stemmen op de compliance strategie en mate van risicobereidheid. De gewenste houding en het gewenste gedrag worden in overeenstemming met medische specialisten/behandelaars afgestemd, gecommuniceerd en in acht genomen. Er wordt actie ondernomen om gevallen van ongewenst gedrag te managen en gedrag zo nodig te veranderen. Visie,missie en compliance strategie zijn volledig afgestemd met de medische specialisten/ behandelaars en vormen de basis voor alle besluitvormingsprocessen (in lijn met criteria voor risicobereidheid rondom het voldoen aan wet- en regelgeving). De waarden die hieruit volgen, komen tot uitdrukking in het gedrag van medewerkers. Er is een cultuur van voortdurende analyse, zelfevaluatie en verbetering. 1.3.2 SOFT CONTROLS | Toon aan de top Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd De organisatie heeft geen (duidelijke) visie op de (gewenste) compliance moraal, houding en gedrag. De gewenste compliancemoraal en houding van de organisatie is duidelijk vastgelegd (bijvoorbeeld in een gedragscode) en sluit aan bij de strategie van de organisatie. Het management erkent het belang hiervan voor de organisatie. De waarden van de organisatie rondom het voldoen aan weten regelgeving zijn duidelijk vastgelegd en gecommuniceerd (met name richting belangrijke beslissers). Deze waarden vertalen zich in de praktijk in verwacht (compliant) gedrag. Ethisch gedrag is regelmatig onderwerp van gesprek. Beslissingen met gevolgen voor compliance worden regelmatig geëvalueerd en afgezet tegen de waarden rondom compliance. Bovendien worden deze waarden periodiek gemeten, geanalyseerd en gecommuniceerd met het bestuur van de organisatie. De afstemming tussen de waarden rondomhet voldoen aan wet- en regelgeving en het daadwerkelijke gedrag van de organisatie wordt (continu) bewaakt, waarbij zo nodig actie wordt ondernomen. Deze waarden van de organisatie zijn verankerd in de besluitvorming van het senior of topmanagement en de toon aan de top (waardoor mag worden verwacht dat alle overige onderdelen van de organisatie zich hierbij aansluiten). Het management communiceert hier actief 41 over met stakeholders. 1 2 3 4 5 6 1.3.3 SOFT CONTROLS | Houding en gedrag Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Medewerkers en management zien compliance als een losstaand onderdeel van de bedrijfsvoering. Er is weinig aandacht voor het voldoen aan wet- en regelgeving. Medewerkers en management handelen op basis van een onderbuikgevoel rondom weten regelgeving. Er bestaat weinig communicatie over compliance en hoe dit is verankerd in de bedrijfsvoering. Regels rondomde gewenste houding en gedrag zijn vastgelegd en het belang wordt onderkent door het management. Een ongewenste houding en ongewenst gedrag wordt besproken door het management en resultaten hiervan worden besproken met het management. Regelmatig wordt de houding en het gedrag van medewerkers enmanagement geëvalueerd. Periodiek wordt de compliance strategie gecommuniceerd en afgezet tegen de praktijk. Er zijn processen aanwezig om medewerkers en management te sturen en te helpen rondom het voldoen aan wet- en regelgeving. De houding en het gedrag van iedereen binnen de organisatie is in lijn met de compliance strategie en met de algemene strategie. Voortdurend wordt dit geëvalueerd en over gerapporteerd. Compliance is verankerd in het DNA van de organisatie en zo wordt dit ook ervaren door het medewerkers en het management. Daarnaast spreken medewerkers elkaar ook aan wanneer niet wordt voldaan aan de compliance strategie. 42 1 2 3 4 5 6 2 Bedrijfsvoering 2.1 Bedrijfsproces 2.1.1 Typologie 2.1.2 Documentatie 2.2 Compliance en organisatie 2.2.1 Rollen en verantwoordelijkheden 2.2.2 Competenties 2.2.3 Compliance functie Horizontaal Toezicht 2.3 IT 2.3.1 General IT Controls 43 1 2 3 4 5 6 2.1.1 BEDRIJFSPROCES | Typologie Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er is geen typologie gehanteerd om de bedrijfsprocessen te bepalen. Bij het management wordt niet de noodzaak gevoeld om een typologie door te voeren voor het bepalen van de bedrijfsprocessen. Het management ziet de noodzaak in van een typologie voor het bepalen van de bedrijfsprocessen, maar heeft deze slechts op een beperkt aantal onderdelen doorgevoerd. Een eenduidige typologie voor een zorginstelling is gebruikt om de bedrijfsprocessen te bepalen. Deze typologie zorgt ervoor dat de belangrijkste processen zijn geïdentificeerd. Een typologie is doorgevoerd binnen de hele organisatiemet aandacht voor het geheel aan bedrijfsprocessen. Intern wordt door de third line of defence vastgesteld dat de meeste risico’s zijn afgedekt door middel van procedures.Medewerkers zijn in staat om hiaten door te geven aan het management en follow-up planning te realiseren en bewaken. De typologie van een zorginstelling is volledig doorgevoerd in de bedrijfsprocessen. De volledigheid, juistheid, rechtmatigheid en doelmatigheid van opbrengsten is duidelijk verantwoord, evenals de uitgaven. Periodiek wordt geëvalueerd of de typologie nog werkt. De typologie helpt de onderneming om kansen en bedreigingen te zien voordat ze zich voordoen, evenals potentiële hiaten in bepaalde bedrijfsprocessen. 2.1.2 BEDRIJFSPROCES | Documentatie Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Processen zijn meestal niet gedocumenteerd, of de documentatie is verouderd, en de organisatie vertrouwt op de kennis van individuele personen. Overkoepelende procedures voor onderdelen van de organisatie zijn doorgaans niet geïntegreerd. Er is sprake van een beperkte mate van documentatie van processen en integratie van procedures,maar (nog) niet van een uniforme aanpak. Het actueel houden van deze processen en procedures is geen aandachtspunt. Er is sprake van een duidelijk omschreven, effectief gecommuniceerd kader voor het documenteren van processen, plus procedurele handleidingen, die worden begrepen en nageleefd. De documentatie wordt opgeslagen, regelmatig bijgewerkt en in een elektronische omgeving waar alle relevante gebruikers er toegang toe hebben. De naleving van documentatienormen en het ontwikkelen en in stand houden van procedures wordt gewaarborgd door beheersmaatregelen, wat mede zorgt voor een gestandaardiseerde set aan documentatie (document management systeem). Achteraf wordt feedback ingewonnen bij bedrijfsonderdelen en gebruikers als onderdeel van een procesvan voortdurende verbetering. Er vindt toezicht plaats op het proces voor het ontwikkelen, documenteren en in stand houden van processen en procedures, waarbij zo nodig best practices worden overgenomen en wordt aangepast op basis van de documentatienormen van de organisatie (documentmanagement systeem). Documentatie wordt bijgewerkt naar aanleiding van organisatorische en operationele wijzigingen en is beschikbaar voor naslag en monitoring en wordt in of extern gevalideerd op toereikendheid. 44 1 2 3 4 5 6 2.2.1 COMPLIANCE EN ORGANISATIE | Rollen en verantwoordelijkheden Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Het toezicht op het proces van verslaglegging rondom het voldoen aan wet- en regelgeving en wie wat doet is onduidelijk. Er worden geen (externe) deskundigen betrokken. Het proces wordt geleid door de financiële administratie met minimale inbreng van compliance specialisten. Er is een ongeschreven verdeling van rollen en verantwoordelijkheden, maar de eindverantwoording en -verantwoordelijkheid voor de positie rondom het voldoen aan wet- en regelgeving is voor betrokkenen onduidelijk. Waarschijnlijk nemen medewerkers van Financiën het voortouw. Rollen en verantwoordelijkheden zijn gedefinieerd en beschreven, maar er is geen end-to-end systeem voor het prestatiemanagement van medewerkers. Hoewel vanuit het ‘3 lines of defence model’ de rollen en verantwoordelijkheden zijn beschreven, worden deze niet optimaal benut. Waarschijnlijk neemt Financiën het voortouw. De rol van de externe accountant is duidelijk vastgelegd. Alle medewerkers op alle afdelingen en op alle locaties hebben duidelijke rollen en verantwoordelijkheden op basis van het ‘3 lines of defence model’. De resultaten worden bewaakt en de informatie in alle waarschijnlijkheid gebruikt voor interne rapportage. Alle medewerkers op alle afdelingen en op alle locaties hebben duidelijke rollen en verantwoordelijkheden en de prestaties en tevredenheid van medewerkers wordt bewaakt. Hierbij is het ‘3 lines of defence model’ ingebed in de organisatie. Indien noodzakelijk worden externe specialisten ingeschakeld. Voor iedereen in de organisatie zijn de verantwoordelijkheden duidelijk. 2.2.2 COMPLIANCE EN ORGANISATIE | Competenties Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Dagelijkse werkzaamheden worden uitgevoerd op basis van routine. Er is sprake van een impliciete taakverdeling, functieprofielen zijn niet gedocumenteerd en gecommuniceerd. Focus is op eigen activiteiten. “Learning by doing” is het uitgangspunt. De noodzaak van het toepassen van competenties in functieprofielen wordt erkend, maar krijgt geen opvolging. Functieprofielen zijn op algemeen niveau gedocumenteerd, maar niet actief gecommuniceerd. Taken zijn verdeeld, maar het is voor medewerkers niet duidelijk aan welke eisen zij dienen te voldoen. Slechts zelden wordt herkend door medewerkers dat werkzaamheden gelinked zijn aan of overlappen met andere functies. Functieprofielen zijn gedocumenteerd en worden, indien mogelijk, ingevuld met inachtneming van de voor de functie benodigde competenties. Taken zijn verdeeld op basis van functies en zijn voldoende ingebed in de organisatie. Wanneer competenties ontbreken voor een bepaalde taak, worden medewerkers ad hoc ingezet. Medewerkers dienen zelf actief aan te geven of zij behoefte hebben aan (bij)scholing. Functieprofielen zijn voorzien van alle competenties voor de functie. Ze zijn consistent voor de gehele organisatie, zijn gecommuniceerd en zijn goed bekend en ingebed in het dagelijks handelen. Voor medewerkers is het duidelijk wat van hen verwacht wordt. Het voldoen aan competenties wordt gemonitord door middel van Key Performance Indicators (KPI’s) voor het medewerkers. (Bij)scholing/ cursussen zijn gelinked aan de benodigde competenties. Competenties zijn gedocumenteerd in functieprofielen en worden actief gecommuniceerd. De functieprofielen zijn afgeleid van taken en bevoegdheden van het medewerkers en worden periodiek bijgewerkt. Er is een functiemix van competenties binnen de diverse afdelingen. Scholing en het verwerven van competenties is geïntegreerd in het medewerkersbeleid van de organisatie. Het niveau van de medewerkers en het opleidingsbudget ondersteunt het behalen van het gewenste com45 petentieniveau. 1 2 3 4 5 6 2.2.3 COMPLIANCE EN ORGANISATIE | Compliance functie Horizontaal Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd De organisatie heeft geen vastgelegde compliance strategie. De compliance functie wordt als een losstaand bedrijfsonderdeel gezien, waarmee weinig tot geen rekening gehouden wordt: er is geen accountability. Rapportage vindt slechts plaats naar aanleiding van incidenten. Compliance wordt als bureaucratische verplichting ervaren en de lijn wordt niet proactief betrokken. Het management erkent niet de noodzaak van het integreren van de compliance functie in de reguliere bedrijfsprocessen. Er is een impliciete compliance strategie, waarbij compliance op het netvlies van de werknemers staat. De compliance functie communiceert niet frequent en informeel met de lijn. In slechts een aantal processen is compliance geïntegreerd en dan alleen op hoofdlijnen. Wanneer incidenten zich voordoen worden deze opgepakt en wordt de verantwoordelijkheid genomen, een escalatie en een verbeterproces is echter niet geformaliseerd. Bij managementoverleg wordt over compliance gesproken, vertaling en implementatie in de lijn ontbreekt. De compliance functie is geformaliseerd, maar is niet volledig geïntegreerd binnen de bedrijfsvoering. Compliance staat op de agenda van het management, maar de impact en wegingsfactor bij besluitvorming is beperkt. Compliance is geïncorporeerd in de voornaamste processen, dit is gedocumenteerd en gecommuniceerd naar de betrokken medewerkers. Issues worden gecommuniceerd naar het management, gemonitord en (proces)verbeteringen worden doorgevoerd waar nodig. De compliance functie is een integraal onderdeel van de organisatie, staat in een continue dialoog met alle (relevante) afdelingen en compliance is ingebed in bedrijfsprocessen. Deze processen worden periodiek gemonitord en verbeterd, waar mogelijk. Compliance staat nadrukkelijk op de agenda van het management en is geïncorporeerd in de bedrijfsstrategie. Het is voor iedere medewerker duidelijk wat voor een impact hun handelen op compliance heeft. De compliance functie produceert data en rapporteert hierover met het doel inzicht te geven en de dialoog tussen het management en de diverse inen externe toezichthouders te vergemakkelijken. De compliance strategie is gedocumenteerd en gecommuniceerd. De compliance functie maakt integraal onderdeel uit van de bedrijfsvoering en is op deze manier geïntegreerd in de bedrijfsprocessen. Het proces en de controls sluiten aan op een kans x impact-analyse (bijv. een risicomatrix). De impact van compliance wordt meegewogen bij besluitvorming en gemonitord. Er is sprake van een continu verbeterproces. Periodiek wordt aan de Raad van Bestuur gerapporteerd over alle zaken die de compliance functie aangaan. De organisatie heeft een continue dialoog met cliënten en externe stakeholders. 46 1 2 3 4 5 6 2.3.1 IT | General IT Controls Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd De organisatie heeft General IT Controls, maar het is niet duidelijk wat dit betekent voor de bedrijfsvoering. Het is niet besproken op managementniveau. Het inbedden van General IT Controls gebeurt naar aanleiding van incidenten. Er zijn geen processen gedocumenteerd voor IT controls die te maken hebben met de bedrijfsvoering. Compliance data wordt opgevraagd bij diverse stakeholders, omdat de compliance afdeling meerdere systemen gebruikt. General IT Controls voor de bedrijfsvoering worden erkend, maar niet specifiek geïmplementeerd. Toegangsrechten worden op organisatieniveau toegekend en de afdeling bedrijfsvoering levert input op IT controls op een informele manier en slechts op basis van individuele gevallen. Er is geen proces voorhanden om de documentatie van General IT Controls te waarborgen. Het IT landschap binnen de organisatie heeft (applicatie) controls die de integriteit en beveiliging van compliance data waarborgen. De compliance functie heeft specifieke General IT Controls geïmplementeerd, die relevant zijn voor de bedrijfsvoering. Een proces zorgt ervoor dat de compliance functie input kan leveren op IT controls / functies. Relevante geautomatiseerde controls die van essentieel belang zijn voor de compliance functie worden overwogen. General IT Controls zijn geformaliseerd, gedocumenteerd en gecommuniceerd naar relevante stakeholders en eindgebruikers. De compliance functie is onderdeel van de General IT Controls. De compliance afdeling heeft geïntegreerde datasoftware, die data kunnen delen met andere afdelingen. Consistente data integriteit controls zijn geïmplementeerd om IT risico’s te mitigeren. De compliance afdeling houdt zich veel bezig met het leveren van input op IT controls. Problemen met toegangsrechten en specifieke (compliance) IT risico’s worden opgelost wanneer zij zich voordoen. General IT Controls die gerelateerd zijn aan de compliance functie worden constant gemonitord om specifieke (compliance) IT risico’s te adresseren. General IT Controls zijn volledig aangesloten bij compliance processen en bij andere organisatorische processen. General IT Controls worden constant gemonitord en continu waar mogelijk verbeterd. De compliance functie is gewaarborgd door middel van toegangsrechten. De compliance functie maakt gebruik van verschillende rapportage technieken. Deze technieken zijn bekend bij de eigenaars van General IT Controls. Data integriteit is gewaarborgd in het hele IT landschap en General IT Controls zijn ‘agile’ opgesteld, zodat deze kunnen worden aangepast aan toekomstige wensen. 47 1 3 2 3 4 5 6 Registratie en Declaratie 3.1 Richtlijnen en medisch beleid 3.1.1 Richtlijnen 3.1.2 Medisch beleid 3.2 Zorgregistratie en declaratie 3.2.1 Proces PRSADI (Prijsstelling/ Registratie/ Samenvatten/ Afleiden/ Declareren/ Incasso) 3.2.2 Rollen en verantwoordelijkheden 48 1 2 3 4 5 6 3.1.1 RICHTLIJNEN EN MEDISCH BELEID | Richtlijnen Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Richtlijnen zoals opgelegd door de verschillende weten regelgevers (NZa, IGZ, ZiN, etc.) en privaatrechtelijke afspraken met zorgfinanciers zijn informeel bekend en niet geïntegreerd in de reguliere werkprocessen. Documentatie, indien aanwezig, is niet aantoonbaar actueel en medewerkers weten (onvoldoende) waar ze deze kunnen vinden. Naleving van richtlijnen heeft geen prioriteit voor het management. Het eigenaarschap van de toetsing op de naleving van de richtlijnen is niet geborgd. Naleving van de richtlijnen is een agendapunt van het management, maar er wordt informeel invulling aan gegeven. Richtlijnen zijn gedocumenteerd, maar niet of beperkt door vertaald naar de organisatie. De inbedding in de dagelijkse activiteiten is beperkt, er wordt weinig rekening gehouden met het naleven van richtlijnen in de werkprocessen. Er bestaat een medisch beleid, echter is het voor medewerkers en management niet duidelijk hoe de richtlijnen hierin verweven zijn. Bij incidenten stelt het management iemand verantwoordelijk voor de toetsing op de naleving van de richtlijnen. Richtlijnen zijn gedocumenteerd en worden bijgehouden en bijgewerkt, waar nodig. De richtlijnen dienen als basis voor het medisch beleid. In de meeste werkprocessen zijn richtlijnen geïntegreerd. Jaarlijks wordt getest of de richtlijnen actueel zijn en of processen voldoen aan deze richtlijnen. Het management is bewust van de impact van het niet voldoen aan richtlijnen en stuurt het medewerkers hierop aan. Werknemers nemen verantwoordelijkheid wanneer het aankomt op de naleving van richtlijnen. Verantwoording hierover wordt vooral afgelegd aan interne stakeholders. In de werkprocessen zijn richtlijnen geïntegreerd en wordt er periodiek gemonitord op naleving van de richtlijnen. Management en medewerkers voelen zich verantwoordelijk en betrokken en weten wat de impact is van het niet naleven van richtlijnen. Het medisch beleid is opgesteld met inachtneming van de richtlijnen die zijn opgelegd door de verschillende weten regelgevers (NZa, IGZ, ZiN etc.) alsmede privaatrechtelijke afspraken met zorgfinanciers. Er bestaat een proces om de actualiteit van de richtlijnen te toetsen. Richtlijnen zoals opgelegd door de verschillende wet- en regelgevers (NZa, IGZ, ZiN etc.), maar ook privaatrechtelijke afspraken met zorgfinanciers, zijn het uitgangspunt van het medisch beleid. De richtlijnen zijn geïntegreerd in de reguliere werkprocessen, waarbij periodiek wordt beoordeeld of de richtlijnen nog actueel zijn. Het management en het medewerkers zijn zich bewust van de verschillende richtlijnen en handelen hier ook naar. Naleving van de richtlijnen wordt getoetst en verantwoording wordt hierover afgelegd aan interne en externe stakeholders. 49 1 2 3 4 5 6 3.1.2 RICHTLIJNEN EN MEDISCH BELEID | Medisch beleid Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Het medisch beleid is impliciet. Het medisch beleid wordt ervaren als een administratieve norm die van bovenaf is opgelegd en is niet ingebed in het dagelijkse handelen. De functionele inrichting is vormvrij, waarbij geen eenduidige normen bestaan voor codes en begrippen. Er is geen (geformaliseerd) escalatiemodel. Er bestaat een medisch beleid, maar deze is niet gedocumenteerd of verouderd. Zorgprofessionals zijn zich niet genoeg bewust van het medisch beleid en hoe dit hen in staat stelt te helpen in hun werk. Er is een richtlijn voor de dossiervorming, deze is informeel bekend. Het management erkent de noodzaak van het expliciet bekendmaken van het medisch beleid. Bij escalatie wordt gehandeld vanuit routine en ervaringen in het verleden. Er zijn hierbij geen autorisatierechten vastgelegd. Het medisch beleid is gedocumenteerd en actief in de organisatie. Het voldoet in grote mate aan richtlijnen en is deels door vertaald naar zorgpaden. In het dagelijks handelen wordt de impact van het medisch beleid gewogen en er wordt zoveel mogelijk naar gehandeld. Er bestaat een proces voor de dossiervoering. Codes en begrippen zijn vastgelegd voor de functionele inrichting van het dossier. Bij escalatie is documentatie aanwezig om het proces in goede banen te leiden. Het medisch beleid is opgesteld samen met zorgprofessionals met inachtneming van richtlijnen (Nza, IGZ, ZiN, etc.). Het beleid is de basis voor de zorgpaden zoals verplicht gesteld door zorgfinanciers. Uitkomsten van praktijkvariatie-analyses worden vaak gebruikt voor eventuele aanpassingen van het medisch beleid en richtlijnen. Onderdeel van het beleid zijn geformaliseerde protocollen welke zijn ingebed in het dagelijks handelen van alle zorgprofessionals. Naleving wordt regulier gemonitord. De functionele inrichting van het dossier vergemakkelijkt de taken van medewerkers. Het escalatiemodel is gedocumenteerd en gecommuniceerd, waarbij autorisatierechten zijn bepaald om van standaard protocollen af te wijken. Het medisch beleid is expliciet bepaald, door derden geaccordeerd en voldoet aan alle richtlijnen (NZa, IGZ, ZiN, etc.) en is ingebed in de zorgpaden. Het medisch beleid is opgesteld samen met de zorgprofessionals, wat zorgt voor een werkbaar proces en protocollen en daarmee bijdraagt aan de intrinsieke motivatie. Uitkomsten van praktijkvariatie-analyses zijn de basis voor eventuele aanpassingen van het medisch beleid en richtlijnen. De dossiervoering is functioneel ingericht en maakt optimaal gebruik van de IT-omgeving van de organisatie. Er is een geformaliseerd escalatiemodel, waarin autorisatierechten zijn vastgelegd om van de standaard protocollen af te wijken. 50 1 2 3 4 5 6 3.2.1 ZORGREGISTRATIE EN DECLARATIE | Proces PRSADI (Prijsstelling / Registratie / Samenvatten / Afleiden / Declareren / Incasso) Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er is geen geformaliseerd PRSADI proces dat borgt dat aan richtlijnen wordt voldaan. Een proceseigenaar is niet aangesteld. Procesbeschrijvingen zijn niet gedocumenteerd of zijn verouderd. Werkzaamheden gebeuren op basis van routine en zijn vormvrij. Er is onvoldoende bewustzijn bij medewerkers van hun rol in het proces. Monitoring van de processen of controle vindt niet of achteraf plaats (detective controls) en is niet geborgd aan de bron. Er bestaat een ruwe opzet van het PRSADI proces. Inbedding in de reguliere werkzaamheden is beperkt waardoor de aanpak van medewerkers niet universeel is, wat kan zorgen voor misverstanden. er is geen formeel proces dat monitort of aan alle richtlijnen is voldaan. Er wordt gebruik gemaakt van IT, training van medewerkers en praktische handleidingen zijn echter onvoldoende. Foutieve declaraties worden intern niet opgemerkt, wat voor reparatiewerkzaamheden zorgt. Doorvertaling van de oorzaak van deze omissies naar in de PRSADI-keten vindt op ad-hoc basis plaats. Het PRSADI proces zorgregistratieproces is gedocumenteerd en bekend in de organisatie. Zorgprofessionals weten waar ze documentatie en handleidingen van het proces en IT systemen kunnen vinden. Werkzaamheden die niet zijn gedocumenteerd worden uitgevoerd op basis van routine. Het eigenaarschap van het proces ligt bij de compliance-afdeling. Er wordt gemonitord op een aantal controls, die ervoor kunnen zorgen dat het proces faalt. Jaarlijks wordt geëvalueerd of het proces naar behoren heeft gewerkt. Er is aandacht voor het verbeteren van het PRSADI proces. Er bestaat een formeel PRSADI proces dat is ingebed in het dagelijks handelen. In het proces is rekening gehouden met de IT-omgeving en het ontlasten van het medewerkers. Medewerkers zijn in staat om feedback te geven op het proces. Het proces wordt verbeterd wanneer incidenten zich voordoen en periodiek wordt gemonitord of aan de richtlijnen wordt voldaan. Hierover wordt intern gerapporteerd. Als prestatie indicatoren worden de goedgekeurde declaraties gebruikt. Het zorgregistratieproces is gedocumenteerd, gecommuniceerd en wordt gevolgd door iedere zorgprofessional. Het zorgregistratieproces is geïntegreerd in de IT-omgeving en ondersteunt de zorgprofessionals in hun werkzaamheden. De borging van de juistheid van het registratieproces vindt zoveel mogelijk aan de bron plaats (preventieve controls). Monitoring en een continu verbeter- en feedbackproces bestaan en werken, bijvoorbeeld in de vorm van een PDCA-cyclus (Plan, Do, Check, Act). Rapportage richting interne en externe stakeholders over de juistheid en volledigheid van het registratieproces vindt periodiek plaats. 51 1 2 3 4 5 6 3.2.2 ZORGREGISTRATIE EN DECLARATIE | Rollen en verantwoordelijkheden Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Rollen en verantwoordelijkheden binnen het registratieen declaratieproces zijn niet duidelijk en informeel. Documentatie, indien aanwezig, is verouderd en niet passend bij de huidige invulling van de functie. Werkzaamheden worden uitgevoerd op basis van eigen ervaringen en routine. Functiescheiding is daarmee onvoldoende geborgd. De focus is primair op eigen rol en werkzaamheden en niet per se op het ondersteunen van de medische specialisten/ behandelaren. Het belang van de eigen rol in het proces is onduidelijk bij medewerkers en er wordt weinig tot geen verantwoordelijkheid gevoeld voor het gehele proces. Rollen en verantwoordelijkheden zijn informeel verdeeld en bekend, maar het is onduidelijk wie het eigenaarschap heeft voor de rollen in het registratieen declaratieproces. Medische specialisten/ behandelaren worden slechts zelden ondersteund, vrijwel alleen in het geval van escalatie. Bij incidenten wordt pas gekeken waar de verantwoordelijkheid in de keten ligt. Meestal wordt hier invulling aan gegeven om het proces te verbeteren, maar blijft het bij een intentie en geen documentatie. Rollen en verantwoordelijkheden binnen het registratie- en declaratieproces zijn bepaald, gedocumenteerd en gecommuniceerd. Bij de inrichting hiervan is zoveel als mogelijk rekening gehouden met de diverse functieprofielen en de daarin aanwezige competenties. De rollen en verantwoordelijkheden worden jaarlijks nagelopen bijgewerkt indien nodig. Er is aandacht voor functiescheiding bestaat, deze is echter beperkt ingebed. Binnen de rollen en verantwoordelijkheden is rekening gehouden met het ondersteunen van de medische specialisten/behandelaren. Medewerkers en medisch specialisten/ behandelaren zijn zich bewust van hun acties en hun rol in het proces. Er wordt alleen verantwoordelijkheid genomen daar waar het gaat om de eigen werkzaamheden. De rollen en verantwoordelijkheden zijn vastgelegd en gecommuniceerd. Daarnaast zijn de rollen en verantwoordelijkheden geïntegreerd in de bedrijfsprocessen waarbij functiescheiding voldoende is geborgd. De rollen en verantwoordelijkheden zorgen ervoor dat medische specialisten/behandelaren worden ondersteund en ontlast in hun werkzaamheden. Rollen en verantwoordelijkheden sluiten aan op de functieprofielen. Er is een vast proces voor het regulier updaten van de rollen en verantwoordelijkheden. Medewerkers en medisch specialisten/ behandelaren zijn zich bewust van het belang van het registratie- en declaratieproces en onderkennen hun rol in dit geheel. Rollen en verantwoordelijkheden zijn vastgelegd en gecommuniceerd. De rollen en verantwoordelijkheden zijn geïntegreerd in de werkprocessen en werkinstructies en zijn daarnaast geborgd in de IT-omgeving. Functiescheiding is hierbij optimaal ingericht en geborgd. Uitgangspunt is een zo efficiënt mogelijke ondersteuning van de medische specialisten/ behandelaren. Medewerkers en medisch specialisten/behandelaren zijn zich bewust van zijn of haar rol in het gehele registratie en declaratieketen. Daarnaast voelen de medewerkers en medisch specialisten/ behandelaren zich verantwoordelijk voor het gehele proces (ownership). 52 1 4 2 3 4 5 6 Risico Management 4.1 Risico beleid 4.1.1 Risico beheersingskader Horizontaal Toezicht in de zorg 4.2 Identificatie en beoordeling 4.2.1Identificatie van risico’s PRSADI Toezicht in de zorg 4.2.2 Risico beheersingskader Horizontaal Toezicht in de zorg 4.3 Risicobeheersing 4.3.1 Inrichting risk & control framework met beheersmaatregelen PRSADI 53 1 2 3 4 5 6 4.1.1 RISICO BELEID | Risico beheersingskader Horizontaal Toezicht in de zorg Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er is geen visie op integraal risicomanagement, een duidelijk kader voor rechtmatig en doelmatig declareren ontbreekt. De organisatie beschikt niet over een geformaliseerd intern risicobeheersingskader en controledoelstellingen voor effectief risicobeheer. Risicobeheersing is fragmentarisch, reactief (brandjes blussen) en ad hoc. Risicobeheersing, indien al aanwezig, is geïsoleerd en als zodanig niet geïntegreerd in de reguliere bedrijfsprocessen. Er is een informele visie op risicomanagement voor rechtmatig en doelmatig declareren. Deze visie wordt echter niet door iedereen binnen de organisatie gedragen. Het management is zich bewust van de noodzaak van een uniform kader op risicobeheersing, maar heeft dit nog niet ingevuld. Af en toe wordt er gereageerd op risico’s. De processen zijn meestal mondeling afgestemd. Ze zijn daarnaast veelal inconsistent en dekken niet alle risico’s af. Controledoelstellingen zijn niet geformaliseerd. De visie op risicobeheersing is gedocumenteerd voor rechtmatig en doelmatig declareren en medewerkers zijn op de hoogte van een visie op risicobeheersing inclusief controledoelstellingen. Het risico beheersingskader is geformaliseerd en de bedoeling is dat iedereen zich eraan houdt. Risicobeheersing is als zodanig onderdeel van de bedrijfsvoering. Bij het opstellen en veranderen van processen wordt rekening gehouden met het risico beheersingskader. Er is een breed gedragen risico beheersingskader voor rechtmatig en doelmatig declareren. Periodiek wordt beoordeeld of deze aansluit bij de controledoelstellingen van de organisatie. De integratie van risicobeheersing in de bedrijfsprocessen is consistent. Aan relevante medewerkers wordt regelmatig gecommuniceerd over de visie op risicobeheersing. Monitoring is geborgd door de interne controlefunctie. Deze verzorgt periodiek rapportages over de uitkomsten van deze activiteiten. Er is een duidelijke visie op risicobeheersing voor rechtmatig en doelmatig declareren, deze wordt periodiek getoetst aan de specifieke controledoelstellingen van de organisatie die op basis van kans en impact zijn afgestemd met de zorgfinanciers. Het kader is geborgd in het integrale risicomanagement en als zodanig breed gedragen binnen de organisatie. Alle medewerkers zijn zich bewust van de risicokaders. Op basis van een PDCA-cyclus (Plan, Do, Check, Act) is monitoring geborgd, is er sprake van een continu verbeterproces en kan de organisatie over de werking zowel intern als extern communiceren. 54 1 2 3 4 5 6 4.2.1 IDENTIFICATIE EN BEOORDELING | Identificatie van risico’s PRSADI Toezicht in de zorg Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Belangrijke risico’s binnen de PRSADI keten worden nauwelijks geïdentificeerd. Bovendien vindt het vaststellen van de kans en impact van risico’s die wel worden geïdentificeerd plaats op basis van ervaring en voortschrijdend inzicht, niet op basis van een consistente methodologie. Over het algemeen identificeert de organisatie gebeurtenissen niet als specifieke potentiële risico’s of kansen. De organisatie identificeert risico’s of kansen binnen de PRSADI keten op basis van eerdere ervaringen met onverwachte gebeurtenissen. Er wordt incidenteel een externe adviseur betrokken, maar uitsluitend in reactie op en nooit in aanloop naar gebeurtenissen. Het vaststellen van kans en impact vindt vooral plaats op basis van ervaring en voortschrijdend inzicht, soms in zekere mate ook op basis van eenvoudige methodologie. Er is voldoende knowhow om risico’s en kansen binnen de PRSADI keten te herkennen. Het proces voor het identificeren van risico’s is gericht op het schetsen van duidelijke verbanden tussen de (controle) doelstellingen en bijbehorende risico’s. Dit wordt regelmatig met een externe deskundige besproken. Het expliciet vaststellen van kans en impact vindt plaats. Kansen en risico’s binnen de PRSADI keten worden proactief geïdentificeerd door middel van risicostratificatie, bijvoorbeeld op basis van omzetsegmentatie. Relevante experts beoordelen de gebeurtenissen en distilleren hier zinvolle informatie uit. Kwalitatieve en kwantitatieve methoden en technieken worden regelmatig kritisch doorgelicht en beoordeeld op efficiëntie en effectiviteit. In het kader van horizontaal toezicht worden de meest relevante risico’s afgestemd met de zorgfinancier(s). Het identificeren en onderscheiden van risico’s en kansen binnen de PRSADI keten is gebaseerd op best practices en het gebruik van geavanceerde concepten en technieken voor risicobeheer rondom het voldoen aan wet- en regelgeving. Het proces voor het vaststellen van kans en impact wordt kritisch vergeleken met best practices (in de branche). De organisatie is in staat zich aan te passen aan veranderende omgevingsfactoren zonder vertraging voor de organisatie of het beheer van risico’s rondom het voldoen aan wet- en regelgeving. In het kader van horizontaal toezicht worden de meest relevante risico’s afgestemd met de zorgfinancier(s). 55 1 2 3 4 5 6 4.2.2 IDENTIFICATIE EN BEOORDELING | Risico prioritering en scoping PRSADI Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er is geen (directe) relatie tussen de compliance strategie en de risico prioritering en scoping binnen de PRSADI keten. De risicobereidheid van de organisatie is onduidelijk. Door het ontbreken van een beleid met betrekking tot risico prioritering en scoping, worden risico’s ad hoc aangevlogen en er wordt geen kans en impactanalyse uitgevoerd. De risicobereidheid van de organisatie m.b.t de PRSADI keten is gebaseerd op incidenten in het verleden. Informeel is dit vastgelegd in beleid. De grootste risico’s krijgen prioriteit, maar kleine(re) risico’s worden ad hoc opgelost. Slechts zelden wordt de kans en impact van een risico gemeten. De organisatie begrijpt het nut van risico prioritering en scoping, maar kan dit nog niet systematisch kwantificeren. De risico prioritering en scoping binnen de PRSADI keten is vastgesteld op basis van de compliance strategie en controledoelstellingen en verwerkt in een risicomatrix met risico’s gekoppeld aan controledoelstellingen. Er is een geformaliseerd beleid waarin de risicobereidheid van de organisatie binnen de PRSADI keten (voor zover mogelijk) is gedocumenteerd. Wanneer risico’s zich voordoen, wordt er op basis van een consistente aanpak een kans en impactanalyse gemaakt. Periodiek wordt geanalyseerd of het beleid nog actueel is. In de compliance strategie is vastgelegd wat de risicobereidheid van de organisatie in de PRSADI keten is. Er is een beleid opgesteld, gedocumenteerd en gecommuniceerd. Risico’s zijn gerangschikt naar mate van kans en impact in een periodiek onderhouden risicomatrix met risico’s gekoppeld aan controledoelstellingen. Een verantwoordelijke is aangesteld om te monitoren of alle relevante risico’s actueel in kaart zijn gebracht en gekoppeld zijn aan de controledoelstellingen. Op basis van de compliance strategie zijn de risicobereidheid en controledoelstellingen gedocumenteerd en gecommuniceerd met interne en externe stakeholders (bijvoorbeeld zorgfinanciers). Er is een geformaliseerd beleid waarin de risicomatrix met risico’s gekoppeld aan controledoelstellingen van de organisatie binnen de PRSADI keten is gedocumenteerd en afgestemd met zowel interne als externe stakeholders. Voor de kans en impactanalyse wordt gebruik gemaakt van een dashboard. De PDCA-cyclus (Plan, Do, Check, Act) borgt een continu verbeterproces en leidt waar nodig tot aanpassing van het beleid. 56 1 2 3 4 5 6 4.3.1 RISICOBEHEERSING | Inrichting control framework met beheersmaatregelen PRSADI Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Beheersmaatregelen binnen de PRSADI keten zijn niet gedefinieerd en informatie hierover is gefragmenteerd en vaak niet actueel. Er is geen integratie met de bedrijfsvoering of geautomatiseerde beheersmaatregelen van IT-systemen. Wel begint de organisatie te begrijpen wat de voordelen zijn van het structureel vastleggen van deze beheersmaatregelen in control framework. De organisatie begrijpt wat de voordelen zijn van het verankeren van een risk & control framework in de bedrijfsvoering en plannings- en beheersingscyclus binnen de PRSADI keten. De beheersingsactiviteiten zijn nog niet gedocumenteerd. Het risk & control framework binnen de PRSADI keten is gedefinieerd en gedocumenteerd. De beheersactiviteiten zijn een onderdeel van de primaire operationele en ondersteunende processen. IT-oplossingen, waaronder daily auditingtools, worden ingezet om beheersactiviteiten te monitoren. Het risk & control framework binnen de PRSADI keten is gedefinieerd en gedocumenteerd en wordt periodiek geactualiseerd binnen de organisatie. De onderliggende IT-systemen, waaronder daily auditingtools, worden in toenemende mate gebruikt voor de monitoring & testing van consistente beheersmaatregelen. Uitkomsten hiervan leveren waardevolle gegevens en managementinformatie op, waarop wordt gestuurd en de waar de feedbackloop naar de eerste lijn steeds mee wordt gevoed. De organisatie kent adequate General IT Controls ter ondersteuning van deze processen. Het proces voor het bijhouden en bijwerken van het risk & control framework binnen de PRSADI keten wordt voortdurend verbeterd en afgestemd met zowel interne als externe stakeholders. Het inrichten en evalueren van het risk & control framework wordt ondersteund door besluitvormingsmethodologie en/of softwaretoepassingen. De beheersactiviteiten worden kritisch vergeleken met best practices (in de branche). De organisatie maakt optimaal gebruik van IT-oplossingen en aantoonbaar toereikende General IT Controls. 57 1 5 2 3 4 5 6 Monitoring en testing 5.1 Methodologie 5.1.1 Methode en aanpak 5.2 Opvolging, escalatie en communicatie 5.2.1 Opvolging en escalatie 5.2.2 Interne communicatie 5.2.3 Externe communicatie 58 1 2 3 4 5 6 5.1.1 METHODOLOGIE | Methode en aanpak Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Hoewel het management mogelijk wel de noodzaak van monitoring en testing erkent, is hier geen proces voor. De methodologie voor monitoring en testing (inclusief materialiteit) wordt selectief gekozen, al naar gelang de behoeften van specifieke projecten en processen. Toetsing is een reactieve exercitie om gegevens te verzamelen over gebeurtenissen uit het verleden die mogelijk tot schade hebben geleid. Er zijn methoden en technieken beschikbaar voor de beoordeling van rechtmatig en doelmatig declareren, deze worden echter niet door de organisatie consequent toegepast. De vereisten van stakeholders zijn impliciet bekend. Gegevensverzameling wordt opgepakt door individuele medewerkers op basis van eerdere ervaring, niet op basis van een formeel proces. Een algemeen niveau van materialiteit is niet gedefinieerd. Het management heeft voor de hele organisatie standaard processen voor monitoring en testing verspreid en geïnstitutionaliseerd. De vereisten van stakeholders worden gecategoriseerd en op juiste wijze opgepakt. De methode voor monitoring is gedefinieerd, inclusief een algemeen materialiteitsniveau. Tools worden gedefinieerd en binnen de hele organisatie gebruikt. Er is een plan van aanpak voor het verzamelen van informatie. De voordelen van een geïntegreerde aanpak zijn bekend. Binnen alle processen vindt integratie van cijfers en data plaats. De vereisten van stakeholders zijn beoordeeld en geïntegreerd in de algemene definities. Binnen de hele organisatie worden geautomatiseerde oplossingen gebruikt om informatie te verzamelen en processen te bewaken. Het management beoordeelt de prestaties op basis van overeengekomen criteria met de verschillende stakeholders (inclusief materialiteit). De organisatie heeft een continue verbeterproces ingeregeld voor de beoordeling en monitoring van rechtmatig en doelmatig declareren. Alle processen voor monitoring zijn geoptimaliseerd en ondersteunen de vereisten van stakeholders. Procesbewaking en -verbetering zijn onderdeel van organisatie brede procesverbeterplannen. Benchmarking met de branche en belangrijke concurrenten gebeurt regelmatig en met een goed begrip van de vergelijkingscriteria. 59 1 2 3 4 5 6 5.2.1 OPVOLGING, ESCALATIE EN COMMUNICATIE | Opvolging en escalatie Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er zijn geen processen of relevante activiteiten om vervolg te geven aan eventuele resultaten van monitoring en testing, of deze te escaleren. Als relevante informatie al wordt opgevolgd, gebeurt dit ad hoc. Er is een informeel proces om vervolg te geven aan resultaten van monitoring en testing, of deze te escaleren. Dit proces is gebaseerd op ongecoördineerde activiteiten voor monitoring en testing. Er is een formeel, gedocumenteerd, gecommuniceerd en adequaat functionerend proces om vervolg te geven aan resultaten van monitoring en testing, of deze te escaleren. Er vindt uitgebreide monitoring van processen plaats, maar dit bestrijkt mogelijk niet de hele organisatie. Er is een formeel, gedocumenteerd, gecommuniceerd en effectief functionerend proces om vervolg te geven aan resultaten van monitoring en testing, of deze te escaleren. Alle relevante KPI’s worden bewaakt. De organisatie bewaakt en toetst alle belangrijke KPI’s en is in staat de eigen bedrijfsvoering en bedrijfsprocessen voortdurend te verbeteren en verfijnen. 5.2.2 OPVOLGING, ESCALATIE EN COMMUNICATIE | Interne communicatie Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Rapportage vindt doorgaans uitsluitend naar aanleiding van incidenten plaats. Het is niet duidelijk welke eisen stakeholders stellen aan managementinformatie. Informatieverschaffing over problemen gebeurt ad hoc. Rapportage vindt plaats, maar niet volgens een vastgelegd proces. Rapportage gebeurt mogelijk onregelmatig en onvolledig. De eisen die stakeholders stellen zijn tot op zekere hoogte bekend. De noodzaak van transparantie wordt in de organisatie begrepen, maar nog niet goed gecommuniceerd. Informatieverschaffing over problemen gebeurt naar het oordeel van individuele medewerkers. Er is een gedocumenteerd rapportageproces, wat echter mogelijk niet in alle kwesties en zaken voorziet. In principe functioneert het, maar het proces is niet volledig effectief en efficiënt. Het rapportageproces staat de organisatie ter beschikking en wordt effectief gecommuniceerd. De communicatiestrategie is gebaseerd op interne standpunten over de wenselijkheid van transparantie. Rapportage vindt plaats op overeengekomen wijze en volgt een standaard en periodiek proces. Ook bestaat er een proces om rapportagenormen te evalueren en aan eisen van stakeholders te voldoen. De mate van transparantie is gebaseerd op eisen van stakeholders en in lijn met de bedrijfsstrategie. De frequentie van rapportage is gebaseerd op voortdurende communicatie tussen alle relevante stakeholders. Rapportagenormen worden bijgewerkt op basis van een voortdurend aangescherpt proces om maximale transparantie, duidelijkheid en vergelijkbaarheid met best practices uit de branche mogelijk te maken. Transparantie vormt onderdeel van de bedrijfsstrategie. 60 1 2 3 4 5 6 5.2.3 OPVOLGING, ESCALATIE EN COMMUNICATIE | Externe communicatie Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Externe rapportage naar de zorgfinancier vindt slechts plaats naar aanleiding van incidenten en mismatches in het systeem. Voor de organisatie is het niet duidelijk wat de eisen zijn van de zorgfinancier(s) rondom de informatieverschaffing. Externe communicatie vindt dan ook ad hoc plaats. Externe rapportage vindt plaats, maar niet volgens een vast proces. De zorgfinancier ontvangt niet stelselmatig juiste en volledige informatie. Tot op een zekere hoogte, zijn de eisen die de zorgfinancier aan informatie stelt, bekend. De organisatie erkent de noodzaak van een juiste en volledige informatieverschaffing in het kader van horizontaal toezicht in de zorg, maar heeft dit nog niet effectief gecommuniceerd. Er bestaat een gedocumenteerd rapportageproces, echter is dit niet uitgebreid genoeg van aard. De zorgfinancier ontvangt informatie, maar niet op een tijdige manier. De eisen die de zorgfinancier stelt aan informatieverschaffing, is bekend en er wordt hiernaar gehandeld. De rapportage richting de zorgfinancier vindt plaats op een gestructureerde en efficiënte manier. Informatieverschaffing vindt plaats op een tijdige en juiste manier. Het rapportageproces is uitgebreid en wordt aangepast bij incidenten. Bewustwording bestaat binnen de gehele organisatie rondom externe rapportage. Voortdurende communicatie met externe stakeholders, zoals de zorgfinanciers, zorgt voor een effectieve en efficiënte communicatie. De eisen voor informatieverschaffing zijn bekend en wordt op een juiste en volledige wijze ingevuld door de organisatie. In de strategie is rekening gehouden met informatieverschaffing naar externe stakeholders en hier wordt dan ook uitgebreid over gerapporteerd in het jaarverslag. Processen zijn gedocumenteerd en gecommuniceerd en worden aangepast bij veranderende omstandigheden. 61 1 2 3 4 5 6 6 Assurance 6.1 Verbijzonderde interne controle 6.1.1 Methodologie, werkprogramma, rapportage en feedbackloop 6.1.2 Opvolging, escalatie en communicatie 6.2 Externe Assurance 6.2.1 Methode en aanpak 62 1 2 3 4 5 6 6.1.1 VERBIJZONDERDE INTERNE CONTROLE | Methodologie, werkprogramma, rapportage en feedbackloop Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Hoewel het management mogelijk wel de noodzaak van een verbijzonderde interne controle erkent, is hier geen proces voor. Het toepassen van een verbijzonderde interne controle wordt selectief gekozen, al naar gelang de behoeften van specifieke projecten en processen. (Toetsing is een reactieve exercitie om gegevens te verzamelen over gebeurtenissen uit het verleden die mogelijk tot schade hebben geleid). Hoewel er methoden en technieken voor verzameling en beoordeling beschikbaar zijn, worden deze niet door de organisatie toegepast. De vereisten van stakeholders zijn impliciet bekend. Gegevensverzameling wordt opgepakt door individuele medewerkers op basis van eerdere ervaring, niet op basis van een formeel proces. Een algemeen niveau van materialiteit en de omvang van de daarbij behorende testing, is niet gedefinieerd (deelwaarnemingen/ dossieronderzoeken). Het management heeft standaard opdrachten voor verbijzonderde interne controle geformuleerd. De eisen van stakeholders worden gecategoriseerd en meegenomen in het interne controleplan. De methode voor verbijzonderde interne controle is gedefinieerd inclusief een algemeen materialiteitsniveau. Bij verbijzonderde interne controle worden alle relevante cijfers en data geïntegreerd (op basis van GRC tooling) en ziet op zowel rechtmatigheid als doelmatigheid. Er vindt afstemming plaats tussen de zorgadministratie en de verbijzonderde interne controlefunctie. De eisen van stakeholders worden gecategoriseerd, geëvalueerd en geïntegreerd in de opdrachten. Opdrachten opvolging te geven aan negatieve bevindingen is onderdeel van de standaardprocedure. De organisatie heeft een proces voor continue verbetering ontwikkeld om toezicht te houden op het functioneren van belangrijke beheersmaatregelen en invoeren van best practices uit de branche, dit betreft zowel rechtmatigheid als doelmatigheid. Alle processen ten aanzien van de (verbijzonderde) interne controle en in de lijn (inclusief GRC tooling) zijn geoptimaliseerd en ondersteunen de vereisten van stakeholders. Procesbewaking en -verbetering zijn onderdeel van organisatie brede procesverbeterplannen. Benchmarking met de branche en belangrijke concurrenten gebeurt regelmatig en met een goed begrip van de vergelijkingscriteria. 63 1 2 3 4 5 6 6.1.2 VERBIJZONDERDE INTERNE CONTROLE | Opvolging, escalatie en communicatie Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd Er zijn geen processen of relevante activiteiten om uitkomsten van interne controle te rapporteren. Relevante informatie wordt ad hoc gedeeld. Er is een proces om opvolging te geven aan de uitzonderingen geconstateerd tijdens de interne controle werkzaamheden. Het opvolgen van deze uitkomsten volgt geen standaardprocedure. Opvolgingstrajecten worden gestart, maar doorgaans alleen wanneer hier tijd voor is. Er is een formeel, gedocumenteerd, gecommuniceerd en adequaat functionerend proces om vervolg te geven aan resultaten van interne controle uit het risk & control framework. Er is een formeel, gedocumenteerd, gecommuniceerd en effectief functionerend proces om opvolging te geven aan resultaten van interne controle. Alle gedefinieerde elementen uit het risk & control framework worden bewaakt. De organisatie bewaakt en toetst alle belangrijke elementen uit het risk & control framework en is in staat de eigen bedrijfsvoering en bedrijfsprocessen voortdurend tot verbetering te laten leiden en hierover met stakeholders gestructureerd (middels GRC tooling) te communiceren. 6.2.1 EXTERNE ASSURANCE | Methode en aanpak Initieel Informeel Gestandaardiseerd Beheerd Geoptimaliseerd De accountant verricht alleen gegevensgerichte werkzaamheden in het kader van de jaarrekeningscontrole. De accountant neemt kennis van de Horizontaal Toezicht processen in het kader van de jaarrekeningcontrole, maar kan hierop niet steunen. De accountant rapporteert aan de zorgaanbieder over de opzet en verbeterpunten (n.a.v. een nulmeting) van de Horizontaal Toezicht processen. De accountant verstrekt alleen assurance over op de door de zorginstelling zelf gekozen specifieke controledoelstellingen in het kader van Horizontaal Toezicht in de zorg. Afhankelijk van de behoefte van zorgfinancier(s) en zorgaanbieder verleent de accountant assurance (COS 3000) over de opzet, bestaan en/of werking van de met de zorgfinancier(s) afgestemde Horizontaal Toezicht processen. 64 Control Framework 65 Control Framework Inleiding Relatie met implementatiestrategie Het Control Framework is een gestructureerd beheersingskader dat in de praktijk de uitvoering van Horizontaal Toezicht faciliteert. Het maakt de dialoog mogelijk tussen een zorgaanbieder en de representerende zorgverzekeraar over de vraag of met de interne beheersing de onderkende beheersingsdoelstellingen voor het rechtmatig registreren en declareren van zorg in toereikende mate wordt gehaald. Dit framework wordt toegepast door instellingen die zich bevindingen in de implementatiefase (fase D implementatiestrategie) of in de verantwoordingsfase (fase E implementatiestrategie). In de implementatiefase doorloopt de instelling de eerste 5 processtappen uit het Control Framework. De overgang naar processtap 6 is tegelijk ook de overgang naar fase E uit te implementatiestrategie en dus de overgang naar Horizontaal Toezicht. Uitrol binnen een instelling Inhoud In het Control Framework worden de beheersingsdoelstellingen, de bijbehorende risico’s en beheersingsmaatregelen opgenomen. Het doel is om op een uniforme wijze hierover verantwoording af te leggen in de keten. Om de zorgverzekeraars voldoende zekerheid te bieden ten behoeve van hun verantwoording verder in de keten is assurance een sluitstuk, zodat de wettelijke controletaken vanuit de verzekeraars zijn geborgd. Assurance is complementair om de Horizontaal Toezicht relatie (gefundeerd vertrouwen) te faciliteren, maar niet het startpunt van Horizontaal Toezicht. Immers niet het verkrijgen van assurance maar het stevig inregelen van de dialoog is tenslotte de ruggengraat van HT. Het Control Framework beschrijft de processtappen die een instelling, verzekeraar en een assurance provider moeten zetten om Horizontaal Toezicht in de praktijk vorm te geven. Een aantal processtappen worden vanuit het landelijk platform Horizontaal Toezicht ondersteund met een specifiek product. Er zijn zes processtappen gedefinieerd: 1 2 3 4 5 6 Benoemen van beheersingsdoelstellingen Identificeren van risico’s Uitvoeren risicoanalyse Bepalen beheersingsmaatregelen Beoordelen opzet van de beheersingsmaatregelen Verantwoorden over opzet, bestaan en werking. VERKENNINGSFASE INVENTARISATIESFASE VERBETERFASE IMPLEMENTATIEFASE VERANTWOORDINGSFASE afweging maken op basis van businesscase toetsing van geschiktheid op basis van instapmodel verbetertraject n.a.v. bevindingen instapmodel invoering Control Framework & Horizontaal Toezicht in de praktijk beoefenen verantwoording op basis van aantoonbaar werkzaam en effectief Horizontaal Toezicht ZORGAANBIEDER ZORGAANBIEDER ZORGAANBIEDER ZORGAANBIEDER ZORGAANBIEDER ZORGVERZEKERAAR ZORGVERZEKERAAR ZORGVERZEKERAAR ZORGVERZEKERAAR (validatie) (validatie) 1 - 2 MAANDEN 1 - 12 MAANDEN B C 0 - 1 MAAND A ACCOUNTANT 12 - 24 MAANDEN D Initiele fase 6-12 MND Structurele fase >>> E 4 Wanneer een instelling eenmaal de stap heeft gemaakt naar de verantwoordingsfase (fase E implementatiestrategie) worden de processtappen 1 t/m 6 uit het Control Framework jaarlijks toegepast. Het Control Framework blijft dus continue van toepassing als vast onderdeel binnen de bedrijfsvoering van de instelling. 66 1 Benoemen van beheersingsdoelstellingen 2 Identificeren van risico’s 3 Uitvoeren risicoanalyse 4 Bepalen beheersingsmaatregelen 5 Beoordelen opzet van de beheersingsmaatregelen 6 Verantwoorden over opzet, bestaan en werking 67 1 1 Benoemen Benoemen van van beheersingsdoelstellingen beheersingsdoelstellingen Binnen de context van de door de instelling geformuleerde missie of visie, formuleert het management van een instelling strategische doelstellingen. Vervolgens worden er beheersingsdoelstellingen geformuleerd en richt de instelling zich op een cyclus van sturen en beheersen, verantwoorden en toezicht. De primaire processen van instellingen zijn op hoofdlijnen vergelijkbaar en moeten voldoen aan de vigerende wet- en regelgeving en landelijke afspraken. Als handvat is daarom landelijk een aantal beheersingsdoelstellingen uitgewerkt. Deze set aan beheersingsdoelstellingen is dynamisch en wordt periodiek onderhouden door het landelijke platform Horizontaal Toezicht. De hoofddoelstelling voor de instelling in het kader van Horizontaal Toezicht is om rechtmatige declaraties aan de zorgverzekeraar of patient aan te bieden. Bij de totstandkoming van een declaratie spelen diverse registratieprocessen een rol. Ieder proces kent zijn eigen beheersingsdoelstellingen en bijbehorende risico’s die beheerst moeten worden om een rechtmatige declaratie te waarborgen. Dit zal per zorginstelling verschillend zijn. De eerste stap in het Control Framework is om op grond van wet- en regelgeving en de specifieke situatie van het ziekenhuis de van toepassing zijnde beheersingsdoelstellingen te benoemen. Deze beheersingsdoelstellingen hebben betrekking op de activiteiten rondom rechtmatige declaraties, gebaseerd op juiste, tijdige en volledige registraties van de instelling. 68 22 Identificeren Identificeren van risico’svan risico’s De beheersingsdoelstellingen worden bedreigd door risico’s binnen en tussen processen. Na de selectie van beheersingsdoelstellingen worden de voor de instelling van toepassing zijnde risico’s geselecteerd. Om ook dat proces te faciliteren zijn aan de set met landelijke beheersingsdoelstellingen ook generieke bruto risico’s toegevoegd. Deze generieke risico’s worden zo nodig verder uitgewerkt of aangevuld op basis van de instelling specifieke situatie. Ook zullen regelmatig instellingspecifieke risico’s van toepassing zijn bij een beheersingsdoelstelling die niet opgenomen staat in de landelijke brutolijst. Horizontaal Toezicht is maatwerk en het is van groot belang dat dergelijke risico’s door de instelling worden geidentificeerd. Jaarlijks stelt een instelling een controleplan op (bijvoorbeeld op basis van het Plan-Do-Check-Act principe), met daar in opgenomen een inventarisatie van de risico’s behorende bij de van toepassing zijnde beheersingsdoelstellingen. Ook de landelijke lijst met generieke bruto risico’s zal jaarlijks geactualiseerd worden op basis van onder meer wijzigingen in wet- en regelgeving en informatie van instellingen, zorgverzekeraars en overige stakeholders zoals de NZa. Actualisatie landelijke lijst Het landelijk platform Horizontaal Toezicht, bestaande uit vertegenwoordigers van de koepelorganisaties (ZN, NFU, NVZ), wordt verantwoordelijk voor het actualiseren van alle HT-producten waaronder de landelijke lijst met beheersingsdoelstellingen en risico’s. Zie implementatiestrategie. Een belangrijk aandachtspunt hierbij is de volledigheid van de lijsten. De volledigheid dient geborgd te worden door een brede vertegenwoordiging vanuit de achterban in het landelijk platform en door het actief ophalen van informatie uit het veld. De landelijke lijsten wordt jaarlijks vastgesteld door de besturen van de drie koepels. De jaarlijkse update dient tijdig, voor aanvang van het nieuwe declaratiejaar, bekend te zijn. Bronnen voor de landelijke risicolijst zijn de beleidsregels en nadere regels van de NZa, uitkomsten van het zelfonderzoek, Dot Controle Module, retourinformatie, individuele controles zorgverzekeraar, eigen controles zorgaanbieders, NOREA, declaratiestandaarden (VECOZO), signalen van de Nederlandse Zorgautoriteit en duidingen of signalen van het Zorginstituut Nederland. Het jaarlijkse actualisatie proces zal als volgt worden ingericht: • 1/1 Start jaar T • 1/3 Instellingen verantwoorden over jaar T-1 • 1/4 Landelijk platform start met voorbereiding actualisatie landelijke lijst (teams samenstellen, inplannen sessies en besluitvorming, verzamelen input vanuit ervaringen tot dan toe) • 1/5 NZa publiceert nieuwe regelgeving T+1 • 1/5 Start actualisatie landelijk lijst • 1/9 Concept lijst T+1 bekend • 1/10Definitieve lijst T+1 vastgesteld 69 3 Uitvoeren risicoanalyse De risicoanalyse moet op een frequente en gestructureerde wijze plaatsvinden. Een instelling kan bijvoorbeeld elke twee jaar een diepgaande analyse doen en minimaal jaarlijks een update uitvoeren. De van toepassing zijnde risico’s worden door de instelling geclassificeerd in de categorieën: hoog, midden en laag. De risico’s worden gewogen op basis van kans en impact, waarbij mede gebruik wordt gemaakt van controle-informatie van zorgverzekeraars, instellingen en overige externe bronnen. De afweging kan kwalitatief of kwantitatief van aard zijn: - Kwantitatief: Op basis van onder andere omzetstromen, benchmark analyses en fouten vanuit het verleden. - Kwalitatief: Imagorisico’s, risico van noncompliance, invloed verantwoordingen zorgverzekeraars (bijvoorbeeld diagnosecodes), verandering in- en externe omgeving (nieuw EPD, fusie, etc.) en wijzigingen in wet- en regelgeving. Zowel de kwantitatieve als de kwalitatieve factoren worden meegenomen bij het proces van risicoclassificering. De laag geclassificeerde risico’s worden, gegeven een bepaald minimaal volwassenheidsniveau, in een bepaalde mate ondervangen in de bedrijfsvoering (bijvoorbeeld eerste en tweede lijns beheersingsmaatregelen) van de instelling, zoals opgenomen in het instapmodel. Er zijn meerdere manieren om risico’s te wegen. Dit kan bijvoorbeeld met behulp van een vijfpuntenschaal, maar ook andere methoden kunnen worden toegepast. De methodiek wordt in onderling overleg tussen de instelling en zorgverzekeraar bepaald. Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten binnen het Control Framework om zo eenduidige toepassing van het Control Framework te borgen. Het beoordelen van de risicoanalyse is zo’n go/no go moment. De go/no go bij deze processtap wordt na hoor en wederhoor met de tweede zorgverzekeraar afgegeven door de representerende zorgverzekeraar. 70 Vijfpuntenschaal De vijfpuntenschaal is een voorbeeldmethode om risico’s te wegen. Deze weging vindt plaats voor zowel de kans als impact. Kans 1. Zeer lage kans van optreden 2. Lage kans van optreden 3. Gemiddelde kans van optreden 4. Hoge kans van optreden 5. Zeer hoge kans van optreden Kwantificeerbare impact 1. Zeer lage impact 2. Lage impact 3. Gemiddelde impact 4. Hoge impact 5. Zeer hoge impact IMPACT X Niet kwantificeerbare impact voor bijvoorbeeld reputatie/kwaliteit 1. Zeer lage impact (Verwaarloosbaar) 2. Lage impact (tijdelijk verminderd publiek vertrouwen via lokale media) 3. Gemiddelde impact (langdurig verminderd publiek vertrouwen via lokale media) 4. Hoge impact (Tijdelijk verminderd publiek vertrouwen via nationale media) 5. Zeer hoge impact (Langdurig verminderd publiek vertrouwen via nationale media) (Jaarlijks) (Maandelijks) (Wekelijks) (Dagelijks) (Meerdere keren per dag) ( <0,01% van de omzet) (tussen 0,01% en 0,05% van de omzet) (tussen 0,05% en de 0,1% van de omzet) (tussen 0,1% en 1 % van de omzet) ( >1% van de omzet) KANS 1 2 3 4 5 2 4 6 8 10 3 6 9 12 15 4 8 12 16 20 5 10 15 20 25 De kans maal de impact leidt tot de risicoscore. De risicoscore is vervolgens Middel (5 t/m 14) gekoppeld aan een risico classificatie van laag, midden of hoog. Hiernaast een Hoog (15 t/m 25) voorbeeld matrix. Laag 1 t/m 4 71 44 Bepalen van Bepalen beheersingsmaatregelen beheersingsmaatregelen Het Control Framework gaat uit van een procesgerichte benadering van beheersingsmaatregelen vanuit het principe van het three lines-of-defence model. De keuze voor de aard en het type beheersingsmaatregel is aan de instelling. Het doel is om aantoonbaar de beheersingsdoelstelling op orde te hebben. Logischerswijs zijn de hoge en midden risico’s relevant in de beoordeling van het in control zijn op de individuele beheersingsdoelstelling. Het ziekenhuis kan ook kiezen voor gegevensgerichte beheersingsmaatregelen zoals compenserende gegevensgerichte maatregelen bij ontoereikende procesgerichte beheersingsmaatregelen. Er zijn diverse tools beschikbaar die gegevensgerichte interne controles mogelijk maken. In bijzondere situaties zou een instelling een beroep kunnen doen op de representerende zorgverzekeraar om de controle door de zorgverzekeraar te laten uitvoeren. Dit zal met name gelden voor controles waarbij informatie nodig is van de zorgverzekeraar, zoals U-bocht controles. In deze stap koppelt de instelling zijn beschreven beheersingsmaatregelen aan de gedefinieerde beheersingsdoelstellingen en bijbehorende risico’s. Hierbij zal de aandacht uitgaan naar de hoge en midden risico’s. Bij de beschrijving van de beheersingsmaatregelen dient de instelling aan te geven welke controleactiviteiten waar, wanneer, hoe en met welke frequentie worden uitgevoerd en in welke line of defence (eerste, tweede, derde) de betreffende beheersingsmaatregelen zitten die de risico’s in het proces ondervangen. Beleid en procedures worden door een instelling opgesteld, onderhouden en geïmplementeerd om zo de benodigde beheersingsmaatregelen te verankeren. Randvoorwaardelijk voor het borgen van de juiste en volledige dataverwerking zijn general IT controles. Ook hiervoor geldt het principe van aantoonbaar in control zijn op deze beheersingsmaatregelen. 72 5 Beoordelen opzet van de beheersingsmaatregelen De voorgaande processtappen leiden tot een ingevuld beheersingskader van beheersingsdoelstellingen, risico’s en beheersingsmaatregelen. Na deze stappen volgt de dialoog tussen de instelling en de zorgverzekeraar over de vraag of de onderkende beheersingsmaatregelen de risico’s in toereikende mate ondervangen en of de instelling daarmee op het niveau van de beheersingsdoelstelling ‘in control’ is. Blijkt uit deze stap dat bestaande maatregelen ontoereikend zijn om de risico’s te mitigeren en daarmee de doelstellingen te borgen dan zal de instelling eerst aanvullende maatregelen moeten implementeren en deze stap opnieuw met de zorgverzekeraar doorlopen. Bij de beoordeling van opzet van de beheersingsmaatregelen richt de zorgverzekeraar zich op de midden en hoge risico’s. De mate van diepgang van de werkzaamheden is afhankelijk van de mix van beheersingsmaatregelen in relatie tot de controledoelstellingen die je wilt bereiken. Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten binnen het Control Framework om zo eenduidige toepassing van het Control Framework te borgen. Het beoordelen van de opzet van de beheersingsmaatregelen is zo’n go/no go moment. De go/no go bij deze processtap wordt na hoor en wederhoor met de tweede zorgverzekeraar afgegeven door de representerende zorgverzekeraar. 73 6 Verantwoorden over opzet, bestaan en werking De instelling legt aantoonbaar en periodiek (jaarlijks) verantwoording af over de mate waarin de beheersingsdoelstellingen zijn behaald. Gebruikmakend van het Control Framework wordt dat gerealiseerd door aan te tonen dat in opzet, bestaan en werking de gezamenlijk aangewezen beheersingsmaatregelen aanwezig zijn én effectief zijn. •De opzet van een controle kan bijvoorbeeld door middel van een procedure worden aangetoond. • Voor het aantonen van het bestaan dient daarbij een voorbeeld te worden overlegd. • De effectieve werking dient door middel van een dataanalyse of een vooraf overeengekomen aantal deelwaarnemingen verspreid over de werkingsperiode te worden aangetoond. Om de werking aan te tonen zal de instelling gedurende het jaar de beheersingsmaatregelen moeten toetsen, zoals opgenomen in het afgestemde controleplan. De hoeveelheid benodigde deelwaarnemingen is afhankelijke van de gemiddelde periodiciteit en het risico. Restrisico’s Onder restrisico wordt verstaan het overblijvende risico indien beheersingsmaatregelen niet werken of ontbreken met als gevolg dat het oorspronkelijke hoge risico onvoldoende wordt beheerst. Afhankelijk van de omvang van het restrisico kan dit leiden tot compenserende gegevensgerichte maatregelen die worden afgestemd met de zorgverzekeraar met als doel het restrisico alsnog naar een acceptabel (laag) niveau te krijgen. Op restrisico’s die als laag worden ingeschat, hoeven geen compenserende gegevensgerichte maatregelen te worden getroffen. De term “restrisico” moet niet verward worden met de term “laag risico” die voortkomt uit de risicoanalyse. Voor de lage risico’s uit de risicoanalyse geldt dat, gegeven een bepaald minimaal volwassenheidsniveau, dit in voldoende mate wordt ondervangen in de bedrijfsvoering van de instellingen. De elementen hiervoor zijn opgenomen in het instapmodel. Periodiek stelt de instelling een tussenrapportage op met de uitkomsten van de toetsing en bespreekt deze met de zorgverzekeraar. Gedurende het verantwoordingsjaar wordt deze dialoog dus periodiek gevoerd om geconstateerde gebreken op passende wijze te adresseren, zodat na afloop van het jaar geen onacceptabele onzekerheden overblijven. 74 Assurance Uitgangspunten Assurance in de keten Zorgverzekeraars en zorgaanbieders hebben een gezamenlijke ketenverantwoordelijkheid voor de verantwoording van de zorgkosten. Dat betekent dat alle partijen (ook de toezichthouder NZa) moeten kunnen steunen op de werkzaamheden die in de gehele keten worden uitgevoerd. De toereikendheid van de opzet van de beheersingsmaatregelen wordt in onderling overleg tussen de representerende zorgverzekeraar en de zorgaanbieder vastgesteld. De representerende zorgverzekeraar beoordeelt bestaan en werking van de beheersingsmaatregelen op de midden en hoge risico’s. Voor hoge risico’s zal ook de accountant worden ingeschakeld om de werking van de beheersingsmaatregelen aan te tonen. • De zorgaanbieder en zorgverzekeraar schatten samen de risico’s in op hoog, midden of laag (processtap 3) en kijken gezamenlijk naar de opzet van de beheersingsmaatregelen (processtap 5). In deze fases is er geen accountantscontrole. • De toereikendheid van de opzet van de beheersingsmaatregelen wordt in onderling overleg tussen de representerende zorgverzekeraar en de zorgaanbieder vastgesteld. • De representerende zorgverzekeraar beoordeelt bestaan en werking van de beheersingsmaatregelen op de midden en hoge risico’s. • Voor hoge risico’s zal de accountant worden ingeschakeld om de werking van de beheersingsmaatregelen aan te tonen. Daarbij is de aanname dat de beheersing van de hoge risico’s ook zijn vruchten afwerpt voor de beheersing van de overige risico’s. • Er vindt dus één controle plaats (door de accountant) op basis van een gezamenlijk opgestelde opdracht van zorgaanbieder en zorgverzekeraar. • Instellingen kunnen zelf een derde lijn inrichten waar de accountant gebruik van kan maken. Indien deze derde lijn zelf ook een assuranceverklaring kan afgeven is dat in bepaalde omstandigheden toegestaan. • Om van processtap 5 (beoordelen opzet beheersingsmaatregelen) naar processtap 6 (verantwoordingsfase) te gaan dient de opzet en het bestaan van de beheersingsmaatregelen op de hoge risico’s te worden aangetoond en gerapporteerd. De eerste keer zal dit zijn door middel van een COS 3000 type 1 verklaring of een rapportage van de onafhankelijke derde lijn. Wanneer de instelling voor het eerst over gaat naar processtap 6 is de instelling over op HT. • In de reguliere jaarcyclus waarin de instelling de processtappen 1 t/m 6 jaarlijks doorloopt wordt over de beheersing van de hoge risico’s jaarlijks een COS 3000 type 2 verklaring afgegeven. Doelstelling Assurance moet de zuivere dialoog tussen zorgaanbieder en representerende zorgverzekeraar ondersteunen, het onderlinge vertrouwen versterken en een bepaalde mate van zekerheid geven voor de andere zorgverzekeraars (niet zijnde de representerende zorgverzekeraar). Ook voor de toezichthouder NZa is assurance belangrijk in de verantwoording. Type verklaringen Een assurance-verklaring geeft een redelijke mate van zekerheid over: • De betrouwbaarheid (juistheid, tijdigheid en volledigheid) • Van de onderzochte registratie- en declaratiewerkzaamheden • Op een afgesproken tijdstip (COS 3000 type 1) of over een afgesproken werkingsperiode (COS 3000 type 2). 75 Jaarplanning Het Horizontaal Toezicht Control Framework is een beheersingskader dat verankerd wordt in de planning & control cyclus van de instelling en de zorgverzekeraar. Jaarlijks keren de meeste activiteiten uit de stappen 1 t/m 6 terug. De benodigde capaciteit die gevraagd wordt zal voor een aantal activiteiten wel sterk afnemen naarmate instelling en verzekeraar verder Horizontaal Toezicht ingroeien. Wanneer processen van het ene op het andere jaar niet veranderen hoeft de opzet niet steeds opnieuw te worden beoordeeld. Ook de risico-classificatie zal steeds gemakkelijker worden. Door de continue dialoog en verbeteringen van de beheermaatregelen zal dit kunnen leiden tot verschuiving van risico’s van hoog naar laag. Uiteraard kunnen ook nieuwe risico’s aan het licht komen. 76 www.horizontaaltoezichtzorg.nl [email protected] 77