oorwoord In december 2004 is de Kaderregeling Administratieve Organisatie en Interne Controle AWBZ productieregistratie en facturering gepubliceerd. Deze regeling is krachtens een beleidsregel van het College Tarieven Gezondheidszorg/Zorgautoriteit op 1 januari 2005 in werking getreden, waarbij 2005 als overgangsjaar is aangemerkt. Over 2006 dient op grond van deze kaderregeling een Bestuursverklaring door de AWBZ-instellingen te worden afgegeven. Ten aanzien van deze Kaderregeling blijkt in de praktijk behoefte te bestaan aan een concretisering van de automatiseringsaspecten. In de voorliggende publicatie is daaraan door de NOREA-Kennisgroep ICT en Zorg invulling gegeven. Hierbij zijn dezelfde uitgangspunten gehanteerd als bij het in 2005 door de kennisgroep gepubliceerde beoordelingskader voor de geautomatiseerde gegevensverwerking rondom Diagnose Behandeling Combinaties (DBC s). Doelstelling is een betrouwbare verantwoording van de gerealiseerde productiegrootheden waarbij de controlemaatregelen -om redenen van efficiency en effectiviteit- zoveel mogelijk geautomatiseerd worden uitgevoerd. Het beoordelingskader vormt hiermee een handreiking voor het opzetten en handhaven van een effectief systeem van interne beheersing. De beheersmaatregelen hebben betrekking op de processen verwerking zorgtoewijzing, vastleggen en verantwoording van de zorgactiviteiten alsmede het beheren van de stamgegevens. Dit beoordelingskader ondersteunt de AWBZ-instellingen bij het specificeren van éénduidige eisen. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van de AWBZ-instellingen dienen af te geven. In dit beoordelingskader is op eenduidige wijze beschreven over welke geautomatiseerde beheersmaatregelen de software dient te beschikken. Het stelt daarmee expliciet eisen aan de functionaliteit van de zorgapplicaties, die door de softwareleveranciers aan zorgaanbieders beschikbaar wordt gesteld. Hierdoor wordt voor deze applicaties een minimum controlepotentieel gewaarborgd. NOREA ZekeREzorg 1
Indien in dat verband behoefte bestaat aan een onafhankelijk oordeel, dan kan dit beoordelingskader als toetsingskader voor certificering worden gehanteerd. De werkzaamheden die in dat kader moeten worden uitgevoerd zijn in dit document niet beschreven. De overige gebruikers van dit beoordelingskader zijn de zorgkantoren, toezichthouders en IT-auditors. Amsterdam, 24 mei 2006, NOREA Kennisgroep ICT en Zorg M.W. de Breed RE CISA (Deloitte); drs. W.J.A. Olthof (NOREA, ambtelijk-secretaris) drs. C.M. Piek (KPMG) ir. M.C. Roos (PricewaterhouseCoopers) ing. D.R. Utermark RE (Ernst & Young) 2
Inhoudsopgave 1 Inleiding 5 2 Uitgangspunten bij het beoordelingskader 7 3 Objectomschrijving en afbakening van het beoordelingskader 9 4 Doelgroepen en doelstellingen van het beoordelingskader 11 5 Risicoanalyse en beheersmaatregelen 13 6 Beroepsregels en normenkaders 15 7 Relatie Bestuursverklaring en de Accountantsverklaring 17 8 Kwaliteitsaspecten 19 9 Beoordelingskader en competentiematrix 21 10 Bron- en literatuurverwijzingen 39 NOREA ZekeREzorg 3
4
1 Inleiding Met ingang van 2005 bestaat voor de AWBZ instellingen een Kaderregeling Administratieve Organisatie en Interne Controle (AO/IC). Deze regeling formuleert de minimale eisen waaraan de AO/IC van een instelling moet voldoen. Op grond van de beleidsregel moeten bestuurders van zorginstellingen vanaf 2006 jaarlijks aan zorgkantoren en de CTG/Zaio een bestuursverklaring overleggen over het adequaat functioneren van de AO/IC ten aanzien van de productieregistratie en facturering. Deze bestuursverklaring moet voorzien zijn van een accountantsverklaring. Dankzij de kaderregeling kan de controle door de zorgverzekeraar of het zorgkantoor beperkt blijven. Daarom is de regeling vooral bedoeld voor de interne controle op de rechtmatigheid van de verantwoorde productieregistratie en facturering. In deze kaderregeling is voorgeschreven dat de interne controle afdeling/functionaris zorg draagt voor een rapportage aan het management over de opzet, het bestaan en de werking van de AO/IC. Deze rapportage stelt de Raad van Bestuur in staat een bestuursverklaring af te geven over de rechtmatige verantwoording van de AWBZ productregistratie. ervolgens stelt de accountant een onderzoek in naar het gestelde in de bestuursverklaring. Zowel voor de bestuursverklaring als voor de accountantsverklaring worden in de Kaderregeling voorbeeldteksten gegeven. Tenslotte schrijft de kaderregeling voor dat de interne controledoelstellingen en de daaruit voortvloeiende werkzaamheden worden opgenomen in een intern controleplan. Het is van belang in de systemen die gezamenlijk de informatievoorziening van de zorginstelling bepalen, zoveel mogelijk toetsbare controle mogelijkheden en zekerheden in te bouwen om het operationaliseren van de bestuursverklaring te ondersteunen. In dit document wordt een beoordelingskader beschreven voor deze informatieverwerking. NOREA ZekeREzorg 5
6
2 Uitgangspunten bij het beoordelingskader Bestuursverklaring De bestuursverklaring geeft aan dat de zorgactiviteiten die zijn gerealiseerd en verantwoord juist, volledig en tijdig geregistreerd en verwerkt zijn; De Kaderregeling AO/IC schetst op hoofdlijnen de voorwaarden waaraan de Administratieve Organisatie en de Interne Controle van een zorgaanbieder dienen te voldoen; Dit beoordelingskader is een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling AO/IC zijn gesteld aan de zorgaanbieders. Beheersmaatregelen Interne controlemaatregelen dienen om redenen van efficiency- en effectiviteit zoveel mogelijk geautomatiseerd te worden uitgevoerd, zodat de handmatige controle-activiteiten van de zorgaanbieders in dat verband tot een minimum kunnen worden beperkt (bij het ontbreken van geautomatiseerde controlemaatregelen zijn handmatige maatregelen opgenomen, teneinde toch voldoende waarborgen te geven); Algemene computermaatregelen ( General IT-Controls ) zijn gewaarborgd (zie figuur bij paragraaf 3). oorbehoud Het voldoen van een applicatie of pakket aan dit beoordelingskader, geeft de instelling nog geen garantie dat automatisch aan de Kaderregeling wordt voldaan. Dat is immers ook afhankelijk van de implementatie, gebruik en/of aanvullende beheersmaatregelen buiten het systeem; Dit beoordelingskader doet geen uitspraken over betrouwbaarheid en zorgvuldigheid van het AZR (AWBZ brede Zorgregistratie-systeem); Ten aanzien van de verwerking van persoonsgegevens gelden de wettelijke kaders zoals vastgelegd in de Wbp en/of sectorspecifieke wetgeving. Deze wettelijke kaders vallen buiten de scope van dit beoordelingskader. Bruikbaarheid Indien een zorgaanbieder voldoet aan dit beoordelingskader kunnen, in overleg met de zorgverzekeraar, nader te bepalen controles door zorgverzekeraar worden beperkt; Dit beoordelingskader kan door IT-auditors als toetsingskader voor certificering worden gehanteerd. NOREA ZekeREzorg 7
8
3 Objectomschrijving en afbakening (scope) van het beoordelingskader Handmatige maatregelen e maatregelen Algemene computermaatregelen Figuur (3)1: scope van ZekeRE zorg De beheersmaatregelen in het beoordelingskader zijn gebaseerd op een proces- en risicoanalyse. Hieronder is een korte beschrijving opgenomen van de processen. De beheersmaatregelen zijn onderverdeeld in drie typen maatregelen die schematisch in figuur (3)1 zijn opgenomen; (a) erwerken Indicatiebesluit en cliëntgegevens Het verwerken van de door het CIZ aangeleverde indicatiebesluiten 1. (b) ertalen indicatiebesluit naar zorgactiviteiten Het vertalen van de functies uit het indicatiebesluit naar planbare zorgproducten en het vastleggen daarvan in een zorgcontract. (c) Inplannen van zorgactiviteiten Het opstellen van een detailplanning voor de in het zorgcontract overeen gekomen activiteiten. (d) Registreren van zorgactiviteiten Het registreren van de productie in termen van uren, verpleegdagen, dagbestedingsactiviteiten en/of verrichtingen alsmede de eventueel aanvullende verpleeghuiszorg. 1 In de tekst en tabel worden de aanduidingen indicatiebesluit en zorgtoewijzing door elkaar gebruikt. Het (AWBZ-)indicatiebesluit geeft een patiënt recht op zorg en wordt genomen door het CIZ (Centraal Indicatieorgaan Zorg). Het zorgkantoor moet vervolgens regelen dat de geïndiceerde zorg ook daadwerkelijk geboden wordt. Dit gebeurt door middel van een zorgtoewijzing. NOREA ZekeREzorg 9
(e) Bewaken van de zorgactiviteiten Het signaleren van wijzigingen in de zorgbehoefte alsmede evt. afloop van de zorgtermijn; het aanvragen van herindicatie of aanvullende indicatie. (f) erantwoorden aan het zorgkantoor Het opstellen, controleren en accorderen van productieoverzichten en het aanbieden aan het zorgkantoor. (g) Beheren van de stamgegevens Het zorgdragen voor juiste en volledige stamgegevens. Figuur (3)2: Deelprocessen (a) erwerken indicatiebesluit en cliëntgegevens (b) ertalen indicatiebesluit en cliënt (c) Inplannen van zorgactiviteiten (g) Beheren van stamgegevens (d) Registreren van zorgactiviteiten (e) Bewaken van de zorgactiviteiten (f) erantwoorden aan het zorgkantoor 10
4 Doelgroepen en doelstellingen van het beoordelingskader Het beoordelingskader heeft de volgende doelgroepen en bijbehorende doelstellingen: Zorgaanbieders NOREA concretiseert met dit beoordelingskader de kwaliteitseisen die nodig zijn voor een betrouwbare geautomatiseerde verwerking van zorgactiviteiten bij de zorginstelling. Dit beoordelingskader is geen vervanging van de Kaderregeling AO/IC maar geeft een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling zijn gesteld aan de zorginstellingen. Dit beoordelingskader vormt hiermee een essentiële grondslag voor het opzetten en handhaven van een effectief systeem van interne beheersing. Dit beoordelingskader ondersteunt de zorginstellingen (zie inleiding) bij het specificeren van eenduidige eisen voor de geautomatiseerde gegevensverwerking met betrekking tot de zorgactiviteiten. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking van zorgactiviteiten vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van zorginstellingen dienen af te geven. Het beoordelingskader vormt een leidraad voor zorginstellingen in de gezamenlijke communicatie met softwareleveranciers over de inrichting van de zorgapplicaties. Een dergelijke standaardisatie zou kunnen leiden tot een reductie van de ontwikkelkosten. IT-auditors Het beoordelingskader is een nuttig document voor de IT-auditors die betrokken zijn bij de beoordeling van en advisering over de implementatie van de Kaderregeling AO/IC AWBZ bij zorgaanbieders, al dan niet in het kader controlewerkzaamheden. Deze controlemaatregelen worden veelal beoordeeld door de in het externe controleteam van de zorgaanbieder opgenomen IT-auditor. De beoordeling kan ook plaatsvinden door de interne IT-auditor van de zorgaanbieder als basis voor de review door de (externe) accountant. Zorgverzekeraars Het beoordelingskader draagt bij aan het voor de zorgkantoren inzichtelijk maken van de mate van interne beheersing op ICT-gebied bij de zorgaanbieders. Softwareleveranciers Door middel van deze publicatie wordt inzicht gegeven in de eisen/wensen welke gesteld worden aan een betrouwbaar systeem en is daarmee van waarde voor de leveranciers van de software. Door middel van dit beoordelingskader is daarnaast een set van onafhankelijke en éénduidige criteria verkregen welke als basis kan worden gebruikt om te komen tot certificering van de software door daartoe gekwalificeerde ITauditors (RE s). NOREA ZekeREzorg 11
12
5 Risicoanalyse en beheersmaatregelen De productieregistratie binnen de AWBZ-instellingen kent kort samengevat de volgende stappen. an de cliënt worden bij de start van het zorgtraject de volgende zaken vastgelegd door de Afdeling Intake/Zorgadministratie: NAW-gegevens; Startdatum van het zorgtraject; Het indicatiebesluit waarin zorgfunctie, zorgzwaarte en geldigheidstermijn van het zorgtraject zijn opgenomen. In de praktijk kan de uitvoering van de productieregistratie verschillen. De geschetste situatie vormt een algemene beschrijving van de productieregistratie. De vereiste gegevens zullen in elke uitvoeringsvorm het uitgangspunt vormen. Tevens zal op de zorgafdelingen per cliënt een dossier worden ingericht. In dit dossier zullen zaken als verwijzing, indicatiebesluit, zorgplan en cliëntencontacten worden vastgelegd. eelal worden op de zorgafdelingen naast de vastleggingen in het dossier separate vastleggingen gehanteerd op basis waarvan de zorgkantoren worden gefactureerd. Ten behoeve van de risicoanalyse zijn de volgende uitgangspunten van belang: Een juiste, volledige en tijdige vastlegging van de productiegrootheden; Een juiste vastlegging in het dossier; Een controle op de juistheid van de verantwoorde productie; Een juiste, volledige en tijdige facturering door de instelling aan het zorgkantoor van de geleverde productie. Op basis van de risicoanalyse zijn beheersmaatregelen gedefinieerd die de grondslag vormen voor het beoordelingskader. Dit beoordelingskader is gedefinieerd op een zodanig niveau dat sprake is van behoorlijk IT-gebruik. Op dat niveau wordt verondersteld dat afdoende maatregelen zijn getroffen inzake de zogenoemde Algemene Computermaatregelen, hieronder verstaan wij: Logische toegangsbeveiliging (uitsluitend door daartoe geautoriseerde specialisten of gemachtigden); Wijzigingsbeheer (ten aanzien van software- en stamtabellen) Continuïteit (back-up en evt. uitwijk). oor deze algemene computercontroles gelden algemeen aanvaarde normen. NOREA ZekeREzorg 13
14
6 Beroepsregels en normenkaders Als beroepsorganisatie stelt de NOREA eisen aan de IT-auditor die op grond van zijn beroepskwalificatie een oordeel over een object geeft. Deze zijn omschreven in de Gedrags- en Beroepsregels ( Code of Ethics ) voor Register EDP-auditors (RE s). Dit bevat bepalingen over de vereiste integriteit, deskundigheid, vertrouwelijkheid, kwaliteit, onpartijdigheid en onafhankelijkheid. Daarnaast zijn enkele aanvullende richtlijnen voor de beroepsuitoefening vastgelegd met betrekking tot opdrachtverwerving en aanvaarding, dossiervorming en beheer en rapportage. Naast de NOREA-richtlijnen en toetsingnormen hoort de IT-auditor zich op grond van de deskundigheidsvereiste ook rekenschap te geven van (sector-)specifieke normenkaders en wet- of regelgeving. In dat perspectief zijn bij het opstellen van dit beoordelingskader ook de uitgangspunten meegewogen op grond van Nederlandse Norm voor Informatiebeveiliging in de Zorg (NEN 7510). NOREA ZekeREzorg 15
16
7 Relatie Bestuursverklaring en de Accountantsverklaring Elk jaar dient het bestuur van de instelling te verklaren dat de productieregistratie en -facturering op een betrouwbare wijze heeft plaatsgevonden. Hiertoe is een standaard verklaring opgesteld. Deze verklaring voor het jaar T dient uiterlijk op 15 januari van het jaar T+1 te worden verstrekt. De positieve verklaring luidt als volgt: Wij bevestigen onze verantwoordelijkheid voor het systeem als geheel zoals beschreven onder Doel en reikwijdte van het systeem van interne beheersing. Wij hebben ons vergewist van de werking van dit systeem. Op grond daarvan verklaren wij dat voor zover wij dat redelijkerwijze hebben kunnen constateren- de interne beheersing van instelling.. gedurende het gehele kalenderjaar 200X voldaan heeft aan alle relevante eisen van de beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake AWBZ productieregistratie en facturering. De registraties van de geleverde AWBZ gefinancierde zorg en de facturering voldoet derhalve aan alle daaraan redelijkerwijze te stellen eisen. Uitgangspunt is dat de Raad van Bestuur ten behoeve van de te verstrekken bestuursverklaring een deskundige en onafhankelijke rapportage wenst en dient te hebben over het functioneren van de bedrijfsvoering. Een verbijzonderde, onafhankelijke interne controlefunctie is hiertoe nodig. Idealiter is de interne controlefunctie direct onder de Raad van Bestuur gepositioneerd als verbijzonderde IC-afdeling. Als minimumeisen worden echter gedefinieerd een zelfstandig werkende, rechtsreeks aan accountant en Raad van Bestuur rapporterende functionaris buiten de lijn, met een controleprogramma en vastleggingssystematiek die in nauwe samenwerking met de externe accountant tot stand zijn gekomen. Om te voorkomen dat een instelling ten onrechte een positieve bestuursverklaring afgeeft, is het noodzakelijk dat een wettelijk bevoegd accountant (RA of AA) een accountantsverklaring afgeeft bij de bestuursverklaring. De accountantscontrole is gericht op het geven van een oordeel over de bestuursverklaring van de Raad van Bestuur van de instelling. De rapportage is gericht aan de Raad van Bestuur van de instelling en afgegeven ten behoeve van het CTG en de (Nederlandse) ziektekostenzorgverzekeraars. 2 Definities kwaliteitsaspecten ontleend aan IT-auditing aangeduid (NOREA-geschrift 1) NOREA ZekeREzorg 17
18
8 Kwaliteitsaspecten Op grond van de Kaderregeling AO/IC wordt een juiste, volledige en tijdige vastlegging en facturering vereist. De rechtmatigheid of betrouwbaarheid wordt door IT-auditors doorgaans geconcretiseerd in de navolgende kwaliteitsaspecten: Integriteit: de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid d.w.z. juist, volledig en tijdig; Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen; Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd 2. Indien voldoende betrouwbaarheidswaarborgen zijn getroffen en deze aantoonbaar hebben gefunctioneerd in het afgelopen jaar, kan men redelijkerwijs stellen dat de geleverde zorg rechtmatig is verstrekt. NOREA ZekeREzorg 19
20
9 Het beoordelingskader Door de kennisgroep zijn op systematische wijze aan de hand van de in paragraaf 3 onderscheiden deelprocessen de risico s geïnventariseerd en gerelateerd aan de kwaliteitsaspecten. In het beoordelingskader worden de feitelijke normen uitgewerkt in termen van beheersmaatregelen. Deze maatregelen worden gekoppeld aan de benoemde kwaliteitsaspecten. Daarbij wordt nog aangeduid of de betreffende beheersmaatregel automatisch (d.w.z. als onderdeel van de applicatie) dan wel handmatig wordt uitgevoerd. Ten aanzien van het gebruik van het beoordelingskader als toetsingskader geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan. NOREA ZekeREzorg 21
22
Beoordelingskader ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie 100 Registreren Patientgegevens Norm: Patiëntgegevens (NAW- en verzekeringsgegevens) dienen juist, volledig en tijdig te worden geregistreerd 110 Binnenhalen indicaties AW33-bestand is onvolledig 1 De applicatie beschikt over functionaliteit waarmee de volledigheid van het AW33 bestand is vast te stellen. Controle vindt plaats op de volgende velden: 1. Aantal activiteitrecords; 2. Aantal productrecords; 3. Aantal score stoornisrecords; 4. Aantal score beperkingsrecords. AW33-bestand is onjuist 2 De applicatie beschikt over functionaliteit waarmee de juistheid van het AW33 bestand is vast te stellen. Controle vindt plaats op: 1. Instellingsgegevens; 2. Zorgkantoor. AW33-bestand is verouderd Tijdigheid 3 De applicatie beschikt over een controlemechanisme om na te gaan of de versie van de berichtenstandaard actueel is. AW33-bestand wordt niet of deels verwerkt 4 Een geautomatiseerde volledigheidscontrole van de bestandverwerking is aanwezig., 5 De applicatie beschikt over een foutenlog waaruit fouten bij het inlezen kunnen worden geconstateerd. 6 De zorgaanbieder beschikt over een procedure om de foutenlog te controleren op eventuele fouten. 120 Matchen cliënten Bestaande cliënten worden niet gesignaleerd met als gevolg dubbele registratie 1 De applicatie beschikt over functionaliteit om een vergelijking uit te voeren tussen het cliëntenbestand van de instelling en het AW33-bestand. Controle NOREA ZekeREzorg 23
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie vindt minimaal plaats op: 1. Burger Service Nummer (BSN); 2. NAW-gegevens; 3. Geboortedatum. 2 een overzicht waarmee het voorkomen van dezelfde cliëntgegevens in het cliëntenbestand inzichtelijk is te maken. Onjuiste match van cliëntgegevens met als gevolg onterechte mutaties. 3 De applicatie beschikt over functionaliteit om de positief uitgevoerde matches door de gebruiker te controleren en te autoriseren alvorens de cliëntgegevens in het cliëntenbestand te verwerken. Een klant heeft op enig moment meerdere actief zijnde indicatiebesluiten. 4 De applicatie beschikt over functionaliteit die voorkomt dat actieve zorgtoewijzingen met eenzelfde AGB-code voor dezelfde cliënt in dezelfde periode worden vastgelegd. 130 Invoeren of muteren cliënt- en indicatiegegevens Cliënt- en indicatiegegevens worden dubbel geregistreerd. 1 Het is in de applicatie niet mogelijk om cliëntgegevens met eenzelfde identificatiecode (BSN) meerdere keren in het cliëntenbestand op te slaan. 2 een overzicht waarmee het voorkomen van dezelfde cliëntgegevens in het cliëntenbestand inzichtelijk is te maken. 3 Het is in de applicatie niet mogelijk eenzelfde indicatie voor één client voor dezelfde periode vast te leggen. 24
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie Cliënt- en indicatiegegevens worden onterecht gemuteerd. Exclusiviteit 4 functionaliteit voor het afschermen van de invoer en muteren van cliënt- en indicatiegegevens. Onjuiste invoer van cliënten indicatiegegevens. 5 een controle op de invoer van cliënten indicatiegegevens middels verificatie door tweede persoon. Onvolledige invoer van cliënt- en indicatiegegevens. 6 De applicatie voorziet bij handmatige invoer in functionaliteit voor cliënt- en indicatiegegevens om verplichte velden te definiëren bij de inrichting van de applicatie. 200 ertalen indicatiebesluit naar zorgactiviteiten 210 oeren intakegesprek Discrepantie tussen de functie uit de indicatie en bevoegdheid instelling wordt niet geconstateerd met als gevolg onrechtmatige verstrekking 1 functionaliteit om een zorgtoewijzing af te wijzen en terug te geven aan zorgkantoor bij: 1. Niet bevoegd 2. Niet voldoen aan beleidsuitgangspunten voor verantwoorde zorgverlening 3. Onvoldoende capaciteit De indicatie van afgewezen cliënten wordt niet of niet tijdig teruggegeven aan zorgkantoor Tijdigheid 2 functionaliteit om een zorgtoewijzing af te wijzen en terug te geven aan zorgkantoor bij: 1. Niet bevoegd 2. Niet voldoen aan beleidsuitgangspunten voor verantwoorde zorgverlening 3. Onvoldoende capaciteit NOREA ZekeREzorg 25
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie 220 Functies en zorgzwaarten omzetten naar zorgactiviteiten Onjuiste vertaling van de functie en zorgzwaarte naar zorgactiviteiten 1 functionaliteit om te voorkomen dat zorgactiviteiten, automatisch afgeleid van de geïndiceerde functie(s), resulteren in CTGverrichtingen die niet binnen betreffende functie(s) verantwoord mogen worden. 230 Opstellen en afstemmen zorgcontract Het zorgcontract is onvolledig 1 functionaliteit van een contractenregister waarbij zorgcontracten automatisch worden gegenereerd. Het zorgcontract is onjuist 2 functionaliteit van een contractenregister waarbij zorgcontracten automatisch worden gegenereerd. Het zorgcontract is niet of niet tijdig ondertekend door cliënt Tijdigheid 3 functionaliteit van een contractenregister waarbij automatisch signaleringen worden gegenereerd als zorgcontracten niet vooraf aan ingangsdatum getekend door de cliënt retour zijn of hernieuwde accordering nodig is. Het zorgcontract is niet of niet tijdig ondertekend door cliënt Tijdigheid 4 functionaliteit van een overzicht inzake ouderdomsanalyse betreffende niet getekende zorgcontracten. Het zorgcontract is niet of niet tijdig ondertekend door cliënt Tijdigheid 5 De zorgaanbieder beschikt over een procedure om de ouderdomsanalyse te beoordelen. 26
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie Het zorgcontract is na afstemming ongeautoriseerd gemuteerd Exclusiviteit 6 functionaliteit voor het afschermen van overeengekomen zorgcontracten tegen onbevoegd inzien en muteren. Autorisatie 300 Inplannen zorgactiviteiten 310 Opstellen detailplanning (roosterplanning) De zorgactiviteit wordt niet of onvolledig ingepland waardoor niet kan worden voldaan aan de verplichtingen overeengekomen met de cliënt Integriteit 1 een signaleringslijst waaruit blijkt dat alle overeengekomen zorgactiviteiten zijn ingepland c.g. de overeengekomen zorgactiviteiten die niet zijn ingepland. Controleerbaarheid 2 De zorgaanbieder voorziet in een procedure om periodiek de signaleringslijst waaruit blijkt dat alle overeengekomen zorgactiviteiten zijn ingepland, te beoordelen. Zorgactiviteiten worden ingepland waarvoor geen geldige indicatie bestaat 3 De applicatie beschikt over functionaliteit om bij het plannen van zorgactiviteiten zonder indicatie verplicht een reden op te geven: 1. Bij nog niet ontvangen (her)indicatie; 2. Bij spoedeisende zorg; 3. Zorg voor eigen rekening; 4. Bij nog niet ontvangen aanvullende indicatie; 5. Aanvullende afspraken met het zorgkantoor. Controleerbaarheid 4 een signaleringslijst van geplande zorgactiviteiten zonder indicatie. NOREA ZekeREzorg 27
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie Controleerbaarheid 5 De zorgaanbieder voorziet in een procedure om periodiek de signaleringslijst van geplande zorgactiviteiten zonder indicatie te beoordelen. De zorgactiviteit wordt onjuist opgenomen in detailplanning. 6 functionaliteit dat alleen overeengekomen zorgactiviteiten worden ingepland. De detailplanning ongeautoriseerd aangepast. Exclusiviteit 7 functionaliteit voor het afschermen van de detailplanning tegen ongeautoriseerde aanpassing. 400 Registreren zorgactiviteiten Norm: Zorgactiviteiten worden juist, volledig en tijdig geregistreerd 410 Registreren productie (algemeen) Zorgactiviteiten worden geregistreerd waarvoor geen onderliggend indicatiebesluit bestaat. 1 functionaliteit die waarborgt dat zorgtoewijzing = planning = realisatie. Afwijkende zorgactiviteiten kunnen niet worden geregistreerd zonder verplichte opgave van reden. Controleerbaarheid 2 een signaleringslijst van geregistreerde zorgactiviteiten die afwijken van planning of zorgtoewijzing. Controleerbaarheid 3 De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen van geregistreerde zorgactiviteiten ten opzichte van de planning of zorgtoewijzing. Zorgactiviteiten worden geregistreerd waarvoor 4 functionaliteit die waarborgt dat 28
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie geen onderliggend zorgcontract bestaat of waarvoor in het zorgcontract geen afspraken zijn opgenomen. geen zorgactiviteiten kunnen worden geregistreerd zonder de aanwezigheid van een zorgcontract en zonder opgave van een geldige reden. 5 functionaliteit die waarborgt dat geen zorgactiviteiten kunnen worden geregistreerd die afwijken van de overeengekomen zorgactiviteiten in het zorgcontract en zonder opgave van een geldige reden. 6 functionaliteit van een signaleringslijst waarin per afwijkingsreden de periode van de geleverde zorg inzichtelijk kan worden gemaakt. Controleerbaarheid 7 De zorgaanbieder beschikt over een procedure voor de periodieke beoordeling van de signaleringslijst met betrekking tot de geleverde zorg met afwijkingsreden. Zorgactiviteiten voor dezelfde cliënt in dezelfde periode worden dubbel geregistreerd. 8 functionaliteit die waarborgt dat een zorgactiviteit niet dubbel wordt geregistreerd. (zelfde cliënt, zelfde tijdstip, zelfde medewerker). De uitgevoerde zorgactiviteiten worden geregistreerd op een verkeerde of overleden cliënt. 9 functionaliteit die waarborgt dat zorgactiviteiten niet kunnen worden geregistreerd bij een overleden cliënt. De hoeveelheid geregistreerde zorgactiviteiten komen 10 functionaliteit om functiescheiding te creëren tussen de invoer en Autorisatie NOREA ZekeREzorg 29
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie niet overeen met de daadwerkelijk uitgevoerde zorgactiviteiten (N.v.t. voor intramuraal). accordering van productiegegevens. 410-A Registreren productie (uren) Uren worden onvolledig of onjuist geregistreerd 1 functionaliteit om de vooraf ingegeven planning als voorlopige realisatie te boeken. 2 een overzicht van geregistreerde uren per medewerker per periode. 3 functionaliteit om de geregistreerde productie te accorderen door een daartoe bevoegde functionaris. Autorisatie Controleerbaarheid 4 een signaleringslijst van afwijkingen op de geregistreerde uren in vergelijking met de geplande uren. Uren worden niet tijdig geregistreerd Controleerbaarheid 5 een signaleringslijst van verschillen tussen de geplande en de gerealiseerde productie. Controleerbaarheid 6 De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen de geplande en gerealiseerde productie 410-B Registreren productie (verpleegdagen) erpleegdagen worden niet of onvolledig geregistreerd 1 De zorgaanbieder beschikt over een procedure dat bij het intakegesprek de geplande opnamedatum wordt vastgelegd in de applicatie. 30
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie 2 De zorgaanbieder beschikt over een procedure dat bij opname van een cliënt de daadwerkelijke opnamedatum wordt geregistreerd in de applicatie. 3 een signaleringslijst met een vergelijking tussen de geplande opnamedatum en de werkelijke opnamedatum. 4 De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen op de geplande opnamedata en de werkelijke opnamedata. 410-C Registreren productie (dagbestedingsactiviteiten) Dagbestedingsactiviteiten worden niet of niet volledig geregistreerd 1 functionaliteit om de vooraf ingegeven planning als overzicht te genereren ten behoeve van de aanwezigheidsregistratie. 2 De organisatie beschikt over een procedure die waarborgt dat de geregistreerde aan- en afwezigheden op een juiste wijze worden verwerkt in de applicatie. 3 een overzicht van geregistreerde dagbesteding per cliënt per periode. 4 functionaliteit om de geregistreerde productie te accorderen door een daartoe bevoegde functionaris. Autorisatie Tijdigheid 5 een signaleringslijst van verschillen NOREA ZekeREzorg 31
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie tussen de geplande en de gerealiseerde productie. Tijdigheid 6 De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen de geplande en gerealiseerde productie. 410-D Registreren productie (verrichtingen) errichtingen/aanvullende erpleeghuiszorg worden niet of niet volledig geregistreerd. 1 functionaliteit om de vooraf ingegeven planning als voorlopige realisatie te boeken. 2 een overzicht van geregistreerde verrichtingen/aanvullende verpleeghuiszorg per cliënt per periode. 3 functionaliteit om de geregistreerde productie te accorderen door een daartoe bevoegde functionaris. Autorisatie Controleerbaarheid 4 een signaleringslijst van afwijkingen op de geregistreerde verrichtingen/aanvullende verpleeghuiszorg in vergelijking met de geplande verrichtingen. errichtingen/aanvullende verpleeghuiszorg worden niet tijdig geregistreerd Tijdigheid 5 een signaleringslijst van verschillen tussen de geplande en de gerealiseerde productie. Tijdigheid 6 De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen de geplande en gerealiseerde productie. 32
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie 500 Bewaken zorgactiviteiten 510 Signaleren wijzigende zorgbehoefte Wijzigingen in zorgbehoefte worden niet of onvolledig gesignaleerd. 1 2 De zorgaanbieder beschikt over een procedure waarin aanvullende zorgbehoefte leidt tot herindicatie. functionaliteit die het proces ondersteunt bij het aanvragen van een herindicatie. 520 Signaleren op afloop zorgtermijn Afloop zorgtermijn wordt niet tijdig gesignaleerd. Tijdigheid 1 een signaleringslijst die inzicht geeft in de aflopende indicaties voor de komende periode. Tijdigheid 2 De zorgaanbieder beschikt over een procedure voor periodieke analyse van de signaleringslijst met aflopende zorgtermijnen. 530 Signaleren wijzigende cliëntsituatie Wijzigingen in de cliëntsituatie worden niet of niet tijdig gesignaleerd. Tijdigheid 1 De zorgaanbieder beschikt over een procedure waarin de zorgverleners gewijzigde cliëntsituaties dienen te registreren. Tijdigheid 2 functionaliteit voor de administratie van: 1. Overplaatsing (intern/extern) 2. Overlijden (partner) 3. erhuizing 600 erantwoorden aan het zorgkantoor 610 Opstellen productieoverzicht Het productie-overzicht bevat onjuiste gegevens of is onvolledig 1 functionaliteit om automatisch een productie overzicht te genereren ter verantwoording aan het zorgkantoor. NOREA ZekeREzorg 33
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie Het productie-overzicht wordt ongeautoriseerd aangepast 2 functionaliteit om het muteren van het productieoverzicht af te schermen. Autorisatie Het productie-overzicht wordt niet tijdig opgesteld Tijdigheid 3 De zorgaanbieder beschikt over een procedure om periodiek het productie overzicht te genereren ter verantwoording aan het zorgkantoor. 620 Controleren en accorderen productieoverzicht Het opgestelde productieoverzicht wordt niet gecontroleerd en geaccordeerd alvorens naar het zorgkantoor te worden verzonden Controleerbaarheid 1 De zorgaanbieder beschikt over een procedure om periodiek het productie overzicht te controleren en formeel te accorderen alvorens naar het zorgkantoo te verzenden. 630 ersturen productieoverzicht naar zorgkantoor Het productie-overzicht wordt onvolledig verstuurd 1 De zorgaanbieder beschikt over een procedure om te controleren dat het productie-overzicht volledig naar het zorgkantoor wordt verstuurd. Het productie-overzicht wordt niet ontvangen door het zorgkantoor 2 De zorgaanbieder beschikt over een procedure om te controleren dat het productie-overzicht is ontvangen op het zorgkantoor. 700 Beheren Stamgegevens Norm: Het beheren van stamgegevens dient juist, volledig en tijdig plaats te vinden 710 Stamtabellen waaronder: - Kwalificaties personeel - CTG-tarieven - Indicatieorganen - Zorgkantoren - Zorgzwaarten - Zorgactiviteiten Stamtabellen zijn niet actueel Tijdigheid 1 functionaliteit waardoor stamtabellen een geldigheidstermijn bevatten. Tijdigheid 2 functionaliteit welke het gebruik 34
ID DBC Deelproces Risico Kwaliteitsaspect Nr. Beheersmaatregel Type maatregel Autorisatie van de juiste stamgegevens waarborgt. 3 De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van stamgegevens waarin taken en verantwoordelijkheden zijn uitgewerkt. Stamtabellen zijn onvolledig 4 De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt. Stamtabellen zijn onjuist 5 De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt. Mutaties in stamgegevens zijn onrechtmatig Exclusiviteit 6 autorisatiefunctionaliteit voor het aanmaken, muteren, verwijderen en weergeven van stamgegevens. Autorisatie Mutaties in stamgegevens zijn niet controleerbaar Controleerbaarheid 7 functionaliteit waarmee mutaties in stamgegevens worden vastgelegd in een logbestand met de volgende gegevens: 1) Gebruikersnaam; 2) Datum en tijdstip; 3) Oude waarde en nieuwe waarde. NOREA ZekeREzorg 35
Competentiematrix ID AWBZ Deelproces Cliëntadministratie Zorgplanner 100 erwerken Indicatiebesluit en cliëntgegevens 110 Binnenhalen indicaties 120 Matchen cliënten 130 Invoeren of muteren cliënt- en indicatiegegevens 140 Controleren en accorderen 200 ertalen indicatiebesluit naar zorgactiviteiten 210 oeren intakegesprek 220 Functies en zorgzwaarten omzetten naar zorgactiviteiten 230 Opstellen en afstemmen zorgcontract 300 Inplannen zorgactiviteiten 310 Opstellen detailplanning (roosterplanning) 400 Registreren zorgactiviteiten 410 Registreren productie (algemeen) 410-A Registreren productie (uren) 410-B Registreren productie (verpleegdagen) 410-C Registreren productie (dagbestedingsactiviteiten) 410-D Registreren productie (verrichtingen) 500 Bewaken zorgactiviteiten 510 Signaleren wijzigende zorgbehoefte 520 Signaleren op afloop zorgtermijn 530 Signaleren wijzigende cliëntsituatie 600 erantwoorden aan het zorgkantoor 610 Opstellen productie-overzicht 620 Controleren en accorderen productie-overzicht 630 ersturen productie-overzicht naar zorgkantoor 700 Beheren Stamgegevens 710 Stamtabellen waaronder: - Kwalificaties personeel - CTG-tarieven - Indicatieorganen - Zorgkantoren - Zorgzwaarten - Zorgactiviteiten U U U U U U 36
37 NOREA ZekeREzorg U U U U U U U U U Zorgverlener U Zorgmanager U U U Fin. Adm. Controller/HEAD C C C C C C C C C C C C C C C C C C C C IC-medewerker U = uitvoerend = verantwoordelijk C = controlerend
38
10 Bron- en literatuurverwijzingen Kaderregeling Administratieve Organisatie en Interne Controle (AO/IC) inzake DBC registratie en facturering en Beleidsregel I-747 CTG; zie www.ctg-zaio.nl NEN 7510, Norm Informatiebeveiliging in de Zorg, zie www.nen7510.org NOREA Studierapport nr. 3. Raamwerk voor de ontwikkeling van normenstelsels en standaarden, 2002, zie www.norea.nl IT-auditing aangeduid, NOREA-geschrift nr. 1/1998 oldoet uw ZIS aan de richtlijnen, Certificering van een informatiesysteem in ICT-zorg nr. 3 mei/juni 2005 NOREA ZekeREzorg 39
40