Control Framework. (versie 1.0 definitief)

Vergelijkbare documenten
Implementatiestrategie. (versie 1.0 definitief)

Control Framework. (versie 2.0 definitief)

medisch specialistische zorg en geestelijke gezondheidszorg Control Framework (versie 3.0 definitief)

Risicoprioritering. (onderdeel van Control Framework 2.0)

Representatie. (versie 1.0 definitief)

Regiobijeenkomst Horizontaal Toezicht

Gezamenlijke visie. (versie 1.0 definitief)

Horizontaal toezicht in de zorg

geestelijke gezondheidszorg Gezamenlijke Visie (Versie 1.0 definitief)

Horizontaal toezicht of horizontale samenwerking? Workshop bij Landelijke Themadag Verminderen administratieve lasten en Horizontaal toezicht

Horizontaal Toezicht HEAD,

geestelijke gezondheidszorg Implementatieplan (Versie 1.0 definitief)

Themabijeenkomst Goede (GGZ) zorg. Bewezen én betaald

Workshop Horizontaal Toezicht congres Rechtmatige Zorg Ervaringen uit de praktijk: Dimence Groep

Safe Harbor Statement

Horizontale Samenwerking

medisch specialistische zorg en geestelijke gezondheidszorg Instapmodel (versie 3.0 definitief)

Landelijke set producten Horizontaal Toezicht Zorg. (versie 1.0 definitief)

IT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht

Accountantsprotocol declaratieproces. revalidatiecentra 2018: bestaan en werking

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Voortgangsrapportage

Nota Risicomanagement en weerstandsvermogen BghU 2018

medisch specialistische zorg en geestelijke gezondheidszorg Landelijke producten Horizontaal Toezicht Zorg GGZ

Businesscase HT. (versie 1.0 definitief)

IT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht

MKB Cloudpartner Informatie TPM & ISAE

Plan van Aanpak Gepast Gebruik. (definitief)

geestelijke gezondheidszorg Plan van Aanpak (Versie 1.0 definitief)

Controleplan Wlz CZ zorgkantoren

Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland

Controleplan Wlz CZ zorgkantoor

Senior Manager KPMG FS Actualia Zorg(verzekeraars)

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: Opdrachtgever

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Handreiking rechtmatigheidscontroles MSZ 2015

Agenda Toekomst van het (interbestuurlijk) Toezicht:

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Raadsvoorstel. Vergadering : 15 mei : Besluitvormend. Aan de Raad. Onderwerp Advies Accountantscommissie bij accountantsverslag 2013

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

Behandeld door Telefoonnummer adres Kenmerk Directie Zorgmarkten Cure CI/13/9c

Luluk van de Water- Astro. Sandra Dahmen

Beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC-registratie en facturering

Nota Risicomanagement en Weerstandsvermogen

Controleprotocol. geriatrische revalidatiezorg (GRZ) Nacalculatie DBC s GRZ. - Oude parameters. - vaststelling verrekenbedrag 2013

Auditstatuut. Systeemtoezicht Wegvervoer

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Algemeen Controleplan 2016 AO/IC controle

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Inspiratiedag. Workshop 2: Interne controle in het Sociaal Domein. 15 september 2016

Auditing CONTROLEPLAN 2019

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Regiobijeenkomst Horizontaal Toezicht

Vereenvoudiging financiële productieverantwoording. Jeugdwet 2015

Brochure. Implementatie nieuwe regelgeving

Administratieve Organisatie en Interne Controle AWBZ-zorgaanbieders 2011

Controleplan Bekostigings- gegevens. Bedrijfsvoering / Audit en Interne Controle

SiSa cursus Gemeente en accountant. 21 november 2013

Controleplan Materiële controle ZIN 2017

Algemeen Controleplan 2014

Controleplan afwikkeling GGZ-controles 2013

5. Beschrijving van het onderzoek

Controleprotocol Opbrengsten Voor Regionale Ambulancevoorzieningen bij de nacalculatie 2015

Beschikbaarheidbijdrage op aanvraag. Coördinatie Traumazorg en Regionaal Overleg Acute Zorg

CIOT-bevragingen Proces en rechtmatigheid

Controleprotocol Multidisciplinaire zorg 2016

REGELING CU/NR Administratieve Organisatie en Interne Controle inzake DBC registratie en facturering

Toezicht op Financiën. Wim Touw 17 april 2013

medisch specialisten 2014

Controleprotocol nacalculatie 2014

Algemeen controleplan zorglevering Menzis Zorgkantoren

Energiemanagement Actieplan

Is het Addendum leidend voor de controles of het farmacotherapeutisch kompas?

Rapport Uitvoering Wet langdurige zorg 2017/2018

Grip op fiscale risico s

Algemeen Controleplan Materiële Controle Zorgkantoor DWO/NWN

Beheersing en controle bij ESF projecten

Controleplan Zorgadministratie Wlz Materiële controle ZIN 2016

Strategische agenda pag. 3 Onze missie pag. 3 Onze koers pag. 5 Onze speerpunten pag. 6 Onze kerntaken

medisch specialisten 2013

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Deze regeling is van toepassing op Wlz-uitvoerders als bedoeld in artikel 1, sub e, van de Wmg.

HOEBERT HULSHOF & ROEST

Congres Rechtmatige Zorg 19 april De route van een declaratie, van zorgverlening tot eindafrekening.

Copro 18028C. Accountantsprotocol. Gegevensvraag Wlzgegevens

Controleprotocol geriatrische revalidatiezorg (GRZ) 2013

Algemeen controleplan AO/IC controle en zorgrendement Menzis Zorgkantoren

Regiobijeenkomst Horizontaal Toezicht Zorg Workshop beoordelen beheersmaatregelen

Controleprotocol. Accountantscontrole Jaarrekening Gemeente Berkelland Bijlage 1. Versie juni 2014 Controleprotocol pagina 1 van 9

Accountantsprotocol Beschikbaarheidbijdrage op aanvraag Coördinatie Traumazorg en Regionaal Overleg Acute Zorg (ROAZ) 2018

Intern controleplan CAK Het CAK in control

Behandeld door Telefoonnummer adres Kenmerk Directie Regulering / CI/16/11c

Addendum Rechtmatigheid Wmo Begeleiding 2015

Slagvaardig partnerschap

Accountantsprotocol. Handreiking rechtmatigheidscontroles MSZ Hoofdstuk 1: Uitgangspunten protocol 2

Algemeen Controleplan 2016 Declaratiegedrag

Planning toezichtthema s verzekeraars

Transcriptie:

Control Framework (versie 1.0 definitief) maart 2017

Control Framework 2

Control Framework Inleiding Het Control Framework is een gestructureerd beheersingskader dat in de praktijk de uitvoering van Horizontaal Toezicht faciliteert. Het maakt de dialoog mogelijk tussen een zorgaanbieder en de representerende zorgverzekeraar over de vraag of met de interne beheersing de onderkende beheersingsdoelstellingen voor het rechtmatig registreren en declareren van zorg in toereikende mate wordt gehaald. Relatie met implementatiestrategie Dit framework wordt toegepast door instellingen die zich bevindingen in de implementatiefase (fase D implementatiestrategie) of in de verantwoordingsfase (fase E implementatiestrategie). In de implementatiefase doorloopt de instelling de eerste 5 processtappen uit het Control Framework. De overgang naar processtap 6 is tegelijk ook de overgang naar fase E uit te implementatiestrategie en dus de overgang naar Horizontaal Toezicht. Inhoud In het Control Framework worden de beheersingsdoelstellingen, de bijbehorende risico s en beheersingsmaatregelen opgenomen. Het doel is om op een uniforme wijze hierover verantwoording af te leggen in de keten. Om de zorgverzekeraars voldoende zekerheid te bieden ten behoeve van hun verantwoording verder in de keten is assurance een sluitstuk, zodat de wettelijke controletaken vanuit de verzekeraars zijn geborgd. Assurance is complementair om de Horizontaal Toezicht relatie (gefundeerd vertrouwen) te faciliteren, maar niet het startpunt van Horizontaal Toezicht. Immers niet het verkrijgen van assurance maar het stevig inregelen van de dialoog is tenslotte de ruggengraat van HT. Het Control Framework beschrijft de processtappen die een instelling, verzekeraar en een assurance provider moeten zetten om Horizontaal Toezicht in de praktijk vorm te geven. Een aantal processtappen worden vanuit het landelijk platform Horizontaal Toezicht ondersteund met een specifiek product. Er zijn zes processtappen gedefinieerd: VERKENNINGSFASE afweging maken op basis van businesscase ZORGAANBIEDER 0-1 MAAND A INVENTARISATIESFASE toetsing van geschiktheid op basis van instapmodel ZORGAANBIEDER ZORGVERZEKERAAR (validatie) 1-2 MAANDEN VERBETERFASE verbetertraject n.a.v. bevindingen instapmodel ZORGAANBIEDER ZORGVERZEKERAAR (validatie) 1-12 MAANDEN IMPLEMENTATIEFASE invoering Control Framework & Horizontaal Toezicht in de praktijk beoefenen ZORGAANBIEDER ZORGVERZEKERAAR 12-24 MAANDEN VERANTWOORDINGSFASE verantwoording op basis van aantoonbaar werkzaam en effectief Horizontaal Toezicht ZORGAANBIEDER ZORGVERZEKERAAR ACCOUNTANT Initiele fase 6-12 MND Structurele fase >>> B C D E 1 Benoemen van beheersingsdoelstellingen 2 Identificeren van risico s 3 Uitvoeren risicoanalyse 4 Bepalen beheersingsmaatregelen 5 Beoordelen opzet van de beheersingsmaatregelen 6 Verantwoorden over opzet, bestaan en werking. Wanneer een instelling eenmaal de stap heeft gemaakt naar de verantwoordingsfase (fase E implementatiestrategie) worden de processtappen 1 t/m 6 uit het Control Framework jaarlijks toegepast. Het Control Framework blijft dus continue van toepassing als vast onderdeel binnen de bedrijfsvoering van de instelling. 3

1 2 Benoemen van beheersingsdoelstellingen Identificeren van risico s 3 Uitvoeren risicoanalyse 4 5 6 Bepalen beheersingsmaatregelen Beoordelen opzet van de beheersingsmaatregelen Verantwoorden over opzet, bestaan en werking 4

1 Benoemen 1 Benoemen van van beheersingsdoelstellingen beheersingsdoelstellingen Binnen de context van de door de instelling geformuleerde missie of visie, formuleert het management van een instelling strategische doelstellingen. Vervolgens worden er beheersingsdoelstellingen geformuleerd en richt de instelling zich op een cyclus van sturen en beheersen, verantwoorden en toezicht. De hoofddoelstelling voor de instelling in het kader van Horizontaal Toezicht is om rechtmatige declaraties aan de zorgverzekeraar of patient aan te bieden. Bij de totstandkoming van een declaratie spelen diverse registratieprocessen een rol. Ieder proces kent zijn eigen beheersingsdoelstellingen en bijbehorende risico s die beheerst moeten worden om een rechtmatige declaratie te waarborgen. Dit zal per zorginstelling verschillend zijn. De primaire processen van instellingen zijn op hoofdlijnen vergelijkbaar en moeten voldoen aan de vigerende wet- en regelgeving en landelijke afspraken. Als handvat is daarom landelijk een aantal beheersingsdoelstellingen uitgewerkt. Deze set aan beheersingsdoelstellingen is dynamisch en wordt periodiek onderhouden door het landelijke platform Horizontaal Toezicht. De eerste stap in het Control Framework is om op grond van wet- en regelgeving en de specifieke situatie van het ziekenhuis de van toepassing zijnde beheersingsdoelstellingen te benoemen. Deze beheersingsdoelstellingen hebben betrekking op de activiteiten rondom rechtmatige declaraties, gebaseerd op juiste, tijdige en volledige registraties van de instelling. 5

2 Identificeren 2 Identificeren van risico s van risico s De beheersingsdoelstellingen worden bedreigd door risico s binnen en tussen processen. Na de selectie van beheersingsdoelstellingen worden de voor de instelling van toepassing zijnde risico s geselecteerd. Om ook dat proces te faciliteren zijn aan de set met landelijke beheersingsdoelstellingen ook generieke bruto risico s toegevoegd. Deze generieke risico s worden zo nodig verder uitgewerkt of aangevuld op basis van de instelling specifieke situatie. Ook zullen regelmatig instellingspecifieke risico s van toepassing zijn bij een beheersingsdoelstelling die niet opgenomen staat in de landelijke brutolijst. Horizontaal Toezicht is maatwerk en het is van groot belang dat dergelijke risico s door de instelling worden geidentificeerd. Jaarlijks stelt een instelling een controleplan op (bijvoorbeeld op basis van het Plan-Do-Check-Act principe), met daar in opgenomen een inventarisatie van de risico s behorende bij de van toepassing zijnde beheersingsdoelstellingen. Ook de landelijke lijst met generieke bruto risico s zal jaarlijks geactualiseerd worden op basis van onder meer wijzigingen in wet- en regelgeving en informatie van instellingen, zorgverzekeraars en overige stakeholders zoals de NZa. Actualisatie landelijke lijst Het landelijk platform Horizontaal Toezicht, bestaande uit vertegenwoordigers van de koepelorganisaties (ZN, NFU, NVZ), wordt verantwoordelijk voor het actualiseren van alle HT-producten waaronder de landelijke lijst met beheersingsdoelstellingen en risico s. Zie implementatiestrategie. Een belangrijk aandachtspunt hierbij is de volledigheid van de lijsten. De volledigheid dient geborgd te worden door een brede vertegenwoordiging vanuit de achterban in het landelijk platform en door het actief ophalen van informatie uit het veld. De landelijke lijsten wordt jaarlijks vastgesteld door de besturen van de drie koepels. De jaarlijkse update dient tijdig, voor aanvang van het nieuwe declaratiejaar, bekend te zijn. Bronnen voor de landelijke risicolijst zijn de beleidsregels en nadere regels van de NZa, uitkomsten van het zelfonderzoek, Dot Controle Module, retourinformatie, individuele controles zorgverzekeraar, eigen controles zorgaanbieders, NOREA, declaratiestandaarden (VECOZO), signalen van de Nederlandse Zorgautoriteit en duidingen of signalen van het Zorginstituut Nederland. Het jaarlijkse actualisatie proces zal als volgt worden ingericht: 1/1 Start jaar T 1/3 Instellingen verantwoorden over jaar T-1 1/4 Landelijk platform start met voorbereiding actualisatie landelijke lijst (teams samenstellen, inplannen sessies en besluitvorming, verzamelen input vanuit ervaringen tot dan toe) 1/5 NZa publiceert nieuwe regelgeving T+1 1/5 Start actualisatie landelijk lijst 1/9 Concept lijst T+1 bekend 1/10 Definitieve lijst T+1 vastgesteld 6

3 Uitvoeren risicoanalyse De risicoanalyse moet op een frequente en gestructureerde wijze plaatsvinden. Een instelling kan bijvoorbeeld elke twee jaar een diepgaande analyse doen en minimaal jaarlijks een update uitvoeren. De van toepassing zijnde risico s worden door de instelling geclassificeerd in de categorieën: hoog, midden en laag. De risico s worden gewogen op basis van kans en impact, waarbij mede gebruik wordt gemaakt van controle-informatie van zorgverzekeraars, instellingen en overige externe bronnen. De afweging kan kwalitatief of kwantitatief van aard zijn: - Kwantitatief: Op basis van onder andere omzetstromen, benchmark analyses en fouten vanuit het verleden. - Kwalitatief: Imagorisico s, risico van noncompliance, invloed verantwoordingen zorgverzekeraars (bijvoorbeeld diagnosecodes), verandering in- en externe omgeving (nieuw EPD, fusie, etc.) en wijzigingen in wet- en regelgeving. Zowel de kwantitatieve als de kwalitatieve factoren worden meegenomen bij het proces van risicoclassificering. De laag geclassificeerde risico s worden, gegeven een bepaald minimaal volwassenheidsniveau, in een bepaalde mate ondervangen in de bedrijfsvoering (bijvoorbeeld eerste en tweede lijns beheersingsmaatregelen) van de instelling, zoals opgenomen in het instapmodel. Er zijn meerdere manieren om risico s te wegen. Dit kan bijvoorbeeld met behulp van een vijfpuntenschaal, maar ook andere methoden kunnen worden toegepast. De methodiek wordt in onderling overleg tussen de instelling en zorgverzekeraar bepaald. Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten binnen het Control Framework om zo eenduidige toepassing van het Control Framework te borgen. Het beoordelen van de risicoanalyse is zo n go/no go moment. De go/no go bij deze processtap wordt na hoor en wederhoor met de tweede zorgverzekeraar afgegeven door de representerende zorgverzekeraar. 7

Vijfpuntenschaal De vijfpuntenschaal is een voorbeeldmethode om risico s te wegen. Deze weging vindt plaats voor zowel de kans als impact. Kans 1. Zeer lage kans van optreden (Jaarlijks) 2. Lage kans van optreden (Maandelijks) 3. Gemiddelde kans van optreden (Wekelijks) 4. Hoge kans van optreden (Dagelijks) 5. Zeer hoge kans van optreden (Meerdere keren per dag) Kwantificeerbare impact 1. Zeer lage impact ( <0,01% van de omzet) 2. Lage impact (tussen 0,01% en 0,05% van de omzet) 3. Gemiddelde impact (tussen 0,05% en de 0,1% van de omzet) 4. Hoge impact (tussen 0,1% en 1 % van de omzet) 5. Zeer hoge impact ( >1% van de omzet) Niet kwantificeerbare impact voor bijvoorbeeld reputatie/kwaliteit 1. Zeer lage impact (Verwaarloosbaar) 2. Lage impact (tijdelijk verminderd publiek vertrouwen via lokale media) 3. Gemiddelde impact (langdurig verminderd publiek vertrouwen via lokale media) 4. Hoge impact (Tijdelijk verminderd publiek vertrouwen via nationale media) 5. Zeer hoge impact (Langdurig verminderd publiek vertrouwen via nationale media) X KANS 1 2 3 4 5 2 4 6 8 10 IMPACT 3 4 5 6 8 10 9 12 15 12 16 20 15 20 25 Laag 1 t/m 4 Middel (5 t/m 14) Hoog (15 t/m 25) De kans maal de impact leidt tot de risicoscore. De risicoscore is vervolgens gekoppeld aan een risico classificatie van laag, midden of hoog. Hiernaast een voorbeeld matrix. 8

4 Bepalen 4 van Bepalen beheersingsmaatregelen beheersingsmaatregelen Het Control Framework gaat uit van een procesgerichte benadering van beheersingsmaatregelen vanuit het principe van het three lines-of-defence model. De keuze voor de aard en het type beheersingsmaatregel is aan de instelling. Het doel is om aantoonbaar de beheersingsdoelstelling op orde te hebben. Logischerswijs zijn de hoge en midden risico s relevant in de beoordeling van het in control zijn op de individuele beheersingsdoelstelling. Het ziekenhuis kan ook kiezen voor gegevensgerichte beheersingsmaatregelen zoals compenserende gegevensgerichte maatregelen bij ontoereikende procesgerichte beheersingsmaatregelen. Er zijn diverse tools beschikbaar die gegevensgerichte interne controles mogelijk maken. In bijzondere situaties zou een instelling een beroep kunnen doen op de representerende zorgverzekeraar om de controle door de zorgverzekeraar te laten uitvoeren. Dit zal met name gelden voor controles waarbij informatie nodig is van de zorgverzekeraar, zoals U-bocht controles. In deze stap koppelt de instelling zijn beschreven beheersingsmaatregelen aan de gedefinieerde beheersingsdoelstellingen en bijbehorende risico s. Hierbij zal de aandacht uitgaan naar de hoge en midden risico s. Bij de beschrijving van de beheersingsmaatregelen dient de instelling aan te geven welke controleactiviteiten waar, wanneer, hoe en met welke frequentie worden uitgevoerd en in welke line of defence (eerste, tweede, derde) de betreffende beheersingsmaatregelen zitten die de risico s in het proces ondervangen. Beleid en procedures worden door een instelling opgesteld, onderhouden en geïmplementeerd om zo de benodigde beheersingsmaatregelen te verankeren. Randvoorwaardelijk voor het borgen van de juiste en volledige dataverwerking zijn general IT controles. Ook hiervoor geldt het principe van aantoonbaar in control zijn op deze beheersingsmaatregelen. 9

5 Beoordelen opzet van de beheersingsmaatregelen De voorgaande processtappen leiden tot een ingevuld beheersingskader van beheersingsdoelstellingen, risico s en beheersingsmaatregelen. Na deze stappen volgt de dialoog tussen de instelling en de zorgverzekeraar over de vraag of de onderkende beheersingsmaatregelen de risico s in toereikende mate ondervangen en of de instelling daarmee op het niveau van de beheersingsdoelstelling in control is. Blijkt uit deze stap dat bestaande maatregelen ontoereikend zijn om de risico s te mitigeren en daarmee de doelstellingen te borgen dan zal de instelling eerst aanvullende maatregelen moeten implementeren en deze stap opnieuw met de zorgverzekeraar doorlopen. Bij de beoordeling van opzet van de beheersingsmaatregelen richt de zorgverzekeraar zich op de midden en hoge risico s. De mate van diepgang van de werkzaamheden is afhankelijk van de mix van beheersingsmaatregelen in relatie tot de controledoelstellingen die je wilt bereiken. Gedurende het proces past representerende zorgverzekeraar hoor en wederhoor toe bij de tweede zorgverzekeraar voor de go/no go momenten binnen het Control Framework om zo eenduidige toepassing van het Control Framework te borgen. Het beoordelen van de opzet van de beheersingsmaatregelen is zo n go/no go moment. De go/no go bij deze processtap wordt na hoor en wederhoor met de tweede zorgverzekeraar afgegeven door de representerende zorgverzekeraar. 10

6 Verantwoorden over opzet, bestaan en werking De instelling legt aantoonbaar en periodiek (jaarlijks) verantwoording af over de mate waarin de beheersingsdoelstellingen zijn behaald. Gebruikmakend van het Control Framework wordt dat gerealiseerd door aan te tonen dat in opzet, bestaan en werking de gezamenlijk aangewezen beheersingsmaatregelen aanwezig zijn én effectief zijn. De opzet van een controle kan bijvoorbeeld door middel van een procedure worden aangetoond. Voor het aantonen van het bestaan dient daarbij een voorbeeld te worden overlegd. De effectieve werking dient door middel van een dataanalyse of een vooraf overeengekomen aantal deelwaarnemingen verspreid over de werkingsperiode te worden aangetoond. Om de werking aan te tonen zal de instelling gedurende het jaar de beheersingsmaatregelen moeten toetsen, zoals opgenomen in het afgestemde controleplan. De hoeveelheid benodigde deelwaarnemingen is afhankelijke van de gemiddelde periodiciteit en het risico. Restrisico s Onder restrisico wordt verstaan het overblijvende risico indien beheersingsmaatregelen niet werken of ontbreken met als gevolg dat het oorspronkelijke hoge risico onvoldoende wordt beheerst. Afhankelijk van de omvang van het restrisico kan dit leiden tot compenserende gegevensgerichte maatregelen die worden afgestemd met de zorgverzekeraar met als doel het restrisico alsnog naar een acceptabel (laag) niveau te krijgen. Op restrisico s die als laag worden ingeschat, hoeven geen compenserende gegevensgerichte maatregelen te worden getroffen. De term restrisico moet niet verward worden met de term laag risico die voortkomt uit de risicoanalyse. Voor de lage risico s uit de risicoanalyse geldt dat, gegeven een bepaald minimaal volwassenheidsniveau, dit in voldoende mate wordt ondervangen in de bedrijfsvoering van de instellingen. De elementen hiervoor zijn opgenomen in het instapmodel. Periodiek stelt de instelling een tussenrapportage op met de uitkomsten van de toetsing en bespreekt deze met de zorgverzekeraar. Gedurende het verantwoordingsjaar wordt deze dialoog dus periodiek gevoerd om geconstateerde gebreken op passende wijze te adresseren, zodat na afloop van het jaar geen onacceptabele onzekerheden overblijven. 11

Assurance Uitgangspunten Zorgverzekeraars en zorgaanbieders hebben een gezamenlijke ketenverantwoordelijkheid voor de verantwoording van de zorgkosten. Dat betekent dat alle partijen (ook de toezichthouder NZa) moeten kunnen steunen op de werkzaamheden die in de gehele keten worden uitgevoerd. De toereikendheid van de opzet van de beheersingsmaatregelen wordt in onderling overleg tussen de representerende zorgverzekeraar en de zorgaanbieder vastgesteld. De representerende zorgverzekeraar beoordeelt bestaan en werking van de beheersingsmaatregelen op de midden en hoge risico s. Voor hoge risico s zal ook de accountant worden ingeschakeld om de werking van de beheersingsmaatregelen aan te tonen. Doelstelling Assurance moet de zuivere dialoog tussen zorgaanbieder en representerende zorgverzekeraar ondersteunen, het onderlinge vertrouwen versterken en een bepaalde mate van zekerheid geven voor de andere zorgverzekeraars (niet zijnde de representerende zorgverzekeraar). Ook voor de toezichthouder NZa is assurance belangrijk in de verantwoording. Type verklaringen Een assurance-verklaring geeft een redelijke mate van zekerheid over: De betrouwbaarheid (juistheid, tijdigheid en volledigheid) Van de onderzochte registratie- en declaratiewerkzaamheden Op een afgesproken tijdstip (COS 3000 type 1) of over een afgesproken werkingsperiode (COS 3000 type 2). Assurance in de keten De zorgaanbieder en zorgverzekeraar schatten samen de risico s in op hoog, midden of laag (processtap 3) en kijken gezamenlijk naar de opzet van de beheersingsmaatregelen (processtap 5). In deze fases is er geen accountantscontrole. De toereikendheid van de opzet van de beheersingsmaatregelen wordt in onderling overleg tussen de representerende zorgverzekeraar en de zorgaanbieder vastgesteld. De representerende zorgverzekeraar beoordeelt bestaan en werking van de beheersingsmaatregelen op de midden en hoge risico s. Voor hoge risico s zal de accountant worden ingeschakeld om de werking van de beheersingsmaatregelen aan te tonen. Daarbij is de aanname dat de beheersing van de hoge risico s ook zijn vruchten afwerpt voor de beheersing van de overige risico s. Er vindt dus één controle plaats (door de accountant) op basis van een gezamenlijk opgestelde opdracht van zorgaanbieder en zorgverzekeraar. Instellingen kunnen zelf een derde lijn inrichten waar de accountant gebruik van kan maken. Indien deze derde lijn zelf ook een assuranceverklaring kan afgeven is dat in bepaalde omstandigheden toegestaan. Om van processtap 5 (beoordelen opzet beheersingsmaatregelen) naar processtap 6 (verantwoordingsfase) te gaan dient de opzet en het bestaan van de beheersingsmaatregelen op de hoge risico s te worden aangetoond en gerapporteerd. De eerste keer zal dit zijn door middel van een COS 3000 type 1 verklaring of een rapportage van de onafhankelijke derde lijn. Wanneer de instelling voor het eerst over gaat naar processtap 6 is de instelling over op HT. In de reguliere jaarcyclus waarin de instelling de processtappen 1 t/m 6 jaarlijks doorloopt wordt over de beheersing van de hoge risico s jaarlijks een COS 3000 type 2 verklaring afgegeven. 12

Jaarplanning Het Horizontaal Toezicht Control Framework is een beheersingskader dat verankerd wordt in de planning & control cyclus van de instelling en de zorgverzekeraar. Jaarlijks keren de meeste activiteiten uit de stappen 1 t/m 6 terug. De benodigde capaciteit die gevraagd wordt zal voor een aantal activiteiten wel sterk afnemen naarmate instelling en verzekeraar verder Horizontaal Toezicht ingroeien. Wanneer processen van het ene op het andere jaar niet veranderen hoeft de opzet niet steeds opnieuw te worden beoordeeld. Ook de risico-classificatie zal steeds gemakkelijker worden. Door de continue dialoog en verbeteringen van de beheermaatregelen zal dit kunnen leiden tot verschuiving van risico s van hoog naar laag. Uiteraard kunnen ook nieuwe risico s aan het licht komen. 13

www.horizontaaltoezichtzorg.nl info@horizontaaltoezichtzorg.nl 14

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback