Horizontaal Toezicht als basis van vertrouwen in de zorgketen

Inleiding

In 2017 publiceerde Compact een artikel over de invoering van Horizontaal Toezicht in Nederlandse ziekenhuizen [Uter17]. In dit artikel werd een pleidooi gehouden om IT een prominentere rol te laten spelen, zodat ook echt van de voordelen van Horizontaal Toezicht kan worden geprofiteerd. Een jaar later zijn vrijwel alle ziekenhuizen gestart met projecten op het gebied van Horizontaal Toezicht, sommige zullen op korte termijn hiermee starten. De stimuleringsregeling van de zorgverzekeraars heeft hier zeker aan bijgedragen. Ook instellingen in de geestelijke gezondheidszorg gaan vanaf komend jaar actief met Horizontaal Toezicht aan de slag.

De vraag die in dit artikel aan de orde komt, is op welke wijze Horizontaal Toezicht succesvol kan worden ingevoerd. Horizontaal Toezicht is geen opzichzelfstaand project, en niet gericht op nog meer controles. Dit artikel besteedt aandacht aan de keten van waaruit Horizontaal Toezicht moet worden bezien, alsmede de hiermee gepaard gaande risico’s. Vanuit deze keten en risico’s wordt duidelijk gemaakt hoe je risico’s kunt beheersen, zonder ‘nog meer’ controles te implementeren om Horizontaal Toezicht in te voeren. Ten slotte kijken we vooruit en presenteren we drie principes die gehanteerd kunnen worden bij de implementatie van Horizontaal Toezicht.

Horizontaal Toezicht in de keten

Een belangrijke succesfactor voor het slagen van een dergelijk project is dat een ziekenhuis niet alleen verantwoordelijk is voor de succesvolle implementatie van Horizontaal Toezicht, maar dat de gehele keten waarin Horizontaal Toezicht plaatsvindt, hierbij moet worden betrokken. In elk deel van de keten kunnen processen die bijdragen aan Horizontaal Toezicht uitbesteed zijn. In dit artikel maken we inzichtelijk hoe deze keten eruitziet, welke processen er waar in de keten worden uitgevoerd, welke risico’s er zijn, maar vooral ook hoe je de bijkomende risico’s kunt beheersen.

Het uitbesteden van processen, en daarmee het creëren van een keten, heeft een directe impact op de inrichting van het risicomanagement van een organisatie. Voor het management of bestuur is een directe controle op de uitbestede processen niet mogelijk; er zal dus een andere vorm van beheersing moeten worden ingericht om zekerheid te krijgen over de betrouwbare werking van de uitbestede processen.

Kijkend naar de keten binnen Horizontaal Toezicht, dan begint het vaak bij de zorgverzekeraar. Deze partij voert doorgaans een groot aantal controles uit van de gefactureerde zorg. De ontwikkeling in het Nederlandse zorglandschap is dat deze controles van de geleverde en gefactureerde zorg door ziekenhuizen in toenemende mate worden uitgevoerd door de zorgaanbieder, waarna de zorgverzekeraar hierop moet vertrouwen. Hiermee is de zorgverzekeraar de eerste schakel in de keten.

Op het moment dat de zorgverzekeraars beter kunnen vertrouwen op de betrouwbaarheid van de registratie en facturatie van de zorginstelling, kan worden afgesproken dat de instelling verantwoording aflegt over deze betrouwbaarheid, door middel van een ‘serviceorganisatiecontrole’-rapport (hierna: assurance-rapport). Een dergelijk rapport is toegesneden op de risico’s van de zorgverzekeraar, en richt zich op de beheersingsmaatregelen die de instelling heeft ingericht.

Omdat zorginstellingen hun (IT-)processen steeds vaker hebben uitbesteed, wordt een deel van de door de zorginstellingen uitgevoerde controles daarmee ook uitbesteed. De zorginstelling heeft daardoor een aantal risico’s niet in eigen beheer. Vaak heeft men daar beperkte ‘servicelevel’-afspraken over gemaakt met de leveranciers. Als de risico’s, die zich buiten de muren van de zorginstelling bevinden, worden meegenomen in het totale risicomanagement van een zorginstelling, zien wij dat de volwassenheid en beheersing van de interne organisatie groeit. Hierdoor kunnen de doelen van Horizontaal Toezicht beter worden bereikt. Horizontaal Toezicht is daarom niet alleen de verantwoordelijkheid van de zorginstelling en zorgverzekeraar, maar van de hele keten. De schakels in de keten moeten, net als de zorginstellingen, verantwoording afleggen. Ook dit kan middels een assurance-rapport, waardoor er een keten van assurance ontstaat.

Risicomanagement in de keten

Een keten ontstaat wanneer een zorginstelling voor de registratie, facturatie van de geleverde zorg en de controle hiervan, diensten afneemt bij een serviceorganisatie (een leverancier van diensten). Een vergelijkbaar voorbeeld is de cateraar van het ziekenhuis die het bereiden van de warme maaltijden laat uitvoeren door een andere organisatie. De keten bestaat dan uit het ziekenhuis, dat formeel gezien het leveren van een warme maaltijd voor de patiënten heeft uitbesteed aan een cateraar, en de cateraar zelf, die op haar beurt het bereiden van de warme maaltijd ook weer heeft uitbesteed.

In het proces van het registreren en factureren van geleverde zorg werkt dit op dezelfde wijze. Zoals in de inleiding is geschetst, kan een zorginstelling gezien worden als een serviceorganisatie door de zorgverzekeraar, voor wat betreft het uitvoeren van de zorg, en de controles van correcte registratie en facturatie hiervan. De zorginstelling heeft vaak op haar beurt IT-processen uitbesteed aan leveranciers. Je kunt hierbij denken aan het hosten en onderhouden van het ZIS (Ziekenhuis Informatie Systeem) en het EPD (Elektronisch Patiënten Dossier), of de toepassing van tools om controles uit te voeren van onjuistheden in de registratie. Vervolgens kan het zo zijn dat de IT-leverancier de servers en dataopslag heeft uitbesteed aan een externe provider. De Horizontaal Toezichtketen ziet er dan uit zoals afgebeeld in Figuur 1.

Figuur 1. Horizontaal Toezichtketen. [Klik op de afbeelding voor een grotere afbeelding]

Waar processen worden uitbesteed, neemt de risicodeling toe. De zorginstelling blijft als organisatie echter eindverantwoordelijk. Het management of bestuur van de zorginstelling moet bepalen hoe de risico’s in de keten zich tot elkaar verhouden, en in welke mate deze risico’s worden beheerst. Naast het identificeren en inschatten van deze risico’s is een andere belangrijke stap het bepalen van de ‘risk appetite’. Dit is de afweging tussen de risico’s die de instelling wil afdekken en de (rest)risico’s waarvan de instelling bereid is om deze te accepteren. Hierbij dient de instelling rekening te houden met de uiteindelijke gebruiker/afnemer.

De risico’s die de instelling onderkent en wil (laten) afdekken, dienen te worden gecommuniceerd binnen de keten. De serviceorganisaties gaan dan aan de slag met maatregelen omtrent deze risico’s, en vervolgens communiceren zij in welke mate het betreffende risico is afgedekt binnen de keten. Risk appetite is daarbij niet alleen van belang voor de mate van diepgang van de interne beheersing, maar speelt ook een belangrijke rol in het evalueren van het restrisico, of het risico dat ontstaat wanneer de interne beheersing onvoldoende effectief is.

Concreet betekent dit, wanneer een risico en de bijbehorende risk appetite tussen ketenpartijen onvoldoende wordt afgestemd, dat:

• de mate van beheersing door de uitbestedingspartijen niet aansluit op de verwachtingen van de gebruiker, waardoor risico’s niet of onvoldoende worden afgedekt (effectiviteit), of juist te diepgaand worden afgedekt (inefficiënt);
• het restrisico, of het risico uit bevindingen van ineffectieve beheersing, onjuist wordt geëvalueerd. Hierdoor wordt het verwachte risico verderop in de keten groter, en daarmee bestaat de kans dat de beheersingsmaatregelen onvoldoende aansluiten bij het te verwachten risico.

In de keten zijn zogenaamde ‘hand-over’-momenten aanwezig. Hierbij zijn vooral de afspraken en afstemmingen van belang. Zo kan het zijn dat de ene partij denkt dat de ander het risico afdekt, en vice versa. Wie neemt waarvoor verantwoordelijkheid en wie dekt welk risico af? Het overzien van de risico’s en het controleraamwerk binnen de gehele keten is daarbij van belang. In service-level-agreements (SLA’s) kunnen hier concrete afspraken over worden gemaakt.

Figuur 2. Risicobeheersing binnen de gehele Horizontaal Toezichtketen. [Klik op de afbeelding voor een grotere afbeelding]

Daarnaast kan het zijn dat bepaalde risico’s niet in hun geheel door een van de organisaties in de keten kan worden afgedekt, maar dat de serviceorganisatie beschrijft welke maatregelen de eindgebruikersorganisatie moet nemen om het risico af te dekken. Deze maatregelen worden de zogeheten ‘complementary user entity controls’ (CUEC’s) genoemd, en maken onderdeel uit van de assurance-rapportage. In het Nederlands zijn deze maatregelen beter bekend als de ‘aanvullende beheersingsmaatregelen’ voor de gebruikersorganisatie. Dit zijn beheersingsmaatregelen die de eindgebruiker moet inrichten om de beoogde beheersingsdoelstellingen, die in het assurance-rapport zijn opgenomen, te bereiken.

In het voorbeeld van de cateraar en bereider van de warme maaltijden is de beheersingsdoelstelling van de bereider dat de maaltijden hygiënisch worden bereid, volgens de geldende hygiënenormen in de horeca. Op het moment dat de bereider de maaltijden overdraagt aan de cateraar (het ‘hand-over’-moment) kan deze echter niet meer verantwoordelijk zijn voor de hygiëne. De cateraar zal dan een ‘CUEC’ moeten inrichten, om zo te borgen dat de bereider alle maaltijden hygiënisch verwarmt en uitserveert. De patiënt in het ziekenhuis, die de maaltijd uiteindelijk opeet, vertrouwt er immers op dat de maaltijd bijdraagt aan het proces van aansterken en herstel. Ook hier geldt dat honderd procent zekerheid niet te garanderen is, maar de patiënt heeft wel een redelijke mate van zekerheid dat de warme maaltijd voldoet aan de hygiëne-eisen. In [Beek17] is aangegeven op welke wijze de gebruikersorganisatie invulling kan geven aan het interpreteren en opvolgen van de CEUC’s uit een assurance-rapport.

Met assurance-rapporten kunnen partijen in de keten elkaar inzicht geven in de mate waarin ze de interne beheersing van de overeengekomen risico’s hebben ingericht en uitgevoerd. Door onafhankelijke assurance wordt vertrouwen gecreëerd op basis van ‘aantoonbaarheid’. Een assurance-rapport over de interne beheersing, getoetst door een onafhankelijke auditor of accountant, levert een onafhankelijke evaluatie op over de mate waarin de beheersingsmaatregelen worden uitgevoerd, en de beheersingsdoelstellingen (omgekeerd geformuleerde risico’s) die daarmee worden behaald.

Interne beheersing en de externe toetsing daarvan kunnen geen volledige zekerheid geven. Zowel bij de uitvoering van de interne beheersing als het toetsen ervan worden toleranties gehanteerd, en er wordt gewerkt met deelwaarnemingen als afweging van de betrouwbaarheid en kosten die samenhangen met het inrichten van de interne beheersing en externe controle hiervan. Een assurance-rapport van een onafhankelijke auditor levert daarom een redelijke mate van zekerheid op. Voor het vertrouwen tussen de zorgverzekeraar en zorginstelling (en haar uitbestedingspartijen) is daarom meer nodig.

Vertrouwen heeft de overhand

Om als zorginstelling ‘in control’ te zijn en de risico’s in de keten te beheersen, is het noodzakelijk om ‘harde’ beheersingsmaatregelen te nemen en hierover verantwoording af te leggen via assurance-rapportages. Uiteindelijk zorgen meer regels en richtlijnen echter voor een kleiner verantwoordelijkheidsgevoel bij individuen. Dit resulteert in een minder effectieve beheersing, door middel van de ‘harde controles’ ([KPMG09]).

Echt effectief worden deze ‘harde’ maatregelen pas in een omgeving waar ook aandacht is voor ‘zachte’ elementen, zoals de onderlinge relaties, afspraken, vertrouwen en het credo ‘fouten maken mag’. Daarom is er steeds meer aandacht voor zachte beheersingsmaatregelen (‘soft controls’). Deze zachte kant kan ondersteund worden door het toepassen van de negen ‘Trust Rules’ ([KPMG09]).

In Figuur 3 zijn deze ‘regels’ gevisualiseerd. Een succesvolle implementatie van Horizontaal Toezicht binnen een zorginstelling bestaat dus niet alleen uit het implementeren van ‘harde’ beheersingsmaatregelen. Expliciete aandacht voor de ‘zachte’ kant is onontbeerlijk.

Figuur 3. De negen Trust Rules ([KPMG09]). [Klik op de afbeelding voor een grotere afbeelding]

Voor het implementeren van de negen ‘Trust Rules’ adviseren wij de zorginstellingen om met de ketenpartijen in gesprek te gaan, en gezamenlijk concrete soft controls te definiëren. Openlijk communiceren over de soft controls leidt tot begrip en bewustzijn bij elke ketenpartij, en daarmee tot een grotere kans dat de Trust Rules in de gehele keten worden nageleefd.

Concrete voorbeelden die bij de implementatie van Horizontaal Toezicht naar voren komen, zijn:

• Er is ruimte om fouten te maken, en deze worden met de zorgverzekeraar besproken (trust rule: durf te experimenteren en leer van ervaringen).
• Het maken van afspraken met de EPD-leveranciers over de beheersingsdoelstellingen, en deze concreet maken in een Service Level Agreement (trust rule: definieer gezamenlijke doelstellingen en bouw vertrouwen op met goede regels).
• In Service Level Rapportages wordt informatie opgenomen over de afgenomen diensten en kwaliteit van de uitvoering (trust rule: zet in op geïnformeerd vertrouwen, niet op blind vertrouwen). Dit is een gezamenlijk initiatief van de zorginstelling en softwareleverancier.
• De zorgverzekeraar en zorginstelling komen periodiek bij elkaar (trust rule: maak contact persoonlijk), zodat de geconstateerde fouten en tekortkomingen worden besproken (trust rule: geef elkaar verantwoordelijkheid en vertrouwen), met als doel transparantie en verbetering.

Toekomst voor assurance in de keten van Horizontaal Toezicht?

Samenvattend is een keten van partijen gezamenlijk verantwoordelijk voor het realiseren van een betrouwbare registratie en facturatie (rechtmatigheid). De zorginstellingen staan aan het begin van een tijdperk, waarbij het aan de ene kant ‘normaal’ is dat alleen rechtmatige zorg wordt gefactureerd, en dit aan de andere kant een gemeenschappelijke verantwoordelijkheid is van alle ketenpartijen. De keten in beeld brengen, risico’s onderkennen en goede afspraken maken over wie deze risico’s afdekt, maken daar onderdeel van uit. In combinatie met de zogenaamde ‘trust rules’ leidt dit tot het vertrouwen dat die rechtmatigheid van de zorg ook wordt gerealiseerd, zonder dat dit leidt tot een wedloop aan risico’s, maatregelen en controles.

Het succesvol invoeren van Horizontaal Toezicht binnen een zorginstelling is wat ons betreft geen opzichzelfstaand project met als doel om meer harde controles in te voeren. Horizontaal Toezicht is een manier om een organisatie te besturen, en gestoeld op drie belangrijke principes:

1. de wil van de organisatie om de administratieve processen te verbeteren;
2. het besef dat dit alleen kan door binnen de keten samen te werken met de zorginstelling, zorgverzekeraar en bijvoorbeeld softwareleverancier;
3. een goede balans tussen de harde en zachte kant van controlemaatregelen, gebaseerd op de ‘Trust Rules’.

In de ideale situatie waarin Horizontaal Toezicht optimaal is gerealiseerd, worden hierdoor de administratieve lasten en controledruk, waar zorginstellingen nu mee te maken hebben, ook echt verlicht.

Het is zinvol om vanuit deze drie principes Horizontaal Toezicht op te zetten en te borgen, waarbij alle partijen in de keten verantwoordelijkheid nemen, waardoor duidelijk wordt wie waarvoor verantwoordelijk is en het totale vertrouwen in de gehele keten toeneemt. We vinden het belangrijk om juist bij de start van het implementatieproces van Horizontaal Toezicht te kiezen voor een balans van harde en zachte maatregelen, in het kader van de rechtmatigheid. Inmiddels wordt er nagedacht over fase 2 en 3 van Horizontaal Toezicht, namelijk het ‘gepast gebruik’ en de ‘doelmatigheid’ van zorg. Op het moment dat er voor fase 1 een fundament ligt van vertrouwen, zal Horizontaal Toezicht uiteindelijk ook bijdragen aan de uitbreiding naar ‘gepast gebruik’ en ‘doelmatigheid’.