DBC-systeem
Mogelijk of Onmogelijk?
Een onderzoek naar de managementinformatie ter sturing van het
Diagnose Behandeling Combinatie systeem in de Nederlandse algemene ziekenhuizen
-De Bijlagen-
Auteur: K.G.A. Nelis
Amsterdam, 26 juni 2006
Inhoudsopgave bijlagen
BIJLAGE 1: DE SUBCOMPONENTEN VAN HET COSO-ERM MODEL _________________ 3 BIJLAGE 2: DE COSO-ERM KUBUS _______________________________________________ 4 BIJLAGE 3: SOORTEN DBC’S_____________________________________________________ 5 BIJLAGE 4: UITWERKING INTERVIEW DBC-SPECIALIST __________________________ 6 VRAGENLIJST INTERVIEW DBC-SPECIALIST___________________________________________ 10 BIJLAGE 5: TEKST BESTUURSVERKLARING_____________________________________ 11 BESTUURSVERKLARING VOLDOEND AAN DE KADERREGELING_____________________________ 11 BESTUURSVERKLARING NIET VOLDOEND AAN DE KADERREGELING ________________________ 12 BIJLAGE 6: KOPPELING VAN HET INTERN ZIEKENHUIS CONTROLEPROGRAMMA AAN HET COSO-ERM MODEL ___________________________________________________ 14
Bijlage 1: De subcomponenten van het COSO-ERM model
In deze bijlage komen de componenten van het COSO-ERM model aan bod. Elke component wordt onderscheiden in een aantal subcomponenten. Hierbij een overzicht.
Event Identification
Events –Factors Influencing Strategy and Objectives –Methodologies and Techniques –Event Interdependencies –Event Categories –Risks and
Opportunities
Risk Assessment
Inherent and Residual Risk –Likelihood and Impact –Methodologies and Techniques –Correlation
Internal Environment
Risk Management Philosophy –Risk Culture –Board of Directors –Integrity and Ethical Values –Commitment to Competence–Management's Philosophy
and Operating Style–Risk Appetite –Organizational Structure–Assignment of Authority and Responsibility–Human Resource Policies and Practices
Risk Response
Identify Risk Responses –Evaluate Possible Risk Responses –Select Responses –Portfolio View
Control Activities
Integration with Risk Response –Types of Control Activities –General Controls –Application Controls –Entity Specific
Information and Communication
Information –Strategic and Integrated Systems –Communication
Monitoring
Separate Evaluations –Ongoing Evaluations
Objective Setting
Strategic Objectives –Related Objectives –Selected Objectives –Risk Appetite –Risk Tolerance
Bijlagen Figuur 1: De componenten en subcomponenten van het COSO-ERM model.
Bron: COSO, 2004, p.17.
Bijlage 2: De COSO-ERM kubus
In deze bijlage wordt de COSO-kubus weergegeven. Deze kubus brengt de doelen van het COSO-ERM model in verband met de componenten van het COSO-ERM model. Dit laat zien dat beide verweven zijn in de organisatie en allen een belangrijke plaats in de organisatie moeten innemen.
Bijlagen Figuur 2: De COSO-ERM kubus.
Bron: COSO, 2004, p.16.
Bijlage 3: Soorten DBC’s
Er zijn verschillende soorten DBC’s te onderscheiden. Voor de begripsvorming van dit onderzoek is het belangrijk deze even toe te lichten.
•
A-segment: in dit segment zijn de DBC’s opgenomen waarbij het gaat om acute en spoedeisende zorg. In dit segment gelden vaste prijzen.
•
B-segment: hierbij gaat het om niet spoedeisende zorg. In dit segment worden de prijzen door onderhandeling overeengekomen.
•
Lege DBC
1: een geopende DBC waarvoor gedurende de DBC-periode geen enkele zorgactiviteit geregistreerd staat in het DBC-profiel.
•
Parallelle DBC
1: dit is een situatie waarbij voor één patiënt meerdere DBC’s (zorgtrajecten) tegelijk geopend zijn.
•
Vervolg DBC
1: een vervolg DBC wordt geopend bij een meerderjarige
behandeling met het accent op controleactiviteiten of voortgezette behandeling.
Een verergering van de ziekte of terugkomst van een ziekte wordt hier ook onder geschaard.
•
Overlopende DBC’s
1: DBC’s met een eerste behandelingsdatum vóór 1 januari 2005.
•
Groene DBC’s: deze worden altijd vergoed door de zorgverzekeraar.
•
Oranje DBC’s: hiervoor moet toestemming voor vergoeding gevraagd worden aan de zorgverzekeraar.
•
Rode DBC’s: deze worden per definitie niet vergoed (denk aan bepaalde cosmetische ingrepen).
1 www.dbconderhoud.nl/downloads/2006-03-10ict_specificaties_2006_1_4_3_1.pdf
Bijlage 4: Uitwerking interview DBC-specialist
In deze bijlage wordt het interview met de DBC-specialist (accountant) uitgewerkt.
De onderstreepte woorden zijn de kernwoorden waarover iets gezegd is tijdens het interview. De vragenlijst is te vinden na de uitwerking van het interview.
I Centrale vraag: Hoe zit de financiering en bekostiging van DBC’s in elkaar en wat zijn de gevolgen voor de managementinformatie behoefte van de Raad van Bestuur van een ziekenhuis?
I-a: A-segment
•
Financiering. Een DBC is het financieringselement. Dit komt in de resultatenrekening tot uitdrukking in een budget: vaste prijs x DBC.
De activiteiten/kosten die meer zijn dan volgens de standaardprofielen gebudgetteerd, worden in het volgende jaar verrekend met de vaste (CTG) tarieven. Dit is de post ‘nog in tarieven te verrekenen’ op de balans.
Conclusie: de ‘nog in tarieven te verrekenen positie’ credit op de balans staat eigenlijk voor: nog te factureren bedragen (RH).
•
Bekostiging: Voor een groot deel krijgen de ziekenhuizen een vaste vergoeding (bijvoorbeeld kapitaallasten) en voor de rest een variabele vergoeding. Conclusie:
Semi-variabele bekostiging.
1 Voordelen A-segment
•
Het resultaat is gemakkelijk te bepalen
•
Voor de klant makkelijk omdat je weet hoeveel parameters je moet scoren om opbrengsten te weten (ze zijn ook reeds bekend met het systeem)
2 Nadelen A-segment
•
Weinig kunnen sturen.
•
Er is maar een beperkte groei mogelijk omdat zij hiervoor afhankelijk zijn van afspraken met zorgverzekeraars.
•
Het ziekenhuis kan moeilijk keuzes maken in de productmix. De opbrengsten zijn afgestompt omdat verzekeraars weinig groei toestaan (de DBC’s moeten immers wel vergoed worden). Voorbeeld van een ziekenhuis die een patiënt naar ander ziekenhuis stuurde omdat maximum aan activiteiten bereikt was, de verzekeraar stond geen groei toe.
3 Risico’s A-segment
•
Het risico profiel gaat veranderen. De opbrengsten waren altijd redelijk stabiel en nu worden de opbrengsten afhankelijk van de productie.
•
Kapitaallasten: nu zijn er nog grote normatieve vergoedingen. Afschrijvingen op gebouwen worden nu volledig door de overheid vergoed. Het ministerie wil dit stoppen en voor rekening van het ziekenhuis brengen
•
Langer worden van wachtlijsten omdat groei niet gestimuleerd wordt door zorgverzekeraars
4 Omgaan met risico’s: er kan weinig op gestuurd worden 5 Onder handen werk
•
Te beschouwen als “nog te factureren positie”. Dit omdat er gescoord wordt op
de budgetparameters en op basis hiervan gefinancierd wordt. Deze positie kan
een inzicht verschaffen in het werkkapitaal van een ziekenhuis.
•
OHW dient uit de post “nog in tarieven te verrekenen” gehaald te worden.
(->Risico van dubbel opvoeren van kosten)
•
OHW: inzicht in kapitaalbeslag en is indicatief voor het proces I-b: B-segment
•
Financiering: volledig variabel. De boeking verloopt als volgt: debiteuren aan omzet (dit wordt geboekt zodra de DBC gerealiseerd is). Er geldt een opslag voor de kapitaallasten van 12,5 (dit ter financiering)
•
Bekostiging. Door de uitkomsten van de onderhandelingen: het komt hierbij neer op de FB-waarden + een paar %. Conclusie: De marktwerking is nog niet goed ingetreden. Volgend jaar zal dit gaan veranderen. De zorgverzekeraars gaan sturen op inkoop.
1. Voordelen B-segment
•
Geen productie maximum (groei niet afhankelijk van verzekeraars) 2. Nadelen B-segment
•
Ziekenhuis kan verlies maken op B-segment 3. Risico’s B-segment
•
Dat je in productie onderhandelingen er niet uit komt
•
Het risico profiel gaat veranderen. De opbrengsten waren altijd redelijk stabiel en nu worden de opbrengsten volledig afhankelijk van de productie
4. Omgaan met risico’s
•
ZBC’s aan het ziekenhuis verbinden. De productie in de ZBC stoppen om zo efficiënter te kunnen werken (schaalvoordelen).
•
Sturen op productie: niet meer op parameters maar op behandelingen sturen. (Welke DBC’s brengen het meeste op)
5. Onder handen werk
•
Deze positie is erg lastig te bepalen. Zou dan al op individueel niveau moeten. Er moet een goede kostprijs aanwezig zijn
•
Als er geen OHW is: risico op een mismatch tussen opbrengsten en kosten.
Er zijn overigens verschillende methoden om ‘projecten’ te waarderen.
Verzekeraars:
Zij gaan in de toekomst meer sturen op het (voordelig) inkopen van DBC’s en het sturen van patiënten. Op dit moment laten patiënten zich niet zo erg sturen omdat het voordeel maximaal een paar tientjes is als ze een behandeling volgen bij een
aangewezen ziekenhuis.
Ontwikkelingen:
Op dit moment wordt er nog niet nagedacht over de hoeveelheid DBC’s die een ziekenhuis aanbiedt. Ook hebben de ziekenhuizen over het algemeen de visie dat zij geen winstoogmerk hebben. In de toekomst is het behalen van resultaat nodig om de kapitaallasten te kunnen dekken.
Mening over het DBC-systeem:
•
Te ingewikkeld
•
Te complex
•
Teveel administratieve handelingen (deze moeten worden gedaan door de specialist wat de behandeling nóg duurder maakt)
•
Er is veel weerstand tegen het systeem; het wordt gezien als verplichting
•
Het systeem werkt kwaliteitsverhogend
•
Er zijn erg veel spelers in het veld. Dit brengt het doel van het DBC-systeem:
efficiency en gemiddeld lagere kosten, in gevaar.
•
Kans dat systeem omgegooid wordt als PvdA de in coalitie komt.
II Managementinformatie 1 A- en B-segment
•
Oude productieparameters
•
Aantallen DBC’s
•
Doorlooptijden
•
Kwaliteit registratieproces: uitval per soort specialisme (uitval kost tijd)
•
Resultaten steekproefcontroles 2 A-segment
3 B-segment: op dit moment is de sturing nog teveel op de registratie van zorgactiviteiten. Dit moet richting de sturing op de registratie van DBC’s
•
Kosten
•
Marge
•
Opbrengsten
•
Welke DBC’s brengen het meeste op
•
Onderhanden werk: financiële omvang doorlooptijd
Conclusies: in de Bestuursverklaring moet de RvB verantwoording afleggen over de registratie van de medisch specialist. Doordat deze registratie moeilijk te controleren is brengt dit problemen met zich mee. Aanbeveling: laat de specialist een Service level agreement (SLA) tekenen met betrekking tot zijn werk. Maak de zaken officieel en leg het juridisch vast.
III managementinformatie om een bestuursverklaring af te kunnen geven bij het DBC-proces
Algemeen: alles draait om geld 1 Registratie DBC’s
•
Uitval
- Aantallen het gaat om de snelheid - Doorlooptijden
2 Registratie zorgactiviteiten
•
Budgetparameters - Kostprijs
- Budgetten matchen aan diagnostische verrichtingen - Opbrengst
Conclusie: sturing op budgetparameters 3 Validatie
•
Uitval % op specialistenniveau - De reden hiervan (analyse)
Conclusie: uitval geeft de kwaliteit van het registratieproces weer. Er mag niet gerommeld worden in het Datawarehouse. Op deze manier worden de specialisten niet aangesproken op hun verantwoordelijkheden.
•
Na de 1
ekeer afkeuren van DBC: % wat opnieuw wordt afgekeurd.
4 Facturering
•
Als de uitval nul is, is het goed.
Conclusie: Er dient een kosten/baten analyse gemaakt te worden met betrekking tot het leveren van managementinformatie.
Steekproeven
•
Doordat het systeem zo ingewikkeld is zit de foutenmarge van 1% al in het systeem. Fout kan zijn: Naam, adres, woonplaats, verzekeraar, DBC-code
•
De verzekeraar voert dit jaar ook nog controles uit (en zullen dit blijven doen).
Deels vanuit inkoopoogpunt
•
De grens van 99% (gesteld in de kaderregeling) geldt niet voor de steekproef.
In de controle mag per saldo maar een ½ % fout zijn omdat een steekproef maar een deel vertegenwoordigd.
IV COSO-ERM doelen: Wat zijn de doelen van een ziekenhuis met betrekking tot het DBC-traject?
1 Strategisch
•
Productmix: wel of niet behandelingen doen
•
Sturen op behandelingen: breder assortiment B-segment
•
Inzicht in wat een specialist doet (wat de specialist bepaald uiteindelijk de productiekwaliteit)
2 Operations
•
Inzicht in doorlooptijden: hier doelen voor opstellen 3 Reporting
•
Nu alleen nog financieel en minder over processen: dit veranderen
•
De steekproef: kwaliteit van het registratie proces 4 Compliance
•
Kaderregeling:
Conclusie: de KR schrijft ook al veel voor m.b.t. de andere doelen
Algemene opmerkingen:
•
De marktwerking zit er nog niet in
•
Onafhankelijkheid steekproef
•
Het privacy aspect speelt een belangrijke rol (bescherming persoonsgegevens)
•
Er is medische kennis nodig om de steekproef te kunnen uitvoeren
•
De Interne Controle Functionaris dient medische en AO/IC kennis te hebben
Vragenlijst interview DBC-specialist
Centrale vraag: Wat zijn de gevolgen van de financiering van DBC’s voor de managementinformatie behoefte van de Raad van bestuur van een ziekenhuis?
I A-segment
1. Wat zijn de voordelen van de financiering van het A-segment (FB-systeem)?
2. Wat zijn de nadelen van de financiering van het A-segment?
3. Wat zijn de risico’s die het ziekenhuis loopt met deze vorm van financiering?
4. Op welke manier kan het ziekenhuis met deze risico’s omgaan?
5. Welke maatregelen zijn er in ziekenhuizen reeds genomen hieromtrent?
II B-segment
1. Wat zijn de voordelen van de financiering van het B-segment (vrije marktwerking)?
2. Wat zijn de nadelen van de financiering van het B-segment?
3. Wat zijn de risico’s die het ziekenhuis loopt met deze vorm van financiering?
4. Op welke manier kan het ziekenhuis met deze risico’s omgaan?
5. Welke maatregelen zijn er in ziekenhuizen reeds genomen hieromtrent?
III-a Managementinformatie (om het ziekenhuis te kunnen sturen) 1. A-segment
2. B-segment
Centrale vraag: Welke managementinformatie heeft de RvB nodig om een bestuursverklaring af te kunnen geven?
III-b Managementinformatie om bestuursverklaring af te geven omtrent het DBC- proces.
Doel: redelijke mate van zekerheid bieden inzake de registratie en facturering van DBC’s
1. Registratie 2. Validatie 3. Facturering
IV COSO-ERM model
1. Wat zijn de doelen van een ziekenhuis m.b.t. het DBC-traject:
a. Strategische doelen: (in lijn met missie en visie) Hoeveel risico wil het ziekenhuis nemen?
b. Operations: efficiency en effectiviteit van de processen c. Reporting: effectiviteit van rapportages
d. Compliance: welke wet en regelgeving geldt m.b.t. het DBC-proces?
V Algemene vragen
a. Wat zijn de algemene risico’s m.b.t. de DBC’s
b. Hoe staan de ziekenhuizen en medisch specialisten tegenover DBC’s
c. Denk je dat de ziekenhuizen over 2006 een bestuursverklaring kunnen afgeven
voldoend aan de kaderregeling?
Bijlage 5: Tekst bestuursverklaring
Bron: CTG/ZAio, 2005b.
Bestuursverklaring voldoend aan de Kaderregeling
Bestuursverklaring DBC-registratie en facturering
(afgegeven ten behoeve van het CTG/ZAio en de zorgverzekeraars)
Verantwoordelijkheid
De Raad van Bestuur (Directie) van Stichting… (waarvan ziekenhuis……deel uitmaakt) is verantwoordelijk voor het opzetten en handhaven van een effectief systeem van interne beheersing ter verzekering van de betrouwbaarheid van de DBC- registratie en facturering. Het systeem van interne beheersing heeft betrekking op de bedrijfsvoering die het gehele traject omvat dat start met de toekenning van de initiële DBC-score en dat eindigt met de afwikkeling daarvan door middel van facturering aan de zorgverzekeraars. Hieronder valt het beoordelen van de indeling van taken, verantwoordelijkheden en bevoegdheden, het identificeren van de belangrijkste risico’s, het adequaat omgaan met deze risico’s, het toezicht houden op de continue effectieve werking van de beheersingsmaatregelen, het rapporteren en het
verantwoording afleggen.
Doel en reikwijdte van het systeem van interne beheersing
De interne beheersing rond de bedrijfsvoering is ontworpen om een redelijke mate van zekerheid te bieden aan de Raad van Bestuur van het ziekenhuis, het CTG/ZAio en de Zorgverzekeraars met betrekking tot een betrouwbare registratie en facturering van DBC’s. Het beheersysteem bevat onder meer zelfcorrigerende mechanismen, zodat maatregelen worden genomen om onvolkomenheden, als zij worden
vastgesteld, te redresseren. Een intern beheersingssysteem, hoe goed ook ontworpen, bevat inherente beperkingen en kan derhalve alleen een redelijke mate van zekerheid bieden met betrekking tot de voldoening aan de eisen, die kunnen worden gesteld aan een betrouwbare DBC-bedrijfsvoering, zoals opgenomen in de nadere regel
Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC registratie en facturering. Daarnaast kan de effectiviteit van de interne beheersing gedurende de tijd verschillen vertonen, bijvoorbeeld tengevolge van (tijdelijke of permanente) veranderingen in omstandigheden.
Bestuursverklaring
Wij bevestigen onze verantwoordelijkheid voor het systeem als geheel zoals uiteengezet in de twee bovenstaande paragrafen. Wij hebben ons vergewist van de werking van dit systeem. Op grond daarvan verklaren wij dat – voor zover wij dat redelijkerwijze hebben kunnen constateren- de interne beheersing van ziekenhuis ABC gedurende het gehele kalenderjaar 2004 voldaan heeft aan alle relevante eisen van de nadere regel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC registratie en facturering. De registraties van de DBC’s en de facturering voldoet derhalve aan alle daaraan redelijkerwijze te stellen eisen.
Plaats, Datum
Ondertekening door het bestuur van het ziekenhuis
Bestuursverklaring niet voldoend aan de Kaderregeling
Bestuursverklaring DBC registratie en facturering
(afgegeven ten behoeve van het CTG/ZAio en de zorgverzekeraars)
Verantwoordelijkheid
De Raad van Bestuur (Directie) van Stichting … (waarvan ziekenhuis……deel uitmaakt) is verantwoordelijk voor het opzetten en handhaven van een effectief systeem van interne beheersing ter verzekering van de betrouwbaarheid van de DBC- registratie en facturering. Het systeem van interne beheersing heeft betrekking op de bedrijfsvoering die het gehele traject omvat, dat start met de toekenning van de initiële DBC-score en dat eindigt met de afwikkeling daarvan middels facturering aan de zorgverzekeraars. Hieronder valt het beoordelen van de indeling van taken,
verantwoordelijkheden en bevoegdheden, het identificeren van de belangrijkste risico’s, het adequaat omgaan met deze risico’s, het toezicht houden op de continue effectieve werking van de beheersingsmaatregelen, het rapporteren en het
verantwoording afleggen.
Doel en reikwijdte van het systeem van interne beheersing
De interne beheersing rond de bedrijfsvoering is ontworpen om een redelijke mate van zekerheid te bieden aan de Raad van Bestuur van het ziekenhuis, het CTG/ZAio en de Zorgverzekeraars met betrekking tot een betrouwbare registratie en facturering van DBC’s. Het beheersysteem bevat onder meer zelfcorrigerende mechanismen, zodat maatregelen worden genomen om onvolkomenheden, als zij worden
vastgesteld, te redresseren. Een intern beheersingssysteem, hoe goed ook ontworpen, bevat inherente beperkingen en kan derhalve alleen een redelijke mate van zekerheid bieden met betrekking tot de voldoening aan de eisen, die kunnen worden gesteld aan een betrouwbare DBC-bedrijfsvoering, zoals opgenomen in de nadere regel
Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC registratie en facturering. Daarnaast kan de effectiviteit van de interne beheersing gedurende de tijd verschillen vertonen, bijvoorbeeld tengevolge van (tijdelijke of permanente) veranderingen in de omstandigheden.
Bestuursverklaring
Wij bevestigen onze verantwoordelijkheid voor het systeem als geheel zoals uiteengezet in de twee bovenstaande paragrafen. Wij hebben ons vergewist van de werking van dit systeem. Op grond daarvan verklaren wij dat – voor zover wij dat redelijkerwijze hebben
kunnen constateren- de interne beheersing van ziekenhuis … niet gedurende het gehele kalenderjaar 2004 heeft voldaan aan alle relevante eisen van de nadere regel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC registratie en facturering, op grond van de volgende bevindingen:
Bevinding 1
Bevinding 2
Wijzigingen en verbeteringen (optioneel)
In het jaar ... zijn de volgende significante wijzigingen aangebracht en de volgende belangrijke verbeteringen in het systeem van interne beheersing gerealiseerd:
Wijziging 1 Wijziging 2 Verbetering A Verbetering B
Plaats, Datum
Ondertekening door het bestuur van het ziekenhuis
Bijlage 6: Koppeling van het intern ziekenhuis controleprogramma aan het COSO-ERM model
In deze bijlage wordt het COSO-ERM model aan het intern ziekenhuis controle programma gekoppeld. Dit programma gaat in op de opzet, bestaan en werking van de AO/IC. Tabel 10 in hoofdstuk 5 geeft de resultaten samengevat weer.
De eerstgenoemde zijn de componenten van het COSO-ERM model. De
subcomponenten worden weergegeven met een bullet (stip). Ten slotte heb ik ter illustratie bij de subcomponenten Control Activities aangegeven welke soort ‘control’
het gaat omdat er per subcomponent meerdere te onderscheiden zijn.
Bij sommige eisen is er geen subcomponent toegeschreven. Dit heeft als reden dat alle subcomponenten op dat moment geraakt worden.
Intern ziekenhuis controleprogramma voor de controle op de opzet van de administratieve organisatie en interne controle rondom het DBC-proces Functiescheiding/taakverdeling
Omschrijving COSO-ERM componenten en
subcomponenten
Naam eindverantwoordelijk functionaris voor de DBCrapportage inzake de uitkomsten van de interne controle naar de Raad van Bestuur.
Internal environment
• Organizational structure
Is er sprake van functiescheiding tussen
• de beschikkende functie (specialisten),
• de registrerende functie (ondersteunende en operationele afdelingen) en
• de controlerende functie voor alle specialismen.
Internal environment
• Assignment of authority &
responsibility
Zijn de functiescheidingen ook in de DBC registratie en aanleverende systeemdelen verankerd (bijvoorbeeld afscherming bevoegdheden).
Internal environment
• Assignment of authority &
responsibility
Is de kwaliteit en kwantiteit van de voor de interne controlefunctie vrijgemaakte formatie op het gewenste niveau.
Internal environment
• Human resources
Is beschreven op welke wijze de interne controlefunctie de registratie en facturatie controleert
(integraal/steekproefsgewijs).
Control activities
• Types of control activities
* procedures
Is de controlerende functie in staat om de werkzaamheden aan de hand van signaallijsten uit te voeren t.a.v.
bijvoorbeeld DBC’s die langer dan een bepaalde periode openstaan, verrichtingen die niet aan DBC’s zijn gekoppeld, lege DBC’s etc. de werkzaamheden uit te voeren ten aanzien van de controle op juistheid, volledigheid en tijdigheid van de DBC registratie.
Internal environment:
• Assignment of authority &
responsibility
Event identification (= signaallijsten)
Functiescheiding/taakverdeling
Omschrijving COSO-ERM componenten en
subcomponenten
Is beschreven hoe omgegaan zal worden met de afwerkingvan foutlijsten/signaleringslijsten.
Control activities
• Types of control activities
* Procedures Is er een borging dat op grond van de signaleringslijsten en
de productiestatistiek er regelmatig periodiek adequate interne (statistische) analyses van de DBC’s worden gemaakt ter voorkoming van upgrading en overbilling.
Control activities
• Types of control activities
* Detective
Is geregeld hoe de voortgang zal worden bewaakt van de afwikkeling van de niet gevalideerde DBC’s.
Control activities
• Types of control activities
*Procedures
Is beschreven hoe de volledigheid van de DBC’s zal worden bewaakt.
Control activities
• Types of control activities
*Procedures
Zijn er voldoende waarborgen dat alle (met name essentiële) verrichtingen in het DBC-systeem zijn opgenomen.
Control activities
• Types of control activities
* Detective
• Application controls
* Completeness
Is de medische specialist verantwoordelijk voor het typeren van de DBC, het registreren en de autorisatie van de DBC.
Internal environment
• Assignment of authority &
responsibility
Is hier een controlesysteem op van toepassing.
Wat is de opzet van dit controlesysteem op hoofdlijnen.
Monitoring
• Ongoing Control activities
• Types of control activities * Procedures
Worden de ondersteunende producten en verrichtingen door de ondersteunende specialismen en afdelingen op de DBC geregistreerd. Zo niet, beschrijf compenserende maatregelen
Internal environment
• Assignment of authority &
responsibility
Functiescheiding/taakverdeling
Omschrijving COSO-ERM componenten en
subcomponenten
Is hier een controlesysteem op van toepassing. Monitoring• Ongoing Control activities
• Types of control activities * Procedures
Geschiedt de facturatie van de DBC door een afdeling onafhankelijk van de registratie en autorisatie van de DBC’s.
Internal environment
• Assignment of authority &
responsibility
Beschikt het ziekenhuis over een “toetsingscommissie DBC-registratie” of is dit op een andere adequate wijze geregeld.
Internal environment
• Assignment of authority &
responsibility
Is er intern een regeling rond integriteit met betrekking tot de DBC’s.
Internal environment
• Integrity and ethical values Zijn er systematische waarborgen voor de verwerking van
systematische fouten en onregelmatigheden.
Control activities
• Types of control activities * Detective
Is duidelijk vastgelegd hoe de dossiervorming van de interne controleafdeling/functionaris zal plaatsvinden.
Information & communication
• Information Is de wijze van dossiervorming afgestemd met de externe
accountant.
Information & communication
• Communication Is er een planning opgesteld ten behoeve van de uitvoering
van de werkzaamheden door de interne controleafdeling/functionaris.
Internal environment
• Assignment of authority &
responsibilities
Is er een planning opgesteld over de wijze en de tijdstippen van (tussentijds) rapporteren aan de Raad van Bestuur.
Information & communication
• Communication
AO-aspecten
Omschrijving COSO-ERM componenten en
subcomponenten
Is er een actuele beschrijving van de administratieveorganisatie rondom het proces van de DBC’s aanwezig, die minimaal voldoet aan de eisen gesteld in de Kaderregeling.
Control activities
• Types of control activities
* Procedures
Blijkt uit de beschrijving of anderszins op welke wijze het beheer van de tabellen (o.a. prijs- en tarievenlijsten, codes, typeringslijsten e.d.) is geregeld.
Control activities
• Types of control activities * Procedures
Blijkt uit de beschrijving of anderszins op welke wijze change-management (versiebeheer) is geregeld.
Control activities
• Types of control activities * Procedures
Blijkt uit de beschrijving of anderszins dat de in de AO/IC opgenomen beheersingsmaatregelen in voldoende mate (in samenhang met de werkzaamheden van de IC-functie) in opzet de risico’s per processtap zoals genoemd in de Beleidsregel Kaderregeling afdekken.
Control activities
• Types of control activities
* Procedures Risk assessment
Hierbij kan als voorbeeld gedacht worden aan bewaking/signalering van:
• Overschrijding lokale normdoorlooptijd per DBC.
Dit zijn events waarvoor een risk response opgesteld moet zijn in de vorm van control activities. (Deze zijn samen genomen in Tabel 10 in hoofdstuk 5).
• DBC’s die langer dan een periode x (normtijd per specialisme) en langer dan een jaar openstaan.
Dus: Event identification Risk response
• Niet mogelijke DBC combinaties. idem
• DBC’s zonder verrichtingenprofiel. idem
• DBC’s met een sterk afwijkend zorgprofiel (validatie van DBC).
idem
• Verrichtingen die niet aan DBC’s zijn gekoppeld. idem
• Parallelle DBC’s. Idem
• Lege DBC’s etc. Idem
AO-aspecten
Omschrijving COSO-ERM componenten en
subcomponenten
Ga na of in de beschrijving of anderszins maatregelen zijnopgenomen die waarborgen dat machtigingen worden aangevraagd waar nodig en op welke wijze de controle hierop geschiedt.
Control activities
• Types of control activities
* Procedures Risk response
Ga na of in de beschrijving of anderszins maatregelen zijn opgenomen die de juistheid van patiënt- en
verzekeringsgegevens waarborgen.
Control activities
• Types of control activities
* Procedures Risk response Ga na of in de beschrijving of anderszins maatregelen zijn
opgenomen die de volledigheid en de juistheid van de primaire verrichtingen in de DBC registratie
waarborgen.
Control activities
• Types of control activities
* Procedures Risk response
Stel vast dat er heldere procedures en werkinstructies bestaan voor de medisch specialisten en de betrokken medewerkers.
Control activities
• Types of control activities
* Procedures Risk response
Ga na of er in de beschrijving of anderszins voldoende aandacht is besteed aan een juiste bepaling van het onderhanden werk.
Control activities
• Types of control activities
* Procedures Risk response
Is er een plan voor de opleiding en training van betrokken medewerkers.
Internal environment
• Human resources
EDP / automatisering
Omschrijving COSO-ERM componenten en
subcomponenten
Zijn de actuele typeringslijsten ingelezen. Control activities• General controls
* information technology management
Zijn de actuele tabellen voor zorgprofielen ingelezen. Deze drie zijn samengenomen met de voorgaande eis: zijn de actuele
Zijn de actuele tabellen voor behandelassen ingelezen. typeringslijsten ingelezen.
Zijn de actuele tabellen voor productgroepen ingelezen.
Welke rapportages komen uit de DBC validatie en zijn ze ingebed in de AO/IC.
Information & communication
• Strategic & integrated systems Zijn de changemanagement procedures aangepast voor wat
betreft de DBC programmatuur.
Control activities
• Types of control activities
* Procedures
Zijn de changemanagement procedures aangepast voor wat betreft de data (stam) bestanden.
Control activities
• Types of control activities
* Procedures
Is er beleid ontwikkeld voor wat betreft de toegang tot de DBC programmatuur (bijv. Competentietabel).
Control activities
• Application controls
* authorization
Zijn alle gebruikers met de juiste rechten toegekend aan de DBC programmatuur.
Control activities
• Application controls
* authorization
Zijn de back-up, recovery en uitwijkfaciliteiten en –plannen aangepast op de DBC systemen.
Control activities
• General controls
* Security managment
Is uitgesloten dat één verrichting aan meerdere DBC’s gekoppeld kan worden. Indien dit niet uitgesloten kan worden dient nagegaan te worden of voldoende andere waarborgen zijn getroffen.
Control activities
• Application controls
* Accuracy / completeness
Registratieproces
Omschrijving COSO-ERM componenten en
subcomponenten
Is er sprake van een goed werkend geautomatiseerdregistratie systeem voor de DBC’s.
Risk assessment
• Inherent & residual risk Worden de DBC’s direct geregistreerd in een
geautomatiseerd systeem of achteraf via briefjes.
Risk assessment
• Inherent & residual risk Zijn er (periodieke) rapportages over de registratie per
specialisme.
Information & communication
• Communication Geven de rapportages inzicht in de kwaliteit en volledigheid
van de DBC registratie (voorbeelden: relatie # DBC’s met # EPB’s, opnamen, SEH, ziektegeval zonder DBC,
verrichtingen zonder DBC, DBC zonder verrichtingen).
Information & communication
• Information
Zijn er in opzet andere waarborgen voor de juistheid en volledigheid van de DBC-registratie ontwikkeld.
Control activities
• Application controls
* accuracy / completeness
Interne ziekenhuis controleprogramma 2005 voor de controle op het bestaan en werking van de administratieve organisatie en interne controle rondom het DBC-proces
ALGEMEEN
Werkzaamheden
COSO-ERM componenten en subcomponenten
Communiceer met de met de uitvoering van de detailcontrole belastefunctionarissen de AO beschrijving. Dit kan blijken uit bijvoorbeeld management richtlijnen, toetredingsovereenkomst met de specialisten en notulen van overleggen.
Information & communication
• Communication
Voer overleg met de externe accountant om het controleprogramma af te stemmen en de wijze van onderlinge communicatie.
Information & communication
• Communication Bespreek de risicoanalyse met de accountant. Risk assessment
Spreek met de externe accountant de interne steekproefomvang vast. Control activities
• Procedures Stel met de externe accountant de dossiervorming van de uitgevoerde
interne controlewerkzaamheden op de diverse niveaus vast.
Information &communication
• Information Geef instructies over het gebruik van dit controleprogramma aan deze
controlefunctionarissen binnen de organisatie.
Internal environment
• Human resources Ga na of systematisch aandacht is besteed aan opleiding en training van de
bij de uitvoering van de interne controle betrokken functionarissen.
Internal environment
• Human resources
REGISTREREN
Werkzaamheden
COSO-ERM componenten en subcomponenten
Stel vast dat aandacht is besteed aan een juiste, tijdige en volledigevastlegging van de essentiële verrichtingen.
Control activities
• Application controls
* completeness
* Accuracy
Laat een volledigheidscontrole uitvoeren op de aantallen behandelingen van de specialisten, verpleegdagen, polikliniekverrichtingen c.q. andere verrichtingen versus de geregistreerde DBC’s (van belang voor de volledigheid van de DBC’s).
Control activities
• Application controls * completeness
Beoordeel de uitkomsten van deze volledigheidscontrole en onderneem eventueel additionele stappen.
Risk assessment Risk response
Ga na op welke wijze de signaallijsten tot stand zijn gekomen (zowel ten aanzien van DBC’s als ten aanzien van de verrichtingen) (integriteit queries et cetera).
Risk assessment
Stel vast dat de signaallijsten op een juiste wijze worden afgewikkeld, worden bezien op consequenties (foutenafwerking en herstel incidentele en structurele fouten) en geautoriseerd door daartoe bevoegde
functionarissen.
Monitoring
Beoordeel de (tijdige en volledige) afwerking van signaallijsten. Monitoring
Stel vast dat alleen de verantwoordelijk medisch specialist bevoegd is (of iemand die hiertoe namens hem gemandateerd is) tot het autoriseren van de DBC (competentietabellen).
Monitoring
Beoordeel of het changemanagement voldoende functioneert en of functiescheidingen voldoende zijn gewaarborgd in de geautomatiseerde systemen en welke controlemaatregelen hier intern op uitgevoerd zijn.
Monitoring
VALIDEREN
Werkzaamheden
COSO-ERM componenten en subcomponenten
Stel vast of, sinds wanneer en welke (versie van de) validatiemodule ingebruik is.
Control activities
• General controls
* Information technology management
Monitoring
Stel vast dat de validatieregels op de juiste wijze in de validatiemodule zijn opgenomen. Let op eventuele handmatige toevoegingen en aanpassingen in de parameters.
Control activities
• General controls
* Information technology management
• Application controls Monitoring
Ga na of de uitvoerende interne controlefunctie heeft vastgesteld dat de DBC-coderingen die worden gehanteerd, overeenstemmen met de meest recente door, DBC-zorg vastgestelde typeringslijsten gehanteerd worden.
Monitoring
Ga na of de uitvoerende interne controlefunctie heeft vastgesteld dat de
juiste versies van tabellen gehanteerd wordt. Monitoring
Laat een EDP-audit verrichten op de validatiemodule. Deze audit dient zich met name te richten op de integriteit van de met de validatiemodule samenhangende tabellen en bestanden.
NB Gezien het belang van goede implementatie en aansluiting op de specifieke registratiesystemen van het ziekenhuis wordt een third party confirmation niet voldoende geacht.
Control activities
• General controls
* software development &
maintenance
Voer periodiek een foutenevaluatie uit op de signaallijsten en de uitkomsten van de statuscontroles.
Control activities
• Types of controle activities
* Procedures
DECLAREREN
Werkzaamheden
COSO-ERM componenten en subcomponenten
Ga na dat intern is vastgesteld dat het totaal aantal afgesloten DBC’sovereenkomt met het aantal DBC’s dat is gefactureerd plus het aantal dat nog gevalideerd moet worden of afgekeurd is (totaalverbandcontroles) en eventuele verschillen intern zijn geanalyseerd en verklaard.
Control activities
• Types of control activities
* Manual
Ga na hoe de bepaling van het onderhanden werk plaatsvindt. Dit is met name ook van belang voor een juiste resultaatbepaling tussentijds en per jaareinde. Wordt bijvoorbeeld rekening gehouden met verliesanticipatie?.
Monitoring
Stel vast dat de gehanteerde prijzen en de partij aan wie gefactureerd wordt juist zijn (verzekering, vaste prijs, vrije prijs, honorariumdeel, moment van opening, geldigheid prijslijst etcetera)
Contol activities
• Types of control activities
* Procedures
• Application controls
* Accuracy
AFSLUITENDE WERKZAAMHEDEN
Werkzaamheden COSO-ERM componenten
en subcomponenten
Beoordeel de uitkomsten van de uitgevoerde steekproef en bepaal ofaanvullende controlewerkzaamheden nodig zijn.
Event identification, risk assessment & risk response
Ga na of intern, per specialist en per specialisme/vakgroep, een cijferbeoordeling plaatsvindt op het aantal DBC’s (vergelijking met voorgaande perioden en productieafspraken) en of intern afwijkende zorgprofielen per specialisme toereikend worden geanalyseerd. Ga tevens na of de uitkomsten naar aanleiding van deze cijferbeoordeling intern worden besproken met de specialisten en worden gerapporteerd aan het management.
Monitoring
Bespreek de uitkomsten van de uitgevoerde interne controlewerkzaamheden met de externe accountant.
Risk assessment Control activities
Informeer het management en de Raad van Bestuur periodiek over de uitkomsten van de controlewerkzaamheden, interne beoordelingen van de kwaliteit van registraties etc. middels standaard rapportages voor de diverse doelgroepen.
Information & communication
Bijlagen Tabel 1: Koppeling intern ziekenhuis controleprogramma aan COSO-ERM model.