Voorwoord In december 2004 is de Kaderregeling Administratieve Organisatie en Interne Controle AWBZ productieregistratie en facturering gepubliceerd. Deze regeling is krachtens een beleidsregel van het College Tarieven Gezondheidszorg/Zorgautoriteit op 1 januari 2005 in werking getreden, waarbij 2005 als ‘overgangsjaar’ is aangemerkt. Over 2006 dient op grond van deze kaderregeling een Bestuursverklaring door de AWBZ-instellingen te worden afgegeven. Ten aanzien van deze Kaderregeling blijkt in de praktijk behoefte te bestaan aan een concretisering van de automatiseringsaspecten. In de voorliggende publicatie is daaraan door de NOREA-Kennisgroep ‘ICT en Zorg’ invulling gegeven. Hierbij zijn dezelfde uitgangspunten gehanteerd als bij het in 2005 door de kennisgroep gepubliceerde beoordelingskader voor de geautomatiseerde gegevensverwerking rondom Diagnose Behandeling Combinaties (DBC’s). Doelstelling is een betrouwbare verantwoording van de gerealiseerde productiegrootheden waarbij de controlemaatregelen -om redenen van efficiency en effectiviteit- zoveel mogelijk geautomatiseerd worden uitgevoerd. Het beoordelingskader vormt hiermee een handreiking voor het opzetten en handhaven van een effectief systeem van interne beheersing. De beheersmaatregelen hebben betrekking op de processen verwerking zorgtoewijzing, vastleggen en verantwoording van de zorgactiviteiten alsmede het beheren van de stamgegevens. Dit beoordelingskader ondersteunt de AWBZ-instellingen bij het specificeren van éénduidige eisen. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van de AWBZ-instellingen dienen af te geven. In dit beoordelingskader is op eenduidige wijze beschreven over welke geautomatiseerde beheersmaatregelen de software dient te beschikken. Het stelt daarmee expliciet eisen aan de functionaliteit van de zorgapplicaties, die door de softwareleveranciers aan zorgaanbieders beschikbaar wordt gesteld. Hierdoor wordt voor deze applicaties een minimum controlepotentieel gewaarborgd.
NOREA | ZekeREzorg
1
Indien in dat verband behoefte bestaat aan een onafhankelijk oordeel, dan kan dit beoordelingskader als toetsingskader voor certificering worden gehanteerd. De werkzaamheden die in dat kader moeten worden uitgevoerd zijn in dit document niet beschreven. De overige gebruikers van dit beoordelingskader zijn de zorgkantoren, toezichthouders en IT-auditors.
Amsterdam, 24 mei 2006,
2
NOREA Kennisgroep ICT en Zorg M.W. de Breed RE CISA (Deloitte); drs. W.J.A. Olthof (NOREA, ambtelijk-secretaris) drs. C.M. Piek (KPMG) ir. M.C. Roos (PricewaterhouseCoopers) ing. D.R. Utermark RE (Ernst & Young)
Inhoudsopgave 1
Inleiding
5
2
Uitgangspunten bij het beoordelingskader
7
3
Objectomschrijving en afbakening van het beoordelingskader
9
4
Doelgroepen en doelstellingen van het beoordelingskader
11
5
Risicoanalyse en beheersmaatregelen
13
6
Beroepsregels en normenkaders
15
7
Relatie Bestuursverklaring en de Accountantsverklaring
17
8
Kwaliteitsaspecten
19
9
Beoordelingskader en competentiematrix
21
10
Bron- en literatuurverwijzingen
39
NOREA | ZekeREzorg
3
4
1
Inleiding Met ingang van 2005 bestaat voor de AWBZ instellingen een Kaderregeling Administratieve Organisatie en Interne Controle (AO/IC). Deze regeling formuleert de minimale eisen waaraan de AO/IC van een instelling moet voldoen. Op grond van de beleidsregel moeten bestuurders van zorginstellingen vanaf 2006 jaarlijks aan zorgkantoren en de CTG/Zaio een bestuursverklaring overleggen over het adequaat functioneren van de AO/IC ten aanzien van de productieregistratie en facturering. Deze bestuursverklaring moet voorzien zijn van een accountantsverklaring. Dankzij de kaderregeling kan de controle door de zorgverzekeraar of het zorgkantoor beperkt blijven. Daarom is de regeling vooral bedoeld voor de interne controle op de rechtmatigheid van de verantwoorde productieregistratie en facturering. In deze kaderregeling is voorgeschreven dat de interne controle afdeling/functionaris zorg draagt voor een rapportage aan het management over de opzet, het bestaan en de werking van de AO/IC. Deze rapportage stelt de Raad van Bestuur in staat een bestuursverklaring af te geven over de rechtmatige verantwoording van de AWBZ productregistratie. Vervolgens stelt de accountant een onderzoek in naar het gestelde in de bestuursverklaring. Zowel voor de bestuursverklaring als voor de accountantsverklaring worden in de Kaderregeling voorbeeldteksten gegeven. Tenslotte schrijft de kaderregeling voor dat de interne controledoelstellingen en de daaruit voortvloeiende werkzaamheden worden opgenomen in een intern controleplan. Het is van belang in de systemen die gezamenlijk de informatievoorziening van de zorginstelling bepalen, zoveel mogelijk toetsbare controle mogelijkheden en zekerheden in te bouwen om het operationaliseren van de bestuursverklaring te ondersteunen. In dit document wordt een beoordelingskader beschreven voor deze informatieverwerking.
NOREA | ZekeREzorg
5
6
2
Uitgangspunten bij het beoordelingskader Bestuursverklaring ■ De bestuursverklaring geeft aan dat de zorgactiviteiten die zijn gerealiseerd en verantwoord juist, volledig en tijdig geregistreerd en verwerkt zijn; ■ De Kaderregeling AO/IC schetst op hoofdlijnen de voorwaarden waaraan de Administratieve Organisatie en de Interne Controle van een zorgaanbieder dienen te voldoen; ■ Dit beoordelingskader is een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling AO/IC zijn gesteld aan de zorgaanbieders. Beheersmaatregelen ■ Interne controlemaatregelen dienen om redenen van efficiency- en effectiviteit zoveel mogelijk geautomatiseerd te worden uitgevoerd, zodat de handmatige controle-activiteiten van de zorgaanbieders in dat verband tot een minimum kunnen worden beperkt (bij het ontbreken van geautomatiseerde controlemaatregelen zijn handmatige maatregelen opgenomen, teneinde toch voldoende waarborgen te geven); ■ Algemene computermaatregelen (‘General IT-Controls’) zijn gewaarborgd (zie figuur bij paragraaf 3). Voorbehoud ■ Het voldoen van een applicatie of pakket aan dit beoordelingskader, geeft de instelling nog geen garantie dat automatisch aan de Kaderregeling wordt voldaan. Dat is immers ook afhankelijk van de implementatie, gebruik en/of aanvullende beheersmaatregelen buiten het systeem; ■ Dit beoordelingskader doet geen uitspraken over betrouwbaarheid en zorgvuldigheid van het AZR (AWBZ brede Zorgregistratie-systeem); ■ Ten aanzien van de verwerking van persoonsgegevens gelden de wettelijke kaders zoals vastgelegd in de Wbp en/of sectorspecifieke wetgeving. Deze wettelijke kaders vallen buiten de scope van dit beoordelingskader. Bruikbaarheid ■ Indien een zorgaanbieder voldoet aan dit beoordelingskader kunnen, in overleg met de zorgverzekeraar, nader te bepalen controles door zorgverzekeraar worden beperkt; ■ Dit beoordelingskader kan door IT-auditors als toetsingskader voor certificering worden gehanteerd.
NOREA | ZekeREzorg
7
8
3
Objectomschrijving en afbakening (scope) van het beoordelingskader
Handmatige maatregelen
Geautomatiseerde maatregelen
Algemene computermaatregelen
Figuur (3)1: scope van ZekeRE zorg
De beheersmaatregelen in het beoordelingskader zijn gebaseerd op een proces- en risicoanalyse. Hieronder is een korte beschrijving opgenomen van de processen. De beheersmaatregelen zijn onderverdeeld in drie typen maatregelen die schematisch in figuur (3)1 zijn opgenomen; (a) Verwerken Indicatiebesluit en cliëntgegevens Het verwerken van de door het CIZ aangeleverde indicatiebesluiten1. (b) Vertalen indicatiebesluit naar zorgactiviteiten Het vertalen van de functies uit het indicatiebesluit naar planbare zorgproducten en het vastleggen daarvan in een zorgcontract. (c) Inplannen van zorgactiviteiten Het opstellen van een detailplanning voor de in het zorgcontract overeen gekomen activiteiten. (d) Registreren van zorgactiviteiten Het registreren van de productie in termen van uren, verpleegdagen, dagbestedingsactiviteiten en/of verrichtingen alsmede de eventueel aanvullende verpleeghuiszorg. 1
In de tekst en tabel worden de aanduidingen ‘indicatiebesluit’ en ‘zorgtoewijzing’ door elkaar gebruikt. Het (AWBZ-)indicatiebesluit geeft een patiënt recht op zorg en wordt genomen door het CIZ (Centraal Indicatieorgaan Zorg). Het zorgkantoor moet vervolgens regelen dat de geïndiceerde zorg ook daadwerkelijk geboden wordt. Dit gebeurt door middel van een zorgtoewijzing.
NOREA | ZekeREzorg
9
(e) Bewaken van de zorgactiviteiten Het signaleren van wijzigingen in de zorgbehoefte alsmede evt. afloop van de zorgtermijn; het aanvragen van herindicatie of aanvullende indicatie. (f) Verantwoorden aan het zorgkantoor Het opstellen, controleren en accorderen van productieoverzichten en het aanbieden aan het zorgkantoor. (g) Beheren van de stamgegevens Het zorgdragen voor juiste en volledige stamgegevens.
Figuur (3)2: Deelprocessen
(a) Verwerken indicatiebesluit en cliëntgegevens
(b) Vertalen indicatiebesluit en cliënt
(c) Inplannen van zorgactiviteiten (g) Beheren van stamgegevens (d) Registreren van zorgactiviteiten
(e) Bewaken van de zorgactiviteiten
(f) Verantwoorden aan het zorgkantoor
10
4
Doelgroepen en doelstellingen van het beoordelingskader Het beoordelingskader heeft de volgende doelgroepen en bijbehorende doelstellingen: Zorgaanbieders ■ NOREA concretiseert met dit beoordelingskader de kwaliteitseisen die nodig zijn voor een betrouwbare geautomatiseerde verwerking van zorgactiviteiten bij de zorginstelling. Dit beoordelingskader is geen vervanging van de Kaderregeling AO/IC maar geeft een nadere invulling van de automatiseringsaspecten die binnen de Kaderregeling zijn gesteld aan de zorginstellingen. Dit beoordelingskader vormt hiermee een essentiële grondslag voor het opzetten en handhaven van een effectief systeem van interne beheersing. ■ Dit beoordelingskader ondersteunt de zorginstellingen (zie inleiding) bij het specificeren van eenduidige eisen voor de geautomatiseerde gegevensverwerking met betrekking tot de zorgactiviteiten. Een goed beheerde en beveiligde geautomatiseerde gegevensverwerking van zorgactiviteiten vormt impliciet een belangrijk onderdeel van de bestuursverklaring die bestuurders van zorginstellingen dienen af te geven. ■ Het beoordelingskader vormt een leidraad voor zorginstellingen in de gezamenlijke communicatie met softwareleveranciers over de inrichting van de zorgapplicaties. Een dergelijke standaardisatie zou kunnen leiden tot een reductie van de ontwikkelkosten. IT-auditors Het beoordelingskader is een nuttig document voor de IT-auditors die betrokken zijn bij de beoordeling van en advisering over de implementatie van de Kaderregeling AO/IC AWBZ bij zorgaanbieders, al dan niet in het kader controlewerkzaamheden. Deze controlemaatregelen worden veelal beoordeeld door de in het externe controleteam van de zorgaanbieder opgenomen IT-auditor. De beoordeling kan ook plaatsvinden door de interne IT-auditor van de zorgaanbieder als basis voor de review door de (externe) accountant. Zorgverzekeraars Het beoordelingskader draagt bij aan het voor de zorgkantoren inzichtelijk maken van de mate van interne beheersing op ICT-gebied bij de zorgaanbieders. Softwareleveranciers Door middel van deze publicatie wordt inzicht gegeven in de eisen/wensen welke gesteld worden aan een betrouwbaar systeem en is daarmee van waarde voor de leveranciers van de software. Door middel van dit beoordelingskader is daarnaast een set van onafhankelijke en éénduidige criteria verkregen welke als basis kan worden gebruikt om te komen tot certificering van de software door daartoe gekwalificeerde ITauditors (RE’s).
NOREA | ZekeREzorg
11
12
5
Risicoanalyse en beheersmaatregelen De productieregistratie binnen de AWBZ-instellingen kent kort samengevat de volgende stappen. Van de cliënt worden bij de start van het zorgtraject de volgende zaken vastgelegd door de Afdeling Intake/Zorgadministratie: ■ NAW-gegevens; ■ Startdatum van het zorgtraject; ■ Het indicatiebesluit waarin zorgfunctie, zorgzwaarte en geldigheidstermijn van het zorgtraject zijn opgenomen. In de praktijk kan de uitvoering van de productieregistratie verschillen. De geschetste situatie vormt een algemene beschrijving van de productieregistratie. De vereiste gegevens zullen in elke uitvoeringsvorm het uitgangspunt vormen. Tevens zal op de zorgafdelingen per cliënt een dossier worden ingericht. In dit dossier zullen zaken als verwijzing, indicatiebesluit, zorgplan en cliëntencontacten worden vastgelegd. Veelal worden op de zorgafdelingen naast de vastleggingen in het dossier separate vastleggingen gehanteerd op basis waarvan de zorgkantoren worden gefactureerd. Ten behoeve van de risicoanalyse zijn de volgende uitgangspunten van belang: ■ Een juiste, volledige en tijdige vastlegging van de productiegrootheden; ■ Een juiste vastlegging in het dossier; ■ Een controle op de juistheid van de verantwoorde productie; ■ Een juiste, volledige en tijdige facturering door de instelling aan het zorgkantoor van de geleverde productie. Op basis van de risicoanalyse zijn beheersmaatregelen gedefinieerd die de grondslag vormen voor het beoordelingskader. Dit beoordelingskader is gedefinieerd op een zodanig niveau dat sprake is van “behoorlijk IT-gebruik”. Op dat niveau wordt verondersteld dat afdoende maatregelen zijn getroffen inzake de zogenoemde Algemene Computermaatregelen, hieronder verstaan wij: ■ Logische toegangsbeveiliging (uitsluitend door daartoe geautoriseerde specialisten of gemachtigden); ■ Wijzigingsbeheer (ten aanzien van software- en stamtabellen) ■ Continuïteit (back-up en evt. uitwijk). Voor deze algemene computercontroles gelden algemeen aanvaarde normen.
NOREA | ZekeREzorg
13
14
6
Beroepsregels en normenkaders Als beroepsorganisatie stelt de NOREA eisen aan de IT-auditor die op grond van zijn beroepskwalificatie een oordeel over een object geeft. Deze zijn omschreven in de Gedrags- en Beroepsregels (‘Code of Ethics’) voor Register EDP-auditors (RE’s). Dit bevat bepalingen over de vereiste integriteit, deskundigheid, vertrouwelijkheid, kwaliteit, onpartijdigheid en onafhankelijkheid. Daarnaast zijn enkele aanvullende richtlijnen voor de beroepsuitoefening vastgelegd met betrekking tot opdrachtverwerving en –aanvaarding, dossiervorming en –beheer en rapportage. Naast de NOREA-richtlijnen en toetsingnormen hoort de IT-auditor zich op grond van de deskundigheidsvereiste ook rekenschap te geven van (sector-)specifieke normenkaders en wet- of regelgeving. In dat perspectief zijn bij het opstellen van dit beoordelingskader ook de uitgangspunten meegewogen op grond van Nederlandse Norm voor Informatiebeveiliging in de Zorg (NEN 7510).
NOREA | ZekeREzorg
15
16
7
Relatie Bestuursverklaring en de Accountantsverklaring Elk jaar dient het bestuur van de instelling te verklaren dat de productieregistratie en -facturering op een betrouwbare wijze heeft plaatsgevonden. Hiertoe is een standaard verklaring opgesteld. Deze verklaring voor het jaar T dient uiterlijk op 15 januari van het jaar T+1 te worden verstrekt. De positieve verklaring luidt als volgt: Wij bevestigen onze verantwoordelijkheid voor het systeem als geheel zoals beschreven onder ‘Doel en reikwijdte van het systeem van interne beheersing’. Wij hebben ons vergewist van de werking van dit systeem. Op grond daarvan verklaren wij dat – voor zover wij dat redelijkerwijze hebben kunnen constateren- de interne beheersing van instelling ….. gedurende het gehele kalenderjaar 200X voldaan heeft aan alle relevante eisen van de beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake AWBZ productieregistratie en facturering. De registraties van de geleverde AWBZ gefinancierde zorg en de facturering voldoet derhalve aan alle daaraan redelijkerwijze te stellen eisen. Uitgangspunt is dat de Raad van Bestuur ten behoeve van de te verstrekken bestuursverklaring een deskundige en onafhankelijke rapportage wenst en dient te hebben over het functioneren van de bedrijfsvoering. Een verbijzonderde, onafhankelijke interne controlefunctie is hiertoe nodig. Idealiter is de interne controlefunctie direct onder de Raad van Bestuur gepositioneerd als verbijzonderde IC-afdeling. Als minimumeisen worden echter gedefinieerd een zelfstandig werkende, rechtsreeks aan accountant en Raad van Bestuur rapporterende functionaris buiten de lijn, met een controleprogramma en vastleggingssystematiek die in nauwe samenwerking met de externe accountant tot stand zijn gekomen. Om te voorkomen dat een instelling ten onrechte een positieve bestuursverklaring afgeeft, is het noodzakelijk dat een wettelijk bevoegd accountant (RA of AA) een accountantsverklaring afgeeft bij de bestuursverklaring. De accountantscontrole is gericht op het geven van een oordeel over de bestuursverklaring van de Raad van Bestuur van de instelling. De rapportage is gericht aan de Raad van Bestuur van de instelling en afgegeven ten behoeve van het CTG en de (Nederlandse) ziektekostenzorgverzekeraars.
2
Definities kwaliteitsaspecten ontleend aan IT-auditing aangeduid (NOREA-geschrift 1)
NOREA | ZekeREzorg
17
18
8
Kwaliteitsaspecten Op grond van de Kaderregeling AO/IC wordt een juiste, volledige en tijdige vastlegging en facturering vereist. De rechtmatigheid of betrouwbaarheid wordt door IT-auditors doorgaans geconcretiseerd in de navolgende kwaliteitsaspecten: ■ Integriteit: de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid d.w.z. juist, volledig en tijdig; ■ Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen; ■ Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd2. Indien voldoende betrouwbaarheidswaarborgen zijn getroffen en deze aantoonbaar hebben gefunctioneerd in het afgelopen jaar, kan men redelijkerwijs stellen dat de geleverde zorg rechtmatig is verstrekt.
NOREA | ZekeREzorg
19
20
9
Het beoordelingskader Door de kennisgroep zijn op systematische wijze aan de hand van de in paragraaf 3 onderscheiden deelprocessen de risico’s geïnventariseerd en gerelateerd aan de kwaliteitsaspecten. In het beoordelingskader worden de feitelijke normen uitgewerkt in termen van beheersmaatregelen. Deze maatregelen worden gekoppeld aan de benoemde kwaliteitsaspecten. Daarbij wordt nog aangeduid of de betreffende beheersmaatregel automatisch (d.w.z. als onderdeel van de applicatie) dan wel handmatig wordt uitgevoerd. Ten aanzien van het gebruik van het beoordelingskader als toetsingskader geldt als uitgangspunt dat gemotiveerde afwijkingen zijn toegestaan.
NOREA | ZekeREzorg
21
22
Beoordelingskader ID
DBC Deelproces
Risico
Kwaliteitsaspect
100
Registreren Patientgegevens Norm: Patiëntgegevens (NAW- en verzekeringsgegevens) dienen juist, volledig en tijdig te worden geregistreerd
110
Binnenhalen indicaties
Matchen cliënten
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
AW33-bestand is onvolledig
Volledigheid
1
“De applicatie beschikt over Geautomatiseerd functionaliteit waarmee de volledigheid van het AW33 bestand is vast te stellen. Controle vindt plaats op de volgende velden: 1. Aantal activiteitrecords; 2. Aantal productrecords; 3. Aantal score stoornisrecords; 4. Aantal score beperkingsrecords.
Inrichting
AW33-bestand is onjuist
Juistheid
2
De applicatie beschikt over functionaliteit waarmee de juistheid van het AW33 bestand is vast te stellen. Controle vindt plaats op: 1. Instellingsgegevens; 2. Zorgkantoor.”
Geautomatiseerd
Inrichting
AW33-bestand is verouderd
Tijdigheid
3
De applicatie beschikt over een controlemechanisme om na te gaan of de versie van de berichtenstandaard actueel is.
Geautomatiseerd
Inrichting
4
Een geautomatiseerde volledigheidscontrole van de bestandverwerking is aanwezig.
Geautomatiseerd
Inrichting
Volledigheid, Juistheid
5
De applicatie beschikt over een foutenlog waaruit fouten bij het inlezen kunnen worden geconstateerd.
Geautomatiseerd
Inrichting
Volledigheid
6
De zorgaanbieder beschikt over een procedure om de foutenlog te controleren op eventuele fouten.
Organisatorisch
Procedure
Juistheid
1
De applicatie beschikt over functionaliteit om een vergelijking uit te voeren tussen het cliëntenbestand van de instelling en het AW33-bestand. Controle
Geautomatiseerd
Inrichting
AW33-bestand wordt niet Volledigheid of deels verwerkt
120
Nr.
Bestaande cliënten worden niet gesignaleerd met als gevolg dubbele registratie
NOREA | ZekeREzorg
23
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
vindt minimaal plaats op: 1. Burger Service Nummer (BSN); 2. NAW-gegevens; 3. Geboortedatum.
130
Invoeren of muteren cliënt- en indicatiegegevens
24
Juistheid
2
De applicatie voorziet in een overzicht waarmee het voorkomen van dezelfde cliëntgegevens in het cliëntenbestand inzichtelijk is te maken.
Geautomatiseerd
Rapportage
Onjuiste match van cliëntgegevens met als gevolg onterechte mutaties.
Juistheid
3
De applicatie beschikt over functionaliteit om de positief uitgevoerde matches door de gebruiker te controleren en te autoriseren alvorens de cliëntgegevens in het cliëntenbestand te verwerken.
Geautomatiseerd
Inrichting
Een klant heeft op enig moment meerdere actief zijnde indicatiebesluiten.
Juistheid
4
Geautomatiseerd De applicatie beschikt over functionaliteit die voorkomt dat actieve zorgtoewijzingen met eenzelfde AGB-code voor dezelfde cliënt in dezelfde periode worden vastgelegd.
Inrichting
Cliënt- en indicatiegegevens worden dubbel geregistreerd.
Volledigheid
1
Het is in de applicatie niet mogelijk om cliëntgegevens met eenzelfde identificatiecode (BSN) meerdere keren in het cliëntenbestand op te slaan.
Geautomatiseerd
Inrichting
Volledigheid
2
De applicatie voorziet in een overzicht waarmee het voorkomen van dezelfde cliëntgegevens in het cliëntenbestand inzichtelijk is te maken.
Geautomatiseerd
Rapportage
Volledigheid
3
Het is in de applicatie niet mogelijk eenzelfde indicatie voor één client voor dezelfde periode vast te leggen.
Geautomatiseerd
Inrichting
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Cliënt- en indicatiegegevens worden onterecht gemuteerd.
Exclusiviteit
Onvolledige invoer van cliënt- en indicatiegegevens.
200
Vertalen indicatiebesluit naar zorgactiviteiten
210
Voeren intakegesprek
Discrepantie tussen de functie uit de indicatie en bevoegdheid instelling wordt niet geconstateerd met als gevolg onrechtmatige verstrekking
Type maatregel
4
De applicatie voorziet in functionaliteit voor het afschermen van de invoer en muteren van cliënt- en indicatiegegevens.
Geautomatiseerd
Inrichting
5
De applicatie voorziet in een controle op de invoer van cliënten indicatiegegevens middels verificatie door tweede persoon.
Geautomatiseerd
Inrichting
Volledigheid
6
De applicatie voorziet bij Geautomatiseerd handmatige invoer in functionaliteit voor cliënt- en indicatiegegevens om verplichte velden te definiëren bij de inrichting van de applicatie.
Inrichting
Juistheid
1
De applicatie voorziet in functionaliteit om een zorgtoewijzing af te wijzen en terug te geven aan zorgkantoor bij: 1. Niet bevoegd 2. Niet voldoen aan beleidsuitgangspunten voor verantwoorde zorgverlening 3. Onvoldoende capaciteit
Geautomatiseerd
Inrichting
2
De applicatie voorziet in functionaliteit om een zorgtoewijzing af te wijzen en terug te geven aan zorgkantoor bij: 1. Niet bevoegd 2. Niet voldoen aan beleidsuitgangspunten voor verantwoorde zorgverlening 3. Onvoldoende capaciteit
Geautomatiseerd
Inrichting
Volledigheid De indicatie van afgewezen cliënten wordt Tijdigheid niet of niet tijdig teruggegeven aan zorgkantoor
NOREA | ZekeREzorg
Inrichting Rapportage Autorisatie Procedure
Beheersmaatregel
Onjuiste invoer van cliënt- Juistheid en indicatiegegevens.
Nr.
25
ID
DBC Deelproces
220
Functies en zorgzwaarten Onjuiste vertaling van de functie en zorgzwaarte omzetten naar naar zorgactiviteiten zorgactiviteiten
230
Opstellen en afstemmen zorgcontract
26
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
Juistheid
1
De applicatie voorziet in Geautomatiseerd functionaliteit om te voorkomen dat zorgactiviteiten, automatisch afgeleid van de geïndiceerde functie(s), resulteren in CTGverrichtingen die niet binnen betreffende functie(s) verantwoord mogen worden.
Inrichting
Het zorgcontract is onvolledig
Volledigheid
1
De applicatie voorziet in functionaliteit van een contractenregister waarbij zorgcontracten automatisch worden gegenereerd.
Geautomatiseerd
Inrichting
Het zorgcontract is onjuist
Juistheid
2
De applicatie voorziet in functionaliteit van een contractenregister waarbij zorgcontracten automatisch worden gegenereerd.
Geautomatiseerd
Inrichting
Het zorgcontract is niet of Tijdigheid Juistheid niet tijdig ondertekend door cliënt
3
De applicatie voorziet in functionaliteit van een contractenregister waarbij automatisch signaleringen worden gegenereerd als zorgcontracten niet vooraf aan ingangsdatum getekend door de cliënt retour zijn of hernieuwde accordering nodig is.
Geautomatiseerd
Inrichting
Het zorgcontract is niet of Tijdigheid Juistheid niet tijdig ondertekend door cliënt
4
De applicatie voorziet in functionaliteit van een overzicht inzake ouderdomsanalyse betreffende niet getekende zorgcontracten.
Geautomatiseerd
Rapportage
Het zorgcontract is niet of Tijdigheid Juistheid niet tijdig ondertekend door cliënt
5
De zorgaanbieder beschikt over een procedure om de ouderdomsanalyse te beoordelen.
Organisatorisch
Procedure
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Het zorgcontract is na afstemming ongeautoriseerd gemuteerd
Exclusiviteit
300
Inplannen zorgactiviteiten
310
Opstellen detailplanning (roosterplanning)
De zorgactiviteit wordt niet of onvolledig ingepland waardoor niet kan worden voldaan aan de verplichtingen overeengekomen met de cliënt
Zorgactiviteiten worden ingepland waarvoor geen geldige indicatie bestaat
NOREA | ZekeREzorg
Nr.
Inrichting Rapportage Autorisatie Procedure
Beheersmaatregel
Type maatregel
6
De applicatie voorziet in functionaliteit voor het afschermen van overeengekomen zorgcontracten tegen onbevoegd inzien en muteren.
Geautomatiseerd
Integriteit
1
Geautomatiseerd De applicatie voorziet in een signaleringslijst waaruit blijkt dat alle overeengekomen zorgactiviteiten zijn ingepland c.g. de overeengekomen zorgactiviteiten die niet zijn ingepland.
Controleerbaarheid
2
De zorgaanbieder voorziet in een procedure om periodiek de signaleringslijst waaruit blijkt dat alle overeengekomen zorgactiviteiten zijn ingepland, te beoordelen.
Organisatorisch
Procedure
Juistheid
3
De applicatie beschikt over functionaliteit om bij het plannen van zorgactiviteiten zonder indicatie verplicht een reden op te geven: 1. Bij nog niet ontvangen (her)indicatie; 2. Bij spoedeisende zorg; 3. Zorg voor eigen rekening; 4. Bij nog niet ontvangen aanvullende indicatie; 5. Aanvullende afspraken met het zorgkantoor.
Geautomatiseerd
Inrichting
Controleerbaarheid
4
De applicatie voorziet in een signaleringslijst van geplande zorgactiviteiten zonder indicatie.
Geautomatiseerd
Rapportage
Autorisatie
Rapportage
27
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
Controleerbaarheid
5
De zorgaanbieder voorziet in een procedure om periodiek de signaleringslijst van geplande zorgactiviteiten zonder indicatie te beoordelen.
Organisatorisch
Procedure
De zorgactiviteit wordt onjuist opgenomen in detailplanning.
Juistheid
6
De applicatie voorziet in functionaliteit dat alleen overeengekomen zorgactiviteiten worden ingepland.
Organisatorisch
Inrichting
De detailplanning ongeautoriseerd aangepast.
Exclusiviteit
7
De applicatie voorziet in functionaliteit voor het afschermen van de detailplanning tegen ongeautoriseerde aanpassing.
Geautomatiseerd
Inrichting
Juistheid
1
De applicatie voorziet in functionaliteit die waarborgt dat zorgtoewijzing = planning = realisatie. Afwijkende zorgactiviteiten kunnen niet worden geregistreerd zonder verplichte opgave van reden.
Geautomatiseerd
Inrichting
Controleerbaarheid
2
De applicatie voorziet in een signaleringslijst van geregistreerde zorgactiviteiten die afwijken van planning of zorgtoewijzing.
Geautomatiseerd
Rapportage
Controleerbaarheid
3
De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen van geregistreerde zorgactiviteiten ten opzichte van de planning of zorgtoewijzing.
Organisatorisch
Rapportage
Juistheid
4
De applicatie voorziet in functionaliteit die waarborgt dat
Geautomatiseerd
Inrichting
400
Registreren zorgactiviteiten Norm: Zorgactiviteiten worden juist, volledig en tijdig geregistreerd
410
Registreren productie (algemeen)
Zorgactiviteiten worden geregistreerd waarvoor geen onderliggend indicatiebesluit bestaat.
Zorgactiviteiten worden geregistreerd waarvoor
28
Nr.
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
geen onderliggend zorgcontract bestaat of waarvoor in het zorgcontract geen afspraken zijn opgenomen.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
geen zorgactiviteiten kunnen worden geregistreerd zonder de aanwezigheid van een zorgcontract en zonder opgave van een geldige reden.
Juistheid
5
De applicatie voorziet in functionaliteit die waarborgt dat geen zorgactiviteiten kunnen worden geregistreerd die afwijken van de overeengekomen zorgactiviteiten in het zorgcontract en zonder opgave van een geldige reden.
Juistheid
6
Geautomatiseerd De applicatie voorziet in functionaliteit van een signaleringslijst waarin per afwijkingsreden de periode van de geleverde zorg inzichtelijk kan worden gemaakt.
Controleerbaarheid
7
De zorgaanbieder beschikt over een procedure voor de periodieke beoordeling van de signaleringslijst met betrekking tot de geleverde zorg met afwijkingsreden.
Zorgactiviteiten voor dezelfde cliënt in dezelfde periode worden dubbel geregistreerd.
Juistheid
8
Geautomatiseerd De applicatie voorziet in functionaliteit die waarborgt dat een zorgactiviteit niet dubbel wordt geregistreerd. (zelfde cliënt, zelfde tijdstip, zelfde medewerker).
Inrichting
De uitgevoerde zorgactiviteiten worden geregistreerd op een verkeerde of overleden cliënt.
Juistheid
9
De applicatie voorziet in functionaliteit die waarborgt dat zorgactiviteiten niet kunnen worden geregistreerd bij een overleden cliënt.
Geautomatiseerd
Inrichting
De hoeveelheid geregistreerde zorgactiviteiten komen
Volledigheid Juistheid
De applicatie voorziet in functionaliteit om functiescheiding te creëren tussen de invoer en
Geautomatiseerd
Autorisatie
NOREA | ZekeREzorg
10
Geautomatiseerd
Organisatorisch
Inrichting
Rapportage
Procedure
29
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
niet overeen met de daadwerkelijk uitgevoerde zorgactiviteiten (N.v.t. voor intramuraal). 410-A
Registreren productie (uren)
Uren worden onvolledig of onjuist geregistreerd
Uren worden niet tijdig geregistreerd
410-B
Registreren productie (verpleegdagen)
30
Verpleegdagen worden niet of onvolledig geregistreerd
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
accordering van productiegegevens.
Volledigheid Juistheid
1
De applicatie voorziet in functionaliteit om de vooraf ingegeven planning als voorlopige realisatie te boeken.
Geautomatiseerd
Inrichting
Volledigheid Juistheid
2
De applicatie voorziet in een overzicht van geregistreerde uren per medewerker per periode.
Geautomatiseerd
Rapportage
Volledigheid Juistheid
3
Geautomatiseerd De applicatie voorziet in functionaliteit om de geregistreerde productie te accorderen door een daartoe bevoegde functionaris.
Autorisatie
Controleerbaarheid
4
Geautomatiseerd De applicatie voorziet in een signaleringslijst van afwijkingen op de geregistreerde uren in vergelijking met de geplande uren.
Rapportage
Controleerbaarheid
5
De applicatie voorziet in een signaleringslijst van verschillen tussen de geplande en de gerealiseerde productie.
Geautomatiseerd
Rapportage
Controleerbaarheid
6
De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen de geplande en gerealiseerde productie
Organisatorisch
Procedure
Volledigheid Juistheid
1
De zorgaanbieder beschikt over een procedure dat bij het intakegesprek de geplande opnamedatum wordt vastgelegd in de applicatie.
Organisatorisch
Procedure
ID
410-C
DBC Deelproces
Registreren productie (dagbestedingsactiviteiten)
Risico
Dagbestedingsactiviteiten worden niet of niet volledig geregistreerd
NOREA | ZekeREzorg
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
Volledigheid Juistheid
2
De zorgaanbieder beschikt over Organisatorisch een procedure dat bij opname van een cliënt de daadwerkelijke opnamedatum wordt geregistreerd in de applicatie.
Volledigheid Juistheid
3
De applicatie voorziet in een signaleringslijst met een vergelijking tussen de geplande opnamedatum en de werkelijke opnamedatum.
Geautomatiseerd
Rapportage
Volledigheid Juistheid
4
De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen op de geplande opnamedata en de werkelijke opnamedata.
Organisatorisch
Procedure
Volledigheid Juistheid
1
De applicatie voorziet in functionaliteit om de vooraf ingegeven planning als overzicht te genereren ten behoeve van de aanwezigheidsregistratie.
Geautomatiseerd
Rapportage
Volledigheid Juistheid
2
De organisatie beschikt over een procedure die waarborgt dat de geregistreerde aan- en afwezigheden op een juiste wijze worden verwerkt in de applicatie.
Organisatorisch
Procedure
Volledigheid Juistheid
3
De applicatie voorziet in een overzicht van geregistreerde dagbesteding per cliënt per periode.
Geautomatiseerd
Rapportage
Volledigheid Juistheid
4
Geautomatiseerd De applicatie voorziet in functionaliteit om de geregistreerde productie te accorderen door een daartoe bevoegde functionaris.
Tijdigheid
5
De applicatie voorziet in een signaleringslijst van verschillen
Geautomatiseerd
Procedure
Autorisatie
Rapportage
31
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
tussen de geplande en de gerealiseerde productie. 6
De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen de geplande en gerealiseerde productie.
Organisatorisch
Procedure
Verrichtingen/Aanvullende Volledigheid Verpleeghuiszorg worden Juistheid niet of niet volledig geregistreerd.
1
De applicatie voorziet in functionaliteit om de vooraf ingegeven planning als voorlopige realisatie te boeken.
Geautomatiseerd
Inrichting
Volledigheid Juistheid
2
Geautomatiseerd De applicatie voorziet in een overzicht van geregistreerde verrichtingen/aanvullende verpleeghuiszorg per cliënt per periode.
Rapportage
Volledigheid Juistheid
3
Geautomatiseerd De applicatie voorziet in functionaliteit om de geregistreerde productie te accorderen door een daartoe bevoegde functionaris.
Autorisatie
Controleerbaarheid
4
Geautomatiseerd De applicatie voorziet in een signaleringslijst van afwijkingen op de geregistreerde verrichtingen/aanvullende verpleeghuiszorg in vergelijking met de geplande verrichtingen.
Rapportage
Tijdigheid
5
De applicatie voorziet in een signaleringslijst van verschillen tussen de geplande en de gerealiseerde productie.
Geautomatiseerd
Rapportage
Tijdigheid
6
De zorgaanbieder beschikt over een procedure voor periodieke analyse van afwijkingen tussen de geplande en gerealiseerde productie.
Organisatorisch
Procedure
Tijdigheid
410-D
Registreren productie (verrichtingen)
Verrichtingen/aanvullende verpleeghuiszorg worden niet tijdig geregistreerd
32
ID
DBC Deelproces
500
Bewaken zorgactiviteiten
510
Signaleren wijzigende zorgbehoefte
520
530
Signaleren op afloop zorgtermijn
Signaleren wijzigende cliëntsituatie
Risico
Kwaliteitsaspect
Wijzigingen in Volledigheid zorgbehoefte worden niet of onvolledig gesignaleerd.
Afloop zorgtermijn wordt niet tijdig gesignaleerd.
Wijzigingen in de cliëntsituatie worden niet of niet tijdig gesignaleerd.
600
Verantwoorden aan het zorgkantoor
610
Opstellen productieoverzicht
Het productie-overzicht bevat onjuiste gegevens of is onvolledig
NOREA | ZekeREzorg
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
1
De zorgaanbieder beschikt over Organisatorisch een procedure waarin aanvullende zorgbehoefte leidt tot herindicatie.
Procedure
2
De applicatie voorziet in functionaliteit die het proces ondersteunt bij het aanvragen van een herindicatie.
Geautomatiseerd
Inrichting
Tijdigheid
1
De applicatie voorziet in een signaleringslijst die inzicht geeft in de aflopende indicaties voor de komende periode.
Geautomatiseerd
Rapportage
Tijdigheid
2
De zorgaanbieder beschikt over een procedure voor periodieke analyse van de signaleringslijst met aflopende zorgtermijnen.
Organisatorisch
Procedure
Juistheid Tijdigheid
1
De zorgaanbieder beschikt over Organisatorisch een procedure waarin de zorgverleners gewijzigde cliëntsituaties dienen te registreren.
Procedure
Juistheid Tijdigheid
2
De applicatie voorziet in Geautomatiseerd functionaliteit voor de administratie van: 1. Overplaatsing (intern/extern) 2. Overlijden (partner) 3. Verhuizing
Inrichting
Volledigheid Juistheid
1
De applicatie voorziet in functionaliteit om automatisch een productie overzicht te genereren ter verantwoording aan het zorgkantoor.
Geautomatiseerd
Rapportage
33
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Het productie-overzicht wordt ongeautoriseerd aangepast
Volledigheid Juistheid
Het productie-overzicht wordt niet tijdig opgesteld
Nr.
Inrichting Rapportage Autorisatie Procedure
Beheersmaatregel
Type maatregel
2
De applicatie voorziet in functionaliteit om het muteren van het productieoverzicht af te schermen.
Geautomatiseerd
Autorisatie
Tijdigheid
3
De zorgaanbieder beschikt over een procedure om periodiek het productie overzicht te genereren ter verantwoording aan het zorgkantoor.
Organisatorisch
Procedure
620
Controleren en accorderen productieoverzicht
Het opgestelde productieoverzicht wordt niet gecontroleerd en geaccordeerd alvorens naar het zorgkantoor te worden verzonden
Controleerbaarheid
1
De zorgaanbieder beschikt over een procedure om periodiek het productie overzicht te controleren en formeel te accorderen alvorens naar het zorgkantoo te verzenden.
Organisatorisch
Procedure
630
Versturen productieoverzicht naar zorgkantoor
Het productie-overzicht wordt onvolledig verstuurd
Volledigheid
1
Organisatorisch De zorgaanbieder beschikt over een procedure om te controleren dat het productie-overzicht volledig naar het zorgkantoor wordt verstuurd.
Procedure
Het productie-overzicht wordt niet ontvangen door het zorgkantoor
Volledigheid
2
De zorgaanbieder beschikt over een procedure om te controleren dat het productie-overzicht is ontvangen op het zorgkantoor.
Organisatorisch
Procedure
700
Beheren Stamgegevens Norm: Het beheren van stamgegevens dient juist, volledig en tijdig plaats te vinden
710
Stamtabellen waaronder: - Kwalificaties personeel - CTG-tarieven - Indicatieorganen - Zorgkantoren - Zorgzwaarten - Zorgactiviteiten
34
Stamtabellen zijn niet actueel
Tijdigheid
1
De applicatie voorziet in functionaliteit waardoor stamtabellen een geldigheidstermijn bevatten.
Geautomatiseerd
Inrichting
Tijdigheid
2
De applicatie voorziet in functionaliteit welke het gebruik
Geautomatiseerd
Inrichting
ID
DBC Deelproces
Risico
Kwaliteitsaspect
Nr.
Beheersmaatregel
Type maatregel
Inrichting Rapportage Autorisatie Procedure
van de juiste stamgegevens waarborgt. Juistheid
3
De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van stamgegevens waarin taken en verantwoordelijkheden zijn uitgewerkt.
Organisatorisch
Procedure
Stamtabellen zijn onvolledig
Volledigheid
4
De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt.
Organisatorisch
Procedure
Stamtabellen zijn onjuist
Juistheid
5
De zorgaanbieder beschikt over een beheersprocedure voor het onderhoud van de stamgegevens, waarin taken en verantwoordelijkheden zijn uitgewerkt.
Organisatorisch
Procedure
Mutaties in stamgegevens Exclusiviteit zijn onrechtmatig
6
De applicatie voorziet in autorisatiefunctionaliteit voor het aanmaken, muteren, verwijderen en weergeven van stamgegevens.
Geautomatiseerd
Autorisatie
Mutaties in stamgegevens Controleerbaarheid zijn niet controleerbaar
7
De applicatie voorziet in functionaliteit waarmee mutaties in stamgegevens worden vastgelegd in een logbestand met de volgende gegevens: 1) Gebruikersnaam; 2) Datum en tijdstip; 3) Oude waarde en nieuwe waarde.
Geautomatiseerd
Inrichting
NOREA | ZekeREzorg
35
Competentiematrix ID
AWBZ Deelproces
100
Verwerken Indicatiebesluit en cliëntgegevens
110
Binnenhalen indicaties
120
Matchen cliënten
130
Invoeren of muteren cliënt- en indicatiegegevens
140
Controleren en accorderen
200
Vertalen indicatiebesluit naar zorgactiviteiten
210
Voeren intakegesprek
220
Functies en zorgzwaarten omzetten naar zorgactiviteiten
230
Opstellen en afstemmen zorgcontract
300
Inplannen zorgactiviteiten
310
Opstellen detailplanning (roosterplanning)
400
Registreren zorgactiviteiten
410
Registreren productie (algemeen)
410-A
Registreren productie (uren)
410-B
Registreren productie (verpleegdagen)
410-C
Registreren productie (dagbestedingsactiviteiten)
410-D
Registreren productie (verrichtingen)
500
Bewaken zorgactiviteiten
510
Signaleren wijzigende zorgbehoefte
520
Signaleren op afloop zorgtermijn
530
Signaleren wijzigende cliëntsituatie
600
Verantwoorden aan het zorgkantoor
610
Opstellen productie-overzicht
620
Controleren en accorderen productie-overzicht
630
Versturen productie-overzicht naar zorgkantoor
700
Beheren Stamgegevens
710
Stamtabellen waaronder: - Kwalificaties personeel - CTG-tarieven - Indicatieorganen - Zorgkantoren - Zorgzwaarten - Zorgactiviteiten
36
Cliëntadministratie
Zorgplanner
U U U
U
U
U
Zorgverlener
Zorgmanager
Fin. Adm.
U
Controller/HEAD
IC-medewerker
V V V V
C C C C
V V V
C C C
V
C
U U U U U
V V V V V
C C C C C
U
V V V
C C C
U U
U
U U U V
U = uitvoerend
V = verantwoordelijk
C = controlerend
V V V
C C C
V
C
NOREA | ZekeREzorg
37
38
10
Bron- en literatuurverwijzingen ■ Kaderregeling Administratieve Organisatie en Interne Controle (AO/IC) inzake DBC registratie en facturering en Beleidsregel I-747 CTG; zie www.ctg-zaio.nl ■ NEN 7510, Norm Informatiebeveiliging in de Zorg, zie www.nen7510.org ■ NOREA Studierapport nr. 3. Raamwerk voor de ontwikkeling van normenstelsels en standaarden, 2002, zie www.norea.nl ■ IT-auditing aangeduid, NOREA-geschrift nr. 1/1998 ■ “Voldoet uw ZIS aan de richtlijnen”, Certificering van een informatiesysteem in ICT-zorg nr. 3 mei/juni 2005
NOREA | ZekeREzorg
39
40