Dit artikel schetst de problemen zoals die rond de rechtmatigheidscontrole zijn gegroeid. Wij behandelen de inhoud en betekenis van het nieuwe convenant, en stellen vast dat – ondanks gemaakte vorderingen – daadwerkelijke invoering van horizontaal toezicht nog geen gelopen race is. Eén sleutelelement ontbreekt nog steeds: een gezamenlijke controleaanpak door alle zorgverzekeraars.

Audit alert

In maart 2014 schudde de Nederlandse Beroepsorganisatie van Accountants de zorgsector wakker met een audit alert. Accountants kwamen bij ziekenhuizen onduidelijkheid tegen over regels voor registratie en declaratie. Ziekenhuizen konden bepaalde regels niet uitvoeren. Zorgverzekeraars hadden moeite om naleving te controleren. En accountants moesten een verklaring geven over de rechtmatigheid en juistheid van de dbc-omzet, terwijl de meeste zieken­huizen die omzet in de jaren daarna nog moesten bijstellen na achterafcontroles door zorgverzekeraars.

De alert van de NBA paste binnen een brede context. De aandacht voor foute declaraties en zorgfraude kost ziekenhuizen en zorgverzekeraars veel tijd aan controle van rechtmatigheid van zorg. Oorzaak is het ontbreken van een geregisseerd verband tussen de vier schakels van de administratieve keten: regelgeving, uitvoering, controle, toezicht. Ziekenhuizen, zorgverzekeraars en accountants ondervinden hierdoor normonduidelijkheid, meervoudige controlelast, omzetonduidelijkheid en onderling wantrouwen (zie figuur 1).

In dit artikel vatten we deze problemen eerst samen. Daarna bespreken we de oplossing die wij zien in het instrument horizontaal toezicht (Voor een overzicht van het begrip ‘horizontaal toezicht’, zie het rapport van de commissie-Stevens: Fiscaal Toezicht op maat – Soepel waar het kan, streng waar het moet, Den Haag, 2012).

Regels en controle

Voor registreren, declareren en betalen van zorg gelden honderden regels, voor zowel ziekenhuizen als zorgverzekeraars. De meeste zijn zo eenduidig dat ze nooit tot problemen leiden. Maar bij zo’n 10 procent ligt dit anders. Dit zijn regels waarvan de intentie zich moeilijk in één uitvoeringsvorm laat vatten. Ze leiden tot veel discussie over interpretatie, uitvoering en controle.

Overleg tussen ziekenhuizen en verzekeraars bij het opstellen van het Controleplan 2012-2013 en de Handreiking 2014, loste de meeste verschillen van inzicht al op. Op basis van het controleplan en de handreiking gingen ziekenhuizen zelf rechtmatigheid van zorg controleren, wat zorgverzekeraars en accountants al meer zekerheid bood over de naleving van regels. Waar regelgeving vragen opriep, is die met hulp van de NZa nader geduid.

Het gaat dus al de goede kant op, maar het aandachtspunt is nog niet van tafel. De fine tuning van het stelsel van bekostiging blijft voorlopig zorgen voor nieuwe aangroei van complexe regels.

Een aantal regels leidt nog tot foute declaraties. Ziekenhuizen en zorgverzekeraars worden hierbij door de wetgever gelijk benaderd. Het ziekenhuis moet ‘correct declareren’, de zorg­verzekeraar moet ‘correct betalen’. Als een zorgverzekeraar een foute declaratie van het ziekenhuis betaalt, zijn beide in over­treding.

Door de enorme hoeveelheid declaraties, de gewenste snelheid van betalen en het feit dat zorgverzekeraars niet alle informatie hebben, is de kans reëel dat een fout van het ziekenhuis leidt tot een fout van de zorgverzekeraar. Om die kans te verminderen, en hoge boetes te voorkomen, ontwikkelden zorgverzekeraars controleprogramma’s waarvan de NZa het resultaat krijgt.

Die programma’s blijken een zware belasting. Ziekenhuizen krijgen controles opgedragen door alle zorgverzekeraars afzonderlijk waarmee ze een contract hebben. Zorgverzekeraars moeten de controleresultaten van alle gecontracteerde ziekenhuizen controleren. En dit allemaal op basis van niet onderling afgestemde risico­analyses en controleprocessen.

Onzekerheid over de omzet

Een probleem is ook het uiteenlopen van de wettelijke controleperioden voor accountants (T+1) en voor zorgverzekeraars (T+3). In principe ronden accountants de controle van de jaarrekening af in het jaar dat volgt op het omzetjaar (T), bij voorkeur vóór 1 juni. Maar de zorgverzekeraars moeten tot en met drie jaren na het omzetjaar elk signaal onderzoeken, en elke fout verhalen op het ziekenhuis.

Accountants blijven hierdoor lang in onzeker­heid over de juistheid van de dbc-omzet. Dit ondermijnt hun controleverklaring, maar het is de vraag of dit helemaal kan worden opgelost. Zorgverzekeraars hebben nu eenmaal die controleverplichting. En patiënten hebben zelfs vijf jaar lang recht op herstel van factuurfouten.

Gezamenlijke aanpak

Afgelopen april tekenden NVZ, NFU en ZN het ‘Convenant gezamenlijke aanpak controles medisch specialistische zorg 2014 en later’. Hierbij werd afgesproken om samen een nieuwe aanpak voor de rechtmatigheidscontroles te ontwikkelen. Met de NZa is afgesproken dat hierbij de focus ligt op regels die in de praktijk al tot fouten hebben geleid. Dus niet alle regels hoeven extra te worden gecontroleerd.

Bij dit risicogericht controleren wordt verder een onderscheid gemaakt tussen ‘signalen’ en ‘risico’s’. Een signaal is een vermoeden van een rechtmatigheidsrisico. Een risico doet zich voor als fouten daadwerkelijk voorkomen en substantiële financiële impact hebben. Door controleprogramma’s te baseren op aanmerkelijke risico’s, blijven de kosten in proportie tot het geld dat onrechtmatig aan de zorg is onttrokken.

Het proces van gezamenlijke risicoanalyse is nog incompleet, en vergt een grotere bijdrage van de ziekenhuizen. Ook is het goed als de NZa een betere praktijktoets ontwikkelt voor de uitvoer­baarheid en controleer­baarheid van nieuwe regels. Het aantal regels dat problemen veroorzaakt, wordt zo tot een minimum beperkt.

Drie samenhangende programma’s

Voor de extra controle op risicovolle regels gaat het convenant uit van drie samenhangende controleprogramma’s. Er is een landelijk programma (de Handreiking 2014), met de generieke risico’s voor alle ziekenhuizen. Het controle­programma van een individuele zorgverzekeraar focust op specifieke risico’s bij een beperkt aantal ziekenhuizen. Het programma van het individuele ziekenhuis kijkt naar het restrisico.

De controleprogramma’s overlappen in principe niet, en maken een enkelvoudige controlelast voor zieken­huizen mogelijk. Wat niet in het convenant staat, maar voor het omzetjaar 2014 wel is afgesproken, is dat ziekenhuizen worden gecontroleerd door een ‘expertgroep’ die de zorgverzekeraars representeert (representatiemodel).

Het concept van samenhangende controle­programma’s is een hele verbetering, maar vergt wel een sterke bewaking van tijdpad van de controlecyclus. Op 1 juli (T-1) moet er inzicht zijn in eventuele nieuwe regels van de NZa; op 1 oktober (T-1) moet de gezamenlijke risicoanalyse zijn uitgevoerd, en moeten de samenhangende controleprogramma’s zijn samengesteld; op 1 januari van het omzetjaar (T) moet elk ziekenhuis zijn AO/IC op orde hebben; en op 1 maart (T+1) moet de verantwoording aan de representerende partij zijn afgerond (zie figuur 2).

Tot nu toe vullen NVZ, NFU en ZN die ‘planningsfunctie’ in door ad hoc te reageren op verzoeken uit de achterban. Het strakke tijdpad vereist een sterke en meer permanente invulling.

Assurance door derde partij

Om enige zekerheid te creëren dat ziekenhuizen de risicovolle regels zelf goed controleren, bepaalden NVZ, NFU en ZN dat de bestuurder van het ziekenhuis in een bestuursverklaring verantwoording aflegt over de uitvoering van de controles. Dit is een tijdelijke oplossing. De partijen willen dat het controle­resultaat in de toekomst een Assurancerapport meekrijgt. Hiermee kan de representerende partij de waarde van het controleresultaat beter beoordelen, en zo nodig het ziekenhuis aanspreken.

NVZ, NFU en ZN zijn ver gevorderd met het ontwikkelen van een Assurance Frame­work voor de MSZ. Het gaat hier om procesgerichte assurance, die focust op de werking van de AO/IC en die verbeterimpulsen kan geven. De vraag is of dit voldoende blijkt, gezien de behoefte van de NZa om met een bepaalde zekerheid iets te weten over de juistheid van de declaratiemassa.

Wat is horizontaal toezicht?

De convenant-afspraken zijn een belangrijke stap richting betere controles, en de opmaat naar horizontaal toezicht. Onder dat laatste verstaan wij een situatie waarin:

1. ziekenhuizen en zorgverzekeraars vooraf afstemmen over relevante regels en risico’s;
2. ziekenhuizen zichzelf controleren op naleving, en fouten direct corrigeren;
3. ziekenhuizen na afronding van het omzetjaar aan een representerende partij zekerheid geven over de werking van de OA/IC en over het controleresultaat;
4. zorgverzekeraars hun achterafcontroles hier op afstemmen.

Primair doel van horizontaal toezicht is herstel van het vertrouwen, door samenwerking op basis van ‘eigen verantwoor­delijkheid’ en ‘volledige transparantie’. In de ideale situatie geldt de verantwoor­ding door het zieken­huis als afsluiting van het omzetjaar, in plaats van als startpunt van het controleproces van de zorgverzekeraar.

Zo helpen ziekenhuizen en zorgverzekeraars elkaar om zowel het aantal declaratiefouten als de hoeveelheid administratieve lasten te verminderen. Een vorm van controle die we al kennen van de Belastingdienst.

Door het convenant zijn punten 1 en 2 al praktijk. Voor punt 3 geldt dit gedeeltelijk, maar dit lijkt een kwestie van tijd. Maar punt 4 is nog niet gerealiseerd. Zorgverzekeraars oefenen de controle nog niet uit als functioneren zij als één.

Wat vindt de NZa?

Het NZa-protocol voor verevenings­onderzoek schrijft aan de zorgverzekeraar geen specifieke controleaanpak voor. Dit betekent dat een zorgverzekeraar mag steunen op het controle­resultaat van een ziekenhuis en van een representerende partij, mits aan de NZa kan worden verantwoord dat die aanpak de vereiste mate van zekerheid geeft.

Of zorgverzekeraars zich verantwoorden op basis van achteraf­controles of op basis van horizontaal toezicht, mogen ze van de NZa zelf uitmaken. Het gaat de NZa om het principe van toereikende controle, niet om de concrete invulling. De afgelopen jaren is wel het vertrouwen van de NZa in de achterafcontroles sterk toegenomen. Zorgverzekeraars die horizontaal toezicht introduceren, kunnen er daarom op rekenen dat de NZa hen voor­lopig zal blijven uit­dagen. Bijvoorbeeld met kritische vragen over de werking van het Assurance Framework of van het representatiemodel. Wil de NZa op de korte termijn vertrouwen geven aan horizontaal toezicht, dan zullen de daadwerkelijke controle­resultaten moeten overtuigen. Hier ligt een stevige uitdaging.

Ongestoord jaarrekeningtraject

De jaarrekeningcontrole door de accountant en de omzetcontrole door de zorgverzekeraar zijn in principe afzonderlijke trajecten. Maar in beide gevallen is er behoefte aan een door het ziekenhuis goed onderbouwde verantwoording van de omzet.

In de toekomst moet het mogelijk zijn dat het controleproces van de zorgverzekeraars is afgerond tegen de tijd dat de controle van de accountant begint. In de ideale situatie wordt de accountant het ‘slot op de deur’. Hij kan beschikken over het resultaat van de samenhangende controleprogramma’s; heeft informatie over door het ziekenhuis uitgevoerde correcties en getroffen voor­zieningen; en kan zo een uitspraak doen over de juistheid van de dbc-omzet.

Ziekenhuizen die in aanmerking komen voor horizontaal toezicht, vergroten hiermee de kans op een ongestoord jaarrekeningtraject. Het past dan ook bij de rol van de accountant als ’trusted advisor’, om het thema ‘rechtmatigheid’ onder de aan­dacht te brengen van de raad van toezicht en de raad van bestuur. Hoe beter dit zich binnen het ziekenhuis ont­wikkelt, hoe groter de kans dat het ziekenhuis in aanraking komt met horizontaal toezicht.

Handhavingsregie

Ziekenhuizen die geen samenwerking willen aangaan met zorgverzekeraars, of die niet transparant willen zijn, mogen geen voordeel genieten op kosten van anderen. Zorgverzekeraars moeten zorgen voor een gezamenlijk risicomanagementsysteem voor het identificeren van ziekenhuizen die niet in aanmerking komen voor horizontaal toezicht. En ze moeten voldoende mensen beschikbaar stellen voor achterafcontroles van ziekenhuizen die niet samenwerken en niet transparant zijn.

Alleen door een gezamenlijke aanpak kan horizontaal toezicht zijn belofte waarmaken. In lijn met het advies van de commissie Stevens aan de Belastingdienst, zouden zorgverzekeraars ook moeten zorgen voor één uniforme aanpak voor het afsluiten – of beëindigen – van een convenant met elk afzonderlijk ziekenhuis. Dit vergt het opstellen van gezamenlijke criteria op basis waarvan kan worden besloten dat sprake is van gerechtvaardigd vertrouwen. Als we ook hier de parallel trekken met de Belasting­dienst, komen hierbij onder andere in beeld: ’toon aan de top’; ‘nalevingsgedrag’ (het willen); de AO/IC (het kunnen); en ‘schoon schip’ (afwikkeling van nog openstaande rechtmatigheidsissues) (zie figuur 3).

Inkoop en controle afstemmen

Terechte levering en gepast gebruik vallen buiten de scope van rechtmatigheidscontroles. Het gaat hier om zorg­inhoudelijke of medische problemen, niet om zorgadministratieve problemen. Toch kunnen zorgverzekeraars ook vanuit deze domeinen problemen helpen oplossen.

Individuele zorgverzekeraars kunnen meer met één mond spreken richting individuele ziekenhuizen. Dit vergt betere afstemming tussen de inkoop- en de controlefunctie. Strijdigheid tussen inkoopvoorwaarden en rechtmatigheid moet je vooraf waarnemen, niet achteraf.

Prijslijsten van ziekenhuizen voor zorg­producten moeten op tijd beschikbaar komen. Dit gebeurt nu niet, waardoor de declaratie stagneert en à tempo controleren niet plaatsvindt.

Ook kunnen zorgverzekeraars, samen met wetenschappelijke verenigingen, meer initiatief nemen voor controleerbare regels op het gebied van doelmatigheid. Door de afwezigheid van duidelijke afspraken kunnen ziekenhuizen zichzelf op dit punt nu niet controleren. Binnen de grenzen van het aanvaardbare, en altijd op basis van het samenspel tussen patiënt en zorgverlener, kunnen betere afspraken meer transparantie en zekerheid creëren.

Governance en compliance

Introductie van horizontaal toezicht legt bij ziekenhuizen een sterke nadruk op eigen verantwoordelijkheid en transparantie. Willen ze in aanmerking komen voor horizontaal toezicht, dan moet regelnaleving op de agenda van de raad van toezicht en de taad van bestuur staan. Periodieke rapportages moeten hen inzicht geven in de werking van het totale systeem voor de beheersing van administratieve risico’s, en ze helpen besluiten te nemen over het verminderen van risico’s. Een compliancefunctie en een interne auditfunctie kunnen belangrijk bijdragen aan het beïnvloeden van het naleefgedrag van medisch en administratief personeel.

Belangrijk is ook dat de OA/IC goed geregeld is, door een juiste balans tussen het voorkomen, opsporen en corrigeren van fouten. Dit is ook belangrijk met het oog op Assurance. Het Erasmus Medisch Centrum heeft, in het kader van het project Verantwoord declareren van NVZ, NFU en ZN, het afgelopen half jaar gewerkt aan de opzet voor een AO/IC die aansluit op de komst van Assurance. Hierbij is ook het ‘3 lines of defence-principe’ meegenomen, door integratie van de controle­functie, compliancefunctie en auditfunctie.

Gaan denken en controleren als één

Met hun nieuwe convenant hebben NVZ, NFU en ZN een belangrijke stap gezet naar meer efficiency en effectiviteit van de rechtmatigheidscontroles MSZ. Door de afspraken blijven ziekenhuizen en zorg­verzekeraars met elkaar in gesprek over regels en risico’s; is de basis gelegd voor een enkelvoudige controlelast door goed afgestemde controleprogramma’s; en maakt de introductie van assurance de verantwoording aan zorgverzekeraars transparanter.

Toch hebben vooral de zorgverzekeraars nog een grote stap te maken. Wil horizontaal toezicht echt gaan doorzetten en geaccepteerd worden, dat vergt dit dat zorgverzekeraars gaan denken en controleren als één, op basis van een gezamenlijke handhavingsregie en ondersteund door een sterke planningsfunctie. Alleen dan krijgt het instrument de waarde die we eraan willen verbinden: geen achterafcontroles; geen verstoring van het jaarrekeningtraject; en meer geld voor handen aan het bed. Gezamenlijk optreden is daarnaast ook nodig om ook het vertrouwen van de NZa te kunnen krijgen.

Ziekenhuizen belonen

Met horizontaal toezicht krijgen zorg­verzekeraars een instrument waarmee zij ziekenhuizen kunnen belonen die willen samenwerken en transparant zijn. Bij achterafcontroles bestaat deze mogelijkheid niet. Beloning lijkt op zijn plaats, omdat horizontaal toezicht leidt tot kortere doorlooptijden, lagere controlelasten en betere kwaliteit van bedrijfsprocessen. Beloning zou kunnen door bijvoorbeeld bij banken garant te staan voor het onderhandenwerk, of door gunstige inkoopvoorwaarden. Zo kunnen ziekenhuizen een deel van de gemaakte kosten terugverdienen.

Ook voor de ggz

Dit artikel gaat over de medisch specialistische zorg. Maar wat voor de MSZ geldt, geldt ook voor de ggz. Recent namen GGZ Nederland en de zorgverzekeraars al eerste stappen, door een gezamenlijke analyse van risico’s en formulering van controles, en zijn de discussie gestart over horizontaal toezicht. Omdat de ggz-dbc een beperkte informatiedrager is, die zorgverzekeraars weinig controle-informatie biedt, komt in de ggz een nog grotere druk te liggen op het invullen van eigen verantwoordelijkheid en van transparantie richting zorgverzekeraars.

Meer tijd vrij voor doelmatigheid

Wat horizontaal toezicht (nog) niet kan verbeteren, is de doelmatigheid van zorg. Thema’s zoals terechte levering en gepast gebruik zijn zorginhoudelijk van karakter, niet zorgadministratief. Wel denken wij dat optimalisatie van rechtmatigheids­controles, met behulp van horizontaal toezicht, meer tijd kan vrijmaken voor doelmatigheid en – indien mogelijk – voor de formele duiding hiervan. Onrechtmatige zorg onttrekt een hoeveelheid geld aan de zorg die hoe dan ook ontoelaatbaar is. Maar een aanpak van ondoelmatige zorg, raakt pas écht aan het serieuze geld.

Jaap Wijnker en Jitse Kok waren betrokken bij de totstandkoming van het ‘Convenant gezamenlijke aanpak controles medische specialistische zorg 2014 en later’. Jaap Wijnker is director bij de Marktgroep Gezondheidszorg van KPMG, en adviseert zorginstellingen over governance, risk & compliance. Jitse Kok is manager van de afdeling Materiële Controle bij Achmea. Samen met zijn collega’s stelt hij vast of gedeclareerde zorg ook echt is geleverd, en of die gezien de gezondheidssituatie van de verzekerde ook echt nodig was.