Case Ziekenhuis Medisch Centrum Noord

Excellence Consultancy
Bedrijfseconomie, Finance & Accounting, Hogeschool Utrecht

Docente: Asha Mechielsen

Cursuscode: MEBE-BIVRIS-13
Datum: 15 juni 2018
Klas: MBE-B3B

Mohammed el Yaakoubi 1686262

Erfan Nawabi 1661466
Mohamed el Abdouni 1679029
Niels Oosterling 1685512
Ahmadreshad Mullakheel 1690603
Inhoudsopgave

Opdracht 1.....................................................................................................................3
1.1 Typologie van Medisch Centrum Noord..............................................................3
1.2 Artikel COSO-ERM model zorgbranche..............................................................4

Opdracht 2  Risicoanalyse..........................................................................................5
2.1 Internal Environment*..........................................................................................5
2.2 Objective Setting..................................................................................................6
2.3 Risicoanalyse.......................................................................................................6
2.4 Information en communication...........................................................................10
2.5 Monitoring..........................................................................................................11

Opdracht 3  Advies....................................................................................................12

Opdracht 4 Excel.......................................................................................................14

Project BIVRIS 15 juni 2018 2

Literatuurlijst................................................................................................................17
Opdracht 1

1.1 Typologie van Medisch Centrum Noord

De core business van een ziekenhuis is dat het diensten levert, namelijk zorg. Medisch
Centrum Noord biedt een concentratie van voorzieningen aan patiënten ten behoeve van
onderzoek, behandeling en verpleging. Volgens Starreveld heeft een ziekenhuis als
typologie dienstverlening met specifieke reservering van ruimten, net zoals een hotel
bijvoorbeeld (Bast & Nijland, 2016). Bij een hotel kan bijvoorbeeld de volledigheid van de
opbrengsten gecontroleerd worden door de lege kamers te tellen iedere avond. Bij een
ziekenhuis werkt het echter niet zo. Een patiënt betaalt namelijk niet voor een kamer, maar
voor de behandeling die hij krijgt. De verschillende behandelingen en activiteiten worden niet
apart in rekening gebracht, maar worden vastgelegd in een DBC. Het heeft dus geen zin om
in het kader van volledigheid van de opbrengsten alle lege behandelkamers te tellen iedere
avond.
Een ziekenhuis heeft wel een goederenbeweging, namelijk de patiënten die opgenomen,
Project BIVRIS 15 juni 2018 3
behandeld en daarna ontslagen worden, maar er vindt geen inkoop en verkoop plaats van
deze goederen. Hierdoor is er geen directe relatie men in- en uitgaande geldstromen. Om
toch de volledigheid van de opbrengsten te kunnen verantwoorden, zijn interne registraties
van ontvangen, behandelde en ontslagen patiënten noodzakelijk. Er dient een
functiescheiding te worden toegepast tussen deze drie stappen. De afdeling facturatie kan
dan met behulp van de geregistreerde DBC de factuur doorsturen naar de
verzekeringsmaatschappij van de patiënt (Nienhuis-de Jonge, 2005). Het ziekenhuis MCN
heeft dus als typologie dienstverlening met doorstroming van goederen van derden. Dit is de
hoofdtypologie van het ziekenhuis MCN.
Anno 2018 fungeert een ziekenhuis tevens als kenniscentrum of als opleidingsinstituut.
Geneeskunde studenten voeren voornamelijk het praktische gedeelte van hun studie uit in
het ziekenhuis. Daarnaast bieden ziekenhuizen zelf ook opleidingen aan, zoals het UMC.
Deze heeft een scala aan opleidingen en trainingen (UMC Utrecht, n.D.).
Hiernaast is het vaak zo dat in ziekenhuizen ook restaurants en andere winkeltjes, zoals een
bloemenwinkel, aanwezig zijn. Mensen die hun familielid of vriend komen bezoeken en nog
geen bosje bloemen hebben, kunnen dan nog snel een mooi boeket halen. Dit is een extra
service die het ziekenhuis biedt en tegelijkertijd resulteert dit in een hogere omzet. Een
restaurant is weliswaar ook een dienstverlenende organisatie, maar dan wel met een
doorstroming van goederen die eigendom zijn van het bedrijf. De dienst is het opnemen van
de bestelling, het brengen van het kopje koffie of gerecht en het afwassen van het servies.
De typologie van een bloemenzaak is een handelsonderneming die voornamelijk tegen
contante betaling levert.
Kortom, het ziekenhuis Medisch Centrum Noord is een dienstverlenende organisatie met
doorstroming van goederen van derden. Dit betreft dus de hoofdtypologie. Daarnaast heeft
het ziekenhuis de typologie van opleidingsinstituut. Ten slot zijn er binnen het ziekenhuis ook
winkeltjes aanwezig, die een dienstverlenend karakter hebben (restaurant) en ook de
typologie handelsonderneming (bloemenzaak). Deze winkeltjes kunnen tevens voorkomen
als shop-in-shopconcept, zoals de AH To Go in het AMC (AMC, n.D.).

1.2 Artikel COSO-ERM model zorgbranche

Er zijn verschillende beursschandalen voor nodig geweest, maar nu staat ‘in control’ zijn voor
ondernemingen hoog in het vaandel. Het is een manier om risico’s te analyseren en te
beheersen, maar ook om de stakeholders een stukje zekerheid te bieden. Toch blijkt dat een
‘in control’ verklaring van verschillende bedrijven veel diversiteit laat zien. Dat komt doordat
iedereen een andere definitie van ‘in control zijn’ kan hebben. Daarom is het gebruiken van
een standaard framework belangrijk. Dit om het toch te kunnen toetsen en te vergelijken met
andere bedrijven. Een internationaal geaccepteerd model voor interne beheersing is
COSO[ CITATION Tji06 \l 1043 ].

Het COSO-ERM model is verreweg het meest gebruikte raamwerk voor het beoordelen en
inrichten van risicomanagement. Het identificeert de relaties tussen de ondernemingsrisico’s
en het interne beheerssysteem [ CITATION Hou15 \l 1043 ].

Verder stelt COSO dat een beheersing- en controlesysteem uit acht elementen bestaat.
Project
Deze BIVRIS
elementen zijn afgeleid van de wijze waarop het management een 15 juni 2018
onderneming 4
bestuurt en zijn derhalve verbonden met het managementproces.

Deze acht elementen van een beheerssysteem zijn:

1. Internal Environment: houding en gedrag van de interne organisatie en de mate
waarin risico’s worden genomen;
2. Objective setting: Formuleren van doelstellingen;
3. Event Identification: Identificeren van risico’s, interne en externe gebeurtenissen
die van invloed zijn op het behalen van de doelstellingen identificeren;
4. Risk Assesment: Risico’s analyseren in termen van kans en impact;
5. Risk respons: (Reactie op risico’s) De risico’s vermijden, aanvaarden, overdragen
of beheersen;
6. Control Activities: beheersmaatregelen worden genomen om de risico’s te
verminderen;
7. Information and Communication: relevante informatie wordt geïdentificeerd,
opgeslagen en gecommuniceerd;
8. Monitoring: de effectiviteit van Enterprise riskmanagement wordt bewaakt en zo
nodig aangepast. [ CITATION Hou15 \l 1043 ]

In het laatste decennium zijn er veel veranderingen in de Nederlandse zorgsector

doorgevoerd. Veel van deze veranderingen behelzen dat zorgverleners zoals ziekenhuizen
zich uitgebreider moeten verantwoorden voor de kwaliteit en kosten die ze maken in de
gezondheidszorg [ CITATION Mar18 \l 1043 ]. Deze snel veranderende omgeving brengt ook
een hoop nieuwe risico’s met zich mee. Denk daarbij aan technologische en medische
ontwikkelingen, maar ook de terugtrekkende overheid en de veranderende wetgeving en
klantvraag brengen risico’s met zich mee. Het is voor Medisch Centrum Noord en de
risicobranche in het algemeen daarom zeker belangrijk om gebruik te maken van het COSO-
ERM model, zodat risico’s beheerst kunnen worden [CITATION Anj \l 1043 ][ CITATION Hen07 \l
1043 ].

Opdracht 2  Risicoanalyse

2.1 Internal Environment*

 Integriteit en waarden: Geen informatie betreffende de missie en visie van Medisch
Centrum Noord. Hoe wordt de missie en visie binnen MCN gecommuniceerd met
werknemers?;
 Beloningsstructuur: Worden er variabele beloningen toegekend aan de directie of
raad van Toezicht? Zo ja? Is dit verstandig in verband met de publieke opinie?;
 Voorbeeldgedrag management: Wat is de tone-at-the top van het management?;
 Opleidingen en competenties: Verpleegkundige zijn gediplomeerd en goed
opgeleid of werken onder supervisie indien zij nog in opleiding zijn. Daarnaast
worden zij regelmatig bijgeschoold;
 Kwaliteit toezicht Raad van Toezicht (professionalisme RvT): Er zijn informele en
familiebanden tussen bestuursleden en commissariaten. Hoe vaak vraagt de RvT
over de gang van zaken? Heeft zij een kritisch houding naar de directie? Is er
Project BIVRIS 15 juni 2018 5
diversiteit in de samenstelling van de RvT?;
 Manier van leidinggeven (Risk appetite): Afdelingen voeren afdelingscontroleplan
uit en rapporteren periodiek. Hoe vaak wordt er gerapporteerd en aan wie?;
 Delegatie van bevoegdheden en verantwoordelijkheden: De directie beheert
enkele afdelingen zoals eerste hulp, IT-afdeling etc. Geen informatie betreffende
leidinggevende van deze afdelingen. Zijn er afdelingshoofden die bevoegdheden
hebben om besluiten te nemen?;
 Organisatiestructuur (governancestructuur): Er is sprake van een driehoofdige
directie die bestaat uit: geneesheer-directeur, financieel directeur en directeur-
verpleging. Er is een Raad van Toezicht die bestaat uit drie personen;
 Manier van personeelszorg: Hoe wordt er bekwaam en professioneel personeel
geworven bij Medisch Centrum Noord?;
 Automatisering: Er is een maatwerk ERP-systeem. Deze server staat in een
afgesloten ruimte;
 Governance:
- Raad van Bestuur is verantwoordelijk voor beheersing van risico’s en legt
verantwoording af aan de RvT;
- Afdelingen beheersen afdelingsspecifieke risico’s;
- Afdelingen voeren afdelingscontroleplan uit en rapporteren periodiek.
- Afdeling Internal Audit ondersteunt bij opstellen controleplan.
- Externe accountant steunt in hoge mate op de werkzaamheden van de afdeling
Internal Audit en voert weinig eigen controles uit.
- Er is geen sprake van een aandeelhouder bij Medisch Centrum Noord. De
Nederlandse Zorgautoriteit (Nza) fungeert bij wijze als de ‘principal’ (aandeelhouder)
van het ziekenhuis. Hoe vaak moet de RvT verantwoording afleggen aan de Nza?
 *Ontbrekende informatie wordt aangevuld middels vragen aan het management van Medisch
Centrum Noord.

2.2 Objective Setting

Conform de COSO-ERM Framework kunnen de volgende doelstellingen worden

geformuleerd:
1. Strategische doelstellingen: Aanbieden van voorzieningen voor reguliere
patiëntenzorg ten behoeve van onderzoek, behandeling en verpleging
2. Effectiviteit en efficiency van de bedrijfsprocessen: Waarborgen van relevante en
betrouwbare informatie geproduceerd in het ERP-systeem
3. Betrouwbaarheid van de financiële verslaggeving: Raad van bestuur en Raad van
toezicht kunnen waarheidsgetrouw verantwoording afleggen over financiële
verslaggeving
4. Houden aan wet- en regelgeving: Naleving van de protocollen en voorschriften van
de Nederlandse Zorgautoriteit

2.3 Risicoanalyse
Doel conform COSO-ERM Risico (R) Risk Respons Control activity (CA)
assessment (RE)
(kans *
impact)
(RA)
Project BIVRIS 15 juni 2018 6
1. Betrouwbaarheid Zorgactiviteiten worden op Kans: Hoog Maatregele Controle technische
financiële verkeerde diagnose n treffen functiescheiding:
verslaggeving behandelcombinatie (DBC) Impact: Artsen voeren activiteiten
verantwoord (onjuiste Gemiddeld uit
omzet verantwoording). Afdeling Financiële zaken
en administratie autoriseert
en declareert bedrag bij
zorgverzekeraar

IT Controles:
Periodieke IT-controles in
het centrale
computersysteem. Hierbij
kan worden gecontroleerd
of juiste koppelingen zijn
tussen zorgactiviteiten en
DBC’s.

Verbandscontrole
Vergelijken van ingeplande,
uitgevoerde en
gefactureerde
zorgactiviteiten met
administratie.

2. Betrouwbaarheid DBC-zorgproducten Kans: Hoog Maatregele IT Controles:

financiële worden gekoppeld aan n treffen Invoercontroles uitvoeren in
verslaggeving verkeerde standaardprijzen Impact: het ERP-softwarepakket
 van DBC’s (onjuiste
omzetverantwoording).
3. Effectiviteit en ERP-systeem valt uit.
efficiëntie van
bedrijfsprocessen
ERP-systeem raakt
beschadigd door brand-
en/of waterschade, uitval
stroomvoorziening.
Kwijtraken en misbruik van
data en informatie van
patiënten en ziekenhuis
(betrouwbaarheid
informatie).
Project BIVRIS
4. Houden aan wet- en Het risico dat de
regelgeving regelingen, betreffende
prestaties en tarieven voor
medisch specialistische
zorg, vastgesteld door de
Nederlandse Zorgautoriteit
(NZA) worden overtreden.
Hoog met focus op
tarievenverantwoording. In
het ERP-systeem kan
worden gecontroleerd of
het tarief (salaris specialist
+ kosten ziekenhuis) van
DBC conform afspraak met
zorgverzekeraar is.
Kans: Maatregele Fysieke beveiliging:
Laag n treffen
- Firewall, virusscan, back-
Impact: up
Hoog - Afgesloten serverruimte
brand en waterveilig
maken.
- Noodstroomvoorziening
ziekenhuis
- Back-up van data en
informatie
Controle technische
functiescheiding:
- CTFS
beheer/ontwikkeling en
gebruikers IT
- Toegangsbeveiliging
gerelateerd aan
verantwoordelijkheden en
bevoegdheden (inlognaam,
personeelsnummer
wachtwoord).
15 juni 2018 7
Kans: Maatregele Interne controle:
Laag n treffen Afdeling Compliance
oprichten die zich gaat
Impact: bezighouden met de
Hoog naleving van de regels
betreffende de NZa en
overige regels betreffende
de zorgsector in het
ziekenhuis.
5. Betrouwbaarheid van
financiële verslaggeving
6. Betrouwbaarheid van
financiële verslaggeving
Project BIVRIS
7. Effectiviteit en efficiëntie
van bedrijfsprocessen
8. Effectiviteit en efficiëntie
van bedrijfsprocessen
9. Effectiviteit en efficiëntie
van bedrijfsprocessen
10. Bereiken van strategische
doelstellingen
Het risico dat lonen en Kans: Maatregele Controle technische
salarissen in de winst- en Hoog n treffen. functiescheiding: CTFS
verliesrekening onjuist of tussen planning, uitvoering,
onvolledig worden Impact: autorisatie en administratie
verantwoord. Uren die niet Laag van uren.
in aanmerking komen voor
een toeslag, kunnen wel Application Control:
zo worden geregistreerd Creëren van koppeling van
(betrouwbaarheid van toeslag aan uren die in
informatie). aanmerking komen voor
toeslag (avond- en
nachtdienst en weekenden en
feestdagen)
Verbandscontrole:
Aantal geplande uren x tarief
(gebudgetteerd) t.o.v.
uitbetaald bedrag (werkelijk)
Interne controle:
Afdeling controlling en
administratie controleert en
autoriseert juistheid van
toeslagen aan de hand van
de geplande uren en
geautoriseerde uren
Het risico dat het Kans: Maatregele Prestatie-indicatoren
servicebureau de Laag n treffen Invoeren van kwaliteitseisen
gegevensverwerking middels
15 Service Level
juni 2018 8
inzake salarissen niet Impact: Agreements.
conform afspraken of Gemiddeld
gewenste kwaliteit Evalueren van geleverde
uitvoert. prestaties en resultaten van
het servicebureau met KPI’s.
Het risico dat medische Kans: Maatregele Controle technische
verrichtingen en Laag n treffen functiescheiding
bijzonderheden van CTFS tussen uitvoering,
patiënten niet worden Impact: registratie en autorisatie
geregistreerd. Laag verrichtingen
Invoercontroles
Invoercontroles in het
systeem
Het risico dat het Kans: Maatregele Aanbieden van opleidingen
kennisniveau van het Laag n treffen en cursussen over
medisch personeel niet onderwerpen die onderhevig
‘up-to-date is’. Impact: zijn aan verandering en
Hoog wetgeving
Het risico dat de Kans: Maatregele Monitoring
opleidingen voor Laag n treffen Jaarlijks evalueren van
aanstaande artsen en opleidingen.
verpleegkundigen niet ‘up- Impact:
to-date’ zijn. Hoog
Het risico dat afdeling Kans: Maatregele Controle technische
Internal Audit risico’s en Hoog n treffen functiescheiding
beheersingsmaatregelen

11. Bereiken van strategische
doelstellingen
12. Houden en wet- en
regelgeving
13. Bereiken van strategische
Project BIVRIS
doelstellingen
14. Effectiviteit en efficiëntie
van bedrijfsprocessen
15. Houden aan wet- en
regelgeving
16. Bereiken van strategische
doelstellingen
minder goed Afdeling Internal Audit stelt
inventariseert/controleert. Impact: controle jaarplan op. Afdeling
Laag Internal Audit laat eigen
controlewerkzaamheden door
andere afdeling uitvoeren.
Het risico dat de externe Kans: Maatregele Controle technische
accountant door minimale Hoog n treffen functiescheiding
controles te veel Afdeling Internal Audit de
blootstelling aan risico’s Impact: controles op handelingen van
heeft. Laag de externe accountant laten
uitvoeren. Externe accountant
verricht
Het risico dat patiënten Kans: Verzekeren/ Verzekeren van deze
het ziekenhuis Gemiddeld Maatregele gevolgen.
aansprakelijk stellen voor n treffen
gevolgen van medische Impact: Prestatie-indicator
advies en behandeling. Hoog Het stellen van een KPI’s
betreffende de tevredenheid
van patiënten over hun
behandeling en verblijf in het
ziekenhuis.
Evalueren
Het evalueren van het aantal
klachten van patiënten na
diagnose en behandeling met
gestelde KPI’s.
Het risico dat de medische Kans: Maatregele Prestatie-indicatoren
specialisten niet de zorg Gemiddeld n treffen 15 juni
Het stellen 2018
van kwaliteitseisen 9
naar gewenste kwaliteit en prestatie-indicatoren
levert. Impact:
Hoog Evalueren van KPI’s met
werkelijk resultaat
Het risico dat er een Kans: Maatregele Periodieke controles op het
verkeerde patiëntmutatie Hoog n treffen aantal patiënten mutaties.
plaatsvindt, waardoor de
patiënt op de verkeerde Impact: Verpleegafdelingen extra
verpleegafdeling terecht Laag controles laten uitvoeren
komt of een verkeerde betreffende de
behandeling ondergaat. patiëntgegevens en
voorbehandelingen.
Het risico dat vastgestelde Kans: Maatregele Interne controle
protocollen en richtlijnen Hoog n treffen De afdeling Compliance
voor medische intern laten toezien op de
behandelingen niet Impact: naleving van de protocollen
worden nageleefd Laag en richtlijnen.
Periodieke controles op de
naleving van de regelgeving.
Het risico dat er onzakelijk Kans: Maatregele De raad van Toezicht laten
wordt gehandeld tussen Laag n treffen toezien op het dagelijkse
bestuursleden en bestuur van de directieleden.
directieleden door hun Impact:
informele relatie. Hoog De raad van Toezicht gepaste
consequenties laten opstellen
(bijv. ontslag) indien voordoen
 van risico.

17. Bereiken van strategische Het risico dat het Kans: Maatregele Intern communiceren van het
doelstellingen Enterprise Risk Hoog n treffen ERM-proces en controle op
Management (ERM) niet naleving ervan.
wordt gecommuniceerd en Impact:
nageleefd door specifieke Gemiddeld
afdelingen. Afdelingen
beheren namelijk zelf
afdelingsspecifieke
risico’s.
18. Bereiken van strategische Het risico dat het Kans: Maatregele Monitoring
doelstellingen Enterprise Risk Laag n treffen Jaarlijks evalueren van
Management door risicobeheersingssysteem
veranderende Impact:
omstandigheden geen Hoog
effectieve bijdrage meer
levert aan de beheersing
van risico’s
(betrouwbaarheid van
informatie).

Toelichting

De Raad van Bestuur heeft Excellence Consultancy de opdracht gegeven een risicoanalyse
uit te voeren op het ziekenhuis Medisch Centrum Noord (MCN). Middels haar kennis en
expertise heeft Excellence Consultancy de volgende risicoanalyse weten op 15
Project BIVRIS te juni
stellen.
2018In 10
deze risicoanalyse is er een focus gelegd op de ‘grote’ risico’s.

Doel conform COSO-ERM Risico (R) Risk Respons Control activity (CA)
assessment (RE)
(kans *
impact)
(RA)
Effectiviteit en efficiëntie van Het risico dat patiënten geen Kans: Accepteer Interne controle
bedrijfsprocessen. contact kunnen opnemen Laag Controleren van technisch
met de servicebalie. apparatuur
Benodigde hulp voor Impact:
medische problemen en zorg Laag
kan niet worden gegeven.
Bij deze risicoanalyse zijn de risico’s in kaart gebracht die organisatie breed een hoge mate
van impact hebben. Bij deze analyse is er verondersteld dat de minder grote
afdelingsspecifieke risico’s al worden beheerd door de afdelingen. Een voorbeeld van deze
risico’s:

Bovenstaande risicoanalyse is een voorbeeld van het een talrijk aantal risico’s die geen
significante impact hebben op de organisatie. Bij deze risicoanalyse is er dan ook vanuit
gegaan dat de specifieke afdeling, waar de servicebalie onder valt, al deze risico’s heeft
meegenomen in haar risicobeheerssytemen. Immers, afdelingen zelf beheren ook specifieke
risico’s.
2.4 Information en communication
Ten behoeve van het functioneren van een goed beheersingssysteem dient de informatie en
communicatie binnen MCN periodiek aan het management te worden verschaft. Hieronder
worden een aantal voorbeelden van informatie die het management nodig zou kunnen
hebben bij haar beoordeling.
Cijferbeoordelingen:
 Personeelskosten met gedetailleerde rapportage van aantal reguliere gewerkte uren
en uren die in aanmerking komen voor een toeslag
 Bezettingsgraad van kamers en bedden
Ratio’s:

 Gemiddelde behandelingstijd per specifieke behandeling

Niet-financiële informatie:
 Aantal klachten van patiënten
 Aantal afgeronde opleidingen en cursussen van personeelsleden

2.5 Monitoring
Waarborgen van effectiviteit beheersingssysteem middels:

 Ongoing monitoring: dagelijks activiteiten waarmee toezicht wordt gehouden op de

effectieve werking van het interne beheersingssysteem. Een voorbeeld hiervan voor
MCN is het aantal klachten van patiënten betreffende de kwaliteit van de zorg.
ProjectHiermee
BIVRIS kan worden vastgesteld dat de beheersingssystemen niet effectief
15 juni
zijn.2018 11
 Seperate evaluations: vergelijken van resultaten met vooraf vastgestelde KPI’s van
Medisch Centrum Noord. Indien er een afwijking is kan worden gekeken of de
handelingen conform vastgestelde control activities zijn verricht
Opdracht 3  Advies

Excellence Consultancy
Daltonlaan 500
1221 AV Utrecht

Utrecht, 23 mei 2018

Ziekenhuis Medisch Centrum Noord

t.a.v. Afdeling Krediet
Arnhemsestraat 10
1102 MG Amersfoort

Betreft: Interne maatregelen

Geachte Raad van Bestuur,
In het kader van de diverse problemen waar het ziekenhuis Medisch Centrum Noord mee
worstelt, verstrekt Excellence Consultancy de Raad van Bestuur een adviserende memo.
In het onderstaande wordt uiteengezet welke maatregelen ziekenhuis Medisch Centrum
Project
Noord BIVRIS
dient te treffen om de continuïteit van de systemen te waarborgen, de 15 juni 2018 12
betrouwbaarheid van de informatie te vergroten en privacygevoelige gegevens van de
patiënt veilig te stellen.
Waarborgen continuïteit geautomatiseerd systeem
Momenteel wordt er binnen het ziekenhuis Medisch Centrum Noord gebruik gemaakt van
een geautomatiseerd ERP-systeem. Dit systeem registreert de gegevens van de cliënten, de
contracten van de zorgverzekeraars, de gewerkte uren en de zorg die geleverd is. Aan de
hand van deze gegevens berekent het systeem welk DBC-zorgproduct het ziekenhuis bij de
verzekeraar kan declareren.
Om de continuïteit van het ERP-systeem te waarborgen en de programma’s zo optimaal en
betrouwbaar te laten werken, zullen er meerdere General IT en Application Controls
uitgevoerd moeten worden door de directie en het personeel. Bij General IT Controls kan
men denken aan fysieke beveiliging. Om de server water- en brandveilig te maken, is het al
in een afgesloten ruimte geplaatst. Tevens zorgt een firewall en een virusscan voor extra
interne beveiliging van de server. Medisch Centrum Noord zou er ook goed aan doen om
jaarlijks een data recovery uit te laten voeren en een kopie te laten maken van de kostbare
gegevens.
Wat betreft Application Controls moet er controle technische functiescheiding (CTF) worden
toegepast binnen het ERP-systeem. De urenregistratie wordt op een onjuiste manier
verantwoord. Hierdoor stromen er meerdere klachten binnen van de personeelsleden. Door
CTF toe te passen, worden de taken binnen het ziekenhuis (bijv. urenregistratie) volgens de
juiste autorisatie toegewezen aan de daarvoor bevoegde persoon. Andere controles zijn
bijvoorbeeld dat alle (verplichte) velden zijn ingevoerd door de cliënt, dat een veld geen
negatief getal bevat en dat de datum goed is ingevoerd.

Betrouwbaarheid informatie
Tot op heden worstelt Ziekenhuis Medisch Centrum Noord met de integriteit van haar
informatie. Dit probleem doet zich voornamelijk voor omtrent de facturatie voor de patiënt en
de registratie van de gewerkte uren van de personeelsleden.
Al enige tijd heeft het ziekenhuis te maken met klachten van gedupeerde patiënten. Deze
patiënten kregen te maken met in rekening gebrachte behandelingen die niet aan hen
verschaft waren. De patiënt werd niet aan de juiste verschafte behandeling gekoppeld. Met
als gevolg dat behandelingen niet of onterecht werden uitgekeerd door de zorgverzekeraar.
Dit probleem zal zich in de toekomst niet meer voordoen door de implementatie van een
extra fysieke 4-ogen controle. Bij deze 4-ogen controle controleert de behandelend arts
samen met de patiënt de in het systeem geregistreerde behandelingen. Behandelingen die
niet aan de desbetreffende patiënt verstrekt zijn, kunnen dan nog geëlimineerd worden.
Daarnaast heerst er een hoop onrust bij de personeelsleden. De registratie van de gewerkte
uren verloopt niet zoals gewenst. Hierdoor ontvangt het servicebureau niet de juiste
informatie, waardoor een onjuist aantal uren wordt uitbetaald. Voor de toekomst adviseert
Excellence Consultancy om te werk te gaan met een kloksysteem. Hierbij klokt de
medewerker in en uit, met een aan het aan de medewerkers gekoppeld personeelspasje.
Project BIVRIS 15 juni 2018 13
Het urenregistratiesysteem registreert vervolgens de gewerkte uren. Deze gewerkte uren
worden d.m.v. een application control vergeleken met de in het rooster ingeplande uren.
Indien de uren niet volledig overeenkomen, krijgt de manager hier een melding van. De
manager dient dit verschil te controleren, eventueel te wijzigen en te accepteren, zodat het
servicebureau de juiste uren ontvangt en kan uitbetalen.
Om de betrouwbaarheid van de informatie te vergoten en de risico’s te reduceren, adviseert
Excellence Consultancy als laatste om een controle technische functiescheiding (CTF) te
implementeren. Door deze CTF zijn de medewerkers enkel bevoegd om informatie te
raadplegen, aan te vullen of te wijzigen indien de toegekende autorisaties dit toelaten.
Privacy – bescherming cliënt specifieke informatie
Voor het vertrouwen van de cliënt is het belangrijk dat de gegevens van de cliënt zo goed
mogelijk beschermd zijn. Hierom heeft Medisch Centrum Noord een verantwoordingsplicht.
De directie moet ieder moment kunnen aantonen dat er technische en organisatorische
maatregelen zijn genomen om de gegevens van de cliënt te beschermen. Dit houdt in dat:
- de gegevens niet langer worden bewaard dan nodig is;
- de toegang van de medewerkers wordt beperkt tot de persoonsgegevens;
- er niet meer cliëntgegevens worden verwerkt dan noodzakelijk voor het doel van de
verwerking.

Volgens de Algemene verordening gegevensbescherming (AVG) mag Medisch Centrum

Noord zonder enige obstakels de cliëntgegevens blijven verstrekken aan zorgverzekeraars
voor de declaratie van zorgkosten, uitvoeren van formele en materiële controle en het
aanvragen van machtigingen.
Tevens moet Medisch Centrum Noord een register opstellen wanneer zij cliëntgegevens
verwerkt:
- waarvan de verwerking niet incidenteel is;
- die onder de categorie bijzondere persoonsgegevens vallen;
- die een vrijwel hoog risico heeft voor de vrijheden en rechten van de personen van wie
zij de cliëntgegevens verwerkt.

Opdracht 4 Excel
Onderdeel A

Een welbekende vraag bij het verrichten van onderzoek is: “Hoe groot moet ik mijn
steekproef maken om nauwkeurig en betrouwbaar te zijn?” Op het moment dat er namelijk
een steekproef wordt afgenomen waarbij 40% ja antwoordt, wil dat nog niet zeggen dat in de
algehele populatie 40% met ja zou antwoorden. Hoe ver dat percentage afwijkt hangt dus af
van de grootte van de steekproef.

Voor het bepalen van de steekproefomvang kan gebruik gemaakt worden van een formule.
De formule geeft aan hoe groot de steekproefomvang minimaal moet zijn, rekening houdend
met een bepaalde betrouwbaarheidsfactor en een vereiste maximale schattingsfout. Dit
resulteert in het totaal aantal vereiste respondenten om tot een betrouwbaar resultaat te
komen.

De formule luidt als volgt:

Project BIVRIS 15 juni 2018 14

 n = steekproefomvang;
 z = z-score horende bij de vereiste betrouwbaarheid (=standaardafwijking);
 p = steekproeffractie;
 e = de maximale schattingsfout (= halve breedte van het interval).

Als standaardafwijking (z) wordt 1,96 aangehouden. Dit geeft een betrouwbaarheid van 95%
aan, wat een vrij algemeen geldende norm is in een dergelijk onderzoek.
Verder is een streekproeffractie van 0,45 aangehouden in de formule, dit omdat de
daadwerkelijke steekproefomvang reeds bekend is en op deze manier een zo hoog mogelijk
uitkomst wordt verkregen. Als maximale schattingsfout wordt een waarde van 0,5
gehanteerd. Er is dus een kleine foutmarge, want zoals eerder vermeld is er een
betrouwbaarheid van 95%.

Het invullen van de bovenstaande gegevens geeft de volgende formule:

Aangezien de hoeveelheid respondenten in werkelijkheid groter is dan de minimale

steekproefomvang, mag er op basis van deze bevindingen geconcludeerd worden dat de
steekproef betrouwbaar is. Het minimale aan respondenten komt uit op 381, maar in deze
steekproef doen er zo’n 400 respondenten mee.

Onderdeel B
Bij deze analyse zal er een focus worden gelegd op de controle van de naleving van de
volgende COSO-ERM doelstelling:

 Betrouwbaarheid financiële verslaggeving

Ziekenhuis Medisch Centrum Noord heeft gedurende het eerste kwartaal 55.852
behandelingen verricht. Iedere behandeling heeft een bepaald tarief die uiteindelijk ook moet
worden gefactureerd naar ofwel de patiënt of zijn/haar zorgverzekeringsmaatschappij. Indien
er zich een complicatie voordoet bij het factureren of bij de administratie, kunnen er bepaalde
behandelingen met verkeerde tarieven worden gekoppeld. Of in het ergste geval kan het
voorkomen dat bepaalde behandelingen niet worden gefactureerd.
Uit de risicoanalyse blijkt dat gedurende het eerste kwartaal 4.167 verrichte behandelingen
niet zijn gefactureerd. Hieruit blijkt dat de betrouwbaarheid en de volledigheid van de
financiële verslaggeving van Medisch Centrum Noord niet op orde is.
Bij deze niet gefactureerde behandelingen is op te merken dat een groot deel van de
behandelingen ook niet wordt verricht door het personeel met de vereiste specialisatie. Ook
is te zien dat een aantal personeelsleden meerdere specialisaties verrichten.
Het is maar de vraag in hoeverre er een causaal verband bestaat tussen de niet
gefactureerde behandelingen en de onjuist gespecialiseerde werknemers die de
behandelingen verrichten. Iedere werknemer verricht een behandeling op basis van zijn of
haar specialisatie. Deze specialisatie is bewerkstelligd door de opleiding van de betrokken
personeelsleden. Het kan namelijk zijn dat door het laten verrichten van een behandeling
door een personeelslid met een andere specialisatie, facturen foutief of vrijwel niet worden
gefactureerd. Uiteindelijk is dit een groot risico omdat ook te zien is dat alleen in het eerste
kwartaal al 4.167 facturen niet worden gefactureerd. De directie kan dus niet
Project BIVRIS 15 juni 2018 15
waarheidsgetrouw verklaren dat het financiële jaarverslag van Medisch Centrum Noord
representatief is voor haar operationeel boekjaar en daarmee haar stakeholders niet van
betrouwbare informatie voorzien.

Onderdeel C
Uit de analyse blijkt dat ziekenhuis Medisch Centrum Noord 55.852 behandelingen heeft
uitgevoerd. Iedere specifieke behandeling vereist een specifieke specialisatie van het
personeelslid die de behandeling uitvoert. Echter, de analyse heeft uitgewezen dat 43.505
van de 55.852 behandelingen is uitgevoerd door een personeelslid dat niet over de juiste
specialisatie beschikte binnen de gezondheidszorg.

Rijlabels Aantal van Gekwalificeerd/Niet gekwalificeerd

Gekwalificeerd 12.347
Niet
gekwalificeerd 43.505
Eindtotaal 55.852

Het laten verrichten van behandelingen door personeelsleden die niet over de juiste
kwalificatie beschikken, brengt een aantal risico’s met zich mee. Een van deze risico’s is dat
het personeel door het ontbreken van voldoende kennis, de behandeling niet naar wens
verricht. Hierdoor ontstaat de kans dat het revalidatieproces niet naar wens verloopt. Of in
het ergste geval dat de behandeling helemaal niet aan slaat. Daarnaast is het een grote
schande indien naar buiten treedt dat binnen het ziekenhuis, behandelingen worden
uitgevoerd door personeelsleden die daar niet bevoegd voor zijn. Dit schaadt het vertrouwen
van de patiënten. Met als gevolg dat zij zich niet meer laten behandelen in het ziekenhuis
Medisch Centrum Noord.

Onderdeel D
In dit onderdeel is er onderzocht of er een trendlijn te ontdekken is in het soort specialisatie
en de tijd. Hierbij is de tijd als X-variabele (onafhankelijk) genomen en het soort specialisatie
als Y-variabele (afhankelijk). Er zijn een aantal spreidingsdiagrammen per specialisatie (2,3
en 4) gemaakt om te deze trend te analyseren. Deze diagrammen zijn verwerkt in het Excel
bestand ‘’specialisatie’’.
Er is ervoor gekozen om de spreidingsdiagrammen per maand te maken en op basis van die
cijfers de trendlijn, richtingscoëfficiënt en determinatiecoëfficiënt te bepalen. Dit om een
overzichtelijker en betrouwbaarder beeld te krijgen van de trend.
Uit deze spreidingsdiagrammen is duidelijk te zien dat er wel degelijk een verband is tussen
het soort specialisatie en de tijd. De trendlijn vertoont in iedere diagram een dalende lijn. De
richtingscoëfficiënt geeft de richting en de steilheid van de trendlijn aan. Tevens is deze
iedere keer negatief: als X groter wordt, wordt Y kleiner. Dus de medewerkers die hoger
gespecialiseerd zijn, voeren minder behandelingen uit.
Januari Januari Januari Februari Februari Februari Maart Maart Maart
Project BIVRISspec 2 spec 3 spec 4 spec 2 spec 3 spec 4 15 juni 22018 spec 3
spec 16
spec
Richtings- -1229,5x -707,5x -180x -1116x -634,5x -192,5x -1249,5x -782x -191,5
coëfficiënt
R2 0,9966 0,9994 1 0,9998 0,999 0,9996 1 1 0,994

Verder zegt de determinatiecoëfficiënt (R2) ook iets over het verband tussen de twee
gekozen variabele. Hoe hoger de R2, hoe sterker de correlatie in lineair verband. Zoals in de
tabel hierboven is weergegeven, is goed te zien dat er bij iedere spreidingsdiagram een R2
hoger dan 0,9 geconstateerd is. Dit betekent dat er een zeer sterke correlatie aanwezig is.
Hoe dichter de R2 bij de 1 ligt, des te betrouwbaarder zijn de voorspellingen bij het
interpoleren en extrapoleren.
De uitkomst van de determinatiecoëfficiënt geeft weer hoeveel procent van de trendlijn te
verklaren is door de X-variabele. In de eerste kolom is dus 99,66% te verklaren door de type
specialisatie. Er is een grote kans dat deze trend zich op deze manier voortzet. Het risico
hiervan is dat er steeds meer behandelingen worden uitgevoerd door personeelsleden met
een lagere specialisatie. Dit zorgt er dus voor dat deze personeelsleden relatief gezien
langer de tijd nemen voor een behandeling en daardoor meer kamers langer bezet zijn. Een
manier om dit aan te pakken is dat er meer behandelingen worden uitgevoerd door
personeelsleden met een hogere specialisatie, zodat er minder tijd wordt verbruikt aan een
behandeling. Zo kunnen er meerdere patiënten worden behandeld in een kortere tijd.
Literatuurlijst
A.C.J. Bast & R. Nijland (2016). Grondslagen AO Deel B Processen en systemen (22e druk).
Groningen/Houten: Noordhoff Uitgevers.
AMC (n.D.). Winkels en horeca. Geraadpleegd op 1 mei 2018 op https://www.amc.nl/web/ik-
heb-een-afspraak-1/mijn-afspraak-in-het-amc/winkels-en-horeca.htm.
Gils van, H. (n.D.). RELATIE IT APPLICATION EN IT GENERAL CONTROLS NOG EENS
ONDER DE LOEP. Opgeroepen op 23 mei 2018, van Compact:
https://www.compact.nl/articles/relatie-it-application-en-it-general-controls-nog-eens-onder-
de-loep/#Application_controls.
Ginkel, A. W. (2016, 4). Erasmus Universiteit. Opgehaald van
https://www.erasmuscentrumzorgbestuur.nl/dynamic/media/24/documents/wie_springt_er_in
_het_gat_van_de_terugkerende_overheid.pdf.
House of control. (15, 5 2018). Opgehaald van http://www.house-of-
control.nl/uploads/images/risicomanagement/Raamwerk-Risicomanagement-House-of-
Control-juli-2016.pdf.
Project BIVRIS 15 juni 2018 17
Moed, T. (2006, 12 5). Opgeroepen op 5 15, 2018, van https://executivefinance.nl/wp-
content/uploads/2015/02/FC0606061.pdf.
Nienhuis-de Jonge, T. (2005). Dienstverlenende diensten. Geraadpleegd op 14 juni 2018 op
http://accountantsonline.nl/kenniscorner/downloads.

Steen, M. v. (2016, 06 6). MAB. Opgeroepen op 05 15, 2018.

Swagerman, H. S. (2007, 4). Treasury. Opgehaald van
http://www.treasury.nl/files/2008/03/461.pdf.
UMC Utrecht (n.D.). OPLEIDINGEN. Geraadpleegd op 1 mei 2018 op
https://www.umcutrecht.nl/nl/Opleidingen.
Zorgaanbieders en de AVG. (n.D.). Opgeroepen op 23 mei 2018, van Autoriteit
persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-
europese-privacywetgeving/zorgaanbieders-en-de-avg.