Professional Documents
Culture Documents
Project BIVRIS
Project BIVRIS
Project BIVRIS
Excellence Consultancy
Bedrijfseconomie, Finance & Accounting, Hogeschool Utrecht
Opdracht 1.....................................................................................................................3
1.1 Typologie van Medisch Centrum Noord..............................................................3
1.2 Artikel COSO-ERM model zorgbranche..............................................................4
Opdracht 2 Risicoanalyse..........................................................................................5
2.1 Internal Environment*..........................................................................................5
2.2 Objective Setting..................................................................................................6
2.3 Risicoanalyse.......................................................................................................6
2.4 Information en communication...........................................................................10
2.5 Monitoring..........................................................................................................11
Opdracht 3 Advies....................................................................................................12
Opdracht 4 Excel.......................................................................................................14
De core business van een ziekenhuis is dat het diensten levert, namelijk zorg. Medisch
Centrum Noord biedt een concentratie van voorzieningen aan patiënten ten behoeve van
onderzoek, behandeling en verpleging. Volgens Starreveld heeft een ziekenhuis als
typologie dienstverlening met specifieke reservering van ruimten, net zoals een hotel
bijvoorbeeld (Bast & Nijland, 2016). Bij een hotel kan bijvoorbeeld de volledigheid van de
opbrengsten gecontroleerd worden door de lege kamers te tellen iedere avond. Bij een
ziekenhuis werkt het echter niet zo. Een patiënt betaalt namelijk niet voor een kamer, maar
voor de behandeling die hij krijgt. De verschillende behandelingen en activiteiten worden niet
apart in rekening gebracht, maar worden vastgelegd in een DBC. Het heeft dus geen zin om
in het kader van volledigheid van de opbrengsten alle lege behandelkamers te tellen iedere
avond.
Een ziekenhuis heeft wel een goederenbeweging, namelijk de patiënten die opgenomen,
Project BIVRIS 15 juni 2018 3
behandeld en daarna ontslagen worden, maar er vindt geen inkoop en verkoop plaats van
deze goederen. Hierdoor is er geen directe relatie men in- en uitgaande geldstromen. Om
toch de volledigheid van de opbrengsten te kunnen verantwoorden, zijn interne registraties
van ontvangen, behandelde en ontslagen patiënten noodzakelijk. Er dient een
functiescheiding te worden toegepast tussen deze drie stappen. De afdeling facturatie kan
dan met behulp van de geregistreerde DBC de factuur doorsturen naar de
verzekeringsmaatschappij van de patiënt (Nienhuis-de Jonge, 2005). Het ziekenhuis MCN
heeft dus als typologie dienstverlening met doorstroming van goederen van derden. Dit is de
hoofdtypologie van het ziekenhuis MCN.
Anno 2018 fungeert een ziekenhuis tevens als kenniscentrum of als opleidingsinstituut.
Geneeskunde studenten voeren voornamelijk het praktische gedeelte van hun studie uit in
het ziekenhuis. Daarnaast bieden ziekenhuizen zelf ook opleidingen aan, zoals het UMC.
Deze heeft een scala aan opleidingen en trainingen (UMC Utrecht, n.D.).
Hiernaast is het vaak zo dat in ziekenhuizen ook restaurants en andere winkeltjes, zoals een
bloemenwinkel, aanwezig zijn. Mensen die hun familielid of vriend komen bezoeken en nog
geen bosje bloemen hebben, kunnen dan nog snel een mooi boeket halen. Dit is een extra
service die het ziekenhuis biedt en tegelijkertijd resulteert dit in een hogere omzet. Een
restaurant is weliswaar ook een dienstverlenende organisatie, maar dan wel met een
doorstroming van goederen die eigendom zijn van het bedrijf. De dienst is het opnemen van
de bestelling, het brengen van het kopje koffie of gerecht en het afwassen van het servies.
De typologie van een bloemenzaak is een handelsonderneming die voornamelijk tegen
contante betaling levert.
Kortom, het ziekenhuis Medisch Centrum Noord is een dienstverlenende organisatie met
doorstroming van goederen van derden. Dit betreft dus de hoofdtypologie. Daarnaast heeft
het ziekenhuis de typologie van opleidingsinstituut. Ten slot zijn er binnen het ziekenhuis ook
winkeltjes aanwezig, die een dienstverlenend karakter hebben (restaurant) en ook de
typologie handelsonderneming (bloemenzaak). Deze winkeltjes kunnen tevens voorkomen
als shop-in-shopconcept, zoals de AH To Go in het AMC (AMC, n.D.).
Er zijn verschillende beursschandalen voor nodig geweest, maar nu staat ‘in control’ zijn voor
ondernemingen hoog in het vaandel. Het is een manier om risico’s te analyseren en te
beheersen, maar ook om de stakeholders een stukje zekerheid te bieden. Toch blijkt dat een
‘in control’ verklaring van verschillende bedrijven veel diversiteit laat zien. Dat komt doordat
iedereen een andere definitie van ‘in control zijn’ kan hebben. Daarom is het gebruiken van
een standaard framework belangrijk. Dit om het toch te kunnen toetsen en te vergelijken met
andere bedrijven. Een internationaal geaccepteerd model voor interne beheersing is
COSO[ CITATION Tji06 \l 1043 ].
Het COSO-ERM model is verreweg het meest gebruikte raamwerk voor het beoordelen en
inrichten van risicomanagement. Het identificeert de relaties tussen de ondernemingsrisico’s
en het interne beheerssysteem [ CITATION Hou15 \l 1043 ].
Verder stelt COSO dat een beheersing- en controlesysteem uit acht elementen bestaat.
Project
Deze BIVRIS
elementen zijn afgeleid van de wijze waarop het management een 15 juni 2018
onderneming 4
bestuurt en zijn derhalve verbonden met het managementproces.
Opdracht 2 Risicoanalyse
2.3 Risicoanalyse
Doel conform COSO-ERM Risico (R) Risk Respons Control activity (CA)
assessment (RE)
(kans *
impact)
(RA)
Project BIVRIS 15 juni 2018 6
1. Betrouwbaarheid Zorgactiviteiten worden op Kans: Hoog Maatregele Controle technische
financiële verkeerde diagnose n treffen functiescheiding:
verslaggeving behandelcombinatie (DBC) Impact: Artsen voeren activiteiten
verantwoord (onjuiste Gemiddeld uit
omzet verantwoording). Afdeling Financiële zaken
en administratie autoriseert
en declareert bedrag bij
zorgverzekeraar
IT Controles:
Periodieke IT-controles in
het centrale
computersysteem. Hierbij
kan worden gecontroleerd
of juiste koppelingen zijn
tussen zorgactiviteiten en
DBC’s.
Verbandscontrole
Vergelijken van ingeplande,
uitgevoerde en
gefactureerde
zorgactiviteiten met
administratie.
Verbandscontrole:
Aantal geplande uren x tarief
(gebudgetteerd) t.o.v.
uitbetaald bedrag (werkelijk)
Interne controle:
Afdeling controlling en
administratie controleert en
autoriseert juistheid van
toeslagen aan de hand van
de geplande uren en
geautoriseerde uren
7. Effectiviteit en efficiëntie Het risico dat medische Kans: Maatregele Controle technische
van bedrijfsprocessen verrichtingen en Laag n treffen functiescheiding
bijzonderheden van CTFS tussen uitvoering,
patiënten niet worden Impact: registratie en autorisatie
geregistreerd. Laag verrichtingen
Invoercontroles
Invoercontroles in het
systeem
8. Effectiviteit en efficiëntie Het risico dat het Kans: Maatregele Aanbieden van opleidingen
van bedrijfsprocessen kennisniveau van het Laag n treffen en cursussen over
medisch personeel niet onderwerpen die onderhevig
‘up-to-date is’. Impact: zijn aan verandering en
Hoog wetgeving
10. Bereiken van strategische Het risico dat afdeling Kans: Maatregele Controle technische
doelstellingen Internal Audit risico’s en Hoog n treffen functiescheiding
beheersingsmaatregelen
minder goed Afdeling Internal Audit stelt
inventariseert/controleert. Impact: controle jaarplan op. Afdeling
Laag Internal Audit laat eigen
controlewerkzaamheden door
andere afdeling uitvoeren.
11. Bereiken van strategische Het risico dat de externe Kans: Maatregele Controle technische
doelstellingen accountant door minimale Hoog n treffen functiescheiding
controles te veel Afdeling Internal Audit de
blootstelling aan risico’s Impact: controles op handelingen van
heeft. Laag de externe accountant laten
uitvoeren. Externe accountant
verricht
12. Houden en wet- en Het risico dat patiënten Kans: Verzekeren/ Verzekeren van deze
regelgeving het ziekenhuis Gemiddeld Maatregele gevolgen.
aansprakelijk stellen voor n treffen
gevolgen van medische Impact: Prestatie-indicator
advies en behandeling. Hoog Het stellen van een KPI’s
betreffende de tevredenheid
van patiënten over hun
behandeling en verblijf in het
ziekenhuis.
Evalueren
Het evalueren van het aantal
klachten van patiënten na
diagnose en behandeling met
gestelde KPI’s.
13. Bereiken van strategische Het risico dat de medische Kans: Maatregele Prestatie-indicatoren
Project BIVRIS
doelstellingen specialisten niet de zorg Gemiddeld n treffen 15 juni
Het stellen 2018
van kwaliteitseisen 9
naar gewenste kwaliteit en prestatie-indicatoren
levert. Impact:
Hoog Evalueren van KPI’s met
werkelijk resultaat
14. Effectiviteit en efficiëntie Het risico dat er een Kans: Maatregele Periodieke controles op het
van bedrijfsprocessen verkeerde patiëntmutatie Hoog n treffen aantal patiënten mutaties.
plaatsvindt, waardoor de
patiënt op de verkeerde Impact: Verpleegafdelingen extra
verpleegafdeling terecht Laag controles laten uitvoeren
komt of een verkeerde betreffende de
behandeling ondergaat. patiëntgegevens en
voorbehandelingen.
15. Houden aan wet- en Het risico dat vastgestelde Kans: Maatregele Interne controle
regelgeving protocollen en richtlijnen Hoog n treffen De afdeling Compliance
voor medische intern laten toezien op de
behandelingen niet Impact: naleving van de protocollen
worden nageleefd Laag en richtlijnen.
Periodieke controles op de
naleving van de regelgeving.
16. Bereiken van strategische Het risico dat er onzakelijk Kans: Maatregele De raad van Toezicht laten
doelstellingen wordt gehandeld tussen Laag n treffen toezien op het dagelijkse
bestuursleden en bestuur van de directieleden.
directieleden door hun Impact:
informele relatie. Hoog De raad van Toezicht gepaste
consequenties laten opstellen
(bijv. ontslag) indien voordoen
van risico.
17. Bereiken van strategische Het risico dat het Kans: Maatregele Intern communiceren van het
doelstellingen Enterprise Risk Hoog n treffen ERM-proces en controle op
Management (ERM) niet naleving ervan.
wordt gecommuniceerd en Impact:
nageleefd door specifieke Gemiddeld
afdelingen. Afdelingen
beheren namelijk zelf
afdelingsspecifieke
risico’s.
18. Bereiken van strategische Het risico dat het Kans: Maatregele Monitoring
doelstellingen Enterprise Risk Laag n treffen Jaarlijks evalueren van
Management door risicobeheersingssysteem
veranderende Impact:
omstandigheden geen Hoog
effectieve bijdrage meer
levert aan de beheersing
van risico’s
(betrouwbaarheid van
informatie).
Toelichting
De Raad van Bestuur heeft Excellence Consultancy de opdracht gegeven een risicoanalyse
uit te voeren op het ziekenhuis Medisch Centrum Noord (MCN). Middels haar kennis en
expertise heeft Excellence Consultancy de volgende risicoanalyse weten op 15
Project BIVRIS te juni
stellen.
2018In 10
deze risicoanalyse is er een focus gelegd op de ‘grote’ risico’s.
Doel conform COSO-ERM Risico (R) Risk Respons Control activity (CA)
assessment (RE)
(kans *
impact)
(RA)
Effectiviteit en efficiëntie van Het risico dat patiënten geen Kans: Accepteer Interne controle
bedrijfsprocessen. contact kunnen opnemen Laag Controleren van technisch
met de servicebalie. apparatuur
Benodigde hulp voor Impact:
medische problemen en zorg Laag
kan niet worden gegeven.
Bij deze risicoanalyse zijn de risico’s in kaart gebracht die organisatie breed een hoge mate
van impact hebben. Bij deze analyse is er verondersteld dat de minder grote
afdelingsspecifieke risico’s al worden beheerd door de afdelingen. Een voorbeeld van deze
risico’s:
Bovenstaande risicoanalyse is een voorbeeld van het een talrijk aantal risico’s die geen
significante impact hebben op de organisatie. Bij deze risicoanalyse is er dan ook vanuit
gegaan dat de specifieke afdeling, waar de servicebalie onder valt, al deze risico’s heeft
meegenomen in haar risicobeheerssytemen. Immers, afdelingen zelf beheren ook specifieke
risico’s.
2.4 Information en communication
Ten behoeve van het functioneren van een goed beheersingssysteem dient de informatie en
communicatie binnen MCN periodiek aan het management te worden verschaft. Hieronder
worden een aantal voorbeelden van informatie die het management nodig zou kunnen
hebben bij haar beoordeling.
Cijferbeoordelingen:
Personeelskosten met gedetailleerde rapportage van aantal reguliere gewerkte uren
en uren die in aanmerking komen voor een toeslag
Bezettingsgraad van kamers en bedden
Ratio’s:
2.5 Monitoring
Waarborgen van effectiviteit beheersingssysteem middels:
Excellence Consultancy
Daltonlaan 500
1221 AV Utrecht
Betrouwbaarheid informatie
Tot op heden worstelt Ziekenhuis Medisch Centrum Noord met de integriteit van haar
informatie. Dit probleem doet zich voornamelijk voor omtrent de facturatie voor de patiënt en
de registratie van de gewerkte uren van de personeelsleden.
Al enige tijd heeft het ziekenhuis te maken met klachten van gedupeerde patiënten. Deze
patiënten kregen te maken met in rekening gebrachte behandelingen die niet aan hen
verschaft waren. De patiënt werd niet aan de juiste verschafte behandeling gekoppeld. Met
als gevolg dat behandelingen niet of onterecht werden uitgekeerd door de zorgverzekeraar.
Dit probleem zal zich in de toekomst niet meer voordoen door de implementatie van een
extra fysieke 4-ogen controle. Bij deze 4-ogen controle controleert de behandelend arts
samen met de patiënt de in het systeem geregistreerde behandelingen. Behandelingen die
niet aan de desbetreffende patiënt verstrekt zijn, kunnen dan nog geëlimineerd worden.
Daarnaast heerst er een hoop onrust bij de personeelsleden. De registratie van de gewerkte
uren verloopt niet zoals gewenst. Hierdoor ontvangt het servicebureau niet de juiste
informatie, waardoor een onjuist aantal uren wordt uitbetaald. Voor de toekomst adviseert
Excellence Consultancy om te werk te gaan met een kloksysteem. Hierbij klokt de
medewerker in en uit, met een aan het aan de medewerkers gekoppeld personeelspasje.
Project BIVRIS 15 juni 2018 13
Het urenregistratiesysteem registreert vervolgens de gewerkte uren. Deze gewerkte uren
worden d.m.v. een application control vergeleken met de in het rooster ingeplande uren.
Indien de uren niet volledig overeenkomen, krijgt de manager hier een melding van. De
manager dient dit verschil te controleren, eventueel te wijzigen en te accepteren, zodat het
servicebureau de juiste uren ontvangt en kan uitbetalen.
Om de betrouwbaarheid van de informatie te vergoten en de risico’s te reduceren, adviseert
Excellence Consultancy als laatste om een controle technische functiescheiding (CTF) te
implementeren. Door deze CTF zijn de medewerkers enkel bevoegd om informatie te
raadplegen, aan te vullen of te wijzigen indien de toegekende autorisaties dit toelaten.
Privacy – bescherming cliënt specifieke informatie
Voor het vertrouwen van de cliënt is het belangrijk dat de gegevens van de cliënt zo goed
mogelijk beschermd zijn. Hierom heeft Medisch Centrum Noord een verantwoordingsplicht.
De directie moet ieder moment kunnen aantonen dat er technische en organisatorische
maatregelen zijn genomen om de gegevens van de cliënt te beschermen. Dit houdt in dat:
- de gegevens niet langer worden bewaard dan nodig is;
- de toegang van de medewerkers wordt beperkt tot de persoonsgegevens;
- er niet meer cliëntgegevens worden verwerkt dan noodzakelijk voor het doel van de
verwerking.
Opdracht 4 Excel
Onderdeel A
Een welbekende vraag bij het verrichten van onderzoek is: “Hoe groot moet ik mijn
steekproef maken om nauwkeurig en betrouwbaar te zijn?” Op het moment dat er namelijk
een steekproef wordt afgenomen waarbij 40% ja antwoordt, wil dat nog niet zeggen dat in de
algehele populatie 40% met ja zou antwoorden. Hoe ver dat percentage afwijkt hangt dus af
van de grootte van de steekproef.
Voor het bepalen van de steekproefomvang kan gebruik gemaakt worden van een formule.
De formule geeft aan hoe groot de steekproefomvang minimaal moet zijn, rekening houdend
met een bepaalde betrouwbaarheidsfactor en een vereiste maximale schattingsfout. Dit
resulteert in het totaal aantal vereiste respondenten om tot een betrouwbaar resultaat te
komen.
n = steekproefomvang;
z = z-score horende bij de vereiste betrouwbaarheid (=standaardafwijking);
p = steekproeffractie;
e = de maximale schattingsfout (= halve breedte van het interval).
Als standaardafwijking (z) wordt 1,96 aangehouden. Dit geeft een betrouwbaarheid van 95%
aan, wat een vrij algemeen geldende norm is in een dergelijk onderzoek.
Verder is een streekproeffractie van 0,45 aangehouden in de formule, dit omdat de
daadwerkelijke steekproefomvang reeds bekend is en op deze manier een zo hoog mogelijk
uitkomst wordt verkregen. Als maximale schattingsfout wordt een waarde van 0,5
gehanteerd. Er is dus een kleine foutmarge, want zoals eerder vermeld is er een
betrouwbaarheid van 95%.
Onderdeel B
Bij deze analyse zal er een focus worden gelegd op de controle van de naleving van de
volgende COSO-ERM doelstelling:
Onderdeel C
Uit de analyse blijkt dat ziekenhuis Medisch Centrum Noord 55.852 behandelingen heeft
uitgevoerd. Iedere specifieke behandeling vereist een specifieke specialisatie van het
personeelslid die de behandeling uitvoert. Echter, de analyse heeft uitgewezen dat 43.505
van de 55.852 behandelingen is uitgevoerd door een personeelslid dat niet over de juiste
specialisatie beschikte binnen de gezondheidszorg.
Het laten verrichten van behandelingen door personeelsleden die niet over de juiste
kwalificatie beschikken, brengt een aantal risico’s met zich mee. Een van deze risico’s is dat
het personeel door het ontbreken van voldoende kennis, de behandeling niet naar wens
verricht. Hierdoor ontstaat de kans dat het revalidatieproces niet naar wens verloopt. Of in
het ergste geval dat de behandeling helemaal niet aan slaat. Daarnaast is het een grote
schande indien naar buiten treedt dat binnen het ziekenhuis, behandelingen worden
uitgevoerd door personeelsleden die daar niet bevoegd voor zijn. Dit schaadt het vertrouwen
van de patiënten. Met als gevolg dat zij zich niet meer laten behandelen in het ziekenhuis
Medisch Centrum Noord.
Onderdeel D
In dit onderdeel is er onderzocht of er een trendlijn te ontdekken is in het soort specialisatie
en de tijd. Hierbij is de tijd als X-variabele (onafhankelijk) genomen en het soort specialisatie
als Y-variabele (afhankelijk). Er zijn een aantal spreidingsdiagrammen per specialisatie (2,3
en 4) gemaakt om te deze trend te analyseren. Deze diagrammen zijn verwerkt in het Excel
bestand ‘’specialisatie’’.
Er is ervoor gekozen om de spreidingsdiagrammen per maand te maken en op basis van die
cijfers de trendlijn, richtingscoëfficiënt en determinatiecoëfficiënt te bepalen. Dit om een
overzichtelijker en betrouwbaarder beeld te krijgen van de trend.
Uit deze spreidingsdiagrammen is duidelijk te zien dat er wel degelijk een verband is tussen
het soort specialisatie en de tijd. De trendlijn vertoont in iedere diagram een dalende lijn. De
richtingscoëfficiënt geeft de richting en de steilheid van de trendlijn aan. Tevens is deze
iedere keer negatief: als X groter wordt, wordt Y kleiner. Dus de medewerkers die hoger
gespecialiseerd zijn, voeren minder behandelingen uit.
Januari Januari Januari Februari Februari Februari Maart Maart Maart
Project BIVRISspec 2 spec 3 spec 4 spec 2 spec 3 spec 4 15 juni 22018 spec 3
spec 16
spec
Richtings- -1229,5x -707,5x -180x -1116x -634,5x -192,5x -1249,5x -782x -191,5
coëfficiënt
R2 0,9966 0,9994 1 0,9998 0,999 0,9996 1 1 0,994
Verder zegt de determinatiecoëfficiënt (R2) ook iets over het verband tussen de twee
gekozen variabele. Hoe hoger de R2, hoe sterker de correlatie in lineair verband. Zoals in de
tabel hierboven is weergegeven, is goed te zien dat er bij iedere spreidingsdiagram een R2
hoger dan 0,9 geconstateerd is. Dit betekent dat er een zeer sterke correlatie aanwezig is.
Hoe dichter de R2 bij de 1 ligt, des te betrouwbaarder zijn de voorspellingen bij het
interpoleren en extrapoleren.
De uitkomst van de determinatiecoëfficiënt geeft weer hoeveel procent van de trendlijn te
verklaren is door de X-variabele. In de eerste kolom is dus 99,66% te verklaren door de type
specialisatie. Er is een grote kans dat deze trend zich op deze manier voortzet. Het risico
hiervan is dat er steeds meer behandelingen worden uitgevoerd door personeelsleden met
een lagere specialisatie. Dit zorgt er dus voor dat deze personeelsleden relatief gezien
langer de tijd nemen voor een behandeling en daardoor meer kamers langer bezet zijn. Een
manier om dit aan te pakken is dat er meer behandelingen worden uitgevoerd door
personeelsleden met een hogere specialisatie, zodat er minder tijd wordt verbruikt aan een
behandeling. Zo kunnen er meerdere patiënten worden behandeld in een kortere tijd.
Literatuurlijst
A.C.J. Bast & R. Nijland (2016). Grondslagen AO Deel B Processen en systemen (22e druk).
Groningen/Houten: Noordhoff Uitgevers.
AMC (n.D.). Winkels en horeca. Geraadpleegd op 1 mei 2018 op https://www.amc.nl/web/ik-
heb-een-afspraak-1/mijn-afspraak-in-het-amc/winkels-en-horeca.htm.
Gils van, H. (n.D.). RELATIE IT APPLICATION EN IT GENERAL CONTROLS NOG EENS
ONDER DE LOEP. Opgeroepen op 23 mei 2018, van Compact:
https://www.compact.nl/articles/relatie-it-application-en-it-general-controls-nog-eens-onder-
de-loep/#Application_controls.
Ginkel, A. W. (2016, 4). Erasmus Universiteit. Opgehaald van
https://www.erasmuscentrumzorgbestuur.nl/dynamic/media/24/documents/wie_springt_er_in
_het_gat_van_de_terugkerende_overheid.pdf.
House of control. (15, 5 2018). Opgehaald van http://www.house-of-
control.nl/uploads/images/risicomanagement/Raamwerk-Risicomanagement-House-of-
Control-juli-2016.pdf.
Project BIVRIS 15 juni 2018 17
Moed, T. (2006, 12 5). Opgeroepen op 5 15, 2018, van https://executivefinance.nl/wp-
content/uploads/2015/02/FC0606061.pdf.
Nienhuis-de Jonge, T. (2005). Dienstverlenende diensten. Geraadpleegd op 14 juni 2018 op
http://accountantsonline.nl/kenniscorner/downloads.