Kan de GGz leren van de crisis in de financiële sector?

Uit onderzoek van Researchbureau Gartner (2005) bleek dat de helft van de bestudeerde Amerikaanse banken een gebrek aan doeltreffende risicometing als hun grootste zorg beschouwde bij het managen van bedrijfsrisico’s. Met de kennis van nu en de kredietcrisis in het achterhoofd, blijkt deze zorg terecht te zijn geweest. Het illustreert hoe catastrofaal een gebrek aan beheersing van bedrijfsprocessen kan zijn. Managers in de geestelijke gezondheidszorg staan voor de uitdaging hun zorginstellingen te laten beantwoorden aan hun doelstellingen en niet ten onder te laten gaan aan risico’s in de administratieve processen.

Met ingang van 1 januari 2008 moeten GGz-instellingen voldoen aan de kaderregeling AO/IC DBC GGz. Deze heeft betrekking op het registratie- en facturatieproces van DBC’s. Het is voor een GGz-instelling van belang zoveel mogelijk toetsbare controle mogelijkheden en zekerheden in te bouwen in de systemen die gezamenlijk de informatievoorziening van de zorgaanbieder bepalen, om zo het operationaliseren van de bestuursverklaring te ondersteunen.
In 2007 bleek een groot deel van de GGz-instellingen die de kaderregeling AO/IC heeft geïmplementeerd, voorafgaand aan die implementatie geen degelijke risicoanalyse heeft uitgevoerd voor de verankering van de DBC-registratie, -validatie en -declaratie. (Zie tabel Deloitte Consulting bv, 2007) Dit is een groot risico.
 
Consultants van Q-note ondervinden in de praktijk dat een flink aantal GGz-instellingen nog altijd onvoldoende zicht en grip hebben op de risico’s in het DBC-proces. Henk van Bart, senior consultant bij Q-note en voorheen hoofd zorgadministratie bij een GGz-instelling, kent de weerbarstige praktijk. “De kaderregeling kreeg in eerste instantie vanuit diverse managementlagen van de instelling serieuze aandacht. Er werden plannen opgesteld om de DBC-processen solide te implementeren, maar de praktijk week al snel af van de goede voornemens. Behandelaren dragen administratieve processen over het algemeen geen warm hart toe. Ook vanuit de directie werd onvoldoende gevolg gegeven aan de initiële voornemens. Het gevolg was dat geen gedegen risico-inventarisatie is uitgevoerd op de administratieve processen.
Een deel van de problemen van GGZ-instellingen hangt samen met de cultuur van deze organisaties. Er heerst geen verantwoordingscultuur en het registreren van activiteiten wordt met argwaan bekeken. Niettemin bestaat een wettelijke verplichting om deze processen onder controle te krijgen. En als gevolg van de eerste voorzichtige aanzet tot marktwerking in de GGz bestaat ook een bedrijfseconomische noodzaak hiertoe. Als consultant bij Q-note zie ik wekelijks managers ad hoc reageren op verstoringen in het bedrijfsproces van de instelling.’

GGz loopt geld mis
Hierdoor lopen GGz-instellingen grote hoeveelheden productie mis, stelt Henk van Bart. “Het is geen onwil van de zorgprofessionals. Zij zijn enorm betrokken bij de patiënt en zijn bereid hulp te bieden, ook wanneer deze niet lijkt te passen in de kokers van de Nederlandse gezondheidszorg of visie van de instelling. Bijvoorbeeld een patiënt die zes maanden na het sluiten van zijn behandeling contact opneemt met de psychiater vanwege een korte terugval. De psychiater verricht niet de aanmeldprocedure, omdat hij vindt is dat de daarmee samenhangende bureaucratie niet in het belang is van de patiënt. Die heeft snel behoefte aan een gesprek en een herhaalrecept voor zijn medicatie. Hierdoor stagneert echter het administratieve proces, waardoor er geen nieuwe DBC geopend en activiteiten geregistreerd worden. Het herhaalrecept wordt niet geadministreerd en aan het medisch dossier van de patiënt toegevoegd.”

Risicomanagement in de praktijk
Veel valt te winnen door solide risicomanagement voor de DBC-processen. De risicomanagementcyclus is een methode die hierin voorziet. Het uitgangspunt van de methode is het DBC-registratieproces dat vereenvoudigd bestaat uit de hoofdprocessen: patientregistratie, DBC-typering, DBC-registratie, validatie en facturatie.
 
De cyclus start met het detailleren van de hoofdprocessen, wat alle processtappen inzichtelijk maakt. Voor elke processtap zijn vervolgens risico’s te onderkennen. Door deze te voorzien van een score, kan bepaald worden voor welke risico’s beheersmaatregelen het meest cruciaal zijn. Vervolgens kunnen de beheersmaatregelen uitgewerkt en geïmplementeerd worden. De cyclus bestaat dus uit vier stappen: processen beschrijven, risico’s onderkennen, risico’s van een score voorzien en beheersmaatregelen uitwerken. De maatregelen hebben blijvend effect op de organisatie hebben als ze cyclisch worden uitgevoerd. Discipline is hierbij het toverwoord.
 
Ga het wiel niet opnieuw uitvinden
Wat procesbeschrijving betreft, hoeft het wiel uiteraard niet telkens opnieuw uitgevonden te worden. In veel GGz-instellingen is de afgelopen jaren veel aandacht besteed aan de procesbeschrijving, bijvoorbeeld in het kader van een kwaliteitsmanagementsysteem zoals HKZ . Deze procesbeschrijvingen kunnen als fundament gebruikt worden voor de overige stappen in de cyclus. Het is zaak de uitgangspunten van de bestaande procesbeschrijvingen te toetsen aan het vereenvoudigde DBC-registratieproces, zodat de doelstellingen van de producten elkaar niet of nauwelijks ontlopen.

Risico’s inventariseren
Door creatieve processen waarbij verschillende disciplines aanwezig zijn, ontstaat een grondig overzicht van risico’s in het proces. Denk bijvoorbeeld aan individuele of groepsbrainstormsessies. Het is van belang een zo volledig mogelijk beeld te krijgen van risico’s die het bedrijfsproces kunnen verstoren. Besteed daarbij aandacht aan de risicocategorie en mogelijke oorzaak voor het risico. Q-note gebruikt het de CIA-methode  om risico’s te categoriseren. De risico’s die zich voordoen op deze kwaliteitsbegrippen treden op als gevolg van technische storingen in hard- of software, bedieningsfouten, of als gevolg van opzettelijk menselijk handelen. Binnen de scope van de kaderregeling AO/IC zijn uitsluitend de risico’s die betrekking hebben op juistheid, volledigheid en tijdigheid van de informatievoorziening relevant. Bij het vaststellen van mogelijke risico’s zijn de volgende normen leidend:
•    Patiëntgegevens moeten juist, volledig, tijdig en geautoriseerd geregistreerd worden
•    DBC’s openen moet juist, volledig, tijdig en geautoriseerd plaatsvinden
•    Activiteiten moeten juist, volledig, tijdig, en geautoriseerd geregistreerd worden
•    DBC’s moeten juist, volledig, tijdig en geautoriseerd getypeerd worden
•    DBC’s moeten juist, volledig, tijdig en geautoriseerd gesloten worden
•    DBC’s moeten juist, volledig, tijdig en geautoriseerd gevalideerd worden.

Zijn de risico’s transparant?
De gekozen DBC-software binnen de organisatie is van invloed op de kans dat een risico optreedt. Is de kans op het optreden van een fout in een processtap nihil als gevolg van de software-architectuur, dan bestaat feitelijk geen risico. Daarom is het belangrijk om als GGz-instelling zelf te analyseren welke risico’s relevant zijn voor de processen in de organisatie. De relevantie kan worden bepaald door een score toe te kennen voor de kans dat een risico zich voordoet en de gevolgschade. Voor alle relevante risico’s moeten beheersmaatregelen getroffen worden.

Risico’s die zich voordoen bij GGz-instellingen zijn .
•    Patiëntgegevens worden onvolledig of niet geregistreerd
•    Patiëntgegevens worden dubbel geregistreerd
•    De patiënt is niet degene voor wie hij/zij zich uitgeeft
•    De DBC wordt niet of niet tijdig geopend
•    De DBC wordt niet geopend of geautoriseerd door hoofdbehandelaar
•    DBC wordt onterecht als vervolg-DBC getypeerd
•    Interfaces voor activiteiten afkomstig uit bronsystemen zijn onbetrouwbaar
•    Activiteiten worden ten onrechte meer dan één keer geregistreerd
•    Foutieve tijdregistratie
•    DBC wordt niet of niet tijdig gesloten
•    DBC staat langer open dan 365 dagen
•    Facturatie vindt niet tijdig plaatst
•    Facturatie vindt onjuist of onvolledig plaats.

Een voorbeeld uit de praktijk van een GGz-instelling die online therapieën biedt. Van circa zestig procent van alle aangemelde cliënten, stemmen de adresgegevens niet overeen met die bij de zorgverzekeraar. Studenten geven bijvoorbeeld hun kameradres op, maar zijn nog verzekerd op het adres van hun ouders; cliënten geven bewust het adres van een kennis of familielid op om te voorkomen dat hun partner op de hoogte raakt van de behandeling. Dit verstoort het controleproces op verzekeringsrecht binnen de informatievoorziening en leidt tot extra administratieve werkzaamheden en vertraging in het facturatieproces van DBC’s. Door vroeg in het registratieproces beheersmaatregelen in te zetten kunnen de extra werkzaamheden beperkt worden.

GGz neemt te veel halve maatregelen
Na het typeren van de risico’s is het aan te bevelen noodzakelijke beheersmaatregelen uit te werken. Tot de quick wins behoren de beheersmaatregelen omtrent rapportages en signaleringslijsten. Vaak is het mogelijk binnen de bestaande informatievoorziening aanvullende rapportages te creëren die een deel van de risico’s ondervangen. Volstaat dit niet, dan moeten aanvullende wegen bewandeld worden.
Tot de overige mogelijkheden behoren ondermeer organisatorische of ICT-gerelateerde maatregelen. Bijvoorbeeld: functiescheiding, een IC-medewerker aantrekken met mandaat om vrijuit door de organisatie te bewegen en te rapporteren aan het bestuur, en software functionaliteiten. Bij softwareaanpassingen spelen het budget, de ontwikkelcapaciteit van de leverancier en de maatwerkstrategie van beide partijen een rol. De mogelijkheid om samen met collega-instellingen te investering in aanvullende functionaliteiten is het overwegen waard. Het drukt de kosten en creëert een machtsblok richting leverancier.

Beheersmaatregelen moeten zorgvuldig uitgewerkt worden. Bij een psychiatrisch ziekenhuis voor minderjarigen wordt elke DBC pas 42 dagen na het beëindigen van het zorgprogramma gesloten. Deze marge is ingebouwd omdat het risico bestaat dat activiteiten tot ruim een maand na de uitvoering nog worden geregistreerd. Dit risico is reëel en heeft grote impact. Maar de gekozen beheersmaatregel is ongelukkig gekozen, want die heeft invloed op de liquiditeiten en rentabiliteit van de instelling. Terugbrenging van de marge tot een week door beter gekozen beheersmaatregelen, levert in deze casus tienduizenden euro’s besparing op aan rentekosten.

Maakbare samenleving?
In dit artikel is voornamelijk aandacht geschonken aan de risico’s in het administratieve DBC-proces. Maar wat te denken van risico’s bij medicatieverstrekking?. Feitelijk is het ontwikkelen van het Landelijk EPD een nationaal initiatief tot risicomanagement.
Risicobeheersing is geen streven naar de maakbare samenleving. Maar het voorkomt het optreden van onnodige risico’s die enorm veel schade kunnen toebrengen. Door scenario’s uit te werken van de te verwachte toekomst kunnen organisaties kansen benutten en risico’s vermijden. Laten GGz-instellingen zich er net als de banken van weerhouden solide risicomanagement uit te voeren, of hebben zij wat opgestoken van de fouten uit de financiële sector? Hun valkuil bevindt zich op een heel ander vlak. Het zijn niet de lonkende euro’s, het is de alledaagse hectiek waardoor een kritische beschouwing van het proces achterwege blijft. Maar de gevolgen van slecht risicobeleid zijn gelijk. Mijn stelling is dat de GGz de kredietcrisis moet gebruiken als katalysator om zelf in actie te komen. En ik verwacht dat ze dat ook zal doen. Daarvoor is de sector reflecterend genoeg.

Richard Hilverts
Consultant bij Q-note
Richard.hilverts@q-note.nl

laatst aangepast op: 15-04-2010 om 10:27:00