De rol van de auditor in informatieketens wordt steeds groter
NOREA heeft een Publieke Management Letter (PML) uitgegeven omtrent de beheersing van keteninformatisering in de zorgsector. Op basis van groepsdiscussies, interviews en een rondetafelbijeenkomst met IT-auditors (RE’s) zijn aandachtspunten gepubliceerd met het doel de inrichting, uitvoering, beheersing en verantwoording van de zorgketens, of informatieketens in het algemeen, te verbeteren.
De komende jaren treden grote veranderingen op in de manier waarop organisaties hun samenwerking inrichten en informatie uitwisselen. Dit geldt vooral voor organisaties die actief zijn in dienstverlenende sectoren en gebruikmaken van nieuwe digitale mogelijkheden. Vele vormen van dienstverlening lenen zich voor afwikkeling via een webportaal of een ander digitaal mechanisme.
Waar organisaties met elkaar samenwerken maken zij feitelijk deel uit van een organisatieoverstijgend keteninformatiesysteem. Keteninformatisering betreft vooral het structureren en automatiseren van de communicatie die nodig is om gegevens waarover ketenpartners moeten kunnen beschikken, uit te kunnen wisselen. De belangrijkste factor bij keteninformatisering is het ontbreken van een formele hiërarchie en één ketenregisseur die de gehele keten overziet.
Specifieke context keteninformatisering
De specifieke context van keteninformatisering vormt een wezenlijk aandachtspunt bij keteninnovatie en ketensamenwerking. Deze context wordt gevormd door de beleidssector waarin de keten zich bevindt en het dominante ketenprobleem waaraan de keten invulling moet geven. De diverse maatschappelijke domeinen (denk aan uitkeringsgegevens en wagenparkgegevens) kennen bijvoorbeeld verschillende stadia van ontwikkeling van samenwerking, technologische infrastructuur en klantgerichtheid. Zij verschillen hierdoor in mate van complexiteit en volwassenheid in ketenbeheersing.
Het belang bezig te zijn met keteninformatisering is de verwachte trend van ‘toenemende toepassing’
Het belang om bezig te zijn met keteninformatisering ligt in de verwachte trend van ‘toenemende toepassing’. Dit ontstaat doordat in veel sectoren informatieketens zijn of binnenkort zullen ontstaan, leidend tot vrijwel volledig digitale en eventueel zelfs cross-sectorale informatiehuishoudingen. Dit houdt onder andere in dat alle data uit de keten in één ketendatabase of een aantal aan elkaar gekoppelde data-warehouses/databases opgeslagen wordt en volgens dezelfde processen en standaarden wordt verwerkt. Dit wordt ook wel Master Data Management genoemd. Nagenoeg alle handmatige stappen in de processen worden geautomatiseerd. Wordt dit succesvol en effectief opgezet, dan leidt dit tot keteninformatisering. In de praktijk zien we deze trend zich echter nog niet vlot ontwikkelen en loopt de keteninformatisering door meerdere oorzaken moeizamer dan verwacht.
Noodzaak van volledige beheersing
Een voorbeeld van de noodzaak van volledige beheersing van keteninformatisering is te zien bij hypotheekaanvragen bij banken. De aansluiting tussen organisaties in deze informatieketen stelt de hypotheekaanbieders in staat data razendsnel te verzenden tussen de organisaties. Daarnaast kunnen de processtappen snel doorlopen worden door de toegepaste automatisering, waardoor ze klanten in heel korte tijd kunnen worden voorzien van informatie. Wanneer een klant bijvoorbeeld een hypotheekaanvraag indient, stelt deze automatisering hen in staat deze aanvraag met reeds aanwezige informatie aan te vullen, op basis van businessregels te controleren en vlot via alle relevante organisaties te laten lopen (‘straight through processing’) om zo tijdig antwoord te kunnen geven. Bedrijven die zonder deze automatisering werken met bijvoorbeeld nog een handmatige stap, kunnen dit niet, zijn trager en verliezen potentiële klanten.
Automatisering geeft in deze vorm gelegenheid tot potentiële keteninformatisering. Dit werkt ook andersom – keteninformatisering kan leiden tot automatisering. Wanneer concurrenten in de hypothekensector klanten winnen door een naadloze (samen)werking van de keten, noodzaakt dit andere bedrijven hetzelfde te doen. Een gevolg hiervan is dat andere bedrijven automatisering invoeren om zo beter te kunnen concurreren.
Maatschappelijke impact
De toenemende vorming van informatieketens was voor de Kennisgroep aanleiding hier aandacht aan te besteden door de beheersing van een informatieketen onder de loep te nemen en om te identificeren waar verbeteringen nodig zijn. Specifiek werd gekeken naar de informatieketens in de zorg, waar de rol van de IT-auditor toeneemt als gevolg van de vele informatiesystemen die erbij betrokken zijn. Steeds meer informatiesystemen en entiteiten worden verbonden en daarna zelfs geïntegreerd, met als gevolg zeer complexe ketenconstructies. De verschillende entiteiten brengen ieder hun processen, regelgeving en standaarden mee, wat leidt tot complexiteit van de informatieketen. Het potentiële verlies in efficiëntie en effectiviteit daardoor is een belangrijk werkgebied voor de IT-auditor, die helpt met zijn specifieke kennis en expertise om knelpunten in de informatieketen te identificeren en hiervoor oplossingen te vinden.
De Publieke Management Letter (PML) richt zich specifiek op de declaratieketen in de zorgsector. Zij stelt dat een verbetering van het functioneren het algemeen maatschappelijk belang dient. Momenteel is de declaratieketen een aaneensluiting van losse delen, een historisch ontstane lappendeken. Van een werkelijk geïntegreerde en geautomatiseerde informatieketen is (nog) geen sprake. Entiteiten in de informatieketen zijn ziekenhuizen en zorgverzekeraars, maar ook De Nederlandsche Bank en Zorginstituut Nederland. Een entiteit die minder als onderdeel wordt gezien van de keten, maar waar het wellicht wel de meeste impact op heeft, is de burger als patiënt of zorgconsument. Verbeteringen in de keten in efficiëntie en effectiviteit leiden potentieel ook tot positieve effecten voor hen omdat de kwaliteit van de zorg verder kan worden verbeterd.
Belangrijkste aandachtspunten
De PML geeft aan dat als gevolg van een toename van (volledig) geautomatiseerde informatieketens het risico op onjuiste informatie zich voordoet. In de PML zijn aandachtspunten opgenomen die betrekking hebben op de declaratieketen. Deze aandachtspunten gelden echter ook voor andere informatieketens in de zorgsector en overige sectoren. Kort samengevat zijn dit de aandachtspunten:
- De zorg is nog geen geïntegreerde keten maar een verzameling individuele entiteiten – De samenwerking tussen de entiteiten in de zorgketen is niet optimaal, maar biedt wel veel potentieel. Potentiële voordelen worden vooralsnog onvoldoende benut. Focus op het integreren en naadloos aansluiten van de entiteiten kan leiden tot synergie.
- De ketens zijn complex – De complexiteit in de ketens leidt tot het ontbreken van een eenduidige governancestructuur met als gevolg dat er geen duidelijke verdeling van verantwoordelijkheid is. Daarnaast leidt de complexiteit tot moeilijkheden in de databeheersing met als risico het onvermogen om essentiële data te delen en zelfs het potentieel verlies van belangrijke informatie. Een voorbeeld hiervan kwam aan het licht toen de Inspectie voor de Gezondheidszorg een lijst van ziekenhuisdoden publiceerde in mei 2016. Het bericht meldt dat in de afgelopen drie jaar 1214 patiënten zijn overleden door een calamiteit terwijl het werkelijke aantal meer dan het dubbele is.2 Ziekenhuizen waren in staat medische missers te maskeren en informatie verborgen te houden van andere partijen in de keten – iets wat sneller tot het verleden behoort in een goed functionerende informatieketen.
- Diverse entiteiten hebben verschillende belangen en meerdere rollen in verschillende ketens – Mede door de complexiteit in de informatieketen ervaren de betrokken entiteiten belangenconflicten. Sommige vervullen meerdere rollen, waardoor het onduidelijk wordt welke belangen en prioriteiten ze hebben, met als gevolg het gebrek aan duidelijke prioritering en het moeizaam behalen van resultaat. Daarnaast is het moeilijk verantwoordelijkheid bij één entiteit te leggen wanneer een probleem moet worden opgelost.
- Reputatieschade – Door de vele ‘eilanden’ binnen de zorgsector wordt het risico op onjuiste of onvolledige informatieoverdracht ten aanzien van declaraties vergroot. Denk daarbij ook aan de grote media-aandacht inzake zorgfraude en de hoge kosten voor kleine ingrepen. Dit leidt weer tot reputatieschade.
- Kostenaspect – Hoge kosten in de zorg vormen een constant punt van discussie waarbij veel aandacht wordt besteed aan manieren om deze kosten te verlagen. Een voorwaarde hiervoor is een goede informatie-infrastructuur, waarbij onderscheid wordt gemaakt tussen het primaire proces en andere processen, zoals het administratieve en het verantwoordingsproces. Deze niet-primaire processen kunnen worden verbeterd door een betere informatie-infrastructuur om zo efficiënter en effectiever te opereren.
- Toezicht in de zorgsector – Meerdere entiteiten houden toezicht in de zorgsector, waardoor dezelfde controle nu meerdere keren wordt uitgevoerd. Een goede informatie-infrastructuur maakt het delen van informatie tussen entiteiten efficiënter en effectiever, wat tot een beter werkend proces leidt.
- IT-controls versus handmatige controls – De zorgsector maakt nog gebruik van veel handmatige beheersmaatregelen waardoor audits arbeidsintensief kunnen zijn. Een overgang naar meer geautomatiseerde controles op basis van een IT-beheersingsraamwerk kan zorgdragen voor een efficiënter en betrouwbaarder ketenproces en ook voor een overgang naar systeemgerichte controle- en auditaanpak.
Aanbevelingen
De kennisgroep identificeert het verbeteren van de governance van en over de declaratieketen als een van de manieren om het functioneren van de keten te verbeteren. De specifieke maatregelen die worden aanbevolen zijn onderverdeeld op basis van de verantwoordelijke instanties. Een interessante aanbevolen maatregel is het actualiseren van relevante wet- en regelgeving door het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Een maatregel die is toegewezen aan de zorginstellingen en zorgverzekeraars is het toepassen van een modelcontract. Contracten op basis van een modelcontract verminderen bijvoorbeeld het verschil in eisen en KPI’s aan zorgaanbieders, wat leidt tot minder complexiteit in de keten. Monitoring van de keten wordt daardoor potentieel gemakkelijker.
Ook voor auditors geeft de kennisgroep aan wat zij kan betekenen in de keteninformatiesering. Naast het identificeren van problemen in de keten geven auditors vanuit hun onafhankelijke positie en deskundigheid mogelijke oplossingen en suggesties voor verbeteringen. Daarnaast kunnen de financial auditors de algehele betrouwbaarheid van de informatiestromen in de keten toetsen, de operational auditors kunnen meehelpen bij de overall governance van de keten en de IT-auditors kunnen adviseren over de transitie naar meer geautomatiseerde controles en de opzet en werking van IT. Hiermee wordt ketenbeheersing versterkt met als gevolg dat zorgketenpartijen een hoger niveau van efficiëntie en effectiviteit bereiken, met positieve gevolgen voor de keten en de zorgconsument. De kennisgroep blijft in de gaten houden waar de auditor een (hoofd)rol kan spelen in informatieketens.
De Kennisgroep Keteninformatiemanagement bestaat uit de volgende personen: Drs. Bart van Staveren RE – voorzitter | Drs. Michael Bosch RE – Ministerie van Binnenlandse Zaken en Koninkrijksrelaties | Adri de Bruijn RE RA – PwC Advisory | Drs. ing. Ronald Koorn RE – KPMG | Dr. René Matthijsse RE – Vrije Universiteit Amsterdam en Fontys Hogescholen | Ruud Mollema RE RA – PBLQ | Ruurd Smildiger RE – Auditdienst Rijk | Drs. Reza Torabkhani RE – AlignNet | Drs. Marc Welters RE RA – EY.
Dit artikel is in samenwerking met en namens de kennisgroep geschreven door Marc Welters.
Reacties (0)
Lees meer over dit onderwerp:
Strafrechtketen: van ultimum naar optimum remedium
Peter Hennephof, hoofddirecteur van de Dienst Justitiële Inrichtingen, en procureur-generaal Albert van Wijk van het Openbaar Ministerie, over de ontwikkelingen en uitdagingen binnen de strafrechtketen.
Lees meer“Bij Jumbo vullen we op een pragmatische manier risk en audit in”
Voor een grote retailer als Jumbo is ketenmanagement essentieel. Wat betekent dat voor de invulling van de interne auditfunctie?
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.