Risico's TPR & OR (gedeeld)

Tegenpartijrisico

Dit is het risico van potentiële verliezen als gevolg van onverwachte wanbetaling of een verslechtering van de kredietwaardigheid van tegenpartijen en debiteuren in de volgende twaalf maanden. {{naam}} heeft vorderingen uitstaan bij verschillende soorten tegenpartijen: overheid, financiële tegenpartijen, zorgaanbieders/ -instellingen en verzekerden.

Mitigerende maatregelen voor dit risico verschillen per soort tegenpartij. Zo heeft {{naam}} alleen gekozen voor financiële tegenpartijen met een hoge kredietwaardigheid en wordt onder andere door middel van spreiding het risico beperkt. Voorschotten die {{naam}} heeft uitstaan bij zorgaanbieders en zorginstellingen zijn veelal gedekt door uitstaand onder handen werk. {{naam}} probeert het tegenpartijrisico op verzekerden te verminderen door in te zetten op een proactief debiteurenbeleid. Het risico op mogelijke oninbaarheid van verzekeringspremies van de basisverzekering is deels gemitigeerd. Per wanbetaler kan de premieschade oplopen tot maximaal zes maanden. Daarna worden zorgverzekeraars voor de basisverzekering gecompenseerd via de ‘wanbetalersregeling’ van het Zorginstituut Nederland.

Operationeel risico

Het operationeel risico betreft het risico op een verlies dat zich voordoet als gevolg van inadequate of falende interne procedures, personeel of systemen of door externe gebeurtenissen. De operationele risico’s van {{naam}} worden vooral gedreven door de grootschalige digitale gegevensverwerking, de omvang van de geldstromen en de veelheid aan privacygevoelige informatie. De betrouwbaarheid van de ICT- infrastructuur is van groot belang. Het kwaliteitsniveau van de processen moet hoog zijn. Riskmanagement activiteiten binnen {{naam}} richten zich binnen het operationele risico specifiek op de interne procesbeheersing, uitbesteding, informatiebeveiliging, fraude en compliance.

Interne procesbeheersing

Vanaf 2023 heeft {{naam}} gewerkt aan het aantoonbaar verbeteren van de interne procesbeheersing met behulp van het Control Framework. Naast de introductie van een CZ-brede Risk Management oplossing hebben alle divisies gewerkt aan een herijking van key processen en daarin benodigde key controls. Hierbij is aan de hand van verklaringen van de hoogst leidinggevenden op divisieniveau beoordeeld of de door de risico-eigenaren geïdentificeerde key processen voldoende beheerst verlopen. Het gaat daarbij onder andere om (financieel) belangrijke processen zoals zorginkoop, zorgkostentaxatie, premiestelling, vermogens- en liquiditeitenbeheer en bevoorschotting. Dit programma is in 2024 gecontinueerd. Het ICS-proces waarborgt dat de beheersing van de risico’s periodiek wordt getoetst door de tweede lijn. Het waarborgt ook dat risico-eigenaren periodiek in gesprek zijn over opzet, bestaan en werking van het controlesysteem. Risk adviseert, challengt en toetst. Het ICS-proces geeft daarmee additionele zekerheid over de mate waarin materiële risico’s adequaat worden beheerst. Het actueel houden van het in control systeem biedt additionele zekerheid over de beheersing van operationele risico’s.

Uitbesteding

Om een optimale dienstverlening aan te bieden, vindt {{naam}} het belangrijk naast het zelfstandig uitvoeren van activiteiten, ook activiteiten uit te besteden uit strategische overwegingen. In 2024 heeft {{naam}} gewerkt aan het verbeteren van de beheersing van deze uitbestedingen. Om de risico's van de uitbesteding te managen en aan de wettelijke vereisten te voldoen is door {{naam}} een uitbestedingsbeleid opgezet met minimale vereisten, principes, processen en interne controlevereisten. Hierdoor borgt {{naam}} de continuïteit en constante kwaliteit van de werkzaamheden en de daaruit voortvloeiende dienstverlening. Dit alles met inachtneming van de strategie van {{naam}}.

Informatiebeveiliging

Onze kernprocessen zijn in hoge mate geautomatiseerd en verlopen via een aantal centraal beheerde informatie- en communicatietechnologie (ICT) systemen. Ook veel van de ondersteunende bedrijfsprocessen zijn sterk afhankelijk van ICT. Dit vereist een ICT-omgeving met waarborgen voor een optimale beschikbaarheid, betrouwbaarheid, integriteit en continuïteit van de opslag en verwerking van onze data. Door de snelle ontwikkelingen op het gebied van cybercriminaliteit is er veel aandacht voor informatiebeveiliging. ICT-systemen dienen aan de hoogste eisen te voldoen. Daarom worden die systemen regelmatig beproefd op hun weerbaarheid tegen cybercriminaliteit. Ook het bewustzijn van onze medewerkers op het gebied van cybercriminaliteit dient hoog te zijn. Daarom zijn binnen {{naam}} ‘awareness trainingen’ voor medewerkers verplicht gesteld waarin onderwerpen als 'phishing' aan bod komen. Daarnaast wordt het beveiligingsbewustzijn van medewerkers gedurende het jaar op verschillende manieren gemeten. De uitkomsten van deze metingen worden vervolgens meegenomen bij het aanbrengen van de focus voor nieuwe activiteiten.

Fraude

{{naam}} neemt maatregelen om fraude zo veel mogelijk te voorkomen en zo goed mogelijk op te sporen. Immers, fraude schaadt het vertrouwen in onze organisatie, zet de betaalbaarheid van zorg onder druk en is vanuit maatschappelijk oogpunt niet aanvaardbaar. Wij beheersen interne en externe frauderisico’s als integraal onderdeel van onze bedrijfsvoering middels preventie, tijdig signaleren en onderzoeken van fraude. Dit is uitgewerkt in ons fraudebeheersingsplan dat ieder jaar wordt herijkt en vastgesteld door het Bestuursteam.