Risicomanagement

Het Bestuursteam is verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen van CZ groep. Deze systemen hebben als doel om voldoende zekerheid te bieden ten aanzien van het beheersen van risico’s. Het risicobeheersingssysteem is ingebed op strategisch, tactisch en operationeel niveau. Dit stimuleert een bedrijfscultuur met voldoende aandacht voor risicobeheersing.

CZ zorgkantoor richt haar systeem van interne beheersing in op basis van de uitvoeringstaken Wlz en de aan deze taken gekoppelde eisen. Periodiek vindt er een beoordeling plaats of de ingerichte organisatie nog voldoet aan de gestelde eisen, vooral gebaseerd op de geldende wet- en regelgeving binnen de Wlz.

Ieder kwartaal wordt met een risicorapportage aandacht gegeven aan de ontwikkeling van de belangrijkste risico’s, de effectiviteit van de risicobeheersing- en controlesystemen en eventuele knelpunten daarin.

CZ zorgkantoor heeft de ambitie om in 2026 het risicomanagementsysteem verder te versterken. Het zorgkantoor gaat haar key processen en key beheersmaatregelen vastleggen en monitoren, dit in het kader van de doorontwikkeling naar aantoonbaar in control.

Fraudebeheersing

Uitgangspunt van ons fraudebeheersingsbeleid is dat fraude als vorm van niet integer handelen niet getolereerd wordt. Het schaadt het vertrouwen in ons zorgkantoor, zet de betaalbaarheid onder druk en is vanuit maatschappelijk oogpunt niet aanvaardbaar. Het doel van fraudebeheersing is fraude zo veel mogelijk te voorkomen. En indien fraude desondanks voorkomt dit tijdig te signaleren en de schade te beperken. Dit bereiken we door frauderisico’s als integraal onderdeel van de bedrijfsvoering te beheersen door het tijdig signaleren, afhandelen en terugdringen van fraude. Bijvoorbeeld door controle op budgetverantwoording en declaratie van productieafspraken in het kader van de Wet langdurige zorg (Wlz) doormiddel van signaallijsten of klantsignaleringssyteem.

De organisatie rondom externe frauderisico’s is bij CZ groep ingericht volgens het Enterprise Risk Management (ERM) 'Three lines'-model, namelijk de divisies (eerste lijn), risk (tweede lijn) en de Interne Auditdienst (derde lijn). De divisies zijn primair verantwoordelijk voor het signaleren en beheersen van frauderisico’s. Tevens voeren zij periodiek een Systematische Integriteit Risico Analyse (SIRA) uit. Hierin is ook specifieke aandacht voor risico’s op corruptie en omkoping. Binnen de eerste lijn zijn fraudecontactpersonen benoemd. Zij zijn het eerste aanspreekpunt binnen divisies en creëren en onderhouden fraudebewustzijn.

Voor fraude door medewerkers (interne fraude) geldt het Protocol Interne Incidenten. Het Protocol Interne Incidenten is een procedure onder het integriteitbeleid en dat ziet ook specifiek op voorkoming van omkoping en corruptie. Indien er een melding van een incident wordt gedaan zal het Incidententeam zo spoedig mogelijk maar uiterlijk binnen vijf werkdagen vaststellen welke vervolgstappen er naar aanleiding van die melding moeten worden uitgevoerd. Het Incidententeam is hierin opdrachtgever. Het Incidententeam zal voor de uitvoering van een onderzoek altijd een intern bedrijfsonderdeel of externe partij inschakelen, afhankelijk van de meest gepaste manier voor het onderzoeken van het incident. Hiermee zorgt CZ groep ervoor dat elk incident onafhankelijk en objectief onderzocht kan worden. Diverse bedrijfsonderdelen kunnen hiervoor ingeschakeld worden zoals onder meer: Bureau Bijzonder Onderzoek (BBO), Interne Auditdienst (IAD) of andere bedrijfsonderdelen zoals bijvoorbeeld ICT als het gaat over e-mail of internetgebruik. Ook kan er gebruik gemaakt worden van een externe partij zoals een advocaat of onderzoeksbureau. In 2025 is er geen sprake geweest van interne incidenten bij CZ zorgkantoor.

De IAD is verantwoordelijk voor een onafhankelijke en objectieve periodieke toetsing van de effectiviteit van de beheersing van interne en externe frauderisico's. De conclusies uit deze toetsing worden gerapporteerd aan het Bestuursteam. Daarnaast worden, in afstemming met de externe accountant van CZ groep, door de IAD aanvullende audits of controles uitgevoerd.

CZ groep voert periodieke een Systematische Integriteit Risico Analyse (SIRA) uit. Daaronder valt ook belangenverstrengeling en corruptie en omkoping als risico. Een verhoogde kans van fraude zien wij onder andere in de feitelijke levering van zorg in zowel PGB als Zorg in natura (ZIN). Wij nemen maatregelen om fraude zo veel mogelijk te voorkomen en zo goed mogelijk op te sporen, bijvoorbeeld door het uitvoeren van huisbezoeken voor PGB en een materiele controle voor ZIN. Wij beheersen interne en externe frauderisico’s als integraal onderdeel van onze bedrijfsvoering middels preventie, tijdig signaleren en onderzoeken van fraude.

Dit verslagjaar constateerden we via fraudeonderzoeken dat er 1,6 miljoen euro ten onrechte is gedeclareerd (2024: 0,3 miljoen euro).

Actuele risico's

Ieder halfjaar stelt de directie van de Wlz-uitvoerder een risicorapportage vast, waarin de ontwikkelingen ten aanzien van de grootste risico’s voor CZ zorgkantoor worden gevolgd. Gedurende het jaar kan door verschillende ontwikkelingen de impact van risico’s veranderen. Onderstaand zijn de actuele risico’s voor CZ zorgkantoor beschreven.

Zorgplicht onder druk

De zorgplicht is een open en niet absoluut haalbare norm. CZ zorgkantoor organiseert tijdige, bereikbare en kwalitatief goede zorg. Ondanks grote inspanning komt dat organiseren op onderdelen onder druk. Dat zet druk op de zorgplicht, waarbij het tegelijkertijd ook een doel is om de zorg betaalbaar te houden. In 2025 is nagenoeg 97% (2024: 96%) van de cliënten tijdig voorzien van Wlz zorg. Er wordt intensief gemonitord op wachtlijsten en doorlooptijden. Ondanks de daling in de wachtlijsten (VenV) zijn deze nog steeds omvangrijk. Op de langere termijn wordt het steeds uitdagender voor het CZ zorgkantoor om bepaalde cliënten tijdig te voorzien van de benodigde zorg. Hierbij spelen externe ontwikkelingen, waarop het CZ zorgkantoor weinig invloed heeft. In Nederland stijgt namelijk de zorgvraag en loopt het personeelstekort in de zorg op. Steeds meer vacatures zijn moeilijk in te vullen. Dit levert risico's op voor de toegang en kwaliteit van zorg en de kosten van zorg (door de schaarste van het aanbod en stijgende lonen). De werkdruk voor zorgmedewerkers komt de aantrekkelijkheid van de zorg als werkgever niet ten goede. Mogelijk zet dit op langere termijn extra druk op het arbeidsaanbod. Duurzame oplossingen en echte veranderingen zijn nodig om tot een oplossing te komen. Intern zetten we in op uitbreiding bemiddelingscapaciteit en extern op capaciteitsuitbreidingen bij aanbieders vooral extramuraal.

Als het CZ zorgkantoor geen tijdige zorg kan bieden, heeft de Wlz-uitvoerder (de zorgverzekeraar van cliënt) de plicht alsnog tijdig zorg (meestal door het ziekenhuis of wijkverpleging) te organiseren.

CZ zorgkantoor heeft, net als alle andere Wlz-uitvoerders, medio-2025 een compliance alarm ontvangen van de NZa over de verantwoording op de zorgplicht. De NZa heeft zorgen dat de Wlz-uitvoerders op 1 januari 2027 niet voldoen aan de verplichtingen uit de Regeling Uitvoeringsverslag/Financieel verslag. CZ zorgkantoor heeft maatregelen genomen om voor de betreffende deadline te voldoen aan de gestelde eisen.

Risico IT-beveiliging PGB-portaal 2.0 afgenomen

In 2025 hebben zich op dit gebied de volgende ontwikkelingen plaatsgevonden. Voor pgb2.0 voert de SVB een wetscontrole uit over 2025. De prognose van de SVB laat positieve uitkomsten zien ten aanzien van de rechtmatigheid van de pgb-kosten. Op basis hiervan verwacht de auditdienst van de SVB een goedkeurende controleverklaring af te kunnen geven.

Nadat de ADR de voorverkenning van een ISAE 3402 type 2 over 2025 had onderzocht en positief had teruggekoppeld heeft VWS veranderingen doorgevoerd in de governance. De programmadirectie pgb is per 1 september 2025 ontbonden. De taken worden voortgezet: domeinoverstijgend beleid en opdrachtgeverschap gaat naar directie Langdurige Zorg, de IV-uitvoering wordt samengevoegd bij Realisatie, de regietaken gaan naar het Regiebureau pgb, evenals de contacten voor de assurance-audits.

We zullen de voortgang van voornoemde ontwikkelingen blijven monitoren.

Exploitatierisico

Het zorgkantoor heeft de afgelopen jaren door negatieve exploitatieresultaten ingeteerd op haar reserves. Doelstelling is om de uitvoering van de wettelijke taken doelmatig en kostenefficiënt te organiseren, zodat de beheerskosten binnen het door de NZa vastgestelde uitvoeringsbudget blijven. Aan de hand van een financieel plan gericht op doorbelastingsherijking, kostenbeheersing en betere inzet van capaciteit moet het negatieve exploitatieresultaat omgebogen worden naar een positief exploitatieresultaat om te voorkomen dat er een financieel onhoudbare situatie voor het zorgkantoor ontstaat.

Wet- en regelgeving

CZ zorgkantoor monitort continu de bestaande wet- en regelgeving op wijzigingen en houdt de introductie van nieuwe wet- en regelgeving in het oog. Nieuw in 2025 was het CZ-brede KOWI-overleg (kern overleg wetsignalering implementatie). Centraal in dit overleg staat het bespreken van nieuwe regelgeving en het beleggen van de verantwoordelijkheid voor de implementatie hiervan. Dit is een nieuw proces met gebruikmaking van nieuwe methodieken voor het signaleren van wetgeving, zoals RSS-feeds. Het is een hele grote stap vooruit, maar het proces bevindt zich nog wel in de verkenningsfase vooral ook qua implementatie. Belangrijke actuele ontwikkelingen zijn de Wet open overheid (Woo) -waar van de passieve tak reeds in werking is getreden en waarvan de actieve tak op een later moment wordt ingevoerd- en de ontwikkelingen rondom Europese regelgeving op het gebied van kunstmatige intelligentie en weerbaarheid van ICT systemen (de AI Act). Daarnaast zijn specifiek voor het zorgkantoor ook de NIS2-richtlijn die gericht is op het verbeteren van de cyberbeveiliging en de weerbaarheid van essentiële diensten en de Wet Domeinoverstijgende Samenwerking (DOS) van belang.