Risicomanagement
Het Bestuursteam is verantwoordelijk voor de opzet en werking van de interne risicobeheersing- en controlesystemen van CZ groep. Deze systemen hebben als doel om voldoende zekerheid te bieden ten aanzien van het beheersen van risico’s. Het risicobeheersingssysteem is ingebed op strategisch, tactisch en operationeel niveau. Dit stimuleert een bedrijfscultuur met voldoende aandacht voor risicobeheersing.
CZ zorgkantoor richt haar systeem van interne beheersing in op basis van de uitvoeringstaken Wlz en de aan deze taken gekoppelde eisen. Periodiek vindt er een beoordeling plaats of de ingerichte organisatie nog voldoet aan de gestelde eisen, vooral gebaseerd op de geldende wet- en regelgeving binnen de Wlz.
Twee maal per jaar wordt met een risicorapportage aandacht gegeven aan de ontwikkeling van de belangrijkste risico’s, de effectiviteit van de risicobeheersing- en controlesystemen en eventuele knelpunten daarin. Hiermee heeft CZ zorgkantoor continu inzicht in de belangrijkste risicovraagstukken.
Om het risicomanagementsysteem verder te versterken en realtime managementinformatie te genereren over de effectiviteit van het interne control-framework, implementeerde CZ groep een centrale risicomanagementapplicatie.
Fraudebeheersing
Uitgangspunt van ons fraudebeheersingsbeleid is dat fraude als vorm van niet integer handelen niet getolereerd wordt. Het schaadt het vertrouwen in ons zorgkantoor, zet de betaalbaarheid onder druk en is vanuit maatschappelijk oogpunt niet aanvaardbaar. Het doel van fraudebeheersing is fraude zo veel mogelijk te voorkomen. En indien fraude desondanks voorkomt dit tijdig te signaleren en de schade te beperken. Dit bereiken we door frauderisico’s als integraal onderdeel van de bedrijfsvoering te beheersen door het tijdig signaleren, afhandelen en terugdringen van fraude. Bijvoorbeeld door controle op budgetverantwoording en declaratie van productieafspraken in het kader van de Wet langdurige zorg (Wlz) doormiddel van signaallijsten of klantsignaleringssyteem.
De organisatie rondom externe frauderisico’s is bij CZ groep ingericht volgens het Enterprise Risk Management (ERM) 'Three lines'-model, namelijk de divisies (eerste lijn), risk (tweede lijn) en de Interne Auditdienst (derde lijn). De divisies zijn primair verantwoordelijk voor het signaleren en beheersen van frauderisico’s. Tevens voeren zij periodiek een Systematische Integriteit Risico Analyse (SIRA) uit. Hierin is ook specifieke aandacht voor risico’s op corruptie en omkoping. Binnen de eerste lijn zijn fraudecontactpersonen benoemd. Zij zijn het eerste aanspreekpunt binnen divisies en creëren en onderhouden fraudebewustzijn.
Voor fraude door medewerkers (interne fraude) geldt het Protocol Interne Incidenten. Het Protocol Interne Incidenten is een procedure onder het integriteitbeleid en dat ziet ook specifiek op voorkoming van omkoping en corruptie. Indien er een melding van een incident wordt gedaan zal het Incidententeam zo spoedig mogelijk maar uiterlijk binnen vijf werkdagen vaststellen welke vervolgstappen er naar aanleiding van die melding moeten worden uitgevoerd. Het Incidententeam is hierin opdrachtgever. Het Incidententeam zal voor de uitvoering van een onderzoek altijd een intern bedrijfsonderdeel of externe partij inschakelen, afhankelijk van de meest gepaste manier voor het onderzoeken van het incident. Hiermee zorgt CZ groep ervoor dat elk incident onafhankelijk en objectief onderzocht kan worden. Diverse bedrijfsonderdelen kunnen hiervoor ingeschakeld worden zoals onder meer: Bureau Bijzonder Onderzoek (BBO), Interne Auditdienst (IAD) of andere bedrijfsonderdelen zoals bijvoorbeeld ICT als het gaat over e-mail of internetgebruik. Ook kan er gebruik gemaakt worden van een externe partij zoals een advocaat of onderzoeksbureau. In 2024 is er geen sprake geweest van interne incidenten bij CZ zorgkantoor.
De IAD is verantwoordelijk voor een onafhankelijke en objectieve periodieke toetsing van de effectiviteit van de beheersing van interne en externe frauderisico's. De conclusies uit deze toetsing worden gerapporteerd aan het bestuursteam. Daarnaast worden, in afstemming met de externe accountant van CZ groep, door de IAD aanvullende audits of controles uitgevoerd.
CZ groep voert periodieke een Systematische Integriteit Risico Analyse (SIRA) uit. Daaronder valt ook belangenverstrengeling en corruptie en omkoping als risico. Een verhoogde kans van fraude zien wij onder andere in de feitelijke levering van zorg in zowel PGB als Zorg in natura (ZIN). Wij nemen maatregelen om fraude zo veel mogelijk te voorkomen en zo goed mogelijk op te sporen, bijvoorbeeld door het uitvoeren van huisbezoeken voor PGB en een materiele controle voor ZIN. Wij beheersen interne en externe frauderisico’s als integraal onderdeel van onze bedrijfsvoering middels preventie, tijdig signaleren en onderzoeken van fraude.
Dit verslagjaar constateerden we via fraudeonderzoeken dat er 0,3 miljoen euro ten onrechte is gedeclareerd (2023: 0,3 miljoen euro).
Actuele risico's
Ieder halfjaar stelt de directie van de Wlz-uitvoerder een risicorapportage vast, waarin de ontwikkelingen ten aanzien van de grootste risico’s voor CZ zorgkantoor worden gevolgd. Gedurende het jaar kan door verschillende ontwikkelingen de impact van risico’s veranderen. Onderstaand zijn de actuele risico’s voor CZ zorgkantoor beschreven.
Zorgplicht onder druk
De zorgplicht is een open en niet absoluut haalbare norm. CZ zorgkantoor organiseert tijdige, bereikbare en kwalitatief goede zorg. Ondanks grote inspanning komt dat organiseren op onderdelen onder druk. Dat zet druk op de zorgplicht, waarbij het tegelijkertijd ook een doel is om de zorg betaalbaar te houden. In 2024 is nagenoeg 96% van de cliënten tijdig voorzien van Wlz zorg. Er wordt intensief gemonitord op wachtlijsten en doorlooptijden. Op dit moment lukt het onvoldoende om wachtlijsten in de zorg weg te werken, we zien met name een forse stijging van de wachtlijst ouderenzorg. Dit zorgt ervoor dat er geen garantie kan worden gegeven dat de zorg altijd voor iedereen toegankelijk is. Op de langere termijn wordt het steeds uitdagender voor het CZ zorgkantoor om bepaalde cliënten tijdig te voorzien van de benodigde zorg Hierbij spelen externe ontwikkelingen, waarop het CZ zorgkantoor weinig invloed heeft. In Nederland stijgt namelijk de zorgvraag en loopt het personeelstekort in de zorg op. Steeds meer vacatures zijn moeilijk in te vullen. Dit levert risico's op voor de toegang en kwaliteit van zorg en de kosten van zorg (door de schaarste van het aanbod en stijgende lonen). De werkdruk voor zorgmedewerkers komt de aantrekkelijkheid van de zorg als werkgever niet ten goede. Mogelijk zet dit op langere termijn extra druk op het arbeidsaanbod. Duurzame oplossingen en echte veranderingen zijn nodig om tot een oplossing te komen. Intern zetten we in op uitbreiding bemiddelingscapaciteit en extern op capaciteitsuitbreidingen bij aanbieders vooral extramuraal.
Als het CZ zorgkantoor geen tijdige zorg kan bieden, heeft de Wlz-uitvoerder (de zorgverzekeraar van cliënt) de plicht alsnog tijdig zorg (meestal door het ziekenhuis of wijkverpleging) te organiseren.
PGB-portaal 2.0 levert extra risico in de IT-beveiliging van zorgkantoren, met name op privacy en security
PGB-portaal 2.0 levert extra risico in de IT-beveiliging van zorgkantoren, met name op privacy en security. Op basis van de bevindingen en conclusies van de Auditdienst Rijk naar aanleiding van haar onderzoek naar de IT-omgeving van het Zorgdomein van het PGB-portaal over de jaren 2022 en 2023 kan van de gegevens in het Zorgdomein niet met zekerheid worden gesteld dat deze betrouwbaar tot stand zijn gekomen. Daardoor kan niet worden gesteund op de werking van de geautomatiseerde beheersmaatregelen binnen het Zorgdomein. De auditdienst van de SVB komt hierdoor tot een oordeelonthouding door het ontbreken van voldoende en geschikte controle-informatie omtrent de betrouwbaarheid van de gegevens in het Zorgdomein.
In november 2024 heeft de Auditdienst SVB aangegeven dat (IT) beheersing rondom het Zorgdomein PGB 2.0 gedurende 2024 verbeteringen heeft ondergaan. Echter het is per heden nog niet duidelijk tot welk oordeel van de Auditdienst Rijk dit zal leiden en of deze verbeteringen toereikend zijn om te concluderen dat de gegevens in het Zorgdomein PGB 2.0 betrouwbaar tot stand zijn gekomen. Wij zullen de voortgang van voornoemde ontwikkelingen blijven monitoren.Hoewel het oplossen van de issues buiten de invloedssfeer van CZ zorgkantoor ligt, blijven we de issues agenderen bij VWS. De SVB en ZN spelen ook een rol bij het zoeken naar een oplossing voor deze problematiek. Net als in voorgaande jaren zal het ministerie van VWS een ‘coulance’ brief verstrekken waardoor de PGB 2.0 betalingen toch ten laste kunnen komen van het Fonds langdurige zorg.
Exploitatierisico
CZ zorgkantoor had in 2022 en 2023 te maken met hogere kosten dan het ontvangen budget ter dekking van de uitvoeringskosten Wlz. In 2024 was sprake van een licht positief exploitatieresultaat, maar in 2025 wordt weer een negatief resultaat verwacht. Gezien de ontwikkelingen in het zorgveld en bij het zorgkantoor is het exploitatietekort naar verwachting structureel. Zonder structurele aanpassing van het budget kan daardoor op termijn een financieel onhoudbare situatie voor het zorgkantoor ontstaan. CZ zorgkantoor is met VWS het gesprek aangegaan over de exploitatieresultaten. Mocht er bij CZ zorgkantoor een liquiditeitstekort ontstaan, dan heeft het bestuur van Onderlinge Waarborgmaatschappij CZ groep U.A. de toezegging gedaan aan CZ zorgkantoor een lening te verstrekken, zodat de continuïteit van CZ zorgkantoor wordt gewaarborgd.
Wet- en regelgeving
CZ zorgkantoor monitort continu de bestaande wet- en regelgeving op wijzigingen en houdt de introductie van nieuwe wet- en regelgeving in het oog. Het CZ zorgkantoor rapporteert hier elk kwartaal over. Belangrijke actuele ontwikkelingen zijn de Wet open overheid (Woo) -waar van de passieve tak reeds in werking is getreden en waarvan de actieve tak op een later moment wordt ingevoerd- en de ontwikkelingen rondom Europese regelgeving op het gebied van kunstmatige intelligentie en weerbaarheid van ICT systemen (de AI Act).