Auch in der Gesundheits- und Sozialwirtschaft findet das Thema Compliance-Management in letzter Zeit wachsende Beachtung. Anlass hierfür sind zum Beispiel öffentlich wahrgenommene Skandale rund um Gesetzesverstöße und Rechtsprechungen, die zu empfindlichen Konsequenzen bei Haftungsverstößen von gesetzlichen Vertretern führen. Nur wenige Unternehmen verfügen über systematische Verfahren des Compliance-Managements. Ein praxisnaher und ressourcenschonender erster Schritt zur vollständigen Implementierung eines Compliance-Management-Systems nach den einschlägigen Standards und Normen ist die Durchführung einer Bestandsaufnahme mit Hilfe eines Compliance-Audits.
Ein Compliance-Audit kann die Frage beantworten, wie gut die Organisation insgesamt oder in einem Teilbereich in Bezug auf das Thema Compliance aufgestellt ist und welche Maßnahmen zur Weiterentwicklung sinnvoll wären. Im ersten Schritt sollte der Gegenstand des Compliance-Audits festgelegt werden, zum Beispiel:
- Organisationsbereiche (z. B. Beschaffungswesen/Einkauf, Personal, Finanz- und Rechnungswesen, Informationstechnologie),
- zentrale Unternehmensprozesse (z. B. Beschaffungsprozess, Abrechnungsprozess),
- unselbständige Einrichtungen oder Tochtergesellschaften,
- die gesamte Organisation.
Das Compliance-Audit hat den Zweck, Compliance-Risiken in den ausgewählten Bereichen zu identifizieren und gleichzeitig zu analysieren, welche organisatorischen Vorkehrungen bereits in den Prozessen bzw. im internen Kontrollsystem vorhanden sind. Die Erwartungshaltung hinsichtlich des Soll-Zustands sollte sich an Branchenstandards sowie Organisationen von vergleichbarer Größe und Komplexität orientieren. Insofern ist es nicht sinnvoll, pauschal Instrumente zu benennen, die zwingend zu einem Compliance-Management-System gehören. In der Praxis zeigen sich jedoch in der Ablauforganisation oftmals die im Folgenden beschriebenen Merkmale.
Eine systematische und wiederkehrende Compliance-Risikoanalyse ist ein sehr wichtiges und häufig anzutreffendes Merkmal des Compliance-Managements. Die Risiken, denen eine Organisation ausgesetzt ist, variieren durchaus je nach Branche und Tätigkeitsbereich. Deshalb hilft eine Risikoanalyse dabei, die individuell wichtigsten Risiken zu identifizieren und darauf basierend eine angemessene Ablauforganisation einzurichten.
Die Dokumentation relevanter Regeln, eines Verhaltenskodex sowie weiteren Organisationsregeln ist ein zusätzliches Merkmal einer Compliance-Organisation. Sie ist kein Selbstzweck, sondern dient den Mitarbeitern als Hilfestellung, um teils schwerverständliche Gesetze und Regeln in eine verständliche Form zu überführen. Der Umfang der Dokumentation sollte sich am Risikoportfolio der Organisation orientieren und nur auf kritische Risiken eingehen.
Ein angemessenes und wirksames Internes Kontrollsystem bietet eine gute Grundlage für eine regelkonforme Ablauforganisation. Dabei sind prozessabhängige und prozessunabhängige Kontrollmaßnahmen zu unterscheiden. Zu den Kontrollen, die in die betrieblichen Abläufe integriert sind, gehört zum Beispiel das Vier-Augen-Prinzip. Zu den prozessunabhängigen Kontrollen gehört unter anderem die Tätigkeit einer Internen Revision oder eines externen Prüfers. Diese Kontrollarten sollten in einer individuellen Abmischung in das Compliance-Management integriert werden und explizit auf Compliance-Risiken aufsetzen. Deshalb sollte in einem Compliance-Audit analysiert werden, ob bei der Konzeption von Kontrollen auch Compliance-Risiken adressiert oder vorwiegend Kontrollen zur Fehlervermeidung oder einer effizienten Prozessabwicklung eingerichtet wurden.
Das Thema Hinweisgebersystem ist in der jüngeren Vergangenheit aufgrund der Initiativen zum Schutz von Hinweisgebern sowohl auf europäischer als auch auf nationaler Ebene zunehmend in den Fokus gerückt. Aus dem Regierungsentwurf zum Hinweisgeberschutzgesetz lässt sich erahnen, wie der Hinweisgeberschutz in Deutschland künftig organisiert werden muss. Durch ein Compliance-Audit können Implementierungsansätze für ein noch einzurichtendes Hinweisgebersystem herausgearbeitet oder die Angemessenheit der vorhandenen Prozesse zum Umgang mit Hinweisen geprüft werden. Die Auseinandersetzung mit diesem Thema und dessen Umsetzung sind jedenfalls wichtige Schritte in Richtung Compliance.
Hinsichtlich der Aufbauorganisation soll ein Compliance-Audit die Frage beantworten, welche Stellen innerhalb der Organisation die Aufgabe des Compliance-Beauftragten übernehmen. In Organisationen der Gesundheits- und Sozialwirtschaft gibt es dafür selten eigene Stellen. In der Regel wird diese Tätigkeit entweder durch die Geschäftsführung selbst oder durch Stelleninhaber mit anderen Primäraufgaben übernommen. Sofern eine Delegation erfolgt, wird das Thema meist in Organisationsbereichen angesiedelt, die auch in kleineren und mittleren Unternehmen regelmäßig anzutreffen sind, zum Beispiel in der Personalabteilung oder im Rechnungswesen/Controlling.
Fazit
Ein Compliance-Audit ist eine sinnvolle und pragmatische Ergänzung zum traditionellen Ansatz der vollständigen Implementierung eines Compliance-Management-Systems, kann dieses jedoch nicht ersetzen. In der Praxis zeigt sich, dass die verfügbaren Standards und Normen zu Compliance-Management-Systemen für viele Unternehmen der Gesundheits- und Sozialwirtschaft nicht passgenau sind und zunächst an die Gegebenheiten angepasst werden müssen. Das Compliance-Audit folgt dem Ansatz, den Beteiligten vorhandene Kapazitäten bewusst zu machen und diese auszubauen. Auf diese Weise kann entweder für die Gesamtorganisation oder schrittweise zunächst in Teilbereichen ein funktionierendes Compliance-Management aufgebaut und den Mitarbeitern das notwendige Verständnis vermittelt werden. Sprechen Sie uns gerne an, wenn Sie entsprechenden Beratungsbedarf haben.