Am Anfang steht das Ziel
Egal wie genau und gut lesbar eine Landkarte ist, die wir in den Händen halten – wenn wir unser Ziel nicht kennen, wird sie uns nicht helfen können. Gleiches gilt für die Unternehmensführung. Ohne klar definierte Ziele können wir unmöglich die Risiken kennen, die uns auf unserem Weg begegnen könnten, geschweige denn sinnvolle Steuerungs- und Kontrollmaßnahmen konzipieren. Egal ob Risiko- und Compliance-Management oder Internes Kontrollsystem, am Anfang müssen wir uns über unsere Ziele und die damit verbundenen Risiken klar werden.
Wir möchten das am Beispiel eines fiktiven Klinikums verdeutlichen, das sich mit rasant wachsenden externen Ansprüchen sowie finanziellen und operativen Herausforderungen konfrontiert sieht. Der Vorstand und die Führungskräfte haben zusehends das Gefühl, bei dem Berg potenzieller Risiken den Überblick zu verlieren. Um dieser Entwicklung entgegenzuwirken, hat man sich im Sinne guter Grundsätze für die Führung und Überwachung von Unternehmen für die Professionalisierung der Verfahren und Strukturen zum Umgang mit Risiken entschieden. Ein bereits abgeschlossener Strategieentwicklungsprozess hat neben strategischen Zielen auch daraus abgeleitete, operative Unternehmensziele hervorgebracht. Eines der übergeordneten Ziele lautet, jederzeit eine qualitativ hochwertige Versorgung von Patienten zu gewährleisten. Nun möchte der Vorstand im nächsten Schritt ein ganzheitliches Compliance- und Risiko-Management einrichten, das jeweils im Einklang mit den bereits vorhandenen Elementen des internen Kontrollsystems steht.
Orientierung in unsicheren Zeiten – Risikomanagement
Der Vorstand und die Führungskräfte legen fest, dass alle aktuellen und zukünftigen Umstände und Ereignisse innerhalb und außerhalb des Klinikums mit einem möglichen negativen Einfluss auf die Erreichung der Unternehmensziele als Risiken definiert werden. Diese Definition erfolgte mit der Haltung, dass Risiken nicht zu vermeiden und zwangsläufig mit jedem zukunftsorientierten unternehmerischen Handeln verbunden sind.
Da das Klinikum noch nie eine umfassende und strukturierte Risikoanalyse durchgeführt hat, ist dies genau der Schritt, mit dem gestartet wird. Damit die Ergebnisse dieser Analyse den erwünschten Mehrwert und eine nützliche Grundlage für die Etablierung des Risikomanagements liefern, muss die Betrachtung auf die gesamte Organisation ausgelegt werden und müssen die bereits definierten Unternehmensziele auf die betrachteten Organisationsbereiche heruntergebrochen werden.
Die Risikoanalyse des Klinikums hat unter anderem ergeben, dass der steigende Fachkräftemangel das Ziel einer qualitativ hochwertigen Patientenversorgung negativ beeinflussen kann. Um Bewältigungsmaßnahmen für dieses Risiko entwickeln zu können, muss es im nächsten Schritt unter Einbeziehung von Führungskräften aus den Fachbereichen analysiert und bewertet werden. Dazu gehört eine Beschreibung des Risikos inklusive der Ursachen und Auswirkungen. Aufgrund des Standorts der Klinik in einer eher strukturschwachen Gegend wird die Eintrittswahrscheinlichkeit eines wachsenden Fachkräftemangels im Rahmen der Bewertung als sehr hoch eingestuft. Untermauert wird diese Annahme durch Auswertungen der Personalabteilung, die auf sinkende Bewerberzahlen hindeuten. Für dieses Risiko werden nun von den Risikoverantwortlichen aus den Fachbereichen konkrete Bewältigungsmaßnahmen entwickelt und Kontrollverfahren etabliert, mit denen die Umsetzung der Maßnahmen sichergestellt werden soll.
Mit der Einrichtung eines ganzheitlichen und integrierten Risiko-Management-Systems (RMS) hat das Klinikum ein aktives und standardisiertes Verfahren im Umgang mit Risiken eingerichtet, um die Erreichung der Unternehmensziele zu unterstützen. Die übergeordnete Priorität sollte darauf liegen, Risiken möglichst frühzeitig zu erkennen, in ihrer Bedeutung für das Klinikum zu bewerten und angemessene Maßnahmen zur Bewältigung, Vermeidung oder Reduktion zu etablieren und zu überwachen. Hervorzuheben ist die beschriebene Einbeziehung von Führungskräften aus den Fachbereichen, die ein wichtiger Erfolgsfaktor ist. Aufgrund der Komplexität der Anforderungen kann ein Vorstand die Etablierung eines wirksamen Risikomanagements nicht alleine leisten, sondern benötigt Führungskräfte, die Managementverantwortung übernehmen.
Regeln sind dazu da, eingehalten zu werden – Compliance Management
Im Hinblick auf den drohenden Fachkräftemangel ist dem Vorstand und den Führungskräften der Fachbereiche klar, dass unter einem sinkenden Personalschlüssel nicht nur die Qualität der Versorgung leidet. Es besteht zudem das konkrete Compliance-Risiko, dass vorgeschriebene Personaluntergrenzen nicht mehr eingehalten werden können – es drohen Vergütungsabschläge. Das Beispiel macht deutlich, wie eng Risiko- und Compliance-Management verzahnt sind. Das Compliance-Management betrachtet besonders Umstände und Ereignisse, die dazu führen, dass interne und externe Regeln (Gesetze, Vorschriften, Verfahrensanweisungen und Richtlinien) nicht eingehalten werden. Bei Anwendung des Verfahrens einer umfassenden und strukturierten Risikoanalyse wird das Klinikum also zwangsläufig auch auf derartige Risiken stoßen. Auch das Compliance-Management erfordert organisatorische Stellen, die einen präzisen Blick auf konkrete Compliance-Risiken haben, und Bewältigungsmaßnahmen, die vorhandene Risiken reduzieren oder transferieren. Damit der Vorstand über die Entwicklungen und die Wirksamkeit des Compliance-Managements im Bilde ist, muss auch hier eine regelhafte Kommunikation mit Berichtswesen etabliert werden. All diese Bausteine waren bereits für das Risikomanagement relevant, weshalb enorme Synergiepotenziale vorhanden sind.
Vertrauen ist gut, Kontrolle ist besser – internes Kontrollsystem
Im Ergebnis mündet die Betrachtung von Risiken sowohl im Risiko- als auch im Compliance-Management in der Verknüpfung von Risiken mit konkreten Maßnahmen und Kontrollen. Es besteht also eine Schnittmenge darin, dass auf operativer Ebene der Organisation Steuerungs- und Kontrollverfahren eingerichtet und umgesetzt werden. Unser Beispiel-Klinikum hatte bereits vor seiner intensiven Auseinandersetzung mit den Risiken auf operativer Ebene vorbeugende und aufdeckende Verfahren interner Kontrolle etabliert, um die operativen Prozessziele zu erreichen. Für das übergeordnete Ziel einer qualitativ hochwertigen Patientenversorgung wurden bereits unterschiedliche Teilziele entwickelt, die über qualitätssichernde Steuerungs- und Kontrollverfahren abgesichert werden. Das interne Kontrollsystem fokussiert dabei ebenfalls Risiken, die auf die operativen Prozesse wirken und zu Fehlern, Qualitätsmängeln oder mangelnder Zielerreichung führen können. Auch das interne Kontrollsystem wird in der Praxis durch ähnliche Bausteine etabliert und abgesichert, wie es bei Risiko- und Compliance-Management der Fall ist.
Praxis-Hinweis
Unser fiktives Beispiel soll zeigen, wie viel Potenzial in einer integrierten Betrachtung der Themen Risiko-Management, Compliance-Management und internes Kontrollsystem steckt. In der Praxis sind die Verfahren oftmals nicht ausreichend aufeinander abgestimmt und die beteiligten Risikoverantwortlichen nicht im erforderlichen Maße in einem nutzenstiftenden Austausch. Hier liegt der Schlüssel zur Professionalisierung, Vereinheitlichung und Vereinfachung der Verfahren und Strukturen zum Umgang mit Risiken. Im nächsten Heft werden wir die notwendigen Schritte beschreiben, die zur Umsetzung des Ansatzes notwendig sind. Zugleich werden wir abschließend die Rolle der Internen Revision als Begleiter auf dem Weg zu einem integrierten Governance-, Risk- und Compliance-Management erörtern.
