Compliance Management Systeme in der Gesundheits- und Sozialwirtschaft

PrintMailRate-it

veröffentlicht am 22. November 2018


Compliance wird immer stärker als Faktor der Wertschöpfung und wesentlicher Treiber für nach­haltiges Handeln erkannt. In der Gesundheits- und Sozialwirtschaft spielt Compliance noch keine überragende Rolle. So klingt das Thema lediglich in vereinzelten Bereichen, v.a. im Bereich der Korruptionsprävention (§§ 299a und 299b StGB) oder in der Fehlverhaltensbekämpfung (§ 197a SGB V), an. Grund genug, sich dem Thema auch aus Prüfersicht zu widmen.

   

Risikofehleinschätzungen im Hinblick auf mangelhafte Compliance

Es ist nicht so, dass die Risiken einer mangelhaften Compliance unterschätzt werden. Vielfach werden sie jedoch nicht wahrgenommen, weil die Geschäftsleitung sich – nachvollziehbar – oft zu sehr auf das operative Kerngeschäft konzentriert. Dadurch nimmt sich die Geschäftsleitung oft die Chance, auch mit wenigen Mitteln geeignete Präventionsmaßnahmen zur Haftungsvermeidung zu implementieren.

 

Ganzheitliche nachhaltige Compliance Management Systeme (CMS) als Präventionsmaßnahme

Die Aufgabe eines CMS ist es, bestehende Risiken zu erkennen, zu minimieren, das Unternehmen vor Ge­setzesverstößen zu schützen und auf bestehende Verstöße zu reagieren (schützen – erkennen – rea­gieren). Insoweit ist es empfehlenswert, eine ganzheitliche Betrachtung der Unternehmensrisiken vorzu­nehmen. Was aber ist unter Ganzheitlichkeit zu verstehen? Die wesentlichen Elemente eines ganz­heitlichen CMS kann man im Grunde wie folgt zusammenfassen:

 

  • Compliance-Kultur – Geprägt durch das Management. Der sog. „tone from the top” hat entscheidenden Einfluss. Hinreichende Akzeptanz.
  • Compliance-Ziele – Ziele sind definiert. Organisation des CMS. Welche Regeln stehen im Fokus. Festlegungen korrespondieren mit Risiken.
  • Compliance-Organisation – CMS wird definiert und umgesetzt. Definition von Rollen und Verantwortlichkeiten. Aufbau- und Ablauforganisation.
  • Compliance-Risiken – Risiken für die Zielerreichung identifiziert. Maßnahmen zur Behandlung getroffen. Systematische Identifizierung/Beurteilung.
  • Compliance-Programm – Grundsätze und Maßnahmen, die die Begrenzung von Risiken vermeiden. Maßnahmen bei festgestellten Verstößen.
  • Compliance-Kommunikation – Sachgerechte Kommunikation erforderlich. Sicherstellung der im Compliance-Programm definierten Maßnahmen/Vorgehensweisen.
  • Compliance-Überwachung – Prüfung der dauerhaften Eignung. Schwächen aufdecken. Handlungsbedarf zur Verbesserung identifizierten.

 

Zunächst können auf der Grundlage einer spezifischen – unternehmensbezogenen – Risikoanalyse die wesentlichen und unternehmenstypischen Risiken erfasst werden, anhand derer das jeweilige CMS dann im Nachgang konzipiert wird. Die geeigneten Grundsätze und Maßnahmen werden nach der Bewertung des jeweiligen Compliance-Risikos ausgewählt und eingeführt. Nur wenn die spezifischen Compliance-Risiken richtig erfasst sind, können sie nachhaltig und effizient begrenzt werden.

 

Die Umsetzung erfolgt im Wesentlichen auf der Basis von Richtlinien, Arbeitsanweisungen oder Prozessbe­schreibungen. Das Schöne ist: In der jeweiligen Gestaltung ist jedes Unternehmen selbstbestimmt und frei. Denn für die inhaltliche Ausgestaltung eines CMS bestehen i.d.R. keine allgemeingültigen Standards. Es sollen die besonderen Strukturen des Unternehmens wie Branche, Größe, Gegebenheiten des Marktum­feldes, auf dem es agiert, sowie kritische Vorfälle in der Vergangenheit und besondere Rechtsvorschriften berücksichtigt werden. Es ist Aufgabe der Unternehmensleitung, die Rollen und Verantwortlichkeiten innerhalb des CMS sowie Aufbau und Organisation, die dann integraler Bestandteil der Unternehmensor­ganisation sind, zu bestimmen. So ist z.B. ein Compliance-Verantwortlicher zu benennen, der über klar definierte Zuständigkeiten und Befugnisse verfügt. Das kann ein Externer sein, selbstverständlich ist es aber auch möglich, dass die Aufgabe des Compliance-Verantwortlichen von der Geschäftsführung übernommen wird. Entscheidend ist, dass der Compliance-Verantwortliche mit den für die Implementierung und Aufrechterhaltung der Compliance-Organisation erforderlichen Kenntnissen, Mitteln und Befugnissen ausgestattet ist.

 

Testat über die Wirksamkeit eines Compliance Management Systems

In einer aktuellen Entscheidung hat sich der Bundesgerichtshof (BGH) ebenfalls dahingehend geäußert, dass z.B. für die Bemessung einer Geldbuße nach § 30 Abs. 1 OWiG von Bedeutung ist, inwieweit das betroffene Unternehmen seiner Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein „effizientes” CMS installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt ist.

 

Dabei wird aktuell die Frage diskutiert, ob bei der Bußgeldbemessung tatsächlich die Effizienz von Compliance-Maßnahmen im Sinne eines möglichst günstigen Kosten-Nutzen-Verhältnisses zwischen den Compliance-Maßnahmen und den erzielten Ergebnissen berücksichtigt werden soll. Naheliegend ist, dass der BGH allein auf die Effektivität der Compliance-Maßnahmen, also die Wirksamkeit zur Zielerreichung, abstellt. Denn es scheint, als wolle er ein Unternehmen belohnen, das wirksame Maßnahmen einführt und nicht ein solches, das weitgehend das Kosten-Nutzen-Verhältnis betrachtet. Es macht daher Sinn, sich diese Effektivität in irgendeiner Weise bestätigen zu lassen. Eine Orientierung kann insoweit der durch das Institut der Wirtschaftsprüfer veröffentlichte Prüfungsstandard 980 darstellen, der eine Konzeptions­prüfung, eine Angemessenheitsprüfung und eine Wirksamkeitsprüfung vorsieht.

 

Je nach Reifegrad des Systems sind die nachfolgenden Komponenten zu prüfen und bei Vorliegen zu testieren:

 

Zusammenfassend lässt sich festhalten: Die Vorteile der Einrichtung sowie die Prüfung der Wirksamkeit von Compliance Management Systemen bei Unternehmen der Gesundheits- und Sozialwirtschaft liegen auf der Hand: Zum einen geht es um die Vermeidung von Haftungsrisiken. Zur Vermeidung von Haftungsrisiken für Unternehmen, Geschäftsleitung und Mitarbeiter ist die Einrichtung eines effizienten, aber v.a. nachhaltigen CMS auch für Unternehmen der Gesundheits- und Sozialwirtschaft unerlässlich. Diese Effektivität sollte man sich bestätigen lassen.

 

Orientierung kann der Prüfungs­standard 980 bieten. Die deutschen IDW-Prüfungsstandards entsprechen grundsätzlich den Internat­ional Standards on Auditing (ISA) unter Berücksichtigung der Anpassungen an das geltende deutsche Recht. Die Prüfungs­standards können in etwas modifizierter Form ebenfalls bei international tätigen Unternehmen angewendet werden. Die Bestätigung eines vorhandenen Compliance Management Systems – insbesondere dessen Wirksamkeit – durch den Wirtschaftsprüfer kann bei eingeleiteten Straf- und Bußgeldverfahren bei einer Verteidigung, aber auch bei der Durchsetzung von Schadensersatzansprüchen enorm hilfreich sein.

Kontakt

Contact Person Picture

Norman Lenger, LL.M.

Rechtsanwalt, Fachanwalt für Steuerrecht, Zertifizierter Compliance Officer, Zertifizierter IT-Compliance Manager

Partner

+49 911 9193 3713
+49 911 9193 3679

Anfrage senden

Profil

Contact Person Picture

Bernd Vogel

Wirtschaftsprüfer, Steuerberater

Partner

+49 911 9193 3657
+49 911 9193 9657

Anfrage senden

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu