Von der Theorie in die Praxis: Einrichtung eines CMS als Projekt

PrintMailRate-it

Schnell gelesen:

Mit der Sensibilität für die Notwendigkeit eines intakten Compliance-Managements ist auch das Interesse angestiegen, entsprechende Projekte aufzusetzen und Strukturen zu schaffen. Tatsächlich lauern in der praktischen Umsetzung des Themas jedoch zahlreiche, oft unerwartete Stolpersteine.

Die Zahl der Unternehmen im Gesundheitswesen, die sich gezielt mit dem Compliance-Management auseinandersetzen, ist in den vergangenen Monaten sprunghaft angestiegen. Kliniken, Dienstleister im Gesundheitswesen, Krankenkassen – Compliance ist nicht mehr länger ein Thema, das vor allem die großen Player beschäftigen würde, nein, es ist „in der Mitte der Gesundheitswirtschaft” angekommen. Was aber erwartet das Management konkret, wenn es sich entscheidet, ein Compliance Management System (CMS) einzuführen? Der Beitrag beleuchtet die operative Umsetzung eines solchen Projekts in der Praxis auf der Basis der Erfahrungen aus unterschiedlichen CMS-Projekten im Hause von Rödl & Partner.
 

Unternehmensweites Compliance-Verständnis – nur scheinbar eine Selbstverständlichkeit

Mit der Sensibilität für die Notwendigkeit eines intakten Compliance-Managements ist auch das Interesse angestiegen, entsprechende Projekte aufzusetzen und Strukturen zu schaffen. Tatsächlich lauern in der praktischen Umsetzung des Themas jedoch zahlreiche, oft unerwartete Stolpersteine. Diese beginnen damit, dass es sich um eine scheinbare Selbstverständlichkeit handelt. Die Absicht „compliant” zu sein, also sich als Unternehmen regelkonform zu verhalten, war schon lange vor dem Siegeszug des Begriffs Compliance eigentlich eine Selbstverständlichkeit, „Common Sense” sicherlich. Deshalb ist das Vorhaben tückisch: Welche Aktualität und welchen Bekanntheits- und Akzeptanzgrad genießen die Unternehmensziele bei den Mitarbeitern? Leitet sich korrektes Verhalten aus diesen Zielen ab? Ist ein gemeinsames Verständnis hinsichtlich Führung und Verantwortung im Unternehmen entwickelt und ist dies hinreichend verankert? Eine ehrliche Ist-Aufnahme durch unabhängige Berater verhindert , dass aus einer gesund-positiven Selbsteinschätzung unversehens blinde Flecken werden, die das CMS als solches dauerhaft belasten würden.
 

Wo der Teufel im Detail steckt: Welche Regelungen sind compliance-relevant?

Wesentlicher Baustein für die Realisation eines CMS ist ein Handbuch, in dem das Verständnis und die Umsetzung von Compliance im Unternehmen für jeden Mitarbeiter verständlich beschrieben werden. Ein gemeinsamer und tragfähiger Konsens des Managements über die Compliance-Kultur und die Compliance-Ziele stellt die wichtigste Grundlage für das Handbuch dar. Typischerweise taucht im Rahmen der Erarbeitung des Handbuchs die Frage auf, auf welche externen Rechtsquellen und internen Regeln die Mitarbeiter in Bezug auf Compliance überhaupt verwiesen werden. Hier steckt meist der Teufel im Detail. Auch wenn sich naturgemäß das relevante Regelkompendium zwischen einer Klinik, einem medizinischen Dienstleister und einer Krankenversicherung erheblich unterscheidet: Die Praxis zeigt, dass eine ad hoc verfügbare Zusammenstellung aller compliance-relevanten Regeln und Regelwerke oft eine große Herausforderung darstellt. Schließlich muss bei dieser Zusammenstellung garantiert werden können, dass jeweils die aktuellen Fassungen sowie, falls erforderlich, auch ältere Versionen abrufbar sind. Was tun, wenn die unüberschaubare Anzahl an Richtlinien und Verweisen dazu führt, das eine komplette Liste, wenn sie denn gelingt, völlig unübersichtlich wird und der Mitarbeiter den sprichwörtlichen „Wald vor lauter Bäumen” nicht mehr sehen kann? Intelligente, teilweise mehrstufige Dialog- und Suchsysteme haben sich in dieser Herausforderung oftmals am besten bewährt. Es ist keine Option, den Vollständigkeitsanspruch aufzugeben, denn damit würde das Unternehmen einerseits Compliance vom Mitarbeiter fordern und ihn andererseits mit dieser Forderung allein im Regen stehen lassen.
 

Compliance Management und Risikomanagement: Ungleiche Geschwister

Anders als das Compliance-Management ist das Risikomanagement schon heute in den Unternehmen der Gesundheitswirtschaft eingerichtet und meist hoch entwickelt. Dass es zwischen beiden Funktionen erhebliche Überschneidungen, aber auch Unterschiede gibt, ist unübersehbar. Es ist notwendig, zu diesen Unterschieden und Überschneidungen zwischen beiden Seiten ein gemeinsames Verständnis zu entwickeln. Nur dann kann man es vermeiden, in der Funktion des verantwortlichen Compliance Managers, des CCO, von vornherein einen dauerhaften, jedoch unnötigen und vor allem unproduktiven Rollenkonflikt mit dem Risikomanager anzulegen.
 
Unter dem Blickwinkel der Zielsetzungen betrachtet, geht es sowohl im Risikomanagement als auch im Compliance-Management darum, Risiken zu identifizieren und adäquate Risikovorsorge zu betreiben. Kennzeichnend für das Compliance-Management ist darüber hinaus ein unternehmensweiter Informations- und Kommunikationsauftrag, während zu den spezifischen Merkmalen des Risikomanagements auch die monetäre Bewertung und, darauf basierend, die Kategorisierung der einzelnen Risiken zählt. Dementsprechend unterscheiden sich auch die konkreten, alltäglichen Aktivitäten der beiden Funktionen wesentlich. Und auch wenn die meisten der compliance-relevanten Risiken im Risikokatalog des Unternehmens geführt werden: Es kann Compliance-Risiken geben, die dort keinen Platz finden, beispielsweise weil ihre monetäre Auswirkung für das Unternehmen im Eintrittsfall nach Einschätzung des CRO nicht wesentlich wäre.
 

Monitoring der Compliance-Risiken: Systematische Entwicklung gefragt

Das Monitoring der compliance-relevanten Risiken sollte in jedem Fall Bestandteil des bereits etablierten Risikomonitorings werden, da das Management auf diese Weise die Gewissheit erhält, sich aus einer Quelle über das komplette Risikoportfolio zu informieren. Dabei bedeutet der Anspruch der Vollständigkeit meist eine weitere, nicht zu unterschätzende Hürde. Was sich in der Praxis bewährt hat ist, bei dieser Risk Map der Compliance-Risiken einerseits die vollständige Liste der compliance-relevanten Regeln und andererseits alle Unternehmensfunktionen miteinander abzugleichen. Ohne ein hohes Maß an Praxiswissen aus buchstäblich allen Winkeln des Unternehmens ist diese Risk Map letztlich nicht zu erarbeiten. Dabei kann ein erfahrenes externes Beratungsbüro als Sparringspartner, Organisationspartner, Unterstützer für die Aufbereitung und Strukturierung und, nicht selten, auch als Prozesstreiber entscheidende Hilfestellung leisten.
 

Die Compliance-Organisation: Compliance fest verankern

Dass die Einrichtung eines Compliance-Managements eine Art einmaliger, projekthafter Schritt ist und das Unternehmen anschließend davon ausgehen kann, „compliant zu sein”, ist ein Irrtum. Die Praxis zeigt, dass dieser Irrtum weit verbreitet ist, auch wenn diese Einschätzung oft nicht ausdrücklich ausgesprochen wird. Compliance ist jedoch kein Zustand, sondern ein Anspruch. Dass man ihn hat, bedeutet noch nicht, dass man ihm gerecht wird. Deswegen bringt die Frage der regelmäßig laufenden Complianceprozesse und deren Verankerung in den existierenden Kernprozessen des Unternehmens meist eine weitere, nicht immer erwartete Hürde in das Projekt. Die im CMS definierten Regelprozesse der Prävention, der laufenden Beobachtung und ggf. auch der Sanktionierung von Complianceverstößen müssen in den Tagesbetrieb überführt werden. Doch die Mühe lohnt sich, denn die Prüfung des Compliance-Managements durch einen Wirtschaftsprüfer gewinnt auch im Kontext der Haftungsfragen des Managements (Stichwort Corporate Governance) eine wachsende Bedeutung. In der Stufe der Wirksamkeitsprüfung des CMS nach dem Prüfungsstandard IDW PS 980 wird genau diese Frage Gegenstand der Prüfungshandlungen.
 

Faktor Mensch: Compliance-Kommunikation

Da Compliance als solches kein einmalig erreichbarer und abzusichernder Zustand, sondern vielmehr ein im Unternehmen auf Dauer angelegter Anspruch sein kann und muss, muss die dauerhafte Sensibilisierung aller Mitarbeiter für die Compliance-Kultur immer wieder neu mit Leben erfüllt werden. Die Mitarbeiter selbst jedoch sind häufig in ihrer Mehrheit der Auffassung, dass – mit oder ohne die Begrifflichkeit „Compliance” – regelkonformes Verhalten bereits heute im Unternehmen gelebt wird und stehen dem strukturierten Compliance-Management daher eher skeptisch gegenüber. Es wird ein neuer Modetrend vermutet, der gleichzeitig eine Art „Mitarbeiterschikane” bedeutet. Und tatsächlich wird in aller Regel natürlich gelten, dass Mitarbeiter sich in ihrer überwältigenden Mehrheit auch vor der Einführung eines CMS bereits compliant verhalten. Mit dieser Skepsis muss das Compliance-Management daher sensibel umgehen. Wesentliche Faktoren für die Legitimation von Compliance sind ein überzeugtes, persönliches Auftreten des Topmanagements zum Thema Compliance, klare Argumente, die nicht allein darauf beruhen sollten, dass Topmanager Haftungsrisiken für sich ausschließen wollen und eine frühzeitige und verbindliche Einbindung des Managements insgesamt.
 

Realistisch planen

Da die Herausforderungen eines solchen Umsetzungsprojektes den Projektverantwortlichen mangels Erfahrung zu Projektbeginn oft nicht bewusst sind, ist es kaum überraschend, dass der Projektaufwand und damit auch der Zeitbedarf leicht unterschätzt werden. Die Praxis zeigt, dass für die Konzeptionsphase eines CMS, abhängig vom Status quo hinsichtlich Risikomanagement sowie den vorhandenen inhaltlichen Grundlagen und von der Komplexität insgesamt, mit einem Zeitbedarf von zwölf bis vierundzwanzig Monaten gerechnet werden muss.

Aus dem Newsletter

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu