Anbieter zum Thema

Governikus GmbH & Co. KG

Compliance-Lücken: Die Risiken

Die Folgen bei nicht eingehaltener Compliance können für Kliniken und Krankenhäuser enorm sein: Zum einen kann ein massiver Reputationsschaden in der Öffentlichkeit entstehen, zum anderen wird die Frage nach der Haftung gestellt. Die Geschäftsführung trägt die persönliche Verantwortung für Rechtsverstöße. Damit können Regressforderungen auf die verantwortlichen Organe – das heißt, an die Geschäftsführung und den Aufsichtsrat – hinzukommen, wenn kein ausreichendes oder funktionierendes Compliance-Management-System vorhanden ist. Aktuelle Urteile zeigen, dass sich CEOs von Kliniken zunehmend für Fehlverhalten wie Bestechung und Betrugsversuche vor Gericht rechtfertigen müssen. Solche Schadensfälle können im schlimmsten Fall sogar die Existenz eines Hauses gefährden: Ein Reputationsschaden ist immer mit massivem Vertrauensverlust bei Patienten und Partnern verbunden. Im schlimmsten Fall bleiben die Patienten aus; das Krankenhaus verliert seine Konkurrenzfähigkeit und die Personalfluktuation setzt ein.

Praxisverwaltungssysteme

Fehleranfällige Praxissoftware belastet Arztpraxen

Ein CMS muss funktionieren

Rechtliche Verschärfungen, neue Gesetze und ein strengerer Blick der Öffentlichkeit haben dazu geführt, dass Krankenhäuser und Kliniken flächendeckend Compliance-Management-Systeme (CMS) als Prävention gegen Betrug und Fehlverhalten eingeführt haben. Doch nicht alle implementierten Lösungen erfüllen ihren Zweck. In einigen Fällen haben sich Unternehmen möglicherweise für eine Low-Budget-Lösung entschieden und wiegen sich in falscher Sicherheit. Es reicht jedoch oft nicht aus, ein CMS nur vorweisen zu können: Ein prominentes Beispiel ist Volkswagen, wo das CMS nicht wirksam genug war, um den Betrug im Zusammenhang mit den Abgasemissionen zu verhindern. Die Strafen für die Verantwortlichen stehen noch aus. Möchten Unternehmen dies vermeiden und die Verantwortlichen bei Schadensfällen von der Haftung befreien, muss das CMS funktional und in der Praxis verankert sein.

Das CMS auditieren lassen

Mit der Unterstützung von Experten können Kliniken und Krankenhäuser feststellen, ob ihr CMS tatsächlich wie vorgesehen funktioniert. Sollte dies nicht der Fall sein, erhalten sie die notwendige Hilfe, um Anpassungen vorzunehmen. Die Überprüfung orientiert sich an etablierten nationalen Standards:

• Die ISO 37301:2021 – Compliance Management Systems legt die Anforderungen an ein CMS fest und bietet Leitlinien zu Implementierung, Umsetzung und Optimierung. Basis ist die ISO 19600.

• Der Standard IDW PS 980 – Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen – beschreibt die Anforderungen an die Prüfung eines CMS und definiert sieben Elemente eines wirksamen CMS, darunter die Compliance-Kultur, Ziele, Organisation, Risiken und Kommunikation.

Zum CMS gehört eine Risikoanalyse: Dafür wird die Organisation durchleuchtet, Risikobereiche identifiziert und bewertet. Daraus werden schließlich Maßnahmen abgeleitet. Die Mitarbeitenden müssen auf Compliance verpflichtet und die Aufsichtsgremien informiert werden. Eine wirksame Organisation verfügt auch stets über eine verantwortliche Person, welche die notwendigen Kompetenzen und die richtigen Ressourcen besitzt. Dabei hat sie nicht nur Zugang zum Geschäftsführer, sondern auch eine Eskalationsroutine etabliert. Außerdem muss das Berichtswesen eingerichtet und klar strukturiert sein. Das System sollte stets auf dem neuesten Stand gehalten werden, wobei neue Entwicklungen beobachtet und bei Bedarf in die Organisation integriert werden müssen.

Ein externer Berater kann diese Inhalte prüfen und untersuchen, ob sie wirksam in der Organisation etabliert sind. Es ist dringend erforderlich, dass das CMS einen präventiven Charakter hat. Auf diese Weise können Audits durchgeführt, Unterlagen gesichtet und Interviews mit den Verantwortlichen geführt werden. Die Prozesse werden einer Metaanalyse unterzogen und es werden Auswertungen erzeugt. Nach wenigen Wochen entsteht so ein Überblick über die Leistungsfähigkeit und Funktionalität des CMS, der in einem Auditbericht mündet. Darin werden Stärken und Schwächen dargelegt und die Funktionsfähigkeit beurteilt. Kliniken kennen damit ihren Status quo. Bei aufgedeckten Schwächen oder Problemen liegen zudem Handlungsempfehlungen vor – wobei es sehr hilfreich ist, Best Practices aufzuzeigen.

Fazit

Ein CMS ist das Mittel der Wahl, um Prävention in Kliniken und Krankenhäusern zu betreiben, internes Fehlverhalten zu verhindern und sich gegen Angriffe von außen zu schützen. Dafür muss es allerdings wirksam sein: Nur ein funktionierendes Compliance Management System reduziert das persönliche Haftungspotenzial der Geschäftsführung. Kliniken und Krankenhäuser können dafür einen externen Audit durchführen lassen.

IT-Sicherheitsvorfall

Cyberangriff auf überregionalen Krankenhausbetreiber

Hacker- und Malware-Attacken

Höhere Cyberresilienz im Healthcare-Bereich

(ID:50262277)