Wie in Teil 1 der Serie erläutert, stellt Compliance nach überwiegender Ansicht die Gesamtheit aller Maßnahmen dar, die dazu dienen, das rechtmäßige Verhalten der Unternehmen zu gewährleisten. Klarheit besteht zudem, dass eine Pflicht zur Einrichtung eines Compliance-Management-Systems (CMS) zwar nicht für jedes Unternehmen existiert, die Einführung aber zumindest für alle sinnvoll ist. Unklar ist dann jedoch, ob sich aus dieser Pflicht auch ein konkreter Pflichtenkatalog ableiten lässt.
Ein solcher pauschaler Pflichtenkatalog existiert nicht und wäre auch abzulehnen. Die Entwicklung eines CMS hat stets unternehmensbezogen zu erfolgen, da eine Vielzahl von unternehmensindividuellen Faktoren zu beachten sind. Nur so lassen sich die relevanten Pflichten anhand des konkreten Unternehmens extrahieren, um diese spezifischen Besonderheiten im CMS abzubilden. Sinnvoll ist es daher, bereits im Stadium der Entwicklung des CMS eine Risikobewertung und Schwerpunktsetzung vorzunehmen.
Zu den spezifischen Besonderheiten zählt die Ermittlung der Unternehmensbereiche, die besonderen Risiken unterliegen. Auch sind mögliche Risikofelder zu bestimmen und Schwerpunkte zu setzen. Typische Risikofelder können z. B. Arbeitsrecht, Datenschutz, Umweltschutz, Strafrecht und Steuern sein. Gerade im Gesundheitswesen ist zudem auf die Bereiche der Abrechnung medizinsicher Leistungen und Korruption ein besonderes Augenmerk zu richten.
Die Fokussierung des CMS auf besonders relevante Unternehmensbereiche und mögliche Risikofelder ist nicht nur aus Kostengründen oftmals der zweckmäßigere Weg, sondern hilft auch, sich auf das Wesentliche zu konzentrieren, um sich nicht in einer Vielzahl von Regelungen zu verstricken.
Neben den unternehmensspezifischen Besonderheiten sind Kernelemente des CMS oft vergleichbar. Hierbei handelt es sich um präventive und repressive Maßnahmen, wie die Ermittlung bei Verdachtsfällen, Weiterleitung von Informationen über Fehlverhalten und Einleitung von Regressmaßnahmen bei nachgewiesenem Fehlverhalten.
Ausgehend von der Bestimmung der relevanten Unternehmensbereiche und der hierauf aufbauenden Risikobewertung erfolgt die Umsetzung der Compliance-Organisation und der Festlegung von Zuständigkeiten und Abläufen durch Entwicklung einer Compliance-Richtlinie. Bei der Entwicklung und Einbindung eines Compliance-Programms zeigt sich regelmäßig ein sehr ähnliches System, welches aus Elementen der Prävention, Identifikation, Reaktion und Verbesserung besteht.
Im Rahmen der nächsten Teile wird auf diese Kernelemente einer CMS-Organisation ebenso wie auf typische Risikofelder eines Unternehmens der Gesundheitsbranche eingegangen. Sollten Sie vorab schon Fragen haben, kommen Sie gerne auf uns zu. Jetzt Kontakt aufnehmen!