Die Einrichtung eines Compliance Management Systems in der Praxis

von Christoph Naucke (Rödl & Partner, Compliance Officer (TÜV),
Buchautor „Einrichtung von Compliance Management Systemen im Krankenhaus“ Kohlhammer Verlag)

Autor Christoph Naucke -Foto: privat

Die gute Nachricht vorweg: Compliance ist vielleicht ein neuer Begriff, aber vieles, was Seniorenheime für ihr Compliance Management System (CMS) benötigen, existiert in der Praxis bereits. Wichtig ist jedoch eine sorgfältige Dokumentation, um den Nachweis führen zu können und auch, um bestehende Lücken aufzudecken und dann gezielt zu schließen.

Gemeinsames Verständnis von Compliance – eine scheinbare Selbstverständlichkeit

Wenn die Entscheidung getroffen ist, ein CMS einzurichten, wird meist ein Projekt aufgelegt, das den Auftrag erhält, das CMS zu konzipieren und aufzubauen. Noch davor sollten die Verantwortlichen allerdings herausarbeiten, was die Compliance-Kultur dieses Unternehmens ausmacht und definiert und dem Projekt diese Vorgaben als Grundlage mitgeben. Denn in der praktischen Umsetzung lauern unerwartete Stolpersteine.

Diese beginnen damit, dass es sich bei „Compliance“ um eine scheinbare Selbstverständlichkeit handelt. Die Absicht compliant zu sein, also sich als Unternehmen regelkonform zu verhalten, war schon lange vor der Verwendung des Wortes „Compliance“ unumstritten. Gerade deshalb stehen kulturelle Leitfragen am Anfang: Welche Aktualität und welchen Bekanntheits- und Akzeptanzgrad genießen die Unternehmensziele bei den Mitarbeitern? Leitet sich aus diesen Zielen regelkonformes Verhalten ab? Ist ein gemeinsames Verständnis hinsichtlich Führung und Verantwortung im Unternehmen verankert? Eine ehrliche Ist-Aufnahme verhindert, dass aus einer gesund-positiven Selbsteinschätzung unversehens blinde Flecken werden, die das CMS als solches dauerhaft belasten würden.

Im Rahmen der Projektarbeit sollte es anschließend eines der ersten Ziele sein, die organisatorische Zuständigkeit für das Managementsystem CMS zu klären und eine personelle Besetzung dieser Aufgabe zu erreichen. Dabei ist es wichtig, zwischen dieser Zuständigkeit für das Managementsystem CMS einerseits und dem regelkonformen Verhalten aller Mitarbeiterinnen und Mitarbeiter andererseits, dem „being compliant“, sorgfältig zu unterscheiden. Ersteres ist Teil der Organisationsaufgabe „CMS“, letzteres ist untrennbar mit jeder Führungsverantwortung verbunden und daher eine persönliche Aufgabe für buchstäblich „jeden“.

Die frühzeitige Besetzung der Systemverantwortung für das CMS ermöglicht es der Geschäftsführung, aus der persönlich umsetzenden in eine überwachende und entscheidungsgebende Rolle hinüberzuwechseln. Aufgrund der Überschneidungen mit dem Qualitätsmanagement besteht die Möglichkeit, beide Funktionen aus einer Hand wahrnehmen zu lassen.

Organisation fest verankern

Dass die Einrichtung eines Compliance-Managements eine Art einmaliger, projekthafter Schritt ist und das Unternehmen anschließend davon ausgehen kann, „compliant zu sein“, ist ein häufiges Missverständnis. Compliance ist kein Zustand, sondern ein Anspruch. Damit liegt eine wesentliche Aufgabe für die Einrichtung des CMS in der Beschreibung der regelmäßigen Compliance-Prozesse und deren Verankerung in den existierenden Kernprozessen des Unternehmens. Die im CMS definierten Regelprozesse der Prävention, der laufenden Beobachtung und ggf. auch der Sanktionierung von Complianceverstößen, müssen dann sukzessive in den Tagesbetrieb überführt werden. Wenn eine Bestätigung des CMS in Form eines Prüfungsberichts nach dem IDW PS 980 angestrebt wird, ist u. a. diese Frage ein zentrales Prüfungsthema.

Systemdokumentation und Regeltransparenz

Wesentlicher Baustein für die Einrichtung eines CMS ist ein Handbuch, in dem das Verständnis und die Umsetzung von Compliance im Unternehmen für jeden Mitarbeiter verständlich beschrieben werden. Ein gemeinsamer und tragfähiger Konsens des Managements über die Compliance-Kultur und die Compliance-Ziele stellt die wichtigste Grundlage für das Handbuch dar.

Von großer Bedeutung ist in diesem Zusammenhang auch, dass alle einzuhaltenden Vorgaben, unabhängig ob externe Verordnung oder hausinterne Richtlinie, für die Mitarbeiter leicht auffindbar sind, beispielsweise über das Intranet, wenn denn tatsächlich jeder Mitarbeiter Zugang zum Intranet hat.

Compliance-Risiken gezielt reduzieren

Viele Unternehmen der Gesundheits- und Sozialwirtschaft haben bereits Risikomanagementsysteme eingerichtet. Auch hier bestehen Überschneidungen. Wenn man bei der Ermittlung der Compliance-Ziele, also auch des verwendeten Regelwerks, seine Hausaufgaben nicht sorgfältig erledigt hat, fällt einem dies bei der anschließenden Ermittlung der Compliance-Risiken „auf die Füße“. Denn um nachzudenken, woraus ungewollte Regelverstöße resultieren könnten, muss man die betreffende Regel und deren Anwendung im Arbeitsalltag vor Augen haben. Ziel der Ermittlung von Compliance-Risiken wiederum ist es, Risiken für Verstöße zu erkennen, um angemessene Maßnahmen umsetzen zu können.

Faktor Mensch: Compliance-Kommunikation

Da Compliance als solches kein einmalig erreichbarer und abzusichernder Zustand, sondern permanenter Anspruch ist, muss die dauerhafte Sensibilisierung aller Mitarbeiter für die Belange von Compliance immer wieder neu mit Leben erfüllt werden. Jedoch: Mitarbeiterinnen und Mitarbeiter nehmen zurecht für sich in Anspruch, bei der Ausübung ihrer Tätigkeit schon immer nach bestem Wissen und Gewissen regelkonform zu handeln und werden daher die Initiative zur Einrichtung eines CMS schnell als Misstrauensvotum missverstehen. Mit dieser Skepsis muss das Compliance-Management daher aktiv und sensibel umgehen.

Realistisch planen

Die Herausforderungen sind nicht klein und zeigen sich oftmals erst während der Projektarbeit. Daher werden Projektaufwand und damit auch der Zeitbedarf leicht unterschätzt. Die Praxis zeigt, dass für die Konzeptionsphase eines CMS, abhängig vom Status quo hinsichtlich Risikomanagement sowie den vorhandenen inhaltlichen Grundlagen und von der Komplexität insgesamt, mit einem Zeitbedarf von zwölf bis vierundzwanzig Monaten gerechnet werden muss.

Buchtipp zum Weiterlesen:

Einrichtung von Compliance Management Systemen (CMS) im Krankenhaus von Christian Corell und Christoph Naucke
Ein Praxishandbuch in Anlehnung an den Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer ISBN 978-3-17-038028-8, Kohlhammer Verlag