Interne Kontrollsysteme in Krankenhäusern

Handlungsbedarf durch FISG

Als Reaktion auf den Wirecard-Skandal hat die Bundesregierung mit dem Gesetz zur Stärkung der Finanzmarktintegrität (FISG) im Juni 2021 ein neues Gesetz erlassen. Daraus ergibt sich branchenübergreifend eine Vielzahl an neuen Regelungen und Verpflichtungen für börsennotierte Unternehmen. Eine dieser Verpflichtungen ist der Aufbau eines angemessenen und wirksamen Internen Kontrollsystems (IKS) sowie Risikomanagementsystems, festgesetzt im neuen § 91 Abs. 3 Aktiengesetz. Sind Krankenhauskonzerne börsennotiert oder gehören sie zu börsennotierten Konzernmüttern, sind sie mitsamt ihren Gesellschaften und Kliniken von der neuen gesetzlichen Regelung betroffen.

Das IKS als Potenzialträger erkennen

Meist wird das Interne Kontrollsystem als ein reines Instrument der Regulatorik und Teil des Risikomanagementsystems angesehen, welches bislang wenig Beachtung erfährt. Spätestens durch die gesetzliche Verpflichtung könnte sich diese Sichtweise im Unternehmen jedoch ändern. Das IKS bietet die Möglichkeit, als Potenzialträger für einen kontinuierlichen Verbesserungs- und Optimierungsprozess angesehen zu werden. Durch die Einrichtung eines kontinuierlichen Optimierungsprozesses können Unternehmen regelmäßig auf wachsende Anforderungen, Gesetzesänderungen und technologischen Fortschritt reagieren, ferner wird der Aufwand der Optimierung gegenüber einer einmaligen Anpassung laufend gering gehalten. Ein erfolgreich implementiertes IKS ist stets gesetzeskonform, auf dem neuesten Stand und vorhandene Automatisierungspotenziale werden ständig ausgeschöpft.

Risikomanagement und IKS im Krankenhauskonzern

Krankenhäuser zählen als medizinische Einrichtungen zur unverzichtbaren, aber auch kritischen Infrastruktur, bei welcher der Umgang mit sensiblen Gesundheitsdaten und die Patientensicherheit zum Alltagsgeschäft gehören. Daher ist es umso wichtiger, dass deren Geschäftsabläufe dokumentiert, Risiken offengelegt und Kontrollen implementiert sind. Durch die meist sehr heterogene Landschaft an Einzelgesellschaften innerhalb eines Klinikverbundes stehen Krankenhausgesellschaften vor einer großen Herausforderung in der Implementierung eines zentralen Risikomanagements und IKS, da der strukturelle Aufbau ganz wesentlich bei der Implementierung eines IKS ist. Vereinfacht gesagt, sind alle Prozesse, die abseits des eigentlichen medizinischen Kernprozesses angelegt sind, geeignet, an zentraler Stelle für eine Vielzahl von Krankenhäusern durchgeführt zu werden. Entscheidet sich eine Gesellschaft für eine solche Abbildung in sog. Shared Service Centern (SSC), sind Kontrollen und eine Form des Risikomanagements denklogisch auch im SSC zu implementieren. Oft ist es aber so, dass ein SSC nur einen Teilausschnitt der Prozesse übernimmt und der restliche Teil im Krankenhaus verbleibt. In diesen Fällen muss eine Risikoberichtsstrecke dahingehend eingerichtet werden, dass diese auf die Gesellschaft und das IKS-Zielbild passt. Fallstricke ergeben sich meist bei den bereits beschriebenen dezentralen Organisationen mit einer Vielzahl von heterogenen Einheiten. Hier gibt es zwar teilweise Risikomanagement- Einheiten in verschiedenen Unternehmensteilen, jedoch verläuft eine Risikoberichtsstrecke nicht optimal oder kann aufgrund der dezentralen Struktur nicht erfolgreich arbeiten. Meist sucht sich eine Krankenhausgesellschaft diese dezentrale Struktur nicht bewusst aus, sie ist vielmehr Folge eines schnellen Wachstums. Um offene Flanken zu vermeiden, lohnt es sich, hier einen ganzheitlichen Integrationsprozess für hinzukommende Gesellschaften zu entwickeln, um optimal an ein bestehendes IKS angeschlossen zu werden.

Entscheidend für die wirksame Ausgestaltung eines IKS ist zusätzlich eine zentrale Risikomanagementorganisation. Nur wenn Risiken an zentraler Stelle gebündelt und koordiniert werden, kann eine umfassende Sicht auf den Gesamtkontext in den dezentralen Einheiten gewährleistet werden.

Wie kann das IKS im Krankenhaus aufgebaut und transformiert werden?

Um das bestehende IKS im Krankenhauskonzern zu überprüfen und nach den neuesten Regularien aufzubauen, empfehlen wir Ihnen, in mehreren Schritten vorzugehen:

1. Aufnahme des Ist-ZustandesZunächst geht es bei der Aufnahme des Ist-Zustandes darum, alle vorhandenen Dokumentationen zu Prozessen, Risiken und Kontrollen aufzunehmen und zu strukturieren. Hierzu zählen auch Aufbauund Ablauforganisation, Governance- und Risikomanagement- Leitlinie sowie ggf. Abhängigkeiten zu etwaigen Konzerngesellschaften. Ein Überblick über bestehende IKS-/Risikomanagementsätze und Prozessverantwortlichkeiten – auch dezentral in den Kliniken oder Servicegesellschaften – bildet die Basis für die spätere Soll-Organisation.
2. Aufnahme des Soll-Zustandes, z. B. anhand eines IKS-FrameworksZur Gegenüberstellung des Ist-Zustandes muss ein Entwurf einer optimalen IKS-/Risikomanagement- Umgebung geschaffen werden. Als Grundlage hierzu können Frameworks dienen, welche allerdings zwingend an die individuellen Gegebenheiten Ihres Unternehmens anzupassen sind. Ferner sollte die grundsätzliche strategische Ausrichtung der Muttergesellschaft und ggf. bestehende Vorgaben zur Ausgestaltung des IKS berücksichtigt werden.
3. Gap-AnalyseDurch die Zusammenführung der Soll- und Ist-Analysen werden die bestehenden Defizite aufgedeckt und der konkrete Handlungsbedarf identifiziert. Dieser kann sich sowohl auf die Aufbau-/Ablauforganisation, die Strategie, als auch auf das Change-Management beziehen. Eine strukturierte Dokumentation bietet den Ansatzpunkt für das weitere Vorgehen.
4. Neuaufbau bzw. Ausbau des bestehenden IKSAnhand der gewonnenen Erkenntnisse der Gap-Analyse können Sie nun das IKS auf- und ausbauen. Optimalerweise erfolgt die Erarbeitung in gemeinsamen Workshops sowie die gesamte Dokumentation der Prozesse, Risiken und Kontrollen in einem übergreifenden IT-Tool. Hier lassen sich Prozesse, Risiken und Kontrollen definieren, zuordnen und miteinander vernetzen.
5. Automatisierung der KontrollenDurch die Nutzung eines IT-Tools, wie beispielsweise Signavio, können Sie regelmäßige Kontrollen automatisieren. So sparen Sie einerseits Arbeitszeit und schaffen andererseits ein sicheres Kontrollinstrument, da automatisierte Prüfungen weniger fehleranfällig als manuelle Prozesse sind. Vorab definierte Kontrollintervalle können Sie einfach festlegen, anstoßen und deren Wirksamkeit über eine automatisch generierte Berichterstattung überprüfen. Tasks und Informationen für Prozessverantwortliche werden automatisiert zugewiesen und können nachverfolgt werden. Der Grad der Automatisierung lässt sich hier auch individuell anpassen. Das Ergebnis ist ein effizientes und transparentes Internes Kontrollsystem.
6. AuditZum Abschluss des Transformationsprozesses empfehlen wir Ihnen ein risikoorientiertes Audit des neu entwickelten IKS. So können Sie in Korrelation mit den vorgenommenen Anpassungen die Wirksamkeit und Angemessenheit der Kontrollen prüfen und ggf. Berichtspflichten in Richtung Konzernmutter nachkommen. Außerdem lassen sich über eine mehrjährige Planung dezentrale Einheiten und Kliniken in die Prüfung integrieren.

Resümee

Die Forderungen des Gesetzgebers durch den neu gesteckten Rahmen des FISG erscheinen auf den ersten Blick vielerorts als Eingriff in die Organisationsautonomie börsennotierter Unternehmen, verbunden mit unternehmerischen Aufwendungen und Anstrengungen. Bei genauerer Betrachtung hingegen wird durch die Folge des Wirecard-Skandals zum einen die allgemeine Notwendigkeit eines IKS bzw. Risikomanagements bei entsprechenden Unternehmen deutlich, zum anderen trägt ein erfolgreich implementiertes IKS aktiv zur Effizienzsteigerung und Potenzialausschöpfung der unternehmerischen Ressourcen bei. Aus diesem Grund sollte ein Perspektivwechsel dieses Erfordernisses erfolgen und ein effizientes IKS mehr als Chance und weniger als Verpflichtung angesehen werden – im Sinne des Gesetzgebers und mehr noch im Sinne Ihres Unternehmens.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Autor*innen

Daniele Fonte
Tel.: +49 221 28 20 2519

Annekathrin Meinzer
Tel.: +49 221 28 20 2476

Dies ist ein Beitrag aus unserem Health-Care-Newsletter 3-2021. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.