Notwendigkeit und Sinnhaftigkeit

Welche gesetzlichen Grundlagen und regulatorischen Vorgaben sind zu berücksichtigen?

Welche gesetzlichen Hürden muss ein niedergelassener Arzt oder ein Primärversorgungszentrum bewältigen? Wie schaut es konkret mit dem Risikomanagement und einem internen Kontrollsystem (IKS) bei niedergelassenen Ärzten und Primärversorgungszentren aus? In der Rechtsform einer Ordination als Einzelfirma bzw. beim Primärversorgungszentrum stehen bereits zwei Alternativen zur Verfügung, die in manchen Fällen zu gesetzlichen Notwendigkeiten führen.

Das IKS-Gesetz (§22 GmbH-Gesetz) im Wortlaut:

"Die Geschäftsführer haben dafür zu sorgen, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den Anforderungen des Unternehmens entsprechen."

Die Notwendigkeit eines Jahresabschlusses und eines Lageberichts je nach Größe des Unternehmens verschärft diese Situation noch mehr. Ein wirksames IKS ist also ab einer bestimmten Größe des Unternehmens notwendig.

"Im Lagebericht sind der Geschäftsverlauf, einschließlich des Geschäftsergebnisses, und die Lage des Unternehmens so darzustellen, dass ein möglichst getreues Bild der Vermögens-, Finanz- und Ertragslage vermittelt wird, und die wesentlichen Risiken und Ungewissheiten, denen das Unternehmen ausgesetzt ist, zu beschreiben."

(§243 UGB Lagebericht; www.jusline.at)

Das Gesetz schreibt die konkrete Ausprägung eines IKS leider nicht vor. Man muss also selbst ein IKS definieren und vor allem entsprechend dokumentieren, um diesen gesetzlichen Anspruch zu erfüllen. Laut Definition der Wirtschaftsprüfer umfasst ein IKS alle Maßnahmen und Kontrollen, mit denen das vorhandene Firmenvermögen geschützt bzw. gesichert und die Abwehr von Schäden gewährleistet wird.

"Die Analyse des IKS durch den Abschlussprüfer bezieht sich hauptsächlich auf Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung. In diesem Sinne werden aus der Rechnungslegung Kontrollen, die sich auf das Prüfgebiet beziehen, ausgewählt (ISA 330.6, KPMG, 2016)."

Dabei spielen das Vier-Augen-Prinzip und das Prinzip der Funktionstrennung eine wichtige Rolle. Mithilfe des Vier-Augen-Prinzips soll sichergestellt werden, dass kein wesentlicher Geschäftsprozess ohne Gegenkontrolle erfolgt. Mithilfe der Funktionstrennung werden Rollen und Verantwortungen in wesentlichen Unternehmensprozessen voneinander getrennt, um dadurch eine höhere Sicherheit zu erlangen.

Risikomanagement ist jedoch mehr als das Befolgen von Gesetzen und Regularien. In der unternehmerischen Tätigkeit findet Risikomanagement oftmals nur auf der obersten Geschäftsebene statt. Hier werden strategische Entscheidungen mithilfe einer SWOT("strengths, weaknesses, opportunities, threats")-Analyse aufbereitet, wichtige Projekte mithilfe von Projektrisikoanalysen zerlegt und organisatorische Neustrukturierungen mithilfe von Stakeholderanalysen genauer untersucht.

Risikomanagement muss als strategisches Instrumentarium genutzt werden

Risikomanagement für Mediziner unterteilt sich in der Literatur in ein klinisch-medizinisches Risikomanagement und in ein unternehmensrelevantes Risikomanagement. In diesem Artikel liegt der Fokus auf dem Risikomanagement des gesamten Unternehmens, sowohl in der Ausprägung eines Einzelunternehmens als auch in der Ausprägung von Personen- und Kapitalgesellschaften.

Ärzte agieren schon grundsätzlich unter unsicheren Bedingungen. Der Kern des unternehmerischen Handelns besteht im Eingehen von adäquaten Risiken, um Chancen zu nutzen. Gemäß dem Prinzip "primum non nocere" wird jeder Arzt bestrebt sein, einen möglichst hohen Sicherheitsstandard in der Behandlung seiner Patienten einzuhalten. Allerdings kann ein zu hoher Sicherheitsstandard in einer Arztpraxis zum Beispiel die Realisierung von Wettbewerbschancen verhindern und selbst zu einem gefährlichen Risiko werden. Die Bemessung des adäquaten Sicherheitsstandards ist komplex und infolge der sich wandelnden, dynamischen Herausforderungen im gesamten Gesundheitsbereich kontinuierlich vorzunehmen. Ein umfassendes Management aller Risiken ist dabei von höchster Priorität.

Im strategischen Risikomanagement eines Unternehmens werden alle unternehmerischen Risiken analysiert, beurteilt und mithilfe von Maßnahmen gesteuert, die aus dem Umfeld von Führung, Organisation, Marktbeobachtung, Umwelt, den zugrunde liegenden Geschäftsprozessen, den Finanzen, dem Personalwesen und nicht zuletzt der IT entstehen könnten. Dabei sollten naturgemäß die Patienten an vorderster Stelle der Überlegungen stehen.

Zwei wesentliche Entwicklungen prägen die heutige Risikosituation von Unternehmen generell:

• die Dynamik von Veränderungen im medizinisch-fachlich-technischen Bereich

• und die damit einhergehende Zunahme der Vielfalt und Komplexität von Risiken.

Als strategische Risiken bezeichnet man dabei insbesondere potenzielle Bedrohungen der strategischen Erfolgspotenziale eines Unternehmens (wie Kernkompetenzen und Wettbewerbsvorteile). Die strategisch relevanten Risiken sollten transparent sein und Vorkehrungen für einen möglichen Eintrittsfall sollten getroffen sein. Damit kann im Unternehmen ein tragbares Risikoprofil gewährleistet werden, sodass mögliche existenzgefährdende Schadensfälle mit großer Wahrscheinlichkeit minimiert werden können (z.B. Todesfälle, Unfälle, Seuchen, Cyberkriminalität etc.).

Wie können normative Standards im Risikomanagement niedergelassene Ärzte, aber auch Primärversorgungszentren unterstützen?

Sowohl für das "ius practicandi" (Recht des Arztes zur Ausübung der selbstständigen ärztlichen Tätigkeit als Arzt für Allgemeinmedizin bzw. Facharzt) als Voraussetzung für eine hausärztliche Tätigkeit mit Kassenzulassung als auch für die neuen Primärversorgungszentren gelten naturgemäß gesetzliche Regelungen und Vorschriften nach aktuellen Gesundheits- und Hygienestandards.

Die neuen Primärversorgungszentren können lt. SVA als Netzwerk, als Gruppenpraxis oder als Gesundheitszentrum organisiert werden. Als Rechtsform gilt die Empfehlung einer Personengesellschaft in Form einer GmbH oder OG.

Wenn man die üblichen Standards im Risikomanagement heranzieht, kann man bei fast allen Regelwerken Aktivitäten erkennen, die ein vernünftiges Risikomanagement in einem Unternehmen beinhalten sollte. Die einzelnen Aktivitäten lassen sich sehr schön mit entsprechenden Fragengruppen chronologisch darstellen. Für die nächsten acht Schritte im Risikomanagement werden diese Fragen formuliert und konkrete Hilfestellungen für die Beantwortung mancher Praxisfälle gegeben (die einzelnen Fragengruppen beziehen sich auf die Prozessschritte der ISO 31000ff; Abb. 1).

1. Was möchte ich als Arzt bzw. als Primärversorgungszentrum erreichen? (Scope, Context, Criteria)

In dieser ersten Frage stehen die Ziele und Nichtziele als Abgrenzung zur Disposition. Dabei stehen naturgemäß die medizinische Versorgung als wichtigstes Ziel, aber auch persönliche Ziele im Vordergrund. Für ein Unternehmen mit Verantwortung für mehrere Mitarbeiter steht natürlich auch das Überlebensziel oder "going concern" ganz oben auf der Liste der zu erfüllenden Ziele. Als Nichtziel kann man darüber hinaus zur Abgrenzung noch detailliertere Angaben machen, z.B.: Nichtziel ist es, die Ordination mehr als 5 Tage in der Woche offen zu halten.

2. Was könnte diese Ziele beeinflussen? (Risk Identification)

Welche externen oder internen Rahmenbedingungen könnten diese Ziele beeinflussen? Die Unterteilung in externe und interne Ursachen hilft bei der Strukturierung der Risiken. Daraus lassen sich verschiedenste Fragengruppen ableiten, z.B.: Liegt der Arbeitsort des niedergelassenen Arztes in einem Überschwemmungsgebiet? Wie erfolgt die Auswahl der Mitarbeiter? Wie wird die verwendete Software zur Verwaltung der Patientendaten gegen Diebstahl und Malversationen geschützt? Sind Gesetze und regulatorische Vorgaben stabil? Wie gut ist die Ausbildung der Mitarbeiter? Hier sind natürlich vorgefertigte Fragebögen, die sich intensiv mit Ursachen und Wirkungen auseinandersetzen, sehr hilfreich.

3. Welche Ursachen und Wirkungen existieren? (Risk Analysis)

Um auf die spezifischen Risiken adäquat eingehen zu können, ist es notwendig, sich mit den entsprechenden Ursachen und Auswirkungen dieser möglichen Zielabweichungen zu beschäftigen. Dabei kann es zu der Situation kommen, dass für mehrere Risiken einige wenige Ursachen relevant sind. Andererseits können auch Risiken mehrere Auswirkungen zeigen, die unterschiedlich zu bewerten und zu priorisieren sind. Es können z.B. bei einer Übersiedelung die baulichen Gegebenheiten (keine Barrierefreiheit, Stiegen statt Lift) die Ursache für Kundenschwund und Umsatzverlust sein. Es könnte z.B. das Umsatzrisiko in weiterer Folge die Auswirkung haben, dass die Ordination zu Leerzeiten weitervermietet werden könnte und eine Gemeinschaftspraxis mit mehreren Ärzten gegründet werden sollte.

Diese tiefergehenden Analysen helfen, geeignete Maßnahmen abzuleiten, um möglicherweise mehrere Risiken mit nur wenigen Aktivitäten zu reduzieren. Solch eine Analyse bildet die Basis für den nächsten Fragenkomplex.

4. Was sind die Top-Risiken? (Risk Evaluation)

Um eine Aussage zu den wichtigsten oder dringlichsten Risiken zu erhalten, ist naturgemäß eine individuelle Beurteilung jedes Risikos notwendig. Dazu gibt es mehrere Möglichkeiten. Die einfachste Darstellung einer Bewertung ist sicherlich die allseits bekannte Einschätzung mithilfe der Ampelfarben Rot, Gelb, Grün. Das Risiko kann also entweder als GERING, MITTEL oder HOCH eingestuft werden. Interessanter werden Beurteilungen mithilfe einer Risikomatrix (Abb. 2).

Mithilfe dieser Matrix kann das Risiko nach Eintrittswahrscheinlichkeit und Schadensausmaß eingeschätzt werden. Das hilft bei der Ableitung von konkreten Maßnahmen, welche entweder die Eintrittswahrscheinlichkeit des Risikos reduzieren oder das Schadensausmaß minimieren.

Es könnten sich z.B. folgende Top-Risiken aus der Bewertungsphase herauskristallisieren:

Diese beiden Hilfsmittel (Ampelfarben und Risikomatrix) erzeugen relativ einfach eine Priorisierung der untersuchten Risiken. Es ist unmittelbar einsichtig, dass ein rotes Risiko mehr Aufmerksamkeit erfordert als ein gelbes oder grünes. Sobald man diese Liste erstellt hat, steht die nächste Frage im Raum.

5. Was kann dagegen unternommen werden? (Risk Treatment)

In der Literatur wird oft von Steuerung von Risiken gesprochen. In Wahrheit kann man Risiken nicht steuern, sondern nur die entsprechenden Vorsichts- oder Gegenmaßnahmen. Diese sollen helfen, Risiken zu reduzieren. Maßnahmenableitung ist eines der wichtigsten Themen im gesamten Risikomanagement.

Auch hier konkurrieren unterschiedliche Methoden. Als Beispiel sei die TOP(Technisch-Organisatorisch-Prozesse)-Methode für folgendes Risiko angegeben:

Mögliche Verletzung eines Patienten durch die in der Ordination vorhandenen Stufen. Folgende risikoreduzierende Maßnahmen könnten helfen, das Risiko zu reduzieren:

• Technische Maßnahme: Einbau eines Lifts oder einer Rampe

• Organisatorische Maßnahme: Anbringen von Vorsichtsschildern, Sicherheits- oder Signalklebebändern

• Prozesse: Umstellen der Aktivitäten der Ordination, sodass sich die Häufigkeit der Stiegenbenützung reduziert

Hier werden jedoch erstmals finanzielle Mittel benötigt, um die Risikoreduktion herbeizuführen. Doch vorher ist ein weiterer Zwischenschritt überlegenswert.

6. Wie kann eine Güterabwägung durchgeführt werden?

Güterabwägung bedeutet, inwieweit man bereit ist, Geld für risikoreduzierende Maßnahmen auszugeben oder stattdessen das Risiko einfach bewusst zu tragen. Im medizinischen Bereich bedeutet das schlussendlich, eine starke Wertediskussion über notwendige, möglicherweise aber unbeliebte Maßnahmen zu führen. Aktuelles Beispiel ist die Diskussion über den Nutzen, aber auch potenzielle Risiken des Impfens, die eine Güterabwägung auf gesellschaftlicher Ebene darstellt.

Nachdem man diese Güterabwägung durchgeführt hat, geht es daran, die getroffenen Maßnahmen umzusetzen. Sobald Maßnahmen umgesetzt sind, ist der Zyklus im Risikomanagement abgeschlossen und wird periodisch von Neuem begonnen.

7. Was hat sich durch diese Maßnahmen geändert? (Monitoring & Review)

Wenn man die vorher besprochenen Schritte in der Risikoanalyse sauber dokumentiert hat oder in einem entsprechenden Software-Tool sicher festhält und auch pflegt, ist es sehr leicht möglich, diese Frage zu beantworten. Man benötigt eine neuerliche Analyse der Risiken, eine Aktualisierung der Einschätzungen und einen Status der Maßnahmenumsetzung.

8. Wer muss das wissen? (Risk Reporting & Communication)

In erster Linie natürlich die betroffene niedergelassene Ärzteschaft oder das Primärversorgungszentrum. Interessanter ist die Frage, ob auch alle Mitarbeiter diese Risikoanalysen kennen und die entsprechenden Maßnahmen mittragen. Neben diesen internen Berichten stehen natürlich auch externe Berichte insbesondere im Jahresabschluss und Lagebericht zur Diskussion. Hier hat der Gesetzgeber vorgesorgt und in den letzten Jahren starke Regelungen vorgegeben.

Zusammenfassend kann man sagen, dass die theoretischen Normen und formalen Regelwerke sehr wohl mit pragmatischem Hausverstand und relativ einfachem Fragenablauf an das jeweilige Unternehmen angepasst werden können. Damit wird administrativer Aufwand reduziert und gestalterischer Spielraum bei der Maßnahmenableitung zur Risikoreduzierung vergrößert.

Literatur: beim Verfasser