In den letzten Jahren wurde in den Medien immer wieder über Unternehmensskandale berichtet, die auf die Nichteinhaltung oder das Nichtvorhandensein von Regularien hindeuteten. Das Auftreten doloser Handlungen ist auch innerhalb des Gesundheits- und Sozialwesens zu beobachten.
Häufige Beispiele sind der Abrechnungsbetrug und die Unterschlagung. Ausgehend von der Annahme, dass sich die Betrugskosten im Gesundheitswesen auf rund 5,6 % der in diesem Bereich insgesamt verursachten Kosten und damit der Gesundheitsausgaben belaufen1, handelt es sich dabei für das Jahr 2017 um ein hochgerechnetes Volumen in Höhe von rund 21 Mrd. Euro2. Solche Fälle können zugleich erhebliche Reputationsschäden bedeuten und gesellschaftliche Relevanz haben, da öffentliche Mittel im Fokus stehen.
Nach allgemeiner Definition bedeutet „Fraud“ die bewusst begangene unerlaubte Handlung (dolose Handlung). Diese führt direkt oder indirekt zur Schädigung oder Gefährdung des Vermögens und/oder zu operationellen Risiken in den Organisationsprozessen. Motiv dieser beabsichtigten Handlungen ist die Erzielung ungerechtfertigter oder rechtswidriger Vorteile für den oder die Täter. Diese können Mitglieder der Organisation (interner Fraud), Geschäftspartner und Dritte sein (externer Fraud).
Ergreift eine Organisation Maßnahmen, mit deren Hilfe Fraud vorgebeugt, aufgedeckt sowie bei Verdachtsfällen eine strukturierte Aufarbeitung und Reaktion erfolgen soll, sind dies Aktivitäten im Sinne eines Anti-Fraud-Managements (AFM). Das AFM ist integraler Bestandteil eines organisationsweiten Compliance-Managements und des internen Kontrollsystems (IKS). Aus Vorschriften, die im Zuge des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in das Aktiengesetz eingeführt wurden, sind Anforderungen für die Umsetzung eines AFM abzuleiten. Nach der Begründung des Regierungsentwurfs entfalten die zwar grundsätzlich nur für Aktiengesellschaften geltenden Vorschriften jedoch eine Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen3.
Oftmals sehen sich die gesetzlichen Vertreter erst durch negative Schlagzeilen zum Handeln gezwungen. Bei fehlender Implementierung eines AFM bestehen jedoch – neben zivilrechtlichen Schadensersatzansprüchen bei Verstößen – auch straf- und ordnungswidrigkeitsrechtliche Haftungsrisiken für die Verantwortlichen. Die Interne Revision übernimmt eine zentrale Rolle, wenn sie die Ordnungsmäßigkeit, Angemessenheit und Wirksamkeit des AFM prüft und den Verantwortlichen hierüber berichtet.
Bei der Revisionsprüfung eines AFM sind folgende Bestandteile zu erfassen:
- Aufbauorganisation des AFM
- Ablauforganisation des AFM
- Ziele
- Fraud-Risiko-Erfassung und -bewertung
- Fraud-Risiko-Steuerung und -begrenzung
- Kommunikation
- Hinweisgebersystem
- Forensische Sonderuntersuchungen
- Reaktionsplan
- Berichtspflichten
Folgende Fragen zu Präventionsmaßen können verantwortlichen Personen als Richtschnur zum AFM dienen:
- Gibt es einen strukturierten Umgang mit Fraud-Risiken?
- Erfolgt ein Abgleich zwischen Fraud-Risiken und den bereits implementierten risikoreduzierenden Maßnahmen?
- Existiert ein wirksames Kommunikationskonzept als Bestandteil des AFM?
- Wurde ein organisationsspezifisches Hinweisgebersystem implementiert?
- Gibt es eine Richtlinie, die klare Regelungen der Prozessabläufe und Zuständigkeiten enthält?
- Gibt es eine interne Verhaltensrichtlinie, aus der hervorgeht, was erlaubt und was verboten ist (z. B. Annahme von Geschenken, Bewirtung etc.)?
Melina Tilling, M.A., Solidaris Unternehmensgruppe, Beraterin Geschäftsfeld Compliance und Aufsicht
Ulf Werheit, Certified Internal Auditor (CIA), Solidaris Unternehmensgruppe, Leiter Geschäftsfeld Compliance und Aufsicht
(1) Könsgen, R., Stock, S. & Schaarschmidt, M. (2017). Fraud-Detection im Gesundheitswesen. Data-Mining zur Aufdeckung von Abrechnungsbetrug. HMD 54, 146–155. Verfügbar unter https://doi.org/10.1365/s40702-016-0278-x l
(2) Statistisches Bundesamt (2019). Pressemitteilung Nr. 109 vom 21. März 2019. Verfügbar unter https://www.destatis.de/DE/Presse/Pressemitteilungen/2019/03/PD19_109_23611.html
(3) Deutsches Institut für Interne Revision (2012). DIIR Revisionsstandards Nr. 5. Standard zur Prüfung des Anti-Fraud-Management-Systems durch die Interne Revision. Veröffentlicht im Mai 2012 und geändert im September 2015 (Version 1.1), Frankfurt am Main. Verfügbar unter https://www.diir.de/fachwissen/standards/.