HHS OIG: Neue „Allgemeine Leitlinien für Compliance-Programme“ bieten freiwillige Maßnahmen zur Steigerung der Wirksamkeit

Im Zusammenhang mit der Healthcare Enforcement Compliance Conference der Health Care Compliance Association (HCCA) im November 2023 und unter Anerkennung der langjährigen Partnerschaft zwischen dem Office of Inspector General (OIG) und der HCCA durch den Chefberater des Generalinspektors, Rob DeConti, veröffentlichte das OIG am 6. November 2023 seine neuen„General Compliance Program Guidance”(GCPG). Die laufende HCCA-Konferenz bot Gelegenheit, die Absicht, Gestaltung und Ausrichtung der GCPG in einer Sitzung unter der Leitung von zwei Anwältinnen des Office of Counsel to the Inspector General, Amanda Copsey und Laura Ellis, zu diskutieren.

Die GCPG ist die erste einer Reihe von Compliance-Leitfäden, die voraussichtlich vom OIG herausgegeben werden. Diese erste Ausgabe umfasst 91 Seiten mit allgemeinen Compliance-Leitlinien, Tools und Referenzen, die sich an alle Arten von Anbietern und Lieferanten von Gesundheitsprogrammen des Bundes richten. Auf diese Veröffentlichung folgen Compliance-Leitlinien für verschiedene Teilbereiche der Gesundheitsbranche (d. h. speziell ausgewählte Kategorien von Anbietern/Lieferanten), die die bestehenden Compliance-Leitlinien ersetzen werden, die im Laufe der letzten drei Jahrzehnte veröffentlicht wurden, beginnend mit den Compliance-Programm-Leitlinien für Krankenhäuser aus dem Jahr 1998. Die älteren Compliance-Leitlinien werden nach ihrer Ersetzung archiviert, stehen aber weiterhin als Referenz zur Verfügung. Als Nächstes werden voraussichtlich 2024 Compliance-Programmrichtlinien für Managed-Care-Pläne und Pflegeeinrichtungen veröffentlicht. Bis zur Veröffentlichung der spezifischen Richtlinien empfiehlt das OIG, die in den bestehenden Teilbereichsrichtlinien identifizierten Risikobereiche heranzuziehen und an die neuen GCPG und deren Schwerpunkt auf Risikobewertungen und risikobasierten Compliance-Strategien anzupassen. 

Die GCPG scheint für viele Compliance-Zwecke konzipiert zu sein. Sie enthält Erläuterungen zu den wichtigsten Gesetzen zur Bekämpfung von Betrug im Gesundheitswesen sowie Rahmenbedingungen und Fragen für die Analyse von Situationen im Rahmen dieser Gesetze. Sie enthält viele hilfreiche Verweise (mit Links) auf verschiedene Ressourcen für Compliance-Fachleute. Die OIG hält sich an die sieben Elemente der Compliance, die in den US-Strafzumessungsrichtlinien als Rahmen für ihre Empfehlungen zum Compliance-Programm festgelegt sind. Viele der Bestimmungen zur Umsetzung von Compliance-Programmen in der GCPG sind bereits aus früheren Leitlinien, CIAs und verschiedenen anderen Veröffentlichungen der OIG bekannt, werden nun jedoch in einem fokussierteren und leichter zugänglichen One-Stop-Format präsentiert. So unterstreicht die OIG beispielsweise ihre Ansicht, dass der Vorstand eine entscheidende Rolle bei der Überwachung und Sicherstellung der Compliance spielt – ein Thema, das bereits in mehreren, wenn auch mittlerweile etwas veralteten Leitlinien angesprochen wurde.

Wir empfehlen, die GCPG vollständig zu lesen, gehen jedoch im Folgenden auf einige der wichtigsten Abschnitte ein, die für die Compliance-Richtlinien „neu“ sind.

1. Qualität und ComplianceDie OIG empfiehlt nun eindeutig, dass Compliance-Programme auch die Bereiche Qualität und Patientensicherheit in ihren Aufgabenbereich aufnehmen sollten. Dies ist seit zwei Jahrzehnten ein Thema unter Compliance-Fachleuten, aber viele Compliance-Programme im Gesundheitswesen berücksichtigen Qualität und Patientensicherheit immer noch nicht als wesentlichen Bestandteil des Programms. Aus Sicht der OIG ist dieser Schwerpunkt besonders wichtig für Krankenhäuser, Langzeitpflegeeinrichtungen und andere Einrichtungen, die stationäre Pflege anbieten. Diese Einrichtungen sollten sich auch auf den Personalbedarf für Pflege, Therapie und andere klinische Dienstleistungen konzentrieren, bei denen ein potenzielles Problem aufgrund von Personalmangel besteht. Personalmangel ist natürlich ein branchenweites Problem der Arbeitskräftemangel, das allgemein bekannt ist, aber für jede Abteilung eine Herausforderung darstellt.
2. Neue Marktteilnehmer in der Gesundheitsbranche und die Rolle von Private Equity. Eine Beobachtung der GCPG, die für das Programm berücksichtigt werden sollte, betrifft die Herausforderungen für „neue Marktteilnehmer“, die möglicherweise nicht mit regulatorischen oder geschäftlichen Fragen im Gesundheitswesen vertraut sind. Die OIG merkt an, dass dies nicht nur ein Problem für neue Akteure in der Branche ist, sondern auch für neue Geschäftsbereiche, die etablierte Gesundheitsorganisationen mit neuen Dienstleistungsangeboten erschließen. Als Beispiele nennt die OIG Gesundheitsdienstleister, die Managed-Care-Pläne anbieten oder Gesundheitstechnologien entwickeln. Diese Beobachtung ist logisch, da ein Compliance-Programm, das für bestehende Geschäftsbereiche gut geeignet ist, für völlig andere Geschäftsbereiche, in denen ein Anbieter tätig ist, möglicherweise unzureichend ist. 
3. Die Bedenken hinsichtlich Private Equity und anderer privater Investoren im Gesundheitswesen stehen weiterhin im Fokus der Bundes- und Landesvollzugsbehörden.Die GCPG weist lediglich erneut auf dieses Thema hin, um es weiterhinim Blickpunkt der Aufmerksamkeit zu halten. Kommentare der OIG auf der HCCA-Konferenz deuteten darauf hin, dass sie in Zukunft zusätzliche Leitlinien zur Rolle von Private Equity im US-Gesundheitswesen herausgeben wollen.
4. OIG-Ressourcen und -ProzesseIn Abschnitt VI des Allgemeine Leitlinien zum Compliance-ProgrammDie OIG hat eine gründliche Arbeit geleistet und eine Zusammenfassung sowie Links zu den verschiedenen Ressourcen erstellt, die die OIG unterhält, um Anbieter und andere Einrichtungen dabei zu unterstützen, (1) ihre Compliance-Programme zu entwickeln und (2) Entscheidungen zu Compliance-Fragen im Zusammenhang mit den von der OIG durchgesetzten Gesetzen zu treffen – d. h.., das Bundesgesetz gegen Bestechung, das Gesetz über zivilrechtliche Geldstrafen und die Ausschlussbefugnis der OIG. Einige davon sind „alte Bekannte“, während andere relativ neu im Instrumentarium der OIG sind.
   1. Compliance-Toolkits; Compliance-Ressourcen für Gesundheitsbehörden; Compliance-Schulungen für Anbieter; Ein Leitfaden für neue Ärzte; und die Statistiksoftware RAT-STATS;
   2. Beratende Stellungnahmen;
   3. Besondere Betrugswarnungen, Mitteilungen und andere Leitlinien sowie Safe-Harbor-Bestimmungen;
   4. Häufig gestellte Fragen – ein relativ neues Instrument für die OIG. Seit März dieses Jahres hat die OIG die Themen erweitert, die sie für neue FAQs berücksichtigt, die von der Gesundheitsbranche eingereicht werden. Dieser Abschnitt der GCPG enthält eine besonders gute Erörterung der Unterschiede zwischen dem Bundesgesetz gegen Rückvergütungen und den zivilrechtlichen Geldstrafen für Begünstigtenanreize (CMP).
   5. Corporate Integrity Agreements (CIAs) – Das OIG weist darauf hin, dass CIAs als Ressource dienen können, wenn eine Einrichtung des Gesundheitswesens die Struktur und den Betrieb ihrer Compliance-Programme überprüft – einschließlich Audits, die die Einrichtung bei der Entwicklung oder Erweiterung der Auditfunktion im Rahmen ihres Compliance-Programms berücksichtigen sollte.
   6. Zusammenfassungen der Durchsetzungsmaßnahmen – Das OIG veröffentlicht Informationen zu seinen Vergleichen – straf- und zivilrechtliche, staatliche Durchsetzungsbehörden, meldepflichtige Ereignisse der CIA, von der CIA festgelegte Strafen und wesentliche Verstöße, CMPs und positive Ausschlüsse, Selbstanzeigen im Rahmen von Vergleichen und Selbstanzeigen wegen Förderbetrugs.
   7. Informationen zur Selbstanzeige bei der OIG. Beachten Sie, dass es verschiedene Arten von Selbstanzeigen bei der OIG gibt, darunter (1) Selbstanzeigen wegen Betrugs im Gesundheitswesen, wenn Anbieter und andere Einrichtungen CMPs unterliegen; (2) Selbstanzeigen von Auftragnehmern des US-Gesundheitsministeriums (HHS) für Einrichtungen, die Regierungsaufträge oder Unteraufträge zur Erbringung von Dienstleistungen für das HHS erhalten haben; oder (3) Selbstanzeigen im Zusammenhang mit HHS-Zuschüssen, bei denen Empfänger oder Unterempfänger von HHS-Zuschüssen Beweise für mögliche Verstöße gegen das Bundesstrafrecht (z. B. Betrug, Bestechung oder Zuwendungsverstöße) offenlegen müssen, die sich auf den Bundeszuschuss auswirken oder zu einer Haftung nach dem Civil Monetary Penalties Law führen oder gegen Zivil- oder Verwaltungsgesetze verstoßen könnten, die unter den Straftatbestand gemäß 45 C.F.R. § 75.113 fallen.
5. Compliance-Risikobewertungen (Compliance-Programm-Wirksamkeitselement 6 – Risikobewertung, Auditierung und Überwachung)Wie die OIG in den GCPG feststellt, „haben die OIG, die Compliance-Gemeinschaft und andere Interessengruppen in den letzten Jahren die Bedeutung eines formellen Compliance-Risikobewertungsprozesses als Teil des Compliance-Programms erkannt und legen zunehmend Wert darauf“. Laut OIG handelt es sich bei der Compliance-Risikobewertung um einen Risikobewertungsprozess, der die Risiken für die Organisation untersucht, die sich aus Verstößen gegen Gesetze, Vorschriften oder andere gesetzliche Anforderungen ergeben. Für Unternehmen, die an staatlichen Gesundheitsprogrammen teilnehmen oder davon betroffen sind, konzentriert sich eine Compliance-Risikobewertung auf Risiken, die sich aus Verstößen gegen die Anforderungen staatlicher Gesundheitsprogramme und anderen Handlungen (oder Unterlassungen) ergeben, die die Fähigkeit des Unternehmens zur Einhaltung dieser Anforderungen beeinträchtigen können. In den GCPG empfiehlt die OIG, Risikobewertungen mindestens einmal jährlich durchzuführen.  Die OIG stellt fest, dass der Compliance-Ausschuss – und nicht der Compliance-Beauftragte – die für die Durchführung verantwortliche Stelle sein sollte, um zu verdeutlichen, dass die Organisation und nicht eine einzelne Person für die Risikobewertung verantwortlich ist. Beachten Sie, dass die OIG nicht vorschlägt, dass die Risikobewertungen von externen Prüfern durchgeführt werden müssen, aber die GCPG gibt die Überzeugung der OIG wieder, dass sowohl interne als auch externe Informationen bei der Risikobewertung berücksichtigt werden sollten. Die Ergebnisse der Risikobewertung sollten vom Anbieter/Lieferanten überprüft, priorisiert und zur Entwicklung des jährlichen Arbeitsplans mit Prüfung und Überwachung der priorisierten Risikobereiche verwendet werden. Die OIG enthält mehrere Links zu allgemein anerkannten Expertenressourcen, die sich mit der Durchführung von Risikobewertungen befassen.
6. Compliance-Programme für kleine oder große Unternehmen

In großen Unternehmen verweist die GCPG auf die früheren Leitlinien der OIG für Vorstände und legt die Erwartung fest, dass Vorstände großer Gesundheitsorganisationen sorgfältig die Ressourcen und Fachkenntnisse bewerten sollten, die sie zur Erfüllung dieser Aufgabe benötigen. Gemäß der GCPG wird eine gut besetzte Compliance-Abteilung erwartet, die nicht nur einen Chief Compliance Officer, sondern auch stellvertretende Compliance Officers, Auditoren, Ermittler, Kliniker und Datenexperten umfassen kann, wobei der Chief Compliance Officer vorzugsweise direkt dem Vorstand unterstellt sein sollte. In diesem Abschnitt wird auch festgelegt, dass „der Compliance Officer angesichts der personellen Beschränkungen der Einrichtung oder des Standorts so weit wie möglich keine Verantwortung für klinische, finanzielle, rechtliche oder operative Aufgaben tragen sollte“.

Weitere in diesem Abschnitt erwähnte Bereiche sind die Aufrechterhaltung eines wirksamen Compliance-Ausschusses, die Berichterstattung an den Vorstand und die Empfehlung, die Einrichtung eines separaten Compliance-Ausschusses des Vorstands mit einer Satzung zur Überwachung der Einhaltung von Vorschriften im Gesundheitswesen in Betracht zu ziehen. Eine bemerkenswerte Anmerkung in diesem Dokument lautet: „Vorstände großer Organisationen, die in den Vereinigten Staaten tätig sind, aber im Besitz oder unter der Kontrolle einer internationalen Organisation stehen, sollten sicherstellen, dass der Muttervorstand ausreichend über die geltenden Gesetze, die Anforderungen des staatlichen Gesundheitsprogramms und die Compliance-Risiken informiert wird, die sich aus der Tätigkeit der US-Organisation ergeben.“ Aus praktischer Sicht kann dies dadurch erreicht werden, dass der Muttervorstand regelmäßig Berichte vom Compliance-Beauftragten oder der in den USA ansässigen Einheit erhält.

Obwohl ein Großteil dieser aktuellen OIG-Leitlinien mit früheren Dokumenten zum Management eines wirksamen Compliance-Programms übereinstimmt, kann die zusätzliche Fokussierung auf die Erwartungen an ein Compliance-Programm in Unternehmen unterschiedlicher Größe für die Compliance-Abteilung hilfreich sein, um geeignete Ressourcen und Zusagen vom Vorstand und der Geschäftsleitung zu erhalten, und steht in der Regel im Einklang mit den Erwartungen verschiedener Vergleichsvereinbarungen von Unternehmen im Gesundheitswesen.

Wichtigste Erkenntnisse 

Obwohl die OIG darauf hinweist, dass ihre GCPG-Empfehlungen freiwillig sind und dass die im Dokument verwendeten „Sollte“-Formulierungen keine „Muss“-Formulierungen oder sonstige Anweisungen darstellen, sollten Unternehmen mit bestehenden Compliance-Programmen die GCPG überprüfen und wahrscheinlich eine oder mehrere „Optimierungen“ an diesen Programmen vornehmen. Die GCPG fasst viele Compliance-Ressourcen (oder Links) in einem einzigen Dokument zusammen und wird wahrscheinlich zu einem häufig genutzten Werkzeug für viele Compliance-Beauftragte und ihre Anwälte werden. 

Foley unterstützt Sie bei der Bewältigung der kurz- und langfristigen Auswirkungen von Gesetzesänderungen. Wir verfügen über die nötigen Ressourcen, um Sie bei diesen und anderen wichtigen rechtlichen Überlegungen im Zusammenhang mit Geschäftsabläufen und branchenspezifischen Fragen zu unterstützen. Bei Fragen wenden Sie sich bitte an die Autoren, Ihren Foley-Ansprechpartner oder an unsere Health Care Practice Group.