GRC Toolauswahl
Von der Auswahl bis zur Implementierung: Ein Fahrplan für GRC-Tools im Unternehmenskontext
5 Min. Lesezeit
Wobei unterstützt ein GRC Tool eigentlich?
Angesichts der wachsenden Komplexität regulatorischer Anforderungen und einer zunehmenden Bedrohung von Cyberangriffen benötigen Unternehmen eine Lösung, die ihre spezifischen Bedürfnisse erfüllt und gleichzeitig die Betriebsabläufe optimiert bzw. erleichtert. Dies zeigt auch die Umsatzprognose des GRC Marktes in den Jahren 2024 und 2029.
GRC Tool Auswahl
Ein systematischer Auswahlprozess hilft nicht nur, das am besten geeignete Tool zu identifizieren, sondern stellt sicher, dass es nahtlos in bestehende Unternehmen (Business und IT-Landschaft) integriert wird.
Doch wie nimmt man diese positiven Aspekte eines GRC-Tools mit und integriert diese in das Unternehmen? Nach unserer Kundenerfahrung empfehlen wir Ihnen fünf Phasen, um alle notwendigen Informationen zusammenzutragen und eine Entscheidung zu treffen.
Phase 1: Bedarfsanalyse und Zieldefinition
- Identifizierung der Anforderungen: Ermitteln Sie die spezifischen Governance, Risk und Compliance-Anforderungen Ihres Unternehmens.
- Stakeholder-Analyse: Bestimmen Sie, wer von dem GRC-Tool beeinflusst wird und wer Einfluss auf die Auswahl und Implementierung hat.
Ergebnis: In dieser Phase haben Sie sich ein klares Bild über die Unternehmensabläufe gemacht, Sie haben Kenntnis welche Aspekte und Standards sie in einem GRC-Tool abbilden möchten. Hieraus legen Sie klare Ziele für das GRC-Tool fest, einschließlich der zu lösende Probleme und der erwarteten Verbesserungen.
Phase 2: Marktforschung und Vorauswahl
- Marktübersicht: Recherchieren Sie verfügbare GRC-Tools und sammeln Sie Informationen über Funktionen, Integrationen, Skalierbarkeit und Kosten. Erstellen Sie eine Liste potenzieller GRC-Tools, die den Anforderungen Ihres Unternehmens entsprechen könnten.
- Erstellung einer Shortlist: Bewerten Sie die Tools auf der Longlist anhand Ihrer spezifischen Kriterien aus der Phase 1 (Datenhoheit, zertifizierte Softwarepartner, Lizenzkosten, etc. pp.) und wählen Sie eine engere Auswahl für eine detailliertere Bewertung aus.
Ergebnis: In dieser Phase haben Sie einen Einblick in den Markt erhalten und konnten anhand der Ergebnisse aus Phase 2 schon eingrenzen, welche Anbieter für Gespräche und Demos in Frage kommen.
Phase 3: Detaillierte Bewertung und Demos
- Demos und Testzugänge: Arrangieren Sie Demos der Tools auf Ihrer die Anbieter aus der Phase 2 und geben Sie Ihnen auch die Anforderungen mit, die Sie aus den vorrangegangenen Phasen evaluiert haben. Beziehen Sie die Stakeholder mit ein, die im Alltag mit dem Tool arbeiten werden. Sollten Sie bereits ein GRC-Tool im Einsatz haben und beabsichtigen den Wechsel sollten Sie in dieser Phase die Schnittstellenfunktionalitäten inklusive Import- und Exportfunktionen mit den Anbietern durchsprechen.
- Referenzen und Fallstudien: Suchen Sie nach Erfahrungsberichten und Fallstudien von Unternehmen, die die Tools bereits nutzen.
- Bewertung: Bewerten Sie jedes Tool nach der Demo oder dem Testzugang erneut anhand eines vorher definierten Bewertungsschemas, das Faktoren wie Funktionalität, Benutzerfreundlichkeit, Anpassbarkeit, Kosten und Support berücksichtigt.
Ergebnis: In dieser Phase verschaffen Sie sich einen Einblick über die in Frage kommenden GRC-Tools. Hier entwickeln Sie ein „Bauchgefühl“ für das Tool und wie es zu Ihrem Unternehmen und den Abläufen passen wird.
Phase 4: Bewertung und Auswahl
- Auswahlentscheidung: Treffen Sie eine fundierte Entscheidung basierend auf den Bewertungsergebnissen und der strategischen Ausrichtung Ihres Unternehmens.
- Verhandlung und Kauf: Verhandeln Sie die Kaufbedingungen, einschließlich Preis, Support-Level und Vertragskonditionen.
Zieldefinition: Treffen Sie eine Entscheidung, die auf einer detaillierten Bewertung basiert und die strategische Ausrichtung des Unternehmens unterstützt.
Phase 5: Implementierung und Integration
- Implementierungsplanung: Erstellen Sie einen detaillierten Plan für die Implementierung des GRC-Tools, einschließlich Zeitplan, möglichen Datenimporten aus vorherigen GRC-Tools, Ressourcenbedarf und Risikomanagement.
- Integration: Stellen Sie sicher, dass das Tool erfolgreich in die bestehende IT-Landschaft integriert wird, einschließlich der Anbindung an andere Systeme und Datenquellen.
- Schulung: Organisieren Sie Schulungen für die Nutzer, um die Akzeptanz und effektive Nutzung des Tools zu fördern.
Ergebnis: In dieser Phase haben Sie eine reibungslose Implementierung und Integration des ausgewählten GRC-Tools umgesetzt. Parallel dazu wurde das Ziel verfolgt, durch zielgerichtete Schulungen eine hohe Nutzerakzeptanz und optimale Anwendung des Tools im Unternehmen sicherzustellen.
GRC Tool Vergleich 2024
Weiterführend haben wir für das Jahr 2024 den Markt bereits analysiert und möchten Ihnen die Top drei Produkte unserer Analyse aus 20 Tools vorstellen. Hierbei haben wir die Auswahlkriterien auf den zu unterstützenden Normenbereich gelegt und eine hohe Flexibilität für die Integration von eigenen Kontrollen – IKS- sowie auf die Berichtsfunktion gelegt.
DocSetMinder ONE von Allgeier CyRis GmbH ist ein integriertes GRC-System, das Organisationen bei der Einhaltung von Datenschutzstandards und Normen wie ISO 9001, ISO 27001 und TISAX unterstützt. Es bietet die Flexibilität, eigene Klassen zu gestalten, was den Anwendern Freiheiten bei der Anpassung an ihre spezifischen Bedürfnisse gibt. Der Funktionsumfang des Systems ermöglicht es, Erweiterungen für Risikoanalysen, Business Impact Analyse (BIAs) und Business Continuity Management (BCM) effektiv abzubilden. Allerdings weist DocSetMinder ONE auch Nachteile auf, wie das Fehlen von Features zur Arbeitserleichterung, etwa durch automatisierte Reportgenerierung, was die Notwendigkeit der manuellen Erstellung von Berichten mit sich bringt. Zudem kann die veraltete Benutzeroberfläche sowie das Fehlen einer Single Sign-On (SSO)-Funktionalität die Benutzerfreundlichkeit einschränken.
Die 4conform ENTERPRISE integriert die Anforderungen der ISO 27001 mit dem umfassenden Wissen und den Standards des BSI, um den Arbeitsaufwand im Bereich der Informationssicherheit deutlich zu reduzieren. Durch festgelegte Algorithmen und ein intelligentes Maßnahmenmanagement-System bietet es eine effiziente Verwaltung von Sicherheitsaufgaben und ermöglicht eine schnelle Berichterstellung. Die ENTERPRISE ISMS ermöglicht eine detaillierte Bewertung sowohl auf der Ebene von Assetgruppen als auch auf Einzelasset-Ebene, unterstützt durch automatisierte Prozesse, verteilte Risikobewertungen und eine einfache Handhabung von täglichen Aktivitäten. Dies führt zu einer erheblichen Zeitersparnis. Sobald die Dokumentation von Risiken und Maßnahmen abgeschlossen ist, können alle weiteren Module automatisch auf die eingegebenen Daten zugreifen, wodurch der Prozess weiter optimiert wird.
Mitratech Holdings, Inc. bietet mit Alyne eine umfassende Governance, Risk Management und Compliance (GRC) Plattform an, die durch ihre umfangreichen Module zur Erweiterung inklusive Schnittstellen und APIs eine hohe Flexibilität und Integrationsfähigkeit aufweist. Die Plattform zeichnet sich durch moderne und intuitive Benutzeroberfläche aus, die das Nutzererlebnis verbessert und die Einarbeitungszeit verkürzt. Alyne unterstützt Unternehmen mit hilfreichen Features wie Management-Reports und Dashboards, die einen schnellen Überblick über relevante Daten ermöglichen und Entscheidungsprozesse erleichtern. Eine innovative Umfrage-Option erlaubt es, Kollegen direkt in Prozesse einzubinden und so ein breites Spektrum an Informationen zu sammeln. Allerdings kann der erhöhte Preis von Alyne für kleinere Unternehmen eine Hürde darstellen, und das Fehlen eines integrierten Dokumentenmanagements sowie die Tatsache, dass ISO 9001 nur händisch ergänzbar ist, könnten zusätzlichen Aufwand für Nutzer bedeuten.
Die Robin Data Datenschutzsoftware von Robin Data GmbH ist eine kostengünstige Lösung, die Unternehmen bei der Einhaltung von Datenschutzvorschriften sowie bei der Umsetzung von Standards wie ISO 9001, ISO 27001 und TISAX unterstützt. Sie bietet eine moderne und intuitive Benutzeroberfläche, die es Nutzern erleichtert, sich zurechtzufinden und effizient zu arbeiten. Mit zahlreichen Modulen zur Erweiterung ermöglicht die Software eine flexible Anpassung an die spezifischen Bedürfnisse des Unternehmens. Die integrierten Management-Reports und Dashboards bieten einen klaren Überblick über den Status des Datenschutzes und erleichtern das Reporting. Allerdings gibt es auch Nachteile, wie die noch ausstehende Aktualisierung auf die neueste Version der ISO 27001:2022 und die Notwendigkeit zur Etablierung eines separaten Dokumentenmanagementsystems (DMS), da kein integriertes Dokumentenmanagement in der Software vorhanden ist.
|
|
Allgeier CyRis
|
4conform
|
Alyne
|
Robin Data
|
|---|---|---|---|---|
|
Datenhoheit
(EU oder Deutschland)
|
|
|
|
|
|
Zertifizierung des Anbieters
(Cloud oder ISO 27001)
|
||||
|
Integrationsfähigkeit
(Integration an anderen Systemen (CRM, ERP, Schulungs-,Compliance Tools) und Single Sign On)
|
|
|
|
|
|
Rechtekonzept
(Administration, Read-Only)
|
|
|
|
|
|
Normen und Standards
(Gängigen Normen / Standards ISO 27001, ISO 9001, BSI IT-Grundschutz, TISAX®)
|
|
(TISAX® ist in Arbeit)
|
|
|
|
Prozesse
(Integration in bestehende Prozesse und Arbeitsabläufe)
|
|
|
|
|
|
Anpassbarkeit
(Dokumentation und Usability des Produktes)
|
|
|
|
|
|
Training
(Schulung, Hotline, Online-Hilfe)
|
|
|
|
|
|
Funktionsumfang (Basis Dokumentenlenkung, Editor zum Bearbeiten der Dateien, Reporting)
|
|
|
|
|
|
Funktionsumfang Erweitert
(Datenschutzmanagement, BCM, Compliance)
|
|
|
|
|
|
Managementsystem Features
(Internen Audits Dokumentation, Tickets z.B. KuV, Incident-Management, BCM Doku & Tests)
|
|
|
|
|
|
Zeitaufwand
(Integration in bestehende Prozesse und Arbeitsabläufe)
|
|
|
|
|
|
Art der Bereitstellung
|
||||
|
Basec Bewertung
|
★★★☆☆
|
★★★★☆
|
★★★★☆
|
★★★★☆
|
Zusammenfassend ist zu sagen, dass jedes GRC-Tool seine Vor- und Nachteile besitzt. Miratech, Robin Data und 4conform haben eine ansprechende Benutzeroberfläche die bei gut auf die Benutzerbedürfnisse angepasst werden kann. Der DocSetMinder von Allgeier befindet sich derzeit im Redesign.
- DocSetMinder® ONE von Allgeier CyRis GmbH ist ein GRC-System, das Normen wie ISO 27001 unterstützt, jedoch in der Integration und Automatisierung limitiert erscheint.
- Alyne von Mitratech hebt sich durch seine Integrationsfähigkeit und moderne Benutzeroberfläche hervor, ist im Hinblick auf Kosten und gewisse Funktionalitäten wie ein integriertes Dokumentenmanagement anspruchsvoll.
- Robin Data Datenschutzsoftware von Robin Data GmbH bietet eine intuitive Plattform für Datenschutz- und Compliance-Management, könnte jedoch in Bezug auf die Aktualität von Normen und integriertem Dokumentenmanagement Raum für Verbesserungen haben.
- 4conform verspricht durch die Integration mit BSI-Standards eine Zeitersparnis im Bereich Informationssicherheit, bedarf aber möglicherweise zusätzlicher Konfiguration für die vollständige Dokumentation interner Audits.
