Governance, Risk und Compliance: Wie GRC zur operativen Disziplin wird

Governance, Risk und Compliance, kurz GRC, ist seit der Verabschiedung von ISO 37301:2021 (Compliance-Managementsysteme) und der Aktualisierung von ISO 31000:2018 (Risikomanagement) kein abstraktes Drei-Saeulen-Modell mehr, sondern eine prüfbare Disziplin mit klaren Rechtsgrundlagen. Aufsichtsbehoerden wie BaFin, BSI und die Datenschutzkonferenz verlangen heute keine Absichtserklaerung, sondern den dokumentierten Nachweis: Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Druck auf den deutschen Mittelstand ist seit Inkrafttreten der NIS-2-Umsetzung im BSIG, der CSRD und des LkSG sprunghaft gestiegen. Branchenschaetzungen gehen von rund 29.500 NIS-2-betroffenen Unternehmen in Deutschland aus, von denen mehr als zwei Drittel über kein integriertes GRC-System verfuegen. Wirtschaftspruefer und Auditoren stellen entsprechend regelhaft fest, dass Risikoregister, Kontrollmatrix und Berichtslinie nicht zueinander passen.

Dieser Beitrag erklaert, wie Governance, Risk und Compliance vom strategischen Statement zur operativen Plattform wird. Sie erfahren, welche drei Schichten in ein modernes GRC-Modell gehoeren, wie das Zusammenspiel mit ISMS, Datenschutz und Hinweisgeberschutz funktioniert und welche Werkzeuge eine Bestellurkunde, eine Berichtslinie und einen Audit-Trail in zwei Werktagen statt sechs Wochen tragen koennen. Sie bekommen eine konkrete Migrationsroutine vom Excel-Risikoregister zur Plattform sowie eine Aufstellung der Prüfungsfragen, die Auditoren tatsaechlich stellen. Im Mittelpunkt steht die CIVAC Compliance-Plattform und Officer-as-a-Service, die GRC nicht als Konzept beschreibt, sondern als ausfuehrbare Software in einem Mandanten mit EU-Datenresidenz und 25 bestellbaren Beauftragten-Rollen.

Governance, Risk und Compliance wird in der Praxis oft synonym mit Compliance verwendet, ist aber regulatorisch breiter und schaerfer abgegrenzt. Governance bezeichnet die Aufbau- und Ablauforganisation der Geschäftsleitung inklusive Aufsichtsstrukturen, Berichtslinien und Vertretungsregelungen. Risk umfasst die systematische Identifikation, Bewertung und Steuerung operativer, finanzieller, rechtlicher und IT-bezogener Risiken nach ISO 31000:2018. Compliance bedeutet die nachweisbare Einhaltung externer Vorgaben (DSGVO, NIS-2-Umsetzung im BSIG, LkSG, HinSchG, OWiG) und interner Richtlinien. Die drei Begriffe überlappen sich, sind aber nicht identisch: Eine starke Governance ohne Risikomanagement bleibt formal, ein gutes Risikomanagement ohne Compliance-Bezug ist nicht sanktionsfest.

Die regulatorische Pflicht zur Integration dieser drei Saeulen ergibt sich aus mehreren Quellen. § 91 Abs. 2 AktG verpflichtet Vorstaende zur Einrichtung eines Risikofrueherkennungssystems. § 93 AktG konkretisiert die Sorgfaltspflicht des Vorstands mit der Business Judgement Rule. § 130 OWiG erweitert die Aufsichtspflicht auf alle juristischen Personen und stellt deren Verletzung mit Bussgeldern bis 10 Mio. Euro unter Sanktion. ISO 37301:2021 definiert sieben Bausteine eines Compliance-Managementsystems: Führung, Planung, Unterstuetzung, Betrieb, Bewertung, Verbesserung und Kontext der Organisation. ISO 31000:2018 ergaenzt Risikobewertungsverfahren wie Wahrscheinlichkeits-Auswirkungs-Matrix und Risikoappetit-Erklaerung. In der Summe entsteht ein integriertes Pflichtenmodell.

Wer Governance, Risk und Compliance heute trennt, erzeugt Reibung und doppelte Datenhaltung. Der Compliance-Beauftragte braucht das Risikoregister des Risikomanagers. Der Informationssicherheitsbeauftragte braucht die Governance-Struktur für Eskalation und Freigabewege. Eine integrierte GRC-Plattform führt diese Daten in einer Quelle der Wahrheit zusammen, mit gemeinsamer Berichtslinie und einem Audit-Trail. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das ist nicht Stil, sondern Prüfbarkeit: Der Prüfer ruft an, der Nachweis liegt bereit, mit Versionsstand, Freigabe und Bezug zum jeweiligen Paragraphen oder Norm-Control.

Ein funktionierendes GRC-Modell besteht aus drei Schichten, die haeufig vermischt werden. Die strategische Schicht legt fest, welche Risiken die Geschäftsleitung akzeptiert, welche Werte das Unternehmen schuetzt und welche Berichtswege gelten. Sie wird in einem Code of Conduct, einer Compliance-Policy und einer Risikoappetit-Erklaerung dokumentiert. Diese Dokumente sind nicht statisch, sie werden mindestens jaehrlich durch die Geschäftsfuehrung freigegeben und im Aufsichtsorgan beschlossen. Ohne diese Freigabe verliert das Modell seine Tragfaehigkeit, weil die Risikoakzeptanz nicht zurechenbar ist.

Die prozessuale Schicht übersetzt Strategie in wiederkehrende Ablaeufe. Dazu gehoeren Risikoinventur, Kontrollmatrix, Schulungsplan, Audit-Plan, Vorfallsmanagement, Lieferantenpruefung und Berichtsroutine. Jeder Prozess hat einen Owner, einen Zyklus und ein Auslieferungsobjekt. Ein Schulungsplan ohne Teilnahmenachweis ist kein Prozess, sondern Absicht. Ein Risikoregister ohne Bewertungs-Workflow ist eine Liste, kein System. Ein Audit-Plan ohne dokumentierte Findings und Nachverfolgung ist eine Kalender-Eintragung. Ohne klare Cadence verlaufen Prozesse aus den Augen. Auf dieser Schicht entscheidet sich, ob die Strategie Realitaet wird oder Konzept bleibt.

Die Nachweisschicht ist der Punkt, an dem Prüfungen entschieden werden. Hier liegen Bestellurkunden, Protokolle, Schulungsnachweise, Kontrolltests, Auditberichte und Meldungen an Behoerden. Frist laeuft ab Kenntnis: Eine NIS-2-Erstmeldung muss innerhalb von 24 Stunden, die Folgemeldung innerhalb von 72 Stunden beim BSI eingehen, die Abschlussmeldung innerhalb eines Monats. Wer hier nicht weiß, wo das letzte Pen-Test-Protokoll liegt, verliert die Frist und damit möglicherweise die Erfuellungs-Vermutung. Die CIVAC-Plattform führt alle drei Schichten zusammen: 37 einsatzbereite Audit-Vorlagen, eine Berichtslinie pro Rolle, ein gemeinsamer Audit-Trail mit Versionskontrolle, Empfangsbestaetigungen und Beweiswert-Sicherung. Damit wird aus dem Schichten-Modell ein laufender Prozess statt eines Schaubilds, der bei Prüfungen Bestand hat und im Tagesgeschaeft entlastet.

ISO 37301:2021 ist die international zertifizierbare Norm für Compliance-Managementsysteme und loest die aeltere ISO 19600:2014 ab. Sie ist auditierbar nach ISO/IEC 17021 und liefert damit erstmals einen Prüfrahmen, der mit ISO/IEC 27001:2022 (Informationssicherheit) und ISO 14001:2015 (Umweltmanagement) integrierbar ist. Kern der Norm sind die sieben Bausteine sowie der Plan-Do-Check-Act-Zyklus, der jeden Compliance-Prozess kontinuierlich verbessert. Die Zertifizierung nach ISO 37301 ist im deutschen Mittelstand noch selten verbreitet, gewinnt aber als Tender-Anforderung im Konzernumfeld zunehmend an Bedeutung.

ISO 31000:2018 ist nicht zertifizierbar, gilt aber als De-facto-Standard für Risikomanagement. Die Norm definiert acht Prinzipien (z.B. Integration, dynamische Anpassung, beste verfuegbare Information) und einen Prozess aus Kommunikation, Kontextfestlegung, Risikoidentifikation, -analyse, -bewertung, -behandlung und -überwachung. ISO/IEC 31010:2019 ergaenzt die Auswahl der Risikobewertungsverfahren mit über 30 Methoden, von Bowtie-Analyse bis Monte-Carlo-Simulation. In Verbindung mit ISO 37301 entsteht ein integriertes GRC-Framework, das gleichzeitig Compliance- und Risikoanforderungen abdeckt und das Auditoren als anerkannten Rahmen akzeptieren.

Im deutschen Recht greifen mehrere Normen ineinander. § 91 Abs. 2 AktG verlangt ein Risikofrueherkennungssystem, § 93 AktG die Sorgfaltspflicht des Vorstands. § 130 OWiG sanktioniert Aufsichtspflichtverletzungen mit Bussgeldern bis 10 Mio. Euro. Im Finanzsektor ergaenzen MaRisk (BaFin), in der Versicherung MaGo (BaFin), im Datenschutz Art. 24 und 32 DSGVO. NIS-2 fuegt seit der BSIG-Novelle 2026 explizite Geschäftsleitungs-Pflichten hinzu: persoenliche Haftung des Vorstands, verpflichtende Schulung, Bussgelder bis 10 Mio. Euro oder 2 Prozent Konzernumsatz für wesentliche Einrichtungen. Wer GRC nach ISO 37301 und ISO 31000 führt, deckt die deutsche Rechtslage in einem Audit-fest dokumentierten Modell ab. § 130 OWiG-fest, BSIG-fest, DSGVO-fest. Damit reduziert sich der Aufwand für parallele Prüffragen.

Das Risikoregister ist das Herzstueck eines GRC-Modells. Es listet jedes identifizierte Risiko mit Kategorie (operativ, finanziell, rechtlich, IT, Reputation), Eintrittswahrscheinlichkeit, Schadenshoehe, Risikoeigentuemer, Status der Behandlung und naechstem Prüfdatum. Praxisbewaehrt ist eine 5x5-Matrix mit dokumentiertem Risikoappetit der Geschäftsleitung, der die Akzeptanzschwellen pro Schadenshoehe und Eintrittswahrscheinlichkeit definiert. Ohne Risikoeigentuemer entstehen Geisterrisiken, die niemand fortschreibt. Ohne Risikoappetit-Erklaerung fehlt der Beurteilungsmassstab, ab wann eine Behandlungsentscheidung erforderlich wird.

Die Kontrollmatrix verbindet jedes Risiko mit mindestens einer Kontrolle. Kontrollen werden in praeventiv, detektiv und korrigierend unterteilt und mit einem Test-Zyklus versehen. ISO/IEC 27001:2022 liefert 93 Controls, die als Startpunkt für den IT-Bereich dienen koennen. ISO 37301 ergaenzt prozedurale Kontrollen wie Vier-Augen-Prinzip, Genehmigungswege und Schulungsnachweise. Eine Kontrolle ohne Test ist eine Annahme. Eine getestete Kontrolle mit dokumentiertem Ergebnis ist ein Nachweis. Die Test-Frequenz wird risikobasiert festgelegt: hochriskante Kontrollen quartalsweise oder anlassbezogen, weniger kritische jaehrlich. Audit-fest, dokumentiert, ISO-fest.

Die Berichtslinie regelt, wer wem in welcher Frequenz was meldet. Compliance-Beauftragter, Datenschutzbeauftragter, Informationssicherheitsbeauftragter und Risikomanager berichten direkt an die Geschäftsleitung, in der Regel quartalsweise plus ad hoc bei meldepflichtigen Vorfaellen wie Datenpannen, NIS-2-Sicherheitsvorfaellen oder substantiierten Hinweisen aus der Meldestelle. Der CIVAC-Workspace bildet diese Berichtslinie als Workflow ab: jede Rolle hat ihr Dashboard, jede Meldung loest die richtige Eskalation aus, jeder Bericht wird mit Versionsstand und Empfangsbestaetigung archiviert. Eskalationsregeln sind konfigurierbar, sodass ein Vorfall über einer definierten Schwelle automatisch den Vorstand erreicht. Damit ist die Berichtslinie nicht Theorie, sondern System. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Ein haeufiger Fehler ist die Trennung von GRC, Datenschutz und Informationssicherheit. In der Praxis überschneiden sich diese Bereiche stark, weil dieselben technischen und organisatorischen Maßnahmen mehreren Regimes dienen. Eine Datenpanne nach Art. 33 DSGVO ist gleichzeitig ein Compliance-Vorfall, ein IT-Sicherheitsvorfall und potenziell ein NIS-2-meldepflichtiges Ereignis nach § 32 BSIG. Wer drei getrennte Meldewege führt, verliert die 72-Stunden-Frist der DSGVO oder die 24-Stunden-Frist der NIS-2. Wer einen integrierten Vorfallsmanagement-Prozess führt, meldet einmal mit dokumentierter Verteilerlogik und bedient drei Pflichten.

Der Datenschutzbeauftragte liefert das Verzeichnis von Verarbeitungstaetigkeiten nach Art. 30 DSGVO und die Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO. Der Informationssicherheitsbeauftragte betreibt das ISMS nach ISO/IEC 27001:2022 mit den genannten 93 Controls. Der Compliance-Beauftragte sorgt für die ISO-37301-konforme Dokumentation und die Kontrolle der Aufsichtspflicht nach § 130 OWiG. Im CIVAC-Modell teilen sich diese drei Rollen einen Mandanten, eine Berichtslinie und einen Audit-Trail, ohne dass Sichtbarkeitsrechte vermischt werden.

Hinweisgeberschutz nach HinSchG (seit Juli 2023) ist ebenfalls Teil von GRC. Unternehmen ab 50 Beschaeftigten muessen eine interne Meldestelle betreiben, Meldungen innerhalb von 7 Tagen bestätigen und innerhalb von 3 Monaten Rückmeldung geben. Verstoesse kosten bis 50.000 Euro Bussgeld, bei systematischer Behinderung bis 500.000 Euro. Die Meldestelle muss vertraulich, weisungsunabhaengig und mit ausreichender Qualifikation besetzt sein, kann aber auch extern bestellt werden. Eine GRC-Plattform, die Hinweisgeber-Faelle in dieselbe Vorfallsdatenbank wie Compliance-Vorfaelle traegt (mit strikt getrennten Sichtbarkeitsrechten und vertraulichkeitskonformen Workflows), reduziert Doppelarbeit und schliesst Compliance-Luecken. Der Prüfer ruft an, der Nachweis liegt bereit. Eine getrennte Rollen-Architektur mit eigenen Logbuechern verhindert zudem, dass interne Untersuchungen durch unbefugten Datenzugriff angreifbar werden. Die Plattform protokolliert jeden Zugriff revisionssicher.

Mittelstaendische Unternehmen scheuen GRC oft, weil sie Konzern-Strukturen vor Augen haben und Berater-Angebote im sechsstelligen Bereich erleben. Tatsaechlich laesst sich ein ISO-37301-naehiges Compliance-Managementsystem in einem Unternehmen mit 100 bis 1.000 Mitarbeitenden in 12 bis 16 Wochen aufbauen, wenn standardisierte Vorlagen genutzt werden. Der klassische Weg über individuelle Beratungsprojekte dauert 6 bis 12 Monate und kostet typischerweise 80.000 bis 250.000 Euro für die Initialphase plus laufende Personalkosten. Eine plattformgestuetzte Umsetzung verkuerzt diese Phase auf einen Bruchteil und reduziert die Bindung an externe Beratung.

Die Hauptkostenpositionen sind Beauftragten-Bestellung, Dokumentationsaufbau, Schulungen, Tooling und externe Audits. Bei externer Bestellung von Compliance- und Datenschutzbeauftragtem rechnen Anbieter typischerweise 2 bis 4 Wochen Vorlaufzeit ein, bei spezialisierten Rollen wie ISB oder LkSG-Beauftragtem auch laenger. Die CIVAC-SLA liegt bei 2 Werktagen statt 2 bis 6 Wochen klassisch und ist vertraglich zugesichert. Das verkuerzt die Time-to-Compliance für Unternehmen, die durch NIS-2-Umsetzung, LkSG oder CSRD kurzfristig Pflichten erfuellen muessen, etwa weil ein Tender den Nachweis verlangt oder eine Prüfung kurzfristig terminiert wurde.

Tooling ist der zweite Hebel. Excel-basierte Risikoregister fallen bei der ersten Audit-Prüfung durch, weil Versionierung, Freigabeworkflows und Berichtslinie nicht maschinell abgebildet sind. Eine spezialisierte GRC-Plattform mit Mandantenfaehigkeit, Rollenmodell und EU-Datenresidenz kostet einen Bruchteil einer Eigenentwicklung und liefert die Prüfbarkeit out of the box. Wer GRC im Mittelstand budgetiert, sollte 60 Prozent Personalaufwand, 25 Prozent Tooling und 15 Prozent externe Audits planen. Eine integrierte Plattform verschiebt diesen Mix Richtung Automatisierung und entlastet die Beauftragten von Dokumentationsarbeit, sodass mehr Zeit für fachliche Risikoeinschaetzung bleibt.

Auditoren nach ISO 37301, ISO 27001 oder BaFin-Prüfung folgen einem wiederkehrenden Muster. Sie fragen nicht nach Konzepten, sondern nach Belegen, und sie eroeffnen die Prüfung meist mit derselben Sequenz. Die erste Frage lautet fast immer: Wer ist der Compliance-Beauftragte und seit wann? Liegt die Bestellurkunde mit Datum, Unterschrift und Aufgabenbeschreibung vor? Ohne diese Urkunde ist die Prüfung in den ersten 15 Minuten in einer ungeplanten Diskussion über Verantwortlichkeiten gefangen, und die Beweislast verschiebt sich gegen das Unternehmen.

Die zweite Frage betrifft die Berichtslinie. Auditoren wollen Protokolle der letzten vier Compliance-Berichte an die Geschäftsleitung sehen, inklusive Tagesordnung, Teilnehmern und Beschluessen. Fehlen diese, ist die Wirksamkeit des CMS nicht nachweisbar, und die Norm-Konformitaet nach ISO 37301 Abschnitt 9 ist faktisch verfehlt. Die dritte Frage zielt auf den letzten Vorfall: Wie wurde er erkannt, gemeldet, behandelt, dokumentiert, abgeschlossen? Der Audit-Trail muss vom ersten Hinweis bis zum Abschlussbericht lueckenlos sein, mit Datums-, Personen- und Versionsangaben.

Die vierte Frage betrifft Schulungen. Wer wurde wann zu welchem Thema geschult, mit welchem Ergebnis, mit welcher Wirksamkeitspruefung? E-Learning-Statistiken ohne Wissenstest sind Anwesenheitslisten, keine Schulungsnachweise. Auditoren erkennen den Unterschied an der ersten Stichprobe. Die fuenfte Frage ist die haerteste: Welche Risiken haben Sie bewusst nicht behandelt und warum? Hier zeigt sich, ob ein Risikoappetit dokumentiert und durch die Geschäftsleitung genehmigt ist, oder ob die Auswahl der behandelten Risiken implizit und damit angreifbar bleibt. Die CIVAC-Plattform liefert für jede dieser fuenf Fragen einen vordefinierten Report mit den geforderten Belegen. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Die meisten Unternehmen starten GRC mit Excel und SharePoint. Das funktioniert bis zur ersten ernsthaften Prüfung oder bis zur ersten meldepflichtigen Datenpanne. Spaetestens wenn ein Wirtschaftspruefer, das BSI oder ein Konzernkunde den Audit-Trail fordert, scheitert das Modell. Die Migration zu einer integrierten Plattform laesst sich in sechs Schritten strukturieren, ohne dass der laufende Betrieb pausieren muss. Jeder Schritt liefert einen abgrenzbaren Mehrwert, sodass bereits nach den ersten zwei Schritten Prüfbarkeit entsteht.

Schritt 1 ist die Bestandsaufnahme: Welche Dokumente, Listen und Prozesse existieren? Wer ist Eigentümer? Welche Pflichten sind ungeklaert? Schritt 2 ist die Rollenklaerung: Sind Compliance-, Datenschutz-, Informationssicherheits- und ggf. ESG-Beauftragter formal bestellt und mit Bestellurkunde dokumentiert? Gibt es Vertreterregelungen? Schritt 3 ist die Datenmigration: Risikoregister, Kontrollmatrix, Vorfaelle und Schulungsnachweise werden in die Plattform übertragen, mit Verweis auf das Original-Dokument für die Historie und mit dokumentiertem Mapping zwischen alter und neuer Struktur.

Schritt 4 ist der Aufbau der Berichtslinie als Workflow inklusive Eskalationsregeln und Empfaengerlisten pro Vorfallstyp. Schritt 5 ist die Schulung der Beauftragten und der Geschäftsleitung, da die NIS-2-Umsetzung explizit eine Geschäftsleitungs-Schulung mit Nachweis verlangt. Schritt 6 ist die Erst-Audit-Probe: Ein interner Audit durchlaeuft die fuenf Auditor-Fragen aus dem vorherigen Abschnitt und identifiziert Luecken, die vor dem externen Termin geschlossen werden. Die CIVAC-FAQ beschreibt diese Migration im Detail. Mit 37 einsatzbereiten Audit-Vorlagen und der dualen Modelloption laesst sich Schritt 1 bis 6 in 8 bis 12 Wochen abschliessen, abhaengig von Unternehmensgröße und Reifegrad. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Sitz in Deutschland und EU-Datenresidenz. Die Plattform deckt 25 Beauftragten-Rollen ab, vom Compliance-Beauftragten über Datenschutz- und Informationssicherheitsbeauftragten bis zum ESG-, Hinweisgeber- und Hygienebeauftragten. Jede Rolle bringt ihre Pflichtenmatrix, Bestellurkundenvorlage, Berichtslinie und einen rollenspezifischen Audit-Trail mit. Das integrierte ISMS folgt ISO/IEC 27001:2022 mit den 93 Controls; die 37 Audit-Vorlagen decken interne und externe Prüfungen ab, inklusive Lieferantenaudits und Prozessaudits.

Das duale Modell ist die Antwort auf zwei unterschiedliche Bedarfslagen. Unternehmen mit eigenem Beauftragten lizenzieren den CIVAC-Workspace und gewinnen sofort Prüfbarkeit, ohne ein eigenes Tool aufzubauen oder mit Excel-Listen zu jonglieren. Unternehmen ohne ausreichende interne Ressourcen lassen einen CIVAC-Beauftragten extern bestellen und erhalten Rolle und Plattform aus einer Hand, mit definierten Antwortzeiten und festen Eskalationspfaden. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle laufen auf demselben Mandanten, sodass Wechsel ohne Datenmigration möglich sind.

Die SLA-Zeit von 2 Werktagen ist messbar und vertraglich zugesichert. Das ist relevant für Unternehmen, die nach NIS-2-Umsetzung kurzfristig Beauftragte nachweisen muessen, bei einem Audit eine Luecke schliessen oder einen Tender mit dokumentierter Compliance-Funktion bedienen. Aus dem Lesen einen Auftrag machen: Wenn Sie GRC nicht laenger als PowerPoint-Folie führen wollen, sondern als laufendes System mit Bestellurkunde, Berichtslinie und Audit-Trail, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Im Erstgespraech klaeren wir, ob Workspace-Lizenz, Officer-as-a-Service oder die Kombination zu Ihrer Struktur passt. Die CIVAC-Rollenuebersicht zeigt alle 25 Beauftragten-Profile mit Bestellbarkeit und SLA.