Governance, Risk & Compliance — integriertes Risikomanagement im ISMS-Kontext.

Governance, Risk und Compliance — drei Disziplinen, die im Mittelstand oft getrennt voneinander betrieben werden und sich dabei gegenseitig im Weg stehen. Wir verbinden sie zu einem integrierten System nach ISO 31000, das Doppelarbeit reduziert und Audit-Fähigkeit erhöht.

8 Minuten Lesezeit · Themen: ISO 31000, Drei-Linien-Modell, integriertes Risikomanagement
Inhalt
7 Abschnitte · 8 Minuten Lesezeit
  1. 01Was bedeutet GRC und warum gehören die drei zusammen?2 min
  2. 02ISO 31000 als methodische Grundlage1 min
  3. 03Das Silo-Problem: warum getrennte Systeme scheitern2 min
  4. 04Das Drei-Linien-Modell der Verteidigung1 min
  5. 05Wie ein integriertes GRC-System aufgebaut wird2 min
  6. 06Reifegrad-Bewertung der eigenen GRC-Praxis1 min
  7. 07Häufig gestellte Fragen3 min

Was bedeutet GRC und warum gehören die drei zusammen?

GRC ist die Abkürzung für Governance, Risk und Compliance — drei eng verwandte, aber häufig getrennt betriebene Disziplinen der Unternehmenssteuerung:

  • Governance beschreibt die übergeordnete Steuerung des Unternehmens — Rollen, Verantwortlichkeiten, Entscheidungsprozesse, Berichts-Strukturen. Wer entscheidet was, auf welcher Grundlage, gegenüber wem rechenschaftspflichtig?
  • Risk umfasst das systematische Risikomanagement — Identifikation, Bewertung und Behandlung von Risiken aller Art (operativ, finanziell, regulatorisch, reputativ).
  • Compliance meint die Einhaltung externer und interner Vorgaben — Gesetze, Normen, Verträge, eigene Richtlinien.

In gut geführten Unternehmen sind diese drei Disziplinen nicht getrennt, sondern miteinander verzahnt: Die Governance gibt die Spielregeln vor, das Risikomanagement bewertet die Folgen einer Regelverletzung, die Compliance setzt die Spielregeln operativ um. Wenn das funktioniert, gibt es eine Quelle der Wahrheit, einheitliche Bewertungslogik und konsistente Steuerung.

ISO 31000 als methodische Grundlage

ISO 31000 ist die internationale Norm für Risikomanagement. Sie ist nicht zertifizierbar, gilt aber als methodischer Goldstandard und bildet die Grundlage vieler branchenspezifischer Standards. ISO 31000 definiert acht Grundprinzipien guter Risiko-Steuerung:

  1. Integration in Geschäftsprozesse, nicht als Parallel-Welt
  2. Strukturierter und ganzheitlicher Ansatz
  3. Anpassung an Unternehmenskontext
  4. Einbeziehung aller relevanten Stakeholder
  5. Dynamische und iterative Vorgehensweise
  6. Verwendung verfügbarer Informationen
  7. Berücksichtigung menschlicher und kultureller Faktoren
  8. Kontinuierliche Verbesserung

Für ein integriertes GRC-System ist ISO 31000 die ideale methodische Klammer. Sie ist kompatibel mit ISO 27001 (Informationssicherheit), ISO 9001 (Qualität), ISO 22301 (BCM) und vielen weiteren Standards — Risiken werden nach derselben Logik bewertet, unabhängig davon, in welcher Disziplin sie ursprünglich identifiziert wurden.

Das Silo-Problem: warum getrennte Systeme scheitern

In der Praxis entwickeln sich Governance, Risiko-Management und Compliance häufig parallel und getrennt — jede Disziplin hat ihr eigenes Tool, ihre eigene Bewertungslogik, ihre eigenen Berichte. Das führt zu mehreren Problemen:

  • Doppelarbeit. Dasselbe Risiko wird in mehreren Systemen erfasst — einmal als Compliance-Lücke, einmal als operatives Risiko, einmal als Governance-Mangel. Mit jeweils unterschiedlichen Bewertungen.
  • Widersprüchliche Steuerung. Das eine System priorisiert eine Maßnahme, das andere eine andere — die Geschäftsleitung muss Konflikte auflösen, statt zu entscheiden.
  • Audit-Aufwand. Jedes Audit erfordert eigene Vorbereitung, jede Prüfung andere Nachweise. Die Belastung wächst linear mit der Anzahl der Compliance-Themen.
  • Lücken zwischen den Silos. Risiken, die nicht klar in eine Disziplin fallen, landen nirgends — oder mehrfach. Beides ist schädlich.

Ein integriertes GRC-System löst diese Probleme nicht über bessere Tools, sondern über eine gemeinsame Architektur. Die einzelnen Disziplinen behalten ihre Spezialität, teilen aber Risiko-Inventar, Bewertungslogik und Reporting-Strukturen.

Das Drei-Linien-Modell der Verteidigung

Das Drei-Linien-Modell ist ein etablierter Rahmen für die Verteilung von Risiko- und Kontroll-Verantwortung in Unternehmen. Es wurde ursprünglich von der internen Revision entwickelt und wird heute branchenübergreifend verwendet:

  1. Erste Linie — operative Verantwortung. Die Geschäftsbereiche, die ein Risiko erzeugen, sind auch für seine Steuerung verantwortlich. IT-Abteilung verantwortet IT-Risiken, Einkauf verantwortet Lieferanten-Risiken, Personalabteilung verantwortet HR-Risiken.
  2. Zweite Linie — Risiko- und Compliance-Funktionen. Spezialisierte Funktionen (Datenschutz, Informationssicherheit, Compliance, Risk Management) unterstützen die erste Linie methodisch und überwachen sie. Sie sind die Spezialisten, die Risiko-Kategorien tief verstehen.
  3. Dritte Linie — interne Revision. Unabhängige Prüfung der ersten und zweiten Linie. Bewertet, ob die Risiko-Steuerung insgesamt funktioniert. Berichtet direkt an Aufsichtsrat oder Geschäftsführung.

Im Mittelstand sind die Linien oft personell überlagert — eine Person übernimmt mehrere Rollen. Das ist unkritisch, solange die Rollen-Trennung methodisch klar bleibt. Was nicht funktioniert: Die zweite Linie selbst operativ entscheiden zu lassen oder die dritte Linie an die zweite zu hängen.

Wie ein integriertes GRC-System aufgebaut wird

Der Aufbau eines integrierten GRC-Systems folgt einer klaren Logik. In der Reihenfolge:

  1. Bestandsaufnahme der bestehenden Disziplinen. Welche Risikomanagement-Strukturen, Compliance-Themen und Governance-Regelungen gibt es bereits? Wo liegen die größten Überschneidungen und Lücken?
  2. Gemeinsames Risiko-Inventar. Eine einheitliche Datenbasis für alle Risiken — unabhängig davon, in welcher Disziplin sie identifiziert wurden. Mit einheitlicher Bewertungslogik (Eintrittswahrscheinlichkeit × Schadenshöhe) und klaren Verantwortlichkeiten.
  3. Verzahnte Reporting-Strukturen. Statt einzelne Compliance-Berichte ein konsolidiertes GRC-Reporting an die Geschäftsführung. Mit Status-Übersichten, Risiko-Heatmaps und Maßnahmen-Trackings.
  4. Klare Rollen und Verantwortlichkeiten. Anwendung des Drei-Linien-Modells auf die konkrete Organisation, mit dokumentierten Schnittstellen zwischen den Linien.
  5. Audit-fähige Dokumentation. Eine Dokumentationslogik, die für mehrere Audits gleichzeitig taugt — ISO 27001, NIS-2, Datenschutz, sektorspezifische Aufsicht.

Wichtig: Ein integriertes GRC-System ersetzt nicht die einzelnen Fach-Disziplinen. Datenschutz bleibt Datenschutz, Informationssicherheit bleibt Informationssicherheit. Was sich ändert, ist die Klammer drumherum — und damit der Aufwand und die Steuerungsqualität.

Reifegrad-Bewertung der eigenen GRC-Praxis

Wie reif eine GRC-Praxis ist, lässt sich mit einer fünfstufigen Skala bewerten:

  1. Initial: Themen werden reaktiv bearbeitet, keine strukturierte Vorgehensweise.
  2. Wiederholbar: Erste Strukturen vorhanden, aber inkonsistent angewendet.
  3. Definiert: Prozesse sind dokumentiert und werden konsistent gelebt.
  4. Gemessen: Effektivität wird systematisch erfasst und steuert die Verbesserung.
  5. Optimierend: Kontinuierliche Verbesserung anhand quantitativer Daten.

Im typischen Mittelstand liegt die Reife in einzelnen Disziplinen häufig zwischen Stufe 2 und 3 — die Integration über die Disziplinen hinweg meist auf Stufe 1 oder 2. Das ist der größte Hebel für Verbesserung: nicht die einzelnen Säulen weiter ausbauen, sondern die Verbindungen zwischen ihnen schaffen.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem GRC-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Brauchen wir ein eigenes GRC-Tool?

Nicht zwingend. GRC-Tools (z.B. von SAP, ServiceNow, OneTrust) können bei größeren Unternehmen sinnvoll sein — bei mittelständischen Organisationen ist eine gut strukturierte Excel- oder Confluence-Lösung in der Regel ausreichend. Wichtiger als das Tool ist die methodische Klarheit: einheitliches Risiko-Inventar, klare Bewertungslogik, definierte Rollen. Ein Tool ohne Struktur dahinter ist teurer Datenfriedhof.

Wer im Unternehmen ist GRC-Verantwortlicher?

In größeren Organisationen gibt es dedizierte GRC-Verantwortliche, oft auf Bereichsleiter-Ebene oder als eigene Stabsstelle. Im Mittelstand übernimmt die Rolle meist der CFO, COO oder ein dedizierter Compliance-/Risk-Officer. Wichtig: Die Rolle muss organisatorisch unabhängig von der ersten Linie sein und Berichtsweg zur Geschäftsführung haben. Eine reine IT-Verantwortung reicht nicht aus.

Wie unterscheidet sich GRC von einem ISMS?

Ein ISMS ist eine spezielle GRC-Disziplin mit Fokus auf Informationssicherheit. Es nutzt GRC-Methodik (Risiko-Bewertung, Steuerung, Berichts-Strukturen), aber für ein klar abgegrenztes Themenfeld. Ein integriertes GRC-System umfasst auch Datenschutz, Compliance mit branchenspezifischen Vorgaben, operative Risiken, finanzielle Risiken und Governance-Themen. Das ISMS ist also ein Baustein im GRC-Gesamtsystem, nicht dessen Gegenstück.

Wie lange dauert der Aufbau eines integrierten GRC-Systems?

Bei einer Bestandsaufnahme mit anschließender schrittweiser Integration: typischerweise 12 bis 18 Monate für eine substanzielle Verbesserung der Reife (von Stufe 1-2 auf Stufe 3). Eine echte Stufe-4-Reife (gemessen, datengesteuert) braucht zusätzliche 12 bis 24 Monate. Wichtig: GRC-Aufbau ist nie abgeschlossen — es ist ein iterativer Prozess, der dauerhaft Investment braucht.

Was ist die größte Falle beim GRC-Aufbau?

Zu viel auf einmal. Wer versucht, alle Disziplinen gleichzeitig zu vereinheitlichen, scheitert in der Regel. Erfolgreicher: zwei oder drei Disziplinen integrieren, Erfolg zeigen, dann weitere aufnehmen. Eine zweite häufige Falle ist die Tool-Fixierung — Software kann strukturelle Probleme nicht lösen, sondern verstärkt sie höchstens.

Was bringt ein Reifegrad-Assessment konkret?

Ein strukturiertes Assessment der GRC-Reife liefert drei Dinge: eine objektive Bestandsaufnahme (statt subjektiver Selbsteinschätzung), einen Vergleich zu Branchen-Standards (Benchmark) und einen klaren Maßnahmenplan mit Prioritäten. Es ist die Grundlage jeder ernsthaften GRC-Strategie und der erste Schritt vor jeder Tool-Auswahl oder Strukturveränderung.

Unser Ansatz

Wie wir Sie beim GRC-Aufbau unterstützen.

Wir bauen GRC-Strukturen, die zur Größe und Realität Ihres Unternehmens passen — nicht das überdimensionierte Konzern-Modell, nicht die unstrukturierte Anfangs-Lösung. In den meisten Mandaten beginnen wir mit einem Reifegrad-Assessment, das objektiv den Status quo erfasst und einen Maßnahmen-Plan mit klaren Prioritäten liefert.

Aus dem Assessment entsteht eine schrittweise Integration: Risiko-Inventar konsolidieren, Bewertungslogik vereinheitlichen, Reporting-Strukturen verzahnen, Rollen klären. Wir arbeiten dabei mit ISO 31000 als methodischer Klammer und integrieren bestehende ISMS-, Datenschutz- und Compliance-Strukturen, statt sie zu ersetzen.

Erstgespräch zum GRC-Aufbau.

30 Minuten. Wir klären, wie reif Ihre GRC-Praxis aktuell ist, wo die größten Lücken liegen und welche Schritte als nächstes anstehen.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

GRC verbindet, was sonst getrennt läuft.

Ein integriertes GRC-System schließt typischerweise diese Disziplinen ein:

Informationssicherheits-Managementsystem Das ISMS ist eine zentrale GRC-Disziplin nach ISO 27001-Methodik NIS-2-Umsetzung NIS-2-Compliance ist Teil des GRC-Gesamtsystems KRITIS-Beratung §8a-BSIG-Nachweisführung baut auf einem strukturierten Risikomanagement auf