Zurück zur ÜbersichtBack to overview

GRC für KMUs: Warum Excel-Listen nicht reichen - und was die Alternative istGRC for SMEs: Why Excel lists are not enough - and what the alternative is

Ein mittelständisches Schweizer Maschinenbauunternehmen mit 150 Mitarbeitern erhält einen Grossauftrag. Der Kunde verlangt ISO 27001-Zertifizierung als Vertragsvoraussetzung. Der Geschäftsführer ist zuversichtlich: "Wir haben doch alles dokumentiert - Risiken in Excel, Massnahmen im SharePoint, Assets in einer Access-Datenbank." Sechs Monate später sitzt das Unternehmen im Pre-Audit und der Auditor stellt eine einfache Frage: "Zeigen Sie mir, welche Massnahmen das Risiko 'Ausfall kritischer Lieferanten' adressieren und wer dafür verantwortlich ist." Stille. Die Information existiert, aber verteilt über fünf verschiedene Dateien, gepflegt von drei verschiedenen Personen, ohne erkennbaren Zusammenhang.

Das Excel-Dilemma: Wenn Flexibilität zur Falle wird

Ein Finanzdienstleister pflegt seine Risikoliste in Excel. Dreissig Risiken, bewertet nach Eintrittswahrscheinlichkeit und Auswirkung, mit zugeordneten Massnahmen und Verantwortlichen. Das System funktioniert - solange eine Person es pflegt. Dann geht diese Person in Pension. Der Nachfolger öffnet die Datei und findet: veraltete Einträge, inkonsistente Bewertungen, Massnahmen ohne Fälligkeitsdatum, Verantwortliche, die nicht mehr im Unternehmen sind. Drei Monate Aufräumarbeit, bevor die Liste wieder brauchbar ist.

Das Problem mit Excel ist nicht die Software selbst, sondern die fehlende Struktur. Es gibt keine Versionskontrolle, keine automatischen Erinnerungen, keine Verknüpfung zwischen Risiken und Assets, keine Nachvollziehbarkeit von Änderungen. Was als flexible Lösung beginnt, endet in Chaos.

Die versteckten Kosten des Flickenteppichs

Ein Industrieunternehmen muss gleichzeitig mehrere Standards erfüllen: ISO 27001 für IT-Sicherheit, ISO 9001 für Qualitätsmanagement und NIS-2 für kritische Infrastruktur. Jede Norm hat eigene Anforderungen, eigene Dokumentation, eigene Audits. Das Resultat: Der Qualitätsmanager pflegt seine ISO 9001-Dokumentation, der IT-Leiter seine ISO 27001-Unterlagen, der Betriebsleiter seine NIS-2-Nachweise. Niemand sieht, dass viele Anforderungen sich überschneiden. Die gleiche Arbeit wird dreimal gemacht.

Wenn Kundenanforderungen zum Dealbreaker werden

Ein Softwareentwickler erhält eine Ausschreibung von einem Grosskonzern. Die technischen Anforderungen: kein Problem. Dann kommt Anhang C: "Nachweis ISO 27001-Zertifizierung oder gleichwertiges Sicherheitskonzept, dokumentierte Risikoanalyse für alle Kundeninteraktionen, DSGVO-Compliance-Nachweis inklusive Datenschutz-Folgenabschätzung." Das Unternehmen hat diese Dinge teilweise implementiert, aber nicht systematisch dokumentiert.

Solche Situationen werden häufiger. Grosskunden lagern ihr Compliance-Risiko auf Lieferanten aus. Wer nicht nachweisen kann, dass er Risiken im Griff hat und regulatorische Anforderungen erfüllt, fällt durchs Raster. Nicht weil das Unternehmen unsicher arbeitet, sondern weil es das nicht beweisen kann.

Der Paradigmenwechsel: GRC als Steuerungsinstrument

Ein KMU im Gesundheitsbereich hatte das klassische Problem: fragmentierte GRC-Unterlagen, mühsame Aktualisierungen, kein Gesamtüberblick. Nach der Einführung eines integrierten Systems änderte sich die Perspektive. Plötzlich wurde sichtbar: Welche Risiken haben wir eigentlich? Wo liegen unsere grössten Schwachstellen? Welche Massnahmen haben wir umgesetzt, welche sind überfällig?

Das ist der eigentliche Mehrwert von gutem GRC: Es macht das Unsichtbare sichtbar. Risiken, die man "irgendwie kennt", werden quantifiziert und vergleichbar. Compliance-Anforderungen, die man "erfüllt glaubt", werden nachweisbar dokumentiert. Verantwortlichkeiten, die "klar sein sollten", werden explizit zugeordnet.

Fazit

GRC ist kein notwendiges Übel, sondern ein Steuerungsinstrument. Wer es richtig macht, gewinnt nicht nur Compliance-Sicherheit, sondern auch Klarheit über die eigenen Risiken und Prozesse. Excel-Listen mögen einfach erscheinen, führen aber langfristig zu mehr Aufwand, nicht weniger. Die Investition in ein strukturiertes System zahlt sich aus - durch Zeitersparnis, bessere Übersicht und die Fähigkeit, Kundenanforderungen schnell nachzuweisen.

A mid-sized Swiss mechanical engineering company with 150 employees wins a major contract. The customer requires ISO 27001 certification as a contractual precondition. The managing director is confident: "We have everything documented - risks in Excel, measures in SharePoint, assets in an Access database." Six months later, the company sits in the pre-audit and the auditor asks a simple question: "Show me which measures address the risk 'failure of critical suppliers' and who is responsible for them." Silence. The information exists, but it is spread across five different files, maintained by three different people, with no discernible connection.

The Excel dilemma: When flexibility becomes a trap

A financial services provider maintains its risk list in Excel. Thirty risks, assessed by probability of occurrence and impact, with assigned measures and responsible persons. The system works - as long as one person maintains it. Then that person retires. The successor opens the file and finds: outdated entries, inconsistent assessments, measures without due dates, responsible persons who are no longer with the company. Three months of clean-up work before the list is usable again.

The problem with Excel is not the software itself, but the lack of structure. There is no version control, no automatic reminders, no linkage between risks and assets, no traceability of changes. What starts as a flexible solution ends in chaos.

The hidden costs of the patchwork approach

An industrial company has to meet several standards at the same time: ISO 27001 for IT security, ISO 9001 for quality management and NIS-2 for critical infrastructure. Each standard has its own requirements, its own documentation, its own audits. The result: the quality manager maintains his ISO 9001 documentation, the IT manager his ISO 27001 records, the operations manager his NIS-2 evidence. Nobody sees that many requirements overlap. The same work is done three times.

When customer requirements become a dealbreaker

A software developer receives a tender from a large corporation. The technical requirements: no problem. Then comes Annex C: "Proof of ISO 27001 certification or an equivalent security concept, documented risk analysis for all customer interactions, GDPR compliance evidence including a data protection impact assessment." The company has partially implemented these things, but has not documented them systematically.

Situations like this are becoming more frequent. Large customers outsource their compliance risk to suppliers. Anyone who cannot demonstrate that they have their risks under control and meet regulatory requirements falls through the cracks. Not because the company operates insecurely, but because it cannot prove otherwise.

The paradigm shift: GRC as a management instrument

An SME in the healthcare sector had the classic problem: fragmented GRC documentation, tedious updates, no overall picture. After introducing an integrated system, the perspective changed. Suddenly it became visible: Which risks do we actually have? Where are our biggest weaknesses? Which measures have we implemented, which are overdue?

That is the real added value of good GRC: it makes the invisible visible. Risks that are "somehow known" become quantified and comparable. Compliance requirements that are "believed to be met" become verifiably documented. Responsibilities that "should be clear" become explicitly assigned.

Conclusion

GRC is not a necessary evil, but a management instrument. Those who do it right gain not only compliance assurance, but also clarity about their own risks and processes. Excel lists may seem simple, but in the long run they lead to more effort, not less. The investment in a structured system pays off - through time savings, better oversight and the ability to demonstrate compliance with customer requirements quickly.