Ein mittelständisches Schweizer Maschinenbauunternehmen mit 150 Mitarbeitern erhält einen Grossauftrag. Der Kunde verlangt ISO 27001-Zertifizierung als Vertragsvoraussetzung. Der Geschäftsführer ist zuversichtlich: "Wir haben doch alles dokumentiert - Risiken in Excel, Massnahmen im SharePoint, Assets in einer Access-Datenbank." Sechs Monate später sitzt das Unternehmen im Pre-Audit und der Auditor stellt eine einfache Frage: "Zeigen Sie mir, welche Massnahmen das Risiko 'Ausfall kritischer Lieferanten' adressieren und wer dafür verantwortlich ist." Stille. Die Information existiert, aber verteilt über fünf verschiedene Dateien, gepflegt von drei verschiedenen Personen, ohne erkennbaren Zusammenhang.
Das Excel-Dilemma: Wenn Flexibilität zur Falle wird
Ein Finanzdienstleister pflegt seine Risikoliste in Excel. Dreissig Risiken, bewertet nach Eintrittswahrscheinlichkeit und Auswirkung, mit zugeordneten Massnahmen und Verantwortlichen. Das System funktioniert - solange eine Person es pflegt. Dann geht diese Person in Pension. Der Nachfolger öffnet die Datei und findet: veraltete Einträge, inkonsistente Bewertungen, Massnahmen ohne Fälligkeitsdatum, Verantwortliche, die nicht mehr im Unternehmen sind. Drei Monate Aufräumarbeit, bevor die Liste wieder brauchbar ist.
Das Problem mit Excel ist nicht die Software selbst, sondern die fehlende Struktur. Es gibt keine Versionskontrolle, keine automatischen Erinnerungen, keine Verknüpfung zwischen Risiken und Assets, keine Nachvollziehbarkeit von Änderungen. Was als flexible Lösung beginnt, endet in Chaos.
Die versteckten Kosten des Flickenteppichs
Ein Industrieunternehmen muss gleichzeitig mehrere Standards erfüllen: ISO 27001 für IT-Sicherheit, ISO 9001 für Qualitätsmanagement und NIS-2 für kritische Infrastruktur. Jede Norm hat eigene Anforderungen, eigene Dokumentation, eigene Audits. Das Resultat: Der Qualitätsmanager pflegt seine ISO 9001-Dokumentation, der IT-Leiter seine ISO 27001-Unterlagen, der Betriebsleiter seine NIS-2-Nachweise. Niemand sieht, dass viele Anforderungen sich überschneiden. Die gleiche Arbeit wird dreimal gemacht.
Wenn Kundenanforderungen zum Dealbreaker werden
Ein Softwareentwickler erhält eine Ausschreibung von einem Grosskonzern. Die technischen Anforderungen: kein Problem. Dann kommt Anhang C: "Nachweis ISO 27001-Zertifizierung oder gleichwertiges Sicherheitskonzept, dokumentierte Risikoanalyse für alle Kundeninteraktionen, DSGVO-Compliance-Nachweis inklusive Datenschutz-Folgenabschätzung." Das Unternehmen hat diese Dinge teilweise implementiert, aber nicht systematisch dokumentiert.
Solche Situationen werden häufiger. Grosskunden lagern ihr Compliance-Risiko auf Lieferanten aus. Wer nicht nachweisen kann, dass er Risiken im Griff hat und regulatorische Anforderungen erfüllt, fällt durchs Raster. Nicht weil das Unternehmen unsicher arbeitet, sondern weil es das nicht beweisen kann.
Der Paradigmenwechsel: GRC als Steuerungsinstrument
Ein KMU im Gesundheitsbereich hatte das klassische Problem: fragmentierte GRC-Unterlagen, mühsame Aktualisierungen, kein Gesamtüberblick. Nach der Einführung eines integrierten Systems änderte sich die Perspektive. Plötzlich wurde sichtbar: Welche Risiken haben wir eigentlich? Wo liegen unsere grössten Schwachstellen? Welche Massnahmen haben wir umgesetzt, welche sind überfällig?
Das ist der eigentliche Mehrwert von gutem GRC: Es macht das Unsichtbare sichtbar. Risiken, die man "irgendwie kennt", werden quantifiziert und vergleichbar. Compliance-Anforderungen, die man "erfüllt glaubt", werden nachweisbar dokumentiert. Verantwortlichkeiten, die "klar sein sollten", werden explizit zugeordnet.
Fazit
GRC ist kein notwendiges Übel, sondern ein Steuerungsinstrument. Wer es richtig macht, gewinnt nicht nur Compliance-Sicherheit, sondern auch Klarheit über die eigenen Risiken und Prozesse. Excel-Listen mögen einfach erscheinen, führen aber langfristig zu mehr Aufwand, nicht weniger. Die Investition in ein strukturiertes System zahlt sich aus - durch Zeitersparnis, bessere Übersicht und die Fähigkeit, Kundenanforderungen schnell nachzuweisen.