Compliance-Tools. Den richtigen Governance, Risk und Compliance (GRC)-Anbieter auszuwählen ist nicht einfach, so eine BearingPoint-Studie.
Der europäische Markt für Governance, Risk und Compliance (GRC)-Lösungen ist weiterhin stark fragmentiert, heißt es in einer Aussendung des Beratungsunternehmens Bearing Point. Für die „IT-GRC-Study 2025“ wurden laut den Angaben 20 europäische Anbieter anhand von 63 objektiven Kriterien analysiert. Berücksichtigt wurden demnach u.a. Funktionsabdeckung, Service- und Supportmodelle, Preisstrukturen sowie regulatorische Schwerpunkte.
Die Studie basiert auf einer strukturierten Selbstauskunft der Anbieter, auf ein Ranking habe man bewusst verzichtet. Es obliege den Usern, selbst anhand der Eigenschaften den für sie richtigen Anbieter zu wählen (wobei BearingPoint gerne behilflich ist).
Was die Tools bieten
Governance, Risk und Compliance (GRC) entwickeln sich für Unternehmen zunehmend zu einer strategischen Steuerungsfunktion, heißt es. Gleichzeitig sei der Markt für entsprechende Softwarelösungen weiterhin heterogen und durch unterschiedliche Funktionsumfänge sowie Preisstrukturen geprägt.
Die Analyse zeige unter anderem, dass 65 Prozent der Anbieter mit zwei oder mehr Preiskomponenten arbeiten, häufig in hybriden Modellen. Dies könne die Vergleichbarkeit der Lösungen erschweren und mache eine sorgfältige Evaluierung im Auswahlprozess erforderlich. Vorteile und Einschränkungen einzelner Lösungen hängen dabei stark von Faktoren wie Unternehmensgröße, regulatorischem Umfeld sowie technischen Anforderungen ab.
Während zahlreiche Lösungen zentrale Bereiche wie Informationssicherheit, Risikomanagement, Audit oder Business Continuity unterstützen, decken nur wenige Anbieter sämtliche Funktionsbereiche vollständig ab. Die Auswahl einer GRC-Lösung sei weniger eine technische Entscheidung als vielmehr eine strategische Frage der organisatorischen, fachlichen und regulatorischen Anforderungen.
„Governance-, Risiko- und Compliance-Strukturen entwickeln sich in vielen Unternehmen zu einem wichtigen Bestandteil der organisatorischen Steuerung“, so Gerrit Aufderheide, Partner bei BearingPoint Deutschland. „Vor dem Hintergrund wachsender regulatorischer Anforderungen empfiehlt es sich, die eigenen Bedürfnisse klar zu definieren, um eine passende Lösung auszuwählen.“
Neue regulatorische Anforderungen
Mit neuen europäischen Regelwerken wie DORA, NIS2 und dem AI Act steigen die Anforderungen an Governance-, Risiko- und Kontrollsysteme spürbar und branchenübergreifend, heißt es. Unternehmen sehen sich zunehmend mit komplexen Risiken konfrontiert – insbesondere im Zusammenhang mit Informations- und Kommunikationstechnologien sowie wachsenden digitalen Abhängigkeiten.
GRC-Lösungen unterstützen Organisationen dabei, Risiken systematisch zu steuern, regulatorische Vorgaben umzusetzen sowie Rollen und Verantwortlichkeiten transparent abzubilden. „Viele Unternehmen entwickeln ihre GRC-Strukturen derzeit weiter oder bauen diese neu auf“, so Roland Ehlies, Partner bei BearingPoint. „Dabei zeigt sich, dass klare Anforderungen und eine strukturierte Auswahl entscheidend für eine nachhaltige Implementierung sind.“
Die Studienautor:innen sehen zwei strategische Ansätze für Unternehmen bei der Auswahl des GRC-Anbieters: die Implementierung einer möglichst integrierten Plattform oder die Kombination mehrerer spezialisierter Lösungen. Beide Optionen setzen jedoch eine präzise Definition der eigenen Anforderungen voraus.
So sind viele Anbieter stark im Bereich IT-Risiken (inklusive Clouds und externe Partner), andere verfügen bereits über Funktionen zur Unterstützung regulatorischer Anforderungen wie DORA, etwa bei der Identifikation kritischer Funktionen oder der strukturierten Dokumentation relevanter Informationen. Unterschiede zeigen sich jedoch beispielsweise beim Automatisierungsgrad, bei Integrationsmöglichkeiten sowie bei der praktischen Umsetzung innerhalb bestehender Systemlandschaften, heißt es.
Jetzt den Newsletter von Extrajournal.Net abonnieren
Täglich gratis in Ihrer Mailbox.
Zu diesem Thema:
