Risiko-Identifikation & Bewertung: Zentrales Risiko-Register mit konfigurierbaren Kategorien (Finanzen, IT, Compliance, Lieferkette), Mehrkriterien-Bewertungsmatrix (Wahrscheinlichkeit × Auswirkung) mit anpassbaren Skalen, vorkonfigurierte Risiko-Templates für ISO 31000 und BSI IT-Grundschutz
Maßnahmen-Management & Workflows: Automatisierte Workflows für Risikobehandlung mit konfigurierbaren Eskalationsstufen, Maßnahmen-Tracking mit Fälligkeits- und Verantwortlichkeitsverwaltung, E-Mail-Benachrichtigungen und Erinnerungsalarme für offene Aufgaben
Dokumentation & Compliance Management: Vollständige Audit-Trail-Protokollierung aller Änderungen und Aktivitäten, integriertes Dokumentenmanagement mit Versionskontrolle, Standard-Reports für Vorstand und Aufsichtsbehörden, Export-Funktionen (PDF, Excel, CSV) für externe Prüfungen
Visualisierung & Reporting: Dynamische Heatmap-Visualisierung im Management-Dashboard, konfigurierbare Dashboard-Widgets für C-Level-Reporting, Online-Auswertungen und Ad-hoc-Berichte, Konsolidierung einzelner Risikoberichte für Konzernstrukturen
Integration & Mobilität: REST-API für Anbindung an ERP-/ITSM-Systeme (SAP, OTRS, SharePoint), Single Sign-On (SAML, OAuth2) und LDAP/AD-Integration, Web-Formulare für dezentrale Risikomeldungen aus Fachabteilungen, Multi-Tenant- und Multi-Language-Support
Berechtigungsmanagement: Rollenbasiertes Rechtemanagement mit Separation of Duties, berechtigungsgesteuerter Zugriff detailliert steuerbar, Berechtigungskonzept für verschiedene Organisationsebenen und Verantwortlichkeiten
ECM-Kern für revisionssichere Dokumentation Aufgrund der Alfresco-Basis bietet die GRC Software eine einzigartig tiefe Dokumentenintegration. Risiken werden nicht nur verwaltet, sondern mit allen zugehörigen Nachweisdokumenten, Richtlinien und Compliance-Nachweisen verknüpft – inklusive vollständiger Versionierung und Audit-Trails auf Dokumentenebene. Diese Architektur ermöglicht eine lückenlose, revisionssichere Archivierung aller Risikobewertungen und zugehörigen Dokumente.
Nahtlose OTRS-ITSM-Integration Als einziger GRC-Anbieter bietet otris eine native Verknüpfung zwischen Risikomanagement und ITSM-Tickets. IT-Risiken können direkt in operative OTRS-Aufgaben überführt werden – ideal für Unternehmen mit etablierten ITSM-Prozessen. Diese Integration ermöglicht ein durchgängiges Ticket-basiertes Risk-to-Task-Management.
Vertragsmanagement-Kopplung Risiken aus auslaufenden Verträgen, unklaren Klauseln oder Lieferantenabhängigkeiten werden automatisch aus dem integrierten Vertragsmanagement-Modul übernommen. Dieser dokumentenzentrierte Governance-Ansatz ist einzigartig im Markt und bietet besondere Vorteile für compliance-intensive Branchen.
Deutscher Datenschutz-Standard Komplettes Hosting in deutschen ISO 27001-zertifizierten Rechenzentren mit Ende-zu-Ende-Verschlüsselung. Der Anbieter selbst ist nach ISO 9001 zertifiziert, was den gesamten Entwicklungs- und Supportprozess umfasst und höchste deutsche Qualitäts- und Datenschutzstandards gewährleistet.
Einschränkungen Die dokumentenzentrierte Architektur kann bei rein quantitativen Risikoanalysen (Monte-Carlo-Simulationen) weniger flexibel sein als spezialisierte Finanz-GRC-Tools. Die monolithischere Architektur kann zudem UI-Modernisierungen verlangsamen gegenüber Cloud-Native-Anbietern.
Compliance Officer in regulierten Branchen Banken, Versicherungen und Energieunternehmen profitieren von vorkonfigurierten Templates für BAIT/VAIT-Anforderungen und der nahtlosen Verknüpfung zwischen Risiken und Compliance-Nachweisen. Die Software unterstützt die Umsetzung regulatorischer Vorgaben und bietet standardisierte Prozesse für wiederkehrende Compliance-Aufgaben.
Risk Manager in mittelständischen Industrieunternehmen Organisationen mit 100-1.000 Mitarbeitern benötigen standardisierte Risikomanagement-Prozesse ohne Over-Engineering. Die modulare Lizenzierung ermöglicht einen schrittweisen Ausbau vom Basis-Risikomanagement zu erweiterten GRC-Funktionen. Besonders geeignet für Unternehmen mit etablierten Dokumentenmanagement-Prozessen.
Interne Auditoren mit hohen Dokumentationsanforderungen Die ECM-Basis gewährleistet lückenlose, revisionssichere Archivierung aller Risikobewertungen und zugehörigen Dokumente – ideal für Audit-Nachweise und externe Prüfungen. Historische Berichte und vollständige Änderungshistorien unterstützen umfassende Audit-Trails.
IT-Verantwortliche mit bestehender OTRS-Landschaft Unternehmen mit etablierten ITSM-Prozessen können IT-Risiken nahtlos in operative Ticket-Workflows überführen und profitieren von der einzigartigen GRC-ITSM-Integration. Diese Zielgruppe kann bestehende Investitionen in OTRS optimal erweitern.
Entscheidende Auswahlkriterien:
otris compliance verfolgt ein modulares Lizenzmodell, bei dem einzelne GRC-Module separat buchbar sind. Die Staffelpreise beginnen ab 25 Nutzerlizenzen, wodurch sich die Risikomanagement Software primär an mittelständische und größere Unternehmen richtet. Kleinere Organisationen unter 50 Mitarbeitern sind daher meist nicht die primäre Zielgruppe.
Für Cloud-Subscriptions erfolgt die Abrechnung pro User und Modul auf monatlicher Basis. On-Premise-Kunden erwerben Lizenzen einmalig und zahlen jährliche Wartungsgebühren von etwa 18-22% des Lizenzpreises. Diese Wartung umfasst Support, Updates und kleinere Releases, während Major-Releases gesondert kalkuliert werden können.
Versteckte Kostenfaktoren entstehen häufig durch Schnittstellenentwicklungen zu Drittsystemen außerhalb der Standards, Datenmigration aus bestehenden Excel-basierten Systemen und nachträgliches Customizing. Die Implementierungskosten variieren stark je nach Komplexität der internen Prozesse und Stammdatenqualität. Unternehmen sollten 3-6 Monate Projektlaufzeit und entsprechende Beratungskosten einkalkulieren.
Die Preis-Leistungs-Positionierung liegt im oberen Mittelfeld des GRC-Marktes – günstiger als SAP GRC oder ServiceNow, aber deutlich teurer als reine Excel-basierte Lösungen. Der Mehrwert liegt in der professionellen Automatisierung und der revisionssicheren Dokumentation.
Der Migrationsprozess auf otris compliance dauert typischerweise 3-6 Monate für das Standard-Risikomodul, kann sich aber bei komplexeren Anforderungen deutlich verlängern. Der kritischste Erfolgsfaktor ist die Qualität der Stammdaten – unklare Organisationsstrukturen oder Verantwortlichkeiten führen häufig zu Projektverzögerungen und zusätzlichen Kosten.
Personalressourcen auf Kundenseite umfassen einen fachlichen Prozessverantwortlichen (0,5-1 FTE) sowie bei On-Premise-Betrieb einen technischen Administrator mit Java/Tomcat-Know-how. Externe Unterstützung durch 1-2 Fachconsultants ist meist notwendig, um die Konfiguration der Workflows und Bewertungsmatrizen professionell zu gestalten.
Change Management spielt eine entscheidende Rolle, da die Benutzeroberfläche als "klassisch" empfunden werden kann. Der Fokus sollte auf den Prozessvorteilen liegen – Wegfall manueller Excel-Pflege, automatische Erinnerungen und transparente Verantwortlichkeiten. Die Einbindung von Key-Usern aus den Fachabteilungen in der Konzeptionsphase ist unerlässlich für die spätere Akzeptanz.
Die Datenübernahme aus bestehenden Excel-Listen oder anderen Systemen erfordert oft aufwändige Bereinigungsarbeiten. otris stellt Vorlagen für Excel-Importe zur Verfügung, jedoch müssen die Daten häufig strukturell angepasst werden. Ein schrittweiser Go-Live ("Crawl-Walk-Run") ist meist erfolgreicher als ein Big-Bang-Approach.
Vorteile:
Revisionssichere Dokumentation durch ECM-Basis gewährleistet lückenlose Audit-Trails und vollständige Versionierung aller risikorelevanten Dokumente
Etablierte Technologiebasis auf bewährter Alfresco-Plattform bietet hohe Stabilität und Investitionssicherheit über Jahre hinweg
Deutsche Datenschutz-Compliance durch Hosting in ISO 27001-zertifizierten deutschen Rechenzentren und DSGVO-konforme Datenverarbeitung
Modulare Skalierbarkeit ermöglicht schrittweisen Ausbau von reinem Risikomanagement zu umfassenden GRC-Funktionen
Tiefe Integration in bestehende IT-Landschaften über Standard-APIs und vorkonfigurierte Konnektoren zu SAP, OTRS und Microsoft 365
Branchenspezifische Templates für ISO 31000, BSI IT-Grundschutz und regulatorische Anforderungen beschleunigen die Implementierung
Herausforderungen:
Stammdatenabhängigkeit erfordert saubere Organisations- und Verantwortlichkeitsdaten als kritischen Erfolgsfaktor
Komplexere Administration bei On-Premise-Betrieb durch Java/Tomcat-Anforderungen gegenüber reinen Windows-Anwendungen
Klassische Benutzeroberfläche kann moderne UI-Erwartungen nicht vollständig erfüllen und erfordert aktives Change Management
Begrenzte Quantitative Analyse bei Monte-Carlo-Simulationen oder komplexen mathematischen Risikomodellen
Implementierungsaufwand kann bei unklaren internen Prozessen oder schlechter Datenqualität erheblich steigen
Customizing-Kosten für tiefgreifende Anpassungen über die Standard-Konfiguration hinaus können beträchtlich werden
Ja, otris compliance wird sowohl als Cloud-Lösung als auch On-Premise angeboten. Die Cloud-Version wird in deutschen ISO 27001-zertifizierten Rechenzentren betrieben und erfüllt alle DSGVO-Anforderungen. Unternehmen können zwischen verschiedenen Deployment-Optionen wählen, einschließlich Hybrid-Szenarien, die Cloud- und On-Premise-Komponenten kombinieren.
Die Cloud-Lösung bietet den Vorteil geringerer IT-Administrationskosten und automatischer Updates, während On-Premise maximale Kontrolle über Daten und Systemkonfiguration ermöglicht. Für regulierte Branchen ist besonders relevant, dass auch die Cloud-Version vollständig in Deutschland gehostet wird.
otris compliance bietet umfangreiche Integrationsmöglichkeiten über REST-APIs und vorkonfigurierte Konnektoren. Standard-Integrationen bestehen zu Microsoft 365/SharePoint für Dokumentenmanagement, DATEV für Finanzdaten, SAP für ERP-Integration und OTRS für ITSM-Prozesse. Die einzigartige OTRS-Integration ermöglicht es, IT-Risiken direkt in operative Tickets zu überführen.
Weitere Integrationsmöglichkeiten umfassen Single Sign-On über SAML und OAuth2, LDAP/Active Directory für Benutzerverwaltung sowie verschiedene Datenbank-Systeme. Für Automobilzulieferer ist die TISAX-Unterstützung ein wichtiger Sicherheitsaspekt. Custom-Integrationen sind über die REST-API möglich, erfordern jedoch entsprechende Entwicklungsaufwände.
otris compliance bietet eine responsive Web-Oberfläche, die auf mobilen Geräten nutzbar ist. Eine native mobile App ist derzeit nicht verfügbar, jedoch können Nutzer über Browser auf Smartphones und Tablets auf die wichtigsten Funktionen zugreifen. Für mobile Risikobewertungen und Status-Checks unterwegs ist die Web-Interface ausreichend optimiert.
Die mobile Nutzung eignet sich besonders für das Erfassen von Risikomeldungen über Web-Formulare aus den Fachabteilungen, das Prüfen von Dashboard-Informationen und das Bearbeiten einfacher Genehmigungsworkflows. Komplexere Konfigurationsaufgaben erfordern jedoch weiterhin die Desktop-Version.
Ja, otris compliance bietet vorkonfigurierte Templates für ISO 31000 und unterstützt die strukturierte Umsetzung des internationalen Risikomanagement-Standards. Die GRC Software ermöglicht die Abbildung des vollständigen Risikomanagement-Prozesses von der Identifikation über die Bewertung bis zur Behandlung und Überwachung von Risiken.
Für ÖNORM D 4900 (österreichischer Standard für Risikomanagement) können die vorhandenen ISO 31000-Templates entsprechend angepasst werden. Die flexible Konfiguration der Bewertungsmatrizen, Risikokategorien und Workflows ermöglicht die Anpassung an spezifische nationale Standards und branchenspezifische Anforderungen.
otris compliance fokussiert sich auf qualitative und semi-quantitative Risikobewertungen und bietet keine integrierte Monte-Carlo-Simulation. Für Unternehmen, die komplexe quantitative Risikomodelle oder Simulationsportfolios benötigen, sind spezialisierte Financial-Risk-Tools wie R2C_GRC möglicherweise besser geeignet.
Die Stärke der Lösung liegt in der strukturierten Dokumentation und Nachverfolgung von Risiken sowie der Integration in dokumentenzentrierte Governance-Prozesse. Für statistische Risikoanalysen können externe Tools über die REST-API angebunden oder Daten für die Analyse in spezialisierte Software exportiert werden.
Ja, otris compliance unterstützt Multi-Tenancy und ermöglicht die separate Verwaltung verschiedener Organisationseinheiten oder Tochtergesellschaften innerhalb einer Installation. Jeder Mandant kann eigene Risikokataloge, Bewertungsmatrizen und Workflows konfigurieren, während die technische Administration zentral erfolgt.
Die Mandantenfähigkeit ist besonders für Konzerne oder Beratungsunternehmen relevant, die mehrere Organisationen oder Kunden in einer Software-Instanz verwalten möchten. Dabei bleiben Daten und Konfigurationen zwischen den Mandanten vollständig getrennt und können unterschiedliche Sicherheits- und Compliance-Anforderungen erfüllen.