Kern-Risikomanagement:
Prozess & Compliance:
Reporting & Integration:
Audit & Dokumentation:
Native Schleupen-ERP-Integration bildet das Herzstück der Lösung. Die tiefe Systemintegration eliminiert Doppelpflege vollständig und ermöglicht die direkte Verknüpfung von Risiken mit operativen Betriebsdaten aus Netz, Vertrieb und Technik. Risikomanager erhalten dadurch unmittelbare Einblicke in die Auswirkungen operativer Prozesse auf die Risikolage des Unternehmens.
Vorkonfigurierte DACH-Compliance-Bibliotheken stellen einen enormen Zeitvorteil dar. Sofort einsetzbare Kataloge für den BSI IT-Sicherheitskatalog nach EnWG, MaRisk, BAIT und weitere deutsche Regulatorien ermöglichen den produktiven Start ohne monatelange Konfigurationsphase. Die Vorlagen basieren auf jahrelanger Praxiserfahrung und werden kontinuierlich an regulatorische Änderungen angepasst.
Branchenspezifische Prozessvorlagen für Energie-, Wasser- und Abfallwirtschaft resultieren aus über 40 Jahren Branchenerfahrung. Die maßgeschneiderten Risikokataloge und Workflows berücksichtigen die spezifischen Herausforderungen von Versorgungsunternehmen und KRITIS-Betreibern. Prozesse wie Netzstörungsmanagement, Lieferantenausfälle oder regulatorische Compliance sind bereits als bewährte Workflows hinterlegt.
Modulare Skalierbarkeit durch bedarfsorientierte Lizenzierung ermöglicht den Einstieg mit Einzelmodulen und schrittweise Erweiterung. Kleinere Stadtwerke können mit dem Risikomanagement-Modul beginnen und bei wachsenden Anforderungen sukzessive Audit-, Compliance- oder Dokumentenmanagement-Module hinzufügen.
Einschränkungen betreffen hauptsächlich die strategische Systemabhängigkeit vom Schleupen-Ökosystem. Die tiefe Integration erzeugt eine Bindung, die bei späteren ERP-Wechseln erhebliche Migrations- und Anpassungskosten verursachen kann.
Risikomanager in Stadtwerken & Regionalversorgern profitieren optimal von der Kombination aus branchenspezifischen Vorlagen und nativer ERP-Integration. Die Software spricht die Fachsprache der Energiewirtschaft und ermöglicht die nahtlose Verknüpfung von Risiken mit technischen und kaufmännischen Betriebsdaten. Besonders wertvoll ist die direkte Anbindung an Mess- und Leittechnik für das operative Risikomanagement.
Compliance Officer in Versorgungsunternehmen nutzen die vorkonfigurierten deutschen Regulatorik-Kataloge ohne aufwendiges Setup. Die Software unterstützt die Nachweisführung gegenüber BNetzA, BSI und anderen Aufsichtsbehörden durch standardisierte Kontrollkataloge und automatische Dokumentation. Die ISAE 3402 Typ 2-Testierung des SaaS-Betriebs erleichtert externe Prüfungen erheblich.
Interne Auditoren in der Energiewirtschaft arbeiten mit standardisierten Prüfungsabläufen und automatischen Workflows. Die Software bietet bewährte Audit-Templates für typische Versorgungsunternehmen-Prozesse und ermöglicht die systematische Mängelverfolgung mit automatischen Eskalationen. Die Integration in bestehende Dokumentenmanagementsysteme gewährleistet revisionssichere Ablage.
Mittelständische Versorger mit 50-500 Mitarbeitern benötigen professionelle GRC-Funktionen ohne Konzern-Komplexität. R2C_GRC bietet die richtige Balance zwischen Funktionsumfang und Bedienbarkeit für Unternehmen, die über Excel-basierte Lösungen hinauswachsen, aber keine SAP-GRC-Komplexität benötigen.
Entscheidende Auswahlkriterien:
R2C_GRC positioniert sich als spezialisierte GRC-Lösung für die deutsche Versorgungswirtschaft mit klarem Fokus auf praktische Anwendbarkeit statt theoretischer Vollständigkeit. Die moderne .NET-Architektur ermöglicht flexible Bereitstellungsoptionen von On-Premise über Private Cloud bis hin zu SaaS-Modellen. Besonders hervorzuheben ist die service-orientierte Systemarchitektur, die REST/JSON-APIs für umfassende Drittsystem-Integration bereitstellt.
Die Risikomanagement-Software adressiert primär die spezifischen Herausforderungen deutscher Energie-, Wasser- und Abfallwirtschaftsunternehmen. Branchenspezifische Risikokataloge decken typische Szenarien wie Netzausfälle, Lieferantenrisiken, regulatorische Änderungen und Cybersecurity-Bedrohungen für KRITIS-Betreiber ab. Die GRC-Software versteht die Besonderheiten der Versorgungswirtschaft und bildet deren Prozesse nativ ab.
Die ISAE 3402 Typ 2-Testierung des SaaS-Betriebs stellt einen wesentlichen Vorteil für Compliance-Verantwortliche dar. Diese unabhängige Prüfungsbescheinigung erleichtert externe Audits erheblich und reduziert den Aufwand für Wirtschaftsprüfer bei der Beurteilung des internen Kontrollsystems des Software-Anbieters.
Die integrierte Monte-Carlo-Simulation ermöglicht eine detaillierte quantitative Risikobewertung und unterstützt Risikomanager bei der Modellierung komplexer Risikoszenarien. Das interne Kontrollsystem (IKS) wird vollständig in die Risikomanagementprozesse nach ISO 31000 und ISO 27001 integriert.
Schleupen SE agiert seit 1983 als etabliertes Familienunternehmen mit rund 300 Mitarbeitern und hat sich zur führenden Softwareschmiede für deutsche Versorgungsunternehmen entwickelt. Die strategische Fokussierung auf den DACH-Markt ermöglicht tiefe regulatorische Expertise und branchenspezifische Lösungen, die von internationalen Generalisten nicht erreicht wird.
Die Unternehmensstabilität als inhabergeführtes Familienunternehmen bietet langfristige Planungssicherheit für Kunden. Anders als börsennotierte Wettbewerber folgt Schleupen einer nachhaltigen Wachstumsstrategie statt kurzfristiger Quartalsziele, was sich in kontinuierlicher Produktentwicklung und stabilem Support niederschlägt.
Der Anbieter hat sich durch die erfolgreiche Implementierung bei bedeutenden Referenzkunden wie der Stadt Wien – Wiener Wohnen Kundenservice GmbH und der Manz AG als verlässlicher Partner für komplexe GRC-Projekte etabliert. Diese Erfahrungen fließen kontinuierlich in die Weiterentwicklung der Software ein.
Die moderne Systemarchitektur basiert auf .NET Core/.NET 6+ und ermöglicht Container-basierte Bereitstellung sowie Cloud-native Skalierung. Als primäre Datenbank kommt Microsoft SQL Server zum Einsatz, wobei Oracle-Unterstützung verfügbar, aber aufwendiger ist. Die Single-Page-Application im Frontend nutzt moderne Frameworks wie Angular für reaktionsschnelle Bedienung.
Spezialisierte Schnittstellen zu SCADA/Leittechnik, GIS-Systemen und Messdatenmanagement unterscheiden R2C_GRC von generalistischen GRC-Lösungen. Diese Anbindungen ermöglichen die automatische Übernahme sicherheitsrelevanter Events aus der Betriebstechnik und die geografische Verknüpfung von Risiken mit Netzinfrastrukturen.
Die API-Qualität konzentriert sich auf praxisrelevante Datenabruf-Funktionen, während Konfigurationsoptionen über API eingeschränkter sind. Eine öffentliche API-Dokumentation ist nicht frei verfügbar, sondern wird projektbezogen oder über Partnervereinbarungen bereitgestellt.
Die Software unterstützt die direkte Datenerfassung über Excel-Sheets und bietet berechtigungsgesteuerte Zugriffe für verschiedene Anwendergruppen. Das Berechtigungskonzept ist detailliert steuerbar und ermöglicht die mandantenfähige Nutzung in Tochtergesellschaften.
Das Preismodell folgt einer modularen Lizenzstruktur mit bedarfsorientierten Nutzerstaffeln. Die Lizenzierung erfolgt typischerweise pro Modul und gleichzeitigem Nutzer, wobei unterschiedliche Rollen verschiedene Preispunkte haben. SaaS-Kunden zahlen monatliche Subscription-Gebühren, On-Premise-Kunden einmalige Lizenzkosten plus jährliche Wartung von 18-22% des Lizenzpreises.
TCO-Betrachtung über drei Jahre zeigt Gesamtkosten von etwa dem 1,8- bis 2,5-fachen der reinen Software-Lizenzkosten. Versteckte Kostentreiber sind Datenbereinigung aus Excel-Listen, Prozessberatung für GRC-Optimierung und individuelle Report-Anpassungen. Implementierungs-Workshops schlagen typischerweise mit 20-50 Personentagen zu Buche.
Die modulare Skalierbarkeit ermöglicht kostenschonenden Einstieg mit einem Kernmodul und bedarfsgerechte Erweiterung. Kleinere Stadtwerke beginnen oft mit dem Risikomanagement-Modul für unter 1.000 Euro monatlich, während Komplettimplementierungen bei größeren Versorgern fünfstellige Monatsbeträge erreichen können.
Für die Nutzung der Monte-Carlo-Simulation und TISAX-Zertifizierungsunterstützung fallen in der Regel zusätzliche Lizenzgebühren an. Die Tax Compliance-Module werden separat bepreist und orientieren sich am Umfang der zu verwaltenden Steuerarten und -verfahren.
Standard-Implementierungen für ein Modul dauern typischerweise 3-6 Monate, während Multi-Modul-Projekte 6-12 Monate beanspruchen. Der kritische Erfolgsfaktor liegt in der Datenqualität der Bestandsdaten aus Excel-Listen und Legacy-Systemen. Die Datenbereinigung vor Migration verursacht oft mehr Aufwand als die eigentliche technische Konfiguration.
Ressourcenanforderungen beim Kunden umfassen einen dedizierten GRC-Prozessverantwortlichen als fachlichen Projektleiter mit 50-80% Auslastung sowie einen IT-Ansprechpartner für technische Klärungen mit etwa 20% Beteiligung. Key-User aus Controlling, interner Revision und IT-Sicherheit sind für Prozess-Workshops erforderlich.
Change-Management wird oft unterschätzt, da die Einführung zentraler GRC-Tools erhebliche Transparenz- und Kontrollgewinne für das Management bedeutet. Fachbereiche können Widerstand gegen die neue Sichtbarkeit ihrer Risiken und Kontrollen zeigen, weshalb aktive Kommunikation und Schulungen entscheidend sind.
Die regelmäßige Risikoberichterstattung und die Bewertung der Risiken erfordern eine systematische Herangehensweise. R2C_GRC unterstützt die Umsetzung regulatorischer Vorgaben und die Konsolidierung einzelner Risikoberichte für börsennotierte Unternehmen.
Vorteile:
Herausforderungen:
R2C_GRC ist eine spezialisierte Software für Governance, Risk & Compliance (GRC) von Schleupen SE, die primär für deutsche Versorgungsunternehmen entwickelt wurde. Die Abkürzung "R2C" steht für "Risk to Compliance" und beschreibt den durchgängigen Ansatz von der Risikoidentifikation bis zur Compliance-Überwachung. Die Lösung integriert Risikomanagement, internes Kontrollsystem, Audit-Management und Compliance-Überwachung in einer einheitlichen Plattform.
Die Software adressiert spezifisch die Herausforderungen der deutschen Energie-, Wasser- und Abfallwirtschaft mit vorkonfigurierten Katalogen für branchenrelevante Regularien wie MaRisk, BAIT und den BSI IT-Sicherheitskatalog nach EnWG. Durch die native Integration in Schleupen-ERP-Systeme können Risiken direkt mit operativen Betriebsdaten verknüpft werden.
Die GRC-Software unterstützt die komplette Bandbreite des Risikomanagements und Compliance Managements mit Tools für die Analyse von Risiken, die Verwaltung von Verantwortlichkeiten und die Erstellung historischer Berichte.
R2C_GRC folgt einem modularen Lizenzmodell mit bedarfsorientierten Preisplänen für verschiedene Unternehmensgrößen. Die Kosten variieren nach Anzahl der Module, gleichzeitigen Nutzern und gewähltem Bereitstellungsmodell. Kleine Stadtwerke können mit einem Basis-Risikomanagement-Modul für unter 1.000 Euro monatlich einsteigen, während umfassende Multi-Modul-Implementierungen bei größeren Versorgern fünfstellige Monatsbeträge erreichen.
SaaS-Kunden zahlen monatliche Subscription-Gebühren, On-Premise-Kunden einmalige Lizenzkosten plus jährliche Wartungsgebühren von 18-22% des Lizenzpreises. Zusätzliche Kostenfaktoren umfassen Implementierungs-Workshops, Datenmigrationsaufwände und individuelle Anpassungen. Eine detaillierte Kostenschätzung erfolgt typischerweise nach einer Bedarfsanalyse durch Schleupen-Berater.
Das Preismodell berücksichtigt verschiedene Branche-spezifische Anforderungen und die benötigten GRC-Prozesse. Für spezielle Module wie Chancenmanagement oder ISMS-Unterstützung können zusätzliche Lizenzkosten anfallen.
R2C_GRC bietet umfassende Integrationsmöglichkeiten durch REST/JSON-APIs und spezialisierte Schnittstellen. Die native Integration in Schleupen-ERP-Systeme bildet das Herzstück für nahtlose Datenübergänge zwischen kaufmännischen und technischen Prozessen. Standard-Schnittstellen existieren zu führenden DMS-Systemen, Identity-Management-Lösungen und BI-Tools wie PowerBI oder Tableau.
Branchenspezifische Integrationen umfassen SCADA/Leittechnik-Systeme für automatische Event-Übernahme, GIS-Systeme für geografische Risikozuordnung und Messdatenmanagement für Anomalie-Erkennung. Microsoft Outlook-Integration ermöglicht automatische Benachrichtigungen und Workflow-Kommunikation. Die API-Dokumentation wird projektbezogen oder über Partnervereinbarungen bereitgestellt.
Die Software lässt sich auch mit anderen Anbieter-Systemen verbinden und unterstützt die Integration beider Standards bei der Implementierung von A-SPICE und QMS-Prozessen. Die Anwendung R2C_GRC kann mehreren Sprachen anzuwenden und einen guten Workaround schaffen für internationale Anforderungen.
R2C_GRC bietet eine mobile App für grundlegende Funktionen wie Risikomeldung, Dashboard-Zugriff und Benachrichtigungen. Der Funktionsumfang der mobilen Anwendung ist jedoch eingeschränkter als die vollständige Web-Anwendung. Komplexe Konfigurationen, detaillierte Reporterstellung und administrative Tätigkeiten erfordern den Zugriff über Desktop-Browser.
Die mobile App eignet sich primär für Außendienstmitarbeiter zur Erfassung von Vorfällen, Risikomanager für unterwegs verfügbare Dashboard-Informationen und Führungskräfte für mobile Freigabeprozesse. Die responsive Web-Oberfläche kann alternativ über mobile Browser genutzt werden, bietet aber nicht die optimierte Bedienung einer nativen App.
Für die mobile Datenerfassung und die Nutzung von Excel-Sheets auf mobilen Endgeräten stehen angepasste Funktionen zur Verfügung, die eine effiziente Arbeit auch unterwegs ermöglichen.
R2C_GRC steht sowohl als SaaS-Cloud-Lösung als auch für On-Premise-Installation zur Verfügung. Die Cloud-Bereitstellung erfolgt ausschließlich in zertifizierten deutschen Rechenzentren mit ISAE 3402 Typ 2-Testierung, was DSGVO-Konformität und Datensicherheit für öffentliche Auftraggeber gewährleistet. Hybrid-Cloud-Szenarien kombinieren lokale Datenverarbeitung mit Cloud-basierter Funktionalität.
Die SaaS-Variante bietet schnellere Implementierung, automatische Updates und reduzierte IT-Betriebskosten. On-Premise-Installationen ermöglichen maximale Datenkontrolle und individuelle Anpassungen, erfordern aber eigene IT-Infrastruktur und -Administration. Private Cloud-Lösungen bieten einen Mittelweg mit dedizierten Cloud-Ressourcen für einzelne Kunden.
Die Cloud-Version unterstützt alle wesentlichen Tools und Module der Software, einschließlich der integrierten Monte-Carlo-Simulation und der Verwaltung von Richtlinien für verschiedene Compliance-Anforderungen.
R2C_GRC unterstützt vollständig die Umsetzung von Risikomanagementprozessen nach ISO 31000 und ÖNORM D 4900 durch entsprechende Prozessvorlagen und Workflows. Die Software bildet den kompletten Risikomanagement-Zyklus von der Kontextdefinition über Risikoidentifikation und -bewertung bis hin zu Behandlung und Überwachung ab. Standardisierte Risikomatrizen, Bewertungsskalen und Dokumentationsvorlagen entsprechen den Norm-Anforderungen.
Die Integration mit anderen ISO-Standards wie ISO 27001 für Informationssicherheit ist durch entsprechende Module möglich. Vorkonfigurierte Templates erleichtern die Einführung strukturierter Risikomanagementprozesse nach international anerkannten Standards. Die Software dokumentiert automatisch alle Prozessschritte für Audit- und Zertifizierungszwecke.
Das System ermöglicht es, dass Risikomanagement und das interne Kontrollsystem integriert abgebildet werden können. Neben Risiken können auch Chancen in der GRC-Software betrachtet werden, und es lassen sich sowohl das IKS als auch die Verfahrensdokumentation integrieren. Die Softwarelösung R2C_GRC deckt damit den kompletten Bereich Governance, Risk & Compliance ab und unterstützt auch die Anforderungen von TISAX-Zertifizierungen.
