In einem ersten Schritt wird das Inventar von Schutzobjekten erstellt - die benötigten Attribute können abhängig vom Typ flexibel definiert werden. Je nach Bedarf können die Objekte in einen Kontext gesetzt werden, z.B. durch Verbindungen zwischen verschiedenen Schutzobjekten (um Abhängigkeiten und Vererbungslogiken abzubilden), mit Prozessen, mit Sicherheitsvorfällen, etc.

Die Kategorisierung des Schutzbedarfs (z.B. mithilfe der CIA-Kriterien) sowie die Zuordnung von Bedrohungen, Schwachstellen, Risiken etc. wird nach den individuellen Bedürfnissen des Kunden aufgesetzt. Alternativ bzw. ergänzend stehen Standard-Selektionslisten zur Verfügung (basierend auf ISO/IEC 27001-2022).

Nachdem feststeht, welche Risiken bestehen und beachtet werden müssen, werden diese entsprechend der Risikostrategie des Kunden bewertet. Dabei bietet unser Tool eine grosse Flexibilität hinsichtlich der Gestaltung der Systematik. Durchzuführende Risiko-Assessments können individuell definiert, sowie Massnahmen oder Kontrollen zugeordnet werden.

Transparenz über den Status Quo bieten verschiedene Standard-Übersichten - beispielsweise zu Massnahmen, Schwachstellen, Sicherheitsvorfällen und periodisch durchgeführten Kontrollen. Den kundenspezifischen Informationsbedarf erfüllt GoCompliant anhand von Dashboards, die die relevanten Daten auch modulübergreifend kombinieren und visualisieren.

Dashboards können frei nach eigenen Vorstellungen konfiguriert werden. Die Abbildung zeigt eine mögliche Variante.

In einem ersten Schritt werden Kontrollen beschrieben (Titel, Beschreibung, Anleitung etc.). Dabei können nach Wunsch beliebige zusätzliche Datenfelder verwendet werden.
Anschliessend wird in den sogenannten Kontrollplänen definiert, welche Mitarbeitenden die Kontrolle wie oft durchführen müssen.

Die Auslösung der Kontroll-Tasks übernimmt die Software vollautomatisch anhand des Kontrollplans. Die Benutzer werden mit Mails auf Ihre Kontroll-Tasks aufmerksam gemacht, automatisch erinnert und gewarnt, wenn ein Task seine Fälligkeit erreicht oder überschreitet.

Auf Basis der aufgesetzten Kontrollpläne generiert das System automatisch Kontrolltask. Der oder die zuständigen Mitarbeitenden werden per Email darauf aufmerksam gemacht, dass ein Kontrolltask generiert wurde.

Je nach Setup hat die zuständige Person innerhalb eines gewissen Zeitfensters die Gelegenheit, die Kontrollaufgabe auszuführen, die Ausführung im Tool zu dokumentieren, gegebenenfalls Kontrollevidenzen hochzuladen und den Task als erledigt zu markieren.

Die Resultate von ausgeführten Kontrollen können jederzeit ausgewertet werden. Hierfür stehen standardisiert Dashboards sowie vordefinierte oder auch manuelle Abfragen zur Verfügung. So kann beispielsweise überwacht werden, ob die Kontrolltasks von den Mitarbeitenden rechtzeitig ausgeführt wurden.

Kontrollen können bei Bedarf periodisch auf ihre Angemessenheit, Aktualität und Effektivität hin gemessen werden. Dies erfolgt wiederum in Form eines separaten Kontrolltasks (Review-Task), der sich auf eine spezifische Kontrolle bezieht.

Der Ausführende des Review-Tasks muss nicht mit dem Ausführenden der Kontrolle übereinstimmen und kann beispielsweise ein Mitarbeitender aus einer Second-Line-of-Defense-Funktion sein.

In einem zentralen Register werden Risiken definiert und dokumentiert. Ein Set an Standard-Datenfelder steht zur Verfügung, es können aber noch beliebige zusätzliche Datenfelder aufgesetzt und verwendet werden.
Risiken können entweder für die ganze Organisation zutreffen, oder nur für einen Teil davon.

Risiken werden typischerweise nach Eintretenswahrscheinlichkeit und Schadensausmass beurteilt. Ebenso wird oft ein inhärentes (Brutto-)Risiko und ein residuales (Netto-)Risiko dokumentiert. Unser Tool ist so flexibel gestaltet, dass der Kunde festlegen kann, nach welcher Systematik die Beurteilung erfolgen soll. Auch können innerhalb der gleichen Organisation verschiedene Assessment-Typen verwendet werden, die sich in der Systematik voneinander unterscheiden.
Bei der Bewertung der Risiken können Dateninhalte der weiteren Module angezeigt werden. Wenn ein Risiko zum Beispiel mit Kontrollen verlinkt ist, werden automatisch alle Kontrollen und Kontrollresultate angezeigt.

Im Rahmen einer Risikobeurteilung wird zum Schluss typischerweise festgehalten, ob die Risikosituation akzeptiert oder mit weiteren Massnahmen verbessert werden soll. Hier kommt die Verbindung zum Modul "Action Tracking" ins Spiel. Weitere risikomindernde Massnahmen werden in Form einer Action dokumentiert, einer verantwortlichen Person zugewiesen und mit einem Fälligkeitsdatum versehen (weitere Kategorisierungen etc. sind ebenfalls möglich). Nun erscheint die neu erfasste Massnahme (Action) beim entsprechenden Benutzer in der To-do-Liste.

Periodisch kann eine Beurteilung von Risiken durchgeführt werden. Eine solche Beurteilung, resp. ein Assessment kann entweder für die ganze Organisation ausgeführt werden, oder nur für einen Teil davon. Ebenso können entweder alle Risiken aus dem zentralen Risikoinventar beurteilt werden, oder nur ein Teil davon (bei Bedarf können auch im Rahmen des Assessments neue Risiken identifiziert und dokumentiert werden).

So lassen sich verschiedene Konstellationen abbilden. Zum Beispiel kann ein unternehmensweites Risk and Control Self Assessment (RCSA) oder eine thematisch eingeschränkte Beurteilung (z.B. IT Risk Assessment) durchgeführt werden.

Im Tool können verschiedene Typen von Massnahmen (Actions) dokumentiert werden. Dies können Actions aus internen Revisionsberichten, externen Revisionsberichten, Risk & Control Self Assessments etc. sein. Die verschiedenen Typen erlauben es einerseits, unterschiedliche Workflows zu definieren (z.B. betreffend Genehmigung der Eröffnung oder Schliessung einer Action). Andererseits können unterschiedliche Benutzerrechte aufgesetzt werden. Auswertungen sind ebenfalls nach Action Typen möglich.

Eine Action kann je nach Setup des Action Typs zu einem Bericht gehören. Dies trifft beispielsweise bei internen oder externen Revisionen zu. In einem solchen Fall kann der Bericht mitsamt seinem Inhalt in GoCompliant erfasst werden. Als Attribut zum Bericht können die gemachten Feststellungen und/oder Empfehlungen erfasst und dokumentiert werden. Die Struktur des Berichts kann dabei flexibel gewählt werden. Ebenso können die Zugriffsrechte eingeschränkt werden, sodass ein Action Owner beispielsweise nicht den ganzen Bericht lesen kann.

Zu jedem Zeitpunkt kann der Umsetzungstand von Actions geprüft werden. Dies kann für eine einzelne Massnahme erfolgen, jedoch auch über eine Mehrzahl von Actions, z.B. über alle Massnahmen, die aus dem gleichen Bericht stammen. Während der Umsetzungszeit wird der Action Owner je nach Konfigurationswunsch daran erinnert, dass der Umsetzungsstand einer Action regelmässig aktualisiert werden muss. Ebenso wird der Owner vor und gegebenenfalls nach Ablauf der Umsetzungsfrist an die Action erinnert.

Genauso wie in den anderen Modulen, steht auch fürs Action Tracking eine Vielzahl von Auswertungsmöglichkeiten zur Verfügung. Einerseits steht ein Set an standardisierten Auswertungen zur Verfügung, die mit zwei Klicks generiert werden können. Zusätzlich können auch kundenspezifische Schnellauswertungen konfiguriert werden, welche entweder ad-hoc abgerufen, oder z.B. monatlich automatisiert generiert und zugestellt werden.

Alle Dokumente können zentral gespeichert und verwaltet werden. Dabei können die Dokumente nach Bedarf in verschiedene Ordner abgelegt und mit Kommentaren versehen werden.

In der zentralen Ablage kann einfach gefiltert und gesucht werden. Die Mitarbeitenden der Unternehmung haben nur auf die für sie relevanten Dokumente Leseberechtigung.

Pro Dokument werden mehrere Sprachversionen unterstützt, und für jede Dokumentenversion ist eine Gültigkeitsdauer definierbar.

Die zentralen Dokumente können an verschiedenen Orten in der Applikation verlinkt werden. Beispielsweise kann eine Weisung einer Kontrolle zugewiesen werden. So wird automatisch sichergestellt, dass die kontrollausführende Person die gültige Weisungsversion aufrufen und lesen kann, während sie die Kontrolle durchführt.

Eine Verlinkung ist aber auch im Risiko-Assessment, bei Ereignissen, Risiken oder Prozessen möglich.

Die Pflege von Dokumenten kann mittels Workflow unterstützt werden. Konkret können so beispielsweise neue Dokumentenversionen verifiziert, Änderungen zur Genehmigung vorgelegt oder neue Dokumente beantragt und erstellt werden.

Der Screen nebenan zeigt eine mögliche Umsetzung zur Vernehmlassung einer neuen Weisung. Es ist zu beachten, dass die Workflow-Steps nach Ihren Bedürfnissen aufgesetzt und mit zusätzlichen Felder ergänzt werden können.

Das Modul für Business Continuity Management (BCM) kann für die Sicherstellung der Kontinuität von geschäftskritischen Prozessen und für die Kontinuität von IT-Diensten (ITSCM) verwendet werden. Das Modul orientiert sich an der BSI-Norm 200-4, die auf der Ebene des "Standard-BCMs" mit der ISO-Norm ISO 22301 kompatibel ist. Damit kann eine entsprechende Zertifizierung mithilfe dieses Moduls unterstützt werden.

Im ersten Schritt werden sämtliche relevanten Produkte, Prozesse und Aktivitäten (PPA) inventarisiert und dokumentiert. Idealerweise profitiert man dabei von bereits bestehenden Prozessdokumentationen, die in GoCompliant abgelegt werden können. Jeder PPA wird in der Folge in der Business Impact Analyse in Bezug auf seine Kritikalität hin eingeschätzt.

Die Business Impact Analyse (BIA) ermöglicht es, die Auswirkungen von Geschäftsunterbrechungen und Katastrophen auf ihre betrieblichen Prozesse, Produkte und Aktivitäten (PPA) zu bewerten. Dieses Modul ermöglicht es Unternehmen, eine umfassende und strukturierte Analyse durchzuführen, um die wesentlichen Bereiche zu identifizieren, die im Falle einer Störung priorisiert werden müssen.

Nachdem die zeitkritischen Prozesse und ihre Ressourcenabhängigkeiten identifiziert wurden, erfolgt pro PPA ein Abgleich von der «Maximum Tolerable Period of Disruption» (MTPD) mit den Recovery Time Objectives (RTOs) der mit dem PPA verbundenen Assets. Bei Inkonsistenzen können Risiken abgeschätzt und erste Massnahmen definiert werden.

Die Ergebnisse der Business Impact Analyse (BIA) und der Risikoanalyse liefern Bewertungen zur Kritikalität, Ressourcenabhängigkeiten und Risiken. Auf Grundlage dieser Informationen können geeignete Wiederherstellungsstrategien definiert werden, um Geschäftsprozesse zu schützen.

Im Anschluss erfolgt die Festlegung der individuellen, konkreten Business Recovery Plans (BRP), welche in Form eines PDF-Dokuments erstellt und ausgedruckt werden können.

Das Modul "Ereignisse" erlaubt es, verschiedene Typen von Events zu pflegen. So werden typischerweise Operationelle Verluste erfasst, zusätzlich können z.B. Kundenbeschwerden, IT Vorfälle oder beliebige andere Ereignistypen aufgesetzt werden.
Pro Ereignistyp können beliebig viele Datenfelder konfiguriert werden, so kann beispielsweise bei operationellen Verlusten der Verlustbetrag, eine allfällige Kostenstelle etc. festgehalten werden.

Pro Ereignistyp kann definiert werden, ob die Ereignisse durch eine zentrale Instanz oder dezentral durch die Mitarbeitenden erfasst werden sollen. Je nach Konfiguration erfolgt anschliessend ein ein- oder mehrstufiger Bewilligungsprozess.
Sobald ein Ereignis aktiv ist, kann es ergänzt und aktualisiert werden. Wie üblich können auch Dokumente angehängt oder verlinkt werden.

Über eine einfache Statusübersicht können alle aktuellen Ereignisse überwacht werden. Auch in diesem Modul stehen umfangreiche Suchmöglichkeiten zur Verfügung

Die treibende Kraft hinter diesem Modul ist der Wunsch des Kunden, das Potential der Digitalisierung auszuschöpfen. Viele Daten liegen bereits digitalisiert in den Backend-Systemen vor, können aber ohne eine Anbindung nicht in GoCompliant visualisiert und verwendet werden.
Das Modul ermöglicht daher die Anbindung einer oder mehrerer Backend-Systeme und damit einen automatisierten Datenfluss zu GoCompliant.

Die Daten aus dem Backend-System können im Kontroll-Setup als Quelle konfiguriert werden und der Administrator bestimmt, inwiefern die Detaildaten während der Kontrollausführung bewertet, ergänzt und kommentiert werden müssen.

Es können auch mehrere Schnittstellen/Datenquellen für eine Kontrolle konfiguriert werden.

So können beispielsweise Veränderungen an zentralen Konfigurationstabellen eines Backendsystems (z.B. SAP) in GoCompliant gesammelt, monatlich angezeigt und einzeln kommentiert / visiert werden. Oder wie in unserem Screen-Beispiel können auffällige Transaktionen effizient verifiziert werden.

Die Vorteile liegen auf der Hand: kritische Veränderungen werden schnell entdeckt und können bei Bedarf korrigiert werden, ohne dass ein Review über ganze Systeme oder Datenstrukturen gemacht werden muss.