Compliance war zur reinen Papierübung geworden
Gemeinsam haben wir viele Jahre auf beiden Seiten des Tisches verbracht: einer von uns in Risiko- und Compliance-Teams, der andere in der Entwicklung der Software, auf die diese Teams angewiesen sind. Dabei stießen wir immer wieder auf dasselbe Grundproblem: Die meisten Compliance-Tools beginnen mit einem Framework und enden mit einer Checkliste. Sie sagen Ihnen, was ein Standard verlangt – aber nie, wer verantwortlich ist oder welcher Server, welche Datenbank, welches SaaS-Tool tatsächlich konfiguriert werden muss.
Das Ergebnis kannten wir nur zu gut: unklare Verantwortlichkeiten, über Laufwerke und Postfächer verstreute Nachweise – und hektisches Zusammensuchen vor jedem einzelnen Audit. Die Teams waren ausgelastet. Die Ordner wurden immer dicker. Und trotzdem konnte niemand ehrlich sagen, ob die Organisation tatsächlich sicher war.
Echte Risiken stecken in echten Systemen
Die Erkenntnis, mit der Rizzqo begann, war einfach – und ließ uns nicht mehr los: Compliance funktioniert nur, wenn sie mit den Systemen verbunden ist, die sie beschreibt, wenn sie den Verantwortlichen dieser Systeme zugewiesen ist und wenn echte Nachweise sie stützen. Eine Kontrolle, die nur in einer Richtlinie steht, bedeutet nichts, solange niemand sie auf den konkreten Server, die konkrete Datenbank, das konkrete Tool angewendet hat – und das auch nachweisen kann.
Sobald wir es so betrachteten, lautete die Frage nicht mehr „Wie verfolgen wir noch mehr Dokumente?“, sondern „Wie sorgen wir dafür, dass sich Verantwortung nicht vortäuschen lässt?“. Dieser eine Perspektivwechsel ist das Fundament, auf dem alles Weitere aufbaut.
Warum ein vernetztes System – und nicht das nächste Tracking-Tool
Wir hätten einfach einen weiteren Ablageort für Richtlinien entwickeln können. Stattdessen haben wir ein System geschaffen, das jede Kontrolle in konkrete Anforderungen für bestimmte Systemtypen übersetzt. Sobald Sie einen Server, eine Datenbank oder ein SaaS-Tool registrieren, erscheinen die passenden Anforderungen automatisch. Die verantwortliche Person beantwortet sie, hängt Nachweise an und schreibt ihre Antwort fest.
Und wenn eine Anforderung nicht erfüllt ist, verschwindet sie nicht einfach leise. Sie wird zu einer dokumentierten Lücke. Bleibt diese Lücke bestehen, wird daraus eine formale Risikoentscheidung mit Genehmigungsworkflow. Nichts bleibt verborgen, nichts wird vergessen – und Verantwortung ist durchgängig nachvollziehbar, vom Framework über das einzelne System bis zur verantwortlichen Person.
Rizzqo ist nicht nur ein Compliance-Tool, sondern sechs Tools in einem. Wir wollten Teams nicht helfen, bessere Papierarbeit zu produzieren. Wir wollten Compliance zu einem Nebeneffekt der eigentlichen Arbeit machen.Masar Hetemi & Muhammad Haseeb, Gründer