GRC — Governance, Risk & Compliance in einer Plattform. Risiken bewerten, Maßnahmen steuern, Nachweise revisionssicher führen.
Taxcellence Award - Platz 3

Mehr erfahren

GRC Bewerten. Steuern. Nachweisen.

comploo #GRC bringt Governance, Risikomanagement und Compliance in einer Plattform zusammen. Von regulatorischen Anforderungen über Risikoanalyse, Maßnahmensteuerung und Nachweisführung bis zum internen wie externen Audit — alles liegt in einem Datenmodell, lückenlos nachvollziehbar und auf Knopfdruck reportfähig. Ob Informationssicherheit, Datenschutz, Lieferkette, Steuern, Nachhaltigkeit oder branchenspezifische Vorgaben: Sie arbeiten mit vordefinierten Katalogen und halten gleichzeitig eigene Regelkreise fest im Griff.

  • Vordefinierte Kataloge für alle Regelkreise

    ISO 27001 (angelehnt an den Standard), BSI-Grundschutz, DSGVO, NIS2, TISAX, LkSG, GoBD, Tax-CMS, SoC2, C5, CSRD/ESRS, VSME, BAFA, EUDR — sofort anwendbar. Wählen Sie aus, was für Sie relevant ist, und legen Sie direkt los.

  • Risiken mit Brutto-, Netto- und Best-Case-Bewertung

    comploo rechnet transparent vor, wie stark Ihre Maßnahmen ein Risiko tatsächlich reduzieren — gewichtet mit Wirksamkeit und Umsetzungsstand. Kein Bauchgefühl, sondern nachvollziehbare Zahlen.

  • Maßnahmen-Controlling mit Aufgaben und Verantwortlichen

    Jede Maßnahme mit Zuständigen, Fristen, Budget und Fortschritt. Aufgaben, Checklisten und Wiedervorlagen greifen ineinander, damit Umsetzung nicht im Protokoll hängen bleibt.

  • Management-Summary & 9 ISO-konforme Berichte

    Thermometer, Heatmap und neun fertige Berichte (Risiken, Maßnahmen, Compliance-Matrix, SoA, Findings, Vorfälle, Audit, Wesentlichkeit, KPIs) als PDF und Excel — jederzeit auf Knopfdruck.

  • Externe Prüfer & interne Revision

    Auditoren arbeiten direkt in comploo, mit scope-basiertem und zeitlich begrenztem Zugang. Abschlüsse werden kryptografisch versiegelt — Nachweisfähigkeit Jahre später garantiert.

  • DSGVO-konform & sicher

Compliance ist Chefsache. Warum Ihr Unternehmen ein integriertes GRC braucht

Regulatorische Anforderungen wachsen jedes Jahr — CSRD, NIS2, LkSG, DSGVO, DORA, AI Act, EUDR — und mit ihnen die Zahl der Audits, Prüfungen und Nachweispflichten. Wer das parallel in Excel-Tabellen, SharePoint-Ordnern und E-Mail-Verteilern pflegt, verliert den Überblick. Doppelarbeit, Zielkonflikte und blinde Flecken sind die Folge. Ohne eine gemeinsame Plattform wird aus GRC eine Reihe isolierter Sonderprojekte. Mit comploo steuern Sie alle Regelkreise aus einem System — konsistent bewertet, einheitlich dokumentiert und bereit für jede Prüfung.

Als Geschäftsführer sind Sie verpflichtet, Ihr Unternehmen unter Einhaltung aller Rechtsnormen regelkonform zu leiten.
Doch in der Praxis kann man bei der Vielzahl von Regelungen und Aufgabenfeldern leicht den Überblick über die Regularien verlieren
Oftmals sind Unternehmens-Prozesse aufgrund fehlender Koordination und Steuerung nicht effizient und orientieren sich nicht an den Risiken für das Unternehmen. Darüber hinaus drohen bei Regelver­stößen – vermeidbare – Sanktionen und Strafen!

Compliance ist Chefsache. • Warum Ihr Unternehmen ein integriertes GRC braucht

Frameworks & Kataloge auswählen

Wählen Sie die Regelwerke, die für Ihr Unternehmen relevant sind — mit einem Klick übernehmen Sie den kompletten Katalog inklusive vordefinierter Anforderungen, Risiken, Maßnahmen und Assets. Mehrere Kataloge parallel sind kein Problem: Gleichartige Maßnahmen (z. B. „Mehr-Faktor-Authentifizierung") werden einmal erstellt und mehreren Katalogen gleichzeitig zugeordnet — ohne Doppelpflege. Updates der Kataloge übernehmen Sie gezielt; Ihre eigenen Anpassungen bleiben dabei erhalten.

Frameworks & Kataloge auswählen •

Risiken bewerten Brutto, Netto, Best Case

Jedes Risiko erhält eine Brutto-Bewertung aus Eintrittswahrscheinlichkeit und Auswirkung. Ihre Maßnahmen reduzieren diesen Wert nachvollziehbar — gewichtet mit ihrer Wirksamkeit und erst ab dem Status „Umgesetzt" oder „Verifiziert" (konfigurierbar). Sie sehen nicht nur „Restrisiko mittel", sondern genau, welche Maßnahme welchen Beitrag leistet. Das Best-Case-Szenario zeigt zusätzlich, welches Reduktionspotenzial in den geplanten Maßnahmen steckt — eine klare Entscheidungsgrundlage, ob weitere Investitionen sinnvoll sind.

Risiken bewerten • Brutto, Netto, Best Case

Maßnahmen steuern

Jede Maßnahme wird nach ISO-27001-Logik typisiert (organisatorisch, personell, physisch, technisch) und nach Wirkungsart klassifiziert (präventiv, detektiv, korrektiv). Sie durchläuft einen klaren Workflow vom Entwurf über „In Umsetzung" und „Umgesetzt" bis hin zu „Verifiziert" — erst dann wird ihre volle Wirkung auf das Restrisiko angerechnet. Ob schon „Umgesetzt" oder erst „Verifiziert" wirksam sein soll, entscheiden Sie pro Mandant. Für jede Zuordnung zu einem Risiko dokumentieren Sie zusätzlich die konkrete Wirksamkeit in Prozent — so zahlt dieselbe Maßnahme bei verschiedenen Risiken unterschiedlich stark ein. Verantwortliche, Fristen, Fortschritt und Budget sind strukturiert hinterlegt; verknüpfte Nachweise und Aufgaben greifen nahtlos ineinander. Aus einer Maßnahmenliste wird so ein belastbares Steuerungsinstrument mit nachweislicher Wirkung.

Maßnahmen steuern •

Revisionssicher mit Audit, Freeze & Reporting

Interne wie externe Audits werden direkt im System geprüft — inklusive Prüfliste, Findings und Freigabeworkflow. Wenn ein Audit abgeschlossen wird, entsteht automatisch ein unveränderbarer Snapshot mit kryptografisch gesichertem Integritäts-Hash. So ist noch Jahre später belegbar, was zum Prüfzeitpunkt galt — ohne dass jemand nachträglich etwas verändern konnte. Neun ISO-konforme Berichte — Risiken, Maßnahmen, Compliance-Matrix, SoA, Findings, Vorfälle, Audit, Wesentlichkeit und KPIs — stehen jederzeit als PDF und Excel bereit.

Revisionssicher mit Audit, Freeze & Reporting •

Aufgaben, Verantwortliche & Wiedervorlagen direkt am Risiko

Verknüpfen Sie konkrete To-dos mit Risiken, Maßnahmen, Anforderungen oder Nachweisen — etwa „Stammdatenrisiko Lieferkette neu bewerten" oder „Kontrollnachweis Zugangsberechtigungen durchführen". Wenn alle Aufgaben einer Maßnahme erledigt sind, setzt comploo die Maßnahme automatisch auf „Umgesetzt"; öffnet jemand später eine Aufgabe wieder, wird der Status ebenso automatisch zurückgeführt. So verbindet sich die Arbeit im Alltag direkt mit der GRC-Berichterstattung — ohne dass jemand zusätzlich tippen muss.

Aufgaben, Verantwortliche & Wiedervorlagen direkt am Risiko •

Highlights — was comploo besonders macht

comploo liefert deutlich mehr als klassisches GRC. Sechs Funktionen, die in gängigen Tools nicht selbstverständlich sind — und die den Unterschied machen, wenn Ihr Unternehmen wächst oder Ihre Anforderungen anspruchsvoller werden.

Highlights — was comploo besonders macht •

  • Monte-Carlo-Simulation (Beta)

    Statt einer Punktbewertung („Eintritt 40 %, Schaden 500 000 €") simuliert comploo tausende möglicher Verläufe pro Risiko — auf Basis von Wahrscheinlichkeitsverteilungen. Ergebnis: erwarteter Jahresverlust (EAL), Value at Risk (VaR) und Conditional VaR — die Kennzahlen, in denen Banken, Versicherungen und Investoren denken.

  • Chancen gleichberechtigt mit Risiken

    Nach ISO 31000 gehören Risiken und Chancen zusammen. comploo bewertet beides im selben Modell — mit eigener Chancen-Heatmap und Opportunity-Treatment (realisieren, teilen, verwerfen). So sehen Sie, wohin sich Einsatz lohnt, nicht nur wo Gefahr lauert.

  • Best-Case-Szenario

    Zusätzlich zum aktuellen Restrisiko rechnet comploo aus, was Ihre noch nicht umgesetzten Maßnahmen an Reduktionspotenzial bringen. Die Entscheidungsgrundlage für Invest-Freigaben — schwarz auf weiß, nicht „Bauchgefühl mit Kurve nach rechts".

  • Kryptografisch versiegelte Abschlüsse

    Audits, Reviews, Feststellungen und Nachweise werden beim Abschluss unveränderbar — mit Snapshot, Zeitstempel und SHA-256-Hash. Auch Jahre später belegbar, was zum Prüfzeitpunkt galt, ohne dass jemand im Nachhinein etwas verändern konnte.

  • Automatische Maßnahmen-Status

    Sind alle Aufgaben einer Maßnahme erledigt, setzt comploo sie automatisch auf „Umgesetzt" — und zurück auf „In Umsetzung", sobald eine Aufgabe wieder geöffnet wird. Arbeitsalltag und GRC-Status bleiben synchron, ohne zusätzliche Pflegearbeit.

  • Team-Vorlagen & Playbooks

    Einmal aufgebaute Mandanten-Strukturen lassen sich als Vorlage auf weitere Mandanten anwenden — inklusive Kataloge, Frameworks, Risiken, Maßnahmen und Zuständigkeiten. Für Beratungshäuser und Konzerne mit mehreren Tochtergesellschaften der entscheidende Produktivitäts-Hebel.

Preise Fair und Transparent

Beim Compliance-Management hängen die Preise von vielen Faktoren ab (Anzahl der Mitarbeitenden, initiale Workshops, Installation auf dem eigenen Server oder in der Cloud, …).

Kontaktieren Sie daher gerne unseren Vertrieb um die für Sie passenden Preise zu erfragen.

Beraten lassen & kostenlos testen
Beraten lassen & kostenlos testen
Testen Sie kostenlos unser Compliance-Modul

Falls Sie das Compliance-Modul testen möchten, kontaktieren Sie uns gerne.
Wenn Sie direkt mit dem Richtlinien-Modul starten wollen, können Sie sich hier Kostenlos registrieren
Vertrieb kontaktieren

Datenschutz & Erfahrung Wir schützen Ihr wichtigstes Gut:
Ihre Unternehmensdaten

Sicherheit und Datenschutz sind bei uns ein fester Bestandteil jedes Projektes. Zusätzlich zu den internen Maßnahmen lassen wir comploo jährlich einem Penetrationstest durch einen externen Anbieter unterziehen.

Alle Daten liegen auf Servern in Deutschland oder der EU bei einem deutschen Unternehmen ohne Mutter im nicht europäischen Ausland.

comploo ist durch die Zusammenarbeit von Wirtschaftsprüfern und Softwareentwicklern entstanden. Die Erfahrung von beiden Seiten macht comploo zu einer praxisnahen, sicheren und leicht zu bedienenden Anwendung.

Datenschutz-Details
Datenschutz & Erfahrung • Wir schützen Ihr wichtigstes Gut:Ihre Unternehmensdaten

  • Server in Deutschland

    ISO-zertifizierte Rechenzentren
    von deutschen Anbietern

    Server in Deutschland

  • Regelmäßige PenTests

    Alle 1-2 Jahre durch einen
    externen Anbieter

    Regelmäßige PenTests

  • ISO-27001 zertifiziert

    Sowohl wir, als auch unsere
    Hoster sind ISO-Zertifiziert

    ISO-27001 zertifiziert

  • Auftragsdatenver-
    arbeitung nach DSGVO

    Standardisierten AVV einfach online abschließen

    Auftragsdatenver-arbeitung nach DSGVO