Excel vs. GRC-Tool vs. DORA-Spezialsoftware
Welches Werkzeug passt zu Ihrem Institut? Ein ehrlicher Vergleich der drei Ansätze für DORA-Compliance.
Die drei Wege zur DORA-Compliance
Die meisten kleinen Finanzinstitute stehen vor der Frage: Wie setzen wir DORA um? In der Praxis gibt es drei Ansätze — mit sehr unterschiedlichen Trade-offs.
1. Excel + manuelle Prozesse
Der Status Quo bei 80% der kleinen Institute.
Vorteile
- Keine zusätzlichen Kosten
- Bekanntes Tool, kein Schulungsaufwand
- Volle Kontrolle über die Struktur
Nachteile
- Keine Validierung: Tippfehler im LEI-Code, fehlende Pflichtfelder — Excel sagt nichts
- Kein Audit-Trail: Wer hat wann was geändert? Nicht nachvollziehbar
- Kein EBA-Format-Export: Manuelles Zusammenkopieren dauert Wochen
- Keine Verknüpfungen: Partner, Verträge, ICT-Systeme leben in separaten Tabellen
- Skalierung: Bei 10 Providern machbar. Bei 50+ ein Vollzeitjob
Geeignet für
Institute, die gerade erst anfangen und den Umfang ihrer ICT-Landschaft verstehen wollen. Als Einstieg ok — als Dauerlösung nicht prüfungssicher.
2. Enterprise GRC-Plattformen
ServiceNow, OneTrust, Archer, SAP GRC und Co.
Vorteile
- Umfassende Plattformen für das gesamte Risikomanagement
- Etabliert bei großen Instituten und Prüfern
- Breite Integrationen
Nachteile
- Kosten: EUR 50.000-250.000+ pro Jahr — oft mehr als das gesamte Compliance-Budget kleiner Institute
- Komplexität: 6-12 Monate Implementierung mit externen Beratern
- Überdimensioniert: 90% der Features werden nie genutzt
- Nicht DORA-spezifisch: DORA-Module sind oft nachträglich ergänzt und nicht nahtlos integriert
Geeignet für
Große Institute mit dedizierten GRC-Teams und sechsstelligen Tool-Budgets.
3. DORA-Spezialsoftware
Zweckgebaut für DORA-Anforderungen.
Vorteile
- Fokussiert: Genau die Features, die DORA verlangt — nicht mehr, nicht weniger
- Schneller Start: Stunden statt Monate für die Einrichtung
- Bezahlbar: Für kleine Institute konzipiert
- DORA-nativ: EBA-Format, Art. 30 Klauseln, Risikoscoring — alles eingebaut
- AI-gestützt: Automatisierung dort, wo manuelle Arbeit dominiert (Vertragsanalyse, Datenextraktion)
Nachteile
- Spezialisiert: Deckt nur DORA ab, nicht das gesamte GRC-Spektrum
- Junger Markt: Weniger Referenzkunden als Enterprise-Plattformen
Geeignet für
Kleine und mittlere Finanzinstitute, die DORA-Compliance effizient umsetzen wollen, ohne ein Enterprise-Tool zu betreiben.
Vergleichsmatrix
| Kriterium | Excel | Enterprise GRC | Spezialsoftware |
|---|---|---|---|
| Kosten/Jahr | ~0 | EUR 50.000+ | EUR 1.200-6.000 |
| Einrichtung | Sofort | 6-12 Monate | Stunden |
| EBA-Export | Manuell (Wochen) | Konfigurierbar | 1 Klick |
| Art. 30 Prüfung | Manuell (Tage/Vertrag) | Teilautomatisiert | AI-automatisiert |
| Risikoscoring | Selbstgebaut | Konfigurierbar | Eingebaut (TPRA) |
| Audit-Trail | Keiner | Vollständig | Vollständig |
| Skalierung (50+ Provider) | Kritisch | Kein Problem | Kein Problem |
| Lernkurve | Niedrig | Hoch | Niedrig |
Meine ehrliche Empfehlung
Nach dem Aufbau einer regulierten Bank und der Implementierung aller DORA-Anforderungen: Excel war mein Startpunkt — und mein größter Schmerzpunkt.
Die richtige Wahl hängt von drei Faktoren ab:
- Wie viele ICT-Dienstleister? Unter 10: Excel reicht vorerst. Über 20: Sie brauchen ein Tool.
- Budget? Unter EUR 500/Monat: Spezialsoftware. Über EUR 5.000/Monat: Enterprise GRC ist eine Option.
- Timeline? Wenn die nächste Prüfung in 3 Monaten kommt, ist ein 12-Monats-Implementierungsprojekt keine Option.
Für die meisten kleinen Institute ist die Antwort: Pragmatisch starten, nicht perfekt. Lieber morgen mit einem fokussierten Tool compliant als in 18 Monaten mit einer Enterprise-Plattform.
Nächste Schritte
- Was ist Third-Party Risk Management? — Grundlagen des Drittparteienmanagements
- Lieferantenrisiken bewerten — Methoden für die Risikobewertung
- DORA Readiness Checkliste — 10 Fragen zur Selbsteinschätzung