Für ein modernes SaaS- und Beratungsunternehmen wie Nobly ist Compliance keine isolierte Disziplin, sondern ein integrierter Bestandteil, um Vertrauen, Qualität und einen stabilen Betrieb für Kunden in regulierten Branchen sicherzustellen.
Als Nobly sein Compliance-Arbeitsprogramm auf die nächste Stufe heben und erstmals einen ISAE-3000-Bericht vom Typ II in Kombination mit ISAE 3402 erlangen wollte, wurde NorthGRC zu einem zentralen Dreh- und Angelpunkt der Arbeit.
Emilie Løyche ist Compliance Officer bei Nobly und berichtet an den Head of IT Operations. Ihre Aufgabe ist es sicherzustellen, dass Nobly die relevanten gesetzlichen Anforderungen und internen Richtlinien erfüllt – insbesondere in den Bereichen Datenschutz und Informationssicherheit.
„Mein Fokus liegt darauf, Compliance-Anforderungen in praktische und skalierbare Lösungen zu übersetzen, die zu einem SaaS-Unternehmen wie unserem passen“, erklärt Emilie.
Darüber hinaus verfügt Nobly über eine DPO, die für Datenschutzverletzungen und Datenschutzthemen verantwortlich ist, während Emilie die tägliche Compliance-Arbeit steuert und sicherstellt, dass Anforderungen in der Organisation operationalisiert werden.
Im Dezember erhielt Nobly erstmals einen ISAE-3000-Bericht vom Typ II. Zuvor verfügte das Unternehmen über einen Typ-I-Bericht, doch mehrere Kunden forderten eine Dokumentation, die die Wirksamkeit der Kontrollen von Nobly über einen längeren Zeitraum hinweg belegt – und nicht nur eine Momentaufnahme.
„Der Typ-II-Bericht war wichtig für unseren Reifegrad“, sagt Emilie. „Er zeigt, wie unsere Kontrollen über die Zeit hinweg funktionieren – und nicht nur zu einem bestimmten Zeitpunkt, wie es bei Typ I der Fall ist.“
Für Nobly bedeutet der neue Bericht, dass das Unternehmen seinen Kunden eine noch stärkere Nachweisführung bieten kann, dass die Informationssicherheit in der Praxis wirksam umgesetzt ist. Das Prüfungssetup von Nobly kombiniert ISAE 3000 und ISAE 3402, wobei ISO 27001 als Framework genutzt wird – nicht als Zertifizierungsstandard.
Die gesamte Arbeit rund um die Prüfungsberichte wurde an einem Ort gebündelt.
„Das Erstaunlichste ist eigentlich, dass wir für unsere Compliance-Arbeit keine anderen Werkzeuge als NorthGRC genutzt haben“, berichtet Emilie. „Die gesamte Dokumentation ist dort hinterlegt. Wir haben eine ISAE-Bibliothek mit Kontrollen, Richtlinien, Stichproben sowie einem Jahreszyklus mit allen Aktivitäten aufgebaut.“
Nobly gewährte zudem dem Wirtschaftsprüfer Audit-Zugriff auf NorthGRC, sodass sämtliche Dokumentation direkt in der Plattform eingesehen werden konnte.
„Die Prüfer waren sehr positiv. Es hat die Arbeit deutlich erleichtert, dass alles zentral gesammelt und leicht auffindbar war.“
„Ich nutze den Jahreszyklus sehr intensiv. Er verschafft einen klaren Überblick darüber, wer was zu tun hat – und wann.“
Sie kombiniert die Templates von NorthGRC mit eigenen, auf das Geschäft von Nobly zugeschnittenen Kontrollen.
„Ohne zu übertreiben: Ich habe noch nie mit etwas gearbeitet, das so transparent und übersichtlich ist. Es funktioniert einfach. Ich habe mir ein paar Videos angesehen – und dann konnte ich direkt loslegen.“
NorthGRC spielt auch eine zentrale Rolle im Dialog mit der Geschäftsleitung. Die Benutzer- und Berechtigungssteuerung der Plattform stellt sicher, dass Mitarbeitende Zugriff auf relevante Richtlinien haben, während das Management den übergeordneten Compliance-Überblick erhält.
„NorthGRC fungiert als gemeinsamer Referenzpunkt. Compliance darf kein Abhaken von Checklisten sein – sie ist eine operative Disziplin, in der die Geschäftsleitung aktiv eingebunden sein muss“, erklärt Emilie.
Sie nimmt regelmäßig an Management-Meetings teil und berichtet über den Status der Compliance-Arbeit anhand von Rot, Gelb und Grün. Dadurch entsteht ein gemeinsames Verständnis für Risiken und Fortschritt.
Neben der Arbeit mit ISAE-Prüfungsberichten hat Nobly auch mit DORA gearbeitet, bereitet sich auf NIS2 vor und blickt in Richtung CIS Controls.
„Ein großer Vorteil ist, dass die grundlegenden regulatorischen Anforderungen bereits in NorthGRC enthalten sind und wir diese mit unternehmensspezifischen Kontrollen ergänzen können.“
NorthGRC ermöglicht es, parallel mit mehreren Frameworks zu arbeiten, ohne den Überblick zu verlieren oder unnötige Komplexität zu erzeugen.
Für Nobly hat NorthGRC das Verständnis von Compliance verändert.
„Compliance ist kein jährliches Ereignis mehr, bei dem der Wirtschaftsprüfer vorbeikommt. Es ist ein kontinuierlicher Prozess“, sagt Emilie. „Der Jahreszyklus macht für alle transparent, was wann zu tun ist – und wir können unsere Compliance-Arbeit im Zuge unseres Wachstums skalieren.“
Wenn Emilie den Mehrwert von NorthGRC beschreibt, ist sie sich sicher:
„Es gibt mir ein gutes Gefühl. Ich sehe klar und deutlich, wo wir stehen und was noch fehlt.“
Besonders hebt sie hervor, dass die Plattform die Komplexität in einem Bereich reduziert, der sonst schwer zugänglich sein kann.
„Selbst Kolleginnen und Kollegen mit wenig Compliance-Erfahrung finden sich in NorthGRC zurecht. Das schafft ein besseres Verständnis dafür, was Compliance eigentlich bedeutet.“
Gleichzeitig ist der enge und persönliche Kontakt zum NorthGRC-Team von großer Bedeutung.
„Wir können uns jederzeit melden, wenn Bedarf besteht. Eine feste Ansprechperson gibt Sicherheit.“
Für Nobly ist NorthGRC nicht nur ein Werkzeug für Prüfungsberichte, sondern eine Plattform, die Compliance handhabbar, verständlich und fest in der gesamten Organisation verankert macht.
Buchen Sie eine Demo und erhalten Sie Einblick in einen strukturierten, transparenten und skalierbaren Ansatz für laufende Compliance. Klicken Sie hier.