Integriertes Risikomanagement · Entwickelt in Belgien · EU-souverän

Risikomanagement,
das Sie beweisen können.

Die meisten GRC-Plattformen sind konfigurierbare Datenbanken mit einem Dashboard obendrauf. Sceau Risk quantifiziert Ihre Risiken in Euro, prognostiziert Schwellenverletzungen, bevor sie eintreten, schlägt Maßnahmen nach Rendite geordnet vor — und versiegelt jeden Datensatz auf einer manipulationssicheren Kette, die Ihr Prüfer mit einem einzigen Aufruf verifizieren kann.

19 DomänenEin Atlas von Cyber und Kredit bis ESG, KI und Betrug — aktivieren Sie, was passt, und übernehmen Sie ein Starterpaket mit einem Klick.
€ statt FarbenMonte-Carlo-Verlustmodelle aus drei betriebswirtschaftlichen Fragen. Erwarteter Verlust, VaR 99, ES 95 — mit Seed, reproduzierbar.
Rot in 1 PeriodeKRI-Trendprognosen mit einer ETA für jede Schwellenverletzung. Sie sehen Bernstein kommen, bevor es da ist.
SHA-256-versiegeltJede Bewertung, Genehmigung, Unterschrift und Regelausführung auf einer Hashkette je Mandant. /audit/verify antwortet wahr oder falsch.

Die Branche verkauft seit Jahren Risikotheater.

Heatmaps ohne Einheiten. Compliance-Scores, die man sich selbst bescheinigt. „KI-gestützte" Vorhersagen, die niemand einer Aufsicht erklären kann. Prüfprotokolle, die umschreiben kann, wer die Datenbank besitzt.

Selbsterklärte Abdeckung

Häkchen setzen, Rahmenwerk wird grün. Kommt der Prüfer, ist das Grün nichts wert. Sceau Risk leitet Abdeckung aus der getesteten Wirksamkeit verknüpfter Kontrollen ab — man kann sie nicht erklären, nur verdienen.

Blackbox-Scores

Ein „Risikoscore von 73", den niemand zerlegen kann, ist Marketing, kein Risikomanagement. Jede Zahl in Sceau Risk — Druckindex, Prognose, ROSI — weist exakt aus, welche Faktoren sie erzeugt haben.

Umschreibbare Historie

Ein Audit-Trail in einer gewöhnlichen Tabelle ist ein Vorschlag. Unserer ist eine Hashkette: genehmigte Bewertungen und veröffentlichte Richtlinienversionen sind auf Datenbank-Trigger-Ebene unveränderlich, und Manipulation bricht die Kette sichtbar.

Die Plattform

Alles, was die großen Suiten können. Und dann der Teil, den sie nur bewerben.

Sceau Risk deckt die komplette Checkliste der etablierten Anbieter ab — Register, Bewertungen, Kontrollen, Kampagnen, Richtlinien, Dritte, Rahmenwerke, Feststellungen, Reporting — und geht dort weiter, wo sie aufhören.

Register & Bewertungen

Mehrdimensional, dann monetär

Bewerten Sie Eintrittswahrscheinlichkeit gegen finanzielle, Service-, Regulierungs- und Reputationsauswirkungen — ergänzen Sie drei Fragen (wie oft, typische Kosten, Kosten eines schlechten Jahres) und erhalten Sie eine vollständige Monte-Carlo-Verlustverteilung, gespeichert im unveränderlichen Bewertungsdatensatz.

Maßnahmen

Business Cases statt Wunschlisten

Jede vorgeschlagene Kontrolle erhält einen gespeicherten Business Case: ΔErwarteter Verlust, ΔVaR 99, ROSI und Amortisation in Monaten. Gremien genehmigen Investitionen, keine Adjektive.

Kontrollen & Kampagnen

Testen, hinterfragen, bestätigen

Kontrolltests mit Wirksamkeits-Lebenszyklus, RCSA-Kampagnen mit Challenge zwischen erster und zweiter Verteidigungslinie, und Lese-und-Bestätigen-Kampagnen, deren Unterschriften auf der Kette landen.

Richtlinien

Der veröffentlichte Text ist der genehmigte Text

Entwurf → Prüfung → Genehmigung → Veröffentlichung, mit Funktionstrennung in beide Richtungen. Die Veröffentlichung friert eine unveränderliche Version ein; das Bearbeiten einer veröffentlichten Richtlinie stuft sie zur erneuten Genehmigung zurück. Ausnahmen sind konstruktionsbedingt befristet — zwölf Monate, harte Grenze.

Rahmenwerke

Abdeckung, die man sich verdient

ISO 27001, NIS2, DORA, DSGVO, CIS 8, ISO 22301, ISO 45001, CSRD, EU-KI-Verordnung und mehr, vorgeladen. Der Status jeder Anforderung folgt aus der Wirksamkeit verknüpfter Kontrollen. Die Lückenerkennung entwirft die fehlenden Risiken für Sie. Ein Klick exportiert eine prüfungsfertige Erklärung zur Anwendbarkeit.

Nachweise

Einmal sammeln, viele Rahmenwerke bedienen

Verknüpfen Sie einen Nachweis mit Kontrollen und Anforderungen über Rahmenwerke hinweg, mit Gültigkeitsdaten. Veraltete Nachweise werden automatisch markiert — und können einen Workflow auslösen, bevor der Prüfer sie findet.

Dritte

TPRM mit DORA-Rückgrat

Lieferantenklassifizierung, Bewertungsportale, kontinuierliche Signalaufnahme, Konzentrationsanalysen — und das DORA-Informationsregister im Format, das Ihre Aufsicht erwartet.

Modelle & KI

EU-KI-Verordnung: beantwortet

Ein Klassifizierungsassistent, der die Artikel hinter jeder Einstufung zitiert, Lebenszyklus-Gates für Modelle dimensionsbasiert bewertete KI-Risikoprofile (Bias, Robustheit, Aufsicht, Drift), deren Score auch das Live-Datenrisiko verknüpfter Trainingsdaten erbt, ISO/IEC 42001 in der Rahmenwerk-Bibliothek — und ein Register, das Ihr DSB gerne öffnet.

Incident Response

Uhren, die Sie vor einer Aufsicht verteidigen können

Melden Sie einen Vorfall mit DSGVO/NIS2/DORA-Flags und die Meldeuhren leiten sich selbst ab — Art. 33, Art. 23, Art. 19 — jede mit Live-Countdown, ehrlich bei verspäteter Meldung. Playbooks erzeugen Aufgabenlisten mit SLA-Fristen, die Chronologie ist auf Datenbankebene nur anfügbar, ein Sweep-Alarm feuert vor Ablauf einer Uhr, der Abschluss erfordert eine Post-Incident-Review, und MTTC/MTTR werden berechnet, nie behauptet.

Interne Revision

Die dritte Linie, eingebaut

Planen Sie Prüfungen gegen Risiken und Kontrollen, führen Sie unabhängige Tests mit Nachweisnotizen durch und erheben Sie Feststellungen, die nachverfolgte Issues erzeugen — mit Eigentümer, Frist und Überfälligkeits-Automatisierung. Urteile sind auf die Berichtsphase beschränkt, der Abschluss erfordert eines, und die 12-Monats-Prüfungsabdeckung hoher/kritischer Risiken wird abgeleitet — die ungedeckten werden benannt.

Daten-Governance

Die Daten hinter den Risiken steuern

Ein Register der Datenbestände mit Eigentümern und Stewards, vierstufiger Klassifizierung und PII-Kennzeichnung, DAMA-Datenqualitätsregeln, deren fehlgeschlagene Messungen die Automatisierungs-Engine auslösen, Lineage zwischen Beständen, Verknüpfungen ins Risikoregister — ein abgeleiteter Datenrisiko-Score je Bestand, der jeden Punkt aufschlüsselt, die Übernahme dieser Exponierung ins Risikoregister per Klick — und ein prüfungsfertiger Katalogexport.

ESG · Kredit · Szenarien

Die Spezialmodule, nativ

CSRD-doppelte Wesentlichkeit mit ESRS-Datenpunkt-Reifegrad. Kontrahenten-PD/LGD/EAD mit Limitüberwachung, die bei Verletzung eine Feststellung eröffnet. Workshop-Szenarien mit geseedeter, reproduzierbarer Monte-Carlo-Simulation.

Vorausschau

Vorhersagen. Verordnen. Die Außenwelt erfassen.

Das ist die Schicht, die etablierte Suiten in Broschüren packen. Wir packen sie ins Produkt — und jeder Mechanismus ist erklärbar, denn „das Modell hat es gesagt" übersteht keinen Aufsichtsbesuch.

Verletzungs-ETAs auf jedem KRI

Holt-Trendprognose auf Ihrer Indikatorhistorie, vorwärts projiziert mit einer geschätzten Zeit bis Bernstein und Rot. „Phishing-Meldungen → Rot in 1 Periode" ist ein Satz, auf den Ihr CISO handeln kann. Niveau und Trend werden mit jeder Prognose geliefert — die Mathematik ist prüfbar.

Der Druckindex

Ein Wert von 0–100 je Domäne aus Frühindikatoren — KRI-Gesundheit, Ereignisspitzen, überfällige Maßnahmen, schwache Kontrollen, Appetitverletzungen — mit jedem Punkt zurückführbar auf einen anklickbaren Faktor. Nie mysteriöse Sammelzahlen.

ROSI-geordnete Maßnahmen

Fragen Sie die Plattform, wie sich ein quantifiziertes Risiko senken lässt: Sie bepreist die Kontrollbibliothek gegen Ihr Verlustmodell — Annahmen offen, nach Rendite geordnet. Ein Klick setzt den Gewinner um: Kontrolle verknüpft, Maßnahme eröffnet, Business Case gespeichert. Atomar.

Regulierungshorizont

Offizielle EU- und internationale Quellen — EUR-Lex, EBA, ESMA, ENISA, EDPB, CISA — abgerufen, dedupliziert und in Ihren Domänenatlas klassifiziert, mit extrahierten Geltungsdaten auf einem Countdown. AMLR-Standards in 95 Tagen ist Planung; eine Überraschung ist es nicht.

Von der Meldung ins Register

Triagieren Sie den Feed je Mandant. Ein Klick macht aus einem relevanten Eintrag ein Risikoentwurf in der richtigen Domäne, mit Quellenangabe und idempotent. Die Außenwelt fließt in Ihr Register statt daran vorbei.

Automatisierungsregeln

Wenn ein kritisches Restrisiko genehmigt wird, benachrichtige die Risikofunktion und löse einen Webhook aus. Wenn eine Ausnahme abläuft, eröffne eine Feststellung. Neun Auslöser, inspizierbare Bedingungen, vier geprüfte Aktionen, Platzhalter-Interpolation, Deduplizierung — mit vollständigem Ausführungsprotokoll.

Fragen Sie Sceau

Ein KI-Copilot, der seine Arbeit zeigt — und eine offene Tür für Ihren.

Jede Antwort zitiert die verwendeten Objekte und listet die exakt aufgerufenen Werkzeuge. Schreibaktionen erzeugen stets nur Entwürfe zur menschlichen Prüfung. Und der Zug, den sonst niemand liefert:

📌 Jede Antwort als Live-Widget anheften

Fragen Sie „welche Risiken steigen?" — erhalten Sie die Antwort — heften Sie sie an. Sie wird ein Board-Widget, das sich selbst aktualisiert. Ihr CRO-Cockpit baut sich aus den Fragen zusammen, die Sie wirklich stellen, mit Berechtigungen je Widget beim Rendern.

MCP: Bringen Sie Ihre eigene KI mit

Die gesamte Werkzeugoberfläche — 24 Tools und wachsend — ist über das offene Model Context Protocol verfügbar. Richten Sie Claude, Ihren internen Assistenten oder Ihre Datenplattform auf Sceau Risk: Er antwortet mit Ihrer Live-Risikolage, unter den Rechten Ihrer Nutzer. Begrenzte, widerrufbare API-Schlüssel machen die erste Integration zum Copy-Paste. Kein Lock-in, keine Blackbox zwischen Ihnen und Ihren eigenen Daten.

Beweis statt Versprechen

Drei Behauptungen. Drei Wege, uns zu prüfen.

1 · Die Kette antwortet

Rufen Sie jederzeit GET /audit/verify auf Ihrem Mandanten auf. Er durchläuft die Hashkette über jeden geprüften Datensatz und antwortet {"intact": true} — oder zeigt exakt, wo die Historie berührt wurde. Legen Sie den Kettenkopf in Ihre Vorstandsunterlage.

2 · Die Simulation wiederholt sich

Jeder Monte-Carlo-Lauf speichert Seed und Parameter. Führen Sie ihn in fünf Jahren erneut aus und erhalten Sie dieselbe Verteilung bis auf die Dezimale. Modellrisikomanagement, angewandt auf die Risikoplattform selbst.

3 · Der Score zerlegt sich

Klicken Sie auf jeden Druckwert, jede Abdeckungsquote, jede ROSI-Zahl — und sehen Sie die exakten Faktoren, Verknüpfungen oder Formeln dahinter. Eine Zahl, die wir nicht erklären können, zeigen wir nicht.

„Abgeleitet, nie erklärt. Erklärbar, nie orakelhaft. Versiegelt, nie editierbar." — die drei Designregeln, die jede Funktion von Sceau Risk bestehen muss.
Souveränität & Sicherheit

Ihr Risikoregister ist eine Karte Ihrer Schwächen.
Sie sollte Europa nie verlassen.

EU by construction

  • Betrieben von Galactic Automation BV, Belgien — eine EU-Rechtsperson, Punkt.
  • Alle Produktionsdaten liegen in Belgien — Google Clouds EU-Region (europe-west1, Saint-Ghislain) mit EU-Datenresidenz. End-to-End EU-eigene Infrastruktur nötig? Ein souveräner Single-Tenant-Betrieb auf Hetzner ist auf Enterprise verfügbar.
  • Keine Tracker, keine Analyse-Beacons, keine externen Schriften — auch diese Website stellt null externe Anfragen.
  • DSGVO-Auftragsverarbeitungsbedingungen und unterzeichneter AV-Vertrag als Standard, kein Enterprise-Upsell.

Verteidigung in der Tiefe

  • Mandantenisolation in der Datenbank erzwungen: PostgreSQL Row-Level Security, fail-closed auf jeder Tabelle.
  • Rollenbasierte Zugriffe mit Funktionstrennung in den Workflows — Eigentümer können ihre eigene Arbeit nicht genehmigen.
  • Unveränderlichkeit, wo es zählt: genehmigte Bewertungen und veröffentlichte Richtlinienversionen verweigern Änderungen auf Trigger-Ebene.
  • Souveräner Single-Tenant-Betrieb auf Enterprise verfügbar — Ihre Instanz, Ihre Schlüssel, unsere Wartung.

Sehen Sie Ihre eigenen Risiken quantifiziert — an einem Nachmittag.

Bringen Sie drei Risiken und dreißig Minuten mit. Wir laden sie live, quantifizieren eines in Euro, prognostizieren einen KRI — und lassen Ihren Prüfer selbst /audit/verify aufrufen. Klingt Ihr nächstes Risikokomitee danach nicht anders, gehen wir als Freunde auseinander.