Governance, Risk & Compliance: «GRC wird zum Gamechanger»

Im Jahr 2025 hat sich der Stellenwert von GRC eindeutig vom reinen Compliance-Erfordernis zu einem strategischen Business-Enabler entwickelt. Unternehmen, die bereits Next-Generation-GRC nutzen, haben erkannt, dass modernes, intelligentes GRC nicht nur Risiken und Bedrohungen wirksamer beherrschbar macht, sondern einen echten Wettbewerbsvorteil schafft. Der Einsatz von AI, Predictive Analytics, Business Intelligence und die Generierung echtzeitfähiger, handlungsorientierter Insights ermöglichen es, Risiken und Chancen gleichermassen frühzeitig zu erkennen, zu bewerten und aktiv zu steuern. Moderne GRC-Plattformen liefern Frühwarnsignale, unterstützen vorausschauende Entscheidungen und fördern eine proaktive Haltung, bevor Risiken materialisieren und sobald erste Hinweise auf Chancen und Opportunitäten entstehen. 

Gleichzeitig bleibt die Compliance-Pflicht fest verankert: Das aktuelle Cognitive GRC (GRC 5.0) verbindet robuste Compliance-Funktionen mit intelligenter Automatisierung. Erfolgreiche Organisationen gehen jedoch einen Schritt weiter und entwickeln sich hin zu Business-Integrated GPRC (GRC 6.0), bei dem Governance, Performance, Risk und Compliance vollständig integriert sind und messbar auf Unternehmensziele und Performance einzahlen. Die nächste Entwicklungsstufe, GRC Orchestration (GRC 7.0), führt diese Integration konsequent weiter: Daten, Prozesse, Risiken und Verantwortlichkeiten werden unternehmensweit orchestriert, sodass Entscheidungen schneller, konsistenter und in Echtzeit getroffen werden können. Dadurch wird GRC vom unterstützenden Framework zum strategischen Orchestrator des Unternehmens. GRC ist 2025 keine bequeme «Check-Box-Übung» mehr, sondern ein Enabler, ein Differentiator und ein zentraler Motor für nachhaltigen Unternehmenserfolg.

2025 steigt der regulatorische Druck auf Unternehmen deutlich, da neue Vorgaben Cybersecurity, Resilienz, digitale Produkte, KI und Lieferkettenrisiken bündeln. Mit dem Cyber Resilience Act (CRA) und dem geplanten Schweizer Cyberresilienz-Gesetz müssen digitale Lösungen, Softwareprodukte und Plattformen entlang des gesamten Lebenszyklus hohe Sicherheitsstandards erfüllen. NIS2 und DORA verschärfen die Anforderungen an Betriebssicherheit, Risikomanagement, Incident Response und  Third-Party Risk Management (TPRM), so dass auch Schweizer Unternehmen entlang globaler Supply Chains Risiken proaktiv steuern müssen. Gleichzeitig bringen KI-Regulierungen wie der EU AI Act neue Pflichten für Transparenz, Modellvalidierung, Monitoring und Risikomanagement. Schweizer Initiativen sowie internationale Standards (ISO, NIST, OECD) verstärken den Bedarf an systematischer AI Governance. In diesem Umfeld verschmelzen Sicherheits-, Resilienzund KI-Anforderungen zunehmend. Für Schweizer Unternehmen werden Cybersecurity, Resilienz, AI Governance sowie TPRM und Lieferkettenmanagement zu zentralen Steuerungsinstrumenten, mit denen Risiken gemanagt, Compliance gesichert und strategische Chancen frühzeitig genutzt werden können. Diese regulatorischen Entwicklungen erhöhen den Druck auf Unternehmen erheblich, machen GRC aber gleichzeitig zu einem strategischen Enabler, der Performance, Resilienz und Wettbewerbsfähigkeit stärkt, wie bereits erwähnt.

Für Schweizer Unternehmen liegen die grössten Risiken aktuell eindeutig bei Cyberangriffen. Angriffe auf IT-Systeme, kritische Infrastrukturen oder digitale Plattformen nehmen sowohl in Häufigkeit als auch in Komplexität zu und stellen Unternehmen vor massive Herausforderungen. An zweiter Stelle sehe ich die Third-Party-Risiken. Lieferanten, Dienstleister und Partner entlang globaler Supply Chains können Schwachstellen in die Organisation einbringen, die direkt Auswirkungen auf Sicherheit, Compliance und Geschäftsprozesse haben. Direkt damit verbunden oder auch als Auslöser qualifizierbar sind geopolitische Risiken, die sich in volatilen Märkten, regulatorischen Veränderungen oder unterbrochenen Lieferketten bemerkbar machen. Datenqualität an sich ist kein neues Risiko, problematisch wird jedoch zunehmend die Verbreitung falsch generierter Informationen, etwa durch KI oder manipulierte Daten, die Entscheidungsprozesse verfälschen können. Insgesamt erfordern diese Entwicklungen, dass Schweizer Unternehmen Cybersecurity, TPRM und Informationsrisiken ganzheitlich steuern und ihre Organisation gleichzeitig resilient gegenüber neuen Bedrohungen aufstellen.

Der Schritt zu einem integrierten, automatisierten GRC-Ansatz gelingt vor allem, wenn Unternehmen den Pain Point erkennen und gleichzeitig die verpassten Chancen sehen, die ihnen durch ineffiziente Prozesse entgehen. Ein gutes Beispiel liefert die Versicherungsbranche: Vor 20 - 30 Jahren hat niemand gesetzlich vorgeschrieben, Betrugsrisiken systematisch zu überwachen, trotzdem haben Versicherungen umfassende Betrugserkennung eingeführt, weil die Schäden zu gross waren, um sie zu ignorieren.

Heute ist die Situation noch komplexer: Angriffe sind digital, unsichtbar, leise und instant und verursachen unmittelbare Schäden. Dieses Bewusstsein, die Fear of being affected, treibt Organisationen dazu, ihre GRC-Reife zu erhöhen, oft unterstützt durch Vorstände, Regulatoren und Audits. Die Technologien und Methoden für ein automatisiertes, integriertes GRC sind vorhanden. Was es jetzt braucht, ist der Wille, Prozesse zu vernetzen, zu automatisieren und proaktiv zu überwachen. Der Pain ist gross genug, dass dieser Schritt fast von selbst erfolgt. 

Künstliche Intelligenz spielt im GRC-Bereich heute eine enorm wichtige Rolle. Sie verarbeitet riesige Mengen strukturierter und unstrukturierter Daten, deckt versteckte Zusammenhänge und Muster auf, optimiert Prozesse und Abläufe, automatisiert repetitive und fehleranfällige Tätigkeiten und liefert so kontextbasierte Insights, die Entscheidungen fundierter und schneller machen, quasi ein stiller Assistent beziehungsweise Steward im Hintergrund, der immer verfügbar ist, wenn man ihn braucht.

Doch KI hat klare Grenzen: Sie kann ethische, soziale und rechtliche Fragen nicht eigenständig beantworten. Themen wie Datenschutz, Menschenrechte oder problematische Anwendungen wie Social Scoring zeigen, dass KI immer in einen moralischen und gesellschaftlichen Rahmen eingebettet werden muss. Auch wenn sie analytisch extrem leistungsfähig ist, fehlt ihr das Verständnis für die sozialen Konsequenzen, mögliche Manipulationen und Missbrauchsszenarien. Kurz gesagt, KI kann unterstützen, steuern und beschleunigen, die Verantwortung jedoch für Entscheidungen bleibt beim Menschen.

Die Zusammenarbeit von GRC-Verantwortlichen und Cybersecurity-Teams muss heute nahtlos sein, fast wie Mitglieder desselben Teams. Moderne Bedrohungen, insbesondere KI-gestützte Angriffe, erfordern proaktive Überwachung in Echtzeit, kontinuierliche Risikoassessments und sofortige Reaktionen, kombiniert mit Governance-Aufgaben wie Steuerung, Compliance-Prüfungen, ethische Bewertungen, Transparenz und Revisionssicherheit. Nur wenn GRC und Cybersecurity eng verzahnt sind, können Risiken frühzeitig erkannt, Prozesse angepasst und Massnahmen umgesetzt werden, bevor sie Schaden anrichten. Diese vorausschauende und proaktive Zusammenarbeit ist entscheidend, um in der komplexen, digitalen Bedrohungslandschaft handlungsfähig und resilient zu bleiben. 

Die Akzeptanz eines GRC-Programms hängt weniger von Technologie oder formalen Weisungen ab, sondern vor allem von Awareness, Kultur und gelebter Haltung («walk the talk») im Unternehmen. GRC ist kein Projekt mit Start und Ende. Ich finde daher das Wort Programm auch nicht unbedingt passend. Es ist ein kontinuierlicher Prozess, der laufende Anpassungen, Verbesserungen und eine Fehlerkultur erfordert. Entscheidend ist das Involvement der 1st, 2nd und 3rd Line of Defense: Alle müssen sich als Teil des Prozesses fühlen und die Bedeutung ihrer Aufgaben für den Geschäftserfolg, die Resilienz und die Existenzsicherung der Organisation verstehen. Dieses Bewusstsein muss entwickelt, gepflegt, ernährt und laufend mit Wissen erweitert werden.

Technologie spielt eine unterstützende, aber entscheidende Rolle: Sie erleichtert Prozesse, schafft Transparenz und befähigt Organisationen, eine gelebte GRC-Kultur umzusetzen. Doch Systeme allein reichen nicht, denn eine nachhaltige GRC-Kultur entsteht durch Kommunikation, Partizipation, Ownership und Leadership. Technologie und Menschen wirken dabei gemeinsam.

In den kommenden Jahren wird GRC zunehmend stärker in die Unternehmensstrategie eingebettet, unterstützt durch moderne Technologien, Künstliche Intelligenz und datengetriebene Ansätze. GRC hat eine «eingeborene privilegierte Stellung» innerhalb von Organisationen, weil es Governance, Risiko und Compliance konsolidiert, visualisiert und steuert, von der operativen Ebene bis zum C-Level. Diese Position erlaubt es, nicht nur Risiken zu kontrollieren, sondern entscheidende Insights zu liefern, die das Unternehmen proaktiv steuern. NextGen-GRC-Plattformen nutzen interne und externe Business Intelligence, kontextbasierte Daten, Knowledge Bases und AI-Agenten, um Informationen in Echtzeit zu verarbeiten und handlungsfähige Insights zu generieren. Dabei gilt das «Need-to-See/Need-to-Know»-Prinzip. Entscheidungsträger erhalten präzise, relevante Informationen dann, wenn sie sie benötigen. Diese Fähigkeiten ermöglichen es Organisationen, Principled Performance zu erreichen, also zuverlässig Ziele umzusetzen, Unsicherheiten zu adressieren, integritätsbewusst zu handeln und gleichzeitig Leistung zu optimieren. Die Kombination aus strategischer Einbettung, Echtzeit-Informationen, Forward-Looking Insights und AI-getriebenen Data-Processing-Mechanismen macht GRC zu einem zentralen Enabler für nachhaltigen Unternehmenserfolg. Interessanterweise wurde der Ausdruck «Principled Performance» bereits im Jahr 2002 von der OCEG (Open Compliance and Ethics Group) bei der Ausformulierung von GRC als Begriff verwendet. Heute, 23 Jahre später, ist er aktueller denn je.