« | Home | »

GRC neu gedacht: Mit Integration und KI zu resilientem IKT-Risikomanagement

Von Dr. Oliver Everling | 14.Mai 2025

In seinem Vortrag auf der 20. Jahreskonferenz „Finanzdienstleister der nächsten Generation“ des Frankfurt School Forum machte Dr. Hermann Hienz, Leiter Cybersecurity bei Sopra Steria, deutlich: Die Zeit fragmentierter Governance-, Risiko- und Compliance-Strukturen ist vorbei. Angesichts einer immer kritischeren Bedrohungslage und wachsendem regulatorischem Druck brauche es ein radikales Umdenken im IKT-Risikomanagement – weg von Silos, hin zu einem integrierten, technologiegestützten Ansatz.

Der finanzielle Schaden durch Cyberkriminalität allein im Jahr 2024 wird laut Bitkom auf über 178 Milliarden Euro geschätzt. Parallel dazu wächst das regulatorische Korsett unaufhörlich – von DORA, NIS2, CRA und DSGVO über die EBA-Leitlinien bis hin zu MaRisk, BAIT und dem IT-Sicherheitsgesetz. DORA allein umfasst über 650 Seiten – ein Zeichen dafür, wie komplex und tiefgreifend die Anforderungen inzwischen geworden sind. Doch während der externe Druck zunimmt, beobachten Hienz und sein Team in der Praxis häufig interne Schwächen: dezentrale Zuständigkeiten, widersprüchliche Rollenbilder, redundante Prozesse, fragmentierte Technologie und ein spürbarer Mangel an Veränderungsbereitschaft.

Sein Plädoyer: Nur ein integriertes GRC-Modell, das sämtliche Funktionen – von Prozessmanagement, BCM und Datenschutz über IKT-Assetmanagement bis hin zu Testprogrammen – in einem konsistenten Rahmen zusammenführt, kann den gestiegenen Anforderungen gerecht werden. Dieses Modell basiert auf klaren Zielbildern, strukturierter Periodisierung und einer übergreifenden Prozesslandkarte, die es erlaubt, IKT-Risiken nicht nur zu erfassen, sondern systematisch zu steuern und zu kommunizieren. Dabei rückt auch die Rolle des IKT-Risikomanagements als Informationsabnehmer immer stärker in den Fokus: Prozesse, die nicht klar beschrieben, gesteuert oder dokumentiert sind, bleiben blind für Risiken.

Ein zentrales Werkzeug dieser neuen GRC-Denke ist der technologische Unterbau. Der Einsatz moderner GRC-Plattformen ermöglicht Automatisierung, Transparenz und Standardisierung. Damit entsteht nicht nur Ordnung in der Komplexität, sondern auch eine neue Form der Zusammenarbeit – bereichsübergreifend, nachvollziehbar und resilient. „Der Einsatz von KI ist keine Option, sondern eine Notwendigkeit“, so Hienz. Nur mit künstlicher Intelligenz sei es möglich, die riesigen Datenmengen zu bewältigen, Muster zu erkennen und Entscheidungsprozesse zu beschleunigen. KI unterstütze nicht nur bei der Optimierung, sondern sei auch zentraler Treiber für die kontinuierliche Verbesserung (KVP) der gesamten GRC-Architektur.

Hienz betonte außerdem die strategische Bedeutung der Governance-Struktur. Die Bündelung der sogenannten Second-Line-Funktionen im Bereich „Non-Financial Risk“ sei essenziell, um Widersprüche in der Steuerung zu vermeiden und klare Verantwortlichkeiten zu schaffen. Gleichzeitig müsse Schulung und Kommunikation auf allen Ebenen regelmäßig erfolgen – nicht nur als regulatorische Pflicht, sondern als Voraussetzung für gelebte Resilienz.

Sein Fazit: Ein integriertes GRC-Rahmenwerk ist mehr als ein neues Organigramm – es ist ein Kulturwandel. Es befähigt Organisationen, Risiken nicht nur zu verwalten, sondern aktiv zu gestalten. Und es macht Unternehmen bereit für das, was kommt – egal ob Angriff, Ausfall oder Audit. Wer Governance, Risiko und Compliance endlich zusammen denkt, gewinnt nicht nur Kontrolle, sondern Zukunftsfähigkeit.

Themen: Bankenrating | Kommentare deaktiviert für GRC neu gedacht: Mit Integration und KI zu resilientem IKT-Risikomanagement

Kommentare geschlossen.