Der Swiss GRC Day 2024, der am 8. Mai im Radisson Blu Hotel am Flughafen Zürich stattfand, erwies sich einmal mehr als die Konferenz für Fachleute aus den Bereichen Governance, Risk und Compliance (GRC). Mit über 300 Teilnehmenden aus der Schweiz und dem nahen Ausland unterstrich sie eindrucksvoll, wie essentiell eine adaptive, technologiegestützte Strategie für das Risikomanagement in einer komplexen, dynamischen und digitalisierten Welt ist.
Der Swiss GRC Day 2024 setzte den Fokus auf eine vorausschauende und zeitgerechte Unternehmensführung im Hintergrund einer höchst komplexen und dynamischen Risikolandschaft unterstützt durch neue Methoden und Technologien. Teilnehmende erhielten nicht nur umfassende Einblicke in die aktuellen Herausforderungen und Chancen einer zunehmend vernetzten und von disruptiven Technologien geprägten Welt, sondern hatten auch die Gelegenheit, innovative Lösungen in diesen Bereichen intensiv zu diskutieren.
Besfort Kuqi, CEO und Mitgründer der Swiss GRC AG, begrüsste die zahlreichen Teilnehmenden und dankte seinem Team für die Organisation der Veranstaltung sowie den geschätzten Event Partnern CRIF AG, Swiss Infosec AG, Securix, Omada, Eraneos und Hochschule Luzern für ihre Unterstützung. Ebenso würdigte er den Medienpartner Computerworld für seine umfangreiche Berichterstattung, die ein breiteres Publikum ansprach und der Veranstaltung zusätzlichen Glanz verlieh. Nikolai Tsenov, Head Product & Business Development bei Swiss GRC und Moderator der diesjährigen Konferenz, betonte in seiner Einführung die entscheidende Rolle einer proaktiven, multidimensionalen und umfassenden Betrachtung im Risiko Management, in dem er Parallelen zur eingeborenen, erlernten und in der menschlichen DNA festverankerten Intelligenz, gezogen hat. Aufbauend auf bewehrten Ansätzen und Best Practices soll dabei der Einsatz neuer Methoden und Technologien eine fundamentale Rolle spielen.
Risikolandschaft 2024: Trends und Implikationen für effektives Risikomanagement – Frank Romeike, Gründer und Geschäftsführer von RiskNET GmbH
Frank Romeike, einer der führenden Experten im Risikomanagement, eröffnete die Vortragsreihe mit einem Einblick in die „Risikolandschaft 2024“. Er betonte die Bedeutung intuitiver Entscheidungen in komplexen Situationen und wies darauf hin, dass Intuition nichts Zufälliges sei, sondern auf einem tiefen Verständnis für die Komplexität der Risiken basiere. Die durchschnittliche Lebenserwartung von Unternehmen liege nur bei 10-12 Jahren, was die Bedeutung eines strategischen Risikomanagements unterstreiche.
Kernpunkte des Vortrags:
- Herausforderungen in der Risikolandschaft: Romeike sprach von der grossen Herausforderung des “Zuviel an Wissen über das Nichtwissen”, was darauf hinweist, dass Risikomanagement oft durch unvollständige Informationen erschwert wird.
- Bedeutung der Methodik: Er wies auf die Notwendigkeit hin, von unzuverlässigen “Voodoo-Methoden” abzurücken, die oft mehr Verwirrung als Klarheit schaffen. Stattdessen forderte er die Anwendung von klaren, überprüfbaren und effektiven Risikomanagement-Methoden.
- Strategische und geopolitische Risiken: Anhand von Beispielen wie dem Niedergang von Kodak und den unsicheren geopolitischen Szenarien skizzierte Romeike, wie wichtig es ist, strategische Risiken frühzeitig zu erkennen und zu managen.
- Künstliche Intelligenz im Risikomanagement: Die Dualität von KI wurde betont – ihre Fähigkeit, Risikoszenarien zu simulieren und zu analysieren, aber auch die Gefahren, die durch Fehlinterpretationen und Abhängigkeiten entstehen können.
- Cyberrisiken: Als weiteres wichtiges Thema wurden die Risiken der Digitalisierung und speziell Cyberrisiken beleuchtet. Die Notwendigkeit, über Digitalisierung hinaus zu denken und Cybersicherheit als grundlegenden Bestandteil des Risikomanagements zu verstehen, wurde betont.
- Entscheidungsorientiertes Risikomanagement: Romeike argumentierte, dass Risikomanagement direkt in die Sprache und die Prozesse des Managements übersetzt werden muss, um effektiv zu sein und zur Resilienzsteigerung beizutragen.
- Zusammenarbeit und Siloabbau: Abschliessend forderte er zu mehr interdisziplinärer Zusammenarbeit auf, um Silos abzubauen und eine umfassendere Sicht auf Risiken zu gewährleisten.
> Link zur Präsentation
Risk Management und KI: Was bleibt für Menschen übrig? – Stefan Hunziker, Professor für Risk Management, Head Competence Center Risk & Compliance Management an der Hochschule Luzern
Stefan Hunziker beleuchtete in seinem Vortrag die Rolle von KI im Risikomanagement und stellte die Frage, welche Aufgaben für Menschen übrig bleiben. Seine Schlussfolgerung: Trotz der Fähigkeiten moderner Algorithmen bleibt der Mensch unersetzbar, insbesondere bei kreativen, intuitiven und kontextspezifischen Aufgaben. In einer zunehmend von KI dominierten Welt bleibt die menschliche Fähigkeit, zwischen den Zeilen zu lesen, ethische Überlegungen anzustellen und kreative Lösungen zu finden, entscheidend. Diese Elemente sind es, die wahre Resilienz und Nachhaltigkeit im Risikomanagement ausmachen.
Kernpunkte des Vortrags:
- Entscheidungsqualität durch KI: Hunziker erläuterte, dass der wahre Zweck des Risikomanagements darin besteht, die Qualität von Entscheidungen zu erhöhen. KI kann dieses Ziel unterstützen, indem sie Datenanalysen beschleunigt und vertieft, was allerdings nicht bedeutet, dass sie fehlerfrei ist.
- Menschliche Elemente in der KI-Ära: Trotz der technologischen Fortschritte bleibt die menschliche Fähigkeit zur kreativen Problemlösung, Intuition und zum Verständnis komplexer Kontexte unerlässlich. KI-Systeme, wie ChatGPT, bieten zwar fortgeschrittene Analytik, erfordern aber präzise Anweisungen und klar definierte Prompts, um effektiv zu funktionieren.
- Grenzen der KI: Hunziker wies darauf hin, dass KI und LLMs (Large Language Models) zwar mächtige Werkzeuge sind, aber ihre Kapazität, Geschäftsmodelle und strategische Ziele vollständig zu verstehen, begrenzt ist. Fehleingaben können zu falschen Ausgaben führen, weshalb eine kontinuierliche menschliche Überwachung und Steuerung erforderlich ist.
- Risiko der Fehlinformation: Etwa 3-6% der von KI und LLMs generierten Informationen können erfunden oder irreführend sein. Dies unterstreicht die Notwendigkeit einer kritischen Bewertung aller maschinell generierten Daten.
- KI und Risikoanalyse: KI kann helfen, 90% der Risikoanalyse abzudecken, doch die verbleibenden 10% – oft die komplexesten und kritischsten Risiken – erfordern menschliches Urteilsvermögen und tiefere Einblicke.
- Dual Use von KI: KI hat sowohl positive als auch negative Implikationen der Anwendung. Hunziker betonte die Bedeutung der ethischen Überlegungen und der Notwendigkeit, dass Menschen im Regelkreis bleiben, um Missbrauch, Verzerrungen oder Fehlinterpretationen zu verhindern und die Kontrolle zu bewahren.
> Link zur Präsentation
NextGen GRC – Nikolai Tsenov, Head Product & Business Development bei Swiss GRC
Nikolai Tsenov legte in seinem Vortrag den Fokus auf die Entwicklung und die Differenzierungsmerkmale moderner Governance, Risk and Compliance (GRC) Systeme. Er betonte, wie entscheidend es ist, dass GRC-Systeme nicht nur auf bewährten Prinzipien basieren, sondern auch dynamisch auf die Anforderungen einer komplexen und sich ständig verändernden Welt reagieren, vorausschauende und rechtzeitige Erkenntnisse liefern, und eine proaktive und zeitgemässe Unternehmensführung ermöglichen.
Kernpunkte des Vortrags:
- Fundamentale Prinzipien: Adäquanz, Relevanz und Aktionsmöglichkeit bilden das Grundgerüst jedes GRC-Systems. Diese Standards sollten bei allen Anbietern ähnlich sein, um ein Mindestmass an Qualität und Effektivität zu gewährleisten.
- Innovationsstagnation: Tsenov wies darauf hin, dass die Innovationskraft im Bereich GRC in den letzten Jahren stagniert hat, und betonte die Notwendigkeit, diese mit neuen Methoden wiederzubeleben. Der Schwerpunkt liegt dabei auf der Generierung von rechtzeitigen und vorausschauenden Erkenntnissen als Unterstützung von hochqualitativen Entscheidungen im Hintergrund einer höchst komplexen und dynamischen Welt und Risikolandschaft.
- Proaktives Denken und Handeln: Ein effektives GRC-System fördert ein aktives und vorausschauendes Denken und Handeln. Es sollte die Führungskräfte und Mitarbeiter nicht nur rechtzeitig informieren, sondern auch empoweren und unterstützen.
- Integriertes Informationsmanagementsystem: GRC sollte als ein organisationsweites Informationsmanagementsystem fungieren, das sicherstellt, dass alle relevanten Personen die richtigen Informationen zur richtigen Zeit erhalten.
> Link zur Präsentation
Cybersicherheit: Die Bedrohungslage im Überblick – Roger Halbheer, Chief Security Advisor bei Microsoft
Roger Halbheer bot einen umfassenden Überblick über die globale Cybersicherheitslage, die sich durch die zunehmende Aggressivität staatlicher Akteure wie Nordkorea und Russland verschärft. Diese Staaten, die unter ökonomischen Druck stehen, richten ihre Cyberangriffe oft gezielt dorthin, wo sie am kosteneffektivsten sind, um ihre Wirtschaft zu stabilisieren. Er unterstrich die kritische Notwendigkeit für Unternehmen, ihre Cybersicherheitsstrategien zu überdenken und zu stärken, um sich gegen eine Landschaft rasant entwickelnder und zunehmend staatlich geförderter Cyberbedrohungen zu wappnen.
Kernpunkte des Vortrags:
- Nutzung vorhandener Daten: Viele Daten werden derzeit nicht intelligent genutzt, was die Effektivität von Sicherheitsmassnahmen verringert und Identitätsattacken erleichtert. Diese Attacken nehmen zu und sind zunehmend erfolgreich.
- Zweistufige Authentifizierung (MFA): Um der steigenden Gefahr durch Identitätsdiebstahl entgegenzuwirken, empfiehlt Halbheer den Verzicht auf traditionelle Benutzernamen und Passwörter zugunsten einer sichereren, zweistufigen Authentifizierung.
- Nationale Bedrohungen: Er warnte, dass die Bedrohungen in demokratischen Ländern in den nächsten anderthalb Jahren um über 75% steigen könnten, da Angreifer zunehmend ausgeklügeltere Techniken entwickeln, um keine Spuren zu hinterlassen.
- Cyberhygiene: Halbheer betonte die Bedeutung grundlegender Cyberhygiene-Praktiken. Trotz fortgeschrittener Technologie sind viele Systeme, besonders im Bereich des Internet der Dinge (IoT) und der Operational Technology (OT), anfällig für Angriffe. Er forderte die Akzeptanz, dass diese Systeme inhärent unsicher sind, und empfahl, Schutzmassnahmen zu stärken.
- Proaktive Massnahmen: Halbheer riet zu einem proaktiven Ansatz in der Cybersicherheit, der nicht nur auf das Erkennen und Reagieren beschränkt ist, sondern auch das Vorhersehen von Bedrohungen und entsprechende Vorbereitungen umfasst.
> Link zur Präsentation
Digitale Resilienz – Praxisbeispiele anhand von DORA und Ransomware – Roman Regenbogen, Regulatory & Compliance FS bei Eraneos und Andreas Rostin, Head of Cybersecurity FS, Telco & Utilities bei Eraneos
Roman Regenbogen und Andreas Rostin von Eraneos gaben auf dem Swiss GRC Day 2024 einen umfassenden Einblick in die wachsenden Cyberbedrohungen, insbesondere die durch Ransomware, Extortionware und Double Extortion Ransomware. Sie erklärten, wie die zunehmende Komplexität und Raffinesse dieser Angriffe Unternehmen weltweit herausfordern und die Notwendigkeit einer robusten Cyberhygiene betonen.
Kernpunkte des Vortrags:
- Grösste Bedrohungen: Ransomware-Attacken stellen eine der grössten Bedrohungen in der Cybersecurity dar. Besonders gefährlich sind Double Extortion Ransomware-Angriffe, bei denen Daten nicht nur verschlüsselt, sondern zusätzlich gestohlen und veröffentlicht werden, sollte das Lösegeld nicht bezahlt werden.
- Strategien zur Minimierung von Risiken: Zur Minimierung dieser Risiken schlugen sie ein umfassendes Rahmenwerk vor, das die Aspekte Govern, Identify, Protect, Detect, Respond und Recover umfasst. Jeder dieser Schritte ist entscheidend für die Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle.
- Anwendung von DORA: Der Digital Operational Resilience Act (DORA) ist eine neue regulatorische Massnahme der EU, die darauf abzielt, die Widerstandsfähigkeit von Finanzsystemen gegenüber Cyberangriffen zu stärken. Sie erläuterten, dass DORA spezifische Anforderungen an die IKT-Risikomanagementpraktiken von Banken, Versicherungsunternehmen und Kryptoanbietern stellt.
- Implementierung von DORA: Zur effektiven Umsetzung von DORA empfahlen sie eine gründliche Anwendbarkeitsanalyse, um zu bestimmen, welche Aspekte des Acts auf das Unternehmen anwendbar sind, und eine darauf folgende Defizitanalyse, um Schwachstellen und erforderliche Verbesserungen zu identifizieren.
- Prozessschritte und Mitarbeitertraining: Sie betonten die Wichtigkeit von regelmässigen Schulungen und Notfallübungen für Mitarbeiter, um diese auf Phishing und andere gängige Cyberattacken vorzubereiten. Das Verständnis und die korrekte Implementierung von DORA seien essentiell, um die organisatorische und operationelle Resilienz zu verbessern.
> Link zur Präsentation
Führt ein konsequentes ESG Risikomanagement zu einer besseren Unternehmensführung? – Richard Gaechter, Head, CRIF Consulting Switzerland bei CRIF Schweiz
Richard Gaechter thematisierte in seinem Vortrag, wie ein konsequentes ESG Risikomanagement die Unternehmensführung verbessern kann. Er legte dar, dass effektives ESG-Management nicht nur eine Frage der Compliance ist, sondern auch entscheidend zur Stärkung der Unternehmensresilienz beiträgt. Er wies darauf hin, dass die Lieferkette oft der Ort ist, wo die grössten ESG-Risiken verborgen liegen, von Umweltbelastungen bis hin zu sozialen Unwägbarkeiten. Er betonte, dass es unerlässlich ist, diese Risiken zu erkennen und proaktiv zu managen, um nicht nur regulatorischen Anforderungen gerecht zu werden, sondern auch um potenzielle Reputationsrisiken zu minimieren und die Investitionsattraktivität zu sichern.
Kernpunkte des Vortrags:
- ESG und Unternehmensführung: Ein nachhaltiges ESG-Management führt zu einer robusteren, transparenteren und verantwortungsvolleren Unternehmensführung.
- Lieferkette im Fokus: Überwachung und Management der Lieferkette sind zentral, um ESG-Risiken zu minimieren und die Nachhaltigkeit zu fördern.
- ESG Risikoerkennung und -management: Systematische Identifikation von ESG-Risiken und die Implementierung effektiver Managementstrategien sind essentiell.
- Sorgfaltspflicht und Compliance: Einhaltung von ESG-bezogenen Vorschriften durch fortlaufende Sorgfalt und Vertragsmanagement.
- Cybersicherheit: Integration von Cybersicherheitsmassnahmen in das ESG-Rahmenwerk zur Risikominderung.
- Kontinuierliche Verbesserung: Ständige Überprüfung und Anpassung der ESG-Strategien an sich ändernde Umstände und Vorschriften.
- ESG Score und Zertifizierung: Einsatz von Synesgy, einer globalen und digitalen Plattform, die es Unternehmen ermöglicht, ESG-Scores effektiv zu überwachen und zu verbessern sowie durch Selbstdeklaration der Lieferanten detaillierte Informationen zu erhalten.
- Schrittweise Zertifizierung: Implementierung eines schrittweisen Zertifizierungsprozesses für die Lieferkette, um Transparenz und Compliance sicherzustellen.
> Link zur Präsentation
Herzlichen Dank und auf Wiedersehen: Zum Ende der Veranstaltung brachte Moderator Nikolai Tsenov seine Anerkennung gegenüber dem interessierten Publikum, den herausragenden Referentinnen und Referenten für ihre aufschlussreichen Vorträge. Eine Kernmessage, die aus den Diskussionen am Swiss GRC Day 2024 heraussticht, ist die Notwendigkeit einer intelligenten, integrativen und vorausschauenden Anpassung in den Bereichen Risikomanagement, Governance und Compliance angesichts einer sich schnell entwickelnden Bedrohungs- und Risikolandschaft. Dies spiegelt sich in mehreren Schlüsselelementen wider:
- Anpassungsfähigkeit und Lernbereitschaft: Das Event hebt die Bedeutung hervor, dass Intelligenz und die Fähigkeit, umfassende Informationen rechtzeitig aufnehmen, verarbeiten und vorausschauend analysieren zu können, essentiell für die Entwicklung und Umsetzung effektiver GRC-Strategien sind. Die intelligente Nutzung von Feedback und Daten ermöglicht es Organisationen, auf einem soliden Fundament aufzubauen und adaptiv zu bleiben.
- Integration von neuen Technologien und KI: Mit Schwerpunkten auf KI-gestütztes Risikomanagement und die Betrachtung von neuen Technologien sowohl als Risiko als auch als Lösung, stellt der Swiss GRC Day die doppelte Rolle der Technologie in der modernen Geschäftswelt heraus. Die Diskussionen um KI und deren Anwendung auf Risikoszenarien zeigen die Notwendigkeit, sowohl die Vorteile als auch die potenziellen Gefahren neuer Technologien zu verstehen und zu managen.
- Bedeutung von umfassender Vorbereitung auf Risiken: Die Erörterungen von spezifischen Risikoszenarien wie geopolitischen Veränderungen, Cyberrisiken und extremen Marktvolatilitäten unterstreichen die Notwendigkeit für Unternehmen, umfassend auf eine Bandbreite von Risiken vorbereitet zu sein, die die Unternehmensplanung beeinträchtigen könnten.
- Zukunftsorientierung und Resilienz: Der Kongress zeigt, dass ein effektives Risikomanagement nicht nur reaktiv, sondern auch proaktiv und vorausschauend sein muss. Die Fähigkeit, zukünftige Risiken zu antizipieren und darauf vorbereitet zu sein, wird als wesentlich für die Resilienz und langfristige Erfolgssicherung von Organisationen betrachtet.
- Interdisziplinäre Zusammenarbeit und Abschaffung von Silos: Die Forderung nach einer engeren Zusammenarbeit zwischen verschiedenen Disziplinen und der Abbau von Abteilungsgrenzen innerhalb von Organisationen spiegeln das Verständnis wider, dass komplexe Herausforderungen eine integrierte und koordinierte Antwort erfordern.
Diese Aspekte zeigen, wie wichtig es ist, dass Organisationen nicht nur auf aktuelle Herausforderungen reagieren, sondern auch aktiv Strategien entwickeln, um zukünftige Risiken effektiv zu managen und Chancen zu nutzen, insbesondere in einer Welt, die durch rasante technologische Fortschritte und ständige Veränderungen der Risikolandschaft geprägt ist. Der Swiss GRC Day 2024 unterstrich damit eindrucksvoll, wie essentiell eine adaptive, methodologische und technologiegestützte Strategie für das Risikomanagement in einer komplexen, dynamischen und digitalisierten Welt ist.