foto magnific

Fari Ganji, CIO von Swiss GRC AG: »Erfolgskritische Säule der wettbewerbsorientierten Digitalwirtschaft«

Regulierung galt lange als Pflichtprogramm für Spezialisten. Inzwischen entscheidet sie mit darüber, wie widerstandsfähig Unternehmen wirklich sind. »Wer hier zögert oder auf ein falsches Pferd setzt, wird gerade in der jetzigen Konjunkturphase im DACH-Raum ernsthafte wirtschaftliche Probleme bekommen«, sagt Fari F. Ganji, CIO und Mitglied des Executive Board der Swiss GRC AG. Seine Perspektive reicht von strategischer IT-Führung bis zu regulatorischer Praxis. Das Gespräch führt mitten hinein in NIS2, DORA, DSGVO, digitale Kontrollsysteme und die Frage, warum GRC längst kein Randthema der IT mehr ist.

Herr Ganji, GRC, da fragen sich selbst eingefleischte Unternehmer teilweise, worum es geht. In einigen Worten: Worum handelt es sich bei Governance, Risk und Compliance genau?

Governance, Risk und Compliance, kurz GRC genannt, befasst sich mit der digitalen Unternehmensarchitektur von Organisationen.

Prozesse und Strukturen digital steuern, Risiken proaktiv managen, Integration von Gesetzen in den unternehmerischen Alltag und datenbasierte Entscheidungsgrundlagen schaffen. All das sind wesentliche Anwendungsfelder, in denen GRC seine volle Wirkung entfaltet.

Firmen aller Branchen, zum Beispiel aus Finanzen, Energie, Infrastruktur oder Verwaltung, erleben mithilfe von GRC-Tools eine messbare Effizienzsteigerung und greifende Kontrollmechanismen als digitale Lösung. Und zwar nicht alleinstehend, sondern vollintegriert innerhalb der bestehenden Organisations- und Technologielandschaft.

Was Anfang der 2000er als IT-Nische startete, ist heute eine erfolgskritische Säule der wettbewerbsorientierten Digitalwirtschaft. GRC entwickelte sich binnen einer weniger Jahre von einem IT-Governance-Feld für Spezialisten hin zu einem wesentlichen Wachstumstreiber mittelständischer und großer Unternehmen. Dies ist insbesondere in der heutigen komplexen Welt ein wichtiger Treiber von Effizienzsteigerung, Sicherheit und Kontrolle für unternehmensweite Prozesse.

Wer profitiert davon am meisten?

In erster Linie ist es die komplette Geschäftsleitung, das Top-Management und die gesamte Belegschaft innerhalb von Organisationen. Es ist, wie wenn man der gesamten Firma eine zentrale Plattform zur Verfügung stellt, um resiliente Prozesse und entscheidungsfähige Strukturen zu erzeugen.

Mehr noch: Selbst Dienstleister können von GRC profitieren. Man denke an das Thema Third-Party Risk Management (TPRM). Hier geht es darum, dass etwa API-Anbieter, Wartungsfirmen oder Outsourcing-Services resilient gegenüber Cyberattacken werden müssen. Der Endkunde von GRC-Anbietern weiß das und hilft somit nicht nur sich selber, sondern auch langjährigen Partnern.

Gibt es klassische Beispiele, anhand derer GRC-Lösungen noch verständlicher werden?

Absolut. Ich würde da gerne auf tagesaktuelle Cases eingehen. Firmen aus der EU müssen zum Beispiel sämtliche Kriterien der verpflichtenden NIS2-Richtlinie erfüllen.

Stichwort Sicherheitskonzepte implementieren, Backup-Management, Zwei-Faktor-Authentifizierungen, Schulungen, Meldepflichten und und und. Oft fehlt es Unternehmen, sowohl an Expertise als auch an personellen Ressourcen, um diesen Anforderungen gerecht zu werden. Innovative GRC-Lösungen knüpfen dort an, machen die Umsetzung leichter und übernehmen gleichzeitig die Nachweisbarkeit dieser Aktivitäten.

Unsere Kunden legen Wert auf vollumfängliche Daten und Informationen zu GRC-Sachlagen auf einem Blick. Das Top-Management hat damit ein Tool zur Verfügung und wird daher nicht aus dem Operativen rausgerissen, sondern kann sich auf die datenbasierte Entscheidungen und die strategische Geschäftsführung konzentrieren.

Sind interne Systeme enorm verflochten, werden beispielsweise Entscheidungen von mehreren Ebenen in Unternehmen beeinflusst und verkompliziert. Da kann Swiss GRC helfen, um Transparenz und Effizienz zu erzeugen und Kontrolle wie auch Orchestrierung zu ermöglichen.

Müssen Sie oft noch erklären, wofür es GRC wirklich braucht?

Das würde ich pauschal nicht sagen. Sicherlich müssen wir rechts und links noch Aufklärungsarbeit leisten. Die Wichtigkeit, GRC-Themen strukturiert und effizient anzupacken ist jedoch mittlerweile auf Unternehmensleitungsstufe mehrheitlich bekannt.

Und das nicht ohne Grund: Werden Maßnahmen rund um NIS2 beispielsweise ausgelassen, drohen Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.

On top kommen Reputationsschäden, Betriebsunterbrechungen und Haftungsrisiken für Geschäftsführer. Das möchte niemand im Unternehmen sehen. GRC gewinnt so an Zugkraft.

Welchen Herausforderungen begegnen Sie bei der Integration von GRC-Tools?

Sie sprechen da ein wichtiges Thema an, denn die vollumfängliche Integration dieser Tools ist ein wesentlicher Faktor, um Risiken und Kosten auf Unternehmensebene in den Griff zu bekommen. Standardisierungen sind zwar eine gute Sache, wenn es um digitale Prozesssteuerung und Kontrolle geht.

Vielfach erweist sich aber auch die Anpassungsfähigkeit der dafür verwendeten Tools als ein Erfolgsfaktor, um auf spezifische Unternehmenseigenschaften einzugehen. Dies ist einer unserer Stärken, weshalb wir uns in unseren Hauptmärkten als Leader im GRC-Bereich durchsetzen können.

In der heutigen Unternehmenslandschaft mit stets veränderten Anforderungen, Abhängigkeiten und größerer Komplexität darf ein GRC-Tool nicht dasselbe wiedergeben, sondern muss vereinfachen, dynamisch sein und integral eingebettet werden.

Wir sprechen über eine Lösung zugunsten moderner Unternehmensstrukturen und datenbasierte Entscheidungskraft in Zeiten von enormen Komplexitäten und Risiken. Wer hier zögert oder auf ein falsches Pferd setzt, wird gerade in der jetzigen Konjunkturphase im DACH-Raum ernsthafte wirtschaftliche Probleme bekommen.

Welche Zukunftsthemen beschäftigen Sie abschließend beim Blick auf die Nachrichtenlage am meisten?

Aus meiner Sicht die Verkettung aus politischen Anforderungen, die leider noch zu sehr unter dem Radar von Unternehmen und der Verwaltung laufen: DORA, NIS2, BSI IT-Grundschutz und DSGVO.

All das sind Bereiche, die leider unterschätzt werden und die es Unternehmen in der DACH-Region zunehmend schwerer machen, trotz zunehmender Gesetzgebungen die Komplexitäten zu meistern und Innovation und Effizienz zu stärken.

Wir müssen hier in der gesamten DACH-Region Fortschritte machen, um digital nicht zurückzubleiben. Wir bei Swiss GRC wollen unseren Beitrag dafür leisten und aktiv mitgestalten, damit die Wettbewerbsfähigkeit des Standortes besteht und Branchen weiterwachsen können.

Fari F. Ganji, CIO der Swiss GRC AG, über GRC als Schlüssel für resiliente Unternehmen. © Swiss GRC AG

Über Fari F. Ganji:

Fari F. Ganji ist Chief Information Officer (CIO) und Mitglied des Executive Board der Swiss GRC AG, wo er die strategische IT-Ausrichtung und die technologische Transformation innerhalb des Unternehmens verantwortet. Zuvor war er als Chief Digital Officer & Head of IT Switzerland bei der AbbVie AG, als Head of ICT Governance & Programme Office Lead bei der Trans Adriatic Pipeline AG sowie in leitenden Positionen bei der Zuger Kantonalbank, BP Europa SE und der UBS AG tätig. Mit über 20 Jahren Erfahrung in der strategischen IT-Führung erzielte er u. a. Prozessautomatisierungen, global ausgerichtete Transformationen sowie Kostenoptimierungen durch KI-Innovationen und Offshoring. Herr Ganji hält einen Master of Science in Project Management der University of Liverpool sowie ein Executive Certificate in Artificial Intelligence des MIT und ist zertifizierter PMP® und ITIL Strategic Digital Leader.

232 Artikel zu „GRC“

News | Business | Künstliche Intelligenz | Ausgabe 7-8-2025

Der Aufstieg KI-gestützter GRC-Systeme – Vom Bauchgefühl zur Datenhoheit

31. August 2025

Der Einsatz künstlicher Intelligenz verändert in rasantem Tempo die Art und Weise, wie Unternehmen ihr Governance, Risiko- und Compliance-Management (GRC) organisieren. Die Regulierung durch den EU AI Act bringt zusätzlich neue Anforderungen und potenzielle Risiken mit sich. Statt sich hinter absoluten Verboten zu verstecken, sind Organisationen jetzt gefordert, klare interne Leitplanken für den Einsatz von KI zu definieren und Governance-Strukturen frühzeitig anzupassen.