SWISS GRC DAY 2026

Die neue Vermessung der Unsicherheit


Swiss GRC Day 2026: Unsicherheit verstehen, bessere Entscheidungen treffen News

Es war ein bemerkenswerter Perspektivwechsel, der sich am 20. Mai 2026 im Radisson Blu Hotel am Flughafen Zürich abzeichnete. Mehr als 300 Fach- und Führungskräfte aus Wirtschaft, Verwaltung und Wissenschaft trafen sich zum Swiss GRC Day 2026, um über Governance, Risk und Compliance zu sprechen. Doch die eigentliche Botschaft des Tages lag tiefer: Risikomanagement ist nicht mehr primär die Kunst, Risiken sauber zu erfassen. Es ist die Fähigkeit, Unsicherheit so zu strukturieren, dass Organisationen bessere Entscheidungen treffen.

Damit rückte die Veranstaltung ein Thema in den Mittelpunkt, das viele Unternehmen zwar formal adressieren, operativ aber oft unterschätzen. Risikoregister, Kontrollen, Policies, Frameworks und Softwareplattformen sind notwendig. Sie sind aber noch kein Beweis für wirksames Risikomanagement. Wirksamkeit entsteht erst dort, wo aus Risikowissen Handlungsfähigkeit wird: in Investitionsentscheidungen, Strategieprozessen, Krisenvorbereitung, Ressourcenallokation und Führungskommunikation. Der Tag zeichnete damit ein klares Bild einer GRC-Disziplin im Übergang. Weg von der nachträglichen Dokumentation, hin zur vorausschauenden Steuerung. Weg vom isolierten Risiko, hin zu Abhängigkeiten, Szenarien und Systemwirkungen. Weg von der reinen Compliance-Erfüllung, hin zur Frage, wie Unternehmen unter Unsicherheit robust und anpassungsfähig bleiben.

Ein Auftakt mit historischer Tiefenschärfe

Bereits der Einstieg machte deutlich, dass Risikomanagement keine Modeerscheinung ist. Nikolai Tsenov, Head Solutions & Innovation bei Swiss GRC, erinnerte an historische Ursprünge der Risikosteuerung: Während der Pestepidemien des Mittelalters mussten Handelsschiffe vor dem Entladen vierzig Tage isoliert werden. Aus dem italienischen "quaranta" entstand der Begriff Quarantäne. Dahinter stand ein Prinzip, das bis heute gilt: Risiken erkennen, strukturieren und gezielt steuern.
Nur hat sich der Engpass verschoben. Früher fehlte Wissen über Gefahren. Heute verfügen Organisationen über Daten, Berichte, Dashboards und regulatorische Vorgaben in einer kaum noch überschaubaren Menge. Das Problem ist deshalb weniger Informationsmangel als Übersetzungsschwäche: Wie wird aus Risikoerkenntnis eine bessere Entscheidung? Wie wird aus Analyse ein belastbarer Managementimpuls? Und wie verhindert man, dass GRC zwar sichtbar vorhanden, aber im entscheidenden Moment wirkungslos bleibt?

Diese Fragen prägten den gesamten Tag. Besfort Kuqi, Gründer und CEO der Swiss GRC AG, stellte in seiner Begrüßung den fachlichen Austausch in den Vordergrund. Gerade in einer Zeit neuer technologischer, regulatorischer und geopolitischer Belastungen brauche es Räume, in denen Erfahrungen, Methoden und Perspektiven zusammengeführt werden.

Wie riskant ist die Welt wirklich?

Werner Gleißner, Professor an der TU Dresden und Vorstand der FutureValue Group AG, eröffnete den fachlichen Teil mit einer Frage, die einfach klingt und doch den Kern moderner Risikosteuerung berührt: Wie riskant ist die Welt wirklich? Seine Antwort war keine Einladung zur Entwarnung, sondern eine Aufforderung zur Differenzierung. Permanente Katastrophenmeldungen, geopolitische Krisen, Energiepreisschocks, Kriege, Cyberrisiken und Finanzmarktturbulenzen prägen die Wahrnehmung. Doch Risikomanagement darf sich nicht von medialer Dramaturgie treiben lassen. Es muss zwischen gefühlter und entscheidungsrelevanter Risikolage unterscheiden.

Gleißners Präsentation stellte dabei zwei scheinbar gegensätzliche Botschaften nebeneinander. Einerseits ist die Welt nicht zwangsläufig gefährlicher geworden, wenn man langfristige Indikatoren, technischen Fortschritt und Wohlstandsentwicklung betrachtet. Andererseits bleiben geopolitische Risiken, makroökonomische Verwerfungen, Cyberrisiken, Lieferkettenstörungen und mögliche Finanzkrisen für Unternehmen hoch relevant. Die Aufgabe besteht nicht darin, Angst zu verstärken, sondern Robustheit zu erhöhen.

Besonders deutlich wurde sein Plädoyer für ein entscheidungsorientiertes Risikomanagement. Risiken sollen nicht isoliert gesammelt, sondern mit Strategie, Planung, Rating, Finanzierung und Unternehmenswert verknüpft werden. Dazu gehören Risikoaggregation, Szenarioanalyse, Stochastische Simulation / Monte-Carlo-Simulation und eine transparente Herleitung der Frage, wann Kombinationseffekte aus Einzelrisiken bestandsgefährdend werden können.

Damit formulierte Gleißner einen Anspruch, der über klassische Risikoberichte hinausgeht: Risikomanagement muss zur Entscheidungsvorlage werden. Es soll zeigen, welche Bandbreiten möglich sind, welche Schwellen kritisch werden, welche Maßnahmen die Risikotragfähigkeit verbessern und welche strategischen Alternativen unter Unsicherheit tragfähig sind.
Ein weiterer Akzent seiner Keynote lag auf künstlicher Intelligenz. AI kann Risikomanagement unterstützen: beim Horizon Scanning, bei der Analyse großer Datenmengen, bei der Strukturierung von Szenarien, bei der Dokumentation und bei der Vorbereitung von Entscheidungsgrundlagen. Gleichzeitig warnte Gleißner vor einer methodischen Selbsttäuschung. Eine plausible AI-Antwort ist noch keine korrekte Risikoanalyse.

Sein Beispiel zeigte, wie schnell ein Modell bei unvollständigen Annahmen oder falsch interpretierten Erwartungswerten zu falschen Ergebnissen kommen kann. Für das Risikomanagement folgt daraus ein klarer Grundsatz: AI kann Recherche, Strukturierung und Analyse beschleunigen. Sie darf aber Unsicherheit nicht glätten, fehlende Informationen nicht verschweigen und methodische Verantwortung nicht ersetzen. Der Mensch bleibt verantwortlich für Annahmen, Plausibilisierung und Entscheidung.

Quantifizierung als Sprache der Entscheidung

Florian Worm, Head of Enterprise Risk Management der Hartmann Gruppe, ergänzte diese Linie aus der Unternehmenspraxis. Quantitative Methoden dienen nicht dazu, Zukunft vorherzusagen. Sie schaffen Transparenz über mögliche Entwicklungen. Gerade in komplexen Unternehmensstrukturen genügt es nicht, Einzelrisiken additiv zu betrachten. Entscheidend sind Wechselwirkungen, Korrelationen, Schwellenwerte und die Wirkung auf Ergebnis, Liquidität, Kapitalbedarf oder strategische Handlungsfähigkeit.

Damit wird Quantifizierung zur Sprache der Entscheidung. Sie ersetzt kein Managementurteil, aber sie zwingt zur Präzision. Welche Annahmen liegen einer Entscheidung zugrunde? Was passiert im schlechten Fall? Welche Wahrscheinlichkeit hat eine kritische Ergebnisschwelle? Wie verändert eine Maßnahme nicht nur ein Einzelrisiko, sondern das gesamte Risikoprofil?
Gute Quantifizierung macht Unsicherheit nicht kleiner. Sie macht sie sichtbarer. Und genau darin liegt ihr Wert: Sie verhindert, dass aus Risikomanagement eine Sammlung farbiger Einschätzungen wird, deren betriebswirtschaftliche Konsequenz unklar bleibt.

Schwarze Schwäne, graue Nashörner und grüne Drachen

Alexandra Burns von PwC Schweiz brachte eine starke Metaphorik in die Diskussion. Ihre Risikolandschaft bestand aus schwarzen Schwänen, grauen Nashörnern und grünen Drachen. Der schwarze Schwan steht für seltene, extreme und im Nachhinein rationalisierte Ereignisse. Das graue Nashorn beschreibt offensichtliche, hochwahrscheinliche Gefahren, die bewusst oder unbewusst verdrängt werden. Der grüne Drache steht für transformative, systemische Dynamiken mit doppeltem Charakter: Bedrohung und Chance zugleich.

Gerade das graue Nashorn ist für Governance und Führung besonders unbequem. Wer ein vorhersehbares Risiko später als schwarzen Schwan bezeichnet, entlastet sich rhetorisch von Verantwortung. Die entscheidende Frage lautet deshalb: War ein Ereignis wirklich unvorhersehbar, oder wurde ein sichtbares Signal ignoriert?

Burns verschob damit den Blick von der Risikoklassifikation zur Risikowahrnehmung. Organisationen neigen dazu, Risiken in Matrizen und Registern zu ordnen. Das schafft Struktur, kann aber eine Illusion von Beherrschbarkeit erzeugen. Moderne Risikolandschaften gleichen eher Ökosystemen als Zoos: Risiken bewegen sich, verstärken sich gegenseitig, verändern ihre Form und erzeugen Nebenwirkungen in Bereichen, die auf den ersten Blick nicht betroffen scheinen. Ihre Konsequenz war klar: Risikomanager müssen stärker zu Strategiepartnern werden. Szenarioanalyse, War Gaming und Horizon Scanning sind nicht mehr Spezialinstrumente für Ausnahmesituationen, sondern Werkzeuge, um Transformationen früh zu verstehen. Der Auftrag lautet nicht, die Wildnis vollständig zu kontrollieren. Er lautet, sie lesen zu lernen.

Risikokultur: Der blinde Fleck im System

Michael Niedermann, Head Consulting bei Swiss GRC, rückte anschließend den Menschen in den Mittelpunkt. Sein Ausgangspunkt war ein Satz, der in vielen Organisationen nach Krisen fallen könnte: Wir verfügen über ein umfassendes Risikomanagementsystem – und trotzdem ist es schiefgelaufen. Die Folgerung ist unbequem: Es reicht nicht, in Software, Frameworks, Policies und Kontrollpläne zu investieren, wenn sichtbare Risiken trotzdem nicht adressiert werden.

Niedermann beschrieb Risikomanagement deshalb als Kulturfrage. In der Praxis zeigen sich typische Muster: das Schweigen der Organisation, ein Compliance-Theater, Silberkugel-Denken und fehlende psychologische Sicherheit. Risiken werden nicht verschwiegen, weil Menschen notwendigerweise inkompetent sind. Sie werden oft nicht angesprochen, weil Hierarchien, Gruppendruck, Optimismus-Bias oder Normalcy Bias die Kommunikation verzerren.

Besonders prägnant war die Unterscheidung zwischen reaktiver, regelkonformer und vorausschauender Risikokultur. Reaktive Organisationen sehen Risiken vor allem nach Ereignissen. Regelkonforme Organisationen verfügen über Frameworks, leben sie aber nur teilweise. Vorausschauende Organisationen sprechen Risiken früh offen an, verbinden Risikoberichte mit Entscheidungen und verankern Risikokultur in der Unternehmensstrategie. Die zentrale Botschaft war damit klar: Risikokultur ist keine weiche Ergänzung harter Risikomethoden. Sie ist deren Betriebsbedingung. Ohne psychologische Sicherheit werden schwache Signale nicht gemeldet. Ohne Führungsvorbild bleibt Risikomanagement delegiert. Ohne Entscheidungseinbindung wird der Risikobericht zur Pflichtübung.

Wissenschaft gegen Praxis – oder Wissenschaft mit Praxis?

Ein Höhepunkt des Nachmittags war die Debatte zwischen Stefan Hunziker, Professor für Risk Management an der Hochschule Luzern und Alexander Hilsbos, Leiter Risk Management der Inselgruppe AG. Schon das Format machte deutlich: Hier sollte kein klassischer Vortrag gehalten, sondern ein methodischer Streit sichtbar gemacht werden. Die Leitfrage lautete: Was funktioniert wirklich im Risikomanagement?

Der Auftakt war ein CFO-Experiment. Zwei Projekte wurden mit EBIT-Bandbreiten vorgestellt. Beide konnten in einer klassischen Heat Map als gelb erscheinen. Für eine echte Entscheidung ist das zu wenig. Entscheider benötigen Bandbreiten, Szenarien, Wahrscheinlichkeiten kritischer Schwellen und Konsequenzen für Alternativen. Die eigentliche Frage ist nicht, ob Risikomanagement existiert. Die eigentliche Frage ist, ob es Entscheidungen verändert.

Die Debatte griff mehrere Provokationen auf: Würde jemand merken, wenn Risikomanagement abgeschaltet wird? Haben Risikoberichte Einfluss? Lügen Heat Maps? Verbergen Mittelwerte Risiko? Hinter den zugespitzten Thesen stand ein ernstes Problem. Viele Risikomanagementsysteme produzieren zwar Information, aber nicht zwingend Entscheidungswirkung. Die Massnahmen aus der Debatte waren bewusst einfach formuliert: Risikomanagement muss in den Raum, wo Entscheidungen fallen. Es braucht Präsenz vor der Entscheidung, nicht Berichte danach. Eine Bubble sollte durch drei Szenarien ersetzt werden: Erwartung, schlechter Fall, guter Fall. Aus Simulationen sollten nicht nur technische Verteilungen entstehen, sondern verständliche Botschaften: eine Schwelle, eine Wahrscheinlichkeit, eine Konsequenz.

Der schärfste Angriff der Debatte galt der klassischen Risikomatrix. Heat Maps können helfen, Gespräche zu strukturieren. Aber sie werden gefährlich, wenn ihre Einfachheit mit Analyse verwechselt wird. Eine Ampelfarbe kann Unterschiede verdecken, Scheingenauigkeit erzeugen und Risiken so stark verdichten, dass die entscheidungsrelevante Information verschwindet. Das Problem liegt nicht in Visualisierung als solcher, sondern in der Verwechslung von Ordnung und Erkenntnis. Eine Matrix zeigt eine Position. Sie erklärt nicht automatisch die zugrunde liegende Verteilung, die Abhängigkeiten, die Zeitsensitivität, die Extremwerte oder die betriebswirtschaftliche Wirkung. Gerade bei seltenen, aber schweren Ereignissen oder bei Kombinationseffekten aus mehreren Risiken kann eine qualitative Einordnung irreführend beruhigen.

Der Swiss GRC Day verdeutlichte deshalb: Die Zukunft liegt nicht im Ende aller einfachen Darstellungen. Sie liegt in besseren Übersetzungen. Führungskräfte brauchen keine Modellkomplexität um ihrer selbst willen. Sie brauchen einfache, aber ehrliche Darstellungen von Unsicherheit. Einfachheit darf nicht auf Kosten der Wahrheit gehen.

Die menschliche Dimension von Unsicherheit

Den Abschluss setzte Zoya Miari, Gründerin von "Waves to Home", mit einer persönlichen und gesellschaftlichen Perspektive. Ihr Beitrag erinnerte daran, dass Risiken nicht nur technische Kategorien sind. Hinter Krisen, Verlusten, Entscheidungen und Resilienz stehen Menschen. Vertrauen, Empathie, Kommunikation und Zusammenhalt sind keine Randthemen, sondern Voraussetzungen dafür, dass Organisationen und Gesellschaften Unsicherheit bewältigen können.

Damit schloss sich der Kreis des Tages. Quantitative Modelle, Szenarioanalysen, AI, Kultur und Führung sind keine konkurrierenden Ansätze. Sie beschreiben unterschiedliche Seiten derselben Aufgabe: Unsicherheit verstehen, kommunizieren und in verantwortliche Entscheidungen übersetzen.

Der Swiss GRC Day 2026 zeigte ein Risikomanagement, das erwachsener wird. Es geht nicht mehr darum, möglichst vollständige Listen zu führen. Es geht darum, blinde Flecken zu reduzieren, Entscheidungsalternativen zu bewerten und Organisationen robuster zu machen. Compliance bleibt wichtig, aber sie ist nicht der Endpunkt. Sie ist die Mindestanforderung.

Drei Linien zogen sich durch die Veranstaltung. Erstens: Risiken müssen quantifiziert, aggregiert und mit Planung sowie Strategie verbunden werden, wenn sie entscheidungsrelevant sein sollen. Zweitens: Komplexe Risikolandschaften erfordern Szenarien, Frühaufklärung und systemisches Denken. Drittens: Keine Methode wirkt ohne Kultur. Wenn Menschen nicht sprechen, wenn Führung Unsicherheit nicht zulässt und wenn Risikoberichte keine Entscheidungen beeinflussen, bleibt GRC nur eine Fassade.
 

[ Bildquelle Titelbild: Swiss GRC ]
Themengebiete
In Verbindung stehende Artikel
AI, Cyberrisiken und wirksames RisikomanagementAI, Cyberrisiken und wirksames Risikomanagement
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.