Kuznitsov erinnert daran, dass GRC nie als operative Funktion gedacht war, sondern Organisationen helfen sollte, Risiken zu verstehen und zu steuern. Nachweissammlung, Audit-Zyklen und Statusmeldungen seien stets nur Umsetzungen dieses Zwecks gewesen, nicht der Zweck selbst. Die Menschen, die in das Feld kamen, hätten wissen wollen, ob ihre Organisation tatsächlich geschützt ist oder nur so wirkt.

Das Problem laut Kuznitsov: Die Werkzeuge skalierten nicht mit den Programmen, sodass die operative Last alles verschlang. Wer eigentlich über Risiken nachdenken sollte, verbrachte die meiste Zeit damit, den Apparat am Laufen zu halten.

Agentische GRC beschleunige Arbeitsabläufe nicht, sondern ersetze sie. Nachweise flössen nicht mehr über eine Person, sondern würden fortlaufend aus angebundenen Systemen gezogen. Kontrollen würden nicht periodisch geprüft, sondern in Echtzeit überwacht. Behebungsmaßnahmen würden nicht in Tabellen verfolgt, sondern Tickets automatisch geöffnet, zugewiesen, nachverfolgt und geschlossen.

Agenten entwerfen sich allerdings nicht selbst. Die Logik, die sie steuert – was gesammelt wird, was als bestanden oder nicht bestanden gilt, was eine Eskalation auslöst und was ein Prüfer als Nachweis akzeptiert –, entstehe aus der Kombination von Datenkontext und menschlicher Einsicht. Jemand müsse die Risikobereitschaft definieren, festlegen, was “behoben” konkret bedeutet, und erkennen, wann das Ergebnis stimmt und wann dem System etwas entgeht.

Genau um dieses Modell sei agentische GRC bei Anecdotes herum gebaut: Die Agenten übernähmen die Operationen Ende zu Ende – auf Basis der über Jahre aufgebauten Datengrundlage und der vom GRC-Team definierten Logik.

Kuznitsov räumt ein, dass die Neudefinition einer Rolle schwerfällt und mit echten Ängsten verbunden ist; viele Menschen sorgten sich wegen KI um ihre Jobs. Für GRC-Fachkräfte sei dies jedoch weniger Bedrohung als die lange erwartete Chance. Wer den Wandel vollzogen habe, beschreibe ihn weniger als das Erlernen von etwas Neuem, sondern eher als die Erlaubnis, das zu tun, wofür man ausgebildet wurde.

Ihre Aufgabe werde es, den Agenten zu sagen, worauf es ankommt: die richtige Risikobereitschaft festzulegen, zu entscheiden, welche Kontrollen wirklich etwas schützen und welche nur aus Gewohnheit existieren, zu erkennen, wann ein automatisierter Befund ein echtes Problem ist und wann nur Rauschen, und Geschäftskontext in Compliance-Logik zu übersetzen – etwas, das laut Kuznitsov kein Agent nachbilden kann, weil es Urteilsvermögen aus jahrelanger Erfahrung erfordert.

Die Organisationen, die als Erste handelten, gewännen nicht, weil ihre Teams besser mit KI umgehen, sondern weil ihre GRC-Teams endlich Zeit und Mandat hätten, klar über Risiken nachzudenken und ein Programm zu führen statt es nur zu verwalten. Das Zögern erklärt Kuznitsov damit, dass Praktiker nicht den Verlust ihres Werts fürchteten, sondern den Verlust der Abläufe, die zu ihrer Identität geworden seien – obwohl diese Abläufe nie das gewesen seien, was sie eigentlich wollten.

Der Beitrag ist von Anecdotes gesponsert und verfasst.