Governance hat ein Imageproblem. In vielen IT-Organisationen gilt sie als Synonym für Langsamkeit, Bürokratie und Verhinderung. Prozesse, Richtlinien und Kontrollen werden als Stolpersteine wahrgenommen, die kreative Ideen ausbremsen und Innovationsenergie ersticken. Wer schnell sein will, so die verbreitete Haltung, muss sich von Governance lösen.
Die Praxis liefert dafür scheinbar genügend Belege. Ein Innovationslabor entwickelt innerhalb weniger Wochen einen vielversprechenden digitalen Service. Modern, kundenorientiert, technologisch sauber. Sobald jedoch der Schritt Richtung Produktivbetrieb ansteht, greifen Sicherheitsvorgaben, Architekturprinzipien und Compliance-Regeln, die für stabile Kernsysteme entworfen wurden. Das Projekt verlangsamt sich, verliert Momentum oder stirbt leise. Governance wird zum Hauptschuldigen erklärt. Quelle: https://sloanreview.mit.edu/article/rethinking-governance-for-digital-innovation/
Doch diese Sicht greift zu kurz. Denn das Gegenteil von Governance ist nicht Freiheit, sondern Beliebigkeit. Wo Regeln ignoriert, Verantwortlichkeiten verwischt und Risiken ausgeblendet werden, entsteht keine Innovation, sondern Unsicherheit. Schatten-IT, Sicherheitsvorfälle, Datenschutzprobleme und technologische Sackgassen sind typische Symptome eines ungezügelten Laissez-faire. Geschwindigkeit wird erkauft, Stabilität verspielt. Der Preis folgt später, aber fast immer.
Hier liegt das eigentliche Paradox: Governance wird als Bremse erlebt, obwohl sie genau das verhindern soll, was Innovation langfristig zerstört. Richtig verstanden wirkt Governance nicht wie ein Käfig, sondern wie ein Schutzgitter. Sie ermöglicht mutigere Entscheidungen, höhere Geschwindigkeit und nachhaltiges Wachstum, weil Risiken sichtbar und steuerbar werden.
Die entscheidende Frage ist daher nicht, ob Governance Innovation behindert, sondern welche Art von Governance wir leben. Starre Regelwerke aus der Vergangenheit bremsen. Risiko-orientierte Governance hingegen akzeptiert Unsicherheit, priorisiert Risiken bewusst und schafft klare Leitplanken statt Detailvorgaben. Genau hier beginnt der Perspektivwechsel: Governance nicht als Gegner der Innovation, sondern als ihr strategischer Enabler.
Was ist risiko-orientierte Governance?
Governance wird oft missverstanden als reines Kontroll- oder Regelwerk. In Wirklichkeit beschreibt Governance Strukturen, Rollen und Entscheidungswege, mit denen Organisationen gesteuert werden. Es geht um klare Verantwortlichkeiten, transparente Eskalationen und nachvollziehbare Entscheidungen – nicht primär um Verbote oder Genehmigungen.
Eine risiko-orientierte Governance baut genau darauf auf. Sie stellt sicher, dass Entscheidungen bewusst und nachvollziehbar anhand von Risiko-Nutzen-Abwägungen getroffen werden. Risiken werden nicht reflexartig vermieden oder pauschal akzeptiert, sondern bewertet, eingeordnet und im Kontext der Unternehmensziele behandelt.
Der entscheidende Unterschied zu einer rein compliance-getriebenen Governance liegt im Fokus:
- Compliance fragt: Ist etwas erlaubt oder verboten?
- Risiko-orientierte Governance fragt: Welches Risiko gehen wir ein, welchen Nutzen erzielen wir damit, und ist diese Entscheidung vertretbar?
Damit schafft sie Flexibilität, ohne Beliebigkeit zuzulassen. Entscheidungen können situativ angepasst werden, wenn sich Rahmenbedingungen, Bedrohungslagen oder Business-Prioritäten ändern. Gleichzeitig bleibt die Steuerung konsistent, weil sie auf klar definierten Prinzipien, Rollen und Bewertungsmassstäben basiert.
Ein zentraler Mehrwert liegt im Business-Value. Risiko-orientierte Governance betrachtet Risiken nicht isoliert aus IT- oder Sicherheitsoptik, sondern immer im Zusammenhang mit Wertschöpfung, Innovation und strategischen Zielen. Governance wird so vom Bremsklotz zum Instrument für fundierte Entscheidungen.
Kurz gesagt:
Risiko-orientierte Governance bedeutet nicht weniger Kontrolle, sondern bessere Entscheidungen – transparent, verantwortungsvoll und am Nutzen für das Unternehmen ausgerichtet.
Warum Governance als „Bremse“ wahrgenommen wird
In vielen Organisationen wird Governance nicht als Unterstützung, sondern als Hindernis erlebt. Diese Wahrnehmung entsteht selten aus bösem Willen, sondern aus Strukturen, die für eine andere Zeit gebaut wurden.
Ein zentraler Grund sind starre Prozesse. Lange Freigabeschleifen, formale Genehmigungen und Vorgaben nach dem Prinzip „one size fits all“ bremsen insbesondere digitale und innovative Vorhaben. Was ursprünglich Stabilität sichern sollte, wird in dynamischen Umfeldern zur Belastung.
Hinzu kommt, dass Innovations- und Produktteams regelmässig Ausnahmen beantragen müssen. Statt innerhalb klarer Leitplanken selbständig entscheiden zu können, werden Waivers zum Normalfall. Governance wird dadurch nicht als Rahmen, sondern als Hürde wahrgenommen, die umgangen oder verhandelt werden muss.
Besonders problematisch ist die Rolle der IT. Wird Governance primär über Verbote und Einschränkungen umgesetzt, entsteht das Bild der IT als „No-Department“. Anstatt als Enabler für sichere Lösungen aufzutreten, wird sie zum Gatekeeper, der Innovation verzögert.
Das eigentliche Problem ist dabei nicht Governance an sich, sondern ihre Ausgestaltung. Wenn Regeln losgelöst vom Nutzungskontext definiert werden und Risiken pauschal behandelt werden, entsteht Reibung. Governance wird dann als Kontrolle erlebt – nicht als Unterstützung für verantwortungsvolle Entscheidungen.
Die Gefahren von Laissez-faire und hemmungslosem Wachstum
Wenn Governance als hinderlich wahrgenommen wird, entsteht schnell die Gegenbewegung: möglichst wenig Regeln, möglichst viel Freiheit. Doch ein Laissez-faire-Ansatz ist keine tragfähige Alternative. Fehlende oder zu schwache Governance führt nicht zu Agilität, sondern zu Unkontrollierbarkeit.
Ohne klare Leitplanken entstehen unkoordinierte Technologien, Schatten-IT und inkonsistente Architekturen. Sicherheits-, Datenschutz- und Compliance-Risiken werden dabei nicht bewusst eingegangen, sondern übersehen. Risiken materialisieren sich erst dann, wenn es zu spät ist.
Die Folgen sind bekannt: Datenpannen, regulatorische Sanktionen, finanzielle Verluste sowie ein nachhaltiger Vertrauensverlust bei Kunden und Partnern. Governance, die Risiken frühzeitig adressiert hätte, wird in solchen Situationen schmerzhaft vermisst.
Besonders deutlich zeigt sich dieses Spannungsfeld im Umgang mit Künstlicher Intelligenz. Schnelles Experimentieren ohne Governance führt zu Verzerrungen, Datenschutz-Verstössen und Reputationsschäden. Der technologische Fortschritt ist schneller als die organisatorische Einbettung.
Zwischen Überregulierung und hemmungslosem Wachstum gibt es daher keinen Widerspruch, sondern einen notwendigen Ausgleich.
Risiko-orientierte Governance als Enabler
Risiko-orientierte Governance hat nicht das Ziel, Innovation zu verhindern. Sie soll Risiken sichtbar machen, damit Entscheidungen bewusst getroffen werden können. Governance wird damit vom Kontrollinstrument zum Enabler für verantwortungsvolle Innovation.
Ein zentrales Element ist die Definition von Risiko-Appetit und Risiko-Toleranz. Organisationen müssen klar festlegen, welche Risiken sie in welchen Bereichen eingehen wollen und wo Grenzen bestehen. Dieses gemeinsame Verständnis schafft Orientierung und reduziert Reibung.
Darauf aufbauend ermöglicht eine risiko-basierte Priorisierung einen differenzierten Umgang mit Risiken. Nicht jedes Risiko ist gleich kritisch. Während in Innovationsfeldern bewusst höhere Risiken akzeptiert werden können, gelten für geschäftskritische Bereiche strengere Massstäbe.
Besonders wirksam wird dieser Ansatz durch Governance-Modelle, die Innovation explizit berücksichtigen. Innovation-Sandboxes oder experimentelle Umgebungen erlauben schnelles Lernen innerhalb klar definierter Grenzen.
In diesem Verständnis wirkt Governance wie ein tragendes Gerüst: Sie gibt Struktur, ohne Bewegung zu verhindern. Richtig umgesetzt macht sie Innovation nicht langsamer, sondern sicherer und fokussierter.
Praktische Elemente einer risiko-orientierten IT-Governance
Risiko-orientierte IT-Governance basiert auf klaren und umsetzbaren Bausteinen. Entscheidend ist das Zusammenspiel von Organisation, Prozessen und Technik.
Zentral sind klare Rollen und Verantwortlichkeiten. Governance funktioniert nur, wenn eindeutig ist, wer entscheidet, wer Risiken trägt und wer berät. Governance- oder Risk-Committees, CISO, Risk-Owner und Business-Owner schaffen diese Klarheit.
Ebenso wichtig sind strukturierte Prozesse über den gesamten Risiko-Lebenszyklus: Identifikation, Bewertung, Behandlung, Monitoring und Reporting. Risiken werden damit kontinuierlich gesteuert statt punktuell dokumentiert.
Richtlinien und Standards müssen flexibel und kontextabhängig sein. Statt pauschaler Vorgaben kommen abgestufte Anforderungen zum Einsatz, orientiert an Risiko, Nutzung und Schutzbedarf.
Ergänzt wird dies durch technische und organisatorische Massnahmen wie Identity-Management, Protokollierung, Automatisierung und integrierte Sicherheitsmechanismen. Governance wird dadurch operativ wirksam.
Integrierte GRC-Ansätze verbinden Governance, Risiko und Compliance zu einem konsistenten Steuerungsrahmen. Sie schaffen Transparenz, Nachvollziehbarkeit und Skalierbarkeit.
Schlussstatement
Gute IT-Governance ist kein angeborenes Talent – sie ist eine lern- und entwickelbare Kompetenz. Organisationen, die Governance als strategischen Enabler begreifen und gezielt ausbilden, schaffen die Grundlage für nachhaltige Innovation, robuste Sicherheit und messbaren Business-Value.
Dafür existieren international anerkannte Berufsbild- und Zertifikatsprogramme, die praxisnahes Wissen mit bewährten Frameworks verknüpfen. Sie helfen nicht nur, Governance zu verstehen, sondern sie auch wirksam zu operationalisieren.
Relevante Governance- und Risk-Zertifikate (ISACA)
- CGEIT – Certified in the Governance of Enterprise IT
Schwerpunkt: IT-Governance auf Unternehmensebene, strategische Ausrichtung, Verantwortlichkeiten, Risikosteuerung und Performance-Messung.
Ideal für: CIOs, IT-Leiter, Governance-Verantwortliche, Risk-Manager.
🔗 Glenfis-Kurs: CGEIT-Vorbereitung / IT-Governance – Certified in the Governance of Enterprise IT® (CGEIT®) - CISM – Certified Information Security Manager
Schwerpunkt: Informationssicherheits-Management, Risiko-Steuerung und Governance-Integration.
Ideal für: Security-Manager, CISOs, Risiko- und Compliance-Verantwortliche.
🔗 Glenfis-Kurs: CISM-Vorbereitung / Informationssicherheits-Management – Certified Information Security Manager® (CISM®) - CRISC – Certified in Risk and Information Systems Control
Schwerpunkt: IT-Risikomanagement, Risiko-Bewertung und -Behandlung, Kontroll-Design- und Überwachung.
Ideal für: Risk-Owner, IT-Auditoren, Risk-Manager, Control-Verantwortliche.
🔗 Glenfis-Kurs: CRISC-Vorbereitung / Risikomanagement und Controls – Certified in Risk and Information Systems Control® (CRISC®) - AAISM – Advanced in AI Security Management
Schwerpunkt: Governance, Risiko und Kontrolle im Kontext von KI-Systemen, Bias, Datenschutz, Sicherheit.
Ideal für: Security-Leader, AI-Governance-Verantwortliche, Risiko-Manager im digitalen Kontext.
🔗 Glenfis-Kurs: AAISM – Advanced in AI Security Management – Advanced in AI Security Management™ (AAISM™) - AAIR – Advanced in AI Risk
Schwerpunkt: Risiko-Management für KI-Anwendungen, Risiko-Rahmenwerk, Risiko-Steuerung und Wert-Schaffung.
Ideal für: Risk-Professionals, AI-Projektverantwortliche, IT-Governance-Teams.
🔗 Glenfis-Kurs: AAIR – Advanced in AI Risk – https://glenfis.ch/de/glenfisacademy/
Zusammengefasst:
IT-Governance ist kein Hindernis, sondern ein Muskel – der trainiert und bewusst eingesetzt werden muss. Mit anerkannten Ausbildungs- und Zertifikatswegen lässt sich Governance nicht nur verstehen, sondern gezielt gestalten. So wird sie zur strategischen Triebfeder für Innovation, Risikokontrolle und nachhaltiges Wachstum.