❓ Die Frage, die Governance verdrängt

Welche Ebene der Organisation soll diese Risikoentscheidung treffen? Die Frage klingt banal. Sie wird erstaunlich selten gestellt.

Stattdessen landet alles beim Management — oder jede Einheit entscheidet still für sich. Beides kann teuer sein.

🔍 Warum jede Ebene anders schaut

Jedes Teil-System einer Organisation verfolgt ein eigenes Ziel. Das Entwicklungsteam will schnell liefern. Die Sicherheitsabteilung will Angriffsflächen minimieren. Die Unternehmensleitung will strategische Vorhaben realisieren und regulatorische Anforderungen erfüllen. Jedes Ziel ist legitim.

Risiko ist immer relativ zu einem Ziel. Was das eine Team als kritisch einstuft, ist für das andere Hintergrundrauschen — weil das eigene Ziel nicht bedroht ist. Verschiedene Ziele erzeugen verschiedene Risikoeinschätzungen, auch bei identischem Sachverhalt.

Der Sicherheitswissenschaftler Jens Rasmussen hat das 1997 präzise beschrieben: Jede Organisationsebene steht unter eigenen Drücken — wirtschaftlichen, regulatorischen, operativen. Ohne explizit gesetzte Grenzen driften Systeme in gefährliches Terrain. Nicht durch schlechte Absichten. Sondern weil jede Ebene lokal rational handelt und das Gesamtbild unsichtbar bleibt.

⚡ Zwei Pathologien, eine Ursache

Fehlen klare Zuständigkeiten, entstehen zwei typische Dysfunktionen.

Alles eskaliert: Das Management entscheidet über Patch-Zyklen und Zugriffsrechte. Kontext fehlt. Entscheidungen verzögern sich — oder werden zurück nach unten delegiert, ohne klaren Rahmen.

Nichts eskaliert: Teams lösen Risiken lokal, ohne zu wissen, ob das Thema organisationsweite Tragweite hat. Risiken akkumulieren sich unsichtbar. Der Vorstand erfährt es beim nächsten Audit — oder beim nächsten Incident.

🎯 Subsidiarität als Designprinzip

Der Begriff stammt aus der Staatstheorie: Entscheidungen gehören auf die niedrigste Ebene, die das Thema kompetent beurteilen und verantworten kann. Was dort nicht gelöst werden kann, geht eine Stufe höher — nicht weiter.

Auf Risikomanagement übertragen heißt das: Jede Organisationsebene braucht einen definierten Handlungsspielraum. Was entscheidet sie selbst? Was eskaliert sie — und an wen? Was braucht sie dafür an Informationen und Befugnissen?

Das ist kein Kompetenzentzug für das Management. Es ist seine Entlastung.

Gut funktionierende Risikogovernance erkennt man nicht daran, dass das Management viel entscheidet. Man erkennt sie daran, dass wenig eskaliert werden muss.

📚🔍