Von der Norm zur Wirkung (4): Wie Unternehmen regulatorische Anforderungen wirksam steuern können: Integrierte Governance statt Regelflut

Regulatorische Anforderungen stellen längst kein temporäres Phänomen mehr dar. Mit der Network and Information Security Directive 2 (NIS-2), dem Digital Operational Resilience Act (DORA), Environmental, Social and Governance (ESG) Vorgaben und branchenspezifischen Anforderungen hat sich ein dauerhafter Ordnungsrahmen für Unternehmen entwickelt.[1, 2] Organisationen sehen sich kontinuierlich mit neuen Erwartungen an Prozesse, Kontrollen und Nachweise konfrontiert.

Dabei ist nicht die einzelne Vorschrift die eigentliche Herausforderung. Entscheidend ist vielmehr ihre kumulative Wirkung: Anforderungen überlagern sich, greifen ineinander und verstärken sich gegenseitig.[3, 4] Jede neue Regel schafft zusätzliche Erwartungen an Prozesse, Kontrollen, Nachweise und Verantwortlichkeiten – häufig ergänzend zu bereits bestehenden
Governance-Strukturen.

Damit verändert sich die zentrale Frage unternehmerischer Steuerung: Verfügen wir über ein Governance-Modell, das auch zukünftige Anforderungen integrieren kann – ohne an Wirksamkeit, Stabilität oder Übersicht zu verlieren?[5] In den bisherigen Beiträgen dieser Artikelreihe haben die Autoren schrittweise aufgezeigt, wie ein solches Modell entstehen kann: von prozessorientierter Steuerung als Fundament (Teil 1),[6] über strukturierte Informationssicherheit als Vertrauensbasis (Teil 2),[7] bis hin zu methodischem Risikomanagement als Entscheidungsgrundlage (Teil 3).[8]

Dieser vierte Beitrag vollzieht nun den Übergang von methodischer Exzellenz zu integrierter Steuerungsfähigkeit. Er führt die Perspektiven zusammen und richtet den Fokus auf integrierte Governance – besonders auf das Zusammenspiel von Internem Kontrollsystem, Managementsystemen und aktuellen regulatorischen Anforderungen wie ESG und DORA.

Im Zentrum steht dabei eine wesentliche Einsicht: Zukunftsfähige Governance muss stabil, erweiterbar und dauerhaft wirksam sein. Sie darf nicht bei jeder neuen Regulierung neu aufgebaut werden müssen, sondern muss zusätzliche Anforderungen als weitere Perspektiven in ein bestehendes Steuerungsmodell integrieren.

Wenn Governance wächst, wächst die Komplexität

In vielen Organisationen zeigt sich ein wiederkehrendes Muster: Neue regulatorische Anforderungen beantworten Verantwortliche mit neuen Maßnahmen. Sie ergänzen bestehende Systeme um zusätzliche Richtlinien, weitere Kontrollkataloge, >neue Berichtsformate und separate Prüfzyklen. Jede Regulierung wird als eigenes Vorhaben behandelt – mit eigener Logik, eigenen Zuständigkeiten und eigenen Nachweisen.

Was zunächst strukturiert erscheint, entwickelt in der Praxis eine problematische Nebenwirkung: Governance wächst additiv, nicht integrativ. An diesem Punkt trennt sich klassische von zukunftsfähiger Governance.

Denn additive Governance stößt hier strukturell an ihre Grenzen. Kontrollen adressieren vergleichbare Risiken, sind jedoch in unterschiedlichen Systemen verankert. Unternehmen erzeugen Evidenzen mehrfach, Fachbereiche erleben Governance als Zusatzarbeit und das Management erhält umfangreiche Berichte – jedoch nur begrenzt entscheidungsrelevante Informationen.

Mehr Governance bedeutet also nicht automatisch mehr Steuerung.[5] Im Kern beruht diese Entwicklung auf einem verbreiteten Denkfehler: der Annahme, Organisationen könnten Steuerung durch das schrittweise Ergänzen weiterer Regelwerke, Kontrollen und Dokumentationen beherrschen.

Dieses additive Verständnis erzeugt zwar formale Vollständigkeit, steigert jedoch selten die tatsächliche Wirksamkeit. Isolierte Governance-Systeme konkurrieren um Aufmerksamkeit, Ressourcen und Prioritäten. Governance entwickelt sich reaktiv und aufwandsgetrieben, statt vorausschauend zu wirken und aktiv zu steuern.

Die zentrale Frage moderner Governance lautet daher nicht mehr, ob alle Anforderungen umgesetzt sind, sondern ob ein Steuerungsmodell vorhanden ist, das Wirkung erzeugt und diese Wirkung als Entscheidungs- und Handlungsfähigkeit des Managements auch unter wachsender Regulierung aufrechterhält und damit die Leistungsfähigkeit des Kontrollumfelds dauerhaft sicherstellt. Integration ist dabei keine optionale Optimierung, sondern eine strukturelle Notwendigkeit.

Der Ordnungsrahmen integrierter Governance

Was fehlt, ist kein weiteres Regelwerk, sondern ein zentraler Ordnungsrahmen, der bestehende Anforderungen zusammenführt und dauerhaft tragfähig macht. Ein solcher Ordnungsrahmen ist in vielen Organisationen bereits vorhanden: die ISO 27001.[11]

In der Praxis reduzieren viele Verantwortliche diesen Standard häufig auf Informationssicherheit oder Zertifizierung. Tatsächlich ist er als Managementsystem konzipiert und folgt einer klaren Governance-Logik.[12] Er bietet eine strukturierende Klammer, die weit über technische Sicherheitsmaßnahmen hinausgeht.

Die ISO 27001 bringt zentrale Elemente mit: Sie schafft Kontext- und Zielorientierung, leitet Maßnahmen risikobasiert ab, definiert klare Rollen und Verantwortlichkeiten und verankert regelmäßige Reviews sowie Managementbewertungen.

Der entscheidende Perspektivwechsel besteht darin, die ISO 27001 nicht als Ziel, sondern als Fundament für integrierte Governance zu verstehen. Die in Teil 3 dargestellte risikobasierte Entscheidungslogik findet hier ihren strukturellen Anker. Neue regulatorische Anforderungen werden damit nicht zu neuen Systemen, sondern zu Erweiterungen eines bestehenden Kerns.[5]

IKS als Wirksamkeitsmotor

Genau hier entscheidet sich, ob Governance wirkt oder nur beschrieben ist: das Interne Kontrollsystem. Während die ISO 27001 den Ordnungsrahmen definiert, sorgt das IKS dafür, dass dieser Kern im operativen Betrieb tatsächlich wirkt. In einem integrierten Governance-Verständnis übernimmt es drei zentrale Funktionen:

• Überprüfung der Wirksamkeit von Kontrollen,
• Sichtbarmachung von Abweichungen,
• Auslösung von Steuerungsimpulsen.

Auf diese Weise wirkt das IKS systemübergreifend und macht Governance steuerbar. Es fungiert nicht als reine Prüfmechanik, sondern als kontinuierlicher Feedback- und Steuerungsmechanismus.

Governance entfaltet ihre Wirkung nicht in Richtlinien oder Kontrollkatalogen, sondern dort, wo Arbeit stattfindet: in den Prozessen.[13] Prozesse sind der Ort, an dem Risiken wirksam werden, an dem Kontrollen greifen oder versagen und an dem Entscheidungen vorbereitet werden.

Integrierte Governance verankert Kontrollen direkt im Ablauf. Dieses Prinzip lässt sich als Compliance by Design beschreiben: Organisationen überprüfen Anforderungen nicht nachträglich, sondern integrieren sie von Beginn an in Prozesse, Rollen und Systeme. So entwickelt sich Governance von einer nachgelagerten Prüfaktivität zu einer laufenden Steuerungsfunktion.

Automatisierung als Voraussetzung

Mit wachsender Regulierungsdichte stellt sich eine pragmatische Frage: Wie bleibt integrierte Governance handhabbar? Die Antwort liegt in der gezielten Nutzung von Automatisierung. Sie sorgt dafür, dass Kontrollen, Aufgaben und Evidenzen im Arbeitsfluss entstehen – nicht als manuelle Nacharbeit. Entscheidend ist dabei die Reihenfolge: Nicht Technologie definiert Governance, sondern Governance definiert sinnvolle Automatisierung.

Ohne Automatisierung kippt integrierte Governance unweigerlich wieder in additive Zusatzarbeit.[9] Künstliche Intelligenz kann dabei unterstützen – etwa durch  Mustererkennung oder Priorisierung. Die Verantwortung für Entscheidungen über Risiken und Maßnahmen verbleibt jedoch bewusst beim Menschen.

Unterschiedliche Perspektiven auf einen gemeinsamen Kern

IKS, ESG und DORA stehen exemplarisch für unterschiedliche regulatorische Zielsetzungen. Sie beruhen jedoch auf demselben grundlegenden Steuerungsmechanismus: Organisationen identifizieren Risiken, leiten daraus Kontrollen ab, überprüfen deren Wirksamkeit und steuern Abweichungen gezielt.[5, 9]

Der Unterschied liegt dabei nicht im Mechanismus, sondern im jeweiligen Blickwinkel. In einem integrierten Governance-Modell werden diese Anforderungen zu unterschiedlichen Perspektiven auf einen gemeinsamen Steuerungskern. Das IKS übernimmt in diesem Kontext eine verbindende Rolle und ermöglicht konsistente Aussagen über Steuerungsfähigkeit –unabhängig davon, welcher regulatorische Auslöser im Vordergrund steht.

Fazit

In einer Welt permanenter Regulierung ist Governance keine Compliance-Frage mehr, sondern eine Führungsentscheidung.[3] Organisationen, die Governance additiv aufbauen, erzeugen Komplexität. Organisationen, die Governance integrieren, schaffen Übersicht, Wirksamkeit und Entscheidungsfähigkeit.

Ein integriertes Governance-Modell nutzt einen zentralen Ordnungsrahmen, verankert regulatorische Anforderungen direkt in den Prozessen, macht Wirksamkeit kontinuierlich sichtbar und skaliert durch Automatisierung statt durch zusätzlichen Aufwand. So entwickelt sich Governance vom Pflichtprogramm zum aktiven Führungsinstrument.

Richtig verstanden wird Governance damit zum Enabler für Skalierung: Nur Organisationen, deren Steuerungsmodelle stabil, integriert und wirksam sind, können wachsen, ohne dass Komplexität und Regulatorik ihre Handlungsfähigkeit überlagern.

Ausblick

Mit diesem integrierten Verständnis endet Governance nicht an den Grenzen der eigenen Organisation. Anforderungen wie DORA, NIS-2 oder ESG verlagern Risiken zunehmend in die Lieferkette. Damit wird integrierte Governance zur Voraussetzung für eine belastbare Steuerung von Lieferketten.

Der abschließende Beitrag dieser Artikelreihe in der nächsten Ausgabe der IT-SICHERHEIT richtet den Blick konsequent nach außen – auf Abhängigkeiten, Partner und die Frage, wie Governance auch über Organisationsgrenzen hinweg wirksam gestaltet werden kann. Denn: Sicherheit, Resilienz und Verantwortung enden nicht am Werkstor.

Literatur

[1] European Union. (2022). Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS 2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj
[2] European Union. (2022). Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector (DORA). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
[3] OECD. (2021). OECD Regulatory Policy Outlook 2021. OECD Publishing. https://doi.org/10.1787/38b0fdb1-en
[4] European Commission. (2023). Better Regulation Toolbox. Publications Office of the European Union. https://commission.europa.eu/better-regulation-toolbox
[5] Committee of Sponsoring Organizations of the Treadway Commission (COSO). (2017). Enterprise risk management: Integrating with strategy and performance. COSO. www.coso.org/enterprise-risk-management
[6, 7, 8] IT SICHERHEIT. (2025). Von der Norm zur Wirkung (Teil 1–3). Ausgabe 4/2025, S. 42–48; Ausgabe 5/2025, S. 42–47; Ausgabe 6/2025, S. 44–50
[9] Committee of Sponsoring Organizations of the Treadway Commission (COSO). (2013). Internal control – Integrated framework. COSO. www.coso.org/guidance-on-ic
[10] Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW). (2022). IDW Prüfungsstandard 980: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (Neufassung September 2022). IDW Verlag.
[11] International Organization for Standardization & International Electrotechnical Commission. (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.ISO.
[12] International Organization for Standardization. (2015). ISO 9001:2015 — Quality management systems — Requirements. ISO.
[13] Deming, W. E. (1986). Out of the crisis. MIT Press.