Die Risiko-Heat-Map, die nichts vorhersagt
In einem Aufsichtsrat eines mittelgroßen Industrieunternehmens steht der jährliche Risikobericht auf der Agenda. Der Prüfungsausschuss hat solide vorgearbeitet. Die Risiko-Heat-Map ist sauber aufgebaut: Eintrittswahrscheinlichkeit auf der einen Achse, Schadenshöhe auf der anderen. Cyber-Risiken stehen oben rechts, Lieferkettenrisiken in der Mitte, Währungsrisiken unten links. Der Wirtschaftsprüfer hat keine Beanstandungen. Die interne Revision meldet grünes Licht bei den wesentlichen Kontrollen. Die Tagesordnung wird abgearbeitet, der Punkt wird abgehakt.
Sechs Monate später steht dasselbe Unternehmen vor einer existenziellen Krise. Nicht weil ein Risiko aus der Heat-Map eingetreten wäre, sondern weil drei Dinge gleichzeitig passierten, die einzeln beherrschbar gewesen wären: ein strategischer Großkunde kündigte an, die Lieferantenstruktur zu diversifizieren; der Vorstandsvorsitzende verlor das Vertrauen des Aufsichtsratsvorsitzenden in einer persönlichen Auseinandersetzung; und ein kulturelles Problem in der Entwicklungsabteilung, das seit Jahren bekannt, aber nie adressiert worden war, führte zum Abgang dreier Schlüsselpersonen innerhalb eines Monats.
Keines dieser Risiken stand in der Heat-Map. Nicht, weil jemand nachlässig gewesen wäre — sondern weil das Instrument dafür nicht gebaut ist. Die Heat-Map erfasst kategorisierbare, quantifizierbare Einzelrisiken. Was sie nicht erfasst, sind die Wechselwirkungen zwischen Risiken, die Erosion von Vertrauen und Kultur, und die strategischen Verwerfungen, die sich langsam aufbauen und dann plötzlich entladen. Kurz: Sie erfasst die komplizierte Domäne. Die komplexe Domäne bleibt unsichtbar.
Der Prüfungsausschuss: Meister der komplizierten Domäne
Lassen Sie mich klarstellen: Der Prüfungsausschuss ist eine der bedeutendsten Errungenschaften moderner Corporate Governance. Er stellt sicher, dass Finanzberichte korrekt sind, dass interne Kontrollen funktionieren, dass Compliance-Risiken systematisch überwacht werden. In der komplizierten Domäne des Cynefin-Frameworks — dort, wo Ursache und Wirkung existieren und durch Expertise erkennbar sind — ist er das richtige Instrument. Sense – analyze – respond: Informationen sammeln, prüfen, bewerten, handeln.
Und genau darin liegt das Problem. Der Prüfungsausschuss ist so gut darin, die komplizierte Domäne zu bearbeiten, dass Boards dazu neigen, ihm immer mehr Aufgaben zuzuweisen — auch solche, die in einer anderen Domäne liegen. Cyber-Risiken, ESG-Compliance, KI-Governance, Datenschutz: All das landet zunehmend beim Prüfungsausschuss, weil er der einzige Ausschuss mit einer systematischen Arbeitsweise für Risikothemen ist. Eine Erhebung der Harvard Law School und des Conference Board zeigt, dass viele Boards die primäre Risikoaufsicht weiterhin dem Prüfungsausschuss zuweisen — obwohl die tatsächlich strategierelevanten Risiken zunehmend den Charakter komplexer, vernetzter Herausforderungen haben, die sich einer isolierten Ausschussbehandlung entziehen.
Oliver Wyman hat in einer Analyse der Board-Strukturen nach der COVID-Krise einen zentralen Befund formuliert, der das Problem auf den Punkt bringt: Während die vertikale Risikoaufsicht durch Ausschüsse funktioniert, fehlt den meisten Boards eine horizontale Perspektive — die Fähigkeit, Risiken über Ausschussgrenzen hinweg integriert zu betrachten und mit strategischen Entscheidungen zu verknüpfen. Der Prüfungsausschuss überwacht finanzielle Risiken. Der Personalausschuss bewertet Vergütungsrisiken. Der Nominierungsausschuss prüft Governance-Risiken. Aber die Frage, wie der Verlust eines Schlüsselkunden, ein Führungskonflikt im Vorstand und eine kulturelle Erosion in der Entwicklung zusammenwirken — diese Frage hat keinen institutionellen Ort.
Was dem Board fehlt: Ein Modell der vier Räume
In der Arbeit mit Führungsteams hat sich eines unserer zentralen Konzepte am xm-institute als besonders wirksam erwiesen: das Modell der „Four Spaces”. Es beschreibt vier grundlegend verschiedene Räume, in denen Führung stattfindet — und es lässt sich mit bemerkenswerter Klarheit auf die Arbeit von Aufsichtsgremien übertragen.
Der erste Raum ist der Steuerungsraum: der Ort, an dem Entscheidungen getroffen, Strategien verabschiedet und Ressourcen allokiert werden. Hier geht es um Macht, Richtung und Kontrolle. Im Aufsichtsrat ist das die formale Sitzung, der Beschluss, die Abstimmung. Die meisten Governance-Kodizes beschreiben ausschließlich diesen Raum.
Der zweite Raum ist der operative Raum: der Ort, an dem die Sacharbeit stattfindet, Informationen verarbeitet und Analysen erstellt werden. Im Aufsichtsrat ist das die Ausschussarbeit — der Prüfungsausschuss, der Personalausschuss, der Strategieausschuss. Hier wird das Material erarbeitet, auf dessen Basis im Steuerungsraum entschieden wird. Dieser Raum ist bei den meisten Boards gut ausgebaut.
Der dritte Raum ist der Beziehungsraum: der Ort, an dem Vertrauen aufgebaut, Konflikte bearbeitet und die informellen Dynamiken im Gremium gestaltet werden. Im Aufsichtsrat ist das das Abendessen nach der Sitzung, das Vieraugengespräch zwischen dem Vorsitzenden und einem kritischen Stakeholder, die informelle Abstimmung vor einer kontroversen Entscheidung. Dieser Raum ist für die Funktionsfähigkeit des Gremiums oft entscheidender als der Steuerungsraum — aber er ist nirgends kodifiziert und wird nirgends systematisch gestaltet.
Der vierte Raum ist der Reflexionsraum: der Ort, an dem das Gremium über sich selbst nachdenkt — über seine Arbeitsweise, seine blinden Flecken, seine Dynamiken. Im Aufsichtsrat wäre das der Moment, in dem sich das Gremium fragt: Stellen wir die richtigen Fragen? Haben wir die richtigen Kompetenzen für die Herausforderungen, die vor uns liegen? Gibt es Themen, die wir systematisch vermeiden? Dieser Raum existiert in den meisten Boards nicht. Die jährliche Effizienzprüfung, die der DCGK empfiehlt, kratzt bestenfalls an der Oberfläche.
Die Ausschuss-Architektur bedient zwei von vier Räumen
Wenn man die klassische Drei-Ausschuss-Struktur — Prüfungsausschuss, Personalausschuss, Nominierungsausschuss — durch die Linse der vier Räume betrachtet, wird das strukturelle Defizit sichtbar: Die Ausschüsse bedienen den operativen Raum. Die formale Aufsichtsratssitzung bedient den Steuerungsraum. Aber der Beziehungsraum und der Reflexionsraum haben kein institutionelles Zuhause.
Das hat konkrete Konsequenzen. Nehmen wir einen Aufsichtsrat, in dem ein neues Mitglied aus dem Umfeld eines aktivistischen Investors sitzt. Formal ist alles korrekt — das Mitglied wurde ordnungsgemäß gewählt, es hat die nötige Qualifikation, es nimmt an den Sitzungen teil. Aber informell verändert seine Anwesenheit die Dynamik des Gremiums: Andere Mitglieder sprechen weniger offen, Themen werden taktischer diskutiert, der Vorsitzende muss bei jeder Formulierung mitdenken, wie sie nach außen wirkt.
Wo wird diese Dynamik bearbeitet? Im Prüfungsausschuss sicher nicht. Im Personalausschuss auch nicht. In der formalen Sitzung schon gar nicht. Wenn sie überhaupt bearbeitet wird, dann im informellen Beziehungsraum — beim Abendessen, im Telefonat, im Flurgespräch. Aber das hängt dann vom Geschick des Vorsitzenden ab, nicht von der Governance-Struktur.
Ein ähnliches Muster zeigt sich bei der Frage der blinden Flecken. Ein Aufsichtsrat, der seit Jahren in derselben Zusammensetzung arbeitet, entwickelt unweigerlich kollektive Annahmen, die nicht mehr hinterfragt werden. Vielleicht die Annahme, dass das Geschäftsmodell im Kern stabil ist. Oder die Annahme, dass der Vorstandsvorsitzende die Transformation im Griff hat. Diese Annahmen werden nie explizit ausgesprochen — sie wirken im Hintergrund und formen, welche Fragen gestellt werden und welche nicht. Ein Reflexionsraum, in dem das Gremium diese Annahmen periodisch auf den Prüfstand stellt, könnte ein wirksames Korrektiv sein. Aber er müsste bewusst geschaffen und geschützt werden — was voraussetzt, dass jemand bereit ist, den Raum zu öffnen und die Unbequemlichkeit auszuhalten, die mit echter Reflexion einhergeht.
Ein konkreter Vorschlag: Das Board als Vier-Räume-System gestalten
Wie könnte eine Governance-Architektur aussehen, die alle vier Räume bedient? Nicht als Revolution der bestehenden Strukturen, sondern als ihre bewusste Erweiterung.
Der Steuerungsraum bleibt, was er ist: die formale Aufsichtsratssitzung mit ihren Beschlüssen, Abstimmungen und Protokollen. Hier ändert sich nichts.
Der operative Raum — die Ausschussarbeit — bleibt ebenfalls bestehen, sollte aber bewusster darauf geprüft werden, ob die Ausschussstruktur noch zur Risikolandschaft des Unternehmens passt. Paul Washington vom Conference Board hat kürzlich die provokante These aufgestellt, dass die seit Jahrzehnten stabile Drei-Ausschuss-Struktur der meisten Boards nicht mehr zeitgemäß sei — und dass Boards systematisch prüfen sollten, ob ihre Ausschüsse die tatsächlich relevanten Risiken abdecken oder nur die historisch gewachsenen. Der Gedanke verdient Beachtung: Ein Modeunternehmen, das vor einer digitalen Transformation steht, braucht möglicherweise einen Technologie-Ausschuss mehr als einen Nominierungsausschuss in seiner klassischen Form.
Für den Beziehungsraum braucht es kein neues Gremium, sondern bewusst gestaltete Formate. Manche Boards praktizieren bereits „Executive Sessions” — Sitzungen ohne Management, in denen die Aufsichtsratsmitglieder unter sich sind. Dieses Format ließe sich weiterentwickeln: zu einem geschützten Raum, in dem nicht nur über den Vorstand gesprochen wird, sondern auch über die Dynamik im Gremium selbst. Wer spricht zu wenig? Welche Allianzen bilden sich? Wo entsteht Misstrauen? Ein erfahrener Vorsitzender moderiert diese Gespräche intuitiv. Aber es sollte nicht von seiner Intuition abhängen.
Für den Reflexionsraum schlage ich ein Format vor, das meiner Beobachtung nach in der Praxis am wirksamsten ist: eine jährliche, extern moderierte Strategiereflexion, die explizit nicht auf die operative Strategie des Unternehmens zielt, sondern auf die Arbeitsweise des Gremiums. Die Leitfragen wären: Welche Annahmen über das Unternehmen und seinen Markt leiten unsere Arbeit — und stimmen sie noch? Welche Themen haben wir im vergangenen Jahr nicht besprochen, die wir hätten besprechen sollen? Gibt es ein Muster in dem, was wir regelmäßig übersehen? In welcher Cynefin-Domäne bewegen wir uns bei den zentralen Entscheidungen gerade — und passt unsere Arbeitsweise dazu?
Das klingt nach viel. Aber es sind im Kern zwei zusätzliche Formate pro Jahr: eine regelmäßige Executive Session mit Beziehungsfokus und eine jährliche Reflexionssitzung. Der Aufwand ist überschaubar. Der Ertrag — ein Gremium, das seine eigenen blinden Flecken kennt und seine Dynamiken bewusst gestaltet — wäre erheblich.
Der Einwand und seine Grenze
Ein naheliegender Einwand: Ist das nicht der Versuch, etwas zu formalisieren, das sich nicht formalisieren lässt? Beziehungen und Reflexion entstehen doch gerade dort, wo keine Struktur ist.
Der Einwand hat einen wahren Kern. Beziehungen lassen sich nicht per Tagesordnungspunkt herstellen. Und echte Reflexion erfordert eine Offenheit, die sich nicht verordnen lässt. Aber die Alternative — den Beziehungsraum und den Reflexionsraum vollständig dem Zufall zu überlassen — ist keine bessere Lösung. Sie bedeutet, dass die Qualität der Governance vom persönlichen Stil des Vorsitzenden abhängt, von der Chemie zwischen den Mitgliedern, vom Glück. Das ist bei einem Instrument, das für die langfristige Steuerung von Unternehmen verantwortlich ist, ein bemerkenswert fragiles Fundament.
Was ich vorschlage, ist keine Formalisierung des Informellen. Es ist die Schaffung von Gelegenheitsstrukturen — ein Begriff aus der Organisationstheorie, der beschreibt, dass bestimmte Arten von Interaktion nicht von selbst entstehen, sondern ermöglicht werden müssen. Ein Abendessen nach der Sitzung ist eine Gelegenheitsstruktur. Eine Executive Session ist eine. Was fehlt, ist die bewusste Gestaltung dieser Strukturen mit einem klaren Zweck.
Cynefin als Kompass für die Board-Architektur
Im Cynefin-Framework unterscheidet man zwischen Governing Constraints — festen Regeln, die Vorhersagbarkeit erzeugen — und Enabling Constraints — Leitplanken, die Raum für Emergenz schaffen. Die klassische Ausschussstruktur ist ein System von Governing Constraints: definierte Zuständigkeiten, feste Tagesordnungen, protokollierte Beschlüsse. Das ist für die komplizierte Domäne genau richtig.
Aber die Räume, die fehlen — Beziehung und Reflexion — gehören in die komplexe Domäne. Hier braucht es Enabling Constraints: einen Rahmen, der Interaktion ermöglicht, ohne sie zu determinieren. Eine Executive Session mit dem Zweck „Gremiumsdynamik” ist ein Enabling Constraint. Eine moderierte Reflexionssitzung mit offenen Leitfragen ist ein Enabling Constraint. Ein regelmäßiges, informelles Briefing des Vorsitzenden an das Gremium zwischen den Sitzungen ist ein Enabling Constraint.
Die Kunst liegt darin, beide Arten von Constraints bewusst zu kombinieren. Ein Board, das nur Governing Constraints hat, funktioniert wie eine Maschine — effizient, aber blind für alles, was sich nicht in Kennzahlen fassen lässt. Ein Board, das nur Enabling Constraints hätte, wäre ein Debattierclub ohne Ergebnisse. Die wirksamen Gremien der Zukunft werden die sein, die beide Modalitäten beherrschen — und die wissen, wann welche gefragt ist.
Fazit: Von der Kontrolle zur Steuerungsfähigkeit
Die Drei-Ausschuss-Architektur der meisten Aufsichtsräte — Prüfung, Personal, Nominierung — war eine angemessene Antwort auf die Governance-Herausforderungen der letzten zwei Jahrzehnte. Sie hat Kontrolle gestärkt, Transparenz erhöht und die Professionalisierung der Aufsichtsratsarbeit vorangetrieben. Aber sie ist eine Architektur für die komplizierte Domäne.
Die Herausforderungen, die jetzt anstehen — vernetzte Risiken, aktivistische Investoren, technologische Disruption, geopolitische Fragmentierung — verlangen eine Erweiterung dieser Architektur. Nicht ihre Abschaffung, sondern ihre Ergänzung um die fehlenden Räume: den Beziehungsraum, in dem Vertrauen und Konflikte bearbeitet werden, und den Reflexionsraum, in dem das Gremium seine eigenen blinden Flecken adressiert.
Das Modell der vier Räume bietet dafür einen konzeptionellen Rahmen. Es ersetzt die bestehende Governance-Logik nicht — es erweitert sie um die Dimensionen, die in einer komplexen Welt den Unterschied zwischen einem kontrollierenden und einem steuernden Gremium ausmachen.
Ein Aufsichtsrat, der nur kontrolliert, kann feststellen, dass etwas schiefgelaufen ist. Ein Aufsichtsrat, der steuert, kann dazu beitragen, dass es nicht so weit kommt. Der Unterschied liegt nicht in der Analyse — die ist in beiden Fällen gut. Der Unterschied liegt in den Räumen, die das Gremium sich selbst eröffnet.
Dies ist der dritte und letzte Teil der Serie „Governance und Komplexität”. Der erste Teil behandelte das Paradox der Unabhängigkeit. Der zweite Teil beschäftigte sich mit Entscheidungsfähigkeit unter Ambiguität. Hinweis: Bei diesem Artikel handelt es sich um keine Rechtsberatung.
Referenzen
Harvard Law School Forum on Corporate Governance. (2023). Risk management and the board of directors. https://corpgov.law.harvard.edu/2023/09/30/risk-management-and-the-board-of-directors-9/
Oliver Wyman & Marsh McLennan. (2021). Effective risk oversight demands board structure evolution. https://www.oliverwyman.com/our-expertise/insights/2021/oct/effective-risk-oversight-demands-board-structure-evolution.html
Snowden, D. J., & Boone, M. E. (2007). A leader’s framework for decision making. Harvard Business Review, 85(11), 68–76.
Washington, P. (2025). Fixing governance gaps: Why the three-committee board structure is outdated. The Conference Board / Onboard Meetings. https://www.onboardmeetings.com/blog/fixing-governance-gaps/
Independent Audit. (2025). Risk oversight: Board or committee? https://www.independentaudit.com/article/risk-management/risk-oversight-board-or-committee/
Spencer Stuart. (2023). Board index: Board trends and practices at S&P 500 companies. Spencer Stuart.
Leave A Comment