Agile en risicobeheersing op gespannen voet?
Risicobeheersing bij agile organisaties is een uitdaging, zo leert de praktijk. En leidt regelmatig tot problemen. Hoe houd je de controle over een agile omgeving?
De traditionele, stapsgewijze manier van risicomanagement en audit past niet in een agile omgeving. Risico, controle en interne audit (tweede en derde verdedigingslinie in een three lines of defence model) moeten dan ook hun aanpak moderniseren en meer proactief handelen. Tegelijkertijd moeten de autonoom opererende agile-teams meer doen om aantoonbaar controle te hebben. Kortom, samenwerking tussen beide werelden is noodzakelijk.
Verlies banklicentie
Het probleem is dat de focus op ontwikkeling van nieuwe diensten en producten soms ten koste gaat van de betrouwbaarheid en veiligheid. Dat leidt tot een gebrek aan risicobeheersing in agile organisaties en zorgt er bijvoorbeeld boor dat bedrijven niet (voldoende) kunnen aantonen dat ze de controle hebben of voldoen aan wet- en regelgeving. Teams zijn namelijk soms zo autonoom dat ze zelf bepalen of ze de ontwikkelde dienst of het product goed genoeg vinden, afhankelijk van de definition-of-done. Maar worden daar wel alle risico's mee afgedekt? En denken teams wel na over risicobeheersing als ze iets nieuws aan het ontwikkelen zijn? In zo'n aanpak komt de auditor als laatste aan bod. Te laat. Zo'n aanpak levert niet alleen intern pittige discussies op, het maakt het tevens lastig om aan te tonen dat het nieuw ontwikkelde product voldoet aan het interne controleraamwerk. Als je bijvoorbeeld als financiële dienstverlener niet bij de DNB kunt aantonen dat alle risico's beheerst zijn, heb je een probleem. Dat kan tot uitstel of afstel leiden van de lancering van het nieuwe product of zelfs tot verlies van de banklicentie.
De oplossing zit in het combineren van het beste van beide werelden en samenwerking om zo een risicobestendige innovatiemachine te worden. Drie stappen brengen je naar dat niveau: pas een consistente manier van werken toe in het opleveringsproces, automatiseer zo veel mogelijk processtappen in dit proces en wordt datagedreven om snel te kunnen oordelen, bijsturen en verbeteren. Ik zal deze drie stappen kort uitleggen.
1. Pas een consistente manier van werken toe in het (agile) voortbrengingsproces
Laat alle teams – dus ook audit, risicomanagement en control – werken volgens dezelfde principes, waarbij het niet uitmaakt welke methodiek je hierbij hanteert. Daarmee breng je de controlecycli in lijn met de voortbrengingscycli van een agile team. Dat vergt een fundamenteel andere houding. De tweede en derde lijn zullen proactief moeten zijn; met de teams meekijken en waar nodig de teams attenderen op mogelijke risico's. Dus weg met papieren controles vanuit de ivoren toren, maar waarnemen op basis van empirie. En door aanwezig te zijn op de momenten waar het toe doet, verlies je niet meteen je onafhankelijkheid als auditor. Het zorgt juist voor een betere risicobeheersing, meer waarborging en een beter eindproduct.
2. Automatiseer zoveel mogelijk processtappen
Het klinkt simpel: hoe beter je handmatige processtappen automatiseert, hoe kleiner de kans op (menselijke) fouten en hoe groter de verbetering van de kwaliteit. De grootste winst ligt in het automatiseren van het opleveringsproces (continuous integration and deployment). Risico, audit en controle kunnen de werking van beheersmaatregelen snel en met weinig moeite vaststellen, doordat in het voortbrengingsproces automatische controles in gebruik zijn. Ook biedt het automatiseren van het opleveringsproces de kans om realtime risicobeheersing toe te passen en kunnen risicomanagers, controllers en auditors doorlopend monitoren en bijsturen. Dit verlangt een andere manier van werken. Ook zij moeten hun eigen proces automatiseren en een volledig datagedreven audit introduceren. Dit vergt durf en lef van executives, maar uiteindelijk resulteert dit in snellere time-to-market en kwalitatief betere en veiligere producten.
3. Wordt datagedreven om snel te kunnen oordelen, bijsturen en verbeteren
Organisaties werken nog amper echt fact-based en sturen nog vaak op onderbuikgevoel. Dit terwijl het gebruik van goede data en meetinstrumenten de belangrijkste ‘verbetermotor' is voor elke organisatie. Deze data kun je gebruiken als onderwerp van discussie tussen de tweede en derde lijn en de organisatie. Wat zien we? Hoe komt dat? En hoe kunnen we dit beter doen? Ook de auditfunctie moet volledig datagedreven werken en de beschikbare data uit het bedrijfsproces zo veel als mogelijk benutten in de oordeelsvorming. Dat betekent integrale audits uitvoeren op basis van (advanced) data-analytics, het meedenken bij de inrichting van de juiste monitoring controles en de audit werkwijze zelf meer datagedreven maken. Ik zie dat dit nog maar beperkt wordt toegepast, maar een volledig datagedreven controlecyclus helpt om met hetzelfde aantal professionals meer impact te maken in een organisatie en hiermee relevant te blijven voor de organisatie. Datagedreven werken is noodzakelijk om vast te stellen of je de ‘juiste dingen' ontwikkelt en de ‘dingen juist' ontwikkelt.
Het nemen van deze stappen is niet makkelijk en vereist een onafhankelijke blik van buitenaf, omdat organisaties vaak zelf niet zien wat er ontbreekt binnen de eigen organisatie. Maar als het lukt, heb je de controle over je agile organisatie, is aantoonbaarheid een eitje en werken audit en de organisatie echt als één team samen.
Door: Jerrel de Paauw, Agile Audit expert bij PA Consulting Group
