Q
terug

Blog-serie agile GRC; De ‘three lines of defense’ in een agile omgeving

Hoewel niemand precies weet wie het “three lines of defense model” ontwikkeld en bekend gemaakt heeft, is het inmiddels wel een standaard in het vakgebied GRC geworden. Veel organisaties hanteren tegenwoordig dit model om de verantwoordelijkheden op het gebied van risico’s en compliance te beleggen. In dit model is de eerste lijn (“de operationeel verantwoordelijke”) eindverantwoordelijk voor profit & loss, risico’s en risicobeheersing en het voldoen aan wet- en regelgeving van de bedrijfsprocessen. De tweede lijn ondersteunt en daagt de eerste lijn uit. Ook bereidt de tweede lijn de organisatiebrede kaders en beleidslijnen voor. De derde lijn (“assurance”) bewaakt samenhang en samenspel tussen eerste en tweede lijn en toetst aan de hand van een normenkader of de organisatie “in control” is.

Waar liggen deze verantwoordelijkheden in een Agile Enterprise?

Een Agile Enterprise is een snel evoluerende, flexibele en robuuste organisatie die snel kan reageren op onverwachte uitdagingen, evenementen en kansen. Om dit te waarborgen, heeft een agile onderneming een platte organisatiestructuur en worden bevoegdheden niet altijd geconcentreerd op één plek. Wat betekent dit uitgangspunt voor de inrichting van een agile onderneming voor het beleggen van de verantwoordelijkheden van de “three lines of defense”? Om achteraan te beginnen: voor de derde lijn verandert er niet zo veel. De Auditor toetst de effectiviteit van het interne beheersingsraamwerk en van de eerste en tweede lijn en rapporteert daarover aan de Raad van Bestuur (en achterliggend eventueel aan een Audit Commissie en Raad van Commissarissen). Maar voor de eerste en met name voor de tweede lijn verandert er wel degelijk wat.

Eerstelijns verantwoordelijkheden

De “eerste lijn” verantwoordelijkheden komen bij de Product Owner(s) (PO) te liggen. Bij de PO omdat die bij productontwikkeling, in geval van tegenstrijdige (of in ieder geval “competitieve”) belangen, bepaalt wat prioriteit krijgt: het behalen van commerciële doelstellingen of het naleven van wet- en regelgeving.

In de praktijk betekent dit dat de PO en zijn team de risico’s inventariseren, weten welke beheersmaatregelen (“controls”) zij moeten inrichten en wat de randvoorwaarden en kaders vanuit beleid, wet- en regelgeving zijn. Wanneer de PO en zijn team al vanaf het allereerste begin privacy aspecten meenemen in features en user stories geven zij aantoonbaar invulling aan de “Data Protection by design” vereiste van de AVG (Algemene Verordening Gegevensbescherming). Soms zijn deze vereisten hoog en conceptueel, soms kunnen zij specifiek en gedetailleerd zijn, bijvoorbeeld als het aankomt op het inrichten van bepaalde Security Baselines. Door die vereisten op te nemen in de Definition of Done kan de PO aantoonbaar maken dat zij onderdeel uitmaken van het voortbrengingsproces, de producten en de besluitvorming in het proces. Daarvoor is het dus van belang dat de PO en de teamleden weten wat het beleid en de kaders zijn, met welke wet- en regelgeving zij rekening moeten houden. En bovendien, dat zij zich bewust zijn van de gevolgen van het eventueel niet naleven daarvan.

De verantwoordelijkheid bij de PO leggen betekent niet dat het management kan “weglopen voor signalen”; uiteindelijk ligt daar de eindverantwoordelijkheid. Maar dat betekent wel dat er een goed functionerend escalatie- en cascade-mechanisme moet zijn ingericht, zodat het zeker is dat het management de signalen ontvangt.

Tweedelijns verantwoordelijkheden

Dan komt de tweede lijn in beeld. Om te beginnen is de tweede lijn verantwoordelijk voor de kaders en richtlijnen op het gebied van bijvoorbeeld Risico Management, Compliance en Informatiebeveiliging. Ook zal de tweede lijn de eerste lijn uitdagen: zijn de uitkomsten van bijvoorbeeld risico analyse en de genomen maatregelen voldoende en juist? Daarnaast adviseert en ondersteunt de tweede lijn de PO en de teams vakinhoudelijk, door bijvoorbeeld bij complexe vraagstukken te helpen om aan de richtlijnen te voldoen. Hoe de eerste en tweede lijn zijn ingericht is afhankelijk van de organisatie, voornamelijk de omvang, het volwassenheidsniveau en de complexiteit van de producten en/of diensten is daarin bepalend.

De “professional group GRC”

Een manier om dit in te richten, voor een Agile Enterprise, is door de 2e lijns verantwoordelijkheid in een competence group te laten landen. Deze competence group geeft de richtlijnen en bepaald deze in samenspraak met de teams. De leden van een competence group zijn geen onderdeel van de teams.

Een andere manier is om de verantwoordelijkheid te leggen in een ‘professional group’ oftewel de ‘GRC vakgroep’. Hierin zitten vertegenwoordigers uit elk van de teams die de verantwoordelijkheid hebben om GRC binnen hun team te incorporeren. Deze professional group bepaald gezamenlijk ook de richtlijnen en regels en voeren die in hun eigen team uit. Bij dit laatste voorbeeld is de 1e lijn de verantwoordelijkheid van het gehele team en de 2e lijn is de verantwoordelijkheid van het teamlid dat GRC vertegenwoordigd. Belangrijk hierin is dat de oude staf afdeling niet meer bestaat en dat deze verantwoordelijkheid dus wordt gesplitst en neergelegd bij de teams, product owner en een ‘professional group’ of eventueel een competence group. Welke wijze van inrichten de beste is, verschilt per organisatie.

Maar hoe gaan we dit dan verder inrichten en beleggen? En hoe geven we dan verder vorm aan de samenwerking tussen de eerste lijn, de PO’s en de uitvoerende teams, en de tweede lijn. Daarover en meer in de volgende blog.