Q
terug

Wendbaar én in control: hoe je Governance, Risk en Compliance toepast in een agile enterprise

Iedere organisatie wil zijn informatiebeveiliging en cybersecurity op orde hebben en voldoen aan wet- en regelgeving. Hoe doe je dat in een agile-werkomgeving, waarin je verantwoordelijkheden zo laag mogelijk in de organisatie houdt?

Datalekken, ransomware en andere oplichting, nalatigheid bij illegale activiteiten… Je wilt hier als organisatie zo ver mogelijk bij wegblijven. Het op orde hebben van Governance, Risk en Compliance (GRC) is voor iedere organisatie dan ook noodzakelijk. Dat lijkt op gespannen voet te staan met een agile werkwijze.. Bij deze manier van werken leg je immers zoveel mogelijk verantwoordelijkheden zo laag mogelijk in de organisatie om eigenaarschap en snelle besluitvorming mogelijk te maken. Combineer je GRC met agile teams, dan krijg je overlappende en soms dubbelingen in de GRC-activiteiten. Dat heeft een negatieve impact op de operationele kosten en kan de zaak vertragen. De kunst is dan ook om beleid, processen en andere beheersmaatregelen in te richten zodat je wendbaar én in control bent.

Verkeersregelaar in plaats van slagboom

Dat vereist een andere rol van GRC. In een traditionele organisatie kun je GRC vergelijken met tolpoorten waar je langs moet om stempels te halen. De slagboom gaat bij iedere poort omhoog zodra je de juiste documenten hebt overlegd en daarmee voldoet aan wet- en regelgeving. In een agile organisatie zijn de tolpoorten beter te vervangen door een verkeersregelaar: iemand die de doorstroming verzorgt, ofwel de teams begeleidt in het voldoen aan wet- en regelgeving. Daarbij leg je niet op dat iets niet mag tenzij is voldaan aan bepaalde eisen. In plaats daarvan bied je hulp om eraan te voldoen en is het antwoord ‘ja mits…’.

Daarbij is het heel belangrijk dat de GRC rol is afgestemd op de volwassenheid van de organisatie. Bij een meer traditionele organisatie die volgens de waterfall- of scrum-methode werkt, past een traditionelere manier om GRC in te richten. Bij teams die met value streams werken, kun je een competence center inrichten binnen een afdeling die nog wel eindverantwoordelijk is voor CRG. Bij een volledig agile organisatie, oftewel een agile enterprise, kun je GRC beleggen in de teams.

Wie is eindverantwoordelijk?

De vraag is nu welke aanpak hierbij werkt. Het risico is daarbij dat de teams alle kanten op gaan bewegen. Het is de kunst om de teams ‘uit te lijnen’ op basis van een gemeenschappelijke visie en kaders. Dan weten de teams waar ze wel en geen vrijheid in hebben. Als je die kaders en richtlijnen hebt, heb je ook veranderende rollen nodig in de agile enterprise. In een agile enterprise is één persoon eindverantwoordelijk voor het voldoen aan de visie en kaders van GRC. Dat hoeft niet de scrummaster te zijn, wiens rol het is om toe te zien op het proces. Deze verantwoordelijken van ieder team vormen samen een ‘professional group’ en zetten gezamenlijk de visie en kaders neer voor GRC.

GRC in de praktijk: Definition of Done

Tot zover de theorie, maar hoe zorg je nu dat je kunt bewijzen dat je voldoet aan de CRG-kaders? Wat bij agile teams goed werkt, is de Definition of Done. Daarin beschrijf je de afspraken die je maakt waaraan werk, activiteiten en mensen moeten voldoen en. oor dit af te vinken bij al het werk dat wordt gedaan, krijg je als track & trace de bewijslast dat je het hebt gedaan. Vaak werkt het goed om de Definition of Done op verschillende niveaus vast te stellen. Je hebt immers organisatiebreed wet- en regelgeving waar je aan moet voldoen, maar ook per team specifieke wensen en eisen waaraan je moet voldoen. Dat leidt tot deze gelaagdheid. Dat wil niet zeggen dat de GRC-afdeling helemaal overbodig wordt. De organisatie heeft de bekende drie lines of defense waar je aan vast moet houden. Hierin zie je het verschil tussen de klassieke manier van werken en de agile-manier.

Conclusie: kaders stellen en experimenten aanmoedigen

Het allerbelangrijkste bij het toepassen van GRC in de organisatie is zorgen dat je kaders stelt. Hoe duidelijker is waar je wel en niet aan mag voldoen, hoe duidelijker het is waar de vrijheid zit en hoe je moet en mag manoeuvreren. Daarbij is het belangrijk om dit af te stemmen op het volwassenheidsniveau van de organisatie. Met een Definition of Done, bij voorkeur geautomatiseerd, verzamel je bewijs. Sommige teams zullen graag experimenteren. Het is goed om die teams meer vrijheid te geven. Er worden ongetwijfeld fouten gemaakt, maar hoe beter de kaders zijn vastgesteld, hoe beter het team kan manoeuvreren.

Auteur: Gwendolyne Brink

 


 

download ‘Agile GRC in 3 minuten’poster >>

 

Agile-and-GRC-in-2-minutes-Posterx1000pxw