Q
terug

Blog-serie agile GRC; Passen governance, risk en compliance wel in een agile organisatie?

‘Zijn wij wel in staat om in control te blijven als de hele organisatie agile werkt?’ is een zorg waar veel governance-, risk en compliance (GRC) professionals mee rondlopen en waar veel organisaties mee worstelen. Wij krijgen regelmatig de vraag hoe ze weer grip krijgen op hun agile teams: ‘Ze gaan volledig hun eigen gang en hebben geen oog meer voor de GRC processen.’ Zijn deze zorgen terecht en kloppen de aannames? De Frameworks zoals SAFe, LeSS en bijvoorbeeld Nexus geven aan hoe dergelijke GRC processen geborgd zouden moeten worden, maar uit de praktijk blijkt wel dat dit geen gemakkelijke opgave is. Door middel van een serie aan blogs willen we u een aantal handvatten geven om tot een goede borging van GRC in een agile omgeving te komen.

‘Agile teams gaan volledig hun eigen gang’

Agile initiatieven beginnen vaak op teamniveau waardoor agile teams verschillende ideeën ontwikkelen over hoe zij hun werk doen en wat belangrijk is. Teams richten zich dan vaak op de vrijheden zoals aangegeven in het agile manifesto. Verliezen teams hun autonomie als ze ook invulling moeten geven aan door de organisatie “opgelegde richtlijnen en kaders” zoals o.a. wettelijke en financiële verplichtingen? Wat doet de klassieke toepassing van de controls met agile teams? Hoe kunnen agile teams en GRC officers elkaar vinden om te zorgen voor snelle ontwikkeling van waarde en tegelijk te voldoen aan de eisen van GRC.

Passen de GRC processen wel in een Agile organisatie?

In een Agile organisatie wordt waarde gecreëerd voor klanten, er ontstaat een dusdanige platte structuur waardoor snel en wendbaar gereageerd kan worden op marktvragen. Het is noodzakelijk dat processen, beleid en regels zo zijn ingericht dat deze wendbaarheid ondersteund wordt. Tegelijkertijd moeten processen, beleid en regels er voor zorgen dat de organisatie compliant is aan (strenger wordende) wet- en regelgeving, denk bijvoorbeeld aan de AVG die op iedere organisatie impact heeft. De GRC processen beogen de organisatie te helpen hun doelen te behalen binnen de gestelde compliance, risico en governance regels. De GRC processen zijn daarom een belangrijke activiteit in het voortbrengingsproces. De activiteiten binnen deze processen, zijn vaak onderdeel van interne audit en worden uitgevoerd door Compliance and Legal officers. Door de beoordelende rol van GRC officers, worden ze vaak als de politieagent van de organisatie gezien. Vaak wordt het vastleggen van bewijsmateriaal over het gevolgde proces als een vertragende of beperkende factor ervaren waar snelheid van levering gewenst is. Dat voedt de zorg of klassieke GRC processen nog wel in een agile organisatie passen. Als organisaties doorgaan met het uitvoeren van GRC controls in de oorspronkelijke vorm, dan lijkt er met de komst van de Agile beweging en Agile teams een punt te komen waarop het oude control mechanisme niet langer toepasbaar zijn. Spreken we hier van bijtende belangen of zijn ze verenigbaar?

Om GRC te laten aansluiten op de Agile organisatie is het van belang de controls en de waarde ervan te begrijpen. De controls moeten zodanig worden vertaald, dat de implementatie ervan het agile manifest en haar principes niet in de weg staat. Dit betekent ook dat de teams verantwoordelijk zijn voor de toets op het voldoen aan deze controls! De GRC officer is dan meer een gids in plaats van een politie agent. Gezien de steeds grotere mate van verantwoordelijkheid binnen de teams wil je de controls en de toetsing ervan vastleggen en automatiseren. Zo ontstaat er een situatie waarin je ‘continuously compliant’ bent.

Om Continuous Compliance te bereiken zijn een tweetal elementen van belang: het volwassenheidsniveau van de organisatie met agile werken en de urgentie om ermee te starten. In Agile-organisaties proberen we zo veel mogelijk verantwoordelijkheid laag in de organisatie te beleggen om eigenaarschap en snelle besluitvorming te bereiken. GRC moet door de hele organisatie worden gevoeld en uitgevoerd. Het moet deel uitmaken van het organisatie-DNA. De ‘Three Lines of Defense’ (3LoD) gedachte is hiervoor meer dan alleen maar een organisatiestructuur en het benoemen van rollen; het is een andere manier van samenwerken in de agile organisatie. Deze aanpak draagt bij aan de versterking van autonomie en risicobewustzijn, het nemen van verantwoordelijkheid voor het managen van risico’s en interne beheersing, en uiteindelijk aan het verder optimaliseren en integreren van GRC in de agile organisatie.

Quint bouwt samen met de teams en GRC-verantwoordelijken aan oplossingen om de rol van GRC in het DNA van de teams te verweven. Belangrijke aspecten hierin zijn de eerder genoemde ‘Three lines of defense’, het onderlinge begrip over nut en noodzaak van oplosrichtingen in de automatisering (o.a. CI/CD) en de processen om compliant te blijven aan op de organisatie van toepassing zijnde controles en afspraken.