Agile en compliance: (Hoe) passen ze bij elkaar?

Hoewel de principes van de Agile manier van werken al tientallen jaren bestaan, is het voor de meeste financiële instellingen een relatief nieuw concept. Geïnspireerd door verhalen uit Silicon Valley en het enorme succes van snel opkomende spelers zoals Spotify, Airbnb en Uber, zijn leidinggevenden in financiële instellingen zich gaan verdiepen in de managementtechnieken achter deze successen. Ze zien dat de wereld om ons heen sneller verandert, productcycli korter worden en traditionele spelers steeds meer bedreigd worden door nieuwkomers op de markt.

Consumenten verwachten snellere diensten, ook van traditionele financiële dienstverleners. Daarom moet de financiële sector zich sneller aanpassen aan de veranderende wereld en wendbaarder worden. Resultaat: Agile heeft zijn intrede gedaan als ontwikkelmethodologie voor systemen en producten. Geen afdelingen meer met hiërarchische en functionele rapportagelijnen, maar Tribes, Squads, Chapters en Guilds. Geen watervalplanning meer, maar Sprints, Backlogs en Minimum Viable Products.

Wendbaarheid en voortdurende verbetering

De laatste jaren zien we dat steeds meer organisaties deze overstap maken. Allemaal vanuit de overtuiging dat het een flexibelere ontwikkeling mogelijk maakt, waardoor producten en diensten sneller beschikbaar zijn voor klanten. In een paar weken iets maken en dan live gaan met een Minimum Viable Product. Op basis van feedback en/of nieuwe inzichten wordt de volgende iteratie gedaan.

Het periodiek herzien van een product of dienst, gevolgd door een project om het aan te passen aan nieuwe eisen is niet langer de standaard.

De mantra van voortdurende verbetering leidt organisaties ook naar de Agile manier van werken. Bestaande producten en diensten moeten sneller worden aangepast aan veranderingen in de markt en veranderende inzichten. Het periodiek herzien van een product of dienst, gevolgd door een project om het aan te passen aan nieuwe eisen is niet langer de standaard. In plaats daarvan zijn producten, diensten en processen voortdurend onderhevig aan veranderingen die in korte iteraties van enkele weken worden ontwikkeld en geïmplementeerd.

Past agile in een sterk gereguleerde sector?

Maar past deze manier van werken wel in een streng gereguleerde wereld als de financiële sector? Iteratieve processen, waarbij aanpassingen aan producten, systemen, etc. elkaar snel opvolgen, roepen natuurlijk de vraag op of wel consequent aan alle eisen wordt voldaan die door wet- en regelgeving worden gesteld. Er is geen uitgebreide documentatie vooraf die in detail definieert hoe een product eruit zal zien. En zonder een fase van uitgebreid testen en evalueren, waarin alles zorgvuldig kan worden bekeken om te zien of aan alle wettelijke eisen wordt voldaan. Het traditionele Product Approval and Review Process ('PARP') werkt niet meer in deze nieuwe context. Hetzelfde geldt voor risk managementafdelingen zoals Compliance in hun traditionele opzet. Ze kunnen niet meer werken zoals vroeger als ze effectief willen blijven. case Hoe zorg je dan voor een effectief beheer van compliance risk in het bedrijf?

Met de introductie van Agile in de financiële sector zien we dat compliance afdelingen het moeilijk hebben.

Met de introductie van Agile in de financiële sector zien we dat de betrokken afdelingen compliance het moeilijk hebben. In de regel zijn Compliance officers risk-avers en zoeken ze zekerheid in alles wat ze doen. Agile introduceert meer onzekerheid en verhoogt daarom het risk niveau, in ieder geval in de hoofden van Compliance mensen. Dit alles leidt tot de neiging van Compliance om minder uitspraken te doen over de status van compliance en dus wordt het steeds uitdagender om een product goed te keuren.

Wij geloven echter dat er mogelijkheden zijn voor organisaties om compliant te blijven, ook als de manier van werken in een bedrijf Agile is. Compliance professionals kunnen adequaat blijven functioneren en toegevoegde waarde bieden in een Agile omgeving. Om te beginnen moeten compliance afdelingen de verandering omarmen en zich aanpassen aan de veranderende wereld. Het niet omarmen van de nieuwe manier van werken zal alleen maar leiden tot minder effectief risk management.

Ten tweede vereist Agile in onze ogen een meer volwassen organisatie in termen van compliance. De tijd en mogelijkheden om Compliance te raadplegen om te controleren of aan alle wettelijke vereisten wordt voldaan, werken niet meer. Met de veelheid aan veranderingen en snellere doorlooptijden is het onmogelijk voor Compliance officers om tijdig betrokken te zijn bij elke stap in het proces.

Om aan alle eisen te blijven voldoen, moet compliance worden geïntegreerd in het DNA van de organisatie.

Om aan alle eisen te kunnen blijven voldoen, moet compliance worden geïntegreerd in het DNA van de organisatie. De "business" moet beter worden toegerust om rekening te houden met de wettelijke vereisten bij het uitvoeren van (veranderings)processen. Agile werken biedt een enorme kans om te bereiken waar veel compliance afdelingen al jaren van dromen: compliance risico's zijn een integraal onderdeel van verschillende bedrijfsprocessen, waar ze dienovereenkomstig worden beheerd.

Wat vereist dit van Compliance?

Werken in een Agile omgeving vereist een andere aanpak en andere accenten dan de compliance organisatie. Enkele belangrijke punten om te overwegen:

Zorg ervoor dat je een overzicht hebt van alle veranderingen waar de organisatie mee bezig is en houd bij waar veranderingen worden doorgevoerd. Bepaal vervolgens waar je Compliance als functie bij wilt betrekken. Bij belangrijke, grote wijzigingen wil je deel uitmaken van het proces. Dit lijkt niet veel te verschillen van een meer traditionele organisatorische opzet. Het vereist echter een actieve deelname aan de Agile manier van werken van het bedrijf om te helpen het juiste overzicht en inzicht te creëren in de verschillende veranderingsprocessen.

Wij geloven dat compliance effectief kan werken in een Agile omgeving. Sterker nog, het biedt nieuwe mogelijkheden.

Maak het een vereiste dat wettelijke vereisten altijd deel uitmaken van de "Definition of Ready" (je kent alle vereisten voordat je aan een Sprint begint) en de "Definition of Done" (ze worden ook toegepast in het product dat in een Sprint wordt opgeleverd).

Monitor vanuit Compliance of aan deze voorwaarden wordt voldaan. Door het opleggen van de eerder genoemde randvoorwaarden en het feit dat je niet overal aanwezig kunt zijn om het bedrijf te helpen bij het voldoen aan de wettelijke verplichtingen, betekent dit dat je de organisatie in staat moet stellen om het zelf te doen, dus de belanghebbenden in staat moet stellen:

• Zorg ervoor dat relevante sjablonen, procedures, checklists, veelgestelde vragen, enz. toegankelijk zijn. Als iemand daar het antwoord niet kan vinden, moet dit leiden tot het betrekken van Compliance in een vroeg stadium van het lopende proces;
• Leg (nog) meer nadruk op training en awareness;
• Richt compliance-gerichte gilden op binnen het bedrijf: dit zijn je eerstelijns ambassadeurs!

De mentaliteit van continue verbetering geldt ook voor Compliance zelf. Dit betekent dat de informatie die je beschikbaar stelt aan de organisatie continu moet worden aangepast, verbeterd en uitgebreid. Naar onze mening is dit aspect de sleutel tot een goed functionerend compliance mechanisme in de organisatie. Als kennis en informatie binnen het bedrijf niet effectief worden gedeeld, komt al het werk weer terecht op de compliance afdelingen. Of erger nog, de organisatie ontwikkelt van alles zonder voldoende rekening te houden met de regelgeving.

Wij geloven dat compliance effectief kan werken in een Agile omgeving. Naar onze mening biedt het zelfs nieuwe mogelijkheden. Het vereist echter wel een andere manier van werken van zowel Compliance als de business.

Rondetafelgesprek: "De Agile Manier van Werken en Compliance"

We zijn benieuwd hoe de compliance community aankijkt tegen het werken in een Agile omgeving en willen graag met elkaar in gesprek over dit onderwerp. Daarom organiseren we een roundtable in Nederland, met de bedoeling om van elkaar te leren en dieper in te gaan op onderwerpen als:

• Gaan Agile en compliance eigenlijk wel samen?
• Zien we Agile als een katalysator om een meer volwassen organisatie te creëren in termen van compliance?
• Wat werkt wel en wat werkt niet vanuit het perspectief van de tweede lijn?
• Hebben we al de beste practices?

Wil je meedoen? Neem hier contact met ons op.

Over Projective Group

Projective Group is opgericht in 2006 en is een toonaangevende veranderspecialist voor de financiële sector. Met diepgaande expertise op practices in Data, Payments, Transformatie en Risk & Compliance.

We worden binnen de sector erkend als een provider van complete oplossingen, die samenwerkt met klanten in de financiële dienstverlening om oplossingen te bieden die zowel holistisch als pragmatisch zijn. We hebben ons ontwikkeld tot een betrouwbare partner voor bedrijven die willen gedijen en bloeien in een steeds veranderend landschap van financiële dienstverlening.