3LoD in agile risk management

In Agile, Intermediate by PeterLeave a Comment

Leestijd: 11 min.

Hoe past 3LoD zich tot agile werken? 3LoD staat voor 3 Lines of Defense, een bekend begrip in risk management. Waar liggen de agile risk uitdagingen?

Een risico is een onzeker (meestal negatief) gevolg van een gebeurtenis of een activiteit met betrekking tot iets dat de mens waardeert.

Volgens de agile theorie wordt risk in agile werken gemitigeerd door het hanteren van korte feedbackloops om snel te kunnen handelen, kortom er lijkt geen uitdaging. Dat blijkt echter een ontoereikend antwoord.

Laten we eens starten waarom men denkt dat risk in agile werken volledig getackeld is. In een notendop zegt de theorie dat in agile teams door de vorm van samenwerking: transparant zijn en goede communicatie en door zeer frequente events te houden zeer goed in staat zal zijn om risico’s te verkleinen door tijdens de sprint aanpassingen te verrichten. Daarbij altijd gericht op waardetoevoeging voor de klant.

Is dat voldoende? Helaas niet! Risk is niet alleen voorbehouden aan agile teams. De wereld verandert snel, steeds meer regels en wetgeving gaan hand in hand met een toename digitale ontwikkelingen en dus ook in cybercriminaliteit. Dat vraagt om ander risk-gedrag van organisaties en dus ook van agile teams.

Risk is complex en vraagt om gestructureerde strategieën. In dit artikel wordt hier een specifiek onderdeel uitgelicht. De 3LoD van risk, in dit artikel voor het gemak ook verdedigingslinies genoemd.

Agile en risk

Hoewel het verschil tussen een agile en waterval benadering voor risk van groot belang is zal deze niet volledig worden toegelicht. In dit artikel ligt de focus op risk en zal derhalve de verschillen slechts voor een deel worden belicht.

Mocht je toch behoefte hebben om te weten wat de grootste verschillen zijn, dan is het artikel Agile Manifesto een aanrader.

In de volgende alinea’s zullen de uitdagingen voor zowel traditionele en agile risk benadering vooral vanuit een ‘technisch perspectief’ worden beschreven.

Traditionele stappen m.b.t. risk

In een traditionele waterval omgeving zal vooraf bij het opstarten van het project en in de planfase een risico analyse plaatsvinden. Men probeert te voorspellen wat er fout kan gaan gedurende het project.

Engelstaligen noemen deze methode gekscherend ook de ‘BURP’ methode. BURP staat voor Big Upfront Risk Planning. Agile werkenden weten wat men daarmee echt bedoelt.

Het gehanteerde model heet officieel de risicomatrix, zie onderstaande afbeelding.

Die ziet er (gesimplificeerd) veelal als volgt uit:

risicomatrix
  1. Identificeer risico’s.
  2. Bepaal impact van de risico’s.
  3. Bepaal de kans dat het risico werkelijkheid zou kunnen worden.
  4. Deel in naar hoge impact en hoge kans.
  5. Beheers de hoogste risico’s.

Wat men dan eigenlijk doet is het op zoek gaan naar de mogelijke risico’s, een cijfer geven voor impact als het zou gebeuren en een cijfer voor de kans dat het gebeurt. Daardoor ontstaat er een risicopercentage.

Bij voorkeur hanteert men dan ook nog een aantal risico categorieën zoals: Compliance, financieel risico, continuïteit etc. Men beschrijft dan ook nog wat men gaat ondernemen als een risico werkelijkheid wordt. En dan maakt men een totaaloverzicht. Dit noemt men meestal een contingency plan.

Uitdaging traditioneel risk management

Wat is nu de echte uitdaging van traditioneel risk management? Het antwoord is sterk vergelijkbaar met de stap van traditioneel werken naar agile werken.

In beide gevallen gaat het namelijk om de stap van een op controle gebaseerde benadering naar een op risico gebaseerde benadering. Hoe controleer je innovatie, als agile teams elke sprint alles kunnen wijzigen? Een controle methodiek die gebaseerd is op ervaringen uit het verleden, terwijl de business steeds sneller verandert? Dat past niet meer!

Het vasthouden aan het controle achteraf principe zal de organisatie niet verder helpen. Een toekomst gerichte benadering is noodzakelijk. Concreet betekent dit dat risk geïntegreerd dient te worden in innovatieproces.

De traditionele rol van risk manager zal hierdoor stevig gaan veranderen. De business heeft immers nog steeds behoefte aan kennis en expertise over Governance, risk en compliance aspecten. Maar nu bij voorkeur in combinatie met kennis over datamanagement, informatiebeveiliging en digitale bedrijfsvoering. En dat deze inzichten als vanzelfsprekend nog voor de start van de sprint planning worden ingebracht.

Als jij risk in jouw portefeuille hebt is een logische vervolgvraag: Wat weet jij van risk mitigeren d.m.v. Artificial Intelligence of Blockchain?

De uitdaging voor traditioneel risk management zijn inmiddels duidelijk, maar wat zijn de uitdagingen voor agile risk management? Daarvoor volgt eerst een beknopte beschrijving van het agile werken.

Agile stappen m.b.t. risk

Om risico’s te mitigeren werkt men Agile meer in de praktijk en handelt men naar bevindingen. In agile werken identificeert men risico’s en tracht men deze direct te mitigeren.

Agile neemt risico mee in de volledige cyclus van een ontwikkeling van een increment. Daartoe hanteert elk agile team de de drie wetten van agile volgens Denning.

De hoofdlijnen m.b.t. risk zijn:

  • Transparantie: alles met iedereen delen, zodat iedereen de risico’s kan zien.
  • Planning: het hele team deelt kennis en ontwikkelt zich om risico’s te herkennen.
  • Klant: de klant produceert mee, gedurende de gehele ontwikkeling. Daardoor worden risico’s eerder waargenomen.

Wellicht is het grootste verschil met traditioneel werken, dat agile niet kijkt naar het percentage afgerond t.o.v. het totale project, maar beoordeelt of iets (volgens planning) is afgerond of niet.

Uitdaging voor agile werken m.b.t. risk

Een belangrijke uitdaging voor agile werkenden is dat zij ruimte creëren om risico en controle te integreren in elk ontwerp. Controle kan bijvoorbeeld worden ingebouwd in business regels en systeemontwerp.

Systemen ontwikkelen zich razendsnel, de kernvraag is dus: hoe blijft risk mitigatie aan boord? Een mogelijk antwoord is dat men de stap maakt naar risk based approach, waarbij een hoge mate van zelfstandigheid blijft gewaarborgd.

Risked based approach

In ISO 9001 beschreef men in 2015 dat het benaderen van risk, als een reactieve actie, de wens om snel en continue te verbeteren niet ten goede kwam. Voor het aanjagen en ondersteunen van verandering koos men voor een pro-actieve risked-based approach.

Risked-based approach is het inbrengen van een risico weging op het moment dat de verbeteringen in processen en controle mogelijkheden plaatsvinden. Daarbij is het van belang om niet alleen te denken aan de negatieve opties, men kan een risked-based benadering ook op een positieve wijze invullen.

De risked-based approach hanteert het begrip risicodenken. Hoewel risico’s meestal als iets negatief word beschouwd, bied risicodenken ruimte voor verbetering en stelt het organisaties in staat om strategisch te handelen. De risk-based approach sluit goed aan bij agile werken.

Communicatie is wederom een kernelement, daarnaast het invoeren van regels gebaseerd op principes en een set aan mini-controle instrumenten tijdens de innovatie. Organisatie risico’s en borging worden daardoor ingebracht voor een sprint van de agile teams en niet meer achteraf.

Combinatie traditioneel en agile ontwikkeling

Zowel de traditionele als agile ontwikkelingsmethoden hebben voor- en nadelen. Hoewel de voorkeur uitgaat naar de agile methode is het denkbaar om in een aantal gevallen een combinatie te hanteren.

Denk hierbij maar aan zeer grote investeringen, voordat het project start en waarbij de investering niet in stukjes gehakt kan worden of hele lange doorlooptijden of compleet nieuwe technologieën of kunnen voldoen aan voortdurend wijzigende wet- en regelgeving.

In sommige organisaties is de reden dat de traditionele risk manager nog niet in staat is om zich in het proces naar de frontlinie te bewegen, daar waar innovatie ontstaat en input m.b.t. risk gewenst is. Dit is te vergelijken met de traditionele manager die de stap naar agile werken lastig vind.

Wat de reden ook is, in menig organisatie is de risk benadering nog steeds een combinatie van traditioneel en agile werken.

Risico en strategie

Bij agile werken is risicobeheersing een taak van het hele agile team, iedereen is immers verantwoordelijk. Binnen agile werken worden risico’s benoemd en besproken. Daar hanteert men o.a. user stories en visuele borden voor, vaak in combinatie met burndown charts.

Het volstaat om te beschrijven, dat agile teams risico’s meenemen en bespreken in alle agile events om daar direct op te handelen. Risico lijkt dus geen issue in agile werken, maar wat er mogelijk ontbreekt is een stevige fundering van risico strategie in de organisatie.

In de meeste gevallen wordt risico door agile te werken gemitigeerd, maar wat teams mogelijk niet voldoende realiseren is dat tegenslag zal plaatsvinden en niet alles uitgesloten kan worden.

Kortom, wat bovenaan dient te staan op de wensenlijst van elke organisatie is dat er sprake dient te zijn van een goede risk strategie en deze mee verandert met de ontwikkelingen.

De uitdaging van elke organisatie is dat elke innovatie risico’s met zich meebrengt en dat niet innoveren andere risico’s met zich meebrengt.

Denk maar eens aan IT investeringen. Zo kan een fout in een oplevering van nieuwe software desastreuze gevolgen hebben voor de organisatie. Het tegenovergestelde kan ook gebeuren, als men nalaat om te ontwikkelen wordt men kwetsbaar. Zo is het ‘kwijtraken’ van persoonsgegevens regelmatig in het nieuws.

Vanuit een risk perspectief hanteren de meeste organisaties een combinatie van agile werken en een waterval-methode. Deze tussenvorm hanteert men omdat men elders in de organisatie niet-agile werkt of doordat de in de vorige alinea beschreven zaken zich voortdoen.

De meest traditionele vorm van het mitigeren van risico is een intern audit team die ‘alles’ beheerst en controleert.

Risk partijen in een organisatie

Dat er één team is die ‘alles’ beheerst en controleert is eigenlijk niet meer mogelijk in deze tijd, de veranderingen gaan te snel en zijn te veel partijen in een organisatie betrokken. Risico is een gedeelde verantwoordelijkheid van alle partijen in een organisatie.

Vanzelfsprekend zou er nu een volledige opsomming plaats kunnen vinden van alle partijen in een organisatie die zich met risico bezig houden of risico’s creëren. Dan beschrijf je echter iedereen. Sommige organisaties kunnen bijvoorbeeld in grote problemen komen als een medewerker social media gebruikt. Het simpelste voorbeeld van wat hier goed bij past is het liedje ‘Careless Whisper’ van George Michael.

Een moderne organisatie richt Risk anders in. Een veel voorkomende methode is het hanteren van drie niveaus die verantwoordelijk zijn voor het mitigeren van risico. Ook wel de 3 lines of defense genoemd.

De 3LoD van Risk integratie in agile

Zoals al eerder beschreven is voor het managen van risk geen op zichzelf staande unit meer mogelijk. Net als vroeger dienen er verschillende (autorisatie) niveaus te zijn, maar de wijze van samenwerken dient anders te worden ingericht.

De 3 LoD’s in agile risk management zal je vermoedelijk wel herkennen, aan de benamingen, want de partijen in de 3LoD’s zijn talrijk: Legal, IT, Compliance, HR, managers en de agile teams. Vermoedelijk kan jij er nog veel meer benoemen. Toch dien je deze partijen te groeperen om te kunnen spreken over de drie verdedigingslinies

3 Lines of Defense - risicomanagement

De 3 defense lines van risicobeheersing voor een organisatie zijn:

1. De ‘eigenaar’ van de risico’s.

Dit is de business unit (‘de werkvloer’) met een specifieke opdracht. Het lijnmanagement is hierbij verantwoordelijk voor de eigen processen. de opdracht is het dagelijks managen van risico. De business unit bestaat veelal uit high professionals in agile teams. Gericht op efficiency en controle volgens verstrekte richtlijnen.

2. Risk management

De partij in de organisatie die het totaaloverzicht behoudt en de risico’s prioriteert en daarmee de werkvloer tevens uitdaagt.

Daarnaast biedt deze 2e lijn ondersteuning aan de business unit, door advies, coördinatie en bewaking van de verstrekte verantwoordelijkheden aan de eerste lijn.

Deze 2e lijn stelt tevens de beleidsrichtlijnen op en hanteert integrale risk assessments.

3. Interne audit

Deze controleert het gehele framework op risico en controle. Idealiter controleert de derde lijn ook of de eerste en tweede lijn soepel samenwerken en komt gevraagd en ongevraagd met verbeter voorstellen.

Deze voorstellen gaan zowel over de inhoud, huidige samenwerking en mogelijke blinde vlekken.

Vanuit een risico perspectief dienen de scheidslijnen tussen de drie Lines of Defense goed gedefinieerd te zijn. Er mogen geen overlappingen zijn tussen de verschillende niveaus. Dit brengt echter ook een uitdaging met zich mee.

De uitdaging van Risk in agile

De uitdaging van risk is niet het inrichten van het 3LoD framework. De drie verdedigingslinies zijn fysiek immers snel in te richten.

De echte uitdaging ligt in het op één lijn krijgen van de drie defense lines  Waarbij de verantwoordelijkheden blijven waar ze thuis horen en men toch intensief samenwerkt, omdat men hetzelfde doel nastreeft.

Het doel van alle verdedigingslinies is het managen en mitigeren van risico’s.

Zodra je de LoD inricht is het eerste wat je kunt verwachten dat er ruis tussen de niveaus ontstaat, waarbij partijen vanuit hun rol terecht er andere verwachtingspatronen op na houden.

Dan zie je bijvoorbeeld dat agile teams zich richten op snel vooruitgaan, door te durven te falen en te leren en tegelijkertijd (kosten reducerende) verbeteringen aandraagt om te versnellen.

Dit is echter volledig tegengesteld aan de traditionele risico benaderingen. Daar verwacht men bij voorkeur vanuit de tweede lijn diepgaande onderzoeken en een stevige analyse van de risico situatie. Ook is men niet altijd gebaat bij snelle doorvoering van veranderingen, een verandering dient namelijk zorgvuldig getoetst te worden. Hun rol is namelijk ook beleid te maken wat de organisatie houdt bij externe druk.

De derde lijn staat wellicht weer te ver van de andere partijen af of challenged niet het juiste, wellicht onder de noemer dat informatie hun niet tijdig bereikt.

En toch is de uitdaging voor alle 3LoD’s gelijk: het managen en mitigeren van risico’s.

De grootste uitdaging van risk

En dan kom je terecht bij de allergrootste uitdaging van risico management en dat is hoe je de organisatie voorbereid op nieuwe risico’s. Dit kunnen bekende risico’s zijn die op een nieuwe manier verschijnt (e.g. spoofing) of voorheen onbekende risico’s of volledig nieuwe risico’s.

In de meeste gevallen zijn eerder toegepaste scenario’s niet meer toereikend. Tracht maar eens te voorspellen wat je nog nooit eerder hebt gezien of hebt verwacht. Mocht accuraat voorspellen je uberhaupt lukken, koop dan direct ook een lot in de loterij. Want denk jij dat het mogelijk is om jouw organisatie voor te bereiden op alle mogelijkheden die je niet kunt voorspellen?  

Wat je wel kunt inrichten is de ‘state of mind’ van de organisatie. Dat risico een integraal onderdeel is van de dagelijkse operatie.

5W2H op Risk

Hoe start je nu met een frisse blik op Risk? Vermoedelijk is al veel ingericht in de organisatie waar je werkt, maar stel nu eens dat je het nu anders zou kunnen inrichten. Hoe start je dan?

It starts with why! Normaliter hanteer je de 5x waarom methode. Altijd doen, maar de waarom vraag lijkt echter nu wel duidelijk. Een goede risk approach en het goed inrichten is een absolute noodzaak voor elke organisatie.

Vervolgens is het interessant om het artikel: 8 uitdagingen van het opschalen van agile te lezen. We praten namelijk over opschalen, combineren en (deels) agile werken.

Het advies bij onzekerheid over hoe je verder moet, is dat het altijd handig is om eerst de 5W2H methode erbij te pakken. Als je dan het 5W2H model hanteert krijg je bijvoorbeeld de volgende vragen:

  • Hoe integreer je risk in de organisatie? Niet primair denkend vanuit systemen, maar vanuit de mensen? Denk hierbij aan de agile teams en hoe de organisatie dan kan laten aansluiten op agile werken.
  • Hoe kan risicomanagement het best in agile werken worden geborgd? Met als doel de efficiency te verhogen en risico’s te benoemen.
  • Wat is de benodigde set aan (persoonlijke) vaardigheden en organisatiestructuur en hoe integreer je agile werken?
  • Wie heeft welke bevoegdheden? Welke bevoegdheden krijgen de agile teams?
  • Welke (technologische) middelen versnellen je proces? Waarbij risico’s en capaciteit met elkaar in balans worden gebracht.

Stel vragen

Start met de beantwoording van deze vragen in teams, het geeft je direct veel inzichten. De mogelijkheden lijken eindeloos, maar de 3 Lines of Defense kaderen de mogelijkheden.

Denk daarbij ook eens bottum up, vanaf de werkvloer. Waar dagelijks risico’s worden getackeld. Wat heeft de vloer nodig om sneller en adequater te kunnen in te spelen op de veranderde omstandigheden. Welke prioriteiten zijn er vanuit de organisatie, hoe zorgt de 3LoD voor een optimale werksituatie.

Kortom, vanaf het eerste moment dien je je af te vragen hoe je de communicatie over de diverse Lines of Defense inricht. Goede open agile communicatie structuren zijn geen voorwaarde, maar een noodzaak. Het mag immers geen sluitstuk zijn van een systemische inrichting. Zie onderstaande quote van Covey:

Begin with the end in mind’

Samenvatting

Risk is een interessant onderwerp binnen agile werken. Zolang agile teams de situatie volledig kunnen overzien is er sprake van een goede borging door de agile werkwijze. Echter in een aantal situaties is het onmogelijk voor agile teams om alle benodigde inzichten te hebben of te verkrijgen.

Agile werken stelt dan dat de kennis (als teamlid) ingevoegd dient te worden in de teams. Dat is vanzelfsprekend correct, maar er zal regelmatig behoefte kunnen zijn aan een coördinerende rol buiten de teams. Een rol die ontwikkelingen in een breder perspectief kan overzien, overkoepelende organisatie belangen weegt en de verkregen kennis deelt met alle teams.

Dit kan niet altijd de Product Owner zijn, soms is de kennis zo specialistisch dat dit elders in de organisatie geborgd is. Hoe dan ook, een breder perspectief op organisatie risico’s is een noodzaak.

Bij risk zijn de 3 Lines of Defense mede bepalend. De 3 Lods zijn er niet voor niets, het scheiden van de verantwoordelijkheden voorkomt het interne risico. De inrichting van 3LoD kent tussenvormen van agile en traditioneel werken.

Wat elke organisatie sowieso nodig heeft is een risico bewuste cultuur, waardoor de organisatie beter voorbereid is op nieuwe risico’s. Waar die ook vandaan komen!

Tot slot

Is het jou opgevallen dat in dit artikel veel geschreven is over de inzet van instrumenten? Risk management behoort echter ook te gaan over het accepteren van risico’s, welke acceptabel zijn en welke niet.

Een risked-based approach. Dan heb je het over gedrag en begrip, het werkveld van coaches. In een later te schrijven artikel kom ik hier op terug. Uiteindelijk is risk altijd een kwestie van menselijk gedrag:

Systemen zijn niet verantwoordelijk…

Systemen zijn een resultante van door mensen genomen beslissingen!

Een interessant artikel over risico’s, maar dan gericht op de inrichting van een crisisorganisatie is het artikel Wat is Crew Resource Management (CRM)?

Het artikel 12 risicofactoren van emerging risks geeft inzicht in 12 bronoorzaken van het ontstaan van risico’s

Leave a Comment