Eigenlijk werken we allemaal agile…

Agile/scrum klinkt als een specifieke aanpak voor de dynamiek in de IT-wereld. Leent traditioneel auditen zich dan wel voor agile/scrum? De praktijk laat zien van wel. Agile/scrum kan helpen om impact te maken. De methodologie hoeft niet volledig omarmd te worden om de voordelen te ervaren. Keuzevrijheid in de manier van werken is een voorwaarde, want ‘als je niets te kiezen hebt werkt agile/scrum niet’.

Verschillende interne auditafdelingen hebben zich verenigd in de IIA-netwerkgroep Agile (zie kader). Hier is de afgelopen twee jaar de impact en invloed van agile/scrum op het auditvakgebied bediscussieerd. Twee hoofdthema’s zijn te onderscheiden: 1) het auditen bij een auditee die op een agile/scrumwijze werkt; 2) een auditafdeling die bij de uitvoering van audits zelf een agile/scrumwerkwijze hanteert. Agile (de mindset) en scrum (het framework) worden in dit artikel als combinatie neergezet. Wat blijkt? Iedereen maakt gebruik van elementen uit het agile/scrumgedachtegoed, bewust of onbewust!

IIA-netwerkgroep Agile

Het Professional Practices-netwerk van IIA Nederland kent voor verschillende thema’s een netwerkgroep. Aan deze netwerkgroep nemen interne auditafdelingen deel die op periodieke basis gezamenlijke vaktechnische uitdagingen rondom het toepassen van agile/scrum en ervaringen met elkaar delen. Ook worden binnen een netwerkgroep complexe vaktechnische vragen, consultaties en andere vaktechnische publicaties besproken.

Indien jouw interne auditafdeling op een agile/scrummanier werkt, of je wilt graag vaktechnische uitdagingen en/of ervaringen bespreken met andere interne auditexperts, zelfs wanneer je niet bekend bent met agile/scrum auditing of het auditen van agile/scrumwerkomgevingen, ben je van harte uitgenodigd om deel te nemen aan onze netwerkgroep. Je kunt je aanmelden via het IIA ([email protected]).

Auditplanning en sprintplanning

Een van de achterliggende gedachten van agile/scrum is het flexibel en adaptief omgaan met planning. Veel interne auditafdelingen werken met een mate van flexibiliteit in hun auditplan. Dit geldt voor het auditplan als geheel, maar kan ook binnen audits worden toegepast. In agile/scrumtermen is dit een sprintplanning of backlog. Door in kaart te brengen welke werkzaamheden gedaan moeten worden (backlog) en deze specifiek te beschrijven en ‘klein’ te houden, zijn deze planbaar binnen een gesteld tijdvak (sprint). De backlog kan tevens worden benut om in te spelen op wat op dat moment relevant is.

Op basis van voortschrijdend inzicht kan de richting en mate van diepgang van de audit veranderen. Door deze werkzaamheden te prioriteren, wordt inzichtelijk welke werkzaamheden (gezien de beschikbare tijd) wel en niet uitgevoerd kunnen worden. Het hebben van een harde deadline (einde sprint) dwingt de auditor tot het maken van keuzen en de tijd en energie te steken in die werkzaamheden die het meeste toevoegen.

De coöperatie DELA werkt met een risicoanalyse per kwartaal om te bepalen waar de aandacht in het kwartaal naar uit moet gaan en wat relevant is voor de organisatie. Dit is gedreven vanuit een discussie waar men de meeste waarde kan toevoegen. Bij coöperatie DELA heet de backlog voor een audit een ‘roadmap’ en daarin staan alle auditobjecten die nodig zijn om een uitspraak te doen over het geheel. ING en Rabobank werken met een jaarplan met thema’s die richtinggevend zijn voor de planning, ieder kwartaal wordt het plan aangepast op basis van risico’s/inzichten die spelen om de meest toegevoegde waarde te leveren (Quarterly Business Reviews).

Heineken heeft een achttienmaandelijks ‘rolling plan’ dat elk kwartaal bijgesteld wordt op basis van risico-evaluatie en welke onderwerpen de meeste waarde hebben voor de organisatie. ING en Van Lanschot Kempen kennen een jaarplanning met vaste onderwerpen waarbinnen wel toevoegingen of aanpassingen kunnen plaatsvinden. Sinds dit jaar is Van Lanschot Kempen gestart met kwartaaldoelen en binnen het kwartaal met weekplanningen. Jumbo stelt elk jaar een outside-in-risicoanalyse op. Daarnaast heeft Jumbo een backlog met auditonderwerpen die door interne stakeholders zijn aangedragen. Per kwartaal wordt een risicoanalyse uitgevoerd om vast te stellen welke audits gedurende het daaropvolgende kwartaal worden uitgevoerd.

Sprint

Een van de meest bekende begrippen binnen agile/scrum is het indelen van het werk in zogeheten sprints. Een sprint is een vastgesteld tijdvak waarbinnen functionaliteit of ‘waarde’ wordt ontwikkeld. Aan het einde van een sprint wordt in gezamenlijkheid gereflecteerd of het team nog steeds op de goede weg is. Een sprint heeft meestal een korte iteratie van twee tot vier weken en geeft daarmee uiting aan het lerende karakter dat centraal staat binnen het agile/scrumgedachtegoed.

Bij elk van onze organisaties komen wij een vorm van het werken in sprints tegen. Daarbij is er wel een fundamenteel verschil: men kiest ervoor om audits binnen een afgebakende tijdsperiode uit te voeren en daarbinnen een prioritering toe te passen, of men kent sprints in elke audit en prioriteert op de auditactiviteiten en dus de scope van de audit.

Coöperatie DELA werkt met kwartaaldoelen waarbinnen het auditteam in formele sprints van vier weken bepaalt welke doelen zij maandelijks (minimaal) wil (en kan) realiseren. Een kortere sprint is tot nu nog niet werkbaar, gezien de afhankelijkheid van de stakeholders. Binnen deze sprints ligt de focus op hoe het team zoveel mogelijk waarde kan leveren, in plaats van: dit zijn de doelen en hoeveel resources zijn hiervoor nodig.

Bij Jumbo hanteert men een kwartaalcyclus waarbinnen de interne auditafdeling in sprints van twee weken werkt. Op voorhand bepaalt het team globaal wat het in die twee weken gaat doen. Na twee weken wordt aan het kernteam inclusief auditees teruggekoppeld en wordt gezamenlijk de focus voor de komende sprint bepaald. Op die manier stuurt Jumbo het auditproces continu bij.

Bij Heineken werken alle teams in auditslots van zes weken. Daarbinnen werken sommige teams met een sprintplanning terwijl andere teams plannen op basis van Kanban (een systeem om te organiseren (met bijvoorbeeld kaartjes)). Het blijkt wel dat bij bepaalde type vaste compliance-audits een watervalaanpak meer efficiënt kan zijn.

Stand-up

Een stand-up is een van de zogeheten ceremonies binnen de agile/scrumaanpak, maar wordt ook buiten de context van agile/scrum veel gebruikt. Een stand-up is een korte bijeenkomst van een auditteam om de taken evenwichtig te verdelen en transparantie te creëren over het onderhanden en benodigde werk. Het is een middel om te zorgen dat teamleden van elkaar weten wie welke bijdrage levert en welke blokkades er zijn. Dit helpt om voortgang en overzicht te behouden.

Bij Rabobank werken de teams met een dagstart waarbij volgens een vast stramien de voortgang ten opzichte van de sprintplanning wordt besproken. Bij problemen wordt actie ondernomen en eventueel geëscaleerd. Dit is ook hoe coöperatie DELA er invulling aan geeft. Het kunnen overnemen van elkaars werk is hierbij een terugkerend thema. Bij Van Lanschot Kempen wordt een weekstart en een stand-up halverwege de week toegepast, waarbij voortgang en blokkades worden besproken. Bij Jumbo vindt ook twee keer per week een stand-up plaats om de voortgang van de audit te bespreken. Bij zowel Van Lanschot Kempen als Jumbo gebeurt detailafstemming over de lopende audits onderling. Bij Heineken en ING is veel variatie in de werkwijze. Afstemming is dagelijks, wekelijks of volledig ad-hoc, afhankelijk van de soort audit en het team.

Sprint review

In een sprintreview toont het agile/scrumteam de behaalde resultaten van de afgelopen sprint aan de stakeholders. Daarnaast gaat het team de discussie aan met de stakeholders over de meest waardevolle vervolgstappen. Voor auditors kan dit onwennig zijn; audits zijn niet altijd volledig afgerond en/of afgestemd en het is de vraag of stakeholders vervolgstappen kunnen bepalen, dat bepaalt de auditor toch zelf?! Stakeholders kunnen uiteraard wel aangeven dat bewijs onvolledig is en dat de risicoperceptie anders is. Dat kan leiden tot een nieuwe, andere dynamiek in de audit.

Alle auditafdelingen houden periodiek interim-meetings om de auditee mee te nemen in de tussentijdse resultaten van de audit. Enerzijds om alvast feitelijke juistheid af te stemmen, anderzijds om de verwachtingen te managen. Dit bevordert een efficiënt en effectief verloop van de audit. In aanvulling op deze meetings heeft Jumbo gedurende het kwartaal twee momenten van afstemming met de directeur, tevens opdrachtgever, van de audit. Eén keer aan het eind en één keer tijdens de audit. Gedurende de audit presenteert de interne auditafdeling de tussentijdse bevindingen en bepaalt zij in samenspraak met de directeur het vervolg van de audit, bijvoorbeeld een’ deepdive’ op het onderwerp, een eventuele toetsing of een advies.

Bij Heineken is het gebruik van demo’s in opkomst. Auditteams krijgen de ruimte om hiermee te experimenteren. Bijvoorbeeld door elke week een sessie te houden die open is voor alle auditees en waar observaties worden gedeeld en besproken. Bepalend voor het succes is dat zowel de auditors als de auditees hiervoor openstaan. Dan is het een krachtig middel om de wij-zijbarrière te doorbreken.

Coöperatie DELA heeft een wekelijkse update zonder vastgestelde agenda waar met de stakeholders wordt overlegd en waar in een demo resultaten worden gedeeld. Door alle stakeholders te betrekken wordt draagvlak gecreëerd en raakt de werkvloer in discussie met het MT. Het eventueel ‘niets te vertellen hebben’ is ook een boodschap (bijvoorbeeld de organisatie kan niet leveren, het is complexer dan gedacht). Het doel van de demo is vooral het gezamenlijk opnieuw richten van de werkzaamheden (gaat de audit de goede kant op).

Definition of ready en definition of done

Een veel voorkomende misvatting in agile/scrum is dat het product dat opgeleverd wordt in een sprint volledig moet zijn. De sprint is juist bedoeld om bij te sturen en keuzen te maken. Wel bepaal je waar je product (audit, inzicht, advies) minimaal aan moet voldoen, de minimal viable product (MVP). Naast het verwachte eindproduct blijven ook de kwaliteitsstandaarden centraal staan. Beide zijn verankerd in de zogeheten definition of done (DoD). Je product is immers alleen viable als deze voldoet aan de IIA Standaarden. Recente IIA-toetsingen op de agile/scrumaanpak van enkele interne auditafdelingen bevestigen dit. Als je weet wat het product in een bepaalde sprint zal zijn, kun je dit plannen. Voorafgaand aan de sprint bepaal je of de auditor en auditee ‘er klaar voor zijn’ aan de hand van een definition of ready (DoR). Is de onderzoeksvraag en de toegevoegde waarde aan de organisatie helder?; is het realistisch om binnen de sprint uit te voeren (denk aan IIA Standaard 2030); heb je commitment van de auditee (afhankelijkheden)?

Bij alle auditafdelingen in dit artikel staan de vaktechnische eisen en kwaliteitsstandaarden voorop. Bij coöperatie DELA en Jumbo zijn deze vereisten vanuit de audit manual verankerd in het auditmanagementsysteem, het auditdossier. Bij ING is de agile/scrumwerkwijze ‘an sich’ een (optionele) keuze van het auditteam en zijn de vereisten omtrent deze aanpak opgenomen in een bijlage in de audit manual. Impliciet zijn uiteraard wel agile/scrumelementen verankerd in de audit manual, denk bijvoorbeeld aan een interim-meeting met de auditee als zijnde een sprintreview, het reviewen van auditwerkzaamheden zien als een vorm van DoR. Alle auditafdelingen stemmen de doelstelling van het onderzoek vooraf af met de auditee.

De auditafdelingen van Heineken, coöperatie DELA en Rabobank werken met een DoD, waarin zij expliciet de klantwaarde een focus willen geven. Niet alleen wat het resultaat moet zijn, maar ook wat het oplevert. Deze klantwaarde en onderzoeksdoelstelling worden vastgelegd in een afgestemd document. In sommige audit manuals wordt dit een ‘user story’ genoemd, in de andere een ‘engagement letter’ of ‘terms of reference’.

Afsluitende woorden

Dit artikel laat zien dat in de netwerkgroep iedere auditafdeling agile/scrumelementen in de werkwijze heeft, volledig of deels. Iedereen is het erover eens dat agile/scrum geen doel op zich is. De auditdiensten van coöperatie DELA en Jumbo hebben het agile/scrumgedachtegoed volledig geïmplementeerd. De andere betrokken auditdiensten omarmen onderdelen uit agile/scrum zodat zij meer waarde kunnen creëren. Veel van de agile/scrumprincipes zijn te hanteren zonder afbreuk te doen aan de vaktechnische vereisten. Het is een misvatting dat agile/scrum een negatieve impact heeft op het naleven van regelgeving. Goed om te weten is dat alle auditafdelingen in de netwerkgroep de IIA-toetsing hebben doorstaan.

Dit artikel biedt hopelijk inspiratie voor het toepassen van agile/scrum, al is het maar het anders inrichten van bestaande werkmethoden. Agile/scrum kan helpen om de betrokkenheid en het inzicht van medewerkers te verhogen, de efficiency en impact van een audit te verbeteren, het kan zelfs bijdragen aan een cultuur van continue verbetering. Is het dan mindset? Wij denken van wel, het gaat niet om het wat maar om het hoe.

Lijkt het je leuk om (onderdelen van) het agile/scrumgedachtegoed te implementeren of te bespreken? Dan ben je uiteraard welkom in onze werkgroep.