Frühe Erkenntnis, frühe Reaktion

Transformation zu Agile im Risikomanagement


Frühe Erkenntnis, frühe Reaktion: Transformation zu Agile im Risikomanagement Kolumne

In vielen Branchen sind in den letzten Jahren sowohl Anzahl und Umfang von Assurance-Aktivitäten als auch die damit einhergehende Berichterstattung massiv angestiegen. Ein Hauptgrund hierfür sind die zunehmenden regulatorischen Anforderungen, die es notwendig machen, vielfältige Risiken abzudecken. Das frühzeitige Erkennen von Risiken anhand von Indikatoren ist ohne Zweifel ein Muss für Assurance-Funktionen, um das Bestehen eines Unternehmens in einer zunehmend volatilen Welt zu sichern. Vor allem moderne Technik und Digitalisierung beschleunigen das Entstehen neuer Risiken, ermöglichen es aber gleichzeitig, diese schnell zu erfassen und idealerweise bereits zu antizipieren. Unternehmen, die darüber hinaus noch in der Lage sind, diese Risiken – bezogen auf Unternehmensstrategie, gesetzliche Vorgaben und weitere gesellschaftliche Ziele – zügig zu bewerten und kurzfristig mit geeigneten Maßnahmen zu antworten, können dauerhaft eine führende Marktposition behaupten.

Die Dringlichkeit, schnell zu reagieren, stellt viele Unternehmen allerdings vor eine Herausforderung: Denn neben einer angemessenen Reaktionsgeschwindigkeit müssen gleichzeitig effiziente und schlanke Risikostrukturen aufgebaut und erhalten werden. Als möglicher Lösungsansatz kann die Einführung einer agilen Arbeitskultur und die Anwendung agiler Arbeitsmethoden dienen.

Was bedeutet "Agile": Besonderheiten der agilen Denkweise

Von seinen Kritikern als ein kurzfristiger und -lebiger Trend beschrieben [siehe Cagle 2019], wird der Begriff "Agile" (die Großschreibung und die englische Aussprache bezieht sich auf Agile als Gesamtkonzept) heutzutage noch zu oft als reines Modewort verwendet. Vielen ist dabei weniger bewusst, dass hinter Agile eine Arbeitseinstellung mit konkreten Werten und Prinzipien steckt und der Begriff weniger einzelne "Werkzeuge" repräsentiert wie beispielsweise Scrum und Lean. Die zentralen agilen Werte und Prinzipien wurden im Jahr 2001 im Bereich der Software-Entwicklung definiert [Beck et al. 2001]. Der Wunsch nach einer agilen Arbeitsweise ist jedoch schon Jahrzehnte früher entstanden [Abbas 2018] und hat auch heute noch für viele weitere Unternehmensbereiche Relevanz [Cegarra-Navarro 2016].

Abb. 01: Die vier Werte einer agilen Arbeitskultur im Assurance-UmfeldAbb. 01: Die vier Werte einer agilen Arbeitskultur im Assurance-Umfeld

Agil zu sein und agil zu arbeiten bedeutet, wichtige Entscheidungen auf Basis agiler Werte (siehe Abb. 01) und Prinzipen zu treffen und diese bei der Zusammenarbeit im Team und mit dem Kunden in den Mittelpunkt zu stellen.

Zudem können Vorgehensmodelle angewendet werden, die auf agile Werte zurückzuführen sind und bei geeigneter Auswahl und richtiger Umsetzung das agile Denken weiter fördern.

Die bekanntesten Modelle sind Scrum und Kanban, die es Teams vor allem ermöglichen, transparenter zu arbeiten, eine gewisse Arbeitsgeschwindigkeit einzuhalten und, durch Fokussierung auf priorisierte Aufgaben, früh Wert zu liefern.

Das Aufbrechen von Komplexität und die kontinuierliche Verbesserung anhand neu dazugewonnener Informationen sind dem agilen Vorgehen inhärent. Hinzu kommt der hohe Grad an Transparenz durch den regelmäßigen Austausch aller Beteiligten, welcher in Verbindung mit der verringerten Komplexität risikomindernd wirkt (siehe Abb. 02).

Abb. 02: Agile vs. Wasserfall (Teil 1)Abb. 02: Agile vs. Wasserfall (Teil 1)

Ganzheitlich betrachtet bieten die genannten Merkmale von Agile daher ein großes Potenzial, um die Tätigkeiten von Assurance-Funktionen wie IKS, Risikomanagement, Compliance und Internal Audit durch die Einführung von Agile wertschöpfender und zukunftsgerichtet zu gestalten. Im Folgenden wird am Beispiel von Internal Audit auf die realisierbaren Gewinne eingegangen und es werden erste Einblicke in die Dynamik eines agilen Internal Audit gewährt.

Beispiel Agile Internal Audit: Gegenwärtige Herausforderungen Interner Revisionen

Aktuell wird im Bereich der Revisionsarbeit größtenteils das phasenweise Vorgehen nach dem Wasserfall-Modell befolgt: PLANEN – PRÜFEN – ABSTIMMEN – BERICHTEN (siehe Abb. 03). In der Vergangenheit mag dieses eindeutige Vorgehen Vorteile mit sich gebracht haben, doch hat sich im Laufe der Zeit herauskristallisiert, dass es für eine wertstiftende Arbeit im Internal Audit nicht optimal ist. Dadurch, dass im Wasserfall-Ansatz eine detaillierte Planung vorab stattfindet, ist eine nachträgliche Änderung immer mit Aufwand in Form von Zeit und Kosten verbunden. Eine Nicht-Berücksichtigung neuer Begebenheiten hingegen wirkt sich negativ auf die Qualität des Ergebnisses aus. Im Laufe einer Revisionsprüfung stellt sich oft heraus, dass das Prüfprogramm für die Prüfsituation, die vorgefunden wird, nicht geeignet ist. Zu oft wird das anfangs kommunizierte Prüfprogramm dennoch eisern verfolgt und dabei in Kauf genommen, dass die größten Risiken nicht oder nicht ausreichend geprüft und damit die wichtigsten Erkenntnisse nicht gewonnen werden. In den meisten Unternehmensrevisionen werden aktuell noch zu viele Entscheidungen zu einem Zeitpunkt getroffen, wenn die wenigsten Informationen vorliegen. Noch weniger verständlich ist es, dass an diesen anfänglichen Entscheidungen oft bis zum Schluss festgehalten wird.

Abb. 03: Agile vs. Wasserfall (Teil 2)Abb. 03: Agile vs. Wasserfall (Teil 2)

Es ist sehr wahrscheinlich, dass das Audit-Team im Rahmen eines Audits neue Informationen erhält und auf dieser Basis eine Anpassung der Planung oder eine Neu-Priorisierung der Prüfaktivitäten sinnvoll ist. Während bei dem traditionellen Vorgehen jede Veränderung ein Hindernis darstellt, sind agile Prozesse so ausgelegt, dass Veränderungen zu jedem Zeitpunkt willkommen sind und durch eine Anpassung der Planung berücksichtigt werden.

Im Bereich der Internen Revision gibt es weiteres Verbesserungspotenzial: Die Erhöhung der Kommunikation mit den Stakeholdern kann bereits das Ansehen der Internen Revision deutlich positiv beeinflussen. So wünschen sich viele geprüfte Fachbereiche mehr Austausch und Informationen über den aktuellen Stand der Prüfung. Oft jedoch werden Erkenntnisse und wichtige Informationen erst mit dem Prüfbericht kommuniziert, welches die frühzeitige Maßnahmenimplementierung und Risikominderung verhindert. Zudem gibt es oft zahlreiche Abstimmungsschleifen auf unterschiedlichen Hierarchiestufen, die die Erstellung des finalen Revisionsberichtes zusätzlich hinauszögern.

Agile im Internal Audit

Das agile Arbeiten im Bereich der Internen Revision kann unter anderem auf einem iterativen Vorgehen basieren, bei dem sich Anforderungen und Ergebnisse im Rahmen der Zusammenarbeit in selbstorganisierenden, funktionsübergreifenden Teams (weiter-)entwickeln. Dies geschieht zum einen immer mit Fokus auf den Wertbeitrag, welcher für das Unternehmen geliefert werden kann und soll, und zum anderen mit Blick auf die kontinuierliche Verbesserung von Zusammenarbeit und Ergebnissen (siehe Abb. 04).

Abb. 04: Agile Ansätze im Internal AuditAbb. 04: Agile Ansätze im Internal Audit

Agile Internal Audit zeichnet sich durch drei Hauptkomponenten aus:

  1. Bewahrung der Unabhängigkeit und Erfüllung des erteilten Prüfauftrags nach internationalen Standards,
  2. Verinnerlichung der agilen Werte und Prinzipien und
  3. Anwendung agiler Vorgehensmodelle wie beispielsweise Scrum zur Effizienzsteigerung und Verinnerlichung der agilen Werte und Prinzipien.

Flexibilität und hohe Anpassungsfähigkeit sind somit Merkmale einer reifen, agilen Internal Audit Funktion, die ihre Planung an wichtigen Veränderungen in der Unternehmenssituation und den strategischen Unternehmenszielen ausrichtet. Durch das Bestreben nach Verbesserung und das wiederholte Hinterfragen des eigenen Audit-Vorgehens findet eine schnelle Anpassung der Planung an geänderte Umstände statt.

Eine häufig gestellte Frage lautet, ob ein agiles Vorgehen mit den Prüfstandards für eine Interne Revision vereinbar ist. Das lässt sich eindeutig bejahen: Durch die Anwendung von Agile im Internal Audit werden die bestehenden Prüfstandards (DIIR Revisionsstandard Nr. 3/IDW PS 983) nicht nur eingehalten, sondern manche zugrundeliegenden Ziele sogar übererfüllt (siehe Abb. 05).

Abb. 05: Eine agile Arbeitsweise erfüllt nicht nur die Anforderungen des DIIR/ IDW, sondern bietet zudem VerbesserungspotenzialAbb. 05: Eine agile Arbeitsweise erfüllt nicht nur die Anforderungen des DIIR/ IDW, sondern bietet zudem Verbesserungspotenzial

Agile: Potenzial für Assurance Funktionen

Die Einführung agiler Denk- und Arbeitsweisen kann auch in anderen Assurance-Funktionen ein großer Gewinn sein:  So lassen sich beispielsweise im Risikomanagement in den Bereichen Risikoidentifizierung, -priorisierung und -bewertung agile Elemente einsetzen, um gleichermaßen eine frühe und flexible Reaktion auf neue Risiken zu erzielen.

Weitere Zugewinne finden sich in

  • der Verbesserung der Risikokultur durch stärkere Priorisierung und Fokus auf die größten Risiken;
  • dem generellen Erwerb einer höheren Anpassungsfähigkeit durch iterative "Just-in-time" Planung und Berücksichtigung aktueller Informationen;
  • der verstärkten Kollaboration an Schnittstellen, der Vermeidung von Doppelarbeit und damit der Erzielung von besseren Ergebnissen sowie einer kompatiblen Sicht im Reporting;
  • der höheren Attraktivität für neue Talente durch Reduktion von Hierarchien und Schaffung eines innovativen Arbeitsumfelds;
  • der besseren Einbindung von beispielsweise Risikomanagement in agile Projekte.

Grundlegend für die Realisierung einer gesteigerten Performance ist auch hier das Bewusstsein dafür, dass im Rahmen einer optimierten Zusammenarbeit zwischen den Assurance-Funktionen das gemeinsame agile Mindset die Basis bildet.

Voraussetzungen für eine erfolgreiche Transformation zu Agile

Die Transformation zu Agile bedeutet zum größten Teil die Verinnerlichung des agilen Mindsets und das "Verlernen" bestimmter bisheriger Verhaltens- und Arbeitsweisen. Unternehmen, die diesen kulturellen Aspekt von Agile unterschätzen, werden Schwierigkeiten damit haben, Agile gewinnbringend für sich einzusetzen.

Um mit Agile Internal Audit erfolgreich zu sein, sollte die Entscheidung für die Umstellung bisheriger Strukturen und Abläufe mit ausreichend Vorlauf getroffen werden, da sie mittel- und langfristig eine grundlegende organisatorische Transformation der Internen Revision bedeutet. Die Fallstricke von Transformationen sind vielfältig; nicht zuletzt sind das Verständnis von Agile und die sorgfältige Auswahl des agilen Vorgehensmodells wichtige Faktoren für jede Funktion, welche agil arbeiten möchte. Darum sollten die Spezifika, die Organisationen aufweisen, unbedingt im Rahmen der Bestimmung eines Zielbildes für die jeweilige Transformation berücksichtigt werden.

Eine grundlegende Voraussetzung für den Transformationserfolg ist ferner die bewusste Entscheidung der Revisionsleitung und ggf. weiterer Führungskräfte der Internen Revision für den Wandel. Denn agiles Arbeiten erfordert durch die Neuverteilung von Verantwortlichkeiten gleichzeitig eine Neuausrichtung der Führungskultur. Die Akzeptanz dieser Veränderung und das Internalisieren eines entsprechenden Verhaltens gehören zu den größten Herausforderungen [Hekkala et al. 2017].

Eine weitere wesentliche Voraussetzung für eine erfolgreiche Transformation ist zudem die Einführung eines kontinuierlichen Lernprozesses, der durch regelmäßige Schulungen, Coaching und den Aufbau von sog. Communities of Practice geprägt ist [Paterek 2017]. Das Verlernen alter und das Erlernen neuer Verhaltensweisen erfordert objektive Beobachtung und professionelle Unterstützung durch Agile Coaches. So wird nicht nur der Rückfall in alte Verhaltensmuster eingedämmt, sondern auch die bestmögliche Implementierung agiler Vorgehensweisen erreicht.

Da die Transformation idealerweise ebenfalls einem iterativen Vorgehen folgt, sollte frühzeitig ein Backlog, d.h. eine dynamisch veränderbare Übersicht von Transformationsthemen, erstellt und priorisiert bearbeitet werden (siehe Abb. 06).

Abb. 06: Wichtige Transformationsthemen und -aktivitäten, die anhand eines priorisierten Backlogs bearbeitet werdenAbb. 06: Wichtige Transformationsthemen und -aktivitäten, die anhand eines priorisierten Backlogs bearbeitet werden

Neben der Umstellung der einzelnen Audits auf Agile stellen sich auch Fragen zum Umgang mit agiler Jahresplanung, neuen Trainingskonzepten und Change Management vor allem in Bezug auf die Arbeitskultur und angepasste Entwicklungs- und Karrierepfade. Die Komplexität einer Transformation zu Agile ist daher ernst zu nehmen und die Entscheidung dafür sollte bewusst getroffen werden.

Ausblick

Viele Unternehmen haben mittlerweile verstanden, dass Wettbewerbsfähigkeit bzw. -vorteile nur zu erreichen sind, wenn sie flexibel auf neue oder veränderte Entwicklungen reagieren. Die Transformation zu Agile bietet ihnen eine Antwort darauf, wie sie anpassungsfähig werden können.

Doch auch wenn in Unternehmen die Erkenntnis über die Sinnhaftigkeit der agilen Arbeitsweise wächst, bleibt die Transformation einer bestehenden Organisation komplex. Ein nicht ausreichendes Verständnis von Agile führt zu fehlender Akzeptanz und letztlich einer missglückten Transformation [Cagle 2019]. Im Zuge der Transformation zu Agile kann es zunächst zu einem Nebeneinander von zwei verschiedenen Arbeitsweisen und -kulturen kommen – dem etablierten hierarchischen System und dem neuen agilen System mit Fokus auf Wertmaximierung durch Kollaboration. So besteht beispielsweise auch im Bereich Risikomanagement und IKS die Notwendigkeit zu mehr Flexibilität, jedoch ist das Erlangen dieser ungleich komplexer als im Fall von projektbasierter Arbeit wie im Internal Audit. Für gewisse Unternehmensprozesse mag die Anwendung agiler Arbeitsmethoden zum jetzigen Zeitpunkt noch als zu komplex und die strikte Befolgung etablierter Prozesse als zielführender empfunden werden. Dies führt dazu, dass sich in den meisten Organisationen, welche agile Methoden im Assurance Bereich anwenden, ein Geflecht an hybriden Strukturen zwischen den drei Verteidigungslinien spannt, dessen Schnittstellen ein aktives Management benötigen. Das Bindeglied zwischen den verschiedenen Strukturen sollte jedoch am Ende die agile Arbeitskultur sein.

Das Etablieren einer auf agilen Werten und Prinzipien basierenden Unternehmenskultur bleibt herausfordernd.  Kontinuierliches Lernen, Coaching und aktive Unterstützung durch das Management sind dabei entscheidende Erfolgsfaktoren.

Autoren:
Danja Schockenhoff
, Senior Manager, Risk Advisory, Strategic Risk, Deloitte GmbH
Miriam Thai-Thanh, Senior Consultant, Risk Advisory, Strategic Risk, Deloitte GmbH

Literatur

  • Hekkala, R., Stein, M. K., Rossi, M., & Smolander, K. (2017): Challenges in Transitioning to an Agile Way of Working. In Proceedings of the Hawaii International Conference on System Sciences. IEEE, pp. 5869-5878.
  • Kurt Cagle, K. (2019): Forbes. The End of Agile: www.forbes.com/sites/cognitiveworld/2019/08/23/the-end-of-agile/, abgerufen am 16.01.2020.
  • Paterek, P. (2017): Agile Transformation in Project Organization: Knowledge Management Aspects and Challenges. Academic Conferences and Publishing International Limited, 2017.
  • Newmark, R. I., Dickey, G., & Wilcox, W. E. (2018): Agility in Audit: Could Scrum Improve the Audit Process?. Current Issues in Auditing, 12(1), A18-A28.
  • Cegarra-Navarro, J. G., Soto-Acosta, P., & Wensley, A. K. (2016): Structured knowledge processes and firm performance: The role of organizational agility. Journal of Business Research, 69(5), 1544-1549.
  • Abbas, N., Gravell, A. M., & Wills, G. B. (2008): Historical roots of agile methods: Where did "Agile thinking" come from?. In International conference on agile processes and extreme programming in software engineering (pp. 94-103). Springer, Berlin, Heidelberg.
  • Beck, K., et al. (2001): Manifesto for agile software development.
[ Bildquelle Titelbild: Adobe Stock ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.