13. November 2023
Banken setzen vermehrt auf agile Organisationsformen, in erster Linie in ihren Informatikeinheiten. Als Vorteile sehen sie schnelle, an Kundenbedürfnissen ausgerichtete Ergebnisse sowie verringerte Risiken von Fehlentwicklungen. Aber lassen sich mit einem iterativen, manchmal als chaotisch empfundenen Vorgehen regulatorische Vorgaben einhalten?
Die agile Bewegung hat ihren Ursprung im agilen Manifest aus dem Jahre 2001. Die agile Arbeitsweise zeichnet sich durch multidisziplinäre Teams aus, die funktionsübergreifend zusammengesetzt sind. Diese Teams haben weitgehende Kompetenzen, indem sie sich selbst organisieren, Entscheide selbständig treffen und umsetzen. In ihren Entscheiden orientiert sich das Team in erster Linie an den Bedürfnissen der Kundinnen und Kunden. In der Umsetzung geht das Team schrittweise vor und holt nach jedem Schritt das Feedback der Kundinnen und Kunden ein. Ein solches Vorgehen ist vor allem für komplexe Problemstellungen, wie es beispielsweise IT-Vorhaben sind, besonders geeignet. Es werden in der Regel rasch erste Ergebnisse erreicht und allfällige Fehlentwicklungen lassen sich durch Verbesserungsvorschläge der Kundinnen und Kunden frühzeitig korrigieren.
Abbildung 1: Prinzipien agilen Arbeitens
Insgesamt orientiert sich agiles Arbeiten an den Bedürfnissen der Kundschaft und Ergebnisse werden von funktionsübergreifenden, sich selbst organisierenden Teams iterativ aufgebaut (siehe Abbildung 1).
Compliance als Einwand gegen agile Arbeitsweisen in Banken
Es ist wohl unbestritten, dass agile Arbeitsweisen vorteilhaft eingesetzt werden können. Auf der anderen Seite haben Banken in ihren Geschäften eine ganze Reihe an Regulatorien einzuhalten. Fehlende Compliance kann für die Bank schwerwiegende Konsequenzen haben. Als Compliance gilt die Einhaltung von gesetzlichen, regulatorischen und internen Vorschriften sowie die Beachtung von marktüblichen Standards und Standesregeln.[1] Es ist deshalb nicht verwunderlich, dass Banken mit Blick auf die Compliance Bedenken haben, agile Verfahren einzusetzen. Wohl das wichtigste Argument gegen agile Arbeitsweisen im Bankenumfeld ist die weit verbreitete Meinung, dass der iterative und selbstorganisierte Ansatz der Agilität dazu führe, dass für die Compliance notwendige Prozesse missachtet und erforderliche Dokumentationen nicht erstellt würden. Gemäss dieser Ansicht geht mit Selbstorganisation die Kontrolle verloren, was unweigerlich zu Chaos und Anarchie führe. Als zweites wird agilen Arbeitsweisen vorgeworfen, dass sie sich ausschliesslich auf die Bedürfnisse der Kundinnen und Kunden konzentrierten. Der Blick auf andere wesentliche Aspekte, allen voran die Notwendigkeiten der Compliance, gehe verloren. Die dritte Argumentationslinie schliesst die Möglichkeit nicht aus, dass Agilität auch im Bankenumfeld compliant eingesetzt werden kann. Sie gibt aber zu bedenken, dass es sich bei Agilität weniger um Verfahren und Methoden, sondern vielmehr um einen Mindset handelt, der Denkweisen, Überzeugungen und Verhaltensmuster umschreibt.[2] Agilität heisst nicht nur agil arbeiten, sondern vor allem agil sein. Vorausgesetzt dieses Mindset ist in der Kultur der Unternehmung eingebettet, dann besteht gemäss dieser Auffassung die Überzeugung, dass mit Agilität auch Compliance sichergestellt sei. Zweifel kommen dann auf, wenn der agile Reifegrad und damit die Verankerung des agilen Mindsets in der Unternehmenskultur nicht ausreichend gegeben sind.
Abbildung 2: Vorbehalte gegen Agilität in Banken
Insgesamt ist gemäss diesen Überlegungen Agilität für Banken ungeeignet, weil das Management keine Kontrolle über für die Compliance relevante Prozesse und Dokumentationen hat, weil der kundenzentrierte Fokus Compliance ausschliesst, und weil der agile Mindset in der Regel zu wenig mit der Unternehmenskultur verwachsen ist (siehe Abbildung 2).[3]
Was es in Banken braucht, um gleichzeitig agil und compliant zu sein
Wenn es in Banken um das Verhältnis zwischen Compliance und Agilität geht, dann lassen sich zwei Arbeitssituationen unterscheiden: Entweder die Compliance Einheit der Bank arbeitet agil, das heisst «Agilität in der Compliance», oder die Organisation, allen voran die IT arbeitet agil, und die regulatorischen Vorgaben sind darin einzuhalten, das heisst «Compliance in agiler Organisation» (siehe Abbildung 3).
Abbildung 3: Agilität und Compliance – zwei unterschiedliche Arbeitssituationen
Die folgenden Überlegungen befassen sich vor allem damit, wie sich in einer agilen Organisation die Anliegen der Compliance-Funktion berücksichtigen lassen.
In den Erläuterungen zum Rundschreiben Operationelle Risiken und Resilienz stellt die Finma fest, dass mit dem zunehmenden Volumen an Entwicklungen und Weiterentwicklungen von IT-Anwendungen in den Banken auch agile Arbeitsweisen Einzug gehalten haben. Aufgrund dieser Tatsache legt die Finma Wert auf einen strukturierten, wohldefinierten und kontrollierten Change Management-Prozess, in dem vor allem die Auswirkungen veränderter Risiken zu berücksichtigen sind.[4] Danach sind agile Arbeitsweisen durch geeignete Prozesse so abzusichern, dass die Einhaltung regulatorischer Vorschriften sichergestellt ist. Ein zweiter Hebel, um Compliance in der agilen Arbeitsweise zu verankern, ist die Ergänzung agiler Teams mit Compliance-Experten. Diese können entweder als feste Teammitglieder umfassend mitwirken oder punktuell als Fachexperten beigezogen werden. Wie auch immer Compliance Know-how in einem agilen Team eingebunden wird, es sind dafür Aufgaben und Zuständigkeiten festzulegen, was aber durchaus in Selbstorganisation und damit konform zu den agilen Prinzipien erfolgen kann. In den bisherigen Ausführungen wurde von Compliance-Anforderungen in einem allgemeinen, wenig spezifischen Sinn gesprochen. Es stellt sich somit die Frage, welche konkreten Compliance-Anforderungen es denn sind, die in agilen Arbeitsweisen ihren Niederschlag finden sollen. Für agile IT-Organisationen in Banken sind dies in erster Linie die folgenden Aspekte aus dem Finma RS 2023/1: Cyber-Sicherheit sowie Vertraulichkeit, Integrität und Verfügbarkeit der IT-Infrastruktur einerseits, und der kritischen Daten andererseits. Damit diese Anforderungen ihren Platz in agilen Arbeitsweisen erhalten, ist es besonders wichtig, dass agiles Arbeiten im Rahmen einer übergreifenden Architektur erfolgt. Jedes weitere Inkrement, das im Rahmen einer Iteration erstellt wird, ist in eine vorgängig festgelegte Gesamtarchitektur einzupassen. Agiles Arbeiten, bei dem es um schnelle Ergebnisse geht, verlangt also, im Vorfeld Energie in einen architektonischen Rahmen zu investieren, um sicherzustellen, dass die schnellen Inkremente zu einem kohärenten, regulatorisch-konformen System führen.
Abbildung 4: Ansätze zur Stärkung der Compliance in agiler Organisation
Insgesamt lassen sich Agilität und Compliance in Einklang bringen, wenn agiles Arbeiten sich auf einen klar definierten Change-Prozess abstützt, Compliance-Experten beigezogen werden und Veränderungen in eine übergreifende Architektur eingepasst werden.
Fazit
Zusammenfassend kann die Ausgangsfrage, ob Agilität und Compliance für Banken zusammenpassen, mit einem klaren Ja beantwortet werden. Dem Vorwurf, dass agiles Arbeiten aufgrund fehlender Disziplin Anforderungen der Compliance ignoriert, kann dadurch begegnet werden, dass die Anliegen der Compliance in Prozessen, Teamzusammensetzung und einer Gesamtarchitektur einfliessen. Die Vorteile von Kundenorientierung, raschen Ergebnissen, und engagierten Mitarbeitenden, die agile Arbeitsweisen mit sich bringen, lassen sich also mit geeigneten, ergänzenden Massnahmen auch für Banken einsetzen.
Möchten Sie das Thema mit uns vertiefen? Dann nehmen Sie mit uns Kontakt auf (felix.buschor@hslu.ch). Sind Sie an vertiefenden Ausführungen zum Thema Agile Organisation interessiert? Dann melden Sie sich für das IFZ Bank-IT Forum «Agile Organisation in der IT» an (IFZ Forum Bank-IT: Agile Organisation in der IT | Hochschule Luzern (hslu.ch))
[1] Gemäss Finma RS 2017/1
[2] Für Mindset als Basis der Agilität siehe Understanding The Agile Mindset (forbes.com)
[3] Ähnliche Überlegungen durch PWC, siehe Running agile in a regulatory programme | PwC.
[4] Ausgeführt in den Erläuterungen zu Finma RS 2023/1, siehe FINMA veröffentlicht Rundschreiben „Operationelle Risiken und Resilienz – Banken“ | FINMA
Kommentare
0 Kommentare
Danke für Ihren Kommentar, wir prüfen dies gerne.