Agile Internal Audit I 1

© 2019 KPMG Advisory N.V.

Agile Internal AuditWhite paper over Agile werken voor Internal Auditfuncties

Deel I: Kennismaking met Agile werken

Januari 2019

2 | Agile Internal Audit Agile Internal Audit I 3

© 2019 KPMG Advisory N.V. © 2019 KPMG Advisory N.V.

Ook voor Internal Audit zien we de laatste jaren de nodige verschuivingen. Van reactief naar proactief omgaan met risico’s, van assurance naar het geven van advies en inzicht aan organisaties, maar ook dat meer en meer internal auditfuncties (IAF) te maken kregen met Agile. Het begon met het auditen van agile (IT-) processen wat transformeerde naar het zelf toepassen van Agile principes in de planning en tijdens het uitvoeren van audits. Een deel van de IAF’s in Nederland loopt hiermee voorop en een groot aantal is nog aan het experimenteren.

Complex, dynamisch en interactief…

KPMG heeft haar internationale klantkennis en ervaring met Agile auditing samengevat in deze (tweedelige) White Paper.

Deel 1Verschaft inzicht in de historie, de context en wat de toegevoegde waarde van Agile auditen is binnen IAFs.

Deel 2 Biedt praktijkhandvatten voor hoe de IAF de uitgangs-punten van Agile auditen kan toepassen in de inrichting van de IAF en in de planning en tijdens de uitvoering van de audits.

…zijn kernwoorden voor de continu veranderende omgeving van organisaties. Hierbij is verandering de enige constante en de veranderingen nemen in rap tempo toe. Dit vraagt om een vernieuwende manier van werken en mindset zodat organisaties succesvol kunnen blijven.

• Agilebenaderingen• ImpactvanAgileopinrichtingIAF• UitvoerenvanAgileaudits• UitdagingenenkansenvanAgileaudits• Casus:Agileauditendoorkoplopers• AgileDo’senDon’ts

Deel 2Deel 1• OorsprongvanAgile• TraditioneelWatervalvsAgile• AgileenInternalAudit• BelangrijksteAgileconcepten• AgileenhetIPPF• AgileInternalAuditVolwassenheidsmodel

Agile Internal Audit

Agile Internal Audit I 3

4 | Agile Internal Audit Agile Internal Audit I 5

© 2019 KPMG Advisory N.V. © 2019 KPMG Advisory N.V.

Oorsprong van Agile Agile is een verzamelnaam voor methoden die gebaseerd zijn op de principes van het Agile Manifesto. Van origine wordt het toegepast bij softwareontwikkeling en tegenwoordig wordt het toegepast in alle functies van een organisatie inclusief tweede- en derdelijnsfuncties van organisaties.

De doelstellingen van bij het toepassen van Agile principes voor IAF’s zijn: verhogen van auditkwaliteit, korte auditcycli, meer interactie met de auditee en het bieden van inzicht.

‘Wicked Problems, Righteous Solutions’ van Peter DeGrace &

Leslie Hulet Stahl behandelt de Scrum aanpak en andere Lean methoden voor softwareontwikkeling

Onwikkeling van Adaptive Software Development, Feature Driven Development, en Dynamic Systems Development Method (DSDM)

Ken Schwaber & Jeff Sutherland presenteren Scrum methodogie

voorBusinessobjectontwikkelingenimplementatie op het OOPSLA ‘95

Extreme Programming begint bij hetChryslerPayrollProject

‘Extreme Programming Explained’: gepubliceerddoorKentBeck

Toyota Production System (TPS) wordt populair in productie-

omgevingen, het begin van ‘Lean’

‘The New Product Development Game’ van Hirotaka Takeuchi & Ikujiro Nonaka gepubliceerd in

HarvardBusinessReview,metaandacht voor Rugby/Scrum

aanpak in productie

Het ‘Agile Manifesto’ wordt ondertekend

KenSchwaber&MikeBeedle publiceren het nu beroemde ‘Agile Software Development with Scrum’

De start van de projecten Agile UnifieProcess(AUP)–Scott

Ambler,OpenUnifieProcess(OpenUp)–eclipseproject, EssentialUnifieProcess (EssUP0–IvarJacobson

‘Implementing Lean Software

Development’ van Mary and Tom Poppendieck waarin Kanban wordt geïntroduceerd

‘A Practical Guide to Distributed

Scrum’ wordt gepubliceerd door Elizabeth Woodward, Steffan Surdek & Matthew Ganis

Agile toepassing in organisatie- onderdelen buiten IT

Van verbeterprojecten buiten de lijn naar continue verbetering binnen de ‘producten’

Eerste pilots op het gebied van Agile auditing in Nederland

1980 - 1989

1990 - 1999

2000 - 2009

2010 - heden

Recente ontwikkelingen

& toekomst

Agile toepassing voor de hele organisatie

1) Agile binnen 1st Line Of Defense

2) Agile binnen de 2nd LOD (o.a. risk, compliance)

3) Agile Internal Audit

In de toekomst past een groot aantal IAF’s Agile auditing toe waarbij het volwassenheidsniveau varieert (zie ook het Agile IA Volwassenheidsmodel op pagina10-11)

Agile (Audit) tijdlijn

6 | Agile Internal Audit Agile Internal Audit I 7

© 2019 KPMG Advisory N.V. © 2019 KPMG Advisory N.V.

De grondleggers voor de Agile methodiek komen uit de vorige eeuw, maar de erkenning en toepassing ervan zijn nog steeds in ontwikkeling.

WinstonRoyceheeftin1970dewatervalmethodegeïntroduceerd, vooral om te laten zien hoe het niet moet. Hij was voorstander van de do-it-twice approach, waarbij het analyseren van het product in kleine delen en het daarop acteren centraal staat. Paradoxaal genoeg is sindsdien het merendeel van de projecten juist volgens de watervalmethode uitgevoerd.

Ook (internal) audits worden op basis van een waterval- methodeuitgevoerd.Binnendeuitvoeringvandeauditworden zes stappen onderkend: planning, vooronderzoek, veldwerk, rapportage, evaluatie en follow-up. Veelal wordt er, ingegeven door de huidige interpretatie van de Internal Audit-standaarden, alleen verdergegaan met de volgende stap wanneer de voorgaande is afgerond.

Standaard2240vereisteengoedgekeurdwerkprogrammavóór het veldwerk. Tegelijk biedt deze Standaard ruimte voor

Traditioneel Waterval vs. Agile

Agile en Internal Audit

aanpassingeninhetwerkprogrammatijdensdeaudit.Binneneen Agile audit zal dit eerder regel zijn dan uitzondering. Dit vraagt om een auditmanager die wijzigingen van het werk-programma (en de herprioritering op het backlog) goedkeurt.

Agile werken is zeker niet iets wat alle organisaties moeten gaan overnemen. Hierbij moet er altijd rekening gehouden worden met de omgeving en de cultuur. Het is van belang om te beseffen dat de huidige watervalmethode niet altijd de beste oplossing is voor de IAF. Het kan om deze reden waardevol zijn om kennis te maken met en vooral zich open te stellen voor een nieuwere manier van denken en werken.

Deze publicatie laat zien dat naast de zes auditstappen, die nagenoeg alle IAF’s toepassen, het integreren van Agile methoden hierin een meerwaarde kan leveren aan de toegevoegde waarde van de IAF en kan helpen om de interne beheersing van organisaties te vergroten.

Onderscheidende kenmerken van Agile ten opzichte van Waterval zijn: iteratief, fl exibel en lerend vermogen.

Het Agile gedachtegoed is gebaseerd op vier uitgangspunten:

• Menseneninteractiemetdestakeholderszijn belangrijker dan de processen en middelen

• Eenwerkend product isbelangrijkerdaneennauwkeurige beschrijving

• Samenwerkenmetdeklantisbelangrijkerdandecontractonderhandelingen

• Inspelenopdegaandeveranderingenisbelangrijkerdan het volgen van een plan

Agile Internal Audit is de mindset en methode die een IAF gebruikt om zich te concentreren op de behoeften van belanghebbenden; het versnellen van de auditcycli, het tijdig geven van inzichten en de verspilling van resources verminderen. Door een Agile methode toe te passen kunnen de productiviteit en toegevoegde waarde van de IAF worden verhoogd en de doorlooptijd van een audit verlaagd.

BelangrijkstekenmerkenvanAgileInternalAudit:

• AnderemindsetvanAuditors• Deaanpakvandeauditisflexibel• Gebruikvandagstarts• Verhoogdebetrokkenheidvanauditee• Continueafstemmingoverhetproduct(rapport)• ToepassenvanAgileprincipesdierelevantzijn

© 2019 KPMG Advisory N.V. © 2019 KPMG Advisory N.V.

Scrum – een fl exibele manier om een product te maken. Er wordt gewerkt in multidisciplinaire teams die in korte sprints, met een vaste lengte van een tot vier weken, werkende producten opleveren.

Lean–eenmanagementfilosofieinhetvakgebiedvan operations management die erop gericht is om maximale waarde voor de klant te realiseren met zo min mogelijk verspilling.

Agile–eeniteratievemethodeomwenseneneisenboven water te krijgen en aan de steeds veranderende eisen te blijven voldoen.

Scrum, Lean en Agile, waar staat het voor?

Waardecreatie voor de opdrachtgever door zich op het (Agile) resultaat te richten.

Voortdurende optimalisatie van de werkwijze door veranderingen te verwelkomen.

Samenwerking en multidisciplinair team als basis voor de toegevoegde waarde.

Korte iteraties als hulpmiddel voor het tijdig bijsturen in een audit.

Flexibele en dynamische Internal Audit Planning als gevolg van continue risicomonitoring.

KPMG’s Agile IA Manifesto

1

2

3

4

5

© 2019 KPMG Advisory N.V.

Requirements

Analyse

Ontwerp

Bouw

Testen

Beheer

AGILERelease RepeatDefine

Build

Waterval

8 | Agile Internal Audit

© 2019 KPMG Advisory N.V. © 2019 KPMG Advisory N.V.

Belangrijkste Agile concepten

Agile en het IPPF

Hieronder zijn een aantal concepten uit Agile toegelicht om een beter beeld te krijgen van Agile auditing.

Audit backlogEen overzicht dat voortdurend bijgewerkt wordt met een dynamische bepaling van de audit(deel)onderwerpen. Dit biedt flexibiliteit vergeleken met een statisch Internal Auditplan (bijvoorbeeld één jaar). De items op de Audit backlog zijn abstract aangaande de scope, het proces en de timing. Wanneer de IAF en zijn stakeholders (bijvoorbeeld hetbestuurofdeAC)de auditbehoeftesverfijnenkomthet item hoger op de backlog totdat het geaudit kan worden. Drivers hierin zijn onder andere de continue risicoanalyse, behoefte van stakeholders maar ook elementen als datum van de laatste audit met oog op een periodieke afdekking van de audit universe.

Definition of Ready (DoR) EenitemopdeAuditPortfolioBacklogis‘DoR’wanneerde IAF en de stakeholders het eens zijn over wat er ge-audit zal worden; over wat de audit moet bereiken, de verwachte meerwaarde hiervan en de vereisten voor de auditee. Als voldaan wordt aan de ‘DoR’ dan kan het Scrum team beginnen. Dit voorkomt ‘waste’ gedurende de audit zelf.

Audit SprintsBijdeuitvoeringvandeauditverdwijnthetitemvande backlog en worden de verschillende scope-elementen onderverdeeld in afgebakende auditable onderwerpen, zogenaamde sprints. Sprints zijn tijdvakken waarin een element moet worden voltooid, bijvoorbeeld 2 tot 4 weken. Sprints zorgen voor een proces, structuur en ritme voor het werk.Hettijdvak–detijdwaarinhetauditteameenelementmoetvoldoen–moetzorgenvooreenstrakkedeadline,zonder dat dit stress oplevert. Door middel van iteratieve (wekelijkse) sessies wordt het proces continu geoptimali-seerd. Aan het eind van iedere sprint organiseert de IAF een demo waarin de observaties worden gepresenteerd aan de auditee. In deze demo wordt draagvlak voor bevindingen gecreëerd én gezocht naar mogelijke oplossingen.

Verspillingen reduceren (waste)Binnenagileauditingishetverminderenvanverspillingen(waste) een van de kernbegrippen. Waste kan zich uiten in verschillende vormen: wachten op iets voordat je verder kunt (auditee die niet levert), onnodig veel bewegingen (denk aan reizen), processen lopen niet logisch (teveel tijd voor voorbe-reiding) of teveel produceren (onnodig lange auditrapporten).

Dagelijkse Stand-upDe dagelijkse stand-up is een dagelijkse bijeenkomst van het auditteam van maximaal 15 minuten. Het doel van de stand-up is om de werkzaamheden op elkaar af te stemmen en een plan te hebben voor de komende 24 uur. Tijdens de stand-up meeting beantwoordt iedereen 3 vragen:

1. Wat heb ik bereikt sinds de vorige stand-up?2. Wat ga ik vandaag bereiken?3. Verwacht ik obstakels, en kan het auditteam me

daarbij helpen?

Het doel van de audit sprint wordt bij de stand-up telkens in het achterhoofd gehouden. Deze stand-up zorgt ervoor dat het waarschijnlijker wordt dat het doel van de audit sprint behaald wordt.

Definition of Done (DoD)DoD beschrijft de output van de audit sprints. Het kan uitgedrukt worden in een mate van zekerheid, een lijst van bevindingen,risico’sofaanbevelingen–afhankelijkvande wensen van de stakeholders en de IAF. Een DoD helpt om aan te geven wanneer een sprint is afgerond vanuit het perspectief van de audit product owner. Als aan de overall audit DoD wordt voldaan, stopt de audit.

Sprints RetrospectiefHet is een middel binnen Agile audit om aan het einde van iedere sprint een retrospectief te organiseren, waarbij alle issues in het auditproces worden besproken en indien mogelijk opgepakt. Het is hierbij wel van belang dat je met het auditteam een veilige omgeving creëert, waarbij eenieder de ‘waste’ kan benoemen zonder dat dit consequenties heeft, anders zullen de issues niet op tafel komen.

1210 Vakbekwaamheid. Werken door middel van Agile methoden vraagt andere kennis, vaardigheden en bekwaamheden van de internal auditors. Zo is er, wanneer er op een scrum methode gewerkt wordt, minimaal een specialist (= scrum master) nodig om de processen in goede banen te leiden. Naast deze rol is ook begrip van andere rollen en rolvastheid van groot belang.

1300 Programma voor kwaliteitsbewaking en -verbetering. Het stelsel moet de kwaliteit van de IAF beoordelen enverbeteringenidentificeren.Hierkandegrootsteuitdaging liggen voor het Agile auditen, aangezien iedere audit qua dossiervorming in orde moet zijn en een onafhankelijke reviewer het dossier zou moeten kunnen ‘reperformen’. Het is van belang om de vast-legging en goedkeuring van de werkzaamheden te allen tijde adequaat uit te voeren. Agile auditen ‘ontslaat’ de IAF niet van haar verplichting om een goede audit trail vast te leggen.

Binnen de IIA-standaarden wordt onderscheid gemaakt tussen de standaarden betreffende de inrichting van de IAF (Attribute Standards 1000-serie) en de standaarden voor de uitvoering van de audits (Performance Standards 2000- serie). Het toepassen van een Agile methode binnen een IAF heeft impact op naleving van de IIA-standaarden. Enkele voorbeelden:

Agile Internal Audit I 9

2010 Planning.BinneneenAgilewerkwijzewordthetdoelvooraf bepaald; de wijze waarop dit doel bereikt gaat worden staat niet vast. De mogelijkheden tot wijzigen van het auditjaarplan (of: backlog met te auditen objecten) vragen aandacht van de IAF met betrekking tot de op risico gebaseerde planning zodat de prioritering van de audit backlog bepaald kan worden.

2200 / 2240 Planning van de opdracht / opstellen van Werkprogramma. Een flexibele werkwijze is een belangrijk kenmerk binnen eenAgileaudit.Bijvoorbeeldhetinzettenvansprintsom een audit uit te voeren: opsplitsen van de scope in deelproducten, meer iteraties en kortere doorlooptijden in plaats van een vaste volgtijdelijke planning. Wijzigingen in de scope of het werkprogramma moeten goed-gekeurdwordendoordeCAEofeengedelegeerde.

2330 Documenteren van de informatie. Het uitvoeren van een audit via een Agile methode heeft tot gevolg dat er op eenefficiënterewijzegedocumenteerdwordtwaaruitblijkt hoe de conclusies tot stand zijn gekomen. Het is, om te voldoen aan de standaarden, wel belangrijk om minimaal een audit trail te hebben waaruit blijkt hoe de bevindingen en de conclusie tot stand zijn gekomen (zieook1300).

10 | Agile Internal Audit Agile Internal Audit I 11

© 2019 KPMG Advisory N.V. © 2019 KPMG Advisory N.V.

Agile Internal Audit – Volwassenheidsmodel

Team Agile getraind

Enkele Agile Audits ge-pilot

Minimale stakeholderbetrokkenheid

Level 1Initial / Ad hoc

Level 2Infrastructure / Agile doen

Verbeterde Agile auditvereisten

Verbeterde samenwerking en planning methoden

Regelmatig uitvoeren van de meeste Agile ‘ceremonies’

Zicht op stakeholderbehoefte

olwassen, gedocumenteerde Agile planning en vereisten

Gedefinieerdauditbredestandaardvoor Agile processen, rollen en

verantwoordelijkheden

Agile audituitvoering is consistent tussen de teams

Samenwerking met stakeholders leidt tot regelmatige inzichten en acties

Team kampt met schaalbaarheid problemen

Level 3Integrated / Agile zijn

GoedgedefinieerdeAgileKPI’sworden gemeten door teams

Agile audit teams zijn geman- dateerd en worden beloond

De focus op schaalbaarheid is toegenomen

Level 4Managed / Agile denken

Level 5Optimizing / Agile cultuur

Managementbeslissingen worden gefaciliteerd door Agile KPI- rapportages

Agile tools worden in de hele auditcyclus toegepast

Schaalbaarheid opgelost

Agile auditprocessen zijn volledig geoptimaliseerd

Agile audituitkomsten zijn opgenomen in een continue risicobeoordeling

Agile Internal Audit – Volwassenheidsmodel

(met schalen conform het IIA Ambition Model)

10 | Agile Internal Audit

12 | Agile Internal Audit

© 2019 KPMG Advisory N.V.

Resumerend, waarom is Agile audit relevant voor de IAF?

Hoe? Deel II, wordt vervolgd

Contacten

Focus op continue prioritering van aandachtsgebieden en daardoor bieden van relevant inzicht

Verhoogde auditkwaliteit

Kortere auditcycli en sneller opleveren van (deel)product

Meer interactie tussen auditteam en auditee waardoor verwachtings-management verbetert

Bart van LoonInternalAudit,Risk&CompliancePartnerT: +31 6 532 493 28E:VanLoon.Bart@kpmg.nl

Huck ChuahInternalAudit,Risk&ComplianceDirectorT:+31646366013E:Chuah.Huck@kpmg.nl

Deinditdocumentvervatteinformatieisvanalgemeneaardenisniettoegespitstopdespecifiekeomstandighedenvaneenbepaaldepersoonofentiteit.Wijstrevenernaarjuisteentijdigeinformatiete verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie.

@2019KPMGAdvisoryN.V.,ingeschrevenbijhethandelsregisterinNederlandondernummer33263682,islidvanhetKPMG-netwerkvanzelfstandigeondernemingendieverbondenzijnaan KPMGInternationalCooperative(‘KPMGInternational’),eenZwitserseentiteit.Allerechtenvoorbehouden.DenaamKPMGenhetlogozijngeregistreerdemerkenvanKPMGInternational.

Met dank aan bijdragen van: Svetlana Vrubleuskaya en Jacco Pols