Na indústria após a indústria, as empresas estão experimentando maneiras ágeis de trabalhar enquanto tentam aumentar a produtividade e promover uma maior inovação, e muitas estão mudando ágil em escala e tentando acertar o ágil. Os benefícios são substanciais - as empresas geralmente atingem reduções de 25% a 35% no custo, melhorando a qualidade em 20% e aceleram a entrega de novos produtos e serviços em 100% a 200%. Mas a transição envolve alterações em todas as partes da organização, exigindo que a gerência sênior repensasse os processos internos e se comprometa com uma mudança para equipes multifuncionais. E os benefícios podem permanecer ilusórios se as empresas negligenciarem o gerenciamento e a conformidade dos riscos e não fizerem as alterações necessárias para apoiar as novas maneiras de trabalhar. Trabalhando em sprints ágeis, um banco desenvolveu rapidamente uma nova funcionalidade que permite que os clientes entrem em suas contas móveis e executem transações mais rapidamente do que antes. Mas alguns dias antes do lançamento, a função de risco descobriu que o novo recurso não exigia autenticação de dois fatores dos usuários-uma grave violação de conformidade. A liberação teve que ser suspensa e o recurso fixo, adicionando meses de tempo de desenvolvimento, que poderia ter sido evitado se a função de risco fosse incluída no início do processo de desenvolvimento ágil. As empresas podem gerenciar riscos financeiros, operacionais e de conformidade de maneira robusta, enquanto as equipes de negócios reorientam seu foco para atender melhor as necessidades de clientes e negócios. Em nossa experiência, as empresas podem garantir os muitos benefícios do Agile, mantendo processos eficazes de gerenciamento de riscos e conformidade que, para indústrias regulamentadas, também abordam as expectativas regulatórias. (Consulte a exposição.)
Take a common example from financial services. Working in agile sprints, a bank quickly developed a new functionality that allows customers to log into their mobile accounts and execute transactions faster than before. But a few days before the release, the risk function found that the new feature did not require two-factor authentication from users—a serious breach of compliance. The release had to be suspended and the feature fixed, adding months of development time, which could have been avoided had the risk function been included early in the agile development process.
Agile is not inherently more risky or prone to missteps such as this one, but adopting an agile approach also means that companies need to adapt risk management to the new ways of working so that risk and compliance keep pace with agile teams as they iterate through product delivery. Companies can manage financial, operational, and compliance risks in a robust manner while business teams reorient their focus toward better serving customer and business needs. In our experience, firms can secure the many benefits of agile while maintaining effective risk management and compliance processes that, for regulated industries, also address regulatory expectations. (See the exhibit.)
Identificando e monitorando o risco e a conformidade de maneira eficaz
= AGEL é uma velocidade e o mercado. Para desbloquear essas eficiências, as empresas precisam modificar as principais práticas de gerenciamento de riscos, desenvolvendo uma avaliação de risco específica do ágil e um programa de monitoramento contínuo. A avaliação de riscos cataloga e analisa os tipos de risco que são titulares em processos ágeis-como a necessidade de procedimentos de segurança compatíveis no desenvolvimento do recurso de negociação de custódia-cliente descrito anteriormente-e integra essa avaliação aos procedimentos de governança ágil da empresa ou muito bem. Mas os perfis de risco mudam sobre o ciclo de vida do desenvolvimento ágil, e é por isso que é necessário um monitoramento contínuo para reavaliar regularmente os riscos associados a um projeto específico. Considere uma iniciativa que, a princípio, não envolve a necessidade de dados do cliente. À medida que o projeto passa por sua sequência de iterações, no entanto, a equipe adiciona funcionalidade que acessa dados do cliente e potencialmente expõe a empresa ao risco de privacidade de dados; Esse risco precisa ser avaliado. Agora considere que esse cenário se desenrola em várias equipes ágeis a cada semana em unidades de negócios espalhadas por mercados em todo o mundo. O rastreamento manual ou convencional não pode acompanhar.
At the start of a project, each agile team performs its own early-stage assessment of the types of risk that may manifest during the development process. The risk assessment catalogs and analyzes the kinds of risk that are incumbent in agile processes—such as the need for compliant security procedures in the development of the custodian-client trading feature described previously—and integrates this appraisal into the company’s, or function’s, agile-governance procedures.
So far, so good. But risk profiles change over the agile development life cycle, which is why continuous monitoring is needed to regularly reassess the risks associated with a particular project. Consider an initiative that at first involves no need for customer data. As the project moves through its sequence of iterations, however, the team adds functionality that accesses customer data and potentially exposes the company to data privacy risk; that risk then needs to be assessed. Now consider that this scenario plays out in multiple agile teams each week in business units spread across markets around the world. Manual or conventional tracking cannot possibly keep up.
A solução envolve o monitoramento dinâmico e em tempo real dos riscos, integrando digitalmente os resultados da avaliação de risco nos sistemas de gerenciamento de fluxo de trabalho existentes. A projeção da arquitetura técnica requer uma compreensão completa do cenário tecnológico atual da empresa e normalmente inclui o desenvolvimento de sistemas de back-end para compartilhar, agregar e priorizar dados entre as ferramentas de fluxo de trabalho. Trabalhamos com vários clientes para desenvolver programas apropriados de avaliação e monitoramento de riscos específicos ágeis, juntamente com os fluxos de trabalho e as ferramentas digitais para apoiá-los. (Consulte o vídeo para uma ilustração de nossa abordagem.)
Fornecer suporte de risco e conformidade a equipes ágeis com eficiência
Um grande - e novo - por meio de risco para riscos e conformidade é lidar com as solicitações de assistência, que podem assumir muitas formas, incluindo revisões de riscos, participação em relação à participação. O tratamento do desafio envolve dois objetivos: não sobrecarregar os recursos da função de risco e conformidade, para que cada solicitação receba atenção adequada e não diminuindo as equipes de desenvolvimento ágil em movimento rápido, porque precisam esperar por risco e conformidade para recuperar o mesmo nível. Uma solução eficaz é um modelo de cobertura que corresponde à intensidade (alta, média ou baixa) e natureza (por exemplo, operacional, reputação ou conformidade) de riscos com a quantidade e o tipo de suporte exigidos pela função de risco e conformidade. Por exemplo, uma equipe ágil que trabalha para redesenhar o processo de atração de clientes de um banco provavelmente precisa de um especialista em assuntos de conformidade, enquanto o desenvolvimento de um novo formulário de reclamação de clientes on-line para uma companhia aérea pode exigir apenas contribuições periódicas de risco e conformidade durante algumas cerimônias ágeis. A chave para a função de risco e conformidade é primeiro entender a composição do portfólio ágil e suas características. A gerência pode priorizar de acordo com o impacto do envolvimento da função de risco e conformidade, certificando -se de que as habilidades e conhecimentos certos sejam alocados para maximizar a cobertura, garantindo a utilização eficiente de recursos. Um bom modelo de cobertura de risco também ajuda a destacar as lacunas no talento existente e a identificar onde é necessário resgatar ou contratar uma nova contratação. Embora várias partes da empresa estejam se tornando mais eficientes e eficazes, a função de risco e conformidade também precisa avaliar como ela pode adotar maneiras ágeis de trabalhar para otimizar a colaboração e desbloquear eficiências. Para para iniciar, isso envolve identificar quais projetos são adequados para iniciar e reimaginar como os principais processos de gerenciamento de riscos comerciais e usuais podem aproveitar a metodologia e as ferramentas ágeis. Aplicando processos de risco ágeis a comerciais como usuais, como desenvolvimento de modelos ou teste de estresse, as empresas podem obter ganhos de eficiência de até 25%, liberando recursos a serem implantados em outras atividades prioritárias ou simplesmente gerando economia de linha de base. um processo reimaginado. As políticas e modificações de procedimentos documentam a integração sistemática do gerenciamento de riscos ao longo do ciclo de vida ágil e demonstram forte governança - tanto para o Conselho de Administração quanto para os reguladores da indústria. As modificações comuns incluem alterações nos procedimentos de ciclo de vida de monitoramento contínuo ou de desenvolvimento de software. Muitas empresas usam painéis de especialistas no assunto e escritórios de gerenciamento de programas para supervisionar a integração do gerenciamento de riscos nos programas ágeis da empresa mais ampla. Se eles não abordarem o problema, os benefícios ágeis podem permanecer ilusórios e a frustração poderá surgir em outras partes da organização, à medida que novos produtos e serviços são adiados e retrabalhados quando os problemas de risco e conformidade forem capturados muito tarde no processo. Muitos de nossos clientes encontraram um curto diagnóstico de suas práticas de gerenciamento de riscos para ambientes ágeis serem valiosos para identificar as necessidades e os principais obstáculos a avançar uma transformação ágil e capturar seu valor. Quanto mais cedo as necessidades forem identificadas, menos perturbador serão as soluções e mais cedo esse risco e conformidade estarão a bordo com a transformação ágil geral.
Not every new product, service, or solution development project requires the same level of risk and compliance involvement. One effective solution is a coverage model that matches the intensity (high, medium, or low) and nature (for example, operational, reputational, or compliance) of risks with the amount and type of support required from the risk and compliance function.
Several coverage models ensure adequate risk management oversight. For example, an agile team working to redesign a bank’s customer-onboarding process likely needs a compliance subject matter expert, while the development of a new online customer complaint form for an airline may require only periodic risk and compliance input during a few agile ceremonies. The key for the risk and compliance function is to first understand the composition of the agile portfolio and its characteristics. Management can then prioritize according to the impact of the risk and compliance function’s involvement, making sure that the right skills and expertise are allocated to maximize coverage while ensuring efficient resource utilization. A good risk coverage model also helps highlight gaps in existing talent and identify where reskilling or new hiring is required.
Achieving a Step Change in the Effectiveness and Efficiency of Risk and Compliance
Agile isn’t only for other functions. While various parts of the company are becoming more efficient and effective, the risk and compliance function also needs to assess how it can adopt agile ways of working to streamline collaboration and unlock efficiencies. To start, this involves identifying which projects are well suited to agile and reimagining how key business-as-usual risk management processes can leverage agile methodology and tools.
For example, BCG recently assisted a firm in developing a modern microservices platform for market and counterparty credit risk by applying agile, which reduced the project budget from $100 million to $50 million and accelerated delivery time by 50%. By applying agile to business-as-usual risk processes, such as model development or stress testing, firms can realize up to 25% efficiency gains, freeing up resources to be deployed in other priority activities or simply generating bottom-line savings.
Organization and Program Management
A strong governance structure underpins the three pillars, supported by new roles and responsibilities for risk and compliance as well as the business in a reimagined process. Policies and procedure modifications document the systematic integration of risk management along the agile life cycle and demonstrate strong governance—both for the board of directors and for industry regulators. Common modifications include changes to continuous-monitoring or software development life cycle procedures. Many companies use panels of subject matter experts and program management offices to oversee the integration of risk management into the broader enterprise’s agile programs.
Getting Started
Key stakeholders throughout management need to have a candid conversation about where they believe risk management in agile stands today and the potential implications of a lag in agile development of the risk and compliance function. If they fail to address the issue, agile benefits could remain elusive and frustration could arise in other parts of the organization as new products and services are delayed and reworked when risk and compliance issues are caught too late in the process. Many of our clients have found a short diagnostic of their risk management practices for agile environments to be valuable in identifying the needs and principal roadblocks to moving an agile transformation forward and capturing its value. The earlier that the needs are identified, the less disruptive the solutions will be and the sooner that risk and compliance will be onboard with the overall agile transformation.
