Suche

FAQ


Hier findet ihr Antworten zu den Fragen, die uns über die DIIR Open Books Session und andere Kanäle erreichen. Wie die Inhalte unserer Website sind die Antworten eine Sammlung der Good Practices einzelner GAAN Mitglieder und haben keinen Anspruch auf Vollständigkeit oder Allgemeingültigkeit.

Auditees


Wie sind die Erfahrungen mit dem Mindset der Auditees? Welche Good Practices gibt es im GAAN zum Umgang mit den Auditees, um das passende Mindset zu erreichen?

Information & Kommunikation sind hier die wesentlichen Erfolgsfaktoren. Zu Beginn einer Prüfung wird das agile Prüfungssetup und das Prüfungsvorgehen vorgestellt und hierzu wesentliche Vereinbarungen getroffen. Auditees lernen ebenfalls, wie die Revision selbst, von Audit zu Audit, quasi über das Tun ("Doing") zum Sein (Being") und damit zu einem veränderten Mindset. Beides benötigt Zeit und entwickelt sich im Laufe mehrerer Prüfungen.


Gibt es schon Erfahrungen den geprüften Bereich mit einzubinden, z.B. in Stand-ups?

Geprüfte Einheiten werden über Reviews eingebunden, die z.B. wöchentlich stattfinden. So herrscht zeitnahe Transparenz über die Sachverhalte und möglichen Feststellungen. Insgesamt wird hierdurch die Kundennähe deutlich gesteigert.


Wie werden die zu prüfenden Einheiten auf die agile Vorgehensweise der Revision "vorbereitet"?

In der Regel arbeitet die Organisation selbst bereits mit agilen Methoden und ist somit mindestens in Grundzügen hierüber informiert. Generell ist zu empfehlen beim Start eines jeden Audits das agile Prüfungssetup sowie das Prüfungsvorgehen vorzustellen und die Art der Zusammenarbeit (Timelines und Prozess) konkret zu vereinbaren.


Wie werden die Stakeholders im Agilen Prüfungsprozess upgedated? Innerhalb der selben Sprint Review (mit dem ganzen Prüfungsteam) eingeladen oder hält man getrennte Sprint Review Meetings (intern und extern)?

Die Auditees werden über z.B. wöchentlich stattfindende Sprint Reviews über den aktuellen Stand der Prüfung informiert und können hier ihr Feedback geben. Je nach Reifegrad von Auditteam und Auditee geübt es entweder zwei Reviews, intern und extern, oder lediglich ein gemeinsames Sprint Review.

Agile Journey

Wie habt Ihr die Mitarbeiter*innen an das Thema herangeführt, so dass sie offen dafür waren? Und wie stark war der Ansatz vorgegeben bzw. welche Freiräume bestanden beim Ausprobieren?

In unserem Netzwerk gibt es hierzu tatsächlich unterschiedliche Vorgehensweisen: Einige haben über erstes Ausprobieren im Rahmen von Pilotaudits Erfahrungen gesammelt, hieraus gelernt, um dann einheitlich im gesamten Revisionsbereich Agilität einzuführen. Andere haben ebenfalls über Pilotaudits Erfahrungen gesammelt, um dann sukzessive agile Arbeitsweisen in die Organisation auf freiwilliger Basis einzuführen. Beiden gemein ist das Ausprobieren und Erfahrungen sammeln, in der Umsetzung unterscheiden sich die Ansätze von eher zentralen, Top-down- bzw. dezentralen, Bottom-up-Vorgehensweisen. Wichtig ist, dass die Vorgehensweise zur Unternehmenskultur passt und von der Unternehmens- sowie Revisionsleitung nachhaltig unterstützt wird.


Müssen Führungskräfte "immer" agil gecoacht sein oder gar "agile Coaches" sein?

Unserer Erfahrung heraus ist es wesentlich für eine erfolgreiche agile Transformation, dass die Führungskräfte von Agilität überzeugt sind. Agile Arbeitsformen verändern Führungsaufgaben grundlegend, so dass der Beitrag der Führungskräfte für das Gelingen hier entscheidend ist. Führungskräfte müssen keine ausgebildeten agile Coaches sein. Dennoch ist wichtig, dass Führungskräfte neben der agilen Haltung ein Grundverständnis von den Prinzipien, Frameworks und Praktiken der Agilität haben, um ihren Beitrag zum Gelingen beizusteuern.


Es gibt verschiedene Persönlichkeitsprofile z.B. nicht jedes kann gut mit „Risikofokussierung“ (nicht vollständige Abdeckung eines Prüfungsgebietes) umgehen – auch wenn der Wille da ist. Wie ist da ihre Erfahrung?

Risikofokussierung bedeutet, dass ich mich auf Basis von Informationen unter Unsicherheit entscheiden und positionieren muss. Auf Grundlage von Informationen treffe ich unter Unsicherheit eine Entscheidung, etwas zu tun und/oder etwas zu lassen. Das bedeutet auch, dass ich hierfür verantwortlich bin. Sofern ich in meiner bisherigen beruflichen Tätigkeit entweder nie eine solche Verantwortung genommen habe bzw. nehmen musste und demzufolge keine Erfahrung damit habe oder aber Erfahrung habe, diese aber aus meiner Sicht nicht positiv war, ist es möglicherweise für Menschen deutlich schwieriger, eine solche Entscheidungsverantwortung zu nehmen, auch wenn der Wille da sein mag.

Agile Arbeitsweisen können hierbei unterstützen, da wesentliche Entscheidungen gemeinsam im Team getroffen werden. Die Entscheidungsfindung wird durch klar definierte Rollen, Prozesse, Meetings strukturiert und ist durch die Nutzung von Artefakten nachvollziehbar dokumentiert. Dieser Rahmen schafft somit die Voraussetzung, die Entscheidungsfindung zu unterstützen und fortlaufend zu lernen.

Um vom "Doing" dann zum "Being" zu gelangen ist es u.E. wichtig, dass Auditoren sowohl Unterstützung i.S.v. Feedback bei einer Entscheidungsfindung erhalten als auch Rückhalt, wenn eine Entscheidung sich nachträglich, als weniger geeignet herausstellt. Beides erfordert Übung sowie Vertrauen und benötigt Zeit. Für den Aufbau des benötigen Vertrauens spielt die Fehlerkultur in der Organisation ein zentrale Rolle. In einer offenen Organisation werden Fehler als Chance zur Verbesserung wahrgenommen und nicht sofort abgestraft. Ein solches Umfeld, was auch seitens der Mitarbeiter als auch des Managements Mut erfordert, begünstigt eine Fokussierung auf die Risiken.


Wie fügen sich nach Eurer Erfahrung die agilen Teams in bestehende Strukturen/Hierarchien ein? Gibt es ein Nebeneinander der alten und der neuen Welt oder wie bringt man alles und alle am besten zusammen?

Generell können die Rollen in agilen Prüfungen von Hierarchien und damit von der Aufbauorganisation abweichen. Eine prüfungsspezifische Rollenfestlegung ist dennoch wichtig und sollte auch zu dokumentiert werden.

Bei der Einführung von Agilität hat es sich aus unserer Sicht bewährt, mit einer übergreifenden Information zur Einführung zu beginnen und danach zunächst im geschützten Raum agile Vorgehensweisen auszuprobieren (z.B. im Rahmen eines Pilots). Ebenso ist es nach unserer Erfahrung wichtig, eine Begleitung durch agile Experten/Coaches vorzusehen. Das bedeutet, dass es zwangsläufig ein Nebeneinander von "klassischer" und "agiler" Welt gibt.

Je nach Prüfungsgegensatnd können jedoch beide methodischen Prüfungsansätze, "klassicsh" wie "agil", auch dauerhaft ihre Daseinsberechtigung haben. Das Leben grundlegender agiler Werte und Prinzipien steht dies nicht entgegen.


Gibt es auch Beispiele für Fehlschläge und warum war das so?

Beispiel 1:

In einer Organisation, in der neue Ansätze ausprobiert werden, werden naturgemäß Lernfelder aufgedeckt, die Raum für Verbesserungen lassen. So hatten wir die Erkenntnis gehabt, dass eine agile Prüfung nach Scrum bei einem stark regulatorisch getriebenen und inhaltlich abgegrenzten Thema nicht die Wirksamkeit entfaltet hat, wie bei einem komplett neuartigen Prüfungsthema. Das Prüfungsteam hatte hierbei dem Meeting Backlog Refinement nur einem begrenztem Potential beigemessen, da sich der Scope während der Prüfung kaum verändert hat. Dies führte dazu, dass die Sinnhaftigkeit der Meetings kritisch hinterfragt worden ist. Als Folge hieraus hat sich das Team dazu entschieden, die Prüfung nicht mehr nach Scrum durchzuführen, sondern fortan auf agile Methoden zu setzen, die an die Kanban Methodik anlehnten. Dadurch wurde sichergestellt, dass die grundlegenden agilen Werte und Prinzipien weiterhin in der Prüfung angewendet worden sind. So wurde durch ein Kanban Board das Prinzip "Mache Arbeit sichtbar" umgesetzt oder durch ein stattfindenden Retrospektive geschaut, wie sich das Team in der Zusammenarbeit weiterentwickeln kann, was dem Prinzip der "kontinuierlichen Verbesserung" entspricht. Als Learning wurde aus der Prüfung mitgenommen, dass die Anwendung von Scrum nicht bei allen Prüfungsthemen ihr volles Potential entfaltet, die Anwendung von agilen Methoden dennoch sehr gut geeignet sind. Diese Erkenntnis wird seit dem im Rahmen der Prüfungsplanung berücksichtigt.


Beispiel 2 aus einer anderen Organisation:

Der Bottom-up Ansatz hat sich als wenig effizient herausgestellt, da die Umsetzung ein entsprechendes Commitment des Managements erfordert. So gestaltet sich die Implementierung von neuen Arbeitsweisen über den Bottom-up Ansatz als langwierig und kräftezehrend. Im worst-case kann hierdurch die anfängliche Euphorie untergraben werden.Der Bottom-up Ansatz erfordert demnach ein ausreichendes Commitment seitens des Managements, da sonst geplante oder erforderliche Maßnahmen nicht zielführend umgesetzt werden können. Im worst-case kann hierdurch die anfängliche Euphorie untergraben werden und zu Frustration führen.


Wie groß ist der Einführungsaufwand agiler Methoden...bei einzelnen Prüfungen bzw. in Gänze. Ist das „im Tagesgeschäft“ nebenbei leistbar oder sind dazu Ressourcen quasi freizustellen?

Um nachhaltig die Transformation zu einer agil arbeitenden Organisation zu unterstützen, hat die Commerzbank Agile Champions in den einzelnen Revisionsbereichen etabliert. Sie begleiten den Prozess, in dem sie die Prüfungsteams als auch das Management im Rahmen der Transformation begleiten, beraten, coachen, trainieren. Hierfür wurden durch das Managament ca. 50% der jeweiligen Kapazitäten der Agile Champions für die agile Begleitung freigestellt.


Danke für das Teilen der Inhalte, sehr interessant. Mich würde interessieren wie man den "Mindset"wechsel messbar machen kann. Irgendwie muss man ja den Wechsel bzw. eine Verbesserung aufzeigen können.

Sehr gute und schwierig zu beantwortende Frage zugleich. Bei Messbarkeit denken wir oftmals gleich in definierten Soll-Ist-Abgleichen, in KPIs. Die Effekte zeigen sich z.B. in einer konsequenteren Risikoorientierung als auch stärkeren crossfunktionalen Zusammenarbeit zwischen den Bereichen der Auditfunktion. Definitiv ein noch zu beleuchtendes Thema in GAAN.


Gibt es bestimmte (persönliche) Kriterien für Mitarbeiter der Revision, die von euch für die Agilität als besonders wichtig?

Wichtig sind uns das Leben der agilen Werte (Commitment, Fokus, Mut, Offenheit, Respekt), von daher ist dies auch Bestandteil des Auftakts aller Prüfungen, um hier ein gemeinsames Verständnis für die Zusammenarbeit in der Prüfung zu erlangen. Neben den agilen Werten wirken die agilen Prinzipien als Grundpfeiler für das agile Arbeiten, z.B. Arbeit sichtbar machen, Arbeit in crossfunktionalen Teams, inkrementelle Herangehensweise oder Timeboxing. Diese Prinzipien sind unabhängig von der angewendeten agilen Methode oder Framework und können durch den Scrum Master oder Agile Coach im Rahmen von Prüfungs-Kickoffs oder Workshops immer wieder beleuchetet und im Team diskutiert und für sich interpretiert werden.


Benefits


Lassen sich Effizienzgewinne aus den agile Audits nachweisen? Wenn ja, in welcher Range bewegen sich diese Effekte?

Bisher haben wir hierzu noch keine quantifizierbaren Ergebnisse (Prüfungszeitraum und -budget). Hierzu bedarf es unserer Einschätzung nach einer längeren Beobachtung und einem Vergleich zur klassischen Vorgehensweise. Wir stellen jedoch fest, dass die Verbindlichkeit bei den Prüfern erhöht wird und die verbesserte Kommunikation den Prüfprozess unterstützen. Zusammenarbeit und Eigenverantwortlichkeit stehen hier im Vordergrund.


Effekte zeigen sich doch nicht nur in Effizienz sondern hauptsächlich in Qualitätsgewinn in den Prüfungsaktivitäten agiler REV Team, haben sich diese Effekte gezeigt ?

Die Effekte zeigen sich sowohl in einer konsequenteren Risikoorientierung als auch in einer verbesserten Einhaltung von Prüfungszeit & -budget. Darüber hinaus wird durch erhöhte Transparenz die Kundenakzeptanz gefördert.


Habt ihr durch agiles Prüfen verbesserte Ergebnisse erzielt? Gibt es da konkrete Beispiele?

In unseren Unternehmen werden Produkte und neue Prozesse zunehmend agil entwickelt und implementiert. Ein aktives Auseinandersetzen mit agilen Methoden in der eigenen Arbeitsweise hilft u.a auch das Verständnis für die neuen Arbeitsweisen zu stärken. In der Konsequenz wird die Revision als Ansprechpartner auf Augenhöhe wahrgenommen, was dem Image grundsätzlich zuträglich ist. Darüber hinaus schlagen sich agile Arbeitsmethoden in einer konsequenteren Risikoorientierung bei den Prüfungshandlungen nieder, was zu wertvolleren Ergebnissen für die Gesamtorganisation führt. Die kontinuierliche Abstimmungen im Rahmen der Iterationsschleifen erhöht zudem die Akzeptanz von Prüfungsergebnissen bei den Auditees.


Positives Image durch Agile Auditing für die Interne Revision ist ein großes Plus/ Vorteil

Die Einführung agiler Methoden hat dazu geführt, dass die interne Revision zunehmend als modern wahrgenommen wird. Dies hilft dabei, die Attraktivität der Unternehmensfunktion zu steigern.


Welche messbaren Verbesserungen sind durch den Einsatz der agilen Methodik feststellbar?

Quantitativ ist u.a. die Einhaltung von Prüfungszeit & -budget feststellbar. Mit Einführung von Agilität waren die Verbesserungen nicht unmittelbar erkennbar, was im Lernen der neuen Vorgehensweise begründet war. Die Effekte kamen mit der Routinisierung, innerhalb einer Prüfung i.d.R. spätestens mit dem dritten Sprint. Qualitativ schlagen sich agile Arbeitsmethoden in einer konsequenteren Risikoorientierung in den Prüfungen nieder, was zu wertvolleren Ergebnissen für die Gesamtorganisation führt.


Für welche Art von Prüfungsthemen haben agile Methoden aus eurer Sicht den größten Mehrwert? Z.B. Abhängigkeit von Komplexität, Umfang der Prüfung, Größe des Prüfungsteams etc? 

Der Mehrwert von agilen Prüfungen (insbes. nach Scrum) ist sicherlich bei Prüfungen mit hohem Neuigkeitsgrad, wenig Erfahrung und/oder hoher Komplexität gegeben. Bei bekannten, z.B. regulatorischen vorgegebenen Prüfungen oder projektbegleitenden Prüfungen, in denen das Projekt nach demWasserfallmodell durchgeführt wird, sind die Effekte eingeschränkter. Dennoch tragen agile Methoden hier ebenfalls zur kontinuierlichen Verbesserung der Prüfungsdurchführung bei. Die Prüfungsteamgröße sollte u.E. idealerweise zwischen 5-8 (max. 10) Personen liegen.


Methoden im Rahmen des agile Auditing und Effizienzgewinne daraus

Gängige Frameworks, die in der Prüfungsdurchführung zum Einsatz kommen, sind Scrum und Kanban. Quantitativ ist u.a. die Einhaltung von Prüfungszeit & -budget feststellbar. Mit Einführung von Agilität waren die Verbesserungen nicht unmittelbar erkennbar, was im Lernen der neuen Vorgehensweise begründet war. Die Effekte kamen mit der Routinisierung, innerhalb einer Prüfung i.d.R. spätestens mit dem dritten Sprint. Qualitativ schlagen sich agile Arbeitsmethoden in einer konsequenteren Risikoorientierung in den Prüfungen nieder, was zu wertvolleren Ergebnissen für die Gesamtorganisation führt.


Freiwilligkeit


Ist die Ausschreibung von Audits ein Teil der "neuen" agilen Methoden?

Hintergrund des Ausschreibens von Audits war Auditoren zu ermutigen, sich auch über den eigenen Bereich hinaus andere Prüfungsgebiete zu erschließen. Unabhängig davon haben wir die Erfahrung gemacht, dass Freiwilligkeit ein wesentlicher Erfolgsfaktor bei der Einführung von Agilität in die Organisation ist.


Wenn die Teams sich freiwillig finden, wie steuert ihr die SKILL Besetzung und die Verfügbarkeiten, um am Ende des Jahres die gesamte Umsetzung des Prüfungsplans zu erreichen?

Voraussetzung ist, dass das Prüfungsteam in Gänze über das angemessene Skillset für die Durchführung der Prüfung verfügt. Bei Ausschreibungen von Prüfungen bzw. des "Pitches" auf Prüfungen sind die benötigten Skills im Vorfeld bekannt.


Wie haben sich die freiwillig zusammengesetzten Teams in die bestehende Struktur/Hierarchien eingefügt?

Wir prüfen oftmals in wechselnden Teamzusammensetzungen, auch bereichsübergreifend. Wesentlich bei der Zusammensetzung von Prüfungsteams ist, dass die für die Prüfung notwendigen Skills im Team verfügbar sind.



Führungsrolle


Wenn die Teams immer selbstorganisierter arbeiten und Prüfungen auf freiwilliger Basis angehen, inwiefern verändert sich die Rolle der klassischen Führungskraft aus eurer Sicht? Sollte man überhaupt noch von "Führung" sprechen?

Die Aufgabe und Rolle der Führungskraft ändert sich durch Agilität u.E. grundlegend. Sie wird hier zum Befähiger, in dem sie einen Rahmen setzt, innerhalb diesem die Teams selbstverantwortlich arbeiten. Sie ist u.a. dafür verantwortlich, dass notwendige Informationen und Ressourcen bereit stehen oder auch Impediments, die nicht innerhalb des Teams gelöst werden können, zu klären.

Wir sind der Meinung, dass hier sehr wohl von Führung gesprochen werden kann. Agilität benötigt Führung, nur eben keine klassisch hierarchische, wie wir sie möglicherweise bisher kennen und erfahren haben.


Wie ändert sich denn die Führungsrolle bei agiler Revision?

Die Aufgabe und Rolle der Führungskraft ändert sich durch Agilität u.E. grundlegend. Sie wird hier zum Befähiger, in dem sie einen Rahmen setzt, innerhalb diesem die Teams selbstverantwortlich arbeiten. Sie ist u.a. dafür verantwortlich, dass notwendige Informationen und Ressourcen bereit stehen oder auch Impediments, die nicht innerhalb des Teams gelöst werden können, zu klären.

Das Team selbst übernimmt mehr Verantwortung im Sinne der "Colaboration", wodurch die Verantwortlichkeiten entsprechenden den Rollen auf mehrere Schultern verteilt werden. Die Hierachie wird flacher.



Kleine Teams


Was ändert sich im Mindset wesentlich, wenn aufgrund der geringen Größe des Audit Departments der CAE / Führungskraft regulär Teil des Teams ist?

Die agile Haltung, d.h. das Leben der agilen Werte und Prinzipien in der täglichen Arbeit, ist unabhängig von der Unternehmensgröße, -form und -rollen. Führungskräfte sind ebenfalls Teil des Teams und sollten ihr agiles Mindset einbringen.


Gibt es Überlegungen, Agile Audit Methoden auch auf Revisionsgrößen mit wenigen Mitarbeiter*innen "down"-zu"sizen"?

Das Einnehmen der agilen Haltung und die Anwendung agiler Methoden im Arbeitsalltag ist u.E. unabhängig von der Unternehmensgröße. Es spricht u.E. nichts dagegen, auch nur mit bspw. drei Mitarbeiterinnen und Mitarbeitern z.B. ein wöchentlichen Planungsmeeting bzw. einen Review auf die Ergebnisse der Woche durchzuführen, eine Retrospektive zu veranstalten, um die Teamarbeit zu reflektieren oder ein Taskboard zu verwenden, um die eigene Arbeit transparent und sichtbar zu machen. Hier ist u.E. kein "Downsizing" der Methoden erforderlichen. Wichtig ist, im Team zu schauen, was benötigt wird, um die gewünschten Ergebnisse zu liefern.


Können alle Scrumrollen besetzt werden, wenn die Revision mit z.B. nur 1,2 Personen besetzt ist?

Eine aus unserer Sicht gute Teamgröße für eine agile Prüfung (insbes. nach Scrum) ist 5-8 (max. 10) Auditoren. Der Einsatz von agilen Methoden/Artefakten kann jedoch auch bei kleineren Prüfungen und Teams zur kontinuierlichen Verbesserung der Prüfungsdurchführung oder allgemein gesprochen zur Zusammenarbeit beitragen (z.B. Nutzung von Boards).



Operatives


Interessant wäre, inwiefern Scrum und Kanban bzw. verschiedene agile Instrumente miteinander eingesetzt werden sollen oder können.

Artefakte, die dem Framework Kanban entstammen, können auch in Prüfungen Anwendungen, die nach Scrum durchgeführt werden (z.B. ???). Auch können Prüfungen nach Scrum durchgeführt werden, aber in der Planung Artefakte aus Kanban eingesetzt werden (z.B. Kanbanboard für Jahresplanung). Hier sind diverse Kombinationsmöglichkeiten denkbar.


Welche agilen Instrumente haben sich aus Sicht der GAAN-Mitglieder bewährt?

In der Commerzbank führen wir Prüfungen agil nach Scrum oder mit Hilfe von agilen Methoden durch. Die Prüfungsplanung wird ebenfalls mit Hilfe agiler Methoden durchgeführt (z.B. Priorisierung der einzelnen Prüfungen mit Hilfe von Magic Estimation).


Wie kann man die Abhängigkeit von externen Faktoren (z.B. Verfügbarkeit Dokumente/ Antwortzeit Geprüfte) in der Sprint-Planung berücksichtigen, um früher zu Zwischenergebnissen zu kommen?

Zu Beginn einer jeden agilen Prüfung (nach Scrum), entweder im Vorgespräch und/oder Kick-off, stellen wir der geprüften Einheit unseren Prüfungsansatz vor und geben ein Commitment bzgl. unserer Feedbackzeiten und bitten die geprüfte Einheit im Gegenzug um ihr Commitment. Darüber hinaus haben wir z.T. sprintbezogene, rollierende Unterlagen-/Datenlieferungen vereinbart; insgesamt mit bisher guten Erfahrungen für eine zeitgerechte Lieferung.

Zusätzlich bietet sich das Durchführen eines "Sprint Zero"/"Discovery Sprints" an, welcher sowohl dem Audit Team als auch dem Auditee die Zeit für vorbereitende Tätigkeiten gibt.

Um potenzielle Abhängigkeiten im Prüfungsteam transparent zu machen,hat sich operativ bewährt, diese Abhängigkeiten bspw. in einer entsprechenden Spalte auf dem Task-Board oder einem Impediment-Board transparent zu machen. Somit können diese in den einzelnen Sprint-Planungen von jedem nachvollziehbar berücksichtigt werden.



Könnt ihr bitte Beispiele nennen, was ihr aus der Software-Branche übernommen habt und dann anpassen musstet? Und warum?

Wir, Commerzbank, prüfen z.B. agil nach dem Framework Scrum, haben jedoch auch Anpassungen des originären Arbeitsmodells vorgenommen, um den Rahmenbedingungen in unserem Unternehmen Rechnung zu tragen. So haben wir z.B. bei den Rollen auch das Management im engeren Kreis berücksichtigt, da sie wesentlich für die Rahmensetzung sind. Weiterhin haben wir Meetingformate (z.B. Kick-off einer Prüfung) und Artefakte auch unsere Bedürfnisse einer Prüfung angepasst (z.B. Scope Canvas, Potential Issue Board).

Bei den Rollen hat sich für uns, Commerzbank, zusätzlich bewährt, dass der Scrum-Master in einer Prüfung gleichzeitig auch die Rolle des Prüfers einnimmt. In unseren Audits gibt es bisher nicht genug Aufgaben für einen dedizierten Scrum-Master.


Welche agilen Methoden haben sich außer Scrum und Kanban als Ergänzung bewährt?

Bei der Jahresplanung haben wir Audit Candidates risikoorientiert unter Anwendung von Magic Estimation priorisiert.


Wie stehen Scrum Master und Prüfungsleiter (falls es sowas bei agilem Prüfen gibt) in Zusammenhang? Und wie wird die Qualitätssicherung bei agilem Prüfen durchgeführt? Könnte Scrum Master = Qualitätssicherung sein? Würde Effizienzen mit sich bringen!?

Der Scrum Master und der Product Owner bilden zusammen auf einer agilen Prüfung nach Scrum das laterale Führungsteam. Während der Product Owner die Vision und das Produkt in Form des Prüfberichts verantwortet, ist der Scrum Master für die Produktivität des Teams verantwortlich. Das Prüfteam ist für die Qualität der Lieferungen und damit des Berichts verantwortlich. Für die Qualitätssicherung ist damit das Prüfteam verantwortlich. In der Commerzbank erfolgt dies, in dem z.B. die fertigen Lieferungen und die dazugehörige Prüfdokumentation durch ein Tandempartner qualitätsgesichert werden. Um diese Qualitätssicherung im Team einen Rahmen zu geben und zu unterstützen, definiert das Team für sich eine "Definition of Done", in dem die Qualitätskriterien für Lieferungen festgehalten werden.


Wer ist denn der Product Owner in einer Prüfung?

Der Product Owner (PO) ist neben dem Scrum Master Teil des lateralen Führungsteams einer Prüfung. Er kommuniziert und vertritt die Version der Prüfung, d.h. "Was wollen wir mit der Prüfung erreichen?". Darauf aufbauend ist er für die Pflege des Prüfbacklogs verantwortlich und verantwortet den Prüfbericht.


Aus wie vielen Teammitgliedern bestehen eure Prüfungen im Normalfall? (gerade sagte Arndt, dass es auch mit 3 Personen gut geht... sind es sonst mehr?)

Eine gute Teamgröße für eine agile Prüfung nach Scrum ist 5-8 (max. 10) Auditoren.


Wer schreibt am Ende den Bericht?

Der Prüfbericht wird gemeinsam durch das Prüfteam erstellt. Der Product Owner konsolidiert die einzelnen Teillieferungen der Teammitglieder und fügt sie zu einem stringenten Prüfbericht zusammen.


Wie lange dauert denn so eine Prüfung vor Ort?

Die Prüfung vor Ort ("Fieldwork") ist prüfungsabhängig und dauert in der Commerzbank i.d.R. 4 Wochen. Es hat sich in der Commerzbank bewährt, dass jede Prüfungswoche ein Sprint bedeutet.


Bei denen, die Scrum als Framework nutzen: Übernimmt bei Euch der Prüfungsleiter Product Owner-Aufgaben? Bereitet er z.B. User Stories vor? Wie gestaltet Ihr den Rollen-Shift von klassisch zu agil? Denn genau in so einem konkreten Beispiel macht ja "Mindset" in der Ausgestaltung den Unterschied. Ansonsten läuft man ja die Gefahr nur das "Label" aber nicht die Form der Zusammenarbeit zu ändern.

Der Product Owner ist neben dem Scrum Master Teil des lateralen Führungsteams einer Prüfung. Er kommuniziert und vertritt die Version der Prüfung, d.h. "Was wollen wir mit der Prüfung erreichen?". Darauf aufbauend ist er für die Pflege des Prüfbacklogs verantwortlich und verantwortet den Prüfbericht. In einem Sprint gibt der Product Owner seine Sprintvision vor, d.h., welchen Themen sollen in dem anstehenden Sprint geliefert werden. Die Lieferungen (auch User Stories genannt) erstellt das Prüfteam gemeinsam mit dem Product Owner im Sprint Planning. Somit wird sichergestellt, dass das gesamt Team ein einheitliches Verständnis und Transparenz über die anstehenden Lieferungen hat.


Meine Frage: Welche Erfahrung gibt es Sprints"einteilung"? Ich habe gemerkt, dass Prüfungsteam schwert tun sich auf diese Logik einzustellen. Nach welchen Kriterien "schneidet"/ priorisiert Ihr?

In der Commerzbank dauert ein Sprint in der Regel eine Woche. Bei einer gesamten Prüfungsdauer "vor Ort" von ca. 4 Wochen hat sich der Einwöchige-Sprint bewährt. Dadurch wird gewährleitstet, dass das Prüfteam gemeinsam mit dem Product Owner zügig die Prüfungsthemen risikoorientiert hinterfragen kann und ggf. neu aufkommende Themen während der Prüfung zeitnah berücksichtigen und priorisieren kann.


Wie lang braucht ihr im Durchschnitt für das Fieldwork? Gibt es einen Unterschied zwischen Kanban und Scrum? Wie sehr "schneidet" ihr den Scope am Anfang?

In der Commerzbank dauert ein Sprint in der Regel eine Woche. Bei einer gesamten Prüfungsdauer "vor Ort" von ca. 4 Wochen hat sich der Einwöchige-Sprint bewährt.

Der Scope wird zu Beginn der Prüfung so bestimmt, dass vor allem bei agilen Prüfungen noch genug "Spielraum" für Scopeanpassungen/ -änderungen vorhanden ist. Der Scope kann somit im Laufe der Prüfung bei Bedarf risikoorientiert angepasst werden. Wichtig ist, dass die Änderungen dokumentiert und nachvollziehbar sind.


Wie können agile Arbeitsmethoden in der Planung und Durchführung von Revisionsprüfungen sinnvoll eingesetzt werden?

In der Commerzbank führen wir Prüfungen agil nach Scrum oder mit Hilfe von agilen Methoden durch. Die Prüfungsplanung wird ebenfalls mit Hilfe agiler Methoden durchgeführt (z.B. Priorisierung der einzelnen Prüfungen mit Hilfe von Magic Estimation).

Good-Practice-Ansätze für das agile Auditieren nach Scrum oder Kanban finden sich in unserer Präsentation unter der Rubrik "Prüfungsdurchführung" auf der GAAN-Homepage. Für Prüfungen mit agilen Methoden kann individuell je nach Prüfungsthema und/ oder Prüfungsteam entschieden werden, auf welche Elemente der agilen Welt (z.B. Task-Board, Daily) zurückgegriffen wird, um einen bestmöglichen Effekt daraus zu erzielen.


Welche Kriterien habt Ihr an die Prüfungen, die Ihr nach SCRUM durchführt? SCRUM oder nicht SCRUM ist egal. Agil ist gemeint

Die Anwendung agiler Methoden und das Leben der agilen Werte und Prinzipien eignet sich u.E. grundsätzlich für alle Prüfungen. Aus unserer Sicht gibt es für den Einsatz agiler Methoden keine Ausschlusskriterien, da es hier um ein aufgeschlossenes Mindset für kontinuierliche Verbesserung geht.



QA und Regulatorik


Wie wird die Einhaltung des Prüfungsplans „sichergestellt“?

Der Prüfungsplan wird über den Backlog aufgesetzt und nach jedem Sprint eine Retrospektive vorgenommen, was dazu führt, dass die Einhaltung des Backlogs nach jedem Sprint überpüft wird. Weiterhin ergeben sich beim Einsatz agiler Methoden folgende Vorteile bezüglich der Prüfungsplanung:

- Frühzeitiges Erkennen und Reagieren von/auf Änderungen der Risikosituation

- Flexible Anpassung der Personalausstattung an Prüfungssituationen

- Retrospektive als Bestandteil eines effizienten, hochwertigen Qualitätsmanagement


Gibt es schon Feedback von Aufsichtsbehörden ?

Generell hat die Aufsicht agile Methoden akzeptiert. Die ganzheitliche Umsetzung im Revisonumfeld ist noch selten, daher sind uns keine expliziten Aussagen bzw. Prüfungsergebnisse der Aufsicht bekannt.


Wie passt Agil zu QA (Standard 1300ff)

Die Konformität zum QA DIIR Standard Nr. 3 ist grundsätzlich gegeben, es hängt aber von der unmittelbaren Ausgestaltung ab. Unsere Analyse ergab Punkte, bei denen sich wesentliche Verbesserungen in der Qualität (u.a. bezügl. Kommunikation, Austausch Prüfungsergebnisse, Risikoorientierung) ergeben. Bei einzelnen Kriterien kann bei nicht ordnungsgemäßer Ausgestaltung ein Konflikt entstehen insbesondere bzgl. Dokumentation und Unabhängigkeit.


Wie stellt man sicher, dass der Prüfungsansatz eingehalten wird? Wird z.B. das Backlog und die Reihenfolge der Abarbeitung vorgegeben?

Durch die agile Vorgehenseisen ändern sich sowohl die Methode als auch der Prüfungsansatz. Die Prinzipien bleiben natürlich erhalten. Z.B. erfolgt die Abarbeitung des Backlogs nach der Prisorisierung der Backlog Items. Die Qualittätsanforderungen und -kriterien bleiben natürlich auch beim Einsatz agiler Methoden erhalten.


Wie sieht das mit der Europäischen Bankenaufsicht aus?

Bezüglich der EBA sind uns keine Aussagen bekannt, die gegen einen agilen Ansatz sprechen. Auch bei der EBA gilt, dass die agile Methoden grundsätzlich akzeptiert sind (u.a. ICT and security Risk Management). Die ganzheitliche Umsetzung ist im Revisonsumfeld noch selten, daher sind uns auch keine expliziten Aussagen bzw. Prüfungsergebnisse der Aufsicht bekannt.


Haben sie Erfahrungswerte: Agile Prüfungsmethodik - Quality Assessment?

Wir haben die IR Einheiten, die einen agilen Ansatz verfolgen danach untersucht, ob sie gemäß DIIR QA Standard Nr.3 besser oder schlechter abschneiden, als IR Einheiten, die klassischen Methoden anwenden. Insgesamt ergibt sich, dass IR Einheiten, dieagile Methoden anwenden bei einem QA nach DIIR Standard Nr. 3 im Durchschnitt besser abgeschnitten haben, als IR einheiten, die die klassische Methode anwenden. Weiterhin ergab sich bei Revisionsfunktionen mit hohem Agilitätsgrad, dass die Einflussfaktoren für Qualität von hoher Flexibilität und Dynamik geprägt. Im einzelnen ergaben sich folgende Vorteile:

  • hohe Flexibilität in der Planung und des Programms

  • hohe Transparenz durch regelmäßige Kommunikation

  • flexible Strukturen und Veränderte Rollen und Verantwortlichkeiten

  • Änderungen in der Organisation hin zu flachen Hierarchien, wechselnden Teamzusammensetzungen

  • Effiziente und flexible Prüfungsdurchführung und integrierte Überwachungs- und Verbesserungsprozesse

Zusammenfassend wirkt sich Agilität für alle Faktorenpositiv auf die Qualität aus. Das gilt insbesondere, wenn die Revisionseinheiten ihre Denk- und Arbeitsweise mit agilen Methoden verbinden, und somit das volle Potential der Agilität ausschöpfen.


Wie wird die Einhaltung des Jahresplanes / Mehrjahresplanes gem. MaRisk sichergestellt?

Prüfungsergebnisse einschließlich Evidenzen werden in unserem Dokumentationstool dokumentiert. Darüber hinaus können zur weiteren Visualisierung und Wissenstransfer für nachkommende Prüfungen Fotoprotokolle des Backlogs und Sprint-Backlogs erstellt und im Dokumentationstool abgelegt werden.



Wie wird die Einhaltun der Standards sichergestellt? Reicht eine Fotodokumentation für ein QA?

Eine Fotodukmentation kann ausreichend für eine Dokumentation sein, u.a. zum Festhalten von erreichten Ergebnissen, die z.B. an einem Whiteboard aufgeschrieben wurden. Dabei müssen die grundsätzlichen Anforderungen an eine angemessene Dokumentation wie Lesbarkeit, nachvollziehbarkeit der zugrunde liegenden Informationen, Metadaten wie Angabe der beteiligten Personen, Datum, etc. sichergestellt sein. Gernerell erachten wir für eine ausreichende Dokumentation von Prüfungsergebnissen, die Nachvollziehbarkeit der Entscheidungen und Schlussfolgerungen als wesentlich. Dieses ist bei jeder Art von Ergebisdokumentation sicherzustellen.


Die Detailfolien habe ich bisher nicht lesen können. Meine Frage ist, wie die agilen Methoden mit den Vorgaben des DIIR Standard 3 in Übereinstimmung zu bringen sind. Mir geht es insbesondere um Planung, Freigabe Prüfprogramm, Dokumentation usw.

Die Anforderungen des DIIR Standards Nr. 3 können mit agilen Methoden gut abgedeckt werden. Als Ergebnis einer Auswertung zeigte sich, dass bei 60 der 82 Kriterien kaum bzw. kein Unterschied besteht, ob agile Methoden zum Einsatz kommen oder nicht. D.h. der Einsatz agiler Methoden wirkt sich weder positiv noch negativ bei diesen Kriterien aus. Weiterhin ergeben sich für diese Kriterien beim Einsatz agiler Methoden grundsätzlich keine potentiellen Konflikte zum Standard. Bei diesen Kriterien handelt es sich u.a. um

  • das Vorhandensein, die Genehmigung und Bekanntmachung einer Richtlinie bzw. eines Revisionshandbuchs

  • das Budget für die IT Ausstattung oder die Sachkosten

  • die Bewertung von Prüfungsfeststellungen

Bei vier Kriterien wirkte sich der Einsatz agiler Methoden eher negativ auf die Bewertung aus, das galt auch für Interne Revisionsfunktionen mit hohem Agilitätsgrad. Weiterhin ergaben sich für diese Kriterien beim Einsatz agiler Methoden potent. Konflikte zum Standard, u.a. bezüglich

  • Unabhängigkeit, die nicht vollständig gegeben ist

  • Arbeitsprogramm wurde geändert

  • Einheitlicher und sachgerechter Dokumentation der Prüfungshandlungen

  • Mitarbeiter der Internen Revision hinsichtlich ihrer Berufserfahrung und Qualifikation die Aufgaben nicht vollständig erfüllen

Bei insgesamt 18 Kriterien ergab sich leichte bis deutliche Verbesserungen beim Einsatz agiler Methoden, das galt auch für Interne Revisionsfunktionen mit hohem Agilitätsgrad. Weiterhin ergeben sich für diese Kriterien beim Einsatz agiler Methoden auch keine potentiellen Konflikte zum Standard. Bei diesen Kriterien handelt es sich u.a. um

  • Verteilung wesentlicher Unternehmensinformationen

  • Angemessenheit der quantitativen und qualitativen Personalausstattung

  • Planungsperioden werden systematisch zusammengestellt und der Geschäftsleitung zur Genehmigung vorgelegt

  • Prüfungsergebnisse werden mit dem geprüften Bereich und Prüfungsverantwortlichen abgestimmt

  • Vorläufige Prüfungsergebnisse, z.B. in Form von Berichtsentwürfen, werden rechtzeitig vor der Schlussbesprechung der Leitung der geprüften Einheit vorgelegt


Habt ihr Erfahrungen mit der Aufsicht im Bankenbereich (EZB Joint Supervisory Team..) zu agiler REVISION?

Generell hat die Aufsicht agile Methoden akzeptiert. Die ganzheitliche Umsetzung im Revisonumfled ist noch selten, daher sind uns keine expliziten Aussagen bzw. Prüfungsergebnisse der Aufsicht bekannt


Tools


Nutzt ihr/jemand digitale Tools für die Steuerung (jenseits von JIRA)?

Unsere (Commerzbank) Prüfungsdokumentation erfolgt in Pentana; die Artefakte wie Scope Canvas, Backlog, Taskboard oder Impedimentboard erfolgen zeitlich befristet z.B. in JIRA, OneNote oder MS Teams. Andere Tools wie z.B. Trello, Mural oder miro sind ebenfalls denkbar, je nachdem, welches Tooling im Unternehmen hierfür verfügbar ist.


Gibt es Tools, welche die agile Prüfung gut unterstützen? Beispiel Pentana als Revisionstool ist bedingt geeignet. :-)

Prüfungsergebnisse einschließlich Evidenzen werden in unserem Dokumentationstool Pentana dokumentiert. Darüber hinaus werden zur Visualisierung und Synchronisation der Arbeit dasBacklog, Taskboard und Impedimentboard zeitlich befristet in JIRA oder OneNote verwendet.


Setzt jemand bereits Jira und Confluence als Tool in der Revision ein?

Wir benutzen auf freiwilliger Basis das Tool JIRA, um in agilen Prüfungen das Backlog, Taskboard und Impedimentboard abzubilden. Darüber hinaus verwenden wir das Tool Confluence als Wissens Speicher und Austauschplattform zu agilen Themen für die Kolleginnen und Kollegen in der Revision.



Unternehmensspezifisch


Nachfrage zu den Prüfungen bei SAP: Wie lang sind die Prüfungen üblicherweise vorgesehen? Ersparnis 1 Woche gegenüber vorher im Schnitt?

In Abhängigkeit vom Prüfthema rechnen wir bei SAP mit einer Prüfdauer von 8 – 12 Wochen. Wir konnten feststellen, dass sich die Prüfdauer im Schnitt um eine Woche verkürzt hat


Haben Sie das Rollenkonzept der Commerzbank auf Scrum angepasst? Oder wie haben Sie die Srum/agilen Rollen eingeführt?

Unseres Erachtens gibt es in keiner Organisation "Agile by the Book", sondern immer eine