Schon der auch als „Father of Quality“ bekannt gewordene W. Edwards Deming hat in Büchern wie „Dr. Deming: The American who Taught the Japanese About Quality“ sowie “Leadership Principles” verständlich beschrieben, dass ein gemeinsames Verständnis von Qualität innerhalb von Organisationen, den dort arbeitenden Teams und Teammitgliedern maßgeblich zu nachhaltiger und erfolgreicher Produktentwicklung beiträgt. Dabei sind im Falle der Finanzwelt sowohl organisationsweite Standards als auch landesweite oder gar weltweite Standards zu beachten. Hierzu gehören IT-Compliance-spezifische Anforderungen im Kontext des Zahlungsverkehrs, die passende Dokumentation von versicherungsspezifischen Transaktionen, die Sicherstellung des Datenschutzes sowie der Datensicherheit.
Wie lassen sich aber diese oft anspruchsvollen und aufwendigen Anforderungen mit agilen Frameworks wie Scrum und skalierter Produktentwicklung wie mit dem Scaled Agile Framework (SAFe) in Einklang bringen, um neben einer hohen Kundenzufriedenheit auch die behördlichen Vorgaben in komplexen Umgebungen zu erfüllen?
Mein Kollege Tim Glenewinkel und ich beschreiben in diesem Artikel, wie zeitgemäße Produktentwicklung unserer Erfahrung nach funktionieren kann.
Zunächst aber eine Gegenüberstellung der typischen Ausprägungen von Regulatorik und IT-Compliance sowie den vier Werten des Agilen Manifests:
Abbildung 1: Regulatorik und IT-Compliance treffen auf Agilität, angelehnt an das Scaled Agile Framework, Scaled Agile, Inc.
Wie in Abbildung 2 ersichtlich, wirken die beiden Kästchen zunächst stark gegensätzlich. So heißt es beim zweiten Wert im Agilen Manifest zum Beispiel „Funktionierende Software über umfangreiche Dokumentation“. Dabei ist allerdings zu beachten, dass explizit hervorgehoben wird, dass zwar die linke Seite (funktionierende Software) wichtiger anzusehen beziehungsweise zu erreichen ist als die rechte Seite (umfangreiche Dokumentation), aber die rechte Seite trotzdem weiter zu beachten / zu berücksichtigen ist. Agile Vorgehen und Frameworks wie Scrum und SAFe erfordern daher ganz bewusst ein ausreichendes und gemeinsames Verständnis von Qualität, wozu auch eine passende Dokumentation gehört.
Anders als bei Wasserfall-basierten Projekten haben agile Produktentwicklungen dabei den Vorteil, dass in kleinen iterativ-inkrementellen Schritten die notwendigen regulatorischen, IT-Compliance-betreffenden Qualitätsanforderungen als auch die Kundenbedürfnisse erfüllt werden:
Abbildung 2: Regulatorik und IT-Compliance kontinuierlich koordinieren
So werden sowohl die mit diesen Ergebnissen einhergehenden Risiken (zum Beispiel bezüglich Sicherheit und Stabilität) bezüglich behördlicher Vorgaben minimiert und der Wert der erstellten Ergebnisse für den Kunden maximiert.
In der folgenden Abbildung 4 wird im Zusammenhang agiler Frameworks daher anschaulich ein typischer Sprint von Scrum Teams illustriert, die eine sogenannte Definition of Done (DoD) nutzen, um alle ein bis vier Wochen mindestens ein den regulatorischen, IT-Compliance- sowie im Team festgelegten Qualitätsanforderungen genügendes potenziell releasebares Ergebnis (Product Increment) zu erstellen:
Abbildung 3: Typischer Sprint eines agilen Scrum Teams mit der Berücksichtigung von regulatorischen und IT-Compliance-Anforderungen
Das Scaled Agile Framework (SAFe) spricht in diesem Zusammenhang von einem „Lean Quality Management System“ (Lean QMS), in welchem regulatorische als auch IT-Compliance-spezifische Anforderungen (Qualität, Sicherheit, Verifikation und Validierung etc.) durch ein oder mehrere agile Teams iterativ-inkrementell berücksichtigt werden:
Abbildung 4: Lean Quality Management System am Beispiel vom Scaled Agile Framework (SAFe)
Compliance am Beispiel eines Versicherungsprojektes für die Entwicklung von Versicherungskernsystemen
Lange Zeit wurden Versicherer in Deutschland im Gegensatz zu Banken IT regulatorisch eher stiefmütterlich behandelt. Mit dem Inkrafttreten der Versicherungsaufsichtlichen Anforderungen an die IT – „VAIT“ – Mitte 2018 und der ständigen Erweiterung dieser hat sich der Druck auf die Versicherungsbranche erhöht. Ein wesentlicher Bestandteil der Anforderungen besteht in der ordnungsgemäßen Dokumentation von Prozessen, Anforderungen und Umsetzungen.
Viele Versicherer in Deutschland sind aktuell mit der Transformation ihrer Versicherungssystemlandschaft beschäftigt. Der Zeitdruck ist häufig sehr hoch. Viele Projekte werden agil aufgesetzt und schreiten zügig voran. Die Dokumentationen von Anforderungen und Testdurchführungen fallen hier üblicherweise zu kurz aus. Gleichzeitig werden Projekte im Rahmen der Jahresabschlussprüfung immer häufiger einem externen Audit unterzogen. Die Beanstandungen finden sich fast immer in der nicht ausreichenden Dokumentation wieder.
Die Berücksichtigung von QMS in einem agilen Projekt kann dem Versicherer Beanstandungen und Nachdokumentation ersparen.
Fazit
Regulatorische und IT-Compliance-spezifische Anforderungen können durch Agile Frameworks wie Scrum und SAFe in kurzen, ein- bis vierwöchigen Abständen für komplexe Produktentwicklungen berücksichtigt werden. So werden die Risiken komplexer Projekte minimiert und der Wert für den oder die Kunden maximiert. Der Kunde erhält regelmäßig direkt nutzbare Softwarebausteine, der Dienstleister erhält regelmäßig Kundenfeedback basierend auf diesen Softwarebausteinen, um hierauf basierend die nächsten Schritte gemeinsam mit dem Kunden planen zu können. Durch diese kurzen Feedbackzyklen fällt die Berücksichtigung der wirklich notwendigen regulatorischen und IT-Compliance-spezifischen Anforderungen potenziell leichter: Kosten und Komplexität werden reduziert – es entsteht eine Win-win-Situation zwischen Kunde und Softwareentwicklungsteam beziehungsweise dem Dienstleister.
Tim Glenewinkel, Ronny Kant und ich unterstützen Sie gerne bei der passenden Berücksichtigung behördlicher Vorgaben, der Einführung eines Lean Quality Management Systems (Lean QMS) sowie bei Ihren Produktentwicklungen, um sowohl mehr Agilität als auch die Einhaltung der behördlichen Vorgaben für sich und Ihre Kunden zu garantieren.
Literatur
Dr. Deming: The American who Taught the Japanese About Quality“
Deming, W: Essential Deming: Leadership Principles from the: Leadership Principles from the Father of Quality
Scrum Guide auf Deutsch zum Lesen: https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-German.pdf
Scrum Guide auf Deutsch zum Hören: https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-German-Audio.mp3
Regulatorik und IT-Compliance im Scaled Agile Framework (SAFe):
https://www.scaledagileframework.com/compliance/
Gastautor(en)
Tim Glenewinkel | Managing Consultant
Tim hat nach seinem Studium der Betriebswirtschaft bereits über 8 Jahre Erfahrungen in der Beratung von Versicherungsunternehmen sammeln können. Dabei liegen seine Schwerpunkte im Bereich IT-Compliance sowie im Projektmanagement. Als ehemaliger IT-Prüfer treibt Tim den Bereich IT-Compliance Insurance als Themenverantwortlicher bei PPI immer weiter voran. Im Projektgeschehen agiert er als Schnittstelle zwischen Fachbereich und IT.