[Wprowadzenie] W ostatnich latach obserwujemy wzrost zainteresowania banków zwinnymi metodykami zarządzania (metodyka Agile). Rynek zna już przykłady banków, które wdrożyły model Agile zarówno w ramach zarządzania projektami w Banku (w procesach zmiany), jak i organizacji struktury oraz bieżących procesów w działalności operacyjnej (BAU). W ostatnich miesiącach kolejne banki ogłaszały publicznie, że są zainteresowane wdrożeniem takich rozwiązań u siebie. Poniższy tekst nie będzie dotyczył niewątpliwych zalet takiego modelu zarządzania, lecz skupi się wyłącznie na próbie oceny zgodności wprowadzanych przez banki modelu Agile, z wymogami regulacyjnymi, mającymi zastosowanie do działalności banków. A uchylając rąbka tajemnicy są to wyzwania regulacyjne, którym można sprostać.
[Istota Agile] Metoda organizacji struktury w ramach Agile, determinowana bieżącymi, zmiennymi celami i zadaniami, struktura organizacyjna zarówno dla projektów, jak i bieżących procesów operacyjnych, jest płynna. Dotyczy to również zadań i zakresu odpowiedzialności poszczególnych jednostek organizacyjnych, komórek i stanowisk funkcjonujących w strukturze. Funkcje wykonywane przez pracowników zorientowane są na wykonywanie bieżących zadań stanowiących aktualny cel podstawowy jednostki.
[Środowisko regulacyjne] Czy jednak takie podejście do zarządzania będziemy w stanie obronić jeśli weźmiemy pod uwagę przepisy prawa i rekomendacje KNF regulujące zasady funkcjonowania systemu zarządzania Bankiem, w tym systemu zarządzania ryzykiem oraz systemu kontroli wewnętrznej (rekomendacja H) oraz zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (rekomendacja D)?
[Wyzwania] Można stwierdzić, że niektóre założenia funkcjonowania modelu Agile, budzą wątpliwości co do możliwości zastosowania w nim wybranych wymogów regulacyjnych. Poniżej ich lista wraz z uzasadnieniem:
[Rola zarządu] Regulacje akcentują silną i aktywną rolę Zarządu Banku w procesach decyzyjnych i organizacji bieżącej działalności. A contrario, model Agile zakłada ograniczoną rolę organu kierowniczego. Zarząd ma wytyczać cele strategiczne, ale bez ingerencji i nadzoru np. nad sposobem ich wykonania. Rodzi to ryzyko uznania roli i aktywności Zarządu w modelu Agile za niewystarczającą i nieodpowiadającą oczekiwaniom nadzoru.
[Zapewnienie odpowiedniej struktury organizacyjnej] Obligatoryjnym elementem wdrożenia przez Zarząd Banku efektywnego systemu zarządzania bankiem jest zapewnienie struktury organizacyjnej dostosowanej do wielkości i profilu ponoszonego ryzyka oraz umożliwiającej skuteczne wykonywanie zadań. Płynna i nietrwała struktura może zostać uznana za niespełniającą tego wymogu.
[Wdrożenie systemu kontroli wewnętrznej] Funkcjonowanie struktury organizacyjnej w płynnym i nietrwałym modelu Agile utrudnia lub może nawet uniemożliwiać wdrożenie następujących, obligatoryjnych elementów systemu kontroli wewnętrznej:
- identyfikacji procesów, w tym procesów istotnych realizowanych przez jednostki organizacyjne, zaprojektowanie i wdrożenie do nich mechanizmów kontrolnych oraz poziomego niezależnego monitorowania,
- powiązania z celami i ujęcia procesów istotnych w matrycy funkcji kontroli w Banku,
- ujęcia jednostek organizacyjnych i ich procesów w planach zapewnienia zgodności komórki ds. zgodności oraz pionowego niezależnego monitorowania, wykonywanego przez tę komórkę,
- uwzględnienia jednostek organizacyjnych w planach audytowych i skutecznego przeprowadzenia badania audytowego.
[Ochrona tajemnicy zawodowej] Podstawowym mechanizmem kontrolnym zabezpieczającym przed nieuprawnionym ujawnieniem tajemnic zawodowych, w tym bankowej, jest ograniczanie i różnicowanie dostępu do niej dla określonych jednostek organizacyjnych i stanowisk pracowniczych. W płynnej strukturze zastosowanie tych mechanizmów może być utrudnione.
[Ochrona danych osobowych] Analogicznie, jak w przypadku ochrony tajemnic zawodowych, mogą występować problemy z zastosowaniem zasady minimalizacji danych. Ponadto, mogą pojawić się trudności z zarządzaniem upoważnieniami do przetwarzania danych osobowych dla pracowników oraz wdrożeniem zasad privacy by design i privacy by default, nakazujących stosowanie środków organizacyjnych (np. zarządzanie dostępami) w fazie planowania, a później także wykonywania operacji przetwarzania danych.
[Change management] Elastyczność metodyki Agile niesie za sobą wyzwania w zakresie odpowiedniego dokumentowania procesu zmiany oprogramowania IT (change management) w świetle rekomendacji D, która zakłada odpowiednie dokumentowania procesów i ich prowadzenie zgodnie z obowiązującymi w banku regulacjami wewnętrznymi lub w toku ściśle kontrolowanych procedur odstępstw.
[Dostosowanie rozwiązań pudełkowych] Wskazane w poniższym tekście wyzwania we wdrożeniu modelu Agile powinny być wzięte pod uwagę przy projektowaniu modelu zarządzania w konkretnym banku. Wdrożenie bowiem pudełkowego rozwiązania proponowanego przez zewnętrznych konsultantów bazującego na rozwiązaniach np. szwedzkich serwisów internetowych, nie będzie uwzględniało specyfiki polskiego sektora bankowego oraz obowiązujących na nim reguł gry wyznaczonych rekomendacjami KNF.
[Konkluzje] Optymalizując wdrożone modele Agile w polskich bankach przygotowaliśmy listę kilkudziesięciu punktów kontrolnych i zaleceń, które muszą być uwzględnione w metodyce Agile by móc wykazać jej zgodność z obowiązującymi regulacjami wewnętrznymi. Nie jest to proces prosty, ale jak wiemy z naszego doświadczenia, możliwy do ukończenia z sukcesem, który godzi obie wartości – korzyści płynące z metodyki Agile oraz zgodność działalności banku z przepisami prawa.