スティーブ・オスターミラー(編)
第14回『Annual State of Agile™ Report』は、なぜ規制産業とアジャイ手法の相性が良いかについて、重要な洞察とサポートを提供しています。 同レポートによると、回答者の28%が、自動化された監査コンプライアンスとコントロールポイント全体のガバナンスは非常に価値があると考えています。 これは昨年の10%から増加しています。 同レポートは、これがコンプライアンス要件を持つ企業の間で、アジャイルの採用が増加しているためであると推測しています。 また、アジャイルの採用者は、コスト削減(前年の41%に対し26%)よりも、プロジェクトのリスク軽減(前年の28%に対し37%)を理由として掲げていました。
規制産業とアジャイル手法は好相性?
あなたの組織が規制産業である場合、スクラムやカンバンといったアジャイルでリーンなアプローチが、職場環境においてどの程度うまく機能するか、疑問に思われるかもしれません。 あなたは現在、ドキュメンテーション、開発過程の検査、およびコードエンジニアリング完了後の品質およびユーザー受け入れテストの遅延に関連する多大な間接費と負担を経験しているかもしれません。
一般的な認識とは反対に、アジャイル手法は規制の厳しい環境でうまく機能します。 この記事では、この組み合わせに関するいくつかの側面を探っていきます。
監査とリスク
規制機関は、ソフトウェアとシステムの厳重な監査を期待しています。 これらの監査では、ドキュメンテーション、その他の証明、機能性に関する情報が必要となります。 これにより、監査人は意思決定やプロセスによるリスクやコンプライアンスへの影響を理解できます。
アジャイルの原則の1つである「シンプルさー無駄な作業を最小限にする技術ー が不可欠」は、規制産業においてもドキュメンテーションの指針となります。 スクラムチームはプロダクトバックログを見て、自分たちが何を納品するのかを説明します。 チームが業務を遂行するのに 「必要十分」であっても、監査要件を満たすには十分ではないかもしれません。 しかし、監査人にとって「かろうじて十分」なものを見極めることはでます。 「十分」ですが、「かろうじて」です。
監査ニーズとアジャイルアプローチ
例えば、ストーリーを書く際に、「これは、『それが何であるか』、そして『監査のニーズを満たすためにそれをどのように検証するかを適切に説明しているか?』」というチェックを織り交ぜていきます。 追加のドキュメンテーションが必要な場合は、その説明と可能なリポジトリをストーリーの一部にする必要があります。
ドキュメンテーションは、書面による概要や建築図面、ホワイトボードのスナップや概念実証コードのデモンストレーションキャプチャまで、あらゆる種類の形式をとることができます。 機能を理解するうえで、包括的なドキュメンテーションよりも作業プログラムのほうが便利です。
品質とユーザー受け入れテスト
リスク管理のもう一つの側面に、品質とユーザー受け入れテストがあります。 これらは、コード補完に従うのではなく、開発に織り込む必要があります。 エラーや脱落を開発者の記憶に新しいうちに対処することで、リスクを軽減できます。 漸進的に作成することで、製品の信頼性が保証されます。 また、製品の納品後ではなく、構築段階で機能に対する監査も可能になります。
開発者は、6か月前のことよりも、数週前に何をしたかのほうが、より正確に説明することができます。
ITアセスメントの自動化
IT評価を自動化して、制御コンプライアンスを検証することは、サーバー、アプリケーション、データベース、ネットワーク、エンドポイントを検証して、規制およびセキュリティ要件を満たしていることを確認するのに役立ちます。 検証するコントロールの例を次に示します。
- デフォルトパスワードの変更
- ソフトウェアパッチの適用
- ネットワークポートのロックダウン
- 機密データの送信と保存における暗号化の適切な使用
- IT資産の追跡
監査人と「私たち 対 彼ら」の関係になるのは簡単です。 彼らはあなたの行動を暴露するでしょう。 代わりに、監査人を組織の改善に取り組むチーム全体の一部として見てください。 そうすれば、彼らと協力して、ドキュメンテーションや証明の観点から必要なものを学ぶことが容易になります。
フィンテックの軽量化
規制産業とアジャイルプラクティスの適合性を説明するために、とあるFinTech企業の例を見てみましょう。 その企業はウォーターフォール型から アジャイルアプローチに移行しました。 同社は、スクラムへの移行に伴い、その堅牢なドキュメンテーションがどのように反映されるかを知りたがっていました。
彼らはその選択肢について監査法人と話し合いました。 その監査法人は、アジャイルアプローチを採用していたクライアントは、ドキュメンテーションがより「軽量」になったことに満足していると伝えました。
監査人にしてみれば、建築的アプローチに関するホワイトボード上のディスカッションの写真は、Visioのダイアグラムやテキストの多い定型的なセクションを含む長い文書と同じくらい価値のあるものでした。 監査人は、余計な混乱なしにプロセスを確認する方が簡単だと知りました。 「前もって大きな設計をする」という意識や「包括的な」ドキュメンテーションは必要ありませんでした。
エネルギー関連組織からの洞察
あるエネルギー関連の行政組織は、バックログと、それに関連する文書ドキュメントリポジトリのスナップショットを作成するプロセスを開発しました。 このテクニックは、プロジェクトに関する特定時点でのビューをある程度完全な形で生成します。 監査人は、疑問点があればプロジェクトの履歴を振り返ることができます。 スナップショットの自動化もしました。 それはスクリプトを実行するのと同じくらい簡単でした。 作業負担を増やすことはなく、規制要件を満たしました。
医療は検証を繰り返す
ある医療関連企業は、HIPAAコンプライアンスを、完了の定義とエンジニアリングに組み込みました。 その組織のソフトウェア開発プロセスにより、基準遵守が保証されました。 彼らは、開発とテストのためには模擬顧客データベースにしかアクセスできない例を示しました。
本番環境にリリースする際は、隔離され制御された環境で実際のデータを使用してテストしました。 スクラムチームは、バックログ項目を作成する際に規制面を考慮することをプロセスに組み込みました。 そのあと、すべての規制を満たしているかどうかの検証をすることができました。
HIPAAを開発に統合するための彼らのアプローチはシームレスでした。 これによって、製品への信頼と実社会での使いやすさが生まれました。 また、機能を提供しながらユーザーのフィードバックを収集し、その過程で改善を行いました。
規制産業とアジャイルアプローチ:自信を持ってコンプライアンスを達成する
アジャイル手法を採用すると、より効率的かつ効果的な製品開発をしながらリスク管理ができます。 アジャイルチームに権限を与えることで、規制された環境でも彼らが活躍できるようになります。 結局のところ、アジャイル手法は相性が良いのです!
規制産業でもアジャイルを採用したいですか? 私たちには実績があります。 ぜひご連絡頂き、 お手伝いさせてください。
