第 14 回アジャイルの現状レポートは、規制対象の業界とアジャイル™手法が理にかなっている理由について、いくつかの重要な洞察とサポートを提供します。 レポートによると、回答者の28%が、自動化された監査コンプライアンスとコントロールポイント全体のガバナンスは非常に価値があると考えています。 これは昨年の10%から増加しています。 レポートは、これはコンプライアンス要件を持つ企業の間でアジャイルの採用が増加しているためであると推測しています。 これらの採用者はまた、その理由は、コストの削減(前年の41%に対して26%)よりも、プロジェクトのリスクの軽減(前年の28%に対して37%)であると述べました。
規制された業界とアジャイル手法は適切ですか?
組織がこのバケットに当てはまる場合、スクラムやカンバンなどのアジャイルでリーンなアプローチが環境でどの程度うまく機能するか疑問に思われるかもしれません。 現在の経験には、ドキュメント、開発過程の検査、およびコード エンジニアリングの完了後の品質およびユーザー受け入れテストの遅延に関連する大きなオーバーヘッドと負担が含まれる場合があります。
一般的な認識とは反対に、アジャイルアプローチは高度に規制された環境でうまく機能します。 この記事では、この対戦のいくつかの側面を探ります。
監査とリスク
規制当局は、重要なソフトウェアとシステムの監査を期待しています。 これらの監査には、ドキュメント、その他の証明、および機能情報が必要です。 これにより、監査人は意思決定やプロセスによるリスクやコンプライアンスへの影響を理解できます。
アジャイルの原則である「シンプルさ (完了していない作業量を最大化する技術) が不可欠」は、規制された環境でも文書化の指針となります。 スクラムチームは、製品バックログを調べて、何を提供するかを説明します。 チームが作業を行うのに「ちょうど十分」であっても、監査要件を満たすには不十分な場合があります。 ただし、監査人にとって「かろうじて十分」なものを特定することはできます。 それで十分ですが、かろうじてです。
ニーズの監査とアジャイルアプローチ
たとえば、「これはそれが何であるか、そして監査のニーズを満たすためにそれをどのように検証するかを適切に説明しているか」というチェックをストーリーに織り込みます。 追加のドキュメントが必要な場合は、その説明と可能なリポジトリをストーリーの一部にする必要があります。
ドキュメントは、書面による概要や建築図面から、ホワイトボードのスナップショットや概念実証コードのデモンストレーションキャプチャまで、あらゆる種類の形式をとることができます。 作業プログラムは、機能を理解する上で包括的なドキュメントよりも便利です。
品質とユーザー受け入れテスト
リスク管理のもう一つの側面は、品質とユーザー受け入れテストです。 これらは、コード補完に従うのではなく、開発に織り込む必要があります。 エラーや脱落を開発者の記憶に新しいうちに対処することで、リスクを軽減できます。 インクリメンタル作成により、信頼できる製品が保証されます。 また、製品の納品後ではなく、構築段階で機能に対する監査も可能になります。
開発者は、6か月前のことではなく、過去数週間に何をしたかをより正確に説明します。
ITアセスメントの自動化
IT評価を自動化して制御コンプライアンスを検証することは、サーバー、アプリケーション、データベース、ネットワーク、エンドポイントを検証して、規制およびセキュリティ要件を満たしていることを確認するのに役立ちます。 検証するコントロールの例を次に示します。
- デフォルトパスワードの変更
- ソフトウェアパッチの適用
- ネットワークポートのロックダウン
- 機密データの送信と保存における暗号化の適切な使用
- IT資産の追跡
監査人と「私たち対彼ら」の関係を築くのは簡単です。 彼らはあなたがしていることを明らかにします。 代わりに、監査人を組織の改善に取り組むチーム全体の一部として見てください。 そうすれば、彼らと協力して、ドキュメントや証明の観点から必要なものを学ぶことが容易になります。
フィンテックが軽量化
規制の厳しい業界とアジャイルプラクティスの適合性を説明するために、フィンテック企業を見てみましょう。 彼らはウォーターフォールから アジャイルアプローチに移行しました。 同社は、その堅牢なドキュメントがスクラムへの移行にどのように変換されるかを知りたいと考えていました。
彼らはその選択肢について監査法人と話し合った。 同社は、アジャイルアプローチを使用しているクライアントがいて、ドキュメントがより「軽量」になったときに満足しているとアドバイスしました。
アーキテクチャ アプローチに関するホワイトボード ディスカッションの写真は、監査人の観点からは、Visio の図やテキストの多い定型文セクションを含む長いドキュメントと同じくらい貴重でした。 監査人は、余分な混乱なしにプロセスを確認する方が簡単だと感じました。 「事前に大きな設計」の考え方や「包括的な」ドキュメントは必要ありませんでした。
エネルギー組織からの洞察
ある政府のエネルギー組織は、バックログと関連するドキュメント リポジトリのスナップショットを作成するプロセスを開発しました。 この手法により、プロジェクトの合理的に完全なポイントインタイムビューが生成されました。 監査人は、質問があればプロジェクトの歴史を振り返ることができます。 スナップショットを自動化しました。 スクリプトを実行するのと同じくらい簡単でした。 作業の負担を増やすことはなく、規制要件を満たしました。
医療は検証を繰り返す
あるヘルスケア企業は、HIPAAコンプライアンスを完了およびエンジニアリングプラクティスの定義に組み込んでいます。 組織のソフトウェア開発プロセスにより、標準への準拠が保証されました。 彼らは、開発とテストのためにアクセス可能な模擬顧客データベースのみの例を提供しました。
本番環境にリリースする際、隔離された制御された環境で実際のデータを使用してテストしました。 スクラムチームは、バックログ項目を作成するときに規制の側面を考慮するためにプロセスを組み込んでいました。 その後、すべての規制を満たしていることを検証することができました。
HIPAAを開発に統合するための彼らのアプローチはシームレスでした。 これにより、製品への自信と現実世界での使いやすさが生まれました。 また、機能を提供しながらユーザーのフィードバックを収集し、その過程で改善を行いました。
規制の厳しい業界とアジャイルアプローチ:自信を持ってコンプライアンスを達成
アジャイル手法を使用すると、製品開発がより効率的かつ効果的になったとしても、リスク管理に役立ちます。 アジャイルチームに力を与えることで、規制された環境で成功することができます。 結局のところ、アジャイル手法は最適です!
規制された環境でより俊敏になろうとしていますか? 私たちはそれをやった。私たちがあなたがそれをするのをどのように助けることができるかを見るために 私達 に連絡してください。
