Zwinnie i pod kontrolą

Jak połączyć modele zwinne (SCRUM) z wymaganiami Corporate Compliance (COBIT AI.6)

2 GE Title or job number

04/15/2023

Intro

Czy da się połączyć zwinne, elastyczne podejście do

dostarczania produktów i sztywne wymagania modeli

Governance?

SCRUM – zasady i umowa Iteracyjność Każdy sprint dostarcza „zamkniętą” funkcjonalność Elastyczność, częste zmiany „kierunku” Odpowiedzialność zespołu/projektu za produkt Zgodnie z wymaganiami Product Ownera/Story Ownera

4 GE Title or job number

04/15/2023

COBIT – Kontrola Zmian (AI6)

5 GE Title or job number

04/15/2023

Cechy SCRUM i COBIT

SCRUM• Szybkie, iteracyjne

dostarczanie produktów• Duża zmienność• Elastyczność podejścia• Brak gwarancji (Duży apetyt

na ryzyko niepowodzenia)

COBIT• Stabilizacja poprzez

„kontrolki” walidacyjne• Preferowana umiarkowana

zmienność• „Sztywne” wymagania• Oczekiwanie gwarancji

(mały apetyt na ryzyko)

A więc impas… Nie można jednocześnie często

zmieniać produktu/usługi i zapewniać stabilność.

A może da się? Wystarczy przyjrzeć się regułom i

uzgodnić „umowę”.

7 GE Title or job number

04/15/2023

Problem Statement

Jak za pomocą mechanizmów SCRUM dostarczyć walidację realizacji

aktywności COBIT

???

Role w SCRUM

SCRUMMaster

Product Owner

Developer

Product Backlog Autoryzacja DoD Autoryzacja

sprintów Walidacja DoD i

produktów sprintów

Koordynacja zadań SCRUM

„compliance” Rozliczalność

zespołu i sprintów

Wycena Produkcja QA Wdrożenie

Role w SCRUM (2)

SCRUMMaster

Product Owner

DeveloperDeveloper Developer

QA

QA

QA

DefinicjaKontrola

Walidacja

ACTIVITY

Develop and implement the process to consistently record, assess, and prioritise change requests.

Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process

Authorise changes

Manage and disseminate relevant information regarding changes.

Typy zadań w SCRUM i dystrybucja produktów

EPIC

STORY

STORY

BUGBUGBUG

Bug ->Dług technologiczny sprintu -> Emergency Change

Epic<>Story – możliwość SoD (np. środ. Test/Prod realizowane w róznych Story tego samego Epic

Zarządzanie backlogiem produktu i sprintu – priorytetyzacja

Typy zadań w SCRUM i dystrybucja produktów

Backlog Sprintu 1 Task 1 Task 2 Task 3 Task 4

Backlog Sprintu 2 Task 5 Task 6 Task 7 Task 8

No dobrze, a co

Autoryzacją? Przecież już mówiliśmy….

ACTIVITY OK?

Develop and implement the process to consistently record, assess, and prioritise change requests.

Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process

Authorise changes

Manage and disseminate relevant information regarding changes.

Autoryzacja zmian

Product Backlog Autoryzacja DoD Autoryzacja

sprintów Walidacja DoD i

produktów sprintów

Product Owner

Product Owner jest odpowiedzialny za autoryzację. To on/ona zarządza

priorytetyzacją zadań i autoryzacją ich wykonania/wdrożenia produktów. Jeśli

wymaganych jest więcej niż jedna autoryzacja – na PO spoczywa ich

zebranie i finalna decyzja.

ACTIVITY OK?

Develop and implement the process to consistently record, assess, and prioritise change requests.

Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process

Authorise changes Manage and disseminate relevant information regarding changes.

OK, 3 punkty z 5 zaliczyliśmy. Co z

pozostałymi dwoma?

Po kolei…

Informacja o zmianach

Musimy przyjąć jakieś założenia do naszej „umowy”:1. SCRUM jest transparentny

– nie ukrywamy naszych działań

2. SCRUM jest odpowiedzialny za swoje

produkty wing-2-wing3. Product Owner jest

„twarzą” klienta/użytkowników.

Brzmi sensownie…

Informacja o zmianach

Product Owner

Product Owner jest odpowiedzialny za komunikację. Niemniej w zależności od

produktu ta komunikacja może się różnić… od publikacji backlogu i zakresu kolejnych sprintów – do informowania o

wdrożeniach za pomoca róznych narzędzi

Users, Customer, Other POs, Teams, etc.ACTIVITY OK?

Develop and implement the process to consistently record, assess, and prioritise change requests.

Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process Authorise changes Manage and disseminate relevant information regarding changes.

Została priorytetyzacja CR…

No cóż – tu najłatwiej:1. User Story

2. Product Backlog3. Sprint Backlog

4. Decyzja PO

Problem Solved!

ACTIVITY OK?

Develop and implement the process to consistently record, assess, and prioritise change requests.

Assess impact and prioritise changes based on business needs

Assure that any emergency and critical change follows the approved process

Authorise changes

Manage and disseminate relevant information regarding changes.

Czy to wszystko?Oczywiście, że nie wszystko

pokazaliśmy. Poza samymi kontrolkami CC w samym COBIT jest jeszcze kilka obszarów, które „dotykają” Zmian.

Niemniej – mechanizm jest dość podobny. Wymaga:

a) Uwzględnienia tego, że SCRUM jest modelem opartym na interakcjach

Human-2-Humanb) Uwzględnienia tego, że spełnienie

wymagań nie musi oznaczać mechanizmu maszynowego, a jedynie

weryfikowalność.

19 GE Title or job number

04/15/2023

Co jeszcze?

PCI (VISA)

Model podobny, dochodzi odmienny SoD i „technikalia”

ISO20000Model podobny –

dochodzi odmienny SoD

ITIL ChM

Inne Nie wiem… ale da radę! CMMi

Całkowita zgodność(przy podanych założeniach)

Całkowita zgodność

(przy podanych założeniach)

???

…

Dyskusja, pytania?

Dziękuję za uwagę!

Przemek WysotaEkspert ITSM/IT ManagementKontaktMail: przemek.wysota@outlook.comTweet: @pwysotaLinkedIn: https://pl.linkedin.com/in/przemekwysota