Post on 10-Aug-2015
Zwinnie i pod kontrolą
Jak połączyć modele zwinne (SCRUM) z wymaganiami Corporate Compliance (COBIT AI.6)
2 GE Title or job number
04/15/2023
Intro
Czy da się połączyć zwinne, elastyczne podejście do
dostarczania produktów i sztywne wymagania modeli
Governance?
SCRUM – zasady i umowa Iteracyjność Każdy sprint dostarcza „zamkniętą” funkcjonalność Elastyczność, częste zmiany „kierunku” Odpowiedzialność zespołu/projektu za produkt Zgodnie z wymaganiami Product Ownera/Story Ownera
5 GE Title or job number
04/15/2023
Cechy SCRUM i COBIT
SCRUM• Szybkie, iteracyjne
dostarczanie produktów• Duża zmienność• Elastyczność podejścia• Brak gwarancji (Duży apetyt
na ryzyko niepowodzenia)
COBIT• Stabilizacja poprzez
„kontrolki” walidacyjne• Preferowana umiarkowana
zmienność• „Sztywne” wymagania• Oczekiwanie gwarancji
(mały apetyt na ryzyko)
A więc impas… Nie można jednocześnie często
zmieniać produktu/usługi i zapewniać stabilność.
A może da się? Wystarczy przyjrzeć się regułom i
uzgodnić „umowę”.
7 GE Title or job number
04/15/2023
Problem Statement
Jak za pomocą mechanizmów SCRUM dostarczyć walidację realizacji
aktywności COBIT
???
Role w SCRUM
SCRUMMaster
Product Owner
Developer
Product Backlog Autoryzacja DoD Autoryzacja
sprintów Walidacja DoD i
produktów sprintów
Koordynacja zadań SCRUM
„compliance” Rozliczalność
zespołu i sprintów
Wycena Produkcja QA Wdrożenie
Role w SCRUM (2)
SCRUMMaster
Product Owner
DeveloperDeveloper Developer
QA
QA
QA
DefinicjaKontrola
Walidacja
ACTIVITY
Develop and implement the process to consistently record, assess, and prioritise change requests.
Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process
Authorise changes
Manage and disseminate relevant information regarding changes.
Typy zadań w SCRUM i dystrybucja produktów
EPIC
STORY
STORY
BUGBUGBUG
Bug ->Dług technologiczny sprintu -> Emergency Change
Epic<>Story – możliwość SoD (np. środ. Test/Prod realizowane w róznych Story tego samego Epic
Zarządzanie backlogiem produktu i sprintu – priorytetyzacja
Typy zadań w SCRUM i dystrybucja produktów
Backlog Sprintu 1 Task 1 Task 2 Task 3 Task 4
Backlog Sprintu 2 Task 5 Task 6 Task 7 Task 8
No dobrze, a co
Autoryzacją? Przecież już mówiliśmy….
ACTIVITY OK?
Develop and implement the process to consistently record, assess, and prioritise change requests.
Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process
Authorise changes
Manage and disseminate relevant information regarding changes.
Autoryzacja zmian
Product Backlog Autoryzacja DoD Autoryzacja
sprintów Walidacja DoD i
produktów sprintów
Product Owner
Product Owner jest odpowiedzialny za autoryzację. To on/ona zarządza
priorytetyzacją zadań i autoryzacją ich wykonania/wdrożenia produktów. Jeśli
wymaganych jest więcej niż jedna autoryzacja – na PO spoczywa ich
zebranie i finalna decyzja.
ACTIVITY OK?
Develop and implement the process to consistently record, assess, and prioritise change requests.
Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process
Authorise changes Manage and disseminate relevant information regarding changes.
Informacja o zmianach
Musimy przyjąć jakieś założenia do naszej „umowy”:1. SCRUM jest transparentny
– nie ukrywamy naszych działań
2. SCRUM jest odpowiedzialny za swoje
produkty wing-2-wing3. Product Owner jest
„twarzą” klienta/użytkowników.
Brzmi sensownie…
Informacja o zmianach
Product Owner
Product Owner jest odpowiedzialny za komunikację. Niemniej w zależności od
produktu ta komunikacja może się różnić… od publikacji backlogu i zakresu kolejnych sprintów – do informowania o
wdrożeniach za pomoca róznych narzędzi
Users, Customer, Other POs, Teams, etc.ACTIVITY OK?
Develop and implement the process to consistently record, assess, and prioritise change requests.
Assess impact and prioritise changes based on business needs Assure that any emergency and critical change follows the approved process Authorise changes Manage and disseminate relevant information regarding changes.
Została priorytetyzacja CR…
No cóż – tu najłatwiej:1. User Story
2. Product Backlog3. Sprint Backlog
4. Decyzja PO
Problem Solved!
ACTIVITY OK?
Develop and implement the process to consistently record, assess, and prioritise change requests.
Assess impact and prioritise changes based on business needs
Assure that any emergency and critical change follows the approved process
Authorise changes
Manage and disseminate relevant information regarding changes.
Czy to wszystko?Oczywiście, że nie wszystko
pokazaliśmy. Poza samymi kontrolkami CC w samym COBIT jest jeszcze kilka obszarów, które „dotykają” Zmian.
Niemniej – mechanizm jest dość podobny. Wymaga:
a) Uwzględnienia tego, że SCRUM jest modelem opartym na interakcjach
Human-2-Humanb) Uwzględnienia tego, że spełnienie
wymagań nie musi oznaczać mechanizmu maszynowego, a jedynie
weryfikowalność.
19 GE Title or job number
04/15/2023
Co jeszcze?
PCI (VISA)
Model podobny, dochodzi odmienny SoD i „technikalia”
ISO20000Model podobny –
dochodzi odmienny SoD
ITIL ChM
Inne Nie wiem… ale da radę! CMMi
Całkowita zgodność(przy podanych założeniach)
Całkowita zgodność
(przy podanych założeniach)
Dziękuję za uwagę!
Przemek WysotaEkspert ITSM/IT ManagementKontaktMail: przemek.wysota@outlook.comTweet: @pwysotaLinkedIn: https://pl.linkedin.com/in/przemekwysota