“您说得对,”金姆说,“我没有那些东西。但我可以证明,我们实际上做了更多你们要求我们做的事情,而且更有成效。”
事实证明,《萨班斯-奥克斯利法案》中实际上并没有明文规定如何进行正确的内部控制,它只是规定必须有某种方法来证明你做到了。金姆让审计小组退后一步,看看这些控制措施的要求以及它们存在的原因。然后,她向审计小组介绍了她的团队是如何满足这些要求的。
“诚然,我们没有你们正在寻找的商业需求文档,但我们有一位产品负责人,产品负责人每两周就会把业务推向一次冲刺阶段。产品负责人已经在需求文档上签字同意。您可以在我们的产品待办事项清单中看到是谁制定的规则,谁进行了同行评议,谁提交了合并请求,谁批准了合并请求。您可以看到所有的测试、所有的文献记录。”她指出,与传统审计要求相比,Scrum更加透明,能够提供更多关于正在发生和已经发生的事情的数据。
“你说得对,”审计员说,“这种Scrum过程是一种好得多的方法。”
金姆以为一切就此告一段落。可是,随后,这家巨无霸型集团的首席信息官请她主持一次会议,向公司的领导展示如何执行Scrum。