几年前，我的同事金姆·安泰洛在一家大型全球性工业公司工作。公司制造的产品用于保证飞机飞行安全，总之是非常重要的东西。金姆的团队完全采用Scrum。在事先没有让金姆知情的情况下，《萨班斯-奥克斯利法案》合规审计小组对他们进行了审计。审计师把金姆拉到一个会议上，说她未能依从规则行事，存在重大失误：团队这也没做，那也没做，她本应对所有流程进行内部控制，而且她未按要求做记录，缺少大量的商业需求文档。
“您说得对，”金姆说，“我没有那些东西。但我可以证明，我们实际上做了更多你们要求我们做的事情，而且更有成效。”
事实证明，《萨班斯-奥克斯利法案》中实际上并没有明文规定如何进行正确的内部控制，它只是规定必须有某种方法来证明你做到了。金姆让审计小组退后一步，看看这些控制措施的要求以及它们存在的原因。然后，她向审计小组介绍了她的团队是如何满足这些要求的。
“诚然，我们没有你们正在寻找的商业需求文档，但我们有一位产品负责人，产品负责人每两周就会把业务推向一次冲刺阶段。产品负责人已经在需求文档上签字同意。您可以在我们的产品待办事项清单中看到是谁制定的规则，谁进行了同行评议，谁提交了合并请求，谁批准了合并请求。您可以看到所有的测试、所有的文献记录。”她指出，与传统审计要求相比，Scrum更加透明，能够提供更多关于正在发生和已经发生的事情的数据。