СТАТЬЯ
25.09.02

Через ISO 9001к зрелости по SW-CMM

© Андрей Абарыков, директор Департамента управления качеством ADjastMedia,
Наталья Сапрыкина, руководитель консалтингового проекта
Материал был опубликован на сайте www.adj.ru

Процесс развития любой компании, занимающейся разработкой программного обеспечения, неразрывно связан с развитием и совершенствованием внутренних технологий и процессов производства. По оценкам экспертов McKinsey (см. Рис. 1) одним из существенных недостатков российских оффшорных компаний является отсутствие у них сертификатов, подтверждающих их соответствие требованиям стандартов ISO 9000 и SEI SW-CMM.

Рис. 1. Фрагмент из "McKinsey Global Institute Report on the Russian Software Development Industry 99" .

Эксперты McKinsey делают вывод, что это "вопрос времени". Однако сегодня (в период спада рынка оффшорного программирования, который по некоторым прогнозам продлится еще около года) не самое подходящее время для длительного эволюционного развития. Необходимо выживать в условиях жесточайшей конкуренции, и в первую очередь за счет ликвидации упомянутых выше препятствий успешного развития.

Совершенно очевидно, что современные условия бизнеса требуют соответствия внутренних процессов оффшорных компаний признанным в отрасли моделям систем управления качеством и совершенствования внутренних процессов. К таким моделям относятся не только упомянутые выше ISO 9000, SEI SW-CMM, но и TickIT, CMMI, SPICE. Но, несмотря на эту очевидную необходимость, сегодня лишь в немногих российских компаниях, занимающихся разработкой ПО, системы качества и процессы соответствуют требованиям одной из вышеуказанных моделей и имеют соответствующие документы, подтверждающие проведение независимых оценок авторизованными организациями. Для сравнения; среди индийских компаний остались лишь единицы, чьи процессы не соответствовали бы требованиям моделям ISO серии 9000. a многие компании имеют 3-ий и выше уровень зрелости процессов по модели SEI SW-CMM.

Международная конкуренция между оффшорными компаниями четко определяет требования к организации, претендующей на выполнение проекта на западе: если у компании-разработчика нет сертификата соответствия системы качества одной из моделей стандартов ISO 9000 или результатов проведенных оценок зрелости процессов по модели SW-CMM, с ней просто не будут вести переговоры о возможном сотрудничестве. Сейчас в Европе сертификат ISO является необходимым условием, без которого не допустят к участию в тендере, даже если ты декларируешь, что у тебя великолепные технологии и в твоем коллективе работают только профессионалы высочайшею класса.

Итак, без развития внутренних технологий и приведения их к требованиям признанных в мире моделей выход на перспективный западный рынок закрыт. Тогда с чего начать? Какую из имеющихся моделей улучшения процессов выбрать в качестве ориентира? Для организаций, занимающихся разработкой программного обеспечения, наибольшую популярность и развитие получили модель гарантии (обеспечения) качества ISO 9001:94, модель управления качеством ISO 9001:2000 и модель зрелости процессов SEI SW-CMM. Давайте кратко рассмотрим основные преимущества и недостатки данных моделей.

Стандарты ISO серии 9000

Стандарты международной организации по стандартизации ISO являются наиболее известными и распространенными в мире. Стандарты ISO универсальны, их можно применять в качестве моделей независимо от отрасли, в которой функционирует компания. Такой подход, очевидно, имеет свои преимущества и недостатки.

Основным преимуществом моделей ISO серии 9000 является их известность, распространенность, признание на мировом уровне, большое количество экспертов и аудиторов и невысокая стоимость услуг по сертификации. Универсальность же моделей ISO серии 9000 содержит в себе определенные недостатки: они являются достаточно высокоуровневыми. В модели лишь упоминаются требования, которые должны быть реализованы, но не говорится о том, как это можно сделать. Это связано с тем, что для того, чтобы рекомендовать абстрактному предприятию способы реализации и зафиксировать необходимые рекомендации по выполнению требований, необходимо конкретизировать:

Поэтому для построения полноценной системы качества по ISO необходимо помимо основной модели ISO (1994 или 2000 года), которая создавался как модель, по которой необходимо проводить оценку, а не модель для внедрения системы качества использовать вспомогательные отраслевые и рекомендательные стандарты. Для организации, занимающейся разработкой программного обеспечения, таким стандартами являются: ISO 9004-1:94 (ISO 9004:2000), ISO 8402:94 (ISO 9000:2000), ISO 9000.3:91, ISO 10007:95, ISO 10013:95, ISO 12207:95.

Стандарт TickIT

Достаточно широкую известность получил британский стандарт TickIT. Как уже было сказано выше, для построения системы качества в компании абсолютно не достаточно использовать только модель ISO 9001, а необходимо воспользоваться группой специализированных и рекомендательных стандартов. Попытка дать свои рекомендации и свою консолидированную модель из необходимых стандартов для разработчиков программного обеспечения, реализована в стандарте TicklT. В отличие от модели ISO 9001, которая регламентирует "что необходимо сделать?" разработчики данного стандарта попытались ответить на вопрос "что необходимо сделать для становление системы качества в организации, занимающейся разработкой ПО?". Стандарт TickIT, кроме требований модели ISO 9001, в себя включает набор требований и практик из стандартов ISO 12207 "Жизненный цикл ПО" и ISO 9000-3 "Руководство для внедрения ISO 9001:94 для разработки, установки и поддержки ПО"

Преимуществами данной модели является, в первую очередь, то, что данный стандарт представляет собой достаточную модель, по которой можно не просто проверять, а самое главное разрабатывать систему качества. Так, же важным преимуществом является то, что, разрабатывая систему качества по модели TickIT, мы также построим ISO 9001 совместимую компанию.

К недостаткам модели TickITможно отнести недостаточное распространение данного стандарта и как следствие недостаточное его признание в мире. На самом деле если рассмотреть стандарты, которые были взяты в основу TickIT. то невольно задаешься вопросом, почему разработчики TickITне включили в свою модель другие не менее важные и нужные для организаций разработчиков программного обеспечения стандарты. Такие, как ISO 10007 "Управление конфигурацией", ISO 9004-1? И все-таки нельзя забывать главное - модель TickITсоздавалась как отраслевой стандарт для внедрения модели ISO 9000 в организациях разработчиков ПО, и разработчики данного стандарта дали свое, далеко не бесспорное представление о необходимости и ограничится лишь двумя из всего многообразия справочных и рекомендательных стандартов для построения эффективной системы качества. Хотя без сомнения для первого представления о системе качества для разработчиков ПО гораздо проще прочесть изучить TickIT, а не разбираться во всей сложной структуре иерархии рекомендательных стандартов в области обеспечения качества.

Стандарты SEI SW-CMM

Модель улучшения внутренних процессов SEI SW-CMM, разработанная американским институтом SEI (Software Engineering Institute Carnegie Mellon University), предназначена исключительно для организаций, занимающихся разработкой 110. Разработчики стандарта SEI SW-CMM определили пять уровней зрелости, которые должны пройти процессы разработки ПО для того, чтобы достигнуть основной цели модели - их постоянного самосовершенствования. И, чем более высокий уровень зрелости компании, чем более предсказуемыми и управляемыми становятся процессы и, как следствие, более предсказуемо и качественно будут реализованы проекты.

К преимуществам модели SEI SW-CMM относится то, что она ориентирована на организации, занимающиеся разработкой программного обеспечения. В этой модели удалось более детально проработать требования, специфичные для процессов, связанных с разработкой ПО. Вследствие этого в SEI SW-CMM приведены не только требования к процессам организации, по и примеры реализации этих требований.

Основным же недостатком SW-CMM является то, что модель не авторизована в качестве стандарта ни международными, ни национальными органами по стандартизации. Вследствие этого применение и адаптация SW-CMM на национальном уровне объективно вызывает определенные трудности.

Значительно большие внешние накладные расходы на приведение в соответствие модели СММ. нежели к моделям ISO 9000, также необходимо отнести к недостаткам данной модели. Это связано с меньшим распространением данной модели в мире, меньшим количеством консалтинговых организаций и экспертов и, в результате, с гораздо большими внешними затратами на консалтинг и на подтверждение соответствия процессов третьей стороной.

Посмотрим, как соотносятся между собой рассмотренные модели. Основное сходство моделей ISO 9000 и SEI SW-CMM заключается в том, что в их основу положена единая теория TQM, основанная на поэтапном улучшении внутренних производственных процессов за счет множества небольших внедряемых в компании улучшений (теория Kaizen) и удовлетворения всех заинтересованных в функционировании организации сторон (клиент, государство, персонал компании, акционеры компании, субподрядчики (см. Рис. 2)

Рис. 2. Сравнение ширины и глубины требований ISO 9001, SW-CMM и TQM.

Несмотря на то, что методология, взятая за основу обеих моделей, совпадает, - подходы к построению самосовершенствующихся систем управления качеством и к улучшению производственных процессов, которые в них определены, отличаются. Самое главное отличие модели SEI SW-CMM от моделей ISO 9000 заключается в том, что модель СММ в основном ориентирована на построение системы постоянного улучшения процессов, в то время как модели на основе ISO 9000 на проверку.

Помимо ЭТОГО, в отличие от моделей ISO 9000, где для того, чтобы им соответствовать и получить сертификат, необходимо продемонстрировать единовременное 100% соответствие всем требованиям модели, в модели SEI SW-CMM предусмотрен плавный, поэтапный подход к построению системы совершенствования процессов: можно поэтапно получать независимые подтверждения об улучшении процессов после каждого уровня зрелости. Такой поэтапный подход положительно сказывается на результатах внедрения модели. Желание получить сертификат соответствия в самые короткие сроки вынуждает консалтинговые компании и специалистов, занимающихся управлением качества, использовать гибкость высокоуровневых моделей в "корыстных" целях. В результате такого форсирования событий у организации, получившей сертификат по ISO 9000:

И действительно, когда выступаешь в роли независимого аудитора, очень сложно доказать, что принятый уровень детализации процесса явно не достаточен для эффективною функционирования системы качества компании. Но и доказать обратное за время, которое выделяется на аудит по ISO 9000, крайне сложно.

Практика показывает, что быстро построить эффективные процессы 5-ю уровня зрелости (также как и процессы на основе модели ISO 9000) невозможно. Для того чтобы этою добиться, недостаточно просто описать процессы с учетом требований модели. Самая главная сложность заключается в том, что необходимо перепроектировать культуру производства внутри организации. И сделать это волевым решением руководства невозможно. Именно поэтому подход, который определен в модели SEI SW-CMM, более жизнеспособен и реалистичен, чем в моделях ISO 9000.

И все же, учитывая все "за" и "против", какой подход развития внутренних процессов наиболее целесообразно выбрать Российским компаниям, занимающимся разработкой ПО? Конечно же, это зависит от множества обстоятельств:

Но если исходить из соотношения трудозатраты/результат, то, как показывает практика, наиболее экономически оправданный путь развития заключается в следующей стратегии (с методологической и практической точек зрения);

  1. Привести существующие процессы в соответствия с требованиями модели ISO 9001:2000.
  2. Начать внедрять SW-CMM, используя модель, прежде всего, как модель для улучшения существующих процессов с дальнейшим проведением оценки (на данном этане рекомендуется наблюдать за развитием моделей ISO 15504 SPICE и SEI-CMM1)

Почему именно такой подход наиболее рационален?

Во-первых, как сказано выше, сертификация по модели ISO 9000 более известна в мире и имеет широкое применение. Вследствие этого большинству Европейских заказчиков сертификат по модели ISO 9001:2000 будет служить достаточным основанием для начала разговора о возможном сотрудничестве. Необходимо также заметить, что стандарты ISO серии 9000 признаны в качестве национальных более чем в 100 странах мира, и Россия не исключение. Вследствие этого существуют официальные переводы стандарта, и нет проблем, связанных с подготовкой специалистов.

Во-вторых, затраты компании на привлечение консультантов и аудиторов по моделям ISO 9000 на порядок меньше стоимости экспертов но модели SEI SW-CMM. Не существует языкового барьера. Многие ведущие организации, занимающиеся сертификацией по моделям ISO 9000. имеют свои представительства в России (BVQI, DNV, TUV-CERT, LRQA), вследствие чего полностью реализована потребность в русскоязычных аудиторах. Для сравнения: но модели SEI SW-CMM зарегистрировано SEI около 300 человек, имеющих право возглавлять команду по оценке зрелости процессов на соответствие модели SEI SW-CMM. К сожалению, среди них нет ни одного русскоязычного эксперта.

В-третьих, внедрив требования модели ISO 9001:2000, организация на 90% закроет требования к процессам второго уровня зрелости, и создаст необходимые предпосылки для внедрения требований третьего и выше уровня зрелости процессов по модели SEI SW-CMM. Но оценкам западных IT-компаний для организации выгоднее находиться на третьем и выше, либо на первом уровне зрелости, нежели на втором. Второй уровень зрелости несколько замедляет процессы разработки из-за большого количества документов, создаваемых по проектам. Но оценке наших экспертов организация, чьи процессы соответствуют модели ISO 9001:2000. находятся на более высоком уровне развития, нежели второй уровень зрелости SEI SW-CMM и имеют множество реализованных требований из 3, 4 и даже большую часть требований пятого уровня зрелости процессов СММ .

И последнее, но не менее важное, преимущество данного подхода: по оценкам наших экспертов, организация зачастую быстрее достигает третьего уровня зрелости процессов по SEI SW-CMM, проходя через сертификацию по ISO 9001:2000, чем напрямую занимающиеся совершенствованием процессов по СММ level 3. Ведь основная сложность внедрения современных моделей менеджмента качества заключается не в технической стороне вопроса, а в изменении мышления сотрудников. Внедрение модели ISO 9001:2000 подготавливает благоприятную почву для дальнейшего развития процессов.

Конечно, каждая организация сама выбирает свой путь развития, в том числе и путь развития своих процессов. Но в любом случае время задумываться над этой проблемой закончилось. Настало время действий...

Дополнительные материалы

  • Статьи по системам управления качеством
  • Курсы по управлению проектами и качеством (SW-CMM, ISO)
  • Дополнительную информацию Вы можете получить в компании Interface Ltd.

    Обсудить на ERP-Форум
    Отправить ссылку на страницу по e-mail


    Interface Ltd.
    Тel/Fax: +7(095) 105-0049 (многоканальный)
    Отправить E-Mail
    http://www.interface.ru
    Ваши замечания и предложения отправляйте автору
    По техническим вопросам обращайтесь к вебмастеру
    Документ опубликован: 25.09.02