4 Bewertung ISO 9001 Zertifizierung

 Bewertung
,62=HUWLIL]LHUXQJ
Vorgespräch
Vorgespräch
Interne
InterneVorbereitung
Vorbereitung
0RQDWH
Zertifizierungsaudit
Zertifizierungsaudit
Wiederholungsaudit
Wiederholungsaudit
DOOH-DKUH
Überwachungsaudit
Überwachungsaudit
MlKUOLFK
Wenn eine Organisation ein ,62=HUWLILNDW anstrebt, so muss sie zunächst eine
geeignete =HUWLIL]LHUXQJVVWHOOHILQGHQ. Im Falle einer Softwarefirma muß diese Stelle
insbesondere Softwarehersteller zertifizieren dürfen. Nun folgt ein Vorgespräch, in dem
Umfang (Es kann auch erst ein Teil der Firma geprüft werden) und Zeitraum der Zertifizierung
festgelegt werden.
Die Organisation wird sich nun intern auf das Audit vorbereiten, in dem sie entweder selbst
Audits durchführt oder sich von einer dritten Organisation helfen läßt. Das eigentliche
=HUWLIL]LHUXQJVDXGLW wird dann von 2 Auditoren durchgeführt: einem 6\VWHPDXGLWRU, der
Experte für die ISO 9001 Norm ist, und einem )DFKDXGLWRU, i.d.Fall einem
Softwarefachmann.
Geprüft wird zunächst das 40+DQGEXFK und dessen Konsistenz mit der ISO 9001. Der
größere Teil sind dann ,QWHUYLHZV mit Mitarbeitern aus allen Bereichen und Ebenen. Das
kann einen Tag bis eine Woche dauern. Diese Prüfung stellt allerdings weder bei ISO noch
bei CMM einen wesentlichen Aufwand dar, im Gegensatz zur Einführung eines QM-Systems
in die Organisation.
In den meisten Fällen erhält die Organisation nun das ,62=HUWLILNDW. Dieses muss aber
jedes Jahr durch ein hEHUZDFKXQJVDXGLW bestätigt werden und alle 3 Jahre durch ein
:LHGHUKROXQJVDXGLW erneuert werden.
Der große Vorteil, den die Organisation durch ein ISO Zertifikat hat, ist eine ZHOWZHLW
HLQKHLWOLFKHIUDOOH2UJDQLVDWLRQHQJOHLFKH4XDOLWlWVGDUOHJXQJ. Nachteil im Sinne eines
SPI-Programms ist, daß nur ein Softwareexperte am Audit teilnimmt, und mehr das
Qualitätsmanagement als der Softwareprozess untersucht wird.
Bewertung
Team--Auswahl
Auswahl
Team
&00$VVHVVPHQW
Reifefragebogen
Reifefragebogen
Analyseder
derAntworten
Antworten
Analyse
Interviews und
und
Interviews
Reviews von
von
Reviews
Dokumenten
Dokumenten
Befunde
Befunde
Maßnahmenkatalog
Maßnahmenkatalog
fürVerbesserungen
Verbesserungen
für
Schlüsselbereichsprofil
Schlüsselbereichsprofil
.3$SURILOH
.3$SURILOH
Will eine Softwarefirma ein &00$VVHVVPHQW durchführen, so benötigt sie ebenfalls einen
großen Zeit- und Kostenaufwand für die Vorbereitung. Je nachdem welche
Schlüsselbereiche, bzw. welche Reifestufe die Organisation erreichen will, wird nun ein
)UDJHERJHQ von den zu prüfenden Abteilungen bzw. Projekten ausgefüllt. Erstellt und
ausgewertet wird dieser von einem zuvor bestimmten Team aus ELV6RIWZDUHH[SHUWHQ.
Diese sind zusätzlich für CMM Assessments geschult, müssen aber nicht wie bei der ISO
Zertifizierung einer bestimmten Instanz angehören.
Durch die, aus dem Fragebogen erarbeiteten, kritischen Bereiche geleitet, besucht nun das
Assessmentteam die Firma. Anhand der Struktur der angestrebten Schlüsselbereiche führt
das Team ,QWHUYLHZVmit den Mitarbeitern und5HYLHZVvon Dokumentationen durch. Im
Gegensatz zu ISO werden allerdings alle Projekte (und diese auch intensiver) untersucht.
Dies nimmt mindestens eine Woche in Anspruch.
Das Team sammelt danach die Befunde aus den einzelnen Schlüsselbereichen und erstellt
daraus das 6FKOVVHOEHUHLFKVSURILO. Auch wenn dieses viel differenzierter als die
Bewertung bei einer ISO Zertifizierung ist, so gilt doch am Schluß: Nur wer alle nötigen
Schlüsselbereiche erfüllt, erreicht auch die angestrebte Reifestufe.
Im Unterschied zum ISO Zertifikat, wird die geprüfte Organisation aber vor allem einen
0D‰QDKPHQNDWDORJ für zukünftige Verbesserungen erstellen, da bei CMM nicht die QMDarlegung nach außen, sondern die VWlQGLJH6HOEVWYHUEHVVHUXQJ im Mittelpunkt steht.
Deshalb ist es der Organisation auch freigestellt, wann sie ein weiteres Assessment
durchführt.
Für ein SPI-Programm ist das CMM Assessment also besser geeignet, weil es den
6RIWZDUHKHUVWHOOXQJVSUR]HVV detaillierter und wahrscheinlich kompetenter untersucht.
Handlungsanweisungen
Reifestufen
&005HOHYDQWH$VSHNWH
beschreiben
Schlüsselbereiche
sind unterteilt in
5HOHYDQWH$VSHNWH
$NWLYLWlWHQ
RGHU
,QIUDVWUXNWXU
beschreiben
enthalten
6FKOVVHOSUDNWLNHQ
Im CMM finden sich die Handlungsanweisungen für die anwendende Organisation in den
6FKOVVHOSUDNWLNHQ. Diese machen den Hauptteil von CMM aus und haben quantitativ beim
ISO Modell keine Entsprechung. Eine Besonderheit ist die Aufteilung in 5HOHYDQWH$VSHNWH.
So gehört jede Schlüsselpraktik nicht nur einem Schlüsselbereich an, sondern ist auch noch
einem Relevanten Aspekt [Selbstverpflichtung, Fähigkeit, Aktivitäten, Messung und Analyse,
Implementationsüberprüfung] zugeordnet. Dabei stecken die eigentlichen Handlungen im
Aspekt Aktivitäten. Die anderen Anweisungen kann man vielleicht als Basisaktivitäten
ansehen, die der Durchführung der eigentlichen Handlungen dienen. Diese GRSSHOWH
$XIWHLOXQJ macht CMM überschaubarer.
Eine ähnliche Aufteilung besitzt die neue ISO 9001 (Entwurf) auch. Diese verschwimmt aber
mit der Aufteilung nach den wesentlichen Forderungen [Verantwortung der Leitung,
Management der Mittel, Produktrealisierung, Messung, Analyse und Verbesserung].
Handlungsanweisungen
DIN EN ISO 9000
DIN
DINEN
ENISO
ISO9000-3
9000-3
Anwendung
Anwendungder
derISO
ISO9001
9001
speziell
speziellfür
fürSoftwarehersteller
Softwarehersteller
DEHUVHKUDOOJHPHLQ6HLWHQ
DEHUVHKUDOOJHPHLQ6HLWHQ
DIN
DIN EN
EN ISO
ISO9001
9001
Allgemeine
AllgemeineForderung
Forderung6HLWHQ
6HLWHQ
DIN
DINEN
ENISO
ISO9004:2000
9004:2000
Leitfaden
Leitfadenzur
zurSelbstverbesserung
Selbstverbesserung
QLFKW
QLFKWspeziell
speziellfür
fürSoftware
Software
DEHUGHWDLOLHUWHU6HLWHQ
DEHUGHWDLOLHUWHU6HLWHQ
*HJHQEHUVWHOOXQJ
Capability Maturity Model
5HLIHVWXIHQ
6FKOVVHOEHUHLFKH
5HOHYDQWH$VSHNWH
6FKOVVHOSUDNWLNHQ
VHKUGHWDLOLHUW6HLWHQ
VHKUGHWDLOLHUW6HLWHQ
Betrachtet mach die ISO 9000 Normenfamilie auf Handlungsanweisungen zur Verbesserung
des Softwareherstellungsprozesses so findet man nicht gerade viel. Die ISO 9001 enthält wie
bereits erwähnt nur die ZHVHQWOLFKHQ)RUGHUXQJHQ an ein allgemeines
Qualitätsmanagementsystem. Die ISO 9000 Teil 3 spezifiziert diese Forderungen zwar für
Softwarehersteller, läßt aber sehr viel offen. Da für eine Zertifizierung nur diese beiden
Normen relevant sind, bringt das natürlich auch den Vorteil, daß man für jede Organisation
eine LQGLYLGXHOOHXQGGHQ%HGUIQLVVHQHQWVSUHFKHQGH8PVHW]XQJ finden kann.
CMM hingegen bietet mit über 500 Seiten jede Menge Schlüsselpraktiken an. Eine
Organisation muß nun zwar viel mehr Anweisungen befolgen, kann sich aber auf einen sehr
großen, JXWHUSUREWHQ(UIDKUXQJVVFKDW] stützen, den CMM mit sich bringt.
Strebt eine Organisation eine ständige Verbesserung im Sinne eines SPI-Programms mit ISO
9000 an, so wird in Zukunft die ,62>Ä/HLWIDGHQ]X/HLVWXQJVYHUEHVVHUXQJ³@ eine
wesentliche Rolle spielen. Hier werden weitere Vorschläge zu einem Modell nach ISO 9001
gemacht, die speziell auf Verbesserung abzielen. Allerdings ist diese Norm wieder an alle
Organisationen gerichtet und nicht auf Software spezialisiert.
Da sich die Forderungen der beiden Modelle (ISO und CMM), wie in Kapitel 3 gezeigt, nicht
wesentlich unterscheiden, kann man in den Handlunganweisungen den ZHVHQWOLFKHQ
8QWHUVFKLHGQXULP'HWDLOOLHUXQJVJUDG finden, was aber - je nach Situation und Intension
der Softwarefirma - einen entscheidenden Vor- bzw. Nachteil bringen kann.
Zu erwähnen ist noch, daß beide Modelle auch noch spezielle +DQGEFKHUIUNOHLQH
)LUPHQ anbieten, da diese oft Schwierigkeiten haben, die nötigen Strukturen angemessen zu
implementieren.
Einstufung
DIN EN ISO 9000
Vergleich ISO nach CMM
Capability Maturity Model
RSWLPLHUHQG
YHUZDOWHW
GHILQLHUW
ISO 9001 Zertifikat
ungefähr
ungefähr
ZLHGHUKROEDU
LQLWLDO
Die Frage, wie man denn nun eine Organisation mit ISO 9001 Zertifikat mit einer CMM
eingestuften vergleicht, ist nicht eindeutig zu beantworten. Es gibt also Organisationen mit
ISO Zertifikat auf CMM Reifestufe 1 und umgekehrt Stufe 3 Organisationen, die die
Anforderungen der ISO 9001 nicht erfüllen.
Es gibt zwei Gründe für diese Differenzen. Erstens decken sich die Forderungen der beiden
Modelle nicht 100% und zweitens unterscheiden sich die Anweisungen stark im
Detaillierungsgrad. Das macht einen Vergleich zusätzlich auch noch von der subjektiven
Beurteilung des Bewertungsteams abhängig.
Für einen groben Vergleich kann man aber eine ISO zertifizierte Organisation zwischen Stufe
2 und 3 einordnen. Das will heißen, daß eine Stufe 3 leichte und eine Stufe 2 Firma große
Anstrengungen unternehmen muß um auch ISO zertifiziert zu werden. Ein großer Teil der
Forderungen sind aber wahrscheinlich schon erfüllt. Umgekehrt könnte ein ISO geprüfter
Softwarehersteller mit etwas „Nacharbeit“ auf CMM Stufe 2 kommen.
Zu erwähnen ist unbedingt, daß die neuen Version der beiden Modelle sich näher stehen
werden und so den Vergleich bzw. den Übergang erleichtern werden. Dabei wird nicht die
prinzipielle Intension der Modelle [grundlegende Qualitätssicherung vs. kontinuierliche
Verbesserung] angenähert, sondern eher die Struktur und der Inhalt der Forderungen und
Ziele.
Einstufung
Vergleich ISO nach CMM
Verwaltung von Prozeßänderung (5)
Verwaltung von Technologieänderung (5)
Defektvermeidung (5)
Software-Qualitätsmanagement (4)
Quantitative Prozeßsteuerung (4)
Peer Reviews (3)
Koordination zwischen Gruppen (3)
Software-Produktherstellung (3)
Integriertes Softwaremanagement (3)
Ausbildungsprogramm (3)
Prozeßdefinition (3)
Schwerpunkt organisationsweiter Prozeß (3)
Software-Konfigurationsverwaltung (2)
Software-Qualitätssicherung (2)
Software-Unterauftragsverwaltung (2)
Software-Projektverfolgung und -überblick (2)
Software-Projektplanung (2)
Anforderungsverwaltung (2)
6WDUNH%H]LHKXQJ
6FKZDFKH%H]LHKXQJ
.HLQH%H]LHKXQJ
Was einer CMM Stufe 3 Organisation zum Erfüllen der ISO 9001 Forderungen fehlt, ist relativ
leicht zu beantworten: Im großen und ganzen sind das nur die Punkte 7 („ Lenkung der vom
Kunden beigestellten Produkte“) und 15 („ Handhabung, Lagerung, Verpackung,
Konservierung und Versand“). Die restlichen Forderungen findet man zwar nicht immer in
einer 1-zu-1-Übersetzung, aber sie sind abgedeckt.
Die umgekehrte Frage, was einem ISO zertifizierten Softwarehersteller zu einem CMM
Schlüsselbereich fehlt ist schwieriger, da das ISO Modell viel mehr Freiheitsgrade läßt. Man
kann aber sagen, daß vor allem in den ersten zwei Stufen viele Schlüsselbereiche fast
gedeckt werden. Orientiert sich eine ISO zertifizierte Organisation an den
Implementierungsvorschlägen von CMM, so kann man sogar bis in Stufe 5 erfüllte
Forderungen finden.
Beachtet man, daß sowohl externe QM-Darlegung, wie auch kontinuierliche Verbesserung für
Softwarehersteller immer mehr an Bedeutung gewinnen, so muß man zu dem Schluß
kommen, daß eine Ausrichtung auf beide Modelle der beste Weg ist.