4 Bewertung ISO 9001 Zertifizierung
Transcrição
4 Bewertung ISO 9001 Zertifizierung
Bewertung ,62=HUWLIL]LHUXQJ Vorgespräch Vorgespräch Interne InterneVorbereitung Vorbereitung 0RQDWH Zertifizierungsaudit Zertifizierungsaudit Wiederholungsaudit Wiederholungsaudit DOOH-DKUH Überwachungsaudit Überwachungsaudit MlKUOLFK Wenn eine Organisation ein ,62=HUWLILNDW anstrebt, so muss sie zunächst eine geeignete =HUWLIL]LHUXQJVVWHOOHILQGHQ. Im Falle einer Softwarefirma muß diese Stelle insbesondere Softwarehersteller zertifizieren dürfen. Nun folgt ein Vorgespräch, in dem Umfang (Es kann auch erst ein Teil der Firma geprüft werden) und Zeitraum der Zertifizierung festgelegt werden. Die Organisation wird sich nun intern auf das Audit vorbereiten, in dem sie entweder selbst Audits durchführt oder sich von einer dritten Organisation helfen läßt. Das eigentliche =HUWLIL]LHUXQJVDXGLW wird dann von 2 Auditoren durchgeführt: einem 6\VWHPDXGLWRU, der Experte für die ISO 9001 Norm ist, und einem )DFKDXGLWRU, i.d.Fall einem Softwarefachmann. Geprüft wird zunächst das 40+DQGEXFK und dessen Konsistenz mit der ISO 9001. Der größere Teil sind dann ,QWHUYLHZV mit Mitarbeitern aus allen Bereichen und Ebenen. Das kann einen Tag bis eine Woche dauern. Diese Prüfung stellt allerdings weder bei ISO noch bei CMM einen wesentlichen Aufwand dar, im Gegensatz zur Einführung eines QM-Systems in die Organisation. In den meisten Fällen erhält die Organisation nun das ,62=HUWLILNDW. Dieses muss aber jedes Jahr durch ein hEHUZDFKXQJVDXGLW bestätigt werden und alle 3 Jahre durch ein :LHGHUKROXQJVDXGLW erneuert werden. Der große Vorteil, den die Organisation durch ein ISO Zertifikat hat, ist eine ZHOWZHLW HLQKHLWOLFKHIUDOOH2UJDQLVDWLRQHQJOHLFKH4XDOLWlWVGDUOHJXQJ. Nachteil im Sinne eines SPI-Programms ist, daß nur ein Softwareexperte am Audit teilnimmt, und mehr das Qualitätsmanagement als der Softwareprozess untersucht wird. Bewertung Team--Auswahl Auswahl Team &00$VVHVVPHQW Reifefragebogen Reifefragebogen Analyseder derAntworten Antworten Analyse Interviews und und Interviews Reviews von von Reviews Dokumenten Dokumenten Befunde Befunde Maßnahmenkatalog Maßnahmenkatalog fürVerbesserungen Verbesserungen für Schlüsselbereichsprofil Schlüsselbereichsprofil .3$SURILOH .3$SURILOH Will eine Softwarefirma ein &00$VVHVVPHQW durchführen, so benötigt sie ebenfalls einen großen Zeit- und Kostenaufwand für die Vorbereitung. Je nachdem welche Schlüsselbereiche, bzw. welche Reifestufe die Organisation erreichen will, wird nun ein )UDJHERJHQ von den zu prüfenden Abteilungen bzw. Projekten ausgefüllt. Erstellt und ausgewertet wird dieser von einem zuvor bestimmten Team aus ELV6RIWZDUHH[SHUWHQ. Diese sind zusätzlich für CMM Assessments geschult, müssen aber nicht wie bei der ISO Zertifizierung einer bestimmten Instanz angehören. Durch die, aus dem Fragebogen erarbeiteten, kritischen Bereiche geleitet, besucht nun das Assessmentteam die Firma. Anhand der Struktur der angestrebten Schlüsselbereiche führt das Team ,QWHUYLHZVmit den Mitarbeitern und5HYLHZVvon Dokumentationen durch. Im Gegensatz zu ISO werden allerdings alle Projekte (und diese auch intensiver) untersucht. Dies nimmt mindestens eine Woche in Anspruch. Das Team sammelt danach die Befunde aus den einzelnen Schlüsselbereichen und erstellt daraus das 6FKOVVHOEHUHLFKVSURILO. Auch wenn dieses viel differenzierter als die Bewertung bei einer ISO Zertifizierung ist, so gilt doch am Schluß: Nur wer alle nötigen Schlüsselbereiche erfüllt, erreicht auch die angestrebte Reifestufe. Im Unterschied zum ISO Zertifikat, wird die geprüfte Organisation aber vor allem einen 0DQDKPHQNDWDORJ für zukünftige Verbesserungen erstellen, da bei CMM nicht die QMDarlegung nach außen, sondern die VWlQGLJH6HOEVWYHUEHVVHUXQJ im Mittelpunkt steht. Deshalb ist es der Organisation auch freigestellt, wann sie ein weiteres Assessment durchführt. Für ein SPI-Programm ist das CMM Assessment also besser geeignet, weil es den 6RIWZDUHKHUVWHOOXQJVSUR]HVV detaillierter und wahrscheinlich kompetenter untersucht. Handlungsanweisungen Reifestufen &005HOHYDQWH$VSHNWH beschreiben Schlüsselbereiche sind unterteilt in 5HOHYDQWH$VSHNWH $NWLYLWlWHQ RGHU ,QIUDVWUXNWXU beschreiben enthalten 6FKOVVHOSUDNWLNHQ Im CMM finden sich die Handlungsanweisungen für die anwendende Organisation in den 6FKOVVHOSUDNWLNHQ. Diese machen den Hauptteil von CMM aus und haben quantitativ beim ISO Modell keine Entsprechung. Eine Besonderheit ist die Aufteilung in 5HOHYDQWH$VSHNWH. So gehört jede Schlüsselpraktik nicht nur einem Schlüsselbereich an, sondern ist auch noch einem Relevanten Aspekt [Selbstverpflichtung, Fähigkeit, Aktivitäten, Messung und Analyse, Implementationsüberprüfung] zugeordnet. Dabei stecken die eigentlichen Handlungen im Aspekt Aktivitäten. Die anderen Anweisungen kann man vielleicht als Basisaktivitäten ansehen, die der Durchführung der eigentlichen Handlungen dienen. Diese GRSSHOWH $XIWHLOXQJ macht CMM überschaubarer. Eine ähnliche Aufteilung besitzt die neue ISO 9001 (Entwurf) auch. Diese verschwimmt aber mit der Aufteilung nach den wesentlichen Forderungen [Verantwortung der Leitung, Management der Mittel, Produktrealisierung, Messung, Analyse und Verbesserung]. Handlungsanweisungen DIN EN ISO 9000 DIN DINEN ENISO ISO9000-3 9000-3 Anwendung Anwendungder derISO ISO9001 9001 speziell speziellfür fürSoftwarehersteller Softwarehersteller DEHUVHKUDOOJHPHLQ6HLWHQ DEHUVHKUDOOJHPHLQ6HLWHQ DIN DIN EN EN ISO ISO9001 9001 Allgemeine AllgemeineForderung Forderung6HLWHQ 6HLWHQ DIN DINEN ENISO ISO9004:2000 9004:2000 Leitfaden Leitfadenzur zurSelbstverbesserung Selbstverbesserung QLFKW QLFKWspeziell speziellfür fürSoftware Software DEHUGHWDLOLHUWHU6HLWHQ DEHUGHWDLOLHUWHU6HLWHQ *HJHQEHUVWHOOXQJ Capability Maturity Model 5HLIHVWXIHQ 6FKOVVHOEHUHLFKH 5HOHYDQWH$VSHNWH 6FKOVVHOSUDNWLNHQ VHKUGHWDLOLHUW6HLWHQ VHKUGHWDLOLHUW6HLWHQ Betrachtet mach die ISO 9000 Normenfamilie auf Handlungsanweisungen zur Verbesserung des Softwareherstellungsprozesses so findet man nicht gerade viel. Die ISO 9001 enthält wie bereits erwähnt nur die ZHVHQWOLFKHQ)RUGHUXQJHQ an ein allgemeines Qualitätsmanagementsystem. Die ISO 9000 Teil 3 spezifiziert diese Forderungen zwar für Softwarehersteller, läßt aber sehr viel offen. Da für eine Zertifizierung nur diese beiden Normen relevant sind, bringt das natürlich auch den Vorteil, daß man für jede Organisation eine LQGLYLGXHOOHXQGGHQ%HGUIQLVVHQHQWVSUHFKHQGH8PVHW]XQJ finden kann. CMM hingegen bietet mit über 500 Seiten jede Menge Schlüsselpraktiken an. Eine Organisation muß nun zwar viel mehr Anweisungen befolgen, kann sich aber auf einen sehr großen, JXWHUSUREWHQ(UIDKUXQJVVFKDW] stützen, den CMM mit sich bringt. Strebt eine Organisation eine ständige Verbesserung im Sinne eines SPI-Programms mit ISO 9000 an, so wird in Zukunft die ,62>Ä/HLWIDGHQ]X/HLVWXQJVYHUEHVVHUXQJ³@ eine wesentliche Rolle spielen. Hier werden weitere Vorschläge zu einem Modell nach ISO 9001 gemacht, die speziell auf Verbesserung abzielen. Allerdings ist diese Norm wieder an alle Organisationen gerichtet und nicht auf Software spezialisiert. Da sich die Forderungen der beiden Modelle (ISO und CMM), wie in Kapitel 3 gezeigt, nicht wesentlich unterscheiden, kann man in den Handlunganweisungen den ZHVHQWOLFKHQ 8QWHUVFKLHGQXULP'HWDLOOLHUXQJVJUDG finden, was aber - je nach Situation und Intension der Softwarefirma - einen entscheidenden Vor- bzw. Nachteil bringen kann. Zu erwähnen ist noch, daß beide Modelle auch noch spezielle +DQGEFKHUIUNOHLQH )LUPHQ anbieten, da diese oft Schwierigkeiten haben, die nötigen Strukturen angemessen zu implementieren. Einstufung DIN EN ISO 9000 Vergleich ISO nach CMM Capability Maturity Model RSWLPLHUHQG YHUZDOWHW GHILQLHUW ISO 9001 Zertifikat ungefähr ungefähr ZLHGHUKROEDU LQLWLDO Die Frage, wie man denn nun eine Organisation mit ISO 9001 Zertifikat mit einer CMM eingestuften vergleicht, ist nicht eindeutig zu beantworten. Es gibt also Organisationen mit ISO Zertifikat auf CMM Reifestufe 1 und umgekehrt Stufe 3 Organisationen, die die Anforderungen der ISO 9001 nicht erfüllen. Es gibt zwei Gründe für diese Differenzen. Erstens decken sich die Forderungen der beiden Modelle nicht 100% und zweitens unterscheiden sich die Anweisungen stark im Detaillierungsgrad. Das macht einen Vergleich zusätzlich auch noch von der subjektiven Beurteilung des Bewertungsteams abhängig. Für einen groben Vergleich kann man aber eine ISO zertifizierte Organisation zwischen Stufe 2 und 3 einordnen. Das will heißen, daß eine Stufe 3 leichte und eine Stufe 2 Firma große Anstrengungen unternehmen muß um auch ISO zertifiziert zu werden. Ein großer Teil der Forderungen sind aber wahrscheinlich schon erfüllt. Umgekehrt könnte ein ISO geprüfter Softwarehersteller mit etwas „Nacharbeit“ auf CMM Stufe 2 kommen. Zu erwähnen ist unbedingt, daß die neuen Version der beiden Modelle sich näher stehen werden und so den Vergleich bzw. den Übergang erleichtern werden. Dabei wird nicht die prinzipielle Intension der Modelle [grundlegende Qualitätssicherung vs. kontinuierliche Verbesserung] angenähert, sondern eher die Struktur und der Inhalt der Forderungen und Ziele. Einstufung Vergleich ISO nach CMM Verwaltung von Prozeßänderung (5) Verwaltung von Technologieänderung (5) Defektvermeidung (5) Software-Qualitätsmanagement (4) Quantitative Prozeßsteuerung (4) Peer Reviews (3) Koordination zwischen Gruppen (3) Software-Produktherstellung (3) Integriertes Softwaremanagement (3) Ausbildungsprogramm (3) Prozeßdefinition (3) Schwerpunkt organisationsweiter Prozeß (3) Software-Konfigurationsverwaltung (2) Software-Qualitätssicherung (2) Software-Unterauftragsverwaltung (2) Software-Projektverfolgung und -überblick (2) Software-Projektplanung (2) Anforderungsverwaltung (2) 6WDUNH%H]LHKXQJ 6FKZDFKH%H]LHKXQJ .HLQH%H]LHKXQJ Was einer CMM Stufe 3 Organisation zum Erfüllen der ISO 9001 Forderungen fehlt, ist relativ leicht zu beantworten: Im großen und ganzen sind das nur die Punkte 7 („ Lenkung der vom Kunden beigestellten Produkte“) und 15 („ Handhabung, Lagerung, Verpackung, Konservierung und Versand“). Die restlichen Forderungen findet man zwar nicht immer in einer 1-zu-1-Übersetzung, aber sie sind abgedeckt. Die umgekehrte Frage, was einem ISO zertifizierten Softwarehersteller zu einem CMM Schlüsselbereich fehlt ist schwieriger, da das ISO Modell viel mehr Freiheitsgrade läßt. Man kann aber sagen, daß vor allem in den ersten zwei Stufen viele Schlüsselbereiche fast gedeckt werden. Orientiert sich eine ISO zertifizierte Organisation an den Implementierungsvorschlägen von CMM, so kann man sogar bis in Stufe 5 erfüllte Forderungen finden. Beachtet man, daß sowohl externe QM-Darlegung, wie auch kontinuierliche Verbesserung für Softwarehersteller immer mehr an Bedeutung gewinnen, so muß man zu dem Schluß kommen, daß eine Ausrichtung auf beide Modelle der beste Weg ist.