UML软件工程组织

中国软件企业遭遇CMM认证陷阱 CMMI、行标搅局
作者:高改芳
认证企业的烦恼

3月份刚刚通过CMM3级评估的上海宝信软件股份有限公司应该志得意满了:不仅拥有了CMM(CaPabilty MaturityModel软件能力成熟度模型)资格,而且得到上海市政府40万元的资助。

但实际情况是,宝信的烦恼才刚刚开始。

首先信产部制定的行业标准并不认可宝信通过的CMM3认证。

信产部的态度是,如果你要做国内项目,你就做信产部制定的行标认证,不一定去拿国外SEI的认证;你有出口的话,你就去拿一个洋证书。

政府主管部门不认同,获得CMM3认证对市场在中国的宝信来说又有什么用?

另外的烦恼是,CMM的制订者卡耐基-梅隆大学的软件工程学院(SoftwareEngineering Institute SEI)在2001年12月推出CMM的改进模型CMMI,并宣布到2005年不在支持CMM而是转向CMMI。宝信在进行CMM4级评估的时候,是否要转到CMMI?

更严重的问题是,CMM品牌在国内有被加速稀释的趋势。

“国内企业在认证过程中的弄虚作假、评估师受贿等问题已经引起了SEI的关注。”美国SEI注册评估师芭芭拉(Barbara Hilden)对本报记者说。

据了解,一个企业进行CMM认证要付出总计150万-200万人民币的现金、人力、物力和机会成本,这其中就包括可能的行贿金额。

CMM认证1987年由美国卡内基梅隆大学的软件工程研究所(SEI)提出,目的是为了替美国政府特别是国防部解决大型软件项目的承包管理问题。值得注意的是,CMM对软件开发项目最大的贡献在于,它把组织和管理的精神明确地纳入到软件开发的过程中来,它不是基于目标和方法的管理,而是基于过程的管理。

根据SEI2001年8月提供的数据,全世界有1505个机构申请CMM评估。通过评估的软件公司对项目的估计与控制能力约提升40%到50%;生产率提高10%到20%,软件产品出错率下降1/3以上。

更重要的是,通过实施CMM,世界各地的软件企业可以通过共同的语言来协调进程。而达到要求的成熟度有助于提高公司信誉,CMM成了迈向国际市场的“通行证”。

为此,2000年6月,国务院下发18号文件,其中第十七条明确规定鼓励软件出口型企业通过GB/T19000-ISO9000系列质量认证体系认证和CMM认证。其认证费用通过中央外贸发展基金适当予以支持。

为贯彻18号文件,各地分别制定了相应的政策。2002年10月,上海市下发了《上海市软件企业能力成熟度模型认证资助资金管理暂行办法》。其中第二条规定,对在本市注册并经认定的软件企业通过CMM3级、4级、5级认证的软件企业可以分别获得40万、60万、80万元人民币资助。

在鼓励软件出口的同时,2001年4月信产部制定的软件行业标准出台。

2001年11月信产部发布(信部科函【2001】506号)文件《关于贯彻软件能力评估标准的通知》,对软件能力评估试点工作安排进行了部署。

上海市一位不愿透露姓名的专家称,行标的内容和CMM如出一辙,只在个别地方略有改动。而且将国外的“模型”拿来定义为“行业标准”,在业内始终存在争议。

CMM不是灵丹妙药

中国软件行业协会副理事长朱三元教授对国内软件企业进行CMM评估持赞成态度,但他同时指出,CMM本身有很多缺陷,并不是包医百病的灵丹妙药。

CMM的认定是根据一个企业在做一个项目当中的几个关键过程月,比如2级要6个,3级要十几个,在这个过程中有没有度量、改进,从而认定这个企业在做这个项目上有没有达到CMM的相应等级。由于在这个过程中有很多规定要执行,人工开销增加,软件企业成本上升。根据国外统计,刚开始执行CMM的时候,增加成本30%左右,做得熟练之后,成本逐渐下降,但也会增加10%左右。但是这样做了之后质量也并不是100%的好。比如微软、IBM、惠普等美国的很多软件公司并没有做CMM认证,即使认证也不是5级。

作为微软和上海市政府的合资公司,微创却没有选择实施CMM。

据统计,全世界共有超过20万家软件企业,选择CMM评估的仅有2300家,占1%。

国内相关政策对推动CMM认证作用是明显的。

截至2003年3月,全国共有近50家软件企业通过CMM认证,其中通过2级的32家,3级9家,4级2家,5级的4家。而全国仅有1400多家软件企业,实施CMM认证的企业比例己经高于世界平均水平。

其中大连海辉科技股份有限公司和东软软件产业集团更是通过了最高级别的CMM5级认证。

而全球通过CMM5级认证的企业只有70多家,认证的时间更是远远短于世界平均值。

上海宝信和大连海辉都认为自己实施进程快是因为企业之前经过ISO9000认证,技术基础好。

卡耐基-梅隆大学国际软件研究院中国办公室主任Chuck Song的说法是,“如果一个企业仅用一年多就从2级蹦到5级,在美国是没有人会相信的。”

更让人触目惊心的是,目前从事CMM认证的商业机构违背认证的“第三方”原则,即几乎所有的商业公司都是聘请主任评估师为企业提供咨询服务,之后由该主任评估师评估。甚至有些商业公司将相关政府机构或者受政府机构委托从事奖励政策管理的管理人员作为合伙人。

更有甚者,有些国内企业的CMM评估并没有到SEI备案。

“国内企业在认证中最大的问题是急功近利,难以保证质量,有些干脆就是为了拿政府奖金。”Chuck Song先生这样评价。“与其失去信誉地进行CMM认证,还不如压根不做。因为一旦国际上不再相信中国企业的CMM评级,国内软件企业将很难走出国门。”

标准太多了

国内企业在实施CMM认证并遇到诸多困惑的时候,CMMI、行标又来“搅局”。

宝信软件研发部产品经理孙少羚认为,与CMM相比,CMMI的个性化更好,但实施的难度也更高。这使得上海畅想电脑、博科资讯等原本计划实施CMM的企业拿不定主意了:究竟应该实施CMM还是CMMI?

我国于2001年4月发布并实施的行标更增加了企业的疑惑。

据介绍,行标是信息产业部及其有关主管司局依托中国电子技术标准化研究所及其力友和咨询公司,调集国内众多的软件工程及软件质量管理专家和企业人士,在研究了国外CMM和ISO15504等标准的基础上,集合我国多年软件工程和标准化的理论和时间的进展而制定的。

但问题之一是,负责制定行标的中国电子标准化研究所即信息产业部第四研究所被指定为行标的认证机构,它和从事CMM咨询服务的力友和咨询公司是一个机构两块牌子。

企业最关心的是,行标是否最终被定为强制性标准,是否会指定咨询公司评估。行标下达了,如果实施和监督不力的话很可能就会成为一纸空文。

其次,行标和CMM并不兼容。据力友和咨询顾问管学兵介绍,国内软件企业如果通过了SEI的CMM3认证,国内的行标并不承认。

问题之三,尽管行标2001年4月就颁布,并且被有关部门称为半强制性标准,但除了给希望进行CMM认证的企业带来困惑外,并没有得到企业认可。

上海某软件企业项目经理表示,“我们的态度是,会跟踪了解行标,但只要政府没有规定它是强制性标准,我们就不会实施。”他认为,CMM认证是国外软件企业几十年经验的总结,而行标仅在CMM的基础上做了些改动,就说更适合中国国情,其实际操作性值得怀疑。况且世界上大多数国家并不认可我国自行制定的行标。

芭芭拉认为,由于中国的行标大多数内容来自SEI的CMM,但并不是直接翻译CMM,“我认为SEI不会承认中国的行标”。

上海微创软件有限公司软件开发事业部经理蔡锫认为。“我们认为CMM认证在国内的流行是中国软件业积极提升自己竞争力的体现。SJ/Tl1234和SJ/TI1235行业标准的制定和推出是中国政府对软件业积极扶持和规范化的体现。国家以及市场通过认证对软件企业进行引导,这是非常积极的。然而,我国软件业起步较低,具备这种能力的培训机构、实施机构比较少,这是目前推行CMM等认证亟需解决的问题。”

 

版权所有:UML软件工程组织