认证企业的烦恼
3月份刚刚通过CMM3级评估的上海宝信软件股份有限公司应该志得意满了:不仅拥有了CMM(Capability Maturity Model软件能力成熟度模型)资格,而且得到上海市政府40万元的资助。
但实际情况是,宝信的烦恼才刚刚开始。
首先信产部制定的行业标准并不认可宝信通过的CMM3认证。
信产部的态度是,如果你要做国内项目,你就做信产部制定的行标认证,不一定去拿国外SEI的认证;你有出口的话,你就去拿一个洋证书。
政府主管部门不认同,获得CMM3认证对市场在中国的宝信来说又有什么用?
另外的烦恼是,CMM的制订者卡耐基-梅隆大学的软件工程学院(Software Engineering InstituteSEI)在2001年12月推出CMM的改进模型CMMI,并宣布到2005年不再支持CMM而是转向CMMI。宝信在进行CMM4级评估的时候,是否要转到CMMI?
更严重的问题是,CMM品牌在国内有被加速稀释的趋势。
“国内企业在认证过程中的弄虚作假、评估师受贿等问题已经引起了SEI的关注。”美国SEI注册评估师芭芭拉(BarbaraHilden)对本报记者说。
据了解,一个企业进行CMM认证要付出总计150万-200万人民币的现金、人力、物力和机会成本,这其中就包括可能的行贿金额。
CMM认证1987年由美国卡内基梅隆大学的软件工程研究所(SEI)提出,目的是为了替美国政府特别是国防部解决大型软件项目的承包管理问题。值得注意的是,CMM对软件开发项目最大的贡献在于,它把组织和管理的精神明确地纳入到软件开发的过程中来,它不是基于目标和方法的管理,而是基于过程的管理。
根据SEI2001年8月提供的数据,全世界有1505个机构申请CMM评估。通过评估的软件公司对项目的估计与控制能力约提升40%到50%;生产率提高10%到20%,软件产品出错率下降1/3以上。
更重要的是,通过实施CMM,世界各地的软件企业可以通过共同的语言来协调进程。而达到要求的成熟度有助于提高公司信誉,CMM成了迈向国际市场的“通行证”。
为此,2000年6月,国务院下发18号文件,其中第十七条明确规定鼓励软件出口型企业通过GB/T19000-ISO9000系列质量认证体系认证和CMM认证。其认证费用通过中央外贸发展基金适当予以支持。
为贯彻18号文件,各地分别制定了相应的政策。2002年10月,上海市下发了《上海市软件企业能力成熟度模型认证资助资金管理暂行办法》。其中第二条规定,对在本市注册并经认定的软件企业通过CMM3级、4级、5级认证的软件企业可以分别获得40万、60万、80万元人民币资助。
在鼓励软件出口的同时,2001年4月信产部制定的软件行业标准出台。
2001年11月信产部发布(信部科函【2001】506号)文件《关于贯彻软件能力评估标准的通知》,对软件能力评估试点工作安排进行了部署。
上海市一位不愿透露姓名的专家称,行标的内容和CMM如出一辙,只在个别地方略有改动。而且将国外的“模型”拿来定义为“行业标准”,在业内始终存在争议。
CMM不是灵丹妙药
中国软件行业协会副理事长朱三元教授对国内软件企业进行CMM评估持赞成态度,但他同时指出,CMM本身有很多缺陷,并不是包医百病的灵丹妙药。
CMM的认定是根据一个企业在做一个项目当中的几个关键过程月,比如2级要6个,3级要十几个,在这个过程中有没有度量、改进,从而认定这个企业在做这个项目上有没有达到CMM的相应等级。由于在这个过程中有很多规定要执行,人工开销增加,软件企业成本上升。根据国外统计,刚开始执行CMM的时候,增加成本30%左右,做得熟练之后,成本逐渐下降,但也会增加10%左右。但是这样做了之后质量也并不是100%的好。比如微软、IBM、惠普等美国的很多软件公司并没有做CMM认证,即使认证也不是5级。
作为微软和上海市政府的合资公司,微创却没有选择实施CMM。
据统计,全世界共有超过20万家软件企业,选择CMM评估的仅有2300家,占1%。
国内相关政策对推动CMM认证作用是明显的。
截至2003年3月,全国共有近50家软件企业通过CMM认证,其中通过2级的32家,3级9家,4级2家,5级的4家。而全国仅有1400多家软件企业,实施CMM认证的企业比例已经高于世界平均水平。
其中大连海辉科技股份有限公司和东软软件产业集团更是通过了最高级别的CMM5级认证。
