認證企業的煩惱

　　3月份剛剛通過CMM3級評估的上海寶信軟件股份有限公司應該志得意滿了：不僅擁有了CMM(CaPabilty MaturityModel軟件能力成熟度模型)資格，而且得到上海市政府40萬元的資助。

　　但實際情況是，寶信的煩惱才剛剛開始。

　　首先信產部制定的行業標準并不認可寶信通過的CMM3認證。

　　信產部的態度是，如果你要做國內項目，你就做信產部制定的行標認證，不一定去拿國外SEI的認證；你有出口的話，你就去拿一個洋證書。

　　政府主管部門不認同，獲得CMM3認證對市場在中國的寶信來說又有什么用？

　　另外的煩惱是，CMM的制訂者卡耐基-梅隆大學的軟件工程學院(SoftwareEngineering Institute SEI)在2001年12月推出CMM的改進模型CMMI，并宣布到2005年不在支持CMM而是轉向CMMI。寶信在進行CMM4級評估的時候，是否要轉到CMMI？

　　更嚴重的問題是，CMM品牌在國內有被加速稀釋的趨勢。

　　“國內企業在認證過程中的弄虛作假、評估師受賄等問題已經引起了SEI的關注�！泵绹鳶EI注冊評估師芭芭拉(Barbara Hilden)對本報記者說。

　　據了解，一個企業進行CMM認證要付出總計150萬-200萬人民幣的現金、人力、物力和機會成本，這其中就包括可能的行賄金額。

　　CMM認證1987年由美國卡內基梅隆大學的軟件工程研究所(SEI)提出，目的是為了替美國政府特別是國防部解決大型軟件項目的承包管理問題。值得注意的是，CMM對軟件開發項目最大的貢獻在于，它把組織和管理的精神明確地納入到軟件開發的過程中來，它不是基于目標和方法的管理，而是基于過程的管理。

　　根據SEI2001年8月提供的數據，全世界有1505個機構申請CMM評估。通過評估的軟件公司對項目的估計與控制能力約提升40%到50%；生產率提高10%到20%，軟件產品出錯率下降1／3以上。

　　更重要的是，通過實施CMM，世界各地的軟件企業可以通過共同的語言來協調進程。而達到要求的成熟度有助于提高公司信譽，CMM成了邁向國際市場的“通行證”。

　　為此，2000年6月，國務院下發18號文件，其中第十七條明確規定鼓勵軟件出口型企業通過GB/T19000-ISO9000系列質量認證體系認證和CMM認證。其認證費用通過中央外貿發展基金適當予以支持。

　　為貫徹18號文件，各地分別制定了相應的政策。2002年10月，上海市下發了《上海市軟件企業能力成熟度模型認證資助資金管理暫行辦法》。其中第二條規定，對在本市注冊并經認定的軟件企業通過CMM3級、4級、5級認證的軟件企業可以分別獲得40萬、60萬、80萬元人民幣資助。

　　在鼓勵軟件出口的同時，2001年4月信產部制定的軟件行業標準出臺。

　　2001年11月信產部發布(信部科函【2001】506號)文件《關于貫徹軟件能力評估標準的通知》，對軟件能力評估試點工作安排進行了部署。

　　上海市一位不愿透露姓名的專家稱，行標的內容和CMM如出一轍，只在個別地方略有改動。而且將國外的“模型”拿來定義為“行業標準”，在業內始終存在爭議。

　　CMM不是靈丹妙藥

　　中國軟件行業協會副理事長朱三元教授對國內軟件企業進行CMM評估持贊成態度，但他同時指出，CMM本身有很多缺陷，并不是包醫百病的靈丹妙藥。

　　CMM的認定是根據一個企業在做一個項目當中的幾個關鍵過程月，比如2級要6個，3級要十幾個，在這個過程中有沒有度量、改進，從而認定這個企業在做這個項目上有沒有達到CMM的相應等級。由于在這個過程中有很多規定要執行，人工開銷增加，軟件企業成本上升。根據國外統計，剛開始執行CMM的時候，增加成本30%左右，做得熟練之后，成本逐漸下降，但也會增加10%左右。但是這樣做了之后質量也并不是100%的好。比如微軟、IBM、惠普等美國的很多軟件公司并沒有做CMM認證，即使認證也不是5級。

　　作為微軟和上海市政府的合資公司，微創卻沒有選擇實施CMM。

　　據統計，全世界共有超過20萬家軟件企業，選擇CMM評估的僅有2300家，占1%。

　　國內相關政策對推動CMM認證作用是明顯的。

　　截至2003年3月，全國共有近50家軟件企業通過CMM認證，其中通過2級的32家，3級9家，4級2家，5級的4家。而全國僅有1400多家軟件企業，實施CMM認證的企業比例己經高于世界平均水平。

　　其中大連海輝科技股份有限公司和東軟軟件產業集團更是通過了最高級別的CMM5級認證。

　　而全球通過CMM5級認證的企業只有70多家，認證的時間更是遠遠短于世界平均值。

　　上海寶信和大連海輝都認為自己實施進程快是因為企業之前經過ISO9000認證，技術基礎好。

　　卡耐基-梅隆大學國際軟件研究院中國辦公室主任Chuck Song的說法是，“如果一個企業僅用一年多就從2級蹦到5級，在美國是沒有人會相信的�！�

　　更讓人觸目驚心的是，目前從事CMM認證的商業機構違背認證的“第三方”原則，即幾乎所有的商業公司都是聘請主任評估師為企業提供咨詢服務，之后由該主任評估師評估。甚至有些商業公司將相關政府機構或者受政府機構委托從事獎勵政策管理的管理人員作為合伙人。

　　更有甚者，有些國內企業的CMM評估并沒有到SEI備案。

　　“國內企業在認證中最大的問題是急功近利，難以保證質量，有些干脆就是為了拿政府獎金�！盋huck Song先生這樣評價。“與其失去信譽地進行CMM認證，還不如壓根不做。因為一旦國際上不再相信中國企業的CMM評級，國內軟件企業將很難走出國門�！�

　　標準太多了

　　國內企業在實施CMM認證并遇到諸多困惑的時候，CMMI、行標又來“攪局”。

　　寶信軟件研發部產品經理孫少羚認為，與CMM相比，CMMI的個性化更好，但實施的難度也更高。這使得上海暢想電腦、博科資訊等原本計劃實施CMM的企業拿不定主意了：究竟應該實施CMM還是CMMI？

　　我國于2001年4月發布并實施的行標更增加了企業的疑惑。

　　據介紹，行標是信息產業部及其有關主管司局依托中國電子技術標準化研究所及其力友和咨詢公司，調集國內眾多的軟件工程及軟件質量管理專家和企業人士，在研究了國外CMM和ISO15504等標準的基礎上，集合我國多年軟件工程和標準化的理論和時間的進展而制定的。

　　但問題之一是，負責制定行標的中國電子標準化研究所即信息產業部第四研究所被指定為行標的認證機構，它和從事CMM咨詢服務的力友和咨詢公司是一個機構兩塊牌子。

　　企業最關心的是，行標是否最終被定為強制性標準，是否會指定咨詢公司評估。行標下達了，如果實施和監督不力的話很可能就會成為一紙空文。

　　其次，行標和CMM并不兼容。據力友和咨詢顧問管學兵介紹，國內軟件企業如果通過了SEI的CMM3認證，國內的行標并不承認。

　　問題之三，盡管行標2001年4月就頒布，并且被有關部門稱為半強制性標準，但除了給希望進行CMM認證的企業帶來困惑外，并沒有得到企業認可。

　　上海某軟件企業項目經理表示，“我們的態度是，會跟蹤了解行標，但只要政府沒有規定它是強制性標準，我們就不會實施�！彼�認為，CMM認證是國外軟件企業幾十年經驗的總結，而行標僅在CMM的基礎上做了些改動，就說更適合中國國情，其實際操作性值得懷疑。況且世界上大多數國家并不認可我國自行制定的行標。

　　芭芭拉認為，由于中國的行標大多數內容來自SEI的CMM，但并不是直接翻譯CMM，“我認為SEI不會承認中國的行標”。

　　上海微創軟件有限公司軟件開發事業部經理蔡锫認為�！拔覀冋J為CMM認證在國內的流行是中國軟件業積極提升自己競爭力的體現。SJ／Tl1234和SJ／TI1235行業標準的制定和推出是中國政府對軟件業積極扶持和規范化的體現。國家以及市場通過認證對軟件企業進行引導，這是非常積極的。然而，我國軟件業起步較低，具備這種能力的培訓機構、實施機構比較少，這是目前推行CMM等認證亟需解決的問題�！�