Bisher war es so, dass bei einem ISO 9000 Audit meistens ein großer Bogen um die Software-Entwicklung geschlagen wurde. Dies führte dazu, dass aufgrund einer englischen Initiative speziell für Software die Leitlinie ISO 9000-3 herausgegeben wurde. Diese jedoch ist anders gegliedert als die ISO 9001 ff und fand daher außerhalb des Vereinigten Königreichs kaum Anerkennung. Dort wurden allerdings mehrere tausend Unternehmen nach TickIT zertifiziert.
Dr. Hans Stienen, Synspace GmbH, Freiburg
Ein anderer Ansatz hat sich für die Software-Entwicklung in den Vereinigten Staaten mit CMM (Capability Maturity Model) und in Europa etwas später mit Bootstrap etabliert.
Der wesentliche Unterschied zwischen beiden Ansätzen besteht darin, dass bei einem Audit ein Katalog mit Ja/Nein Fragen überwiegend positiv beantwortet werden muss und bei einem Assessment, je nachdem, wie viele Kriterien erfüllt werden, die Organisation hinsichtlich ihrer Prozessfähigkeit auf einer Skala von 1 bis 5 eingestuft wird. Der Wert 1 wird dann vergeben, wenn die Software Entwicklung im großen und ganzen ad-hoc abläuft. Den Wert 5 erhält theoretisch eine Organisation, die in der Lage ist, selbst bei größeren technischen oder organisatorischen Änderungen ihre bis dahin erworbenen Fähigkeiten intakt zu halten. Es wird wohl nicht überraschen, dass von den etlichen Tausend Organisationen, bei denen bis dato ein Software Prozess Assessment durchgeführt wurde, etwa 80 Prozent auf der Stufe 1 stehen und nur einige wenige die Stufe 4 erreicht haben. Stufe 4 bedeutet, dass der Prozess beschrieben ist, gelebt wird und aufgrund objektiv messbarer Kennzahlen laufend optimiert wird.
Ein Stufenmodell in dieser Art und in dieser Präzision gab es bisher nur für die Software-Entwicklung. Der Erfolg dieses Ansatzes trägt manchmal merkwürdige Blüten. So wurden wir einmal in einer Entwicklungsabteilung gefragt, bei der sich nur einige wenige Ingenieure mit Software befassten, ein Assessment durchzuführen. Für dieses Unternehmen war es jedoch sehr wichtig, bei dem Assessment so gut wie nur möglich abzuschneiden, da für die Mitarbeiter die Höhe der Erfolgsbeteiligung davon abhängig war. Nicht deswegen, weil Software wie immer häufiger eine wesentliche Komponente der entwickelten Produkte darstellte sondern vielmehr darum, weil es für die anderen Entwicklungsdisziplinen keine Bewertungsverfahren mit ähnlicher Qualität gab.
Mit dem Erscheinen von ISO 9000:2000 ff ändert sich die Situation. Der Standard ISO 12207, der die Software-Entwicklungsprozesse beschreibt und die ISO 15504, welche festlegt, wie diese Prozesse zu bewerten sind, haben dafür Pate gestanden. Die Zeit, in der bei der ISO 9000 Zertifizierung einen Bogen um die Software-Entwicklung gemacht wurde, ist definitiv vorbei.
Die Software-Prozessnormen
ISO 12207 wurde 1997 verabschiedet. Sie beschreibt die 27 Prozesse, die für eine Organisation, die Software entwickelt, als wesentlich betrachtet werden. Prozesse werden durch Ziele und die zu liefernden Ergebnisse beschrieben. Die Norm hat einen allgemein gültigen Charakter. Das heißt, sie sollte für Organisationen und Produkte unterschiedlicher Größe, Anwendungsgebiete und Vorgehensweise gleichermaßen anwendbar sein.
Diesem Thema wurde ein spezielles Kapitel gewidmet. Es wird definiert, wie die Norm fallweise auf die speziellen Gegebenheiten zugeschnitten werden kann. Im wesentlichen geschieht dies durch Streichung einzelner Anforderungen. Die Änderung bestehender Anforderungen wird nur in begründeten Ausnahmesituationen gestattet. Hiermit wird der beliebigen Auslegung der Norm, wie dies auch von ISO 9000 bekannt ist, ein Riegel vorgeschoben. Die im Dezember 1999 verabschiedete Prozessbewertungsnorm ISO 15504 setzt auf ISO 12207 auf, umfasst jedoch insgesamt 40 Prozesse, wie in Abbildung 1 zu ersehen ist. Außerdem beschreibt die Norm die Prozesse wesentlich detaillierter.
Vor der Verabschiedung der Norm wurden eine Reihe von Pilotversuchen durchgeführt. Diese haben gezeigt, dass ein Prozess auf seine Qualität beurteilen zu können, die Voraussetzungen im Sinne von vorrangig erarbeiteten Ergebnissen vorhanden sein sollten. Außerdem beschreibt ISO 15504 die grundlegenden Aktivitäten für die Erstellung der einzelnen Ergebnisse, die für die Entwicklung, Lieferung, Inbetriebnahme und Instandhaltung von Software notwendig sind.
ISO 15504 wurde zur Harmonisierung bestehender Verfahren zur Software-Prozessbewertung entwickelt. Vom amerikanischen CMM wurde die Abstufung in Reifegrade übernommen, von Bootstrap die Anwendung auf einzelne Prozesse und nicht nur auf die Gesamtheit der Prozesse einer Organisation wie bei CMM. Die Aspekte, die auf den einzelnen Stufen betrachtet werden, sind in Abbildung 2 dargestellt.
Erste Erfahrungen
Seitdem die ISO 15504 offiziell in Kraft getreten ist, hat der Hersteller in ganz Europa über 20 Assessments durchgeführt. Die häufig geäußerte Befürchtung, dass bei einer so detaillierten Norm ein Prozess-Assessment sehr aufwendig sein würde, konnte wiederlegt werden. Um ein Assessment effizient durchführen zu können, braucht man unbedingt rechnergestützte Werkzeuge. Zum Beispiel unterstützt SPiCE 1-2-1 die Auswahl der Prozesse, die Erhebung der Daten und die Darstellung der Bewertungen. ISO 15504 erlaubt es, dank seiner Modularität, ein Assessment auf die Kernprozesse einer Organisation abzustimmen und außerdem auf die wesentlichen Aktivitäten zu beschränken. Es müssen somit nicht alle Projekte untersucht werden. In der Regel wird jedoch mit Unterstützung externer Assessoren eine relevante oder auch repräsentative Auswahl getroffen. Das Ergebnis lautet dann auch nicht mehr wie bei CMM, dass eine Organisation sich auf Stufe X befindet oder wie bei ISO 9001:1994, dass sie das Zertifikat erhalten hat, sondern, dass von den untersuchten Prozessen ein gewisser Prozentsatz Y auf der Stufe Z bewertet wurde. Eine derartige Aussage erscheint weniger genau als die der bisherigen Verfahren. Zum Teil trifft dies zu.
Die Europäische Raumfahrtbehörde hat dem Freiburger Unternehmen den Auftrag erteilt, für die Entwicklung sicherheitskritischer Systeme einen Lösungsvorschlag zu erarbeiten. Mittlerweile hat auch das amerikanische SEI (Software Engineering Institute), das mit CMMI eine weitgehende Annäherung von CMM an ISO 15504 in die Wege geleitet hat, einen ähnlichen Vorschlag veröffentlicht. Dieser sieht vor, einer Organisation eine bestimmte Stufe X zu bescheinigen, wenn alle dieser Stufe zugeordneten Prozesse die entsprechende Stufe erreichen. Die Anzahl der Prozesse auf der ersten Stufe wurde auf acht beschränkt. Mit jeder Stufe kommen weitere dazu. Um als Organisation auf der Stufe 4 bewertet werden zu können, müssen alle 40 von ISO 15504 identifizierten Prozesse bewertet werden.
Das Zusammengehen von ISO 9000 und ISO 15504
Die ISO 9001 beschreibt die notwendigen Kriterien, welche die Qualitätsmanagementprozesse einer Organisation erfüllen müssen. Die ISO 9004-Richtlinien zur Qualitätsverbesserungen sind in dieser Hinsicht noch um einiges detaillierter. Außerdem wird im Anhang A dargelegt, wie eine Prozessbewertung vorgenommen werden kann. Auch hier wird, wie bereits bei ISO 15504, ein Beispiel gegeben, das fast normativen Charakter hat. Man muss gute Gründe anführen, um davon abzuweichen.
Bei dem Stufenmodell und auch bei einer Komplettierung des Bewertungsschemas, das für Software-Prozesse in ISO 15504 Teil 5 beispielhaft dargestellt ist, zeigen sich die großen Herausforderungen auch für die Zertifizierungsstellen, die mit der Auditierung von Software-Prozessen noch keine Erfahrung gesammelt haben. Zunächst fällt auf, dass bei ISO 9004:2000 die Messlatte wiederum höher gelegt wurde. Bei ISO 15504 wurde differenziert zwischen Prozessmessung Stufe 4 und Prozessoptimierung (Stufe 5). Beide Stufen werden in ISO 9004 zusammen genommen. Die Stufe 5 ist jetzt Unternehmen vorbehalten, die nachweisen können, dass sie zur Weltspitze gehören.
Die abweichende Unterteilung der Stufen ist zwar sehr augenfällig, stellt aber methodisch keine allzu großen Herausforderungen dar. Schwieriger wird es jedoch bei der Aufstellung einer detaillierten Prozessbeschreibung gemäss ISO 15504. Konkrete Prozessziele und Arbeitsergebnisse werden weder in ISO 9001 noch in ISO 9004 in einer einheitlichen Struktur vorgegeben.
Schlussfolgerung
Die vollständige Normanisierung einer kombinierten Prozessbewertung gemäss ISO 9001 und ISO 15504 ist für Unternehmen, die unter anderem Software entwickeln, eine zwingende Notwendigkeit, um kostspielige Doppelspurigkeiten und damit verbundene Inkonsistenzen zu vermeiden.
Die Europäische Raumfahrtbehörde hat dies erkannt, und daher den Auftrag erteilt, ein kombiniertes Bewertungsschema zu entwickeln. Das Ergebnis soll bis Ende 2001 vorliegen. Die Industrie kann jedoch nicht bis dahin warten. Unternehmen, die zum ersten Mal eine ISO 9000 Zertifizierung anstreben, müssen sich auf die neue Version abstützen.
Die folgenden aufgeführten Normen der ISO-9000-Familie wurden entwickelt, um Organisationen jeder Art und Größe beim Verwirklichen von und beim Arbeiten mit wirksamen Qualitätsmanagementsystemen zu helfen.
ISO 9000 beschreibt Grundlagen für Qualitätsmanagementsysteme und legt die Terminologie für Qualitätsmanagementsysteme fest.
ISO 9001 legt die Anforderungen an ein Qualitätsmanagementsystem für den Fall fest, dass eine Organisation ihre Fähigkeit darlegen muss, Produkte bereitzustellen, die die Anforderungen der Kunden und die behördlichen Anforderungen erfüllen, und anstrebt, die Kundenzufriedenheit zu erhöhen.
ISO 9004 stellt einen Leitfaden bereit, der sowohl die Wirksamkeit als auch die Effizienz des Qualitätsmanagementsystems betrachtet. Das Ziel dieser Norm besteht in der Leistungsverbesserung der Organisation sowie der Verbesserung der Zufriedenheit der Kunden und anderer interessierter Parteien.
ISO 19011 stellt eine Anleitung für das Auditieren von Qualitäts- und Umweltmanagementsystemen bereit.
Gemeinsam bilden diese Normen einen zusammenhängenden Satz Qualitätsmanagementsystemnormen, um das gegenseitige Verständnis im nationalen und internationalen Handel zu erleichtern.
Weitere Informationen A QE 321
Teilen:
