info.cmmi.hu

A CMMI^® modell auditálására vonatkozó követelmények a CMMI^® keret részei. Az auditálás általános követelményeit az „Appraisal Requirements for CMMI^®” (röviden ARC) tartalmazza. Az ARC alapján bármely szervezet kidolgozhatja saját módszertanát, mely alkalmas arra, hogy a CMMI^® modellnek való megfelelőséget ellenőrizze.
Ennek az ARC követelményrendszernek az alapján a SEI kidolgozta saját auditálási módszertanát, a SCAMPISM-t („Standard CMMI^® Appraisal Method for Process Improvement”), melynek 3 osztályát különböztette meg: SCAMPISM A, SCAMPISM B és SCAMPISM C osztályt. A SCAMPISM módszertan alkalmazásával végzett auditokat a SEI tartja kézben, figyeli és követi őket, és nemzetközi adatbázist működtet az auditok adatainak feljegyzésére. Az ilyen auditokat csak a SEI által képzett és felhatalmazott SCAMPISM vezető auditorok (SCAMPISM Lead Appraiser) végezhetik. Az auditokkal kapcsolatos információkat a vezető auditor jelenti a SEI-nek. Ilyenformán, a világban végzett összes SCAMPISM audit összefoglaló adatai a SEI rendelkezésére állnak.
Auditokkal kapcsolatos információk itt, a SEI által nyilvántartott SCAMPISM vezető auditorok listája itt érhető el.
A CMMI^® modellnek való megfelelőséget ellenőrző auditokra vonatkozó követelmények a CMMI^® modell v1.2-es verziójának megjelenésekor, 2006 nyarán szintén frissültek. Jelenleg az ARC-nek és a SCAMPISM A módszertannak a v1.2 verziója érvényes. 2005-ben tették közzé a SCAMPISM B és C módszertanokat. Mivel korábban nem volt B és C típusú auditot leíró módszertan, ez az első verzió, amelyet V1.1-es verziószámmal jelöltek.
Appraisal Requirements for CMMI, Version 1.2 (ARC, V1.2). Technical report CMU/SEI-2006-TR-011 ESC-TR-2006-011, Standard CMMI^® Appraisal Method for Process Improvement (SCAMPISM) A, Version 1.2: Method Definition Document. CMU/SEI-2006-HB-002, Hayes, W., Miluk G et al: Handbook for Conducting Standard CMMI Appraisal Method for Process Improvement (SCAMPI) B and C Appraisals, version 1.1. December 2005. Handbook, CMU / SEI-2005-HB-005.
A SCAMPISM módszertan szerint végzett audit során felmérik, hogy az adott cég vagy folyamatcsoport megfelel-e a célként kitűzött érettségi vagy képességi szintnek. Az audit során tulajdonképpen azt vizsgálják, hogy az egyes folyamatok mennyire teljesítik a rájuk vonatkozó sajátos és általános célokat. A célok teljesülésének vizsgálatához un. „objektív bizonyítékokat” (objective evidence) gyűjtenek, amelyeknek több forrásból kell származniuk. Eljárásokból, dokumentumokból, valamint a szervezet tagjainak szóbeli beszámolójából származó objektív bizonyítékot kell beszerezni minden vizsgált folyamat minden sajátos és általános gyakorlatára vonatkozóan. Az audit során a szervezet egészét, vagy annak kijelölt részeit (pl. egy osztályát) vizsgálják. A tanúsítványt a vizsgált terület fogja megkapni. A kijelölt szervezeti egységen belül bizonyos számú (reprezentatív mintának számító) projektben is vizsgálni kell a folyamatok végrehajtását. A SCAMPISM A audit egy tervezési fázissal kezdődik, majd az objektív bizonyítékok összegyűjtése következik. Ebben a vezető auditort az auditot végző csapat tagjai segítik.
Az auditor csapat tagjai lehetnek külső szervezet tagjai, de ajánlatos, hogy az auditált szervezet is delegáljon tagokat az auditot végző csapatba, mert az objektív bizonyítékok összegyűjtése, rendszerezése és dokumentálása hosszú folyamat, melyet lényegesen lerövidíthet, ha az auditorok egy része az auditált szervezet tagja, s jól ismeri a szervezetben alkalmazott eljárásokat, a dokumentumok lelőhelyét stb..
Az auditot végző csapat összetételére, a tagok szakképesítésére pontos előírásokat tartalmaz a SCAMPISM A módszertan. Követelmény például, hogy minden csapattagnak (már az audit előtt) részt kell vennie a SEI által szervezett hivatalos, 3 napos „CMMI^®-intro” képzésen. Ezen kívül, a vezető auditor az audit megkezdésekor ismét rövid képzést tart a csapatnak az audit menetéről.
Az objektív bizonyítékok dokumentálását követően kezdődhet a helyszíni audit, amely általában 1-2 hétig tart (a vizsgált folyamatok számától függően). Az auditorok ekkor már nem „felfedezik”, hanem csak ellenőrzik az objektív bizonyítékokat. Jól meghatározott lefedettségi követelmények teljesülését is vizsgálni kell, majd, ha az auditot végző csapat úgy ítéli meg, hogy az összegyűjtött objektív bizonyítékok száma és minősége megfelelő, következik a célok teljesülésének vizsgálata, bizonyos, jól meghatározott algoritmus szerint. A célok teljesüléséről való döntés csapatszintű, azaz az auditot végző csapat minden tagjának el kell fogadnia minden döntést.
Egy folyamat akkor tekinthető megfelelőnek, ha minden sajátos célja, valamint az adott érettségi / képességi szinten megkövetelt minden általános célja teljesül.
Az audit eredményéből összefoglaló születik, melyet az auditált szervezetnek bemutatnak. Az audit összefoglaló jelentését elküldik a SEI-nek. A továbbiakban, a SEI bármikor ellenőrizheti az audit bármely anyagát, és az auditált szervezetnél is végezhet ellenőrzést, ha valami rendellenességet tapasztal.
A SCAMPISM B, illetve C típusú auditok is objektív bizonyítékok összegyűjtésével vizsgálják a sajátos és általános gyakorlatokat. Különbség a szükséges bizonyítékok számában van (kevesebb számú és fajtájú objektív bizonyíték is elegendő), valamint abban, hogy SCAMPISM B és C típusú auditoknál az értékelés legmagasabb megengedett szintje a gyakorlat-szintű értékelés. Nem megengedett célok teljesülését, folyamatok képességi szintjét, vagy a szervezet érettségi szintjét vizsgálni. Ez a megszorítás logikus, hiszen a kevesebb számú és típusú objektív bizonyíték csak korlátozott rálátást tesz lehetővé a szervezetre. A SCAMPISM B és C típusú auditok eredményeképpen szöveges értékelés is születik, amely a folyamatfejlesztésre vonatkozó tanácsokat is tartalmaz.
Az alábbi táblázatban összefoglaljuk az A, B és C típusú auditok néhány követelményét:

2. Táblázat: A különböző típusú CMMI^® auditok követelményei (Forrás: ARC 1.2)

A SCAMPISM v1.2 módszertan bevezette azt a megszorítást, hogy az auditok csak 3 évig érvényesek. A korábbi auditok 2007 augusztusáig, vagy végrehajtásuktól számított 3 évig érvényesek (az érvényesség megállapításakor a két dátum közül a későbbit veszik figyelembe).
2007 januárjától már kizárólag az ARC1.2 (SCAMPISM 1.2) alapján lehet auditokat végezni. 2007 augusztusáig még lehetőség van az auditokon a CMMI^® v1.1 modell követelményeit ellenőrizni. 2007 augusztusától csak a CMMI^® v1.2 verziójú modellt lehet alkalmazni.