CMMI評鑑的迷思-通過CMMI評鑑的承包商，可以提高資訊服務專案的成功率 !?

CMMI評鑑的迷思—

通過CMMI評鑑的承包商，可以提高資訊服務專案的成功率 !?

 

 

為促進我國資訊服務業的發展，行政院相關部門公開宣示：「從2008年開始，參與政府大型資訊服務標案的廠商，需通過能力成熟度整合模型CMMI ML3以上的評鑑」，期望經由CMMI的洗禮，讓我國資訊服務業的能力可以獲得大幅度的提升；然而，是否通過了CMMI ML3的評鑑，真的能夠確保產出軟體產品的品質符合要求？或者說，具有通過CMMI ML3評鑑證明的公司，就是軟體品質與專案成功的保證嗎？

由於許多人對於CMMI的錯誤解讀，而誤認為CMMI是軟體產品開發問題的所有解答。其實，CMMI並沒有這麼大的魔力，因為在本質上，一如ISO 9000品質管理制度，CMMI是一個過程改善(Process Improvement)的方法與工具，只是CMMI與ISO 9000兩者的差異在於：ISO 9000讓公司或組織自行定義品質的目標，並自訂一套朝著此一目標前進的程序與做法；而CMMI則是已為組織訂定一套組織發展與成熟的目標與途徑，使用該模型的組織，是循著這套既定的目標與途徑改善組織的能力與體質。

除了上述的誤解之外，另一個對資訊服務的獲取者(Acquirer)在辦理資訊服務委外時要釐清的問題是，截至目前為止，鮮少有中、大型公司是整個通過CMMI某個成熟度等級評鑑的，以國內目前狀況為例，資訊工業策進會只是「軟體工程研究所」通過CMMI ML3，而凌群電腦公司亦只是其「研究發展處」通過CMMI ML3而已(有關於通過CMMI 評鑑的公司的名稱、部門及通過之能力成熟度等級的資訊，可在SEI的網站上查得http://seir.sei.cmu.edu/pars/pars_list_iframe.asp)。因此，這對於資訊服務的獲取者而言，其實是一項風險，因為，如果承包商負責執行專案的團隊並不屬於通過CMMI鑑評的部門，或者僅有一兩位成員是來自於這個部門，那麼對於專案的成功或是專案產品與服務的品質是沒有太大意義的。

再者，整個CMMI評鑑制度，除非組織自己提出，否則並不如ISO 9000有所謂的「複評機制」，此意味著一個通過CMMI ML2或者CMMI ML3的公司，如果沒有真正落實制度，建立良好的文化，那麼若通過CMMI評鑑時期的人員大量跳槽、離職後，組織將僅留「通過CMMI評鑑」之名，而無該CMMI能力成熟度等級之實，甚至可能會發生「通過CMMI評鑑之公司的營業登記證轉讓」的弊端，這對於獲取者而言，若將資訊服務專案之成敗，完全繫於CMMI評鑑等級之上，無疑是很大的風險。

其實，推動建立CMMI評鑑制度的美國國防部亦早已經注意到這種現象，因此在實務上，美國國防部及其他政府部門除要求投標廠商應俱備CMMI 能力成熟度三級以上之外，在開標之前，還會針對這些具有CMMI 評鑑三級以上的投標廠商進行稽核，也就是到現場訪視廠商，透過程序文件的審查，以及對其他專案的產出、具體事證的分析，以了解該公司是否真正具備有相對的能力。這些做法實可做為我國在推動類似政策時的一個參考。

另外，由於國內的資訊服務業多屬小型公司，甚至於三至十人的公司亦所在多有，這類公司並無足夠的財力可以取得CMMI的評鑑，因此，就算是有政府的補助，他們連通過ML2都不可能(並非沒有能力，而是沒有足夠的財力)，而這些廠商又常常會是中、大型廠商的合作夥伴或是下包。對於這類中小型的廠商，政府雖不可能投入太多的資源來照顧，但應提供這類廠商成長與茁壯的機會，故建議在政府一般性的資訊服務標案，可以不必強力限制需要有CMMI某個能力等級的評鑑，而可以委託由公正的第三者實施評審前的「廠商能力訪查稽核」來取代，以確認廠商雖無「通過CMMI評鑑」之名，但卻具有「CMMI能力成熟度」之實力。

目前CMMI評鑑在政府的政策宣示與輔助下，似乎已逐漸在國內蔚為風潮，然而，為了保護使用者、客戶及獲取者的權益，政府亦應在「投標廠商能力評估與稽核制度」的建立上，投入相對的努力，以協助資訊服務委外獲取者了解投標廠商的能力，做出最佳的選擇。經由「廠商能力評估與稽核制度」，除了可以讓取得CMMI評鑑的資訊服務提供廠商維持既有的能力，甚至不斷向上持續追求卓越外，亦可以鼓勵中小型的廠商在擁有核心技術之餘，同時注重與培養自己的軟體工程能力成熟度，如此，必可為我國的資訊服務業建立完整的國際競爭優勢。