今天我們将讨論CMMI評估中的一個重要角色,那就是評估發起人。首先,讓我們來看看在評估之前,發起人能發揮怎樣的作用。CMMI評估方法定義文檔(MDD)将評估發起人定義為“可以是被評估組織内部或外部的個人,提出評估的要求,并為評估提供資金、合同或其他資源。”發起人需要有一定的地位,能夠確定所有必要參與者的适當參與,并調配其組織及資源用于改進工作和評估,包括遵守ISACA的政策要求。
在組織決定進行評估後,發起人面臨的首要問題之一是選擇一位評估小組組長。發起人可以搜尋ISACA CMMI合作夥伴目錄(https://cmmiinstitute.com/partners/directory),查找其所在國家或地區的認證CMMI首席評估師,并驗證是否存在語言障礙。
另一個重要的決定是确定進行哪種類型的評估。評估小組組長可以幫助讨論哪種方案最适合發起人的組織及其目标。如果這是組織的第一次評估,那麼選擇僅限于評價性評估或基準評估。基準評估是唯一允許實作正式“評級”的評估類型,也就是能力或成熟度級别。然而,這可能并非第一次評估的正确選擇。評價性評估雖然不會給出正式的評級,但在确定組織的起點時非常有用。回報對于聚焦組織的過程改進工作也非常有用。評價性評估可以進行定制化調整,以減少對組織的影響,同時仍能獲得有價值的資訊,對性能改進做優先排序,并在組織最終作基準評估時候,降低實作目标成熟度或能力水準的風險。通常,組織在進行基準評估之前,都會進行幾次評價性評估,對某些組織而言,可能并沒有正式評級的需求。
明确組織的關鍵評估目标有助于決定要開展的評估類型。換言之,發起人希望通過評估活動實作什麼目标?通常可以把檢查組織自身的業務目标作為起點。發起人向評估小組組長分享其業務目标和評估目标,因為了解組織期望實作的目标對于評估小組評估如何在組織環境中最佳采用CMMI非常重要。
發起人還需要與評估小組組長一起确定評估範圍。這裡包含兩個重要方面。首先要确定組織的哪一部分是評估的重點,在ISACA CMMI評估方法定義文檔MDD中稱之為組織單元或OU。除非組織規模很小,否則評估不可能涵蓋整個組織。評估的組織級範圍往往是一個特定的業務單元、部門或一組相關項目。通常,它們處于相同的管理體系,或者在任務或業務目标群組織結構方面互相關聯。
組織級範圍的選擇也會影響範圍的其他方面,即模型範圍。模型範圍決定了CMMI模型的哪些部分是評估的重點。對于基準評估,兩個最常見的目标是CMMI開發或服務的成熟度級别。評價性評估雖然不作評級,但仍需要确定每個實踐域達到的實踐組級别。
當然,決定用哪個視圖選擇這些實踐域也很重要。這種選擇通常取決于組織所從事的工作類型。開發視圖适用于開發産品或元件的組織,無論是硬體、軟體系統還是其組合。服務視圖則适用于專注于設計和傳遞任何類型服務的組織。盡管許多人自動想到IT相關服務,但CMMI服務視圖已成功應用于許多不同的服務提供商,例如醫療服務、銀行、保險和教育訓練。評估小組組長也應參與讨論如何選擇适合的CMMI視圖。例如,組織成功是否依賴于強大的供應商績效?在這種情況下,可能需要供應商協定管理。同樣地,組織内工作的開展是否受到安全或安保因素的影響?有與這些領域相關的CMMI實踐域,評估小組組長需要确定這些領域是否應納入評估模型範圍。
簡而言之,作為發起人,您應向評估小組組長充分介紹評估重點工作的全部背景。
在确定了評估的基礎之後,評估小組組長還需要确定對評估作出詳細規劃。一個好辦法是,任命一位組織單元協調員OUC,負責在整個過程中與評估小組組長保持聯系。歸根到底,發起人和評估小組組長必須就最終範圍和計劃達成一緻。組織單元協調員OUC往往參與評估過程的所有階段,從規劃和準備也就是第一階段到開展評估也就是第二階段,OUC需要保持與團隊的聯絡。是以,選擇合适的OUC非常重要。他應該是一位熟悉組織的人,能夠為評估小組組長提供關于組織的指導。此外,必須對OUC賦權,以便確定所有相關團隊适當參與評估的規劃、準備和實施。選擇一個好的OUC可以減輕發起人的工作量,并有助于確定評估過程順利進行。
随着評估計劃的推進,評估小組組長将獲得一份随機生成的樣本RGS用于評估。這是在組織已經完成的工作中挑選出來的在評估中将被檢查的工作。這通常包括幾個項目或服務團隊以及與這些團隊互動的支援職能部門,如品質保證。顧名思義,它是随機生成的,這有助于評估小組檢查組織已完成工作的有效剖面。這也有助于分散準備和參與評估的工作量。
評估小組組長需要與發起人一起審查随機生成樣本RGS。在某些情況下,他們可能需要在樣本中添加元素,以確定已完成工作的适當覆寫範圍,并包括所有相關團隊。在某些情況下,發起人可能會建議用不同的項目替代通過随機抽樣過程選擇的項目。但是,這種替代需要有正當理由,且不一定會獲得準許。在生成RGS之前,有必要徹底完成原始樣本範圍,并且評估小組組長必須了解樣本範圍中任何部分的任何風險和限制。
發起人參與評估計劃和準備的另一個領域是評估小組的選擇。評估小組組長負責評估。他們對誰将成為評估小組成員擁有最終決定權。CMMI評估的一個特别之處在于,它允許、甚至鼓勵組織的内部人員加入評估小組。通常,評估小組中的内部成員由發起人推薦,評估小組組長負責審查他們是否有資格加入評估小組。這些評估小組候選人需要接受必要的CMMI模型教育訓練,并符合必要的經驗要求。在評估小組中配備一些内部成員确實有助于提高評估流程的效率,并確定評估結果對組織有用。評估完成後,評估小組的内部成員還将留在組織内工作。他們從參與評估中獲得的見解對于在評估結束後集中精力改進工作非常寶貴。
和任何複雜的項目一樣,每次評估中總是存在風險。發起人應在整個評估過程中與評估小組組長一起審查這些風險。在評估中存在一個特殊的風險子集,通常被稱為“利益沖突”。CMMI評估的重點是為組織提供一個客觀的見解,了解其過程實施與模型提供的最佳實踐指南相比較的情況。客觀性對于獲得這些見解至關重要,是以評估小組組長必須批判性地審視客觀性可能面臨的任何挑戰。如果評估小組組長在評估之前參與了過程改進計劃,他可能會是以受到影響,而無法保持客觀。實際上,他們就像是在給自己的作業打分。同理,如果評估小組内部成員深度參與了實施評估中被檢查的過程,同樣存在利益沖突。訪談的評估參與者可能會影響其他參與者的客觀性。例如,某人在訪談中遇到了上司。他們覺得自己能說什麼或不能說什麼會受到影響嗎?并非所有利益沖突都會阻止某人加入評估小組或參與評估。
利益沖突在許多情況下都會發生,重要的是要識别和管理它們。最糟糕的情況是假裝利益沖突不存在或淡化利益沖突,因為這可能會對評估的結果招緻質疑。
保持評估過程客觀性的其他重要因素是保密和不歸因。對于在評估過程中接受訪談的評估參與者來說,保密意味着在評估結束時不作可歸因于任何個人或團隊的報告。事實上,保密性影響了整個評估小組及其在評估過程中的審議。是以,保持評估活動的保密性對于確定評估團隊能夠獲得所有相關資訊非常重要,要確定他們在評估過程中進行的讨論是保密的并一直保持這種狀況。所有評估小組成員、評估小組組長和發起人都必須簽署保密協定,其中明确了他們都同意在評估期間和評估之後保持保密和不歸因。
評估發起人在評估之前需要做的最後一件事是在CMMI評估系統(CAS)中簽字準許評估計劃。評估小組組長往往在最後的就緒檢查期間與發起人一起審查評估計劃。這是最終檢查,確定計劃到位,評估的各項準備工作就緒,可以開始評估。發起人簽署了評估計劃以及發起人的角色和責任SRR表,就意味着他同意遵守ISACA為CMMI評估制定的要求和規則。
如果您想了解CMMI評估發起人的角色在整個評估過程中如何演變,或者有CMMI認證其他任何問題,可咨詢客服。上海擎标資訊技術服務有限公司是一家緻力于科技風險與合規内控領域提供解決方案的咨詢服務機構。公司主要從事DCMM、CMMM、ITSS、A-SPICE、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、CSMM、涉密資質等領域的管理規劃、體系建設、工具支援及咨詢評估服務。