搭好班子
申请CMMI三级,绝不是某个部门或某几个人的事,而是需要“一把手”牵头、全员参与的“系统工程”。我见过不少企业犯一个致命错误:把认证任务全推给质量部或行政部,结果“剃头挑子一头热”——业务部门觉得“增加负担”,管理层觉得“浪费时间”,最后要么草草收场,要么评估时漏洞百出。正确的做法是,先成立一个跨部门的CMMI专项小组,这个小组的“配置”直接决定了后续工作的推进效率。一般来说,小组至少需要三类核心角色:高层负责人、过程负责人、执行负责人。高层负责人通常是企业总经理或分管技术的副总,他的核心职责不是具体干活,而是“拍板”和“扫障”——比如批准预算、协调各部门资源、在团队抵触时出面动员。我曾帮一家智能制造软件公司搭建小组,他们老板一开始觉得“没必要”,后来我拉着他一起看了个案例:某同行因为没高层支持,质量部要收集项目数据时,开发部门以“影响进度”为由拒绝,最后拖了半年才勉强启动,多花了近20%的成本。老板听完当场拍板:“我亲自当组长!”
.jpg)
过程负责人是CMMI体系的“设计师”,最好是既懂技术又懂管理的“复合型人才”。很多企业会从内部提拔资深项目经理或技术骨干担任,比如有5年以上项目管理经验、熟悉ISO9001或敏捷开发的人。我见过一个反面案例:某电商软件公司让刚毕业1年的产品经理负责过程建设,结果他写的《项目管理规范》全是“理想化条款”,比如“需求变更必须24小时内响应”,但实际开发中复杂需求根本做不到,最后文档成了“空中楼阁”,评估师直接指出“过程与实际脱节”。所以,过程负责人不仅要懂理论,更要懂企业的“业务痛点”,能把CMMI的要求“翻译”成员工能看懂、能执行的具体动作。
执行负责人则是各部门的“接口人”,比如开发部、测试部、市场部各派一名骨干,负责本部门的过程落地。他们的核心任务是“上传下达”——把专项小组的要求转化为部门工作,同时收集执行中的问题反馈给过程负责人。这里有个关键点:执行负责人不能是“闲职”,必须是本部门的“实权人物”或核心骨干,否则说话没分量,推动不了工作。比如我曾帮一家物联网公司让开发部经理担任执行负责人,他直接把CMMI的“代码评审”要求纳入了开发流程,规定“所有模块必须经过交叉评审才能提测”,三个月后代码缺陷率下降了30%,团队也从“抵触”变成了“主动”。
除了角色配置,全员意识培训也是“搭班子”的重要一环。很多员工会误以为“CMMI是质量部的事”,这种认知必须纠正。培训不能只讲理论,要结合企业实际,用“利益驱动”代替“任务摊派”。比如对开发人员,要强调“规范化的流程能减少返工,让他们少加班”;对项目经理,要讲“CMMI能提升项目可控性,降低项目失败风险”。我常用的一个培训案例是:某医疗软件公司通过CMMI三级,把项目平均交付周期从4个月缩短到2.5个月,项目经理因此拿到了客户追加的奖金。这种“看得见的好处”比任何口号都管用。培训后最好搞个测试,比如“请说出CMMI三级中‘需求管理’的核心要求”,答对的部门可以小奖励,既能加深印象,又能调动积极性。
建好流程
CMMI三级认证的核心是“过程域建设”,简单说就是要把企业原本“凭经验、拍脑袋”的工作方式,变成“有标准、有记录、可追溯”的流程体系。CMMI三级包含22个过程域,其中“已管理级”的13个是基础,比如项目管理(PP)、项目监控(PMC)、需求管理(REQM)、配置管理(CM)、度量分析(MA)等,这些过程域就像盖房子的“承重墙”,必须先建牢固。很多企业会犯“贪多求快”的错,试图一次性把所有过程域都做到位,结果每个过程都“浅尝辄止”,反而通不过评估。我的建议是:先聚焦5-7个核心过程域,比如PP、PMC、REQM、CM、MA,把这几个做扎实,再逐步扩展。
以“项目管理(PP)”为例,这是CMMI的“基石”,要求企业为每个项目制定“可执行的项目计划”。这个计划不是简单的“甘特图”,而是要包含范围、时间、成本、质量、风险等维度的详细规划,并且所有计划都要经过“干系人评审”(比如客户、高层、技术负责人)。我见过一个典型问题:某企业的项目计划是“拍脑袋”定的,比如“开发一个APP,计划3个月上线”,但没考虑过需求变更、人员流动等风险,结果项目延期2个月,客户直接扣了30%的尾款。后来我们帮他们做PP过程,要求每个项目计划都必须包含“风险登记册”(比如“核心开发人员离职风险”,应对措施是“培养2名备份人员”)、“资源日历”(比如“测试人员第2个月才能到位,需提前安排开发人员自测”),再也没出现过延期。
“需求管理(REQM)”则是客户和开发团队的“桥梁”,核心是确保“需求可追溯、变更受控制”。很多软件项目的失败,根源都在需求——比如客户说“想要个能拍照的APP”,开发团队理解成“简单的扫码识别”,结果做出来客户不满意。CMMI三级要求企业建立“需求跟踪矩阵(RTM)”,把客户需求、产品需求、设计文档、测试用例一一对应,每个需求都有唯一编号和状态(比如“已确认”“设计中”“已测试”)。我曾帮一家教育软件公司梳理REQM,他们之前的需求文档是“Word版”,改了十几版谁都不知道哪个是最新,后来我们用工具做了RTM,客户改一个需求,开发团队能立刻看到关联的设计和测试项,返工率从40%降到了15%。客户后来评价:“你们连需求都管得这么清楚,合作起来真放心!”
“配置管理(CM)”是“版本控制”的升级版,核心是“防止混乱”。开发过程中,代码、文档、环境这些东西很容易“串味”——比如测试环境用的是旧版代码,结果测出问题,开发人员说“我们用的是新代码,是测试环境的问题”。CMMI三级要求企业建立“配置管理计划”,明确“什么是配置项”(比如源代码、需求文档、测试报告)、“如何存储”(用SVN或Git等版本控制工具)、“如何变更”(变更必须经过审批)。这里有个坑:很多企业觉得“小项目不用CM”,结果某个小项目因为开发人员误删了关键代码,导致返工1周,损失了近10万。后来我们规定“无论项目大小,必须用Git管理代码,提交时写清楚变更原因”,再也没出过这种事。
最后是“度量分析(MA)”,这是CMMI三级的“眼睛”,核心是“用数据说话”。很多企业做决策靠“感觉”,比如“这个项目是不是延期了?”“这个模块的质量怎么样?”MA要求企业定义“度量指标”(比如项目周期、缺陷密度、需求变更率),定期收集数据并分析,找出改进机会。比如我曾帮一家金融软件公司做MA,发现他们的“需求变更率”高达30%(行业平均15%),进一步分析发现“客户需求调研不充分”是主因,于是他们改进了需求调研流程,增加了“用户访谈”环节,3个月后需求变更率降到了18%。数据不会说谎,有了MA,企业改进才能“对症下药”。
备齐材料
流程建好了,接下来就是“备齐材料”——CMMI认证不是“口头汇报”,而是要拿出“白纸黑字”的证据,证明你的过程是“被执行”的,而不是“纸上谈兵”。这些材料包括组织过程资产(OPA)、项目文档、度量数据、记录等,它们的“质量”直接决定了评估的成败。很多企业会低估文档工作的量,以为“写几份制度文件就行”,结果评估时被评估师追问“这个计划真的执行了吗?有记录吗?”就傻眼了。我见过一家企业,文档写得“天衣无缝”,但评估师随机抽查了3个项目的周报,发现周报内容都是“按计划进行”,没有任何具体进展,直接判定“过程未执行”,认证失败。
组织过程资产(OPA)是企业的“过程家底”,包括过程制度、模板、历史数据等。比如《项目管理指南》《需求管理规范》是过程制度,《项目计划模板》《风险登记册模板》是模板,历史项目的“缺陷率数据”“项目周期数据”是历史数据。这些资产不是“一次性写完就完事”,而是要“动态更新”——比如某个项目发现“风险识别不充分”,就要更新《风险管理模板》,增加“技术风险”“市场风险”等条目。我曾帮一家医疗软件公司梳理OPA,他们之前的模板是“复制大公司的”,很多内容不适用,比如“每周例会”要求“所有项目成员参加”,但实际开发人员经常需要加班,根本没时间参加。后来我们帮他们改成“核心成员周会,全员双周会”,模板“落地率”立刻提升了一大截。
项目文档是“过程执行”的直接证据,每个项目都要有一套完整的“文档链”,比如:项目计划→需求文档→设计文档→测试计划→测试报告→验收报告→项目总结。这套文档链要体现“闭环”——比如需求文档中的每条需求,都要在设计文档中有对应的设计,在测试用例中有对应的测试,在测试报告中有对应的测试结果。这里有个关键细节:文档的“版本管理”和“审批记录”必须齐全。比如《项目计划》的“V1.0”版本是“草稿”,需要项目经理签字;“V2.0”版本是“发布”,需要技术总监和客户签字。评估师会重点检查这些“签字”,证明文档是“经过评审”的,而不是“随便写的”。
度量数据是“过程有效”的“硬核证据”,必须真实、可追溯。比如“项目周期”数据,不能只说“平均3个月”,而是要列出每个项目的实际周期,并说明计算方式(“从需求确认到上线”);“缺陷密度”数据,要列出每个模块的代码行数和缺陷数,比如“登录模块:1000行代码,5个缺陷,密度0.5个/千行”。很多企业为了“好看”,会“编造”数据,比如把“缺陷密度”从0.8改成0.5,评估师只要对比“测试报告”和“缺陷跟踪工具”(比如JIRA)的记录,立刻就能发现问题。我曾见过一家企业,因为“度量数据造假”,被评估师当场终止评估,还上了行业黑名单,损失惨重。所以,数据一定要“实事求是”,哪怕不好看,也比“弄虚作假”强。
记录是“过程被执行”的“最后一公里”,比如会议纪要、培训记录、评审记录、变更记录等。这些记录要“及时、完整、准确”——比如“项目周会”的纪要,要写清楚“时间、地点、参会人、讨论内容、决议事项”;“需求变更”的记录,要写清楚“变更原因、影响分析、审批人”。这里有个实用技巧:用“工具”代替“人工记录”,比如用Confluence管理会议纪要,用Jira管理需求变更,用钉钉或企业微信做培训签到,既能提高效率,又能保证记录的“不可篡改性”。我曾帮一家电商软件公司引入这些工具,评估师抽查了10份记录,发现“时间、内容、签字”一应俱全,当场就夸赞:“你们的记录管理非常规范!”
找对伙伴
CMMI三级认证不是“单打独斗”,而是需要“专业外援”——尤其是对刚注册的企业来说,自己摸索“踩坑”的概率太高,时间成本和金钱成本都吃不消。这个“外援”就是“评估机构”和“评估师”,选择“对”的伙伴,能让认证之路事半功倍。很多企业会犯“唯价格论”的错,哪家便宜选哪家,结果要么评估机构不专业,要么评估师“走过场”,最后要么通不过,要么拿到的证书“含金量”低,客户不认可。
选择评估机构,首先要看“资质”——必须是CMMI Institute(CMMI官方机构)授权的评估机构(ARC),授权范围要包含“CMMI开发三级”。你可以在CMMI Institute官网查询所有授权机构,看看他们的授权期限、评估次数、客户评价。我见过一个反面案例:某企业选了一家“快到期”的评估机构,评估过程中机构突然“资质被吊销”,导致认证流程中断,企业不得不重新找机构,多花了3个月时间和20万费用。所以,一定要确认机构的“资质有效性”,最好选“授权期限长、评估次数多”的头部机构,比如国内的“赛宝认证”“新世纪认证”等,虽然贵一点,但“保险系数”高。
其次是看“评估师团队”。评估师是认证的“直接执行者”,他们的专业水平、经验、沟通风格直接影响认证结果。CMMI评估师必须持有CMMI Institute颁发的“授权评估师”资质,并且有5年以上相关行业经验。选择评估师时,可以重点问三个问题:“您做过多少次CMMI三级评估?”“您是否有我们行业的评估经验?”“您对‘过程改进’的理解是什么?”我曾帮一家智能制造软件公司选评估师,对方评估师有20年软件行业经验,做过50多次三级评估,还特别强调:“我不是来‘挑刺’的,是来帮你们‘发现问题’的。”这种评估师,企业才能真正学到东西。
评估方式也很关键。CMMI评估分为A、B、C三类,其中A类(SCAMPI A)是目前唯一能认证的方式,也是最严格的。评估过程包括“文档评审”“现场访谈”“证据验证”三个环节,通常需要3-5天,评估师会随机抽取3-5个项目进行“深度访谈”,比如问项目经理“你的项目计划是怎么制定的?”,问开发人员“你有没有按照配置管理流程提交代码?”。很多企业会担心“访谈过不了”,其实只要“过程真实执行”,就不用怕。我曾见过一家企业,评估师访谈时问“你们的‘需求变更率’为什么这么低?”,项目负责人直接拿出“需求调研记录”和“客户确认函”,评估师当场点头:“你们的变更控制做得很好!”
最后是“服务内容”。有些评估机构只负责“评估发证”,有些则会提供“过程咨询+评估”的全套服务。对刚注册的企业来说,后者更划算——咨询机构会帮助企业搭建流程、梳理文档、培训人员,相当于“手把手”教你做CMMI。当然,费用也会高一些(通常比纯评估贵30%-50%),但能大大降低“失败风险”。我曾算过一笔账:企业自己摸索,如果第一次评估没通过,平均要多花15万-20万(整改时间+重新评估费用),而咨询机构虽然前期贵,但“一次性通过”的概率高达90%以上,长期看反而更省钱。
保持精进
拿到CMMI三级证书,不是“终点站”,而是“新起点”。CMMI的核心是“持续改进”,如果拿到证书后就“刀枪入库、马放南山”,不仅证书会失效(CMMI三级证书有效期为3年,每年需要监督评估),企业也无法真正提升过程能力。我见过不少企业,为了拿证而拿证,证书拿到后就把流程束之高阁,结果3年后复评时,发现“过程退化”严重,又得从头再来,白白浪费了之前的投入。所以,“持续优化”才是CMMI的“灵魂”。
首先要建立“度量体系”,把“数据说话”变成习惯。CMMI三级要求企业定义“过程性能基线(PPB)”和“过程性能目标(PPO)”,比如“项目周期基线:3个月,目标:≤2.5个月”“缺陷密度基线:0.8个/千行,目标:≤0.5个/千行”。企业要定期(比如每季度)收集数据,对比基线和目标,分析“未达标”的原因,并制定改进措施。比如某企业发现“项目周期”总是超标,通过数据分析发现“需求变更频繁”是主因,于是他们加强了“需求评审”,要求“需求必须经过客户、产品、开发、测试四方签字才能确认”,3个月后项目周期达标了。这种“基于数据的改进”,比“拍脑袋决策”有效得多。
其次是开展“过程改进活动”,让改进成为“常态化”。企业可以成立“过程改进小组”,定期(比如每月)召开“过程改进会议”,讨论近期发现的问题,比如“上周有个项目因为代码评审没做好,导致线上故障”,就可以改进“代码评审流程”,增加“强制评审条目”(比如“安全代码必须经过资深工程师评审”)。还可以引入“PDCA循环”(计划-执行-检查-处理),比如针对“需求变更率高”的问题,先制定改进计划(Plan),执行改进措施(Do),检查效果(Check),最后处理问题并标准化(Action)。我曾帮一家金融软件公司建立PDCA机制,半年内他们的“项目一次性通过率”从60%提升到了85%。
最后是“融入业务”,让CMMI成为“竞争力”而非“负担”。很多企业会把CMMI和“业务”割裂开来,觉得“CMMI是质量部的事,业务部门不用管”,这是大错特错。CMMI的最终目的是“帮助业务成功”——比如规范化的流程能提升项目质量,让客户更满意;度量的数据能优化资源配置,降低成本。所以,企业要把CMMI的要求“嵌入”到业务流程中,比如“项目奖金和CMMI执行情况挂钩”“客户满意度调查中加入‘过程规范性’评价”。我曾见过一家企业,把CMMI和“绩效考核”绑定,开发人员的“代码评审通过率”直接影响奖金,结果大家主动遵守流程,项目质量提升了一大截,客户还因此追加了订单。
.jpg)