“CMMI의 심사 방법인 스캠피(SCAMPI) 버전 1.3은 심사 대상 조직이나 프로젝트가 고객의 유형에 따라 골고루 선정될 수 있도록 했기 때문에 전 영역에 대해 일정 수준 이상의 CMMI 요건을 충족하도록 대비해야 합니다.”

능력성숙도모델통합(CMMI) 전문 컨설팅업체인 TQMS의 이민재<사진> 대표는 CIO BIZ+와 인터뷰에서 지난 3월 미국 카네기멜론대 부설 소프트웨어공학연구소(SEI)가 발표한 스캠피(SCAMPI) 버전 1.3의 핵심 내용을 이같이 설명했다.

스캠피는 Standard CMMI Appraisal Method for Process Improvement의 약자로 프로세스 개선을 위한 표준 CMMI 평가 방법을 뜻한다. 기존 스캠피 버전 1.2가 CMMI 요건이 준수되고 있는지를 살펴 보는 감사(audit)의 성격이 강했다면 버전 1.3은 감사뿐만 아니라 심사 대상 조직의 개선 기회를 도출하는 데 초점을 맞추고 있다.

특히 심사를 받으려는 조직의 규모가 크고 방위산업체나 IT서비스업체처럼 사업 유형이 다양한 곳, 프로젝트가 많은 곳은 이번 심사 방법의 변화를 눈여겨봐야 한다는 게 이 대표의 설명이다. 그는 4가지 측면에서 달라진 사항을 설명했다.

◇여러 기준 고려해 대상 프로젝트 선정=스캠피 버전 1.3에서 가장 크게 달라진 부분은 심사 대상 조직이나 프로젝트를 선정하는 방법이다. 버전 1.2에서는 조직 규모나 사업 성격과는 상관없이 일반적으로 3~4개의 프로젝트를 선정해 심사를 수행하는 경우가 많았다. 이러다 보니 심사 대상 조직 입장에서도 CMMI 요건이 그나마 잘 적용되고 있는 프로젝트 위주로 심사를 받고자 하는 경향이 있었다.

이 대표는 “버전 1.3에서는 이런 문제점을 개선하고자 공공과 국방, 민간 등과 같은 심사 대상 조직의 유형, 프로젝트 규모, 기간, 방식, 지역 등을 고려해 심사 대상 프로젝트를 고르게 선정할 수 있도록 했다”고 말했다.

다시 말해 해당 조직이 가지고 있는 여러 유형의 프로세스를 골고루 심사하기 위해 표본 수를 3~4개와 같이 일률적으로 정하지 않았다는 얘기다. 대기업이라도 프로세스가 하나면 하나만 심사하게 되고 규모가 작은 기업이라도 여러 개의 프로세스가 심사 대상이 될 수 있다는 설명이다. 이 대표는 이에 따라서 특정한 영역뿐만 아니라 업무 전 영역에 대해서 일정 수준 이상의 CMMI 요구사항을 유지하는 게 필요하다고 강조했다.

두 번째 특징은 내부심사 팀원의 구성이다. CMMI는 타 인증 심사와 달리 심사 대상 조직의 인력이 내부심사원으로 참여하는 것을 허용하고 있다. 내부인이 해당 조직의 개선점을 보다 잘 찾을 수 있다는 점 때문이다.

하지만 내부인은 인증 취득이라는 조직의 우선적 목표로부터 자유로울 수 없기 때문에 객관성을 독립성을 유지하는 데 어려움이 있었다. 버전 1.3에서는 이런 문제점을 해결하기 위해 내부심사팀을 구성하되 해당 조직의 프로세스 개선 리더와 심사 대상 조직이나 프로젝트 관리자는 내부심사원이 될 수 없도록 했다.

또한 프로세스 개선 활동을 담당하고 있는 인력의 경우에도 소수 인원만 내부심사원으로 참여를 허용했다.

◇인증획득이 아닌 개선을 위한 활동이라는 점 명심해야=심사 수행을 위한 근거 자료 수집 계획을 명확히 하는 것이 세 번째 특징이다. 스캠피에서는 심사 대상 조직과 프로젝트의 문서와 업무 담당자 계층별 인터뷰를 통해 CMMI 요건이 적절히 반영되고 있는지를 평가하도록 하고 있다. 특히 문서 검토와 관련해서는 해당 활동을 수행한 결과 만들어지는 직접 산출물과 해당 활동을 수행하는 과정에서 만들어지는 중간 산출물 모두에 대한 검토를 요구했다.

이 대표는 “이런 상황 때문에 문서 검토에 매우 노력을 기울여야 했는데 버전 1.3에서는 중간 산출물에 대한 검토는 더 이상 의무화하지 않는다”며 “대신에 근거 자료 수집을 위한 계획을 명확히 수립해 심사 감독 기관인 SEI에 제출토록 했다”고 설명했다.

그는 “작성된 근거 자료 수집 계획서에 따라 일차적으로 수집된 문서나 인터뷰 결괄 근거 자료로 평가하고, 추가 근거 자료가 필요한 경우 근거 자료 수집 계획을 개정하고 평가하는 활동을 심사 종료 시까지 반복해 심사 결과의 신뢰성을 높이게 된다”고 말했다.

심사 수행 방법의 조정을 제한적으로만 허용하는 것도 달라진 점이다. 스캠피는 심사 대상 조직의 환경이나 특성에 따라 심사 방법을 조정하는 것이 허용된다. 버전 1.2에서는 사유나 근거를 제시할 수 있으면 심사 방법의 조정이 상당 부분 허용됐다.

하지만 버전 1.3에서는 심사 방법의 차이에서 오는 심사 결과의 편차를 줄이기 위해 반드시 따라야 하는 부분과 조정 가능한 부분을 아예 체크리스트 형태로 제공하고 있다.

이 대표는 “심사가 사람이 하는 활동이다 보니 심사를 받는 조직의 문화나 심사에 참여하는 선임심사원, 내부심사원의 이해관계에 따라 심사 결과에 영향을 줄 수 있다”며 “이에 따라 버전 1.3은 발생할 수 있는 위험요소를 완화하고 심사 결과의 편차를 최소화하는 데 초점을 뒀다”고 밝혔다.

그는 “심사 방법이 바뀌거나 까다로워지더라도 해당 조직에서 인증 취득만을 위한 개선 활동이 아닌 개선을 위한 개선 활동이라는 원칙을 준수한다면 아무 문제 될 게 없다”고 충고했다.

안호천기자 hcan@etnews.co.kr