Compliance in agilen Projekten umsetzen

Alles geregelt

Tilo Linz

Für Softwarehäuser gelten wie für andere Unternehmen Compliance-Anforderungen und Normen. Beispielsweise muss sich jedes Softwareartefakt lückenlos rückverfolgen lassen. Ebenfalls muss klar sein, welche Anforderungen es umsetzt und wie getestet wurde. Das ist auch beim agilen Entwickeln möglich, jedoch nicht einfach.

Die meisten Softwarehersteller unterliegen externen Nachweis- und Compliance-Anforderungen. So erwarten größere Kunden in aller Regel die Anwendung und den Nachweis eines nach ISO 9001 zertifizierten Qualitätsmanagementsystems. Hersteller von Produkten und elektronischen Systemen, in denen Software sicherheitsrelevante Aufgaben übernimmt, müssen IEC 61508-3 beachten. In Branchen wie der Automobilindustrie, der Medizintechnik, der Bahntechnik oder der Luftfahrt sind darüber hinaus zahlreiche branchenspezifische Normen einzuhalten. Können Unternehmen, die von derartigen Normen und Standards betroffen sind, die sich ergebenden Compliance-Anforderungen erfüllen, wenn agil entwickelt wird?

Kultur des Qualitätsmanagements verändern

Klassisches Qualitätsmanagement funktioniert top-down. Ein zentraler QM-Stab ist dafür verantwortlich, die Vorgehensweisen zu dokumentieren und – soweit sinnvoll – zu standardisieren. Er schreibt die Prozesshandbücher und liefert die standardisierten Prozesse an alle betroffenen Unternehmensbereiche aus. Agile Teams funktionieren bottom-up. Das Team wählt und bestimmt seine interne Vorgehensweise selbst.

Dem muss sich der QM-Stab anpassen: Aus einer Stelle, die Prozesse vereinheitlicht, wird eine Gruppe, die den Teams hilft, die selbst gewählten Abläufe zu dokumentieren. Aus einer zentralen Standardisierungsinstitution entsteht eine Gruppe, die den Erfahrungsaustausch unter den Teams fördert und Methoden publiziert, die sich bewährt haben. Umgekehrt schlägt sie für Dinge, die sich nicht bewähren, Alternativen vor.

Der QM-Stab entwickelt sich zum Ratgeber und zur Serviceeinheit. Er betrachtet die agilen Teams als Kunden, die Beratungsleistung anfordern können. Will ein Team zum Beispiel seinen Continuous-Integration-Prozess verbessern und hat erkannt, dass dazu ein besseres CI-Tool notwendig ist, kann es den QM-Stab beauftragen, ein Werkzeug auszuwählen, vorzustellen und einzuführen. Das Team konzentriert sich währenddessen auf seine Entwicklungsarbeit.

Interessen der Teams ausbalancieren

Wenn es mehrere agile Entwicklungsteams gibt, lässt sich nicht mehr so einfach delegieren. Der QM-Stab muss in diesem Fall die Interessen der verschiedenen Teams ausbalancieren – untereinander und mit den Interessen der Gesamtorganisation. Am Ende entscheiden aber auch hier die Teams, ob und welche Empfehlungen sie annehmen, selbst wenn sie dadurch eine angedachte Standardisierung verhindern. Diesem Realitätscheck beziehungsweise Akzeptanztest muss sich der QM-Stab stellen. Wenn das Team eine Empfehlung ablehnt oder nicht nutzt, ist es Aufgabe der QM-Leute, zu überlegen, woran das liegt und was sie gegebenenfalls besser erledigen können.

Der QM-Stab sollte die Gelegenheit nutzen und seine eigene Arbeitsweise agil organisieren, beispielsweise nach einem an Kanban orientierten Vorgehen. Das verschafft ihm eine bessere Reaktionsfähigkeit, mehr Schnelligkeit und damit die Lieferfähigkeit, die nötig ist, um von den agilen Projektteams weiterhin (oder wieder) akzeptiert zu werden. Lieferfähigkeit bedeutet hier: In der Lage sein, ein „shippable product“ abzuliefern, zum Beispiel eine Prozessbeschreibung, die die Projektteams zu hundert Prozent akzeptieren und als nützlichen Beitrag schätzen. Oder die schnelle Einführung eines Tools inklusive aller nötigen Validierungsschritte ohne Behinderung der nutzenden Teams.

Dieser Aufgabenkatalog des QM-Stabs überschneidet sich teilweise mit dem eines Scrum Master. Beide verfolgen ähnliche Ziele: Der QM-Stab stellt sicher, dass das ganze Unternehmen die Spielregeln des QM-Systems richtig umsetzt. Der Scrum Master ist dafür verantwortlich, dass „sein“ Team die Scrum-Praktiken richtig anwendet. Der Unterschied liegt im Fokus (Unternehmen versus Team) und im Instrumentarium (ISO 9000 versus Scrum).

QM-Stab als Dienstleister für Teams

Im Zuge der skizzierten Veränderung des QM-Systems und der QM-Kultur zu einem agilen QM-System können diese Unterschiede abnehmen oder ganz verschwinden. Der QM-Stab agiert als Dienstleister für jedes Team, der Scrum Master vertritt nicht nur sein Team, sondern hat den Gesamterfolg im Blick. Und beide nutzen das agile QM-System als gemeinsames Instrumentarium. Ergebnis dieses Transitionsprozesses kann es sein, dass die Mitarbeiter des QM-Stabs und die Scrum Master (in der Linienorganisation) in einem gemeinsamen, interdisziplinären agilen QM-Team zusammengefasst werden. Das neue Team besitzt alle Kompetenzen, um Scrum-Teams methodisch wirksam zu unterstützen: Expertise über die für das Unternehmen relevanten Normen, Know-how und Tools zur Prozessmodellierung, ausgebildete Assessoren und Auditoren, Spezialisten und Trainer für die relevanten Techniken und natürlich zertifizierte Scrum Master.

Keine der genannten Normen erzwingt oder fordert einen klassischen Entwicklungsprozess, etwa nach dem V-Modell. Durchgehend geben sie aber vor, dass die Softwareentwicklung als spezieller, qualitätsrelevanter Engineering-Prozess nach einem definierten Vorgehen abläuft. Das bedeutet: Der Prozess muss schriftlich dokumentiert sein und für jedes Entwicklungsprojekt muss nachvollziehbar und jederzeit belegbar sein, dass er in der Praxis tatsächlich befolgt wird. Durch die Aufnahme der agilen Vorgehensweise als neue oder zusätzlich zulässige Vorgehensweise im QM-System lässt sich diese Forderung einfach erfüllen (siehe Kasten „Kultur des Qualitätsmanagements verändern“). Der Artikel gibt einige Hinweise, was man dabei beachten sollte. Darüber hinaus können, je nachdem welche Bereiche des Unternehmens ebenfalls agile Methoden adaptieren, weitere Unternehmensprozesse betroffen sein.