Pocas cosas hay más tristes que ver cómo algo que aprecias o valoras se va desintegrando poco a poco. Dos noticias publicadas en poco más de dos años de tiempo lanzan una enorme señal de alerta sobre el futuro del CMMI y los hechos están confirmando esos temores. Vamos a ver qué es lo que está pasando.
Para aquellos que no lo sepan, el CMMI (Capability Maturity Model Integration) es un modelo de evaluación de competencias empresariales, que sirve para determinar la madurez o capacidad de llevar adelante los proyectos comprometidos por una empresa. En España no significa mucho, siendo un modelo marginal, pero en Estados Unidos se incluye a menudo entre los requisitos que deben cumplir las empresas que quieren contratar con el Gobierno, por lo que es una acreditación con bastante demanda entre las grandes tecnológicas.
El CMMI apareció en los años 80 como resultado de un contrato del gobierno con la universidad Carnegie Melon para desarrollar un modelo que resolviera los problemas de fiabilidad en los proyectos de software. Millones de dólares se estaban tirando en proyectos, especialmente en el sector de defensa, que no se cumplían o no hacían lo que tenían que hacer y eso, cuando allí se trabaja con fondos públicos, puede ser un problema importante. El resultado fue la primera versión del CMM (sin la «i»), basada en las ideas que Watts Humphrey recogió en su libro «Magaging the Software Process«, cuya lectura recomiendo a todo el mundo y que ya comentaré otro día.
Con algunas correcciones y mejoras, lógicas en las primeras etapas de cualquier propuesta, el CMMI alcanzó un cierto prestigio entre las empresas por no ser un mero requisito burocrático, sino proporcionar realmente un marco de referencia para implementar un modelo de gestión estable. Tan bueno fue el resultado, que empezaron a usarlo en otros ámbitos, fuera de la industria del software original, y se extendió a la gestión de servicios y proveedores. Podemos decir que la versión 1.3 del modelo, publicada en Noviembre de 2010, constituye su pico de popularidad y éxito. Pero, como suele ser habitual, dicho punto de éxito marcó también el principio de una extraña deriva que nos ha llevado al punto actual. Como decía Isaac Asimov en su trilogía de las Fundaciones «el inicio de la decadencia siempre se produce cuando estás en el punto álgido y nadie lo reconoce hasta que es demasiado tarde para remediarlo«.
En 2012 la universidad transfiere la actividad del Software Engineering Institute, el departamento que hasta entonces gestionaba el desarrollo del modelo, a una empresa privada que denominan CMMI Institute. Parece lo mismo, pero el cambio es total, porque pasamos de una institución académica financiada con fondos públicos a una empresa privada con fines comerciales (una LLC). Inicialmente no parece que esto suponga un gran cambio en la dinámica de la empresa, pero en Marzo de 2016 ISACA, una organización profesional especializada en el gobierno de IT, compra la empresa y la integra en su estrategia de mercado. Atentos, que vienen las curvas.
Tras ocho años sin cambios en el modelo, a principios de 2018 ISACA anuncia la versión 2.0, que introduce bastantes cambios, aunque no se dan muchos detalles sobre su contenido. Si nos fijamos en su página web, el modelo se presenta claramente como un producto comercial, consistente en servicios de formación, evaluación y consultoría (entre otras cosas) con un coste mínimo de 150 dólares por descargar el PDF o consultar durante unos días su contenido a través de una utilidad en línea. La gente del sector se empieza a rascar la cabeza sorprendida, ya que durante los 25 años anteriores el documento siempre había estado disponible de forma gratuita en el sitio web.
Por las mismas fechas, nos convocan en algunos círculos profesionales para comentar las novedades. Sentados en círculo en torno a «el gurú», éste nos desgrana poco a poco las noticias: auditorias más regulares, prohibición de transmitir a terceros el contenido del modelo, intento de asimilar la nomenclatura del mundo Agile. Cuando en un momento dado dos de los presentes osamos interrumpir para preguntar que cómo era posible que nos cobrasen por leer el modelo o sugerir que las empresas no viven para estar pagando auditorias cada pocos meses, rápidamente nos llaman la atención para que callásemos y siguiéramos atendiendo las revelaciones que se nos estaban comunicando.
Todo lo anterior tiene todo el sentido del mundo. En una empresa comercial, claro, no en un instituto académico o en una organización profesional sin ánimo de lucro. Es lógico que se limite el contenido al manual del modelo, cuando lo que vendes es precisamente ese conocimiento y los servicios de formación y evaluación. Es lógico que prohíbas su difusión y limites el acceso público, cuando lo que quieres es asegurarte el acceso a tu producto. Todo eso es sumamente lógico, pero va en contra de la divulgación.
Hace una década, en pleno auge del modelo, ya empezaron a surgir voces críticas que señalaban los problemas de depositar una fe ciega en una acreditación que centraba sus esfuerzos en la normalización de los procesos y no en el cumplimiento de los contratos o la satisfacción del cliente. Estas críticas tuvieron su mayor eco en el batacazo que se llevó CGI Federal, una empresa con el máximo grado de madurez acreditada, cuando fue incapaz de entregar el software que debía soportar la implantación del servicio universal de sanidad de la Administración Obama, más conocido como Obamacare. Aunque un estudio independiente señaló que muchos de los problemas de puesta en marcha se debieron a componentes hechos por subcontratas y la incapacidad del propio gobierno para dar requisitos estables, ninguno de los cuatro grandes proyectos de sanidad asumidos por la empresa funcionaron correctamente o dentro de los costes iniciales.
Con su prestigio y costes en tela de juicio, el CMMI empieza a ser objeto también de un mayor escrutinio y se multiplican los estudios que reflejan el desencanto de muchas empresas que apostaron por el modelo, pero que terminaron por abandonarlo en favor de opciones más pragmáticas. Algunos se preguntan abiertamente por qué hay que pagar a una empresa privada para que acredite que puedes participar en un proyecto público. Todo lo cual ha llevado a una pérdida de interés en general por las actividades del CMMI, que no deja de mostrar un declive continuo en el interés del público durante los últimos años, hasta el punto que se ha reducido a la mitad del que suscitaba tan cerca como 2013.
Esto ya lo hemos visto antes. Cuando a mediados de los 90 el Object Management Group publicó la primera versión de UML, el mercado lo acogió con entusiasmo porque resolvía problemas de documentación en el diseño de software. Pero sólo cinco años después IBM se zampó Rational Software, con la intención de convertirse en la empresa de referencia en servicios de consultoría de diseño, y en 2005 impulsaron la publicación de una segunda edición que se ajusta perfectamente al antipatrón de «Efecto Segundo-Sistema«, descrito por Fred Brooks en su libro The Mythical Man-Month. UML 2.0 es «monstruo sobredimensionado» del que hasta los propios creadores de UML han renegado. Otro día hablaré de esta interesante historia.
Seis meses después de la presentación de CMMI 2.0, el CMMI Institute ha cerrado el acceso público a su contenido, no ha revelado todos los planes de evaluación, no ha actualizado el programa de enseñanza a distancia y certificación, ha informado a todo el mundo de que transmitir detalles del modelo está prohibido y ha reforzado su estrategia comercial. Tras años de declive en el interés del público, parece que lo único que se les ha ocurrido a los de ISACA es rentabilizar al máximo los servicios de formación y consultoría con aquellas empresas grandes que estén forzadas a acreditarse para optar a contratos del gobierno. El CMMI Institute dirá lo que quiera en sus notas de prensa sobre crecimiento récord, pero parece que el grueso de los nuevos clientes vienen de países emergentes como China, India o México. CMMI no está ganando adeptos en mercados estables, donde tras la fase inicial de grandes empresas debería extenderse entre las PYMES, sino en países donde se crece porque son mercados vírgenes para la acreditación. Y en España las cuentas de las consultoras han bajado en 2017 (este dato no lo enlazo por no hacer leña del árbol caído, pero si alguien lo quiere, que me lo pida).
Tengo un gran respeto por el modelo de CMMI. Creo sinceramente que es una gran ayuda para las empresas y me convence el modelo de doble auditoría progresiva (interna y externa). Soy una de las únicas cinco personas acreditadas directamente por el CMMI Institute como Associate en España y seguramente me vuelva a certificar en el nuevo modelo si se deciden a publicarlo, a pesar del desdén con el que te tratan desde el propio CMMI y sus «partners». Pero la afinidad o simpatía por una propuesta no puede cegarnos al valorar sus fortalezas y debilidades.
Puede que esto sea lo que quiere el CMMI Institute. Quizás quieran centrarse en grandes clientes que puedan pagar sus tarifas desorbitadas y acepten someterse a un ciclo continuo de inspección, a cambio de contratos con el gobierno. Es su juguete y nosotros meros clientes que debemos aguantarnos. Pero si se empeña en ser un producto comercial burocrático para grandes empresas, amenazando a todo el que ose cuestionar su carácter cerrado, éstas aguantarán mientras estén obligadas, acumularán resentimiento y terminarán por emigrar el día que haya otra alternativa o suficiente presión para eliminar el requisito administrativo. Y los mercados emergentes dejarán de serlo algún día. Si para entonces no han cambiado las cosas, CMMI 2.0 o lo que venga después será otro zombie renqueante como lo es UML, a pesar de todas sus virtudes.
Fotografía del centro de defensa NORAD, con licencia CCommons.