Audit
Code-Audits: Wie aus einem Bauchgefühl sicheres Wissen wird
 

Nils Göde von der CQSE

 

» Read the english version of this interview.

Daniela: Was passiert in dem Audit-Workshop?

Nils: Als erstes stellen wir die große Bandbreite an Motiven dar, warum jemand ein Audit machen will, anschließend sprechen wir über die Herausforderungen und Stärken in Bezug auf die untersuchten Systeme, die wir häufig in Audits finden. Dann erklären wir unsere Vorgehensweise während eines Audits, und im vierten Teil des Workshops fassen wir zusammen, was so ein Audit dem Kunden bringt.

Daniela: Und – was bringt ein Audit einem Kunden?

Nils: Ein Audit schafft Transparenz. Viele kommen zu uns mit einem Bauchgefühl, dass es womöglich ein Problem mit ihrem Code oder ihrer Software geben könnte. Aber dieses Gefühl ist in vielen Fällen eher abstrakt. Wir transformieren dieses Gefühl in ein objektives Ergebnis, so dass der Kunde eine solide Grundlage für künftige Entscheidungen hat.

Daniela: Was sind das für Kunden?

Nils: Das sind Kunden aus allen Branchen und in allen Größen, vom DAX-Konzern bis zur Kirche. Zum Teil sind es Kunden, die ihre Softwareentwicklung professionalisieren  wollen. Manchmal schlagen sie sich mit Problemen herum, die beim Benutzen oder Weiterentwickeln ihrer Software auftreten. Und wieder andere sind Investoren, die sich an einem  Unternehmen beteiligen wollen, selbst aber nicht ausreichend  Expertise im Software-Engineering haben und diese deshalb bei uns anfragen. Schon seit rund zehn Jahren machen wir immer wieder Audits für die LV 1871, die sich damit einen umfassenden  Überblick über ihr Softwareportfolio schafft. Im Bereich von Investments arbeiten wir unter anderem mit der BayBG zusammen.

Daniela: Mit welchem Mythos über Audits möchtest du gerne aufräumen?

Nils: Viele denken, wenn wir ein Audit machen, dann laufe das nach dem Motto: „Da läuft was falsch! Wer hat die Schuld? Wie konnte es so weit kommen?“ Aber so gehen wir typischerweise nicht vor. Meistens gibt es gute Gründe, warum Dinge so liefen wie sie eben liefen. Unser Ansatz ist es daher nicht, in der Vergangenheit zu wühlen und Schuldzuweisungen zu verteilen. Uns geht es um den Blick in die Zukunft. Wir suchen nach den aktuellen Herausforderungen und den dazu passenden Lösungsansätzen, um die Zukunftssicherheit der Systeme zu gewährleisten.

Daniela: Gebt ihr Tipps, wie die Probleme angegangen werden können?

Nils: Ja, zu jeder identifizierten Herausforderung skizzieren wir auch mögliche Lösungen. Letzten Endes ist das Audit der Startpunkt für eine längerfristige Auseinandersetzung mit dem Thema Qualität. Im Gegensatz zu anderen bieten wir aber bewusst nicht an, die Software-Modernisierung selbst durchzuführen, um gar nicht erst den Verdacht eines Interessenkonflikts aufkommen zu lassen.

Daniela: Sind Audits immer wieder überraschend?

Nils: Von der Vorgehensweise: nein. Wir erklären dem Kunden im Vorfeld genau, wie wir das Audit durchführen, da gibt es keine bösen Überraschungen. Bei den Ergebnissen: Ja, durchaus. Wir selbst sind immer mal wieder überrascht darüber, welche Programmiersprachen oder Technologien zum Einsatz kommen. Oder wie häufig Code manuell getestet wird, anstatt automatisiert. Auch die Stakeholder-Interviews bieten eine Quelle von Überraschungen. Hier sichern wir allen Befragten Anonymität zu. Dabei werden manchmal Dinge angesprochen, mit denen niemand gerechnet hätte – weder wir, noch der Kunde.

Daniela: Bekommt ihr manchmal nach einem Audit Feedback von Kunden, wie es weitergeht?

Nils: Ganz häufig hören wir, dass alle im Audit aufgedeckten Herausforderungen beim Kunden weiter diskutiert und viele davon auch angegangen werden. Das freut uns natürlich. Ein Kunde hat es mal besonders anschaulich ausgedrückt: Er meinte, das CQSE-Audit sei wie ein Zahnarztbesuch. Erst tue es weh, aber danach sei man froh, weil es eine wirkliche Hilfe gewesen sei. (lacht)

Mehr Informationen zu unseren Software Audits finden Sie hier.