Mô hình quản trị chất lượng dành
cho doanh nghiệp nhỏ và vừa
ISO 9001 chú trọng đến chất lượng nhưng thiếu hướng dẫn cụ
thể, trong khi CMMi lại khá phức tạp, chưa hẳn phù hợp với mọi
mô hình doanh nghiệp, thì IT Mark nhỏ gọn hơn có thể sẽ là lời
giải đáp cho yêu cầu về quản lý chất lượng và cải thiện năng lực
hoạt động của doanh nghiệp phần mềm nhỏ và vừa ở Việt Nam…
Lâu nay, khi nói đến tiêu chuẩn hay mô hình quản trị chất lượng
trong các công ty phần mềm, giới chuyên môn thường nghĩ đến
hai “tên tuổi” : tiêu chuẩn ISO 9001 và mô hình CMM/CMMi. Gần
đây, trong bối cảnh nhiều doanh nghiệp bắt đầu chuyển sang thị
trường ngoài nước, mô hình CMMi được chú ý nhiều hơn. Tuy
nhiên, số lượng doanh nghiệp đạt được các mức độ trưởng
thành của CMMi trong thực tế lại không nhiều, đặc biệt tại thị
trường Việt Nam. Điều gì đã xảy ra ?

CMMi có phù hợp cho mọi doanh nghiệp ?
Dù CMMi được cho là có thể áp dụng cho các tổ chức ở mọi mức
độ và quy mô, tuy nhiên trong môi trường thực tế ở Việt Nam,
phần lớn các doanh nghiệp phần mềm còn nhỏ và non trẻ, việc
triển khai thành công CMMi không phải là điều dễ dàng. Có rất
nhiều trở ngại khiến các doanh nghiệp không thành công với
CMMi. Một số nguyên nhân chính bao gồm :
- Về cơ bản, CMMi không bàn trực tiếp về chất lượng như ISO,
mà nó liên quan chủ yếu đến năng lực và độ trưởng thành của
một tổ chức. Với những tổ chức còn nhỏ, yếu, độ trưởng thành
chưa có, đây là một rào cản mang tính quyết định. Vấn đề chủ
yếu là con người và đội ngũ chứ không đơn giản chỉ là kỹ thuật
và quy trình.
- CMMi bản thân nó là một mô hình khá phức tạp và không dễ áp
dụng. Với 22 vùng quy trình (process areas), hàng trăm kinh

nghiệm thực hành (practices) và hàng ngàn kinh nghiệm đơn vị
(subpractices) trải rộng trong hàng ngàn trang và nhiều mô hình
khác nhau, so với ISO 9001 chỉ có tám đề mục, trong vài chục
trang, rõ ràng CMMi không phải là một mô hình có thể áp dụng,
đặc biệt cho doanh nghiệp nhỏ.
- Dù khá phức tạp và trải rộng trong nhiều thao tác ở nhiều cấp
độ, CMMi chủ yếu vẫn cung cấp những thực hành nhằm đáp ứng
cho việc bảo đảm sự thành công cấp dự án. Thực tế cho thấy,
thành công của dự án không thể tách rời với các hoạt động khác
trong tổ chức như tiếp thị, quản trị, tài chính, bảo mật thông tin,
khách hàng… Rõ ràng ở điểm này, CMMi có vẻ vẫn “chưa đủ”.
- Việc theo đuổi CMMi cần thời gian dài, thông thường phải mất
1-2 năm cho một mức độ ; chi phí đầu tư khá tốn kém, trong
nhiều trường hợp là vượt quá mức chịu đựng của các doanh
nghiệp nhỏ.
Những trở ngại nói trên, với những doanh nghiệp lớn, có quá
trình hoạt động và tiềm lực mạnh, việc giải quyết có vẻ dễ dàng
hơn so với những doanh nghiệp nhỏ và tiềm lực chưa đủ mạnh.
Nói cách khác, CMMi chưa hẳn là một lựa chọn phù hợp cho đặc
thù các doanh nghiệp phần mềm nhỏ và vừa của Việt Nam
Câu hỏi đặt ra ở đây là, liệu có mô hình nào “nhẹ nhàng” hơn, để
các doanh nghiệp nhỏ và vừa có thể áp dụng để cải thiện năng
lực quản trị chất lượng, cũng như giúp khách hàng nhận biết
hoặc đánh giá được năng lực của đối tác.

Mô hình IT Mark – một lựa chọn đáng lưu ý
Xuất phát từ thực tế là 99,8% các doanh nghiệp trong lĩnh vực
CNTT tại châu Âu thuộc nhóm các doanh nghiệm nhỏ và vừa
(dưới 250 người) và cực nhỏ (dưới 10 người)(**), Viện Phần
mềm châu Âu (ESI – European Software Institute, một tổ chức

phi lợi nhuận do Ủy ban châu Âu thành lập năm 1993 tại Tây Ban
Nha) đã đề xuất mô hình IT Mark, được thiết kế phù hợp cho đối
tượng là doanh nghiệp nhỏ và vừa. Trung tâm kết nối kỹ thuật
phần mềm thuộc ESI (ESI Center Alliance – ESI Centers Network
of Excellence in Software Engineering) chịu trách nhiệm đánh giá
và chứng nhận cho các doanh nghiệp đạt yêu cầu IT Mark.
Mục tiêu cơ bản của mô hình IT Mark là giúp các doanh nghiệp
nhỏ và vừa hoặc cực nhỏ có thể áp dụng để cải thiện năng lực
hoạt động và quản lý chất lượng của mình, thông qua các lợi ích
sau :
- Cải thiện hiệu quả kinh doanh, cả về mặt kỹ thuật lẫn quản lý.
- Được thị trường công nhận về năng lực.
- Tạo lợi thế khác biệt.
- Nhận biết các điểm mạnh, điểm yếu cũng như cơ hội để cải
thiện.
- Xác định phương hướng cải tiến thông qua các mức trưởng
thành được đánh giá.
- Chi phí hợp lý.

(**) Tài liệu tham khảo :
- Theo
- Theo bài thuyết trình về ITMark “Mo-dule 1: Quality models and
appraisals”, chuyên gia ESI, ngày 28-29/10/2008

Cấu trúc và nội dung mô hình IT Mark
Về cơ bản, IT Mark không có những đề xuất mới, mô hình này
bao gồm ba phần, được thu gọn và chọn lọc từ ba mô hình sau,
nhằm giúp các doanh nghiệp có thể áp dụng chúng dễ dàng :
• Các quy trình quản lý và phát triển phần mềm
Phần này được dựa trên mô hình CMMi-DEV phiên bản v1.2,

mức trưởng thành hai và ba (CMMi đầy đủ có tất cả năm mức
trưởng thành, mức bốn và năm được gọi là mức trưởng thành
cao).
Các vùng quy trình quy định trong CMMi được đánh giá cho mô
hình IT Mark.
• Các quy trình quản lý kinh doanh
Phần này sử dụng công cụ 102 (10-Squared) để đánh giá một
doanh nghiệp theo các chuẩn công nghiệp, rất phù hợp với các tổ
chức hoặc công ty phát triền phần mềm. Công cụ 102 được tổ
chức như sau :
- Mười nhóm đánh giá, mỗi nhóm bao gồm 10 yếu tố, tổng cộng
là 100 yếu tố đánh giá.
- Mỗi yếu tố có “trọng số” xác định mức độ quan trọng khác nhau,
và được mô tả bằng chín đặc tính.
Mười nhóm đánh giá chú trọng vào mười khía cạnh liên quan đến
kinh doanh của tổ chức cần đánh giá.
• Các quy trình quản lý an toàn thông tin
Phần này dựa trên tiêu chuẩn ISO/IEC 27001 và ISO 17799 về
thiết lập hệ thống quản lý an toàn thông tin (ISMS – Information
Security Management System).
Về cơ bản, an toàn thông tin phải được tổ chức một cách có hệ
thống, tích hợp xuyên suốt mọi khâu, mọi quy trình quản lý và sản
xuất của tổ chức.
Hệ thống an toàn thông tin được đánh giá cho mô hình IT Mark
bao gồm mười điểm kiểm soát (controls) tham khảo từ tiêu chuẩn
ISO 17799 (danh sách này được liệt kê trong bảng 1).
Với mô hình IT Mark, an toàn thông tin được đánh giá ở ba mức
độ, thấp nhất là mức một, trung bình là mức hai, và cao nhất là
mức ba. Ứng với mỗi mức độ, những yêu cầu bắt buộc tương
ứng về thiết lập và kiểm soát

hệ thống an toàn thông tin phải được áp dụng.

Đánh giá và chứng nhận IT Mark
Việc khảo sát và đánh giá một doanh nghiệp dựa trên mô hình IT
Mark được phân loại ở ba mức độ. Từng mức độ cụ thể được
xếp hạng dựa theo sự trưởng thành về quy trình và năng lực của
tổ chức.
Quy trình đánh giá và chứng nhận một tổ chức theo mô hình IT
Mark bao gồm các pha chính sau :
- Pha 0 : Lập kế hoạch và chuẩn bị chi tiết cho toàn bộ quá trình
đánh giá, bao gồm các nguồn lực và các phân công trách nhiệm
cần thiết cho quá trình đánh giá.
- Pha 1 : Thông báo và huấn luyện về kế hoạch, mục tiêu và quy
trình đánh giá, bảo đảm cho các bên hiểu rõ các nội dung cần
làm.
- Pha 2 : Khảo sát các quy trình quản lý kinh doanh dựa trên mô
hình 102 (10-Squared).
- Pha 3 : Khảo sát hệ thống an toàn thông tin, sử dụng các bảng
câu hỏi để thu thập thông tin.
- Pha 4 : Khảo sát quy trình phát triển phần mềm theo CMMi,
dùng phương pháp đánh giá mức C và mức B (Phương pháp
đánh giá dành cho mô hình CMMi bao gồm ba mức, A, B và C.
Mức A là mức có độ nghiêm khắc cao nhất, mức C có độ nghiêm
khắc thấp nhất).
- Pha 5 : Phân tích và trình bày kết quả đánh giá. Bảng kết quả
bao gồm mức độ thực tế tổ chức đạt và được chứng nhận theo
mô hình IT Mark. Nếu tại pha này, tổ chức không đạt yêu cầu của
một mức trưởng thành dự kiến, đánh giá viên sẽ ghi chú những
điểm yếu khiến không đạt, đề nghị tổ chức cải tiến. Đánh giá viên,
sau đó, sẽ kiểm tra lại kết quả cải tiến trong vòng sáu tháng sau

ngày đánh giá, nếu đạt sẽ điều chỉnh kết quả đánh giá sau cùng.
- Pha 6 : Báo cáo kết quả về ESI.
- Pha 7 : Đánh giá lại. Hiệu lực của chứng nhận sẽ hết hạn sau
ba năm, việc đánh giá lại là bắt buộc để tổ chức tiếp tục được
công nhận. Mặt khác, để bảo đảm việc áp dụng các quy trình của
tổ chức được liên tục, một cuộc đánh giá ngắn sẽ được thực hiện
sau mười hai tháng tính từ ngày tổ chức được đánh giá và công
nhận.
Tóm lại, bằng những giới hạn và chọn lọc hợp lý, tổng hợp từ ba
mô hình và tiêu chuẩn được công nhận rộng rãi trên thế giới là
CMMi, ISO 27001 và 10-Squared, mô hình IT Mark được thiết kế
để phù hợp cho các đối tượng là các doanh nghiệp nhỏ và vừa
trong lĩnh vực phần mềm. IT Mark giúp các doanh nghiệp dễ
dàng tiếp cận và xây dựng thành công mô hình quản trị chất
lượng cho doanh nghiệp của mình, với một sự đầu tư và chi phí
hợp lý.