La complémentarité entre les standards de gestion des processus IT

Chaque modèle, norme et corpus de connaissances décrit une partie des activités de lentreprise avec un niveau de précision et un niveau de spécificité qui lui est propre. Ils peuvent décrire aussi des activités non présentes au sein de lentreprise et omettre certaines activités quant à elles bien présentes. George Box disait « Tous les modèles sont faux ! Certains sont utiles ». Cette citation reprend bien lidée que, par définition, un modèle ne peut représenter de manière intégrale la réalité de lentreprise. Sa description sen approche avec un niveau de précision plus ou moins grand suivant le modèle.

Généralement, on retrouve au sein de deux modèles la description dactivités communes et des activités spécifiques à chaque modèle. Ces deux types dactivités peuvent être ou ne pas être en place au sein de lentreprise.

complementarite_modeles

En se basant sur ces constatations, je vais vous présenter deux expériences rencontrées:

  1. La mise en place d’un référentiel qualité (de processus) unique intégrant les recommandations d’ISO 9001v2000 et CMMI
  2. Un audit d’une Direction des études selon différentes vues (CMMI, COBIT et VAL IT)

Le cas CMMI-ISO 9001v2000

Ce cas concerne une SSII française déjà certifiée ISO et souhaitant implémenter les recommandations de CMMI v1.1 (et viser ultérieurement la certification). A première vue, une comparaison haut niveau entre les deux standards donne le résultat suivant:

ISO 9001v2000 CMMI
Standard qualité certifiable Modèle de bonnes pratiques certifiable grâce à SCAMPI
Large direction Détaillé
Un ensemble de recommandations à satisfaire Des niveaux de maturité progressifs
Aucune directive pour limplémentation Conseils dinstitutionnalisation et dimplémentaion
Couvre tous les secteurs dune entreprise, parmi lesquels le développement logiciel et système Applicable dans un contexte de développement de logiciels et de systèmes
Se limite à la définition des principes de gestion du système qualité Identifie les pratiques opérationnelles à mettre en oeuvre

Analogies

Nous avons commencé par explorer les similarités entre les huit principes de management de la qualité dISO 9001v2000 et CMMI. A priori, ces principes de management de la qualité devraient correspondre aux pratiques génériques de CMMI puisque ces dernières fournissent une base pour linstitutionnalisation de processus. Voici le résultat de l?exploration :

  1. Lorientation client : ce principe est traité par CMMI à travers la pratique générique GP 2.7 « Identifier et impliquer les parties prenantes » et la pratique spécifique SP 2.6 « Prévoir limplication des parties prenantes identifiées » du domaine de processus « Planification du projet ». Ce principe est traité aussi dans les Process Area « Développement Exigences » et « Solution Technique ». Cependant, lorientation client est plus fortement représentée dans ISO 9001v200 que dans CMMI ;
  2. Le leadership : ce principe est couvert par de nombreuses pratiques génériques de CMMI : GP 2.1 « Établir et maintenir une directive organisationnelle », GP 2.4 « Assigner la responsabilité et lautorité » et le GP 2.10 « Passer en revue avec la hiérarchie les activités, le statut et les résultats ». En plus, le domaine de processus OPF « Focalisation de lOrganisation sur les Processus » couvre des aspects de leadership ;
  3. Limplication du personnel : ce principe est couvert par CMMI à travers limplémentation des pratiques génériques GP 2.3 « Fournir les ressources adéquates », GP 2.5 « Former selon les besoins les personnes » et GP 2.7 « Identifier et impliquer les parties prenantes concernées » ;
  4. Lapproche processus : ce principe est amplement couvert par les pratiques génériques GP 2.2 « Établir et maintenir le plan » et le GP 3.1 « Établir et maintenir la description dun processus ». Lapproche processus est explicitement supportée par les domaines de processus OPD « Définition des Processus de lOrganisation » et IPM « Gestion de Projet Intégré » et implicitement par le reste des domaines de processus ;
  5. La gestion par approche système : ce principe est explicitement couvert par le GP 3.1 « Établir et maintenir la description dun processus » ainsi que tous les domaines de processus ;
  6. L’amélioration continue : CMMI est un modèle de bonnes pratiques pour lamélioration continue. Donc, tout CMMI, spécialement avec ses niveaux de maturité, fournit une base pour réaliser ce principe ;
  7. L’approche factuelle pour la prise de décision : CMMI supporte ce principe à travers les pratiques génériques GP 2.8 « Surveiller et contrôler le processus » et à travers de nombreux domaines de processus et spécialement les domaines de processus PMC « Maîtrise et suivi de projet », MA « Analyses et mesures », IPM « Gestion de Projet Intégré » et DAR « Résolution et Analyse pour Décision » ;
  8. Les relations mutuellement bénéficiaires avec les fournisseurs : CMMI couvre la relation avec les fournisseurs spécialement à travers le domaine de processus SAM « Gestion des ententes avec les fournisseurs », du point de vue commande plutôt que du point de vue collaboration.

Différences

La différence majeure entre ces deux standards réside dans leurs langages. Tandis que les recommandations dISO 9001v2000 sont clairement prescriptives, CMMI ne liste pas ses recommandations en utilisant limpératif. Par exemple, ISO 9001v2000 spécifie ses recommandations pour le QMS (Quality Management System = Système de Management de la Qualité) sous la forme « Lorganisation doit identifier les processus requis pour le QMS… » alors que la description de la pratique spécifique correspondante de CMMI SP 1.1 (du domaine de processus OPD « Définition des Processus de lOrganisation ») est « Établir et maintenir lensemble de processus normalisés de lorganisation » puis continue en énumérant neuf sous-pratiques décrivant les détails requis pour implémenter avec succès cette pratique. Une autre différence majeure réside dans la compacité du langage dISO 9001v2000 qui utilise
des expressions comme « établir et maintenir » ou « déterminer fournir ». Par exemple, pour ISO 9001v2000 la recommandation « Lorganisation doit déterminer et fournir… » définit deux actions différentes : dabord déterminer les ressources puis fournir ces mêmes ressources. Pour CMMI, cette recommandations correspond au domaine de processus PP « Planification du Projet » pour la détermination des ressources (« déterminer« ) puis à la pratique générique GP 2.3 « Fournir les ressources adéquates » de tous les domaines de processus pour assurer que les ressources sont disponibles (« fournir« ).

À cause de leur différence de cibles et de buts, la quantité de détails présentée par les deux standards est différente. Dun côté, CMMI couvre tous les détails nécessaires pour le développement des systèmes complexes. De lautre côté, ISO 9001v2000 décrit simplement un ensemble de recommandations nécessaires pour développer des produits de haute qualité et satisfaire les exigences du client. Les détails pour répondre à ces exigences sont laissés à lutilisateur, mais pour être conforme à ISO 9001v2000, toutes exigences doivent être satisfaites.

La possibilité de combiner ISO 9001v2000 et CMMI

En se basant sur la comparaison précédente, le modèle CMMI et la norme ISO 9001v2000 sont non seulement compatibles, mais aussi complémentaires.Le modèle CMMI et le standard ISO 9001v2000, sont tous deux basés sur une approche processus. Cependant, du fait de leur historique différent, quelques différences majeures doivent être relevées :

  1. Le modèle CMMI est applicable dans un contexte de développement dapplications et de systèmes logiciels, alors que le domaine dapplication du standard ISO 9001 couvre tous les secteurs dune entreprise, parmi lesquels le développement logiciel. Par contre, le modèle CMMI identifie les pratiques opérationnelles à mettre en oeuvre dans son domaine dapplication, contrairement au standard ISO 9001 où lon se limite à la définition des principes de gestion du système qualité.
  2. Les pratiques de gestion de système qualité au niveau société telles que requises par le standard ISO 9001 ne sont reprises dans le modèle CMMI quau niveau 3. Ceci sexplique par le fait que, dans le modèle CMMI, la mise en oeuvre opérationnelle des pratiques de développement sur les projets prime sur la définition dun système qualité applicable à tous les développements de lorganisation.
  3. Du fait de son domaine dapplication plus large, le standard ISO 9001 reprend des pratiques annexes aux développements de logiciel, mais « oubliées » par le CMMI. Notons par exemple le manque dattention par rapport aux clients, aux équipements dinfrastructure et au contrôle des équipements de mesure.

Ceci étant, la certification ISO 9001v2000 dune entreprise ayant atteint le niveau 3 CMMI engendrera moins defforts et aucune modification majeure de son système qualité ; en effet, les pratiques opérationnelles préconisées par le CMMI répondent en grande partie à lISO 9001v2000 en matière damélioration continue des processus et de définition dobjectifs en matière de qualité. Par ailleurs, les acquis du programme damélioration basé sur le CMMI ne seront nullement remis en question par la certification ISO 9001v2000. En dépit de priorités différentes (le standard ISO 9001 requiert dabord un système qualité défini au niveau de lentreprise, alors que le modèle CMMI se concentre dabord sur la mise en oeuvre des bonnes pratiques au niveau des projets de développement) les pratiques de développement logiciel du modèle CMMI des niveaux 2 et 3 constituent une base idéale pour la certification ISO 9001v2000 : leffort requis pour la certification des entreprises ayant atteint le niveau 3 CMMI restera réduit.

La mise en place du référentiel

La première étape a été la définition d’un mapping entre ISO 9001v2000 et CMMI.

Il est toujours difficile de déterminer la granularité appropriée pour réaliser un « mapping » entre deux modèles. Dun côté, un « mapping » haut niveau peut ne pas fournir assez dinformations sur les similitudes et les différences. Dun autre côté, un « mapping » de très bas niveau peut engendrer un nombre très important de connexions entre les deux modèles rendant la correspondance très complexe.

Le « mapping » que nous avons réalisé est un compromis entre les deux niveaux (très haut niveau et très bas niveau). On a effectué un « mapping » de chaque chapitre dISO 9001v2000 vers une pratique (ou plusieurs) de CMMI et vice versa. Chaque relation est spécifiée avec un niveau de corrélation (fort, moyen ou faible). Le « mapping » ainsi réalisé sert comme indicateur de correspondance permettant une implémentation des deux standards.

La deuxième étape a été d’utiliser ce mapping afin de compléter le référentiel ISO existant en implémentant les pratiques CMMI complémentaires. Ces pratiques CMMI complémentaires sont de 2 catégrories:

  • Non existantes dans le mapping, donc pas de correspondance avec ISO;
  • Ayant un niveau de corrélation faible ou moyen.

Le référentiel ainsi réalisé a été auto-audité et il était conforme aux recommandations des niveaux de maturité 2 et 3 de CMMI.

Le cas CMMI-COBIT-VAL IT

Ce cas a été initié à la demande d’une assurance afin d’étudier le niveau de performance de sa direction des études. Le niveau de performance a été mesuré sur différents niveaux (correspondants à des vues différentes d’une direction des études) :

  1. Ingénierie logicielle : Dans ce cadre, nous avons utilisé un questionnaire CMMI (issu du document présenté plus haut) afin de réaliser un diagnostic des pratiques de gestion de projet et d’ingénierie avec identification des points forts et à améliorer;
  2. Gouvernance des projets : Pour cela, nous nous sommes basés sur le référentiel COBIT pour l’évaluation;
  3. Gestion du portefeuille projets : Cet audit s’est basé sur VAL IT.

Ce cas montre la complémentarité entre les différents référentiels utilisés en fournissant des vues différentes d’une direction des études.