Coût et retombées de la certification ISO/IEC 29110 d’une jeune entreprise en TI au Pérou

Note de l’éditeur

Cet article fait suite à Implantation de la norme ISO/IEC 29110 pour améliorer la qualité des services d’une entreprise en démarrage en TI au Pérou et présente un exemple concret de processus de certification ISO/IEC 29110 dans un très petit organisme, avec une norme visant à l’amélioration de la qualité des produits logiciels. Ce processus s’est avéré très abordable tout en étant un moteur de croissance pour l’entreprise.

____________________________________

Introduction

Pour la plupart des entreprises, mais particulièrement pour les très petits organismes (TPO), une certification internationale peut améliorer la crédibilité, la compétitivité et l’accès aux marchés nationaux et internationaux (Laporte, Houde, et Marvin 2014).

Le TPO péruvien Bit Perfect Solutions, qui a sélectionné pour l’implantation des processus de gestion de projet et d’implantation de logiciel le profil basique de l’ISO/IEC 29110, tels qu’illustrés à la figure 1, a été créé en 2012 par deux anciens étudiants du programme d’ingénierie informatique de l’UPC. Cette entreprise comptait en 2012 quatre personnes et se spécialise dans la fourniture de services de développement informatique et d’automatisation pour les processus d’affaires, avec des solutions de systèmes d’information. Elle utilise des pratiques agiles pour l’implantation de solutions informatiques telles que des conceptions de systèmes compatibles avec Web 2.0, d’applications mobiles (fonctionnant sur les plateformes iOS, Android, Windows Phone ou multiplateformes), des systèmes d’applications d’informatique en nuage qui utilisent des technologies émergentes et des plateformes telles que Microsoft Kinect, Leap Motion et Oculus Rift. Elle a aussi réalisé des projets de conception et a développé des solutions matérielles qui intègrent de l’électronique et des logiciels.

Figure 1 Activités des deux processus du profil basique de l’ISO/IEC 29110

Description du processus de certification

La certification est réalisée par des organisations spécialisées, que l’on nomme organismes de certification. Ces organismes indépendants sont aussi nommés « tierce partie », parce qu’ils sont indépendants tant des compagnies qui offrent des services d’implantation que des organisations qui demandent ces services.

Les organismes d’accréditation évaluent et certifient la compétence technique et l’indépendance des organismes de certification. Un organisme d’accréditation, habituellement une organisation gouvernementale nationale, évalue les organismes de certification et certifie leur compétence technique à réaliser le processus de certification. Chaque pays décide de ses règles de manière indépendante ainsi que des évaluations de conformité et de la règlementation de métrologie. Dans le cas spécifique du Pérou, l’organisme national d’accréditation est INDECOPI, par l’intermédiaire de son service national d’accréditation (INDECOPI-SNA). Pour le Brésil, l’organisme national d’accréditation est le National Institute of Metrology, Quality, and Technology (INMETRO).

Afin de promouvoir la reconnaissance des qualifications entre les pays, il existe des organisations internationales telles que l’International Accreditation Forum (IAF). L’IAF est l’association mondiale des organismes d’accréditation pour les évaluations de conformité, dans le domaine des produits, des services et des systèmes de gestion et à ce jour, elle compte plus de 60 pays membres. Les deux organismes d’accréditation que sont INDECOPI-SNA et INMETRO sont membres de cette organisation. Elle permet d’établir une infrastructure mondiale de certification.

La norme ISO/IEC 29110 comporte un processus de certification bien établi. Ce processus a été créé en tenant compte des besoins des TPO en développement de logiciels et de systèmes, afin que les audits ne soient pas trop coûteux et qu’ils ne prennent pas trop de temps. Le plan de certification décrit dans l’ISO/IEC 29110 est fondé sur les normes ISO en ce qui a trait aux exigences imposées aux organismes de certification et aux auditeurs (voir la figure 2).

Figure 2 Normes ISO auxquelles il est fait référence dans le plan de certification de l’ISO/IEC 29110

Le processus de certification de l’ISO/IEC 29110 se compose de quatre étapes. À la première étape, le TPO fait une demande de processus d’audit. Si cette étape est réussie, une entente commerciale et technique est conclue avec l’organisme d’accréditation. Vient ensuite la deuxième étape qui, lorsque réussie, mène à la certification initiale du TPO, valide pour une période de trois ans. La troisième étape consiste en deux audits de surveillance réalisés respectivement un an et deux ans après l’obtention de la certification initiale. Finalement, la quatrième étape est la recertification du TPO après l’écoulement de la période de certification initiale de trois ans.

Description du processus d’audit

Une fois le profil basique de l’ISO/IEC 29110 implanté dans le TPO péruvien, il a fallu chercher une organisation membre de l’IAF. Cette organisation devait certifier la qualité du processus implanté et assurer la reconnaissance internationale de la certification. L’organisation sélectionnée pour effectuer les audits est brésilienne. Le processus d’audit auquel le TPO péruvien s’est soumis est résumé à la figure 3.

Figure 3 Résumé du processus d’audit suivi par le TPO péruvien

Le processus d’audit a été effectué en deux phases. Pendant la phase 1, la documentation du cycle de vie du processus de développement de logiciel a été évaluée. Pendant la phase 2, l’implantation et les processus de gestion de projet et d’implantation de logiciels du profil basique de l’ISO/IEC 29 110 ont été évalués. À la fin de chaque phase, l’organisme de certification a produit un rapport détaillant toutes les observations et les non-conformités, le cas échéant.

Le TPO a reçu les commentaires des auditeurs concernant l’enregistrement des résultats des tests et des actions correctrices prises. L’équipe technique du TPO a implanté ces recommandations; les procédures ont été mises à jour et distribuées aux membres de l’équipe de développement.

La phase 1 et la phase 2 de l’audit ont été effectuées en avril 2014; en juillet 2014, l’organisme chargé de l’audit a délivré le certificat de conformité pour l’implantation des processus de gestion de projet et d’implantation de logiciel du profil basique ISO/IEC 29110. Ce certificat est valide pour trois ans. Un audit de surveillance a été réussi en 2015 et un autre sera effectué en 2016. Le processus de recertification débutera en 2017.

À la figure 4, les coûts et les efforts effectués par le TPO lors de la phase 1 du processus d’audit sont présentés. Les coûts n’incluent pas les frais de déplacement de l’auditeur. Le TPO a investi 22 heures lors de la phase 1 du processus de certification.

Figure 4 Coût et temps investis lors de la phase 1 de l’audit

La figure 5 présente les coûts et les efforts effectués par le TPO lors de la phase 2 du processus d’audit. Le coût de l’auditeur était de 1 000 $ et n’inclut pas les frais de déplacement de l’auditeur. Le TPO a investi 63 heures lors la phase 2 du processus de certification.

Figure 5 Coût et temps investis lors de la phase 2 de l’audit

Le coût total de l’audit, soit 1 500 $, est modeste en comparaison à un audit pour une évaluation avec le modèle CMMI® pour le développement (CMMI-DEV) Au Brésil, par exemple, le coût d’un audit de cette catégorie est d’environ 25 000 $. Comme présenté à la figure 6, il est estimé que le coût de chacun des deux audits de surveillance, excluant les frais de déplacement de l’auditeur, totalisera environ 1 200 $.

Figure 6 Coût et temps investis pour les audits de surveillance

Les 85 heures investies par la direction et les employés du TPO lors l’audit, à savoir, 22 heures pour la phase 1 et 63 heures pour la phase 2, sont modestes en comparaison du temps requis pour la préparation pour une évaluation CMMI-DEV de niveau 3. Par exemple, au Brésil, la préparation à l’évaluation implique l’enregistrement de centaines d’éléments de preuve et une équipe de six personnes travaillant à temps complet pendant environ trois mois, ce qui totalise plus de 2000 heures d’effort.

Retombées positives

Le TPO péruvien est devenu la première organisation en Amérique du Sud (à l’extérieur du Brésil) à obtenir une certification ISO/IEC 29110 pour ses processus de développement de logiciels.

Actuellement, le TPO continue d’optimiser ses processus dans le cadre de son programme d’amélioration continue et sera prêt pour l’audit de surveillance de 2016.

Le certificat de conformité ISO/IEC 29110 a permis au TPO de se démarquer de ses principaux compétiteurs. Le TPO a pu obtenir des contrats plus importants de développement de logiciel et élargir sa clientèle. De plus, en raison de la croissance connue par l’organisation, le TPO a augmenté son personnel de quatre à dix employés.

Conclusion

Les auteurs recommandent aux TPO souhaitant améliorer leurs pratiques de gestion d’ingénierie et de développement de logiciels d’implanter la norme ISO/IEC 29110. La norme ISO/IEC 29110 ne prescrit pas l’utilisation de méthode ou de cycle de vie particulier de développement de logiciels; au contraire, elle offre aux TPO la possibilité d’utiliser une structure adaptée à leurs besoins.

La certification ISO/IEC 29110 a permis au TPO péruvien d’accéder à de nouveaux clients et à des projets plus importants. Pour un pays tel que le Pérou, l’implantation et la certification ISO/IEC 29110 pourraient contribuer à augmenter l’indice de productivité du pays. Les TPO pourraient augmenter leurs exportations de produits logiciels, ce qui contribuerait à améliorer la qualité de vie des Péruviens. Les TPO qui cherchent des investisseurs, des partenaires ou des clients devraient considérer l’implantation de l’ISO/IEC 29110 et devrait aussi viser à en obtenir la certification.

Information additionnelle

Nous vous invitons à lire les articles de recherche suivants pour plus d’information concernant ce projet :

Garcia, L., Laporte, C.Y., Arteaga, J., Bruggmann, M., Implementation and Certification of ISO/IEC 29110 in an IT Startup in Peru, Software Quality Professional Journal, ASQ, vol. 17, no 2, pp16-29, 2015.