Tiêu chuẩn CMMI là gì? Nó khác gì với ISO 27001?
Trong lĩnh vực gia công phần mềm nói chung, có thể bạn sẽ phát hiện một số đơn vị gia công sẽ có ghi “đạt CMMI Level 3”, “CMMI Level 5” ngay trên website hoặc hồ sơ chào giá. Câu hỏi đặt ra ngay lúc này sẽ là “tiêu chuẩn CMMI là gì? Nó có khác gì với ISO? Và liệu nó có thực sự ảnh hưởng đến chất lượng phần mềm mà doanh nghiệp nhận được?”
Câu trả lời sẽ là CÓ và rất đáng kể. Hãy cùng NLT Group tìm hiểu sâu hơn về tiêu chuẩn này trong bài viết dưới đây nhé!
Tiêu chuẩn CMMI là gì?
CMMI (Capability Maturity Model Integration) là mô hình đánh giá năng lực quy trình phát triển phần mềm được phát triển bởi Viện Kỹ nghệ Phần mềm Hoa Kỳ (SEI – Software Engineering Institute) hiện do ISACA quản lý.
Tiêu chuẩn này không chứng nhận cho sản phẩm cũng không chứng nhận cho cá nhân. Nó chứng nhận rằng một công ty phần mềm có hệ thống quy trình được tiêu chuẩn hóa, kiểm soát và cải tiến liên tục từ việc quản lý dự án, giao tiếp nội bộ cho tới vận hành và bảo trì.
Tiêu chuẩn CMMI có mấy cấp độ?
Hiện tại, mô hình CMMI được chia thành 5 cấp độ trưởng thành (Maturity Levels):
| Cấp độ | Tên gọi | Ý nghĩa |
| 1 | Initial | Không có quy trình chuẩn, làm việc tùy hứng, phụ thuộc từng cá nhân |
| 2 | Managed | Có quy trình quản lý dự án cơ bản nhưng chưa được tối ưu |
| 3 | Defined | Quy trình được tiêu chuẩn hóa, có tài liệu và áp dụng trên toàn công ty |
| 4 | Quantitatively Managed | Quy trình được đo lường bằng dữ liệu cụ thể, kiểm soát bằng số liệu |
| 5 | Optimizing | Không ngừng cải tiến dựa trên phản hồi và dữ liệu đo lường |
Tại Việt Nam, đa số các công ty có chứng nhận CMMI đạt Level 3 hoặc Level 5, mức cao nhất.
Vì sao doanh nghiệp Việt cần quan tâm đến tiêu chuẩn CMMI khi thuê gia công phần mềm?
Đảm bảo dự án được triển khai theo quy trình rõ ràng, không “mập mờ”
Khi công ty đạt CMMI Level 3 trở lên, doanh nghiệp có thể yên tâm rằng:
- Họ có quy trình báo cáo định kỳ.
- Có quy chuẩn viết tài liệu.
- Có kiểm thử, review, và bàn giao có kiểm soát.
Giảm rủi ro “làm ẩu”, “lỗi chồng lỗi” do thiếu quản lý nội bộ
Nhiều công ty nhỏ tại Việt Nam làm việc kiểu “lập trình tự do”, không quản lý codebase và không có checklist kiểm thử. Hậu quả là bàn giao sản phẩm đầy bug, thiếu tài liệu và không thể bảo trì.
Với CMMI, các công đoạn như test, backup, quản lý version, cập nhật repo,… sẽ được kiểm soát ngay từ ban đầu.
Tăng khả năng cộng tác dài hạn hoặc mở rộng quy mô sau này
Nếu doanh nghiệp có kế hoạch mở rộng hệ thống hoặc gọi vốn, việc chứng minh bạn đang hợp tác với đơn vị có quy trình chuẩn hóa theo CMMI sẽ là lợi thế lớn trước nhà đầu tư và khách hàng quốc tế.
CMMI của các đơn vị phát triển phần mềm khác gì với ISO 27001 và ISO 9001?
| Tiêu chuẩn | Mục tiêu chính | Phạm vi áp dụng |
| CMMI | Tối ưu quy trình phát triển phần mềm | Quản lý dự án, phát triển, kiểm thử và bảo trì |
| ISO 27001 | Bảo mật thông tin | Dữ liệu, mã nguồn và quyền truy cập |
| ISO 9001 | Quản lý chất lượng | Toàn công ty, quy trình hành chính và dịch vụ |
Nhiều công ty phần mềm lớn tại Việt Nam thường đạt cả 3 chứng chỉ để bảo vệ toàn diện:
- CMMI để quy trình phát triển chuẩn.
- ISO 27001 để giữ dữ liệu an toàn.
- ISO 9001 để vận hành doanh nghiệp hiệu quả.
Những dấu hiệu cho thấy một công ty “không có CMMI” hoặc “có mà làm cho có”
| Biểu hiện | Rủi ro thực tế |
| Không gửi tài liệu mô tả kỹ thuật | Sau này sửa hệ thống sẽ rất khó khăn |
| Không có quy trình quản lý version | Mỗi lần sửa là chồng đè lên code cũ, lỗi phát sinh liên tục |
| Không làm demo theo sprint | Chỉ bàn giao 1 lần và khách hàng không kiểm tra được tiến độ |
| Không test trước khi bàn giao | Sản phẩm nhiều bug, phải bảo hành kéo dài hoặc phải viết lại từ đầu |
| Không dùng công cụ quản lý công việc | Giao việc qua Zalo, Excel, không theo dõi được task, rối timeline |
Một số công ty gia công phần mềm tại Việt Nam đạt tiêu chuẩn CMMI
| Tên công ty | Cấp độ đạt được | Năm chứng nhận | Ghi chú |
| FPT Software | Level 5 | Từ 2006 | Doanh nghiệp đầu tiên tại VN đạt LV5 |
| TMA Solutions | Level 5 | 2010 | Xuất khẩu phần mềm toàn cầu |
| KMS Technology | Level 3 | 2021 | Chuyên thị trường Mỹ |
| NashTech Vietnam | Level 3 | — | Thành viên tập đoàn Anh Quốc |
Nguồn: Website chính thức các doanh nghiệp và ISACA Global Partner Directory
Kết luận: Đừng chỉ hỏi “có bao nhiêu lập trình viên?”, hãy hỏi “quy trình có gì để đảm bảo chất lượng?”
Trong gia công phần mềm, năng lực của lập trình viên quan trọng nhưng năng lực quy trình còn quan trọng hơn. CMMI chính là bằng chứng cho thấy một công ty biết cách:
- Quản lý công việc có bài bản.
- Giảm rủi ro lỗi hệ thống.
- Bàn giao sản phẩm có thể bảo trì được lâu dài.
Nếu doanh nghiệp không muốn trả tiền để sửa lỗi về sau hãy trả tiền để có quy trình ngay từ đầu.
Câu hỏi thường gặp (FAQ)
Doanh nghiệp thuê gia công có nhất thiết phải có CMMI không?
Không bắt buộc về mặt pháp lý nhưng với các dự án:
1. Có nhiều giai đoạn kéo dài (3–12 tháng).
2. Cần phát triển lâu dài, bảo trì mở rộng.
3. Có tích hợp nhiều hệ thống (ERP, CRM, API…).
Thì nên ưu tiên nhà cung cấp đạt CMMI Level 3 trở lên để đảm bảo quy trình kiểm soát chất lượng xuyên suốt.
Làm sao biết công ty có đạt CMMI thật sự hay không?
Doanh nghiệp thuê gia công có nhất thiết phải có CMMI không?
Không bắt buộc về mặt pháp lý nhưng với các dự án:
1. Có nhiều giai đoạn kéo dài (3–12 tháng).
2. Cần phát triển lâu dài, bảo trì mở rộng.
3. Có tích hợp nhiều hệ thống (ERP, CRM, API…).
Thì nên ưu tiên nhà cung cấp đạt CMMI Level 3 trở lên để đảm bảo quy trình kiểm soát chất lượng xuyên suốt.
Có phải CMMI Level càng cao thì càng tốt? Tôi nên chọn Level bao nhiêu?
CMMI Level cao đồng nghĩa:
1. Quy trình kiểm soát chặt hơn.
2. Có đo lường và cải tiến quy trình liên tục (Level 4, 5).
Tuy nhiên, với doanh nghiệp vừa và nhỏ, CMMI Level 3 là đã đủ tin cậy để đảm bảo quy trình bài bản, chất lượng ổn định. Level 5 phù hợp hơn với dự án lớn, đa quốc gia hoặc công nghệ phức tạp.
CMMI khác gì với việc dùng Agile, Scrum? Có cần cả hai không?
1. Agile/Scrum là phương pháp làm việc, chia nhỏ và linh hoạt.
2. CMMI là khung đánh giá quy trình, đo lường, kiểm soát và cải tiến.
Một công ty có thể áp dụng Scrum để triển khai sprint nhưng không kiểm soát quy trình bài bản nếu không có CMMI. Nên chọn đơn vị có cả Agile và đạt CMMI Level 3 trở lên để tối ưu cả hiệu suất và chất lượng đầu ra.
Chi phí của đơn vị có CMMI có cao hơn không?
Có thể cao hơn 5–20%, nhưng đi kèm với:
1. Quy trình kiểm soát task và tiến độ rõ ràng.
2. Báo cáo, tài liệu đầy đủ.
3. Tỷ lệ lỗi thấp hơn, thời gian bảo hành ngắn hơn.
4. Dễ dàng chuyển giao hoặc bảo trì về sau.
Về lâu dài, chi phí thực tế lại rẻ hơn vì bạn không phải trả thêm để sửa lỗi, làm lại hoặc tái cấu trúc sản phẩm.
Tôi đã ký hợp đồng với đơn vị không có CMMI, giờ phải làm sao để kiểm soát rủi ro?
Nếu đã ký hợp đồng với đơn vị gia công phần mềm không có CMMI, doanh nghiệp nên yêu cầu ngay từ đầu:
1. Lập Kế hoạch phát triển dự án (Project Plan).
2. Bắt buộc cập nhật tiến độ theo sprint hoặc phase.
3. Duyệt UI/UX trước khi dev, kiểm tra UAT trước bàn giao.
4. Có checklist kiểm thử (test case), quản lý codebase qua Git.
Nếu họ không có quy trình, doanh nghiệp phải tạo “quy trình giám sát” của riêng mình. Đừng giao phó toàn bộ rồi chỉ đợi nhận sản phẩm.
