計算機軟件質(zhì)量體系認證務(wù)實

?在國際標準化組織(ISO)第176"質(zhì)量管理與質(zhì)量保證"技術(shù)委員會制定的ISO8402-94《質(zhì)量管理和質(zhì)量保證》術(shù)語中,將產(chǎn)品定義為"活動或過程的結(jié)果",并指出"產(chǎn)品可包括服務(wù)、硬件、流程性材料、軟件或它們的組合"。在ISO/TC176制定的ISO9000-1《質(zhì)量管理和質(zhì)量保證》第一部分——《選擇和使用指南》中,又進一步明確了四種產(chǎn)品的通用類別,分別為:服務(wù)、硬件、流程性材料和軟件。其中,軟件指"通過承載媒體表達的信息所組成的一種知識產(chǎn)物。軟件可以概念、學報或程序等形式表示,而計算機程序是軟件的特定事例"。由此可見,計算機軟件作為通用產(chǎn)品中的一類,與硬件產(chǎn)品一樣,也同樣存在提高質(zhì)量的問題。提高產(chǎn)品質(zhì)量有多種形式,通過實施質(zhì)量體系認證、提高質(zhì)量管理水平來提高產(chǎn)品質(zhì)量及一致性是一種事半功倍的好辦法。

??? 質(zhì)量體系認證是指由第三方按照規(guī)定的程序,對受審核方的質(zhì)量體系符合規(guī)定要求給予書面保證(合格證書),也稱為質(zhì)量體系注冊。進一步說,質(zhì)量體系認證的對象是受審核方的質(zhì)量體系,依據(jù)是國家的質(zhì)量保證標準,鑒定的方式是對受審核方的質(zhì)量體系進行審核,證明的方式是提供證書和使用認證標志。質(zhì)量體系審核通常由國家認可的認證機構(gòu)或其委托的審核機構(gòu)進行。

??? 一、質(zhì)量體系認證的依據(jù)

??? 質(zhì)量體系認證的依據(jù)是ISO 9001-94、ISO9002-94或ISO9003-94(我國已將其等同轉(zhuǎn)化為GB/T19001-94、GB/T 19002-94及GB/T19003-94),這三個質(zhì)量體系標準的主要區(qū)別在于所涉及到的階段不同:GB/T19001—ISO9001-94涉及到設(shè)計、開發(fā)、生產(chǎn)、安裝和服務(wù)五個階段;GB/T19002—ISO9002-94涉及到生產(chǎn)、安裝和服務(wù)三個階段;GB/T19003—ISO9003-94只涉及到最終檢驗和試驗階段。三個質(zhì)量體系標準只規(guī)定了供方為滿足顧客期望所必須達到的要求,但如何達到這些要求則由企業(yè)根據(jù)其自身發(fā)展的需要所提供產(chǎn)品和服
務(wù)的特點,以及所涉及的過程自行設(shè)計和實施。

??? 這三個標準是通用的,可適用于眾多工業(yè)行業(yè)和經(jīng)濟部門,對計算機軟件也不例外。但計算機軟件的設(shè)計和維護畢竟與大多數(shù)工業(yè)產(chǎn)品的設(shè)計、生產(chǎn)、服務(wù)不同,因此,ISO國際標準化組織于1993年制定了ISO9000-3-93《質(zhì)量管理和質(zhì)量保證標準第三部分:ISO9001在軟件開發(fā)、供應(yīng)和維護中的使用指南》,并于1997年12月15日發(fā)布了第二版,同時改名為《ISO9001在計算機軟件開發(fā)、供應(yīng)、安裝和維護中的使用指南》。這個標準對涉及計算機軟件的質(zhì)量體系提供了補充性指南,可作為計算機軟件企業(yè)在建立與實施質(zhì)量體系的參考指南,但不作為質(zhì)量體系認證的依據(jù)。

??? 二、質(zhì)量體系認證的程序

??? 1. 提出申請

??? 企業(yè)根據(jù)自身的需要或基于市場、顧客或社會的要求,在適當?shù)臅r機可向國家認可的認證機構(gòu)提出質(zhì)量體系認證的申請。

??? a. 申請認證的企業(yè)應(yīng)持有法律地位的證明文件,根據(jù)中國質(zhì)量體系認證機構(gòu)國家認可委員會(CNACR)240文件的說明,對集團公司下屬的業(yè)務(wù)相對獨立、但無獨立法人資格的分部、分廠,可以其名義申請認證,但這些分廠、分部應(yīng)有證據(jù)表明其能獨立承擔法律責任,同時申請認證的企業(yè)已按GB/T 19000—ISO9000族標準建立了文件化的質(zhì)量體系。

??? b. 認證機構(gòu)的選擇
??? 申請企業(yè)可以自行選擇質(zhì)量體系認證機構(gòu),選擇時,除考慮認證機構(gòu)的權(quán)威性、價格及顧客的要求外,還應(yīng)特別注意認證機構(gòu)的認可業(yè)務(wù)范圍。

??? 我國CNACR根據(jù)產(chǎn)品的特點,將體系認證機構(gòu)的業(yè)務(wù)范圍劃分為39類,計算機軟件屬于第33類《計算機及有關(guān)業(yè)務(wù)》,其中包括了硬件咨詢、軟件咨詢及提供、數(shù)據(jù)處理、辦公設(shè)備、計算機及計算機的維護修理、其他與計算機有關(guān)的活動等六方面內(nèi)容。計算機軟件企業(yè)在選擇體系認證機構(gòu)時,應(yīng)特別注意,認證機構(gòu)的業(yè)務(wù)范圍中是否包括了33類中自己所需要的范圍。在選擇認證機構(gòu)時,可通過索取宣傳資料、電話交談及面談等方式了解體系認證機構(gòu),并做出最終選擇。

???? 2. 受理申請

??? 申請認證企業(yè)選定了認證機構(gòu)后應(yīng)向其提出書面申請,并簽訂體系認證審核合同書。在這些文件中需明確:(1)接受審核的組織與場所(企業(yè)的名稱和地點);(2)質(zhì)量保證模式,即質(zhì)量體系標準名稱(GB/T19001—ISO9001-94或GB/T19002—ISO9002-94或GB/T19003—ISO9003-94);(3)申請認證的質(zhì)量體系所覆蓋的產(chǎn)品類別;(4)其他必要的法規(guī)、規(guī)章及標準;(5)價格及預(yù)計審核時間等內(nèi)容。

??? 3. 文件審查

??? 此階段主要對質(zhì)量手冊進行審查,必要時也可對申請企業(yè)的程序文件進行審查。文件審查中如發(fā)現(xiàn)問題,認證機構(gòu)會對申請企業(yè)提出不符合的內(nèi)容及處理方式。一般來說,對文件審查中的問題,申請企業(yè)應(yīng)進行局部修改或全面修改后再重新提交文件審查,直至滿足要求為止。文件審查中如沒有出現(xiàn)問題,則可進入下一程序。

??? 4. 初訪或預(yù)審(必要時)
??? 初訪或預(yù)審均不是體系認證的必需程序,均不能對受審核方的質(zhì)量體系進行咨詢。初訪的目的一為審核的可行性收集信息,二為制定審核計劃收集資料。一般由審核組長提出,認證機構(gòu)和受審核方協(xié)商決定,在受審核方認為合適的時機進行。預(yù)審的目的僅為確定受審核方是否做好正式審核的準備。一般由受審方提出,認證機構(gòu)與受審核方協(xié)商決定,在受審核方認為合適的時機進行。

??? 5. 編制審核計劃及檢查表

??? 認證機構(gòu)委派的審核組長根據(jù)文件審查或初訪或預(yù)審中得到的信息編制審核計劃,內(nèi)容主要包括:審核目的、范圍、依據(jù)、審核組成員、審核日期及審核日程安排(一般以小時為單位)。審核計劃會提前十天送交受審核方確認,受審核方如有意見,可據(jù)實向認證機構(gòu)提出。檢查表作為審核員自用的輔助工具,可提供給受審核方。

??? 6. 現(xiàn)場審核及審核報告

??? 現(xiàn)場審核由認證機構(gòu)派出的審核組(或委托的審核機構(gòu))按GB/T19021.1—ISO10011.1《質(zhì)量體系審核指南 審核》進行。現(xiàn)場審核主要有首次會議、收集證據(jù)、審核組內(nèi)部交流、與受審核方溝通、末次會議等環(huán)節(jié)。收集證據(jù)是一個抽樣的過程,通過與各類人員交談、查閱各類文件和記錄、觀察現(xiàn)場有關(guān)方面的工作來收集受審核方的質(zhì)量體系是否正常及有效運行的客觀證據(jù),對其中的不符合現(xiàn)象要編寫不符合報告,并提交受審核方確認;同時,在此基礎(chǔ)上,對受審核方的質(zhì)量體系做出正確評價,并做出是否推薦認證(注冊)
的結(jié)論,在末次會議上宣布。

??? 對現(xiàn)場審核中發(fā)現(xiàn)的不合格項,受審核方均應(yīng)采取糾正措施,并經(jīng)審核方跟蹤驗證其有效性后方可關(guān)閉。正式的審核報告一般在末次會議后提交,其中也包括跟蹤驗證糾正措施有效性的報告。(注:認證機構(gòu)進行現(xiàn)場審核前,要求受審核方至少完成一次內(nèi)部質(zhì)量體系審核及管理評審。對計算機軟件企業(yè)來說,更要注意在現(xiàn)場審核時應(yīng)能提供完整的設(shè)計控制實施的證據(jù)。

??? 7. 批準注冊及發(fā)證

??? 審核報告及相關(guān)資料一般由認證機構(gòu)的技術(shù)委員會進行審定,然后送認證機構(gòu)負責人審批,并作出是否準予注冊、頒證的決定。認證機構(gòu)向受審核方頒發(fā)帶有統(tǒng)一編號的印有認證機構(gòu)的認證標志和國家認可標志的質(zhì)量體系認證證書,證書有效期為三年,認證機構(gòu)對注冊的獲證企業(yè)以公告的形式定期向社會公布。質(zhì)量體系認證證書和標志不得使用在產(chǎn)品上或包裝物上。

??? 8. 證后監(jiān)督
??? 認證機構(gòu)在證書三年有效期內(nèi)要對獲證企業(yè)的質(zhì)量體系進行監(jiān)督審核,二次監(jiān)督審核之間不超過12個月,第一次監(jiān)督審核一般在獲證后半年左右進行。年度監(jiān)督審核的程序與第6項初次現(xiàn)場審核的程序相同,但所花的人·日數(shù)一般為初次現(xiàn)場審核的1/3。認證機構(gòu)在證書三年有效期內(nèi),還要對獲證企業(yè)的質(zhì)量體系變更及獲證企業(yè)正確使用證書和標志進行管理。

??? 目前,質(zhì)量體系認證已經(jīng)得到了越來越多的計算機軟件企業(yè)的重視,但在貫徹ISO9000族標準、建立和實施文件化的質(zhì)量體系時,希望計算機軟件企業(yè)特別重視各方面的問題。一是重視企業(yè)領(lǐng)導(dǎo)與全員質(zhì)量意識的提高;二是正確處理質(zhì)量體系文件與現(xiàn)有文件、資料之間的關(guān)系;三是結(jié)合軟件設(shè)計、開發(fā)的特點建立符合計算機軟件企業(yè)的質(zhì)量體系;四是貫徹ISO9000族標準。實施質(zhì)量體系認證僅是計算機軟件企業(yè)規(guī)范管理,提高軟件產(chǎn)品質(zhì)量的第一步。