第章服務外包質量管理體系

1、第8章 服務外包管理體系項目管理（Project Management,PM）風險管理（Risk Management）質量管理（Quality Management）人力資源管理（Human Resource Management, HRM）/outsourcing-manage/ /link?url=y6QnqtnFHEgpY8-SDILmFfbt1stC2odOiUdkADX42x8MIdHYYUkJok4rYxgU_KCw 8.1服務外包的項目管理8.1.1 項目管理概述1. 項目的概念項目是以滿足客戶需要為目標，復雜的、非常規(guī)的、一次性的工作，并受時間、預算、資源和績效要求的限制。第

2、一，項目有一個確定的目標。這些突然的目標都是組織日常事務中沒有的，也不是員工每天重復的那些工作。第二，因為有一個特定的目標，項目就有一個特定的開始端點，這與傳統(tǒng)工作的持續(xù)責任不同。在很多案例中，個人從一個項目到另一個項目，并不做同樣的工作。第三，不像組織中的工作根據(jù)不同職能劃分為不同的部門，項目需要各種各樣的專業(yè)人士的組合。不管是工程師、金融分析師、市場專家還是質量控制員，項目參與者不再需要在不同部門上班，而是在項目經(jīng)理的指導下，近距離工作來完成此項目。項目的第四個特點是非常規(guī)性和一些獨特的因素。這不是一個非此即彼的問題，而是一個程度的問題。很明顯，完成一個以前從未做過的事情，要求解決以前從未

3、解決的問題或尋求技術上的突破。最后，特定的時間、成本和績效要求約束著項目。項目通過完成了什么內容、花了多少錢及多少時間來評估。這三個約束給項目帶來比一般工作大得多的責任。同時，它們也指示出了項目管理的主要功能，即在時間、成本和績效中權衡，最終滿足客戶的要求。2.項目的特點（1）明確的目標任何投資都有明確的目標和要求，否則項目管理將是無的放矢。項目目標有約束性和成果性之分。約束性目標是限制性條件，即人們經(jīng)常提及的項目工期、成本、質量目標及要求。成果性目標是對項目的功能性要求，亦即整個項目最終的目標和要求，主要是指各種類型的效益目標。顯然，項目的約束性目標應該服從于項目的總目標。人們始終是圍繞著項

4、目的總目標，按照既定的約束和限制條件，去開展和進行工作的。（2）一次性一次性又稱單件性，是指項目作為一種組織形式和單次性任務，是非重復性工作，不可能成批地生產(chǎn)。就投資任務和最終結果而言，不存在兩個完全相同的項目。差異源于項目系統(tǒng)內外的影響因素太多，不確定性程度較大。投入物如果不同，產(chǎn)出物（主要是產(chǎn)品、副產(chǎn)品）就會有異，工藝流程和設備也會隨之變化。項目的一次性、非重復性決定了投資項目管理的特殊性和復雜性，決定了項目作為經(jīng)濟主體的組織形式和管理手段，只存在于某一段時間內。（3）獨特性每一個項目都有其獨特的存在形式，在空間上有一個特定的地理位置和明確的集中地區(qū)，從而使項目不能隨意挪動和輕易改變原有的

5、布局，這就是項目的固定特性，也就是獨特性。獨特性意味著項目與外界條件和周邊環(huán)境有緊密的聯(lián)系，也隱含著外界環(huán)境和條件的變化可能給項目帶來風險和種種不確定性。（4）開始和結束時間任何一個投資項目都有其特定的起點和終點，都是為了完成某種特定目標而由系列特殊活動組成的整體。（5）消費資源任一個投資項目從開始的那一刻到完成的那一刻，無不在消費著資源，包括人力資源和非人力資源?？梢韵胂蟮氖?，如果不消費一點點資源，項目是不是依然可以進行？可以說，資源是項目進行的基礎。（6）各方關系的協(xié)調項目不是單獨存在的，它不會漠視社會上的其他關系。一個項目的完成需要多方的努力，不是單單靠某一個或兩個部門可以完成的。這就需

6、要協(xié)調各方關系以及達到項目完成的要求。3. 項目的生命周期項目作為一種創(chuàng)造獨特產(chǎn)品與服務的一次性活動是有始有終的，項目從始至終的整個過程構成了一個項目的生命周期。美國項目管理協(xié)會認為：項目是分階段完成的一項獨特性的任務，一個組織在完成一個項目時會將項目劃分成一系列的項目階段，以便更好地管理和控制項目，更好地將組織的日常運作與項目管理結合在一起。項目的各個階段放在一起就構成了一個項目的生命周期。 （1）項目生命周期的內容項目生命周期包括下述幾個方面的主要內容。 = 1 * GB3 項目的時限，包括一個項目的起點和終點，以及一個項目各個階段的起點和終點。 = 2 * GB3 項目的階段，包括一個具

7、體項目主要階段的劃分和各個主要階段中具體階段的劃分。這種階段劃分將一個項目分解成一系列前后接續(xù)并且便于管理的項目階段。= 3 * GB3項目的任務，包括項目各個階段的主要任務和項目各階段主要任務中的主要活動等。= 4 * GB3項目的成果，項目生命周期同時還需要明確給出項目各階段的可交付成果，這同樣包括項目各個階段和項目各個階段中主要活動的成果。 （2）項目生命周期的特征項目生命周期確定了項目的開端和結束。例如，當一個組織看到了一次機遇，它通常會做一次可行性研究，以便決定是否應該就此設立一個項目。對項目生命周期的設定會明確這次可行性研究是否應該作為項目的第一個階段，還是作為一個獨立的項目。項目

8、生命周期的設定也決定了在項目結束時應該包括或不包括哪些過渡措施。通過這種方式，我們可以利用項目生命周期設定，將項目和執(zhí)行組織的連續(xù)性操作連接起來。大多數(shù)項目生命周期確定階段的前后順序通常會涉及一些技術轉移或轉讓，比如設計要求、操作安排、生產(chǎn)設計。在下階段工作開始前，通常需要驗收現(xiàn)階段的工作成果。但是，有時候后繼階段也會在它的前一階段工作成果通過驗收之前就開始了。當然要在由此所引起的風險是在可接受的范圍之內時才可以這樣做。這種階段的重疊在實踐中常常被稱為“快速跟進”。項目生命周期通常可以確定：= 1 * GB3每個階段所需做的技術性工作（如確定建筑師的工作是否是設計階段的一部分，或者是執(zhí)行階段的

9、一部分）；= 2 * GB3每個階段所涉及的人（如實時工程在識別需求和設計中需要涉及實際操作人員）。對于項目生命周期的說明可以是非常概括的，也可以是非常詳細的。高度詳細的說明可能會包含大量的表、圖和清單，以便于確定項目生命周期的結構，并確保其穩(wěn)定性。這種詳細說明的方法被稱為項目管理方法學。大多數(shù)項目生命周期的說明具有以下共同的特點。= 1 * GB3資源需求量變化：對資源的需求最初比較少，在向后發(fā)展的過程中需要越來越多，當項目要結束時又會減少。我們可以從圖8.1中看到這一變化。開始 開始 時間 結束 成本和工作人員需求結束階段中間階段（一個或更多）起始階段圖8.1 生命周期的一般樣板= 2 *

10、 GB3在項目開始時，成功的概率是最低的，而風險和不確定性是最高的。隨著項目逐步地向前發(fā)展，成功的可能性也越來越高。= 3 * GB3在項目起始階段，項目涉及人員的能力對項目產(chǎn)品的最終特征和最終成本的影響力是最大的，隨著項目的進行，這種影響力逐漸減弱。這主要是由于隨著項目的逐步發(fā)展，投入的成本在不斷增加，而出現(xiàn)的錯誤也不斷得以糾正。我們要注意區(qū)分項目的生命周期和產(chǎn)品的生命周期。盡管許多項目生命周期由于包含類似的工作任務而具有類似的階段名稱，但很少含有完全相同的情況，大多數(shù)項目被劃分為45個階段，但也有一些被劃分為9個或更多的階段。甚至在同一應用領域中項目階段的劃分都可能會明顯不同某個組織的軟件

11、開發(fā)的生命周期中也許只有一個設計階段，而另一個組織則可能會將設計階段分為基本功能設計與細節(jié)設計兩個不同的階段。項目的子項目可能也會有清晰的生命周期。（3）項目生命周期的說明與描述項目生命周期的說明與描述既可以是一般性文字說明，也可能是比較詳細的具體描述。包括文字、圖、表以及核檢表等方式。項目的生命周期可以分為4個階段，也可以分為5個、10個甚至更多階段。最為典型的項目生命周期是由圖8.2給出的4階段項目生命周期。= 1 * GB3項目概念階段。項目的發(fā)起是為了滿足某種需要或解決某種難題。項目的第一階段就是對這些需求、難題的識別、發(fā)展和確認，并進而確定立項予以解決。這個階段的工作主要如下。a.識

12、別機遇、需求和目標。b.調查研究、收集數(shù)據(jù)，進行可行性研究。c.擬定戰(zhàn)略方案，撰寫項目建議書。d.任命項目經(jīng)理，識別項目利益相關者，組建項目團隊。概念階段：概念階段：概念確定項目立項可行性研究項目批準設計階段：初步設計費用和進度合同條款詳細設計實施階段：項目團體項目實施項目監(jiān)理項目控制收尾階段：項目結束文檔整理項目交接項目評估項目通過決策項目合同簽訂項目主體完成項目整體完成時間資源投入圖8.2 生命周期圖項目設計階段。項目生命周期的第二階段，是提出滿足需求、解決問題的方案。這個時候項目組織會在第一階段可行性研究的基礎上，針對客戶或市場的需求，提出具體的解決問題的方案，并詳細估計所需資源的種類、

13、數(shù)量及所需花費的時間和成本。這一階段的工作包括： a.確定目標； b.界定范圍； c.分解工作并排序；d.預算成本，提出資源計劃；e.人員分工；f.建立質量管理體系；g.識別風險。= 3 * GB3項目實施階段。項目生命周期的第三階段是具體實施在第二階段制定的解決問題的方案，并促使項目目標的最終實現(xiàn)，使客戶對于按時在預算內高質量地完成整個工作感到滿意。具體包括：a.執(zhí)行項目工作計劃；b.采購產(chǎn)品或服務；c.控制進度、費用、質量、安全和范圍變更；d.進行信息溝通；e.平衡項目沖突、解決項目問題；f.進行階段性評審；g.合同管理。= 4 * GB3項目收尾階段。項目收尾階段包括范圍確認，質量驗收，

14、費用決算與審計，項目資料整理、歸檔與驗收，項目交接與清算，項目審計，項目評估。a.項目生命周期的資源和任務分配狀況無論項目自身的特點是什么，項目的完成都有一個由項目的初選、準備、評估決策、建設實施、投產(chǎn)使用和總結評價等有序階段組成的周期，亦即項目周期。項目周期及其各個有序的發(fā)展階段是客觀存在的，對所有項目都是相同的，即使有所差異也不大。按照項目周期理論，每個項目從始至終都要經(jīng)歷有序的各個環(huán)節(jié)，亦即一個循環(huán)，每循環(huán)一次就是項目的一個周期，期間各有序階段依次相互銜接：由前一個階段導向下一個階段，前一階段的結束意味著下一階段的開始；一個項目即將完成，其最后一個階段又將產(chǎn)生新的設想和意向，以至于引起新

15、的項目的接續(xù)，從而使項目周期周而復始、不斷循環(huán)并不斷更新。項目周期的循環(huán)周轉不是孤立存在的，它要受項目自身局部目標（如建設工期、質量及成本等）和最終的整體效益目標的約束，也受制于宏觀環(huán)境（如政治、經(jīng)濟和法律環(huán)境等）的發(fā)展和變化，而技術和產(chǎn)品周期也對項目周期有重要影響。每一種新產(chǎn)品都要從誕生走向成熟并逐漸退出市場，每一項新技術都有其創(chuàng)造發(fā)明、推廣應用、衰敗淘汰的過程。只要社會生產(chǎn)力不斷發(fā)展，新技術、新產(chǎn)品就將不斷涌現(xiàn)，生產(chǎn)力越發(fā)展，“推陳出新”的速度就越快，其對項目和項目周期的影響也越加顯著。項目生命周期的資源和任務分配狀況如圖8.3所示，項目前期研究工作時間通常為半年至2年。資金資源資金資源工

16、作任務O項目前期研究項目實施圖8.3 項目生命周期的資源和任務分配情況8.1.2項目管理知識體系本書參考美國項目管理協(xié)會（PMI）2004年頒發(fā)的第3版項目管理知識體系PM-BOK,以及2008年發(fā)布的第4版PMBOK DRAFT，按照美國項目管理協(xié)會提出的方法可以將其劃分為如下9個知識領域和42個項目管理過程，它們分別從不同的管理職能和領域描述了現(xiàn)代項目管理者需要的知識、方法、工具和技能，以及相應的管理實踐（圖8.4）1. 項目整體管理項目整體管理，介紹了將項目管理中各種不同要素綜合為整體的過程和活動，這些過程和活動在項目管理過程的范圍內識別、定義、組合、統(tǒng)一并協(xié)調。項目整體管理由下列項目管

17、理過程組成：制定項目章程、制定項目初步范圍說明書、制訂項目管理計劃、指導與管理項目執(zhí)行、監(jiān)控項目工作、整體變更控制盒項目收尾。2. 項目范圍管理項目范圍管理，項目應該包括成功地完成項目所需的全部工作，但又只包括完成項目所必需的工作，介紹了確保達到上述要求所執(zhí)行的諸過程。項目范圍管理由如下項目管理過程組成：范圍規(guī)劃、范圍定義、制作工作分解結構、范圍核實和范圍控制。圖8.4 項目管理3. 項目進度管理項目進度管理，介紹了確保項目按時完成所需的各項過程，包括活動定義、活動排序、活動資源估算、活動持續(xù)時間估算、制訂進度計劃以及進度控制。4. 項目費用管理項目費用管理，介紹了確保項目按照規(guī)定預算完成進行

18、的費用規(guī)劃、估算、預算的各項過程、項目費用管理由如下項目管理過程組成：費用估算、費用預算和費用控制。5. 項目質量管理項目質量管理，介紹了確保項目達到其既定質量要求所需實施的各項過程。項目質量管理由如下項目管理過程組成：質量規(guī)劃、實施質量保證和實施質量控制。6. 項目人力資源管理項目人力資源管理，介紹了組織和管理項目團隊的各個過程。項目人力資源管理由如下項目管理過程組成：人力資源規(guī)劃、項目團隊組建、項目團隊建設和項目團隊管理。7. 項目溝通管理項目溝通管理，介紹了為確保項目信息及時而恰當?shù)靥崛?、收集、傳輸、存儲和最終處置而需要實施的一系列過程。項目溝通管理由如下項目管理過程組成：溝通規(guī)劃、信息

19、發(fā)布、績效報告和項目干系人管理。8. 項目風險管理項目風險管理，介紹了與項目風險管理有關的過程。項目風險管理由如下項目管理過程組成：風險管理規(guī)劃、風險識別、定性風險分析、定量風險分析、風險應對規(guī)劃，以及風險監(jiān)控。9. 項目采購管理項目采購管理，介紹了采辦或取得產(chǎn)品、服務或成果，以及合同管理所需的各過程，項目采購管理由如下項目管理過程組成：采購規(guī)劃、采購合同、采購管理以及采購收尾。8.1.3項目管理的具體操作內容1. 服務外包企業(yè)的項目組織與溝通管理組織結構式反映生產(chǎn)要素相互結合的結構形式，即管理活動中各種職能的橫向分工與層次劃分。服務外包項目組織是為完成服務外包項目而建立的組織，一般也稱為服務

20、外包項目班子、服務外包項目管理班子、服務外包項目組等。一些大中型服務外包項目組織稱為服務外包項目經(jīng)理部，由于服務外包項目管理工作量很大，因此，服務外包項目組織專門履行管理功能，具體的技術工作由他人或其他組織承擔。而有些服務外包項目由于管理工作量不大，沒有必要單獨設立履行管理職責的班子，因此，其具體技術性工作和管理職能均由服務外包項目組織成員承擔。項目溝通管理（project communication management）包括為了確保項目信息及時適當?shù)漠a(chǎn)生、收集、傳播、保存和最終配置所必需的過程。項目溝通管理把成功所必需的因素人、想法和信息之間提供了一個關鍵連接。涉及項目的任何人都應準備以項

21、目“語言”發(fā)送和接收信息并且必需理解他們以個人身份參與的溝通怎樣影響整個項目。溝通就是信息交流。組織之間的溝通是指組織之間的信息傳遞。對于項目來說，要科學地組織、指揮、協(xié)調和控制項目的實施過程，就必須進行項目的信息溝通。好的信息溝通對項目的發(fā)展和人際關系得改善都有促進作用。項目溝通管理，就是為了確保項目信息合理收集和傳輸，以及最終處理所需實施的一系列過程。項目溝通管理具有復雜和系統(tǒng)的特征。項目溝通管理是由溝通計劃編制、信息發(fā)布、績效報告、管理收尾四部分組成。 2. 服務外包項目招投標管理招標投標是在市場經(jīng)濟條件下進行工程建設、貨物買賣、財產(chǎn)出租、中介服務等經(jīng)濟活動的一種競爭形式和交易方式，是引

22、入競爭機制、訂立合同（契約）的一種法律形式。招投標管理是招標人對工程建設、貨物買賣、勞務承擔等交易業(yè)務，事先公布選擇采購的條件和要求，招引他人承接，若干或眾多投標人做出愿意參加業(yè)務、承接競爭的意思表示，招標人按照規(guī)定的程序和辦法擇優(yōu)選定中標人的活動。服務外包項目在執(zhí)行之前，發(fā)包方應根據(jù)企業(yè)的實際需要采用公開招標或邀請招標向外做出招標通知。而 承包方為了競標在領取招標文件以后，就要進行投標文件的編制工作。 3. 服務外包項目可行性研究與評價可行性研究是確定服務外包項目目前具有決定性意義的工作，是在投資決策之前，對擬建服務外包項目進行全面技術經(jīng)濟分析的科學論證，在投資管理中，可行性研究是指對擬建項

23、目有關的自然、社會、經(jīng)濟、技術等進行調研、分析比較以及預測建成后的社會經(jīng)濟效益。在此基礎上，綜合論證項目建設的必要性，財務的盈利性，經(jīng)濟的合理性，技術的先進性和適應性，以及建設條件的可能性和可行性，從而為投資決策提供科學依據(jù)。服務外包項目可行性研究的作用：（1）可行性研究是建設服務外包項目投資決策和編制設計任務書的依據(jù)；（2）可行性研究是服務外包項目建設單位籌集資金的重要依據(jù)；（3）可行性研究是建設單位與各有關部門簽訂各種協(xié)議和合同的依據(jù)；（4）可行性研究是建設服務外包項目進行工程設計、施工、設備購置的重要依據(jù)；（5）可行性研究是向當?shù)卣?、?guī)劃部門和環(huán)境保護部門申請有關建設許可文件的依據(jù)；（

24、6）可行性研究是國家各級計劃綜合部門對固定資產(chǎn)投資實行調控管理、編制發(fā)展計劃、固定資產(chǎn)投資、技術改造投資的重要依據(jù)；（7）可行性研究是服務外包項目考核后評估的重要依據(jù)。服務外包項目可行性評價是指由項目決策部門組織有關專家或委托有資格的項目咨詢機構、貸款銀行（或單位）或有關專家，對上報的項目可行性研究報告進行全面審核和再評價工作。其目的是審查和判斷項目可行性研究的真實性、可靠性和客觀性，對擬建項目投資可行與否及對最佳投資方案的確定是否合理提出評估意見，編寫評估報告，作為項目投資最終審批決策的依據(jù)。 4. 服務外包項目進度管理合理地安排項目時間是服務外包項目管理中的一項關鍵內容，它的目的是保證按時

25、完成項目、合理分配資源、發(fā)揮最佳工作效率?！鞍磿r、保質地完成項目”大概是每一位項目經(jīng)理最希望做到的，但工期拖延的情況卻時有發(fā)生，因而合理地安排項目時間是項目管理中的一項關鍵內容。它的主要工作包括定義項目活動、任務、活動排序、每項活動的合理工期估算、制訂項目完整的進度計劃、資源共享分配、監(jiān)控項目進度等內容。進度管理工作開始以前應該完成服務外包項目管理工作中的范圍管理部分。如果只圖節(jié)省時間，把這些前期工作省略，后面的工作必然會走彎路，反而會耽誤時間。項目一開始首先要有明確項目目標、可交付產(chǎn)品的范圍定義文檔和項目的工作分解結構（WBS）。由于一些是明顯的、項目所必需的工作，而另一些則具有一定的隱蔽性

26、，所以要以經(jīng)驗會基礎，列出完整的完成項目所必需的工作，同時要有專家審定過程，以此為基礎才能制訂出可行的項目時間計劃，進行合理的進度管理。 5. 服務外包企業(yè)項目質量管理服務外包企業(yè)項目質量管理（project quality management）：其中質量通常是指產(chǎn)品的質量，廣義的還包括工作的質量。產(chǎn)品質量是指產(chǎn)品的使用價值及其屬性；而工作質量則是產(chǎn)品質量的保證它反映了與產(chǎn)品質量直接有關的工作對產(chǎn)品質量的保證程度，從項目作為一次性的活動來看，項目質量體現(xiàn)在由工作分解結構反映出的項目范圍內所有的階段、子項目、項目工作單元的質量所構成，也即項目的工作質量；從項目作為一項最終產(chǎn)品來看，項目質量體現(xiàn)

27、在其性能或者使用價值上，也即項目的產(chǎn)品質量。項目活動是應發(fā)包方的要求進行的，不同的發(fā)包方有著不同的質量要求，其意圖已反映在項目合同中。因此，項目質量除必須符合有關標準和法規(guī)外，還必須滿足項目合同條款的要求，項目合同是進行項目質量管理的主要依據(jù)之一。項目的特性決定了項目質量體系的構成。從供需關系來講，發(fā)包方是需方，要求參與項目活動的各承包商（設計方、施工方等）提供足夠的證據(jù)，建立滿意的供方質量保證體系；另一方面，項目的一次性、核算管理的統(tǒng)一性及項目目標的一致性均要求將項目范圍內的組織機構、職責、程序、過程和資源集成一個有機的整體，在其內部組織良好的質量控制及內部質量保證，從而構筑出項目的質量體系

28、。由于項目活動是一種特殊的物質生產(chǎn)過程，其生產(chǎn)組織特有的流動性、綜合性、勞動密集性及協(xié)作關系的復雜性，均增加了項目質量保證的難度。項目的質量管理主要是為了確保項目按照設計者規(guī)定的要求滿意地完成，它包括使整個項目的所有功能活動能夠按照原有的質量及目標要求得以實施，質量管理主要是依賴于質量計劃、質量控制、質量保證及質量改進所形成的質量保證系統(tǒng)來實現(xiàn)的。 6. 服務外包企業(yè)項目風險管理服務外包項目風險管理是指通過風險識別、風險分析和風險評價去認識服務外包項目的風險，并以此為基礎合理地使用各種風險應對措施、管理方法技術和手段，對項目的風險實行有效的控制，妥善地處理風險事件造成的不利后果，以最少的成本保

29、證項目總體實現(xiàn)的管理工作。（1）從項目的時間、質量和成本目標來看，風險管理和項目管理的目標是一致的，即通過風險管理來降低項目進度、質量和成本方面的風險，實現(xiàn)項目管理目標。（2）從項目范圍管理來看，項目范圍管理的主要內容包括界定項目范圍和對項目范圍變動的控制。通過界定項目范圍，可以使項目明確，將項目的任務細分為更具體、更便于管理的部分，避免遺漏而產(chǎn)生風險。在項目進行過程中，各種變更是不可避免的，變更會帶來某些新的不確定性，風險管理可以通過對風險的識別、分析來評價這些不確定性，從而向項目范圍管理提出任務。（3）從項目計劃的職能來看，風險管理為項目計劃的制訂提供了依據(jù)。項目計劃考慮的是未來，而未來必

30、然存在著不確定因素。風險管理的職能之一是減少項目整個過程中的不確定性，這有利于計劃的準確執(zhí)行。（4）從項目溝通控制的職能來看，項目溝通控制主要是對溝通體系進行監(jiān)控，特別要注意經(jīng)常出現(xiàn)誤解和矛盾的職能及組織間的接口，這些可以為風險管理提供信息；反過來，風險管理中的信息又可通過溝通體系傳輸給相應的部門和人員。（5）以項目實施過程來看，不少風險都是在項目實施過程中由潛在變?yōu)楝F(xiàn)實的。風險管理就是在風險分析的基礎上，擬定出具體的應對措施，以消除、緩和、轉移風險，利用有利機會避免產(chǎn)生新的風險。8.2服務外包的質量管理8.2.1服務外包的質量管理概述1. 質量管理的概念ISO9000:2000標準中對質量的

31、定義是“一組固有特性滿足要求的程度”ISO9000:2000標準中對服務的定義是“在供方和顧客接觸面上需要完成的至少一項活動的結果，并且通常是無形的”。服務外包質量即服務供應商提供的服務滿足發(fā)包商要求的程度，也是客戶感知到的外包服務的集合。由于服務具有無形性、異質化、易逝性以及不可分割性等特點，因此很難定義、具體衡量以及控制服務質量。但卻有一個共同點，即顧客是服務質量的唯一評價者。2. 質量管理的基本原則（1）體系管理原則任何一個組織，只有依據(jù)其實際環(huán)境條件和情況，策劃、建立和實施質量管理體系，運用體系管理原理時，才能實現(xiàn)其質量方針和質量目標，這就是質量管理的體系管理原則。建立質量體系是開展質

32、量管理工作的一種卓有成效的方法和手段。質量管理是企業(yè)管理的中心環(huán)節(jié)，其職能是質量方針、質量目標和質量職責的制定和實施，是對所有質量職能和活動的管理。質量體系是組織為實施質量方針、質量目標，在開展質量活動時的一種特定系統(tǒng)。全面質量管理的一切活動，都是以體系化的方式來進行的。質量體系使質量管理的組織、程序、資源等實現(xiàn)系統(tǒng)化、標準化和規(guī)范化，它為質量管理活動提供了一種方法，是質量管理活動的核心和載體、質量體系既要保證組織內部管理的需要，又要充分考慮提供外部質量保證的要求。（2）過程監(jiān)控原理所有質量工作都是通過過程完成的，質量管理要通過對過程的監(jiān)控來實現(xiàn)。任何一個組織都應該識別、組織、建立和管理活動過

33、程，只有這樣才能創(chuàng)造、改進和提供持續(xù)穩(wěn)定的質量。前面質量管理強調過程概念，并要求對產(chǎn)品全壽命周期全過程進行控制。ISO9000標準指出：“所有工作都是通過過程來完成的?！泵恳粋€過程都有輸入、輸出，輸出是過程的結果，過程本身應當是一種增值轉換。產(chǎn)品質量是產(chǎn)品實現(xiàn)一系列過程的結果。按照全面質量管理的要求，對產(chǎn)品質量的控制要通過對組織中各個過程的控制來實現(xiàn)，對企業(yè)的各個組成部分進行過程監(jiān)控，可以有效識別企業(yè)的冗余環(huán)節(jié)，保證企業(yè)產(chǎn)品的質量，還可以預防質量問題的產(chǎn)生。對過程的監(jiān)控，通常應從以下三個基本方面提出問題：= 1 * GB3過程是否被確定？控制過程的程序是否形成了文件？= 2 * GB3過程是否

34、充分展開并按要求貫徹實施？= 3 * GB3過程是否受控？在提供預期的結果方面，過程是否有效？（3）人本原理 產(chǎn)品質量、組織質量、體系質量及其組合的實體質量，歸根到底，需要人來管理，因此，人員的質量決定了產(chǎn)品的質量，組織管理人員管理水平高，工人技能好，全體人員質量意識強，則工作質量高，組織的產(chǎn)品質量也高。質量人才的培訓與教育是貫穿質量管理的重要基礎工作。提高人員質量，才能提高產(chǎn)品質量。高質量人才的形成絕不是天生的，也不是自然形成的，而要靠堅持不懈的質量培訓與教育。從最高管理者到基層員工，都要進行質量觀念與質量技術的教育，這才是提高企業(yè)質量水平的根本。3. 質量管理目標 外包公司作為一個專業(yè)的為

35、提升客戶滿意度而存在的組織，其自身的質量管理體系離不開清晰的目標管理。在ISO9001:2000國際質量管理體系中，這樣的目標管理思想體現(xiàn)為ISO9001所要求的質量目標管理必須圍繞著客戶滿意度和企業(yè)質量方針來設計和分解，以保證最終客戶滿意的實現(xiàn)。 外包組織質量管理的最終目標是實現(xiàn)客戶的滿意，而這個滿意是通過一系列質量目標的實現(xiàn)來達成的。通常來說，這樣的質量目標管理過程包括三個階段：目標的設置、實現(xiàn)目標過程的管理、總結與評估。（1）目標的設置 外包企業(yè)的質量目標通常根據(jù)需求主體的不同分為兩類。一類是外包企業(yè)自己制定的基礎目標，即企業(yè)目標；另一類是針對每個客戶具體的服務項目而提出的項目質量目標，

36、一般體現(xiàn)在客戶服務標準協(xié)議中。這兩種不同的目標相互補充。在一些沒有明確質量目標的項目中，服務質量需達到企業(yè)目標。而客戶在服務標準中明確提出的質量目標則作為服務的質量標準及品質部門監(jiān)控的標準。這兩者之間，可能是企業(yè)要求的目標更高，也可能是客戶針對不同的服務類別要求，提出了高于企業(yè)要求的質量目標，這就要求外包企業(yè)需根據(jù)客戶的明確要求，制定專門的質量計劃或質量方案，以保證客戶目標的實現(xiàn)。目標的設置為外包企業(yè)質量管理的實施設定了最基礎的監(jiān)控標準。（2）實現(xiàn)目標過程的管理 質量目標的實現(xiàn)是通過一系列的相互銜接、相互作用的過程來實現(xiàn)的。沒有過程的嚴格控制，就不可能實現(xiàn)質量目標。過程管理所涉及的范圍是非常廣

37、泛的。就外包企業(yè)的質量管理體系而言，從客戶需求識別到與客戶簽訂服務合同，從項目運營方案涉及到業(yè)務人員招聘培訓，從現(xiàn)場管理到服務質量監(jiān)控等，這一系列的過程無不關系到最終質量目標的實現(xiàn)。不少外包企業(yè)在這些過程中都建立了或多或少的管理規(guī)范，但把這些過程都納入質量管理體系的范圍內，并進行系統(tǒng)監(jiān)控的并不多。多數(shù)外包企業(yè)所謂的質量管理，僅僅是對客戶代表過程的監(jiān)控。外包企業(yè)要想提升最終的客戶滿意度，全面的目標過程管理或許是一個很好的改進方向。（3）總結與評估 質量目標是一個不斷提高與改進的過程，只有如此才能持續(xù)滿足客戶日益提升的服務需求。目標的提升與改進有賴于對目標實現(xiàn)的過程與結果進行不斷的總結和評估，總結

38、和評估的方式有很多，定期的書面質檢報告、與運營部門完成質量目標總結與評估的方式。通過質量目標實現(xiàn)過程的總結與評估，外包企業(yè)才能不斷地提高服務質量，提升客戶滿意度。8.2.2 國際通行的質量標準簡介1. ISO9000認證ISO9000認證是指質量管理體系標準，它不是指一個標準，而是一族標準的統(tǒng)稱。ISO9000是國際標準化組織（ISO）發(fā)布的12000多個標準中最暢銷、最普遍的產(chǎn)品。ISO9000認證標準是ISO在1987年提出的概念，主要參照了英國BS5750質量標準，是指由ISO/TC176（國際標準化組織質量管理和質量保證技術委員會）制定的國際標準。國際標準化組織（Internation

39、al Organization for Standardization）簡稱ISO，是世界上最主要的非政府間國際標準化機構，是國際標準化領域中一個十分重要的組織。該組織的目的是促進全球范圍內的標準化及其有關活動，以利于國際貿易的交流，并拓展在知識、科學、技術和經(jīng)濟方面的合作，以促進產(chǎn)品和服務貿易的全球化。ISO組織制定的各項國際標準在全球范圍內得到了該組織的100多個成員國家和地區(qū)的認可。質量保證標準，誕生于美國軍品使用的軍標。二次世界大戰(zhàn)后，美國國防部吸取二次世界大戰(zhàn)中軍品質量優(yōu)劣的經(jīng)驗和教訓，決定在軍火和軍需品訂貨中實行質量保證，即供方在生產(chǎn)所訂購的貨品中，不但要按需方提出的技術要求保證產(chǎn)

40、品實物質量，而且要按訂貨時提出的且已訂入合同中的質量保證條款要求去控制質量，并在提交貨品時提交控制質量的證實文件。這種辦法促使承包商進行全面的質量管理，取得了極大地成功。1978年以后，質量保證標準被引用到民品訂貨中來，英國制訂了一套質量保證標準，即BS5750。隨后歐美很多國家，為了適應供需雙方實行質量保證標準對質量管理提出的新要求，在總結多年質量管理實踐的基礎上，相繼制訂了質量管理標準和實施細則。ISO/TC176技術委員會是ISO為了適應國際貿易往來中民品訂貨采用質量保證做法的需要而成立的，該技術委員會在總結和參照世界有關國家標準和實踐經(jīng)驗的基礎上，通過廣泛協(xié)商，于1987年發(fā)布了世界上

41、第一個質量管理和質量保證系列國際標準ISO9000系列標準。該標準的誕生是世界范圍質量管理和質量保證工作的一個新紀元，對推動世界各國工業(yè)企業(yè)的質量管理和供需雙方的質量保證，促進國際貿易交往起到了很好的作用。隨著國際貿易的發(fā)展，特別是服務業(yè)在世界經(jīng)濟中所占的比重越來越大，ISO/TC176分別于1994年、2000年對ISO9000質量管理標準進行了兩次全面的修訂。由于該標準吸收了國際上先進的質量管理理念，采用PDCA循環(huán)的科學程序，對于產(chǎn)品和服務的供需雙方具有很強的實踐性和指導性。所以，該標準一經(jīng)問世，立即得到世界各國的普遍歡迎，到目前為止，世界已有70多個國家和地區(qū)直接采用或等同轉為相應國家

42、標準，有50多個國家建立質量體系認證、注冊機構，形成了世界范圍內的慣標和認證熱。ISO組織最新頒布的ISO9000:2000系列標準，現(xiàn)在最新標準為2008年執(zhí)行標準，有四個核心標準：（1）ISO9000:2005 質量管理體系基礎和術語；（2）ISO9001:2008 質量管理體系要求；（3）ISO9004:2009 質量管理體系業(yè)績改進指南；（4）ISO19011:2002 質量和（或）環(huán)境管理體系審核指南。2. SAS70審計標準SAS70是由美國會計師協(xié)會（AICPA）制定，針對金融服務機構向客戶提供服務的內部控制、安全保障、稽核監(jiān)督措施的審計標準。美國獨立審計準則體系包括公認審計準則

43、（GAAS，相當于我國的基本準則）、審計準則說明書（SAS，相當于我國的具體審計準則）及審計準則解釋（對準則有關問題的解答）。從其內容來看，雖然GAAS和SAS是指導注冊會計師執(zhí)業(yè)的權威性標準，雖然公認審計標準和審計標準說明書是審計人員的權威性的指導文獻，但是，它們所提供的指導卻比人們所希望的要少。審計標準說明書中幾乎沒有要求執(zhí)行的具體審計手續(xù)，也沒有對審計人員的各種決策，如確定樣本量，選取抽查項目和評價抽樣結果等提出具體要求。很多審計人員認為，審計標準應當對如何決定應收集的審計證據(jù)數(shù)量，作出更明確、更具體的規(guī)定，以減少審計決策的困難，并保護審計人員免受“審計不當”的指責。然而，要求過于具體將

44、使審計工作由一項專業(yè)判斷性工作變成一項機械的證據(jù)收集工作。所以，美國審計準則委員會從審計職業(yè)和審計服務對象兩個方面意見綜合考慮，過于具體的權威性指南比過于抽象的權威性指南恐怕危害更大。因此，審計人員應該明確，公認審計標準和審計標準說明書是執(zhí)行業(yè)務的最低標準而不是最高標準或理想的標準。如果審計人員不顧具體情況，僅僅根據(jù)標準就縮小審計的范圍，那他就根本沒有把握標準的精神。同時建立審計標準也并不意味著審計人員任何時候都要盲目照搬照抄。如果審計人員認為某一標準的要求不切實際或不能執(zhí)行，他完全可以采用一個變通的行動方案。同理，如果某個有問題的事項金額不大，也無需死守有關標準。需著重強調的是，是否違背審計

45、標準，需要審計人員自己去判斷。從審計質量的角度考察，雖然審計準則是最佳的審計實務，但它并不意味遵守審計準則就達到了最高的審計質量，而且達到了保證審計質量的最起碼要求。由于“職業(yè)謹慎”的法律概念和職業(yè)概念有時也會不一致。原因主要有兩方面：一是環(huán)境變化了，審計準則沒有作出相應的調整和修改；二是審計準則還有不完整或不完善的地方，即對某些審計實務例如某些特殊待業(yè)的財務報表的審計未提出明確的要求和判定準則。審計準則的這些缺陷影響了其作為衡量審計責任的最高標準的地位，正如1970年英國新南威爾士高級法庭的判決所說的：“在審查帳戶時保持合理的關注和技能作為一種法律責任一直沒變，但是審計中的合理性和技能必須考

46、慮變化的環(huán)境，并應隨環(huán)境的變化而變化。合理的關注和技能要求不斷修訂審計準則以滿足和適應變化了的環(huán)境。3. CMM/CMMI認證CMM認證是由美國軟件工程學會（SEI）制定的一套專門針對軟件產(chǎn)品的質量管理和質量保證標準. CMM全稱為Capability Maturity Model，中文名稱為能力成熟度模型。CMM認證最早始于1987年,為了滿足美國聯(lián)邦政府評估軟件供應商能力的要求,美國卡內基-梅隆大學的軟件工程研究學院SEI牽頭,發(fā)布了一份能力成熟框架（Capability Maturity Framework）以及一個成熟度問卷（Maturity Questionnaire）。1991年，

47、SEI將成熟度框架進化為軟件能力成熟度模型（Capability Maturity Model For Software,簡稱SW-CMM,即CMM1.0）。在過去的十幾年中，CMM認證對全球的軟件產(chǎn)業(yè)產(chǎn)生了非常深遠的影響。CMM共有五個等級，分別標志著軟件企業(yè)能力成熟度的五個層次。從低到高，軟件開發(fā)生產(chǎn)計劃精度逐級升高，單位工程生產(chǎn)周期逐級縮短，單位工程成本逐級降低。據(jù)SEI統(tǒng)計，通過評估的軟件公司對項目的估計與控制能力約提升40%到50%；生產(chǎn)率提高10%到20%，軟件產(chǎn)品出錯率下降超過1/3。對一個軟件企業(yè)來說，達到CMM2就基本上進入了規(guī)模開發(fā)，基本具備了一個現(xiàn)代化軟件企業(yè)的基本架構和

48、方法，具備了承接外包項目的能力。CMM3評估則需要對大軟件集成的把握，包括整體架構的整合。一般來說，通過CMM認證的級別越高，其越容易獲得用戶的信任，在國內、國際市場上的競爭力也就越強。因此，是否能夠通過CMM認證也成為國際上衡量軟件企業(yè)工程開發(fā)能力的一個重要標志。CMM是目前世界公認的軟件產(chǎn)品進入國際市場的通行證，它不僅僅是對產(chǎn)品質量的認證，更是一種軟件過程改善的途徑。參與CMM評估的博科公司負責人表示，通過CMM的評估認證不僅僅是目標，它只是推動軟件企業(yè)在產(chǎn)品的研發(fā)、生產(chǎn)、服務和管理上不斷成熟和進步的手段，是一種持續(xù)提升和完善企業(yè)自身能力的過程。如果一家公司最終通過CMMI的評估認證，標志

49、著該公司在質量管理的能力已經(jīng)上升到一個新的高度。CMM認證的評估方法是CBA-IPI方法(即CMM-Based Assessment for Internal Process Improvement)。CBA-IPI方法是一種診斷工具，它借助識別其現(xiàn)行過程的優(yōu)劣使一個組織能了解其軟件開發(fā)能力，把這些優(yōu)缺點與CMM對照起來，安排軟件改進計劃的優(yōu)先順序，并把注意力集中關注到最有利的軟件改進上，以及給出其現(xiàn)行過程的成熟度等級和業(yè)務目標；此方法是受過培訓的專業(yè)組對組織的軟件過程能力作出評估，該組全體人員作為一個團隊一起對評估范圍內的CMM關鍵過程域進行評估和評分。此評估結果是依據(jù)所采集的數(shù)據(jù)作出的，這

50、些數(shù)據(jù)來自問卷回答、文檔審核、陳述以及與中層經(jīng)理、項目負責人和軟件專業(yè)人員的深層訪談。CMMI全稱是Capability Maturity Model Integration，即軟件能力成熟度模型集成。CMMI家族包括CMMI for Development，CMMI for Service和CMMI for Acquisition三個套裝產(chǎn)品。自從1994 年SEI 正式發(fā)布軟件CMM以來，相繼又開發(fā)出了系統(tǒng)工程、軟件采購、人力資源管理以及集成產(chǎn)品和過程開發(fā)方面的多個能力成熟度模型。雖然這些模型在許多組織都得到了良好的應用，但對于一些大型軟件企業(yè)來說，可能會出現(xiàn)需要同時采用多種模型來改進自己

51、多方面過程能力的情況。這時他們就會發(fā)現(xiàn)存在一些問題，其中主要問題體現(xiàn)在：不能集中其不同過程改進的能力以取得更大成績；要進行一些重復的培訓、評估和改進活動，因而增加了許多成本；不同模型中會遇到有一些對相同事物說法不一致，或活動不協(xié)調，甚至相抵觸的情況。于是，希望整合不同CMM 模型的需求產(chǎn)生了。1997年，美國聯(lián)邦航空管理局（FAA）開發(fā)了FAA-iCMMSM（聯(lián)邦航空管理局的集成CMM），該模型集成了適用于系統(tǒng)工程的SE-CMM、軟件獲取的SA-CMM和軟件的SW-CMM三個模型中的所有原則、概念和實踐。該模型被認為是第一個集成化的模型。CMMI認證的評估方法是：SCAMPI方法（即Stand

52、ard CMMI Appraisal Method for Process Improvement），SCAMPI評估方法是一種診斷工具，支持和推動組織對過程改進承諾。通過確認組織和一個或多個CMMI模型相關的現(xiàn)有過程的強、弱項，SCAMPI能夠幫助組織對它自身的過程能力或組織成熟度有一個全面的了解。CMMI 模型的前身是 SW-CMM 和 SE-CMM，前者就是我們指的CMM。CMMI與SW-CMM的主要區(qū)別就是覆蓋了許多領域；到目前為止包括四個下面領域：（1）軟件工程（SW-CMM）。軟件工程的對象是軟件系統(tǒng)的開發(fā)活動，要求實現(xiàn)軟件開發(fā)、運行、維護活動系統(tǒng)化、制度化、量化。（2）系統(tǒng)工程（

53、SE-CMM）。系統(tǒng)工程的對象是全套系統(tǒng)的開發(fā)活動，可能包括也可能不包括軟件。系統(tǒng)工程的核心是將客戶的需求、期望和約束條件轉化為產(chǎn)品解決方案，并對解決方案的實現(xiàn)提供全程的支持。（3）集成的產(chǎn)品和過程開發(fā)（IPPD-CMM）。集成的產(chǎn)品和過程開發(fā)是指在產(chǎn)品生命周期中，通過所有相關人員的通力合作，采用系統(tǒng)化的進程來更好地滿足客戶的需求、期望和要求。如果項目或企業(yè)選擇IPPD進程，則需要選用模型中所有與IPPD相關的實踐。（4）采購（SS-CMM）。采購的內容適用于那些供應商的行為對項目的成功與否起到關鍵作用的項目。主要內容包括：識別并評價產(chǎn)品的潛在來源、確定需要采購的產(chǎn)品的目標供應商、監(jiān)控并分析供

54、應商的實施過程、評價供應商提供的工作產(chǎn)品以及對供應協(xié)議很供應關系進行適當?shù)恼{整。在以上模塊中，企業(yè)可以分別選擇軟件工程或系統(tǒng)工程，也可以兩者都選擇。集成的產(chǎn)品和過程開發(fā)和采購主要是配合軟件工程和系統(tǒng)工程的內容使用。例如，純軟件企業(yè)可以選擇CMMI中的軟件工程的內容；設備制造企業(yè)可以選擇系統(tǒng)工程和采購；集成的企業(yè)可以選擇軟件工程、系統(tǒng)工程和集成的產(chǎn)品和過程開發(fā)。CMMI中的大部分內容是適用各不同領域的，但是實施中會有顯著的差別，因此模型中提供了不同領域應用詳解。另外，CMMI 模型中比CMM 進一步強化了對需求的重視。在CMM 中，關于需求只有需求管理這一個關鍵過程域，也就是說，強調對有質量的需

55、求進行管理，而如何獲取需求則沒有提出明確的要求。在CMMI的階段模型中，3 級有一個獨立的關鍵過程域叫做需求開發(fā)，提出了對如何獲取優(yōu)秀的需求的要求和方法。CMMI 模型對工程活動進行了一定的強化。在CMM中，只有3級中的軟件產(chǎn)品工程和同行評審兩個關鍵過程域是與工程過程密切相關的，而在CMMI中，則將需求開發(fā)，驗證，確認，技術解決方案，產(chǎn)品集成這些工程過程活動都作為單獨的關鍵過程域進行了要求，從而在實踐上提出了對工程的更高要求和更具體的指導。CMMI中還強調了風險管理。不像在CMM 中把風險的管理分散在項目計劃和項目跟蹤與監(jiān)控中進行要求，CMMI3級里單獨提出了一個獨立的關鍵過程域叫做風險管理。

56、4. ISO27001標準（1）ISO27001標準的內容及效益ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。標準指出“像其他重要業(yè)務資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業(yè)務連續(xù)性，使業(yè)務受到損害的風險減至最小，使投資回報和業(yè)務機會最大。信息安全是通過實現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組

57、織的特定安全目標。ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO 17799進行了修訂，修訂后的標準作為ISO 27000標準族的第一部分ISO/IEC 27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯(lián)性邏輯性更好，更適合應用；并修改了部分控制措施措辭。修改后的標準包括11個章節(jié)：安全策略信息安全的組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制系

58、統(tǒng)采集、開發(fā)和維護信息安全事故管理業(yè)務連續(xù)性管理符合性ISO27001標準的效益通過定義、評估和控制風險，確保經(jīng)營的持續(xù)性和能力減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任通過遵守國際標準提高企業(yè)競爭能力，提升企業(yè)形象明確定義所有組織的內部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失建立安全工具使用方針謹防技術訣竅的丟失在組織內部增強安全意識可作為公共會計審計的證據(jù)（2）ISO27001認證要求與其他管理標準ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統(tǒng)和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織

59、可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質量管理的經(jīng)驗舉足輕重。但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經(jīng)濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權，才能為認證組織提供認證服務，并發(fā)放認證證書。大多數(shù)國家都有自己的國家鑒定機構（比

60、如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。任何一個ISMS體系的建立和開發(fā)都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業(yè)務模式、運營目標、形象特點和內部文化，他們對待風險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構組織對于既有風險防護的投入也參差不齊?；谝陨匣蛘咂渌颍總€運行ISMS的組織，其內部成員必須對風險評估有一個共識，這個風險評估的方法論、結果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。ISMS項目很復雜，可能持續(xù)若干個月甚至若干年，涉及整個機構組織以及