第章服務(wù)外包質(zhì)量管理體系

1、第8章 服務(wù)外包管理體系項目管理（Project Management,PM）風(fēng)險管理（Risk Management）質(zhì)量管理（Quality Management）人力資源管理（Human Resource Management, HRM）/outsourcing-manage/ /link?url=y6QnqtnFHEgpY8-SDILmFfbt1stC2odOiUdkADX42x8MIdHYYUkJok4rYxgU_KCw 8.1服務(wù)外包的項目管理8.1.1 項目管理概述1. 項目的概念項目是以滿足客戶需要為目標(biāo)，復(fù)雜的、非常規(guī)的、一次性的工作，并受時間、預(yù)算、資源和績效要求的限制。第

2、一，項目有一個確定的目標(biāo)。這些突然的目標(biāo)都是組織日常事務(wù)中沒有的，也不是員工每天重復(fù)的那些工作。第二，因為有一個特定的目標(biāo)，項目就有一個特定的開始端點(diǎn)，這與傳統(tǒng)工作的持續(xù)責(zé)任不同。在很多案例中，個人從一個項目到另一個項目，并不做同樣的工作。第三，不像組織中的工作根據(jù)不同職能劃分為不同的部門，項目需要各種各樣的專業(yè)人士的組合。不管是工程師、金融分析師、市場專家還是質(zhì)量控制員，項目參與者不再需要在不同部門上班，而是在項目經(jīng)理的指導(dǎo)下，近距離工作來完成此項目。項目的第四個特點(diǎn)是非常規(guī)性和一些獨(dú)特的因素。這不是一個非此即彼的問題，而是一個程度的問題。很明顯，完成一個以前從未做過的事情，要求解決以前從未

3、解決的問題或?qū)で蠹夹g(shù)上的突破。最后，特定的時間、成本和績效要求約束著項目。項目通過完成了什么內(nèi)容、花了多少錢及多少時間來評估。這三個約束給項目帶來比一般工作大得多的責(zé)任。同時，它們也指示出了項目管理的主要功能，即在時間、成本和績效中權(quán)衡，最終滿足客戶的要求。2.項目的特點(diǎn)（1）明確的目標(biāo)任何投資都有明確的目標(biāo)和要求，否則項目管理將是無的放矢。項目目標(biāo)有約束性和成果性之分。約束性目標(biāo)是限制性條件，即人們經(jīng)常提及的項目工期、成本、質(zhì)量目標(biāo)及要求。成果性目標(biāo)是對項目的功能性要求，亦即整個項目最終的目標(biāo)和要求，主要是指各種類型的效益目標(biāo)。顯然，項目的約束性目標(biāo)應(yīng)該服從于項目的總目標(biāo)。人們始終是圍繞著項

4、目的總目標(biāo)，按照既定的約束和限制條件，去開展和進(jìn)行工作的。（2）一次性一次性又稱單件性，是指項目作為一種組織形式和單次性任務(wù)，是非重復(fù)性工作，不可能成批地生產(chǎn)。就投資任務(wù)和最終結(jié)果而言，不存在兩個完全相同的項目。差異源于項目系統(tǒng)內(nèi)外的影響因素太多，不確定性程度較大。投入物如果不同，產(chǎn)出物（主要是產(chǎn)品、副產(chǎn)品）就會有異，工藝流程和設(shè)備也會隨之變化。項目的一次性、非重復(fù)性決定了投資項目管理的特殊性和復(fù)雜性，決定了項目作為經(jīng)濟(jì)主體的組織形式和管理手段，只存在于某一段時間內(nèi)。（3）獨(dú)特性每一個項目都有其獨(dú)特的存在形式，在空間上有一個特定的地理位置和明確的集中地區(qū)，從而使項目不能隨意挪動和輕易改變原有的

5、布局，這就是項目的固定特性，也就是獨(dú)特性。獨(dú)特性意味著項目與外界條件和周邊環(huán)境有緊密的聯(lián)系，也隱含著外界環(huán)境和條件的變化可能給項目帶來風(fēng)險和種種不確定性。（4）開始和結(jié)束時間任何一個投資項目都有其特定的起點(diǎn)和終點(diǎn)，都是為了完成某種特定目標(biāo)而由系列特殊活動組成的整體。（5）消費(fèi)資源任一個投資項目從開始的那一刻到完成的那一刻，無不在消費(fèi)著資源，包括人力資源和非人力資源?？梢韵胂蟮氖牵绻幌M(fèi)一點(diǎn)點(diǎn)資源，項目是不是依然可以進(jìn)行？可以說，資源是項目進(jìn)行的基礎(chǔ)。（6）各方關(guān)系的協(xié)調(diào)項目不是單獨(dú)存在的，它不會漠視社會上的其他關(guān)系。一個項目的完成需要多方的努力，不是單單靠某一個或兩個部門可以完成的。這就需

6、要協(xié)調(diào)各方關(guān)系以及達(dá)到項目完成的要求。3. 項目的生命周期項目作為一種創(chuàng)造獨(dú)特產(chǎn)品與服務(wù)的一次性活動是有始有終的，項目從始至終的整個過程構(gòu)成了一個項目的生命周期。美國項目管理協(xié)會認(rèn)為：項目是分階段完成的一項獨(dú)特性的任務(wù)，一個組織在完成一個項目時會將項目劃分成一系列的項目階段，以便更好地管理和控制項目，更好地將組織的日常運(yùn)作與項目管理結(jié)合在一起。項目的各個階段放在一起就構(gòu)成了一個項目的生命周期。 （1）項目生命周期的內(nèi)容項目生命周期包括下述幾個方面的主要內(nèi)容。 = 1 * GB3 項目的時限，包括一個項目的起點(diǎn)和終點(diǎn)，以及一個項目各個階段的起點(diǎn)和終點(diǎn)。 = 2 * GB3 項目的階段，包括一個具

7、體項目主要階段的劃分和各個主要階段中具體階段的劃分。這種階段劃分將一個項目分解成一系列前后接續(xù)并且便于管理的項目階段。= 3 * GB3項目的任務(wù)，包括項目各個階段的主要任務(wù)和項目各階段主要任務(wù)中的主要活動等。= 4 * GB3項目的成果，項目生命周期同時還需要明確給出項目各階段的可交付成果，這同樣包括項目各個階段和項目各個階段中主要活動的成果。 （2）項目生命周期的特征項目生命周期確定了項目的開端和結(jié)束。例如，當(dāng)一個組織看到了一次機(jī)遇，它通常會做一次可行性研究，以便決定是否應(yīng)該就此設(shè)立一個項目。對項目生命周期的設(shè)定會明確這次可行性研究是否應(yīng)該作為項目的第一個階段，還是作為一個獨(dú)立的項目。項目

8、生命周期的設(shè)定也決定了在項目結(jié)束時應(yīng)該包括或不包括哪些過渡措施。通過這種方式，我們可以利用項目生命周期設(shè)定，將項目和執(zhí)行組織的連續(xù)性操作連接起來。大多數(shù)項目生命周期確定階段的前后順序通常會涉及一些技術(shù)轉(zhuǎn)移或轉(zhuǎn)讓，比如設(shè)計要求、操作安排、生產(chǎn)設(shè)計。在下階段工作開始前，通常需要驗收現(xiàn)階段的工作成果。但是，有時候后繼階段也會在它的前一階段工作成果通過驗收之前就開始了。當(dāng)然要在由此所引起的風(fēng)險是在可接受的范圍之內(nèi)時才可以這樣做。這種階段的重疊在實(shí)踐中常常被稱為“快速跟進(jìn)”。項目生命周期通?？梢源_定：= 1 * GB3每個階段所需做的技術(shù)性工作（如確定建筑師的工作是否是設(shè)計階段的一部分，或者是執(zhí)行階段的

9、一部分）；= 2 * GB3每個階段所涉及的人（如實(shí)時工程在識別需求和設(shè)計中需要涉及實(shí)際操作人員）。對于項目生命周期的說明可以是非常概括的，也可以是非常詳細(xì)的。高度詳細(xì)的說明可能會包含大量的表、圖和清單，以便于確定項目生命周期的結(jié)構(gòu)，并確保其穩(wěn)定性。這種詳細(xì)說明的方法被稱為項目管理方法學(xué)。大多數(shù)項目生命周期的說明具有以下共同的特點(diǎn)。= 1 * GB3資源需求量變化：對資源的需求最初比較少，在向后發(fā)展的過程中需要越來越多，當(dāng)項目要結(jié)束時又會減少。我們可以從圖8.1中看到這一變化。開始 開始 時間 結(jié)束 成本和工作人員需求結(jié)束階段中間階段（一個或更多）起始階段圖8.1 生命周期的一般樣板= 2 *

10、 GB3在項目開始時，成功的概率是最低的，而風(fēng)險和不確定性是最高的。隨著項目逐步地向前發(fā)展，成功的可能性也越來越高。= 3 * GB3在項目起始階段，項目涉及人員的能力對項目產(chǎn)品的最終特征和最終成本的影響力是最大的，隨著項目的進(jìn)行，這種影響力逐漸減弱。這主要是由于隨著項目的逐步發(fā)展，投入的成本在不斷增加，而出現(xiàn)的錯誤也不斷得以糾正。我們要注意區(qū)分項目的生命周期和產(chǎn)品的生命周期。盡管許多項目生命周期由于包含類似的工作任務(wù)而具有類似的階段名稱，但很少含有完全相同的情況，大多數(shù)項目被劃分為45個階段，但也有一些被劃分為9個或更多的階段。甚至在同一應(yīng)用領(lǐng)域中項目階段的劃分都可能會明顯不同某個組織的軟件

11、開發(fā)的生命周期中也許只有一個設(shè)計階段，而另一個組織則可能會將設(shè)計階段分為基本功能設(shè)計與細(xì)節(jié)設(shè)計兩個不同的階段。項目的子項目可能也會有清晰的生命周期。（3）項目生命周期的說明與描述項目生命周期的說明與描述既可以是一般性文字說明，也可能是比較詳細(xì)的具體描述。包括文字、圖、表以及核檢表等方式。項目的生命周期可以分為4個階段，也可以分為5個、10個甚至更多階段。最為典型的項目生命周期是由圖8.2給出的4階段項目生命周期。= 1 * GB3項目概念階段。項目的發(fā)起是為了滿足某種需要或解決某種難題。項目的第一階段就是對這些需求、難題的識別、發(fā)展和確認(rèn)，并進(jìn)而確定立項予以解決。這個階段的工作主要如下。a.識

12、別機(jī)遇、需求和目標(biāo)。b.調(diào)查研究、收集數(shù)據(jù)，進(jìn)行可行性研究。c.擬定戰(zhàn)略方案，撰寫項目建議書。d.任命項目經(jīng)理，識別項目利益相關(guān)者，組建項目團(tuán)隊。概念階段：概念階段：概念確定項目立項可行性研究項目批準(zhǔn)設(shè)計階段：初步設(shè)計費(fèi)用和進(jìn)度合同條款詳細(xì)設(shè)計實(shí)施階段：項目團(tuán)體項目實(shí)施項目監(jiān)理項目控制收尾階段：項目結(jié)束文檔整理項目交接項目評估項目通過決策項目合同簽訂項目主體完成項目整體完成時間資源投入圖8.2 生命周期圖項目設(shè)計階段。項目生命周期的第二階段，是提出滿足需求、解決問題的方案。這個時候項目組織會在第一階段可行性研究的基礎(chǔ)上，針對客戶或市場的需求，提出具體的解決問題的方案，并詳細(xì)估計所需資源的種類、

13、數(shù)量及所需花費(fèi)的時間和成本。這一階段的工作包括： a.確定目標(biāo)； b.界定范圍； c.分解工作并排序；d.預(yù)算成本，提出資源計劃；e.人員分工；f.建立質(zhì)量管理體系；g.識別風(fēng)險。= 3 * GB3項目實(shí)施階段。項目生命周期的第三階段是具體實(shí)施在第二階段制定的解決問題的方案，并促使項目目標(biāo)的最終實(shí)現(xiàn)，使客戶對于按時在預(yù)算內(nèi)高質(zhì)量地完成整個工作感到滿意。具體包括：a.執(zhí)行項目工作計劃；b.采購產(chǎn)品或服務(wù)；c.控制進(jìn)度、費(fèi)用、質(zhì)量、安全和范圍變更；d.進(jìn)行信息溝通；e.平衡項目沖突、解決項目問題；f.進(jìn)行階段性評審；g.合同管理。= 4 * GB3項目收尾階段。項目收尾階段包括范圍確認(rèn)，質(zhì)量驗收，

14、費(fèi)用決算與審計，項目資料整理、歸檔與驗收，項目交接與清算，項目審計，項目評估。a.項目生命周期的資源和任務(wù)分配狀況無論項目自身的特點(diǎn)是什么，項目的完成都有一個由項目的初選、準(zhǔn)備、評估決策、建設(shè)實(shí)施、投產(chǎn)使用和總結(jié)評價等有序階段組成的周期，亦即項目周期。項目周期及其各個有序的發(fā)展階段是客觀存在的，對所有項目都是相同的，即使有所差異也不大。按照項目周期理論，每個項目從始至終都要經(jīng)歷有序的各個環(huán)節(jié)，亦即一個循環(huán)，每循環(huán)一次就是項目的一個周期，期間各有序階段依次相互銜接：由前一個階段導(dǎo)向下一個階段，前一階段的結(jié)束意味著下一階段的開始；一個項目即將完成，其最后一個階段又將產(chǎn)生新的設(shè)想和意向，以至于引起新

15、的項目的接續(xù)，從而使項目周期周而復(fù)始、不斷循環(huán)并不斷更新。項目周期的循環(huán)周轉(zhuǎn)不是孤立存在的，它要受項目自身局部目標(biāo)（如建設(shè)工期、質(zhì)量及成本等）和最終的整體效益目標(biāo)的約束，也受制于宏觀環(huán)境（如政治、經(jīng)濟(jì)和法律環(huán)境等）的發(fā)展和變化，而技術(shù)和產(chǎn)品周期也對項目周期有重要影響。每一種新產(chǎn)品都要從誕生走向成熟并逐漸退出市場，每一項新技術(shù)都有其創(chuàng)造發(fā)明、推廣應(yīng)用、衰敗淘汰的過程。只要社會生產(chǎn)力不斷發(fā)展，新技術(shù)、新產(chǎn)品就將不斷涌現(xiàn)，生產(chǎn)力越發(fā)展，“推陳出新”的速度就越快，其對項目和項目周期的影響也越加顯著。項目生命周期的資源和任務(wù)分配狀況如圖8.3所示，項目前期研究工作時間通常為半年至2年。資金資源資金資源工

16、作任務(wù)O項目前期研究項目實(shí)施圖8.3 項目生命周期的資源和任務(wù)分配情況8.1.2項目管理知識體系本書參考美國項目管理協(xié)會（PMI）2004年頒發(fā)的第3版項目管理知識體系PM-BOK,以及2008年發(fā)布的第4版PMBOK DRAFT，按照美國項目管理協(xié)會提出的方法可以將其劃分為如下9個知識領(lǐng)域和42個項目管理過程，它們分別從不同的管理職能和領(lǐng)域描述了現(xiàn)代項目管理者需要的知識、方法、工具和技能，以及相應(yīng)的管理實(shí)踐（圖8.4）1. 項目整體管理項目整體管理，介紹了將項目管理中各種不同要素綜合為整體的過程和活動，這些過程和活動在項目管理過程的范圍內(nèi)識別、定義、組合、統(tǒng)一并協(xié)調(diào)。項目整體管理由下列項目管

17、理過程組成：制定項目章程、制定項目初步范圍說明書、制訂項目管理計劃、指導(dǎo)與管理項目執(zhí)行、監(jiān)控項目工作、整體變更控制盒項目收尾。2. 項目范圍管理項目范圍管理，項目應(yīng)該包括成功地完成項目所需的全部工作，但又只包括完成項目所必需的工作，介紹了確保達(dá)到上述要求所執(zhí)行的諸過程。項目范圍管理由如下項目管理過程組成：范圍規(guī)劃、范圍定義、制作工作分解結(jié)構(gòu)、范圍核實(shí)和范圍控制。圖8.4 項目管理3. 項目進(jìn)度管理項目進(jìn)度管理，介紹了確保項目按時完成所需的各項過程，包括活動定義、活動排序、活動資源估算、活動持續(xù)時間估算、制訂進(jìn)度計劃以及進(jìn)度控制。4. 項目費(fèi)用管理項目費(fèi)用管理，介紹了確保項目按照規(guī)定預(yù)算完成進(jìn)行

18、的費(fèi)用規(guī)劃、估算、預(yù)算的各項過程、項目費(fèi)用管理由如下項目管理過程組成：費(fèi)用估算、費(fèi)用預(yù)算和費(fèi)用控制。5. 項目質(zhì)量管理項目質(zhì)量管理，介紹了確保項目達(dá)到其既定質(zhì)量要求所需實(shí)施的各項過程。項目質(zhì)量管理由如下項目管理過程組成：質(zhì)量規(guī)劃、實(shí)施質(zhì)量保證和實(shí)施質(zhì)量控制。6. 項目人力資源管理項目人力資源管理，介紹了組織和管理項目團(tuán)隊的各個過程。項目人力資源管理由如下項目管理過程組成：人力資源規(guī)劃、項目團(tuán)隊組建、項目團(tuán)隊建設(shè)和項目團(tuán)隊管理。7. 項目溝通管理項目溝通管理，介紹了為確保項目信息及時而恰當(dāng)?shù)靥崛?、收集、傳輸、存儲和最終處置而需要實(shí)施的一系列過程。項目溝通管理由如下項目管理過程組成：溝通規(guī)劃、信息

19、發(fā)布、績效報告和項目干系人管理。8. 項目風(fēng)險管理項目風(fēng)險管理，介紹了與項目風(fēng)險管理有關(guān)的過程。項目風(fēng)險管理由如下項目管理過程組成：風(fēng)險管理規(guī)劃、風(fēng)險識別、定性風(fēng)險分析、定量風(fēng)險分析、風(fēng)險應(yīng)對規(guī)劃，以及風(fēng)險監(jiān)控。9. 項目采購管理項目采購管理，介紹了采辦或取得產(chǎn)品、服務(wù)或成果，以及合同管理所需的各過程，項目采購管理由如下項目管理過程組成：采購規(guī)劃、采購合同、采購管理以及采購收尾。8.1.3項目管理的具體操作內(nèi)容1. 服務(wù)外包企業(yè)的項目組織與溝通管理組織結(jié)構(gòu)式反映生產(chǎn)要素相互結(jié)合的結(jié)構(gòu)形式，即管理活動中各種職能的橫向分工與層次劃分。服務(wù)外包項目組織是為完成服務(wù)外包項目而建立的組織，一般也稱為服務(wù)

20、外包項目班子、服務(wù)外包項目管理班子、服務(wù)外包項目組等。一些大中型服務(wù)外包項目組織稱為服務(wù)外包項目經(jīng)理部，由于服務(wù)外包項目管理工作量很大，因此，服務(wù)外包項目組織專門履行管理功能，具體的技術(shù)工作由他人或其他組織承擔(dān)。而有些服務(wù)外包項目由于管理工作量不大，沒有必要單獨(dú)設(shè)立履行管理職責(zé)的班子，因此，其具體技術(shù)性工作和管理職能均由服務(wù)外包項目組織成員承擔(dān)。項目溝通管理（project communication management）包括為了確保項目信息及時適當(dāng)?shù)漠a(chǎn)生、收集、傳播、保存和最終配置所必需的過程。項目溝通管理把成功所必需的因素人、想法和信息之間提供了一個關(guān)鍵連接。涉及項目的任何人都應(yīng)準(zhǔn)備以項

21、目“語言”發(fā)送和接收信息并且必需理解他們以個人身份參與的溝通怎樣影響整個項目。溝通就是信息交流。組織之間的溝通是指組織之間的信息傳遞。對于項目來說，要科學(xué)地組織、指揮、協(xié)調(diào)和控制項目的實(shí)施過程，就必須進(jìn)行項目的信息溝通。好的信息溝通對項目的發(fā)展和人際關(guān)系得改善都有促進(jìn)作用。項目溝通管理，就是為了確保項目信息合理收集和傳輸，以及最終處理所需實(shí)施的一系列過程。項目溝通管理具有復(fù)雜和系統(tǒng)的特征。項目溝通管理是由溝通計劃編制、信息發(fā)布、績效報告、管理收尾四部分組成。 2. 服務(wù)外包項目招投標(biāo)管理招標(biāo)投標(biāo)是在市場經(jīng)濟(jì)條件下進(jìn)行工程建設(shè)、貨物買賣、財產(chǎn)出租、中介服務(wù)等經(jīng)濟(jì)活動的一種競爭形式和交易方式，是引

22、入競爭機(jī)制、訂立合同（契約）的一種法律形式。招投標(biāo)管理是招標(biāo)人對工程建設(shè)、貨物買賣、勞務(wù)承擔(dān)等交易業(yè)務(wù)，事先公布選擇采購的條件和要求，招引他人承接，若干或眾多投標(biāo)人做出愿意參加業(yè)務(wù)、承接競爭的意思表示，招標(biāo)人按照規(guī)定的程序和辦法擇優(yōu)選定中標(biāo)人的活動。服務(wù)外包項目在執(zhí)行之前，發(fā)包方應(yīng)根據(jù)企業(yè)的實(shí)際需要采用公開招標(biāo)或邀請招標(biāo)向外做出招標(biāo)通知。而 承包方為了競標(biāo)在領(lǐng)取招標(biāo)文件以后，就要進(jìn)行投標(biāo)文件的編制工作。 3. 服務(wù)外包項目可行性研究與評價可行性研究是確定服務(wù)外包項目目前具有決定性意義的工作，是在投資決策之前，對擬建服務(wù)外包項目進(jìn)行全面技術(shù)經(jīng)濟(jì)分析的科學(xué)論證，在投資管理中，可行性研究是指對擬建項

23、目有關(guān)的自然、社會、經(jīng)濟(jì)、技術(shù)等進(jìn)行調(diào)研、分析比較以及預(yù)測建成后的社會經(jīng)濟(jì)效益。在此基礎(chǔ)上，綜合論證項目建設(shè)的必要性，財務(wù)的盈利性，經(jīng)濟(jì)的合理性，技術(shù)的先進(jìn)性和適應(yīng)性，以及建設(shè)條件的可能性和可行性，從而為投資決策提供科學(xué)依據(jù)。服務(wù)外包項目可行性研究的作用：（1）可行性研究是建設(shè)服務(wù)外包項目投資決策和編制設(shè)計任務(wù)書的依據(jù)；（2）可行性研究是服務(wù)外包項目建設(shè)單位籌集資金的重要依據(jù)；（3）可行性研究是建設(shè)單位與各有關(guān)部門簽訂各種協(xié)議和合同的依據(jù)；（4）可行性研究是建設(shè)服務(wù)外包項目進(jìn)行工程設(shè)計、施工、設(shè)備購置的重要依據(jù)；（5）可行性研究是向當(dāng)?shù)卣?、?guī)劃部門和環(huán)境保護(hù)部門申請有關(guān)建設(shè)許可文件的依據(jù)；（

24、6）可行性研究是國家各級計劃綜合部門對固定資產(chǎn)投資實(shí)行調(diào)控管理、編制發(fā)展計劃、固定資產(chǎn)投資、技術(shù)改造投資的重要依據(jù)；（7）可行性研究是服務(wù)外包項目考核后評估的重要依據(jù)。服務(wù)外包項目可行性評價是指由項目決策部門組織有關(guān)專家或委托有資格的項目咨詢機(jī)構(gòu)、貸款銀行（或單位）或有關(guān)專家，對上報的項目可行性研究報告進(jìn)行全面審核和再評價工作。其目的是審查和判斷項目可行性研究的真實(shí)性、可靠性和客觀性，對擬建項目投資可行與否及對最佳投資方案的確定是否合理提出評估意見，編寫評估報告，作為項目投資最終審批決策的依據(jù)。 4. 服務(wù)外包項目進(jìn)度管理合理地安排項目時間是服務(wù)外包項目管理中的一項關(guān)鍵內(nèi)容，它的目的是保證按時

25、完成項目、合理分配資源、發(fā)揮最佳工作效率?！鞍磿r、保質(zhì)地完成項目”大概是每一位項目經(jīng)理最希望做到的，但工期拖延的情況卻時有發(fā)生，因而合理地安排項目時間是項目管理中的一項關(guān)鍵內(nèi)容。它的主要工作包括定義項目活動、任務(wù)、活動排序、每項活動的合理工期估算、制訂項目完整的進(jìn)度計劃、資源共享分配、監(jiān)控項目進(jìn)度等內(nèi)容。進(jìn)度管理工作開始以前應(yīng)該完成服務(wù)外包項目管理工作中的范圍管理部分。如果只圖節(jié)省時間，把這些前期工作省略，后面的工作必然會走彎路，反而會耽誤時間。項目一開始首先要有明確項目目標(biāo)、可交付產(chǎn)品的范圍定義文檔和項目的工作分解結(jié)構(gòu)（WBS）。由于一些是明顯的、項目所必需的工作，而另一些則具有一定的隱蔽性

26、，所以要以經(jīng)驗會基礎(chǔ)，列出完整的完成項目所必需的工作，同時要有專家審定過程，以此為基礎(chǔ)才能制訂出可行的項目時間計劃，進(jìn)行合理的進(jìn)度管理。 5. 服務(wù)外包企業(yè)項目質(zhì)量管理服務(wù)外包企業(yè)項目質(zhì)量管理（project quality management）：其中質(zhì)量通常是指產(chǎn)品的質(zhì)量，廣義的還包括工作的質(zhì)量。產(chǎn)品質(zhì)量是指產(chǎn)品的使用價值及其屬性；而工作質(zhì)量則是產(chǎn)品質(zhì)量的保證它反映了與產(chǎn)品質(zhì)量直接有關(guān)的工作對產(chǎn)品質(zhì)量的保證程度，從項目作為一次性的活動來看，項目質(zhì)量體現(xiàn)在由工作分解結(jié)構(gòu)反映出的項目范圍內(nèi)所有的階段、子項目、項目工作單元的質(zhì)量所構(gòu)成，也即項目的工作質(zhì)量；從項目作為一項最終產(chǎn)品來看，項目質(zhì)量體現(xiàn)

27、在其性能或者使用價值上，也即項目的產(chǎn)品質(zhì)量。項目活動是應(yīng)發(fā)包方的要求進(jìn)行的，不同的發(fā)包方有著不同的質(zhì)量要求，其意圖已反映在項目合同中。因此，項目質(zhì)量除必須符合有關(guān)標(biāo)準(zhǔn)和法規(guī)外，還必須滿足項目合同條款的要求，項目合同是進(jìn)行項目質(zhì)量管理的主要依據(jù)之一。項目的特性決定了項目質(zhì)量體系的構(gòu)成。從供需關(guān)系來講，發(fā)包方是需方，要求參與項目活動的各承包商（設(shè)計方、施工方等）提供足夠的證據(jù)，建立滿意的供方質(zhì)量保證體系；另一方面，項目的一次性、核算管理的統(tǒng)一性及項目目標(biāo)的一致性均要求將項目范圍內(nèi)的組織機(jī)構(gòu)、職責(zé)、程序、過程和資源集成一個有機(jī)的整體，在其內(nèi)部組織良好的質(zhì)量控制及內(nèi)部質(zhì)量保證，從而構(gòu)筑出項目的質(zhì)量體系

28、。由于項目活動是一種特殊的物質(zhì)生產(chǎn)過程，其生產(chǎn)組織特有的流動性、綜合性、勞動密集性及協(xié)作關(guān)系的復(fù)雜性，均增加了項目質(zhì)量保證的難度。項目的質(zhì)量管理主要是為了確保項目按照設(shè)計者規(guī)定的要求滿意地完成，它包括使整個項目的所有功能活動能夠按照原有的質(zhì)量及目標(biāo)要求得以實(shí)施，質(zhì)量管理主要是依賴于質(zhì)量計劃、質(zhì)量控制、質(zhì)量保證及質(zhì)量改進(jìn)所形成的質(zhì)量保證系統(tǒng)來實(shí)現(xiàn)的。 6. 服務(wù)外包企業(yè)項目風(fēng)險管理服務(wù)外包項目風(fēng)險管理是指通過風(fēng)險識別、風(fēng)險分析和風(fēng)險評價去認(rèn)識服務(wù)外包項目的風(fēng)險，并以此為基礎(chǔ)合理地使用各種風(fēng)險應(yīng)對措施、管理方法技術(shù)和手段，對項目的風(fēng)險實(shí)行有效的控制，妥善地處理風(fēng)險事件造成的不利后果，以最少的成本保

29、證項目總體實(shí)現(xiàn)的管理工作。（1）從項目的時間、質(zhì)量和成本目標(biāo)來看，風(fēng)險管理和項目管理的目標(biāo)是一致的，即通過風(fēng)險管理來降低項目進(jìn)度、質(zhì)量和成本方面的風(fēng)險，實(shí)現(xiàn)項目管理目標(biāo)。（2）從項目范圍管理來看，項目范圍管理的主要內(nèi)容包括界定項目范圍和對項目范圍變動的控制。通過界定項目范圍，可以使項目明確，將項目的任務(wù)細(xì)分為更具體、更便于管理的部分，避免遺漏而產(chǎn)生風(fēng)險。在項目進(jìn)行過程中，各種變更是不可避免的，變更會帶來某些新的不確定性，風(fēng)險管理可以通過對風(fēng)險的識別、分析來評價這些不確定性，從而向項目范圍管理提出任務(wù)。（3）從項目計劃的職能來看，風(fēng)險管理為項目計劃的制訂提供了依據(jù)。項目計劃考慮的是未來，而未來必

30、然存在著不確定因素。風(fēng)險管理的職能之一是減少項目整個過程中的不確定性，這有利于計劃的準(zhǔn)確執(zhí)行。（4）從項目溝通控制的職能來看，項目溝通控制主要是對溝通體系進(jìn)行監(jiān)控，特別要注意經(jīng)常出現(xiàn)誤解和矛盾的職能及組織間的接口，這些可以為風(fēng)險管理提供信息；反過來，風(fēng)險管理中的信息又可通過溝通體系傳輸給相應(yīng)的部門和人員。（5）以項目實(shí)施過程來看，不少風(fēng)險都是在項目實(shí)施過程中由潛在變?yōu)楝F(xiàn)實(shí)的。風(fēng)險管理就是在風(fēng)險分析的基礎(chǔ)上，擬定出具體的應(yīng)對措施，以消除、緩和、轉(zhuǎn)移風(fēng)險，利用有利機(jī)會避免產(chǎn)生新的風(fēng)險。8.2服務(wù)外包的質(zhì)量管理8.2.1服務(wù)外包的質(zhì)量管理概述1. 質(zhì)量管理的概念I(lǐng)SO9000:2000標(biāo)準(zhǔn)中對質(zhì)量的

31、定義是“一組固有特性滿足要求的程度”ISO9000:2000標(biāo)準(zhǔn)中對服務(wù)的定義是“在供方和顧客接觸面上需要完成的至少一項活動的結(jié)果，并且通常是無形的”。服務(wù)外包質(zhì)量即服務(wù)供應(yīng)商提供的服務(wù)滿足發(fā)包商要求的程度，也是客戶感知到的外包服務(wù)的集合。由于服務(wù)具有無形性、異質(zhì)化、易逝性以及不可分割性等特點(diǎn)，因此很難定義、具體衡量以及控制服務(wù)質(zhì)量。但卻有一個共同點(diǎn)，即顧客是服務(wù)質(zhì)量的唯一評價者。2. 質(zhì)量管理的基本原則（1）體系管理原則任何一個組織，只有依據(jù)其實(shí)際環(huán)境條件和情況，策劃、建立和實(shí)施質(zhì)量管理體系，運(yùn)用體系管理原理時，才能實(shí)現(xiàn)其質(zhì)量方針和質(zhì)量目標(biāo)，這就是質(zhì)量管理的體系管理原則。建立質(zhì)量體系是開展質(zhì)

32、量管理工作的一種卓有成效的方法和手段。質(zhì)量管理是企業(yè)管理的中心環(huán)節(jié)，其職能是質(zhì)量方針、質(zhì)量目標(biāo)和質(zhì)量職責(zé)的制定和實(shí)施，是對所有質(zhì)量職能和活動的管理。質(zhì)量體系是組織為實(shí)施質(zhì)量方針、質(zhì)量目標(biāo)，在開展質(zhì)量活動時的一種特定系統(tǒng)。全面質(zhì)量管理的一切活動，都是以體系化的方式來進(jìn)行的。質(zhì)量體系使質(zhì)量管理的組織、程序、資源等實(shí)現(xiàn)系統(tǒng)化、標(biāo)準(zhǔn)化和規(guī)范化，它為質(zhì)量管理活動提供了一種方法，是質(zhì)量管理活動的核心和載體、質(zhì)量體系既要保證組織內(nèi)部管理的需要，又要充分考慮提供外部質(zhì)量保證的要求。（2）過程監(jiān)控原理所有質(zhì)量工作都是通過過程完成的，質(zhì)量管理要通過對過程的監(jiān)控來實(shí)現(xiàn)。任何一個組織都應(yīng)該識別、組織、建立和管理活動過

33、程，只有這樣才能創(chuàng)造、改進(jìn)和提供持續(xù)穩(wěn)定的質(zhì)量。前面質(zhì)量管理強(qiáng)調(diào)過程概念，并要求對產(chǎn)品全壽命周期全過程進(jìn)行控制。ISO9000標(biāo)準(zhǔn)指出：“所有工作都是通過過程來完成的?！泵恳粋€過程都有輸入、輸出，輸出是過程的結(jié)果，過程本身應(yīng)當(dāng)是一種增值轉(zhuǎn)換。產(chǎn)品質(zhì)量是產(chǎn)品實(shí)現(xiàn)一系列過程的結(jié)果。按照全面質(zhì)量管理的要求，對產(chǎn)品質(zhì)量的控制要通過對組織中各個過程的控制來實(shí)現(xiàn)，對企業(yè)的各個組成部分進(jìn)行過程監(jiān)控，可以有效識別企業(yè)的冗余環(huán)節(jié)，保證企業(yè)產(chǎn)品的質(zhì)量，還可以預(yù)防質(zhì)量問題的產(chǎn)生。對過程的監(jiān)控，通常應(yīng)從以下三個基本方面提出問題：= 1 * GB3過程是否被確定？控制過程的程序是否形成了文件？= 2 * GB3過程是否

34、充分展開并按要求貫徹實(shí)施？= 3 * GB3過程是否受控？在提供預(yù)期的結(jié)果方面，過程是否有效？（3）人本原理 產(chǎn)品質(zhì)量、組織質(zhì)量、體系質(zhì)量及其組合的實(shí)體質(zhì)量，歸根到底，需要人來管理，因此，人員的質(zhì)量決定了產(chǎn)品的質(zhì)量，組織管理人員管理水平高，工人技能好，全體人員質(zhì)量意識強(qiáng)，則工作質(zhì)量高，組織的產(chǎn)品質(zhì)量也高。質(zhì)量人才的培訓(xùn)與教育是貫穿質(zhì)量管理的重要基礎(chǔ)工作。提高人員質(zhì)量，才能提高產(chǎn)品質(zhì)量。高質(zhì)量人才的形成絕不是天生的，也不是自然形成的，而要靠堅持不懈的質(zhì)量培訓(xùn)與教育。從最高管理者到基層員工，都要進(jìn)行質(zhì)量觀念與質(zhì)量技術(shù)的教育，這才是提高企業(yè)質(zhì)量水平的根本。3. 質(zhì)量管理目標(biāo) 外包公司作為一個專業(yè)的為

35、提升客戶滿意度而存在的組織，其自身的質(zhì)量管理體系離不開清晰的目標(biāo)管理。在ISO9001:2000國際質(zhì)量管理體系中，這樣的目標(biāo)管理思想體現(xiàn)為ISO9001所要求的質(zhì)量目標(biāo)管理必須圍繞著客戶滿意度和企業(yè)質(zhì)量方針來設(shè)計和分解，以保證最終客戶滿意的實(shí)現(xiàn)。 外包組織質(zhì)量管理的最終目標(biāo)是實(shí)現(xiàn)客戶的滿意，而這個滿意是通過一系列質(zhì)量目標(biāo)的實(shí)現(xiàn)來達(dá)成的。通常來說，這樣的質(zhì)量目標(biāo)管理過程包括三個階段：目標(biāo)的設(shè)置、實(shí)現(xiàn)目標(biāo)過程的管理、總結(jié)與評估。（1）目標(biāo)的設(shè)置 外包企業(yè)的質(zhì)量目標(biāo)通常根據(jù)需求主體的不同分為兩類。一類是外包企業(yè)自己制定的基礎(chǔ)目標(biāo)，即企業(yè)目標(biāo)；另一類是針對每個客戶具體的服務(wù)項目而提出的項目質(zhì)量目標(biāo)，

36、一般體現(xiàn)在客戶服務(wù)標(biāo)準(zhǔn)協(xié)議中。這兩種不同的目標(biāo)相互補(bǔ)充。在一些沒有明確質(zhì)量目標(biāo)的項目中，服務(wù)質(zhì)量需達(dá)到企業(yè)目標(biāo)。而客戶在服務(wù)標(biāo)準(zhǔn)中明確提出的質(zhì)量目標(biāo)則作為服務(wù)的質(zhì)量標(biāo)準(zhǔn)及品質(zhì)部門監(jiān)控的標(biāo)準(zhǔn)。這兩者之間，可能是企業(yè)要求的目標(biāo)更高，也可能是客戶針對不同的服務(wù)類別要求，提出了高于企業(yè)要求的質(zhì)量目標(biāo)，這就要求外包企業(yè)需根據(jù)客戶的明確要求，制定專門的質(zhì)量計劃或質(zhì)量方案，以保證客戶目標(biāo)的實(shí)現(xiàn)。目標(biāo)的設(shè)置為外包企業(yè)質(zhì)量管理的實(shí)施設(shè)定了最基礎(chǔ)的監(jiān)控標(biāo)準(zhǔn)。（2）實(shí)現(xiàn)目標(biāo)過程的管理 質(zhì)量目標(biāo)的實(shí)現(xiàn)是通過一系列的相互銜接、相互作用的過程來實(shí)現(xiàn)的。沒有過程的嚴(yán)格控制，就不可能實(shí)現(xiàn)質(zhì)量目標(biāo)。過程管理所涉及的范圍是非常廣

37、泛的。就外包企業(yè)的質(zhì)量管理體系而言，從客戶需求識別到與客戶簽訂服務(wù)合同，從項目運(yùn)營方案涉及到業(yè)務(wù)人員招聘培訓(xùn)，從現(xiàn)場管理到服務(wù)質(zhì)量監(jiān)控等，這一系列的過程無不關(guān)系到最終質(zhì)量目標(biāo)的實(shí)現(xiàn)。不少外包企業(yè)在這些過程中都建立了或多或少的管理規(guī)范，但把這些過程都納入質(zhì)量管理體系的范圍內(nèi)，并進(jìn)行系統(tǒng)監(jiān)控的并不多。多數(shù)外包企業(yè)所謂的質(zhì)量管理，僅僅是對客戶代表過程的監(jiān)控。外包企業(yè)要想提升最終的客戶滿意度，全面的目標(biāo)過程管理或許是一個很好的改進(jìn)方向。（3）總結(jié)與評估 質(zhì)量目標(biāo)是一個不斷提高與改進(jìn)的過程，只有如此才能持續(xù)滿足客戶日益提升的服務(wù)需求。目標(biāo)的提升與改進(jìn)有賴于對目標(biāo)實(shí)現(xiàn)的過程與結(jié)果進(jìn)行不斷的總結(jié)和評估，總結(jié)

38、和評估的方式有很多，定期的書面質(zhì)檢報告、與運(yùn)營部門完成質(zhì)量目標(biāo)總結(jié)與評估的方式。通過質(zhì)量目標(biāo)實(shí)現(xiàn)過程的總結(jié)與評估，外包企業(yè)才能不斷地提高服務(wù)質(zhì)量，提升客戶滿意度。8.2.2 國際通行的質(zhì)量標(biāo)準(zhǔn)簡介1. ISO9000認(rèn)證ISO9000認(rèn)證是指質(zhì)量管理體系標(biāo)準(zhǔn)，它不是指一個標(biāo)準(zhǔn)，而是一族標(biāo)準(zhǔn)的統(tǒng)稱。ISO9000是國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布的12000多個標(biāo)準(zhǔn)中最暢銷、最普遍的產(chǎn)品。ISO9000認(rèn)證標(biāo)準(zhǔn)是ISO在1987年提出的概念，主要參照了英國BS5750質(zhì)量標(biāo)準(zhǔn)，是指由ISO/TC176（國際標(biāo)準(zhǔn)化組織質(zhì)量管理和質(zhì)量保證技術(shù)委員會）制定的國際標(biāo)準(zhǔn)。國際標(biāo)準(zhǔn)化組織（Internation

39、al Organization for Standardization）簡稱ISO，是世界上最主要的非政府間國際標(biāo)準(zhǔn)化機(jī)構(gòu)，是國際標(biāo)準(zhǔn)化領(lǐng)域中一個十分重要的組織。該組織的目的是促進(jìn)全球范圍內(nèi)的標(biāo)準(zhǔn)化及其有關(guān)活動，以利于國際貿(mào)易的交流，并拓展在知識、科學(xué)、技術(shù)和經(jīng)濟(jì)方面的合作，以促進(jìn)產(chǎn)品和服務(wù)貿(mào)易的全球化。ISO組織制定的各項國際標(biāo)準(zhǔn)在全球范圍內(nèi)得到了該組織的100多個成員國家和地區(qū)的認(rèn)可。質(zhì)量保證標(biāo)準(zhǔn)，誕生于美國軍品使用的軍標(biāo)。二次世界大戰(zhàn)后，美國國防部吸取二次世界大戰(zhàn)中軍品質(zhì)量優(yōu)劣的經(jīng)驗和教訓(xùn)，決定在軍火和軍需品訂貨中實(shí)行質(zhì)量保證，即供方在生產(chǎn)所訂購的貨品中，不但要按需方提出的技術(shù)要求保證產(chǎn)

40、品實(shí)物質(zhì)量，而且要按訂貨時提出的且已訂入合同中的質(zhì)量保證條款要求去控制質(zhì)量，并在提交貨品時提交控制質(zhì)量的證實(shí)文件。這種辦法促使承包商進(jìn)行全面的質(zhì)量管理，取得了極大地成功。1978年以后，質(zhì)量保證標(biāo)準(zhǔn)被引用到民品訂貨中來，英國制訂了一套質(zhì)量保證標(biāo)準(zhǔn)，即BS5750。隨后歐美很多國家，為了適應(yīng)供需雙方實(shí)行質(zhì)量保證標(biāo)準(zhǔn)對質(zhì)量管理提出的新要求，在總結(jié)多年質(zhì)量管理實(shí)踐的基礎(chǔ)上，相繼制訂了質(zhì)量管理標(biāo)準(zhǔn)和實(shí)施細(xì)則。ISO/TC176技術(shù)委員會是ISO為了適應(yīng)國際貿(mào)易往來中民品訂貨采用質(zhì)量保證做法的需要而成立的，該技術(shù)委員會在總結(jié)和參照世界有關(guān)國家標(biāo)準(zhǔn)和實(shí)踐經(jīng)驗的基礎(chǔ)上，通過廣泛協(xié)商，于1987年發(fā)布了世界上

41、第一個質(zhì)量管理和質(zhì)量保證系列國際標(biāo)準(zhǔn)ISO9000系列標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的誕生是世界范圍質(zhì)量管理和質(zhì)量保證工作的一個新紀(jì)元，對推動世界各國工業(yè)企業(yè)的質(zhì)量管理和供需雙方的質(zhì)量保證，促進(jìn)國際貿(mào)易交往起到了很好的作用。隨著國際貿(mào)易的發(fā)展，特別是服務(wù)業(yè)在世界經(jīng)濟(jì)中所占的比重越來越大，ISO/TC176分別于1994年、2000年對ISO9000質(zhì)量管理標(biāo)準(zhǔn)進(jìn)行了兩次全面的修訂。由于該標(biāo)準(zhǔn)吸收了國際上先進(jìn)的質(zhì)量管理理念，采用PDCA循環(huán)的科學(xué)程序，對于產(chǎn)品和服務(wù)的供需雙方具有很強(qiáng)的實(shí)踐性和指導(dǎo)性。所以，該標(biāo)準(zhǔn)一經(jīng)問世，立即得到世界各國的普遍歡迎，到目前為止，世界已有70多個國家和地區(qū)直接采用或等同轉(zhuǎn)為相應(yīng)國家

42、標(biāo)準(zhǔn)，有50多個國家建立質(zhì)量體系認(rèn)證、注冊機(jī)構(gòu)，形成了世界范圍內(nèi)的慣標(biāo)和認(rèn)證熱。ISO組織最新頒布的ISO9000:2000系列標(biāo)準(zhǔn)，現(xiàn)在最新標(biāo)準(zhǔn)為2008年執(zhí)行標(biāo)準(zhǔn)，有四個核心標(biāo)準(zhǔn)：（1）ISO9000:2005 質(zhì)量管理體系基礎(chǔ)和術(shù)語；（2）ISO9001:2008 質(zhì)量管理體系要求；（3）ISO9004:2009 質(zhì)量管理體系業(yè)績改進(jìn)指南；（4）ISO19011:2002 質(zhì)量和（或）環(huán)境管理體系審核指南。2. SAS70審計標(biāo)準(zhǔn)SAS70是由美國會計師協(xié)會（AICPA）制定，針對金融服務(wù)機(jī)構(gòu)向客戶提供服務(wù)的內(nèi)部控制、安全保障、稽核監(jiān)督措施的審計標(biāo)準(zhǔn)。美國獨(dú)立審計準(zhǔn)則體系包括公認(rèn)審計準(zhǔn)則

43、（GAAS，相當(dāng)于我國的基本準(zhǔn)則）、審計準(zhǔn)則說明書（SAS，相當(dāng)于我國的具體審計準(zhǔn)則）及審計準(zhǔn)則解釋（對準(zhǔn)則有關(guān)問題的解答）。從其內(nèi)容來看，雖然GAAS和SAS是指導(dǎo)注冊會計師執(zhí)業(yè)的權(quán)威性標(biāo)準(zhǔn)，雖然公認(rèn)審計標(biāo)準(zhǔn)和審計標(biāo)準(zhǔn)說明書是審計人員的權(quán)威性的指導(dǎo)文獻(xiàn)，但是，它們所提供的指導(dǎo)卻比人們所希望的要少。審計標(biāo)準(zhǔn)說明書中幾乎沒有要求執(zhí)行的具體審計手續(xù)，也沒有對審計人員的各種決策，如確定樣本量，選取抽查項目和評價抽樣結(jié)果等提出具體要求。很多審計人員認(rèn)為，審計標(biāo)準(zhǔn)應(yīng)當(dāng)對如何決定應(yīng)收集的審計證據(jù)數(shù)量，作出更明確、更具體的規(guī)定，以減少審計決策的困難，并保護(hù)審計人員免受“審計不當(dāng)”的指責(zé)。然而，要求過于具體將

44、使審計工作由一項專業(yè)判斷性工作變成一項機(jī)械的證據(jù)收集工作。所以，美國審計準(zhǔn)則委員會從審計職業(yè)和審計服務(wù)對象兩個方面意見綜合考慮，過于具體的權(quán)威性指南比過于抽象的權(quán)威性指南恐怕危害更大。因此，審計人員應(yīng)該明確，公認(rèn)審計標(biāo)準(zhǔn)和審計標(biāo)準(zhǔn)說明書是執(zhí)行業(yè)務(wù)的最低標(biāo)準(zhǔn)而不是最高標(biāo)準(zhǔn)或理想的標(biāo)準(zhǔn)。如果審計人員不顧具體情況，僅僅根據(jù)標(biāo)準(zhǔn)就縮小審計的范圍，那他就根本沒有把握標(biāo)準(zhǔn)的精神。同時建立審計標(biāo)準(zhǔn)也并不意味著審計人員任何時候都要盲目照搬照抄。如果審計人員認(rèn)為某一標(biāo)準(zhǔn)的要求不切實(shí)際或不能執(zhí)行，他完全可以采用一個變通的行動方案。同理，如果某個有問題的事項金額不大，也無需死守有關(guān)標(biāo)準(zhǔn)。需著重強(qiáng)調(diào)的是，是否違背審計

45、標(biāo)準(zhǔn)，需要審計人員自己去判斷。從審計質(zhì)量的角度考察，雖然審計準(zhǔn)則是最佳的審計實(shí)務(wù)，但它并不意味遵守審計準(zhǔn)則就達(dá)到了最高的審計質(zhì)量，而且達(dá)到了保證審計質(zhì)量的最起碼要求。由于“職業(yè)謹(jǐn)慎”的法律概念和職業(yè)概念有時也會不一致。原因主要有兩方面：一是環(huán)境變化了，審計準(zhǔn)則沒有作出相應(yīng)的調(diào)整和修改；二是審計準(zhǔn)則還有不完整或不完善的地方，即對某些審計實(shí)務(wù)例如某些特殊待業(yè)的財務(wù)報表的審計未提出明確的要求和判定準(zhǔn)則。審計準(zhǔn)則的這些缺陷影響了其作為衡量審計責(zé)任的最高標(biāo)準(zhǔn)的地位，正如1970年英國新南威爾士高級法庭的判決所說的：“在審查帳戶時保持合理的關(guān)注和技能作為一種法律責(zé)任一直沒變，但是審計中的合理性和技能必須考

46、慮變化的環(huán)境，并應(yīng)隨環(huán)境的變化而變化。合理的關(guān)注和技能要求不斷修訂審計準(zhǔn)則以滿足和適應(yīng)變化了的環(huán)境。3. CMM/CMMI認(rèn)證CMM認(rèn)證是由美國軟件工程學(xué)會（SEI）制定的一套專門針對軟件產(chǎn)品的質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn). CMM全稱為Capability Maturity Model，中文名稱為能力成熟度模型。CMM認(rèn)證最早始于1987年,為了滿足美國聯(lián)邦政府評估軟件供應(yīng)商能力的要求,美國卡內(nèi)基-梅隆大學(xué)的軟件工程研究學(xué)院SEI牽頭,發(fā)布了一份能力成熟框架（Capability Maturity Framework）以及一個成熟度問卷（Maturity Questionnaire）。1991年，

47、SEI將成熟度框架進(jìn)化為軟件能力成熟度模型（Capability Maturity Model For Software,簡稱SW-CMM,即CMM1.0）。在過去的十幾年中，CMM認(rèn)證對全球的軟件產(chǎn)業(yè)產(chǎn)生了非常深遠(yuǎn)的影響。CMM共有五個等級，分別標(biāo)志著軟件企業(yè)能力成熟度的五個層次。從低到高，軟件開發(fā)生產(chǎn)計劃精度逐級升高，單位工程生產(chǎn)周期逐級縮短，單位工程成本逐級降低。據(jù)SEI統(tǒng)計，通過評估的軟件公司對項目的估計與控制能力約提升40%到50%；生產(chǎn)率提高10%到20%，軟件產(chǎn)品出錯率下降超過1/3。對一個軟件企業(yè)來說，達(dá)到CMM2就基本上進(jìn)入了規(guī)模開發(fā)，基本具備了一個現(xiàn)代化軟件企業(yè)的基本架構(gòu)和

48、方法，具備了承接外包項目的能力。CMM3評估則需要對大軟件集成的把握，包括整體架構(gòu)的整合。一般來說，通過CMM認(rèn)證的級別越高，其越容易獲得用戶的信任，在國內(nèi)、國際市場上的競爭力也就越強(qiáng)。因此，是否能夠通過CMM認(rèn)證也成為國際上衡量軟件企業(yè)工程開發(fā)能力的一個重要標(biāo)志。CMM是目前世界公認(rèn)的軟件產(chǎn)品進(jìn)入國際市場的通行證，它不僅僅是對產(chǎn)品質(zhì)量的認(rèn)證，更是一種軟件過程改善的途徑。參與CMM評估的博科公司負(fù)責(zé)人表示，通過CMM的評估認(rèn)證不僅僅是目標(biāo)，它只是推動軟件企業(yè)在產(chǎn)品的研發(fā)、生產(chǎn)、服務(wù)和管理上不斷成熟和進(jìn)步的手段，是一種持續(xù)提升和完善企業(yè)自身能力的過程。如果一家公司最終通過CMMI的評估認(rèn)證，標(biāo)志

49、著該公司在質(zhì)量管理的能力已經(jīng)上升到一個新的高度。CMM認(rèn)證的評估方法是CBA-IPI方法(即CMM-Based Assessment for Internal Process Improvement)。CBA-IPI方法是一種診斷工具，它借助識別其現(xiàn)行過程的優(yōu)劣使一個組織能了解其軟件開發(fā)能力，把這些優(yōu)缺點(diǎn)與CMM對照起來，安排軟件改進(jìn)計劃的優(yōu)先順序，并把注意力集中關(guān)注到最有利的軟件改進(jìn)上，以及給出其現(xiàn)行過程的成熟度等級和業(yè)務(wù)目標(biāo)；此方法是受過培訓(xùn)的專業(yè)組對組織的軟件過程能力作出評估，該組全體人員作為一個團(tuán)隊一起對評估范圍內(nèi)的CMM關(guān)鍵過程域進(jìn)行評估和評分。此評估結(jié)果是依據(jù)所采集的數(shù)據(jù)作出的，這

50、些數(shù)據(jù)來自問卷回答、文檔審核、陳述以及與中層經(jīng)理、項目負(fù)責(zé)人和軟件專業(yè)人員的深層訪談。CMMI全稱是Capability Maturity Model Integration，即軟件能力成熟度模型集成。CMMI家族包括CMMI for Development，CMMI for Service和CMMI for Acquisition三個套裝產(chǎn)品。自從1994 年SEI 正式發(fā)布軟件CMM以來，相繼又開發(fā)出了系統(tǒng)工程、軟件采購、人力資源管理以及集成產(chǎn)品和過程開發(fā)方面的多個能力成熟度模型。雖然這些模型在許多組織都得到了良好的應(yīng)用，但對于一些大型軟件企業(yè)來說，可能會出現(xiàn)需要同時采用多種模型來改進(jìn)自己

51、多方面過程能力的情況。這時他們就會發(fā)現(xiàn)存在一些問題，其中主要問題體現(xiàn)在：不能集中其不同過程改進(jìn)的能力以取得更大成績；要進(jìn)行一些重復(fù)的培訓(xùn)、評估和改進(jìn)活動，因而增加了許多成本；不同模型中會遇到有一些對相同事物說法不一致，或活動不協(xié)調(diào)，甚至相抵觸的情況。于是，希望整合不同CMM 模型的需求產(chǎn)生了。1997年，美國聯(lián)邦航空管理局（FAA）開發(fā)了FAA-iCMMSM（聯(lián)邦航空管理局的集成CMM），該模型集成了適用于系統(tǒng)工程的SE-CMM、軟件獲取的SA-CMM和軟件的SW-CMM三個模型中的所有原則、概念和實(shí)踐。該模型被認(rèn)為是第一個集成化的模型。CMMI認(rèn)證的評估方法是：SCAMPI方法（即Stand

52、ard CMMI Appraisal Method for Process Improvement），SCAMPI評估方法是一種診斷工具，支持和推動組織對過程改進(jìn)承諾。通過確認(rèn)組織和一個或多個CMMI模型相關(guān)的現(xiàn)有過程的強(qiáng)、弱項，SCAMPI能夠幫助組織對它自身的過程能力或組織成熟度有一個全面的了解。CMMI 模型的前身是 SW-CMM 和 SE-CMM，前者就是我們指的CMM。CMMI與SW-CMM的主要區(qū)別就是覆蓋了許多領(lǐng)域；到目前為止包括四個下面領(lǐng)域：（1）軟件工程（SW-CMM）。軟件工程的對象是軟件系統(tǒng)的開發(fā)活動，要求實(shí)現(xiàn)軟件開發(fā)、運(yùn)行、維護(hù)活動系統(tǒng)化、制度化、量化。（2）系統(tǒng)工程（

53、SE-CMM）。系統(tǒng)工程的對象是全套系統(tǒng)的開發(fā)活動，可能包括也可能不包括軟件。系統(tǒng)工程的核心是將客戶的需求、期望和約束條件轉(zhuǎn)化為產(chǎn)品解決方案，并對解決方案的實(shí)現(xiàn)提供全程的支持。（3）集成的產(chǎn)品和過程開發(fā)（IPPD-CMM）。集成的產(chǎn)品和過程開發(fā)是指在產(chǎn)品生命周期中，通過所有相關(guān)人員的通力合作，采用系統(tǒng)化的進(jìn)程來更好地滿足客戶的需求、期望和要求。如果項目或企業(yè)選擇IPPD進(jìn)程，則需要選用模型中所有與IPPD相關(guān)的實(shí)踐。（4）采購（SS-CMM）。采購的內(nèi)容適用于那些供應(yīng)商的行為對項目的成功與否起到關(guān)鍵作用的項目。主要內(nèi)容包括：識別并評價產(chǎn)品的潛在來源、確定需要采購的產(chǎn)品的目標(biāo)供應(yīng)商、監(jiān)控并分析供

54、應(yīng)商的實(shí)施過程、評價供應(yīng)商提供的工作產(chǎn)品以及對供應(yīng)協(xié)議很供應(yīng)關(guān)系進(jìn)行適當(dāng)?shù)恼{(diào)整。在以上模塊中，企業(yè)可以分別選擇軟件工程或系統(tǒng)工程，也可以兩者都選擇。集成的產(chǎn)品和過程開發(fā)和采購主要是配合軟件工程和系統(tǒng)工程的內(nèi)容使用。例如，純軟件企業(yè)可以選擇CMMI中的軟件工程的內(nèi)容；設(shè)備制造企業(yè)可以選擇系統(tǒng)工程和采購；集成的企業(yè)可以選擇軟件工程、系統(tǒng)工程和集成的產(chǎn)品和過程開發(fā)。CMMI中的大部分內(nèi)容是適用各不同領(lǐng)域的，但是實(shí)施中會有顯著的差別，因此模型中提供了不同領(lǐng)域應(yīng)用詳解。另外，CMMI 模型中比CMM 進(jìn)一步強(qiáng)化了對需求的重視。在CMM 中，關(guān)于需求只有需求管理這一個關(guān)鍵過程域，也就是說，強(qiáng)調(diào)對有質(zhì)量的需

55、求進(jìn)行管理，而如何獲取需求則沒有提出明確的要求。在CMMI的階段模型中，3 級有一個獨(dú)立的關(guān)鍵過程域叫做需求開發(fā)，提出了對如何獲取優(yōu)秀的需求的要求和方法。CMMI 模型對工程活動進(jìn)行了一定的強(qiáng)化。在CMM中，只有3級中的軟件產(chǎn)品工程和同行評審兩個關(guān)鍵過程域是與工程過程密切相關(guān)的，而在CMMI中，則將需求開發(fā)，驗證，確認(rèn)，技術(shù)解決方案，產(chǎn)品集成這些工程過程活動都作為單獨(dú)的關(guān)鍵過程域進(jìn)行了要求，從而在實(shí)踐上提出了對工程的更高要求和更具體的指導(dǎo)。CMMI中還強(qiáng)調(diào)了風(fēng)險管理。不像在CMM 中把風(fēng)險的管理分散在項目計劃和項目跟蹤與監(jiān)控中進(jìn)行要求，CMMI3級里單獨(dú)提出了一個獨(dú)立的關(guān)鍵過程域叫做風(fēng)險管理。

56、4. ISO27001標(biāo)準(zhǔn)（1）ISO27001標(biāo)準(zhǔn)的內(nèi)容及效益ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。標(biāo)準(zhǔn)指出“像其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險減至最小，使投資回報和業(yè)務(wù)機(jī)會最大。信息安全是通過實(shí)現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組

57、織的特定安全目標(biāo)。ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運(yùn)做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標(biāo)準(zhǔn)化組織（ISO）在2005年對ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分ISO/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個章節(jié)：安全策略信息安全的組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制系

58、統(tǒng)采集、開發(fā)和維護(hù)信息安全事故管理業(yè)務(wù)連續(xù)性管理符合性ISO27001標(biāo)準(zhǔn)的效益通過定義、評估和控制風(fēng)險，確保經(jīng)營的持續(xù)性和能力減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力，提升企業(yè)形象明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失建立安全工具使用方針謹(jǐn)防技術(shù)訣竅的丟失在組織內(nèi)部增強(qiáng)安全意識可作為公共會計審計的證據(jù)（2）ISO27001認(rèn)證要求與其他管理標(biāo)準(zhǔn)ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而設(shè)計的，這一標(biāo)準(zhǔn)中的編號系統(tǒng)和文件管理需求的設(shè)計初衷，就是為了提供良好的兼容性，使得組織

59、可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu)，來提供ISO27001認(rèn)證服務(wù)。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。但是有一點(diǎn)需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮，選擇一個合適的管理體系的認(rèn)證機(jī)構(gòu)來提供認(rèn)證服務(wù)。認(rèn)證機(jī)構(gòu)必須得到一個國家鑒定機(jī)構(gòu)的委托授權(quán)，才能為認(rèn)證組織提供認(rèn)證服務(wù)，并發(fā)放認(rèn)證證書。大多數(shù)國家都有自己的國家鑒定機(jī)構(gòu)（比

60、如：英國UKAS），任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案。任何一個ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求。每個組織不僅都有自己獨(dú)特的業(yè)務(wù)模式、運(yùn)營目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對待風(fēng)險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機(jī)構(gòu)組織認(rèn)為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機(jī)遇。同樣地，各個機(jī)構(gòu)組織對于既有風(fēng)險防護(hù)的投入也參差不齊。基于以上或者其他原因，每個運(yùn)行ISMS的組織，其內(nèi)部成員必須對風(fēng)險評估有一個共識，這個風(fēng)險評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。ISMS項目很復(fù)雜，可能持續(xù)若干個月甚至若干年，涉及整個機(jī)構(gòu)組織以及