计算机软件质量体系认证务实

计算机软件质量体系认证务实

 在国际标准化组织(ISO)第176"质量管理与质量保证"技术委员会制定的ISO8402-94《质量管理和质量保证》术语中,将产品定义为"活动或过程的结果",并指出"产品可包括服务、硬件、流程性材料、软件或它们的组合"。在ISO/TC176制定的ISO9000-1《质量管理和质量保证》第一部分——《选择和使用指南》中,又进一步明确了四种产品的通用类别,分别为:服务、硬件、流程性材料和软件。其中,软件指"通过承载媒体表达的信息所组成的一种知识产物。软件可以概念、学报或程序等形式表示,而计算机程序是软件的特定事例"。由此可见,计算机软件作为通用产品中的一类,与硬件产品一样,也同样存在提高质量的问题。提高产品质量有多种形式,通过实施质量体系认证、提高质量管理水平来提高产品质量及一致性是一种事半功倍的好办法。

    质量体系认证是指由第三方按照规定的程序,对受审核方的质量体系符合规定要求给予书面保证(合格证书),也称为质量体系注册。进一步说,质量体系认证的对象是受审核方的质量体系,依据是国家的质量保证标准,鉴定的方式是对受审核方的质量体系进行审核,证明的方式是提供证书和使用认证标志。质量体系审核通常由国家认可的认证机构或其委托的审核机构进行。

    一、质量体系认证的依据

    质量体系认证的依据是ISO 9001-94、ISO9002-94或ISO9003-94(我国已将其等同转化为GB/T19001-94、GB/T 19002-94及GB/T19003-94),这三个质量体系标准的主要区别在于所涉及到的阶段不同:GB/T19001—ISO9001-94涉及到设计、开发、生产、安装和服务五个阶段;GB/T19002—ISO9002-94涉及到生产、安装和服务三个阶段;GB/T19003—ISO9003-94只涉及到最终检验和试验阶段。三个质量体系标准只规定了供方为满足顾客期望所必须达到的要求,但如何达到这些要求则由企业根据其自身发展的需要所提供产品和服
务的特点,以及所涉及的过程自行设计和实施。

    这三个标准是通用的,可适用于众多工业行业和经济部门,对计算机软件也不例外。但计算机软件的设计和维护毕竟与大多数工业产品的设计、生产、服务不同,因此,ISO国际标准化组织于1993年制定了ISO9000-3-93《质量管理和质量保证标准第三部分:ISO9001在软件开发、供应和维护中的使用指南》,并于1997年12月15日发布了第二版,同时改名为《ISO9001在计算机软件开发、供应、安装和维护中的使用指南》。这个标准对涉及计算机软件的质量体系提供了补充性指南,可作为计算机软件企业在建立与实施质量体系的参考指南,但不作为质量体系认证的依据。

    二、质量体系认证的程序

    1. 提出申请

    企业根据自身的需要或基于市场、顾客或社会的要求,在适当的时机可向国家认可的认证机构提出质量体系认证的申请。

    a. 申请认证的企业应持有法律地位的证明文件,根据中国质量体系认证机构国家认可委员会(CNACR)240文件的说明,对集团公司下属的业务相对独立、但无独立法人资格的分部、分厂,可以其名义申请认证,但这些分厂、分部应有证据表明其能独立承担法律责任,同时申请认证的企业已按GB/T 19000—ISO9000族标准建立了文件化的质量体系。

    b. 认证机构的选择
    申请企业可以自行选择质量体系认证机构,选择时,除考虑认证机构的权威性、价格及顾客的要求外,还应特别注意认证机构的认可业务范围。

    我国CNACR根据产品的特点,将体系认证机构的业务范围划分为39类,计算机软件属于第33类《计算机及有关业务》,其中包括了硬件咨询、软件咨询及提供、数据处理、办公设备、计算机及计算机的维护修理、其他与计算机有关的活动等六方面内容。计算机软件企业在选择体系认证机构时,应特别注意,认证机构的业务范围中是否包括了33类中自己所需要的范围。在选择认证机构时,可通过索取宣传资料、电话交谈及面谈等方式了解体系认证机构,并做出最终选择。

     2. 受理申请

    申请认证企业选定了认证机构后应向其提出书面申请,并签订体系认证审核合同书。在这些文件中需明确:(1)接受审核的组织与场所(企业的名称和地点);(2)质量保证模式,即质量体系标准名称(GB/T19001—ISO9001-94或GB/T19002—ISO9002-94或GB/T19003—ISO9003-94);(3)申请认证的质量体系所覆盖的产品类别;(4)其他必要的法规、规章及标准;(5)价格及预计审核时间等内容。

    3. 文件审查

    此阶段主要对质量手册进行审查,必要时也可对申请企业的程序文件进行审查。文件审查中如发现问题,认证机构会对申请企业提出不符合的内容及处理方式。一般来说,对文件审查中的问题,申请企业应进行局部修改或全面修改后再重新提交文件审查,直至满足要求为止。文件审查中如没有出现问题,则可进入下一程序。

    4. 初访或预审(必要时)
    初访或预审均不是体系认证的必需程序,均不能对受审核方的质量体系进行咨询。初访的目的一为审核的可行性收集信息,二为制定审核计划收集资料。一般由审核组长提出,认证机构和受审核方协商决定,在受审核方认为合适的时机进行。预审的目的仅为确定受审核方是否做好正式审核的准备。一般由受审方提出,认证机构与受审核方协商决定,在受审核方认为合适的时机进行。

    5. 编制审核计划及检查表

    认证机构委派的审核组长根据文件审查或初访或预审中得到的信息编制审核计划,内容主要包括:审核目的、范围、依据、审核组成员、审核日期及审核日程安排(一般以小时为单位)。审核计划会提前十天送交受审核方确认,受审核方如有意见,可据实向认证机构提出。检查表作为审核员自用的辅助工具,可提供给受审核方。

    6. 现场审核及审核报告

    现场审核由认证机构派出的审核组(或委托的审核机构)按GB/T19021.1—ISO10011.1《质量体系审核指南 审核》进行。现场审核主要有首次会议、收集证据、审核组内部交流、与受审核方沟通、末次会议等环节。收集证据是一个抽样的过程,通过与各类人员交谈、查阅各类文件和记录、观察现场有关方面的工作来收集受审核方的质量体系是否正常及有效运行的客观证据,对其中的不符合现象要编写不符合报告,并提交受审核方确认;同时,在此基础上,对受审核方的质量体系做出正确评价,并做出是否推荐认证(注册)
的结论,在末次会议上宣布。

    对现场审核中发现的不合格项,受审核方均应采取纠正措施,并经审核方跟踪验证其有效性后方可关闭。正式的审核报告一般在末次会议后提交,其中也包括跟踪验证纠正措施有效性的报告。(注:认证机构进行现场审核前,要求受审核方至少完成一次内部质量体系审核及管理评审。对计算机软件企业来说,更要注意在现场审核时应能提供完整的设计控制实施的证据。

    7. 批准注册及发证

    审核报告及相关资料一般由认证机构的技术委员会进行审定,然后送认证机构负责人审批,并作出是否准予注册、颁证的决定。认证机构向受审核方颁发带有统一编号的印有认证机构的认证标志和国家认可标志的质量体系认证证书,证书有效期为三年,认证机构对注册的获证企业以公告的形式定期向社会公布。质量体系认证证书和标志不得使用在产品上或包装物上。

    8. 证后监督
    认证机构在证书三年有效期内要对获证企业的质量体系进行监督审核,二次监督审核之间不超过12个月,第一次监督审核一般在获证后半年左右进行。年度监督审核的程序与第6项初次现场审核的程序相同,但所花的人·日数一般为初次现场审核的1/3。认证机构在证书三年有效期内,还要对获证企业的质量体系变更及获证企业正确使用证书和标志进行管理。

    目前,质量体系认证已经得到了越来越多的计算机软件企业的重视,但在贯彻ISO9000族标准、建立和实施文件化的质量体系时,希望计算机软件企业特别重视各方面的问题。一是重视企业领导与全员质量意识的提高;二是正确处理质量体系文件与现有文件、资料之间的关系;三是结合软件设计、开发的特点建立符合计算机软件企业的质量体系;四是贯彻ISO9000族标准。实施质量体系认证仅是计算机软件企业规范管理,提高软件产品质量的第一步。