【文章內(nèi)容簡介】 的技術要求保證產(chǎn)品實物質(zhì)量，而且要按訂貨時提出的且已訂入合同中的質(zhì)量保證條款要求去控制質(zhì)量，并在提交貨品時提交控制質(zhì)量的證實文件。這種辦法促使承包商進行全面的質(zhì)量管理，取得了極大地成功。1978年以后，質(zhì)量保證標準被引用到民品訂貨中來，英國制訂了一套質(zhì)量保證標準，即BS5750。隨后歐美很多國家，為了適應供需雙方實行質(zhì)量保證標準對質(zhì)量管理提出的新要求，在總結(jié)多年質(zhì)量管理實踐的基礎上，相繼制訂了質(zhì)量管理標準和實施細則。ISO/TC176技術委員會是ISO為了適應國際貿(mào)易往來中民品訂貨采用質(zhì)量保證做法的需要而成立的，該技術委員會在總結(jié)和參照世界有關國家標準和實踐經(jīng)驗的基礎上，通過廣泛協(xié)商，于1987年發(fā)布了世界上第一個質(zhì)量管理和質(zhì)量保證系列國際標準——ISO9000系列標準。該標準的誕生是世界范圍質(zhì)量管理和質(zhì)量保證工作的一個新紀元，對推動世界各國工業(yè)企業(yè)的質(zhì)量管理和供需雙方的質(zhì)量保證，促進國際貿(mào)易交往起到了很好的作用。隨著國際貿(mào)易的發(fā)展，特別是服務業(yè)在世界經(jīng)濟中所占的比重越來越大，ISO/TC176分別于1994年、2000年對ISO9000質(zhì)量管理標準進行了兩次全面的修訂。由于該標準吸收了國際上先進的質(zhì)量管理理念，采用PDCA循環(huán)的科學程序，對于產(chǎn)品和服務的供需雙方具有很強的實踐性和指導性。所以，該標準一經(jīng)問世，立即得到世界各國的普遍歡迎，到目前為止，世界已有70多個國家和地區(qū)直接采用或等同轉(zhuǎn)為相應國家標準，有50多個國家建立質(zhì)量體系認證、注冊機構(gòu)，形成了世界范圍內(nèi)的慣標和認證熱。ISO組織最新頒布的ISO9000:2000系列標準，現(xiàn)在最新標準為2008年執(zhí)行標準，有四個核心標準：（1）ISO9000:2005 質(zhì)量管理體系基礎和術語；（2）ISO9001:2008 質(zhì)量管理體系要求；（3）ISO9004:2009 質(zhì)量管理體系業(yè)績改進指南；（4）ISO19011:2002 質(zhì)量和（或）環(huán)境管理體系審核指南。 2. SAS70審計標準SAS70是由美國會計師協(xié)會（AICPA）制定，針對金融服務機構(gòu)向客戶提供服務的內(nèi)部控制、安全保障、稽核監(jiān)督措施的審計標準。美國獨立審計準則體系包括公認審計準則（GAAS，相當于我國的基本準則）、審計準則說明書（SAS，相當于我國的具體審計準則）及審計準則解釋（對準則有關問題的解答）。從其內(nèi)容來看，雖然GAAS和SAS是指導注冊會計師執(zhí)業(yè)的權威性標準，雖然公認審計標準和審計標準說明書是審計人員的權威性的指導文獻，但是，它們所提供的指導卻比人們所希望的要少。審計標準說明書中幾乎沒有要求執(zhí)行的具體審計手續(xù)，也沒有對審計人員的各種決策，如確定樣本量，選取抽查項目和評價抽樣結(jié)果等提出具體要求。很多審計人員認為，審計標準應當對如何決定應收集的審計證據(jù)數(shù)量，作出更明確、更具體的規(guī)定，以減少審計決策的困難，并保護審計人員免受“審計不當”的指責。然而，要求過于具體將使審計工作由一項專業(yè)判斷性工作變成一項機械的證據(jù)收集工作。所以，美國審計準則委員會從審計職業(yè)和審計服務對象兩個方面意見綜合考慮，過于具體的權威性指南比過于抽象的權威性指南恐怕危害更大。因此，審計人員應該明確，公認審計標準和審計標準說明書是執(zhí)行業(yè)務的最低標準而不是最高標準或理想的標準。如果審計人員不顧具體情況，僅僅根據(jù)標準就縮小審計的范圍，那他就根本沒有把握標準的精神。同時建立審計標準也并不意味著審計人員任何時候都要盲目照搬照抄。如果審計人員認為某一標準的要求不切實際或不能執(zhí)行，他完全可以采用一個變通的行動方案。同理，如果某個有問題的事項金額不大，也無需死守有關標準。需著重強調(diào)的是，是否違背審計標準，需要審計人員自己去判斷。從審計質(zhì)量的角度考察，雖然審計準則是最佳的審計實務，但它并不意味遵守審計準則就達到了最高的審計質(zhì)量，而且達到了保證審計質(zhì)量的最起碼要求。由于“職業(yè)謹慎”的法律概念和職業(yè)概念有時也會不一致。原因主要有兩方面：一是環(huán)境變化了，審計準則沒有作出相應的調(diào)整和修改；二是審計準則還有不完整或不完善的地方，即對某些審計實務例如某些特殊待業(yè)的財務報表的審計未提出明確的要求和判定準則。審計準則的這些缺陷影響了其作為衡量審計責任的最高標準的地位，正如1970年英國新南威爾士高級法庭的判決所說的：“在審查帳戶時保持合理的關注和技能作為一種法律責任一直沒變，但是審計中的合理性和技能必須考慮變化的環(huán)境，并應隨環(huán)境的變化而變化。合理的關注和技能要求不斷修訂審計準則以滿足和適應變化了的環(huán)境。 3. CMM/CMMI認證CMM認證是由美國軟件工程學會（SEI）制定的一套專門針對軟件產(chǎn)品的質(zhì)量管理和質(zhì)量保證標準. CMM全稱為Capability Maturity Model，中文名稱為能力成熟度模型。CMM認證最早始于1987年,為了滿足美國聯(lián)邦政府評估軟件供應商能力的要求,美國卡內(nèi)基梅隆大學的軟件工程研究學院SEI牽頭,發(fā)布了一份能力成熟框架（Capability Maturity Framework）以及一個成熟度問卷（Maturity Questionnaire）。1991年，SEI將成熟度框架進化為軟件能力成熟度模型（Capability Maturity Model For Software,簡稱SWCMM,）。 在過去的十幾年中，CMM認證對全球的軟件產(chǎn)業(yè)產(chǎn)生了非常深遠的影響。CMM共有五個等級，分別標志著軟件企業(yè)能力成熟度的五個層次。從低到高，軟件開發(fā)生產(chǎn)計劃精度逐級升高，單位工程生產(chǎn)周期逐級縮短，單位工程成本逐級降低。據(jù)SEI統(tǒng)計，通過評估的軟件公司對項目的估計與控制能力約提升40%到50%；生產(chǎn)率提高10%到20%，軟件產(chǎn)品出錯率下降超過1/3。對一個軟件企業(yè)來說，達到CMM2就基本上進入了規(guī)模開發(fā)，基本具備了一個現(xiàn)代化軟件企業(yè)的基本架構(gòu)和方法，具備了承接外包項目的能力。CMM3評估則需要對大軟件集成的把握，包括整體架構(gòu)的整合。一般來說，通過CMM認證的級別越高，其越容易獲得用戶的信任，在國內(nèi)、國際市場上的競爭力也就越強。因此，是否能夠通過CMM認證也成為國際上衡量軟件企業(yè)工程開發(fā)能力的一個重要標志。CMM是目前世界公認的軟件產(chǎn)品進入國際市場的通行證，它不僅僅是對產(chǎn)品質(zhì)量的認證，更是一種軟件過程改善的途徑。參與CMM評估的博科公司負責人表示，通過CMM的評估認證不僅僅是目標，它只是推動軟件企業(yè)在產(chǎn)品的研發(fā)、生產(chǎn)、服務和管理上不斷成熟和進步的手段，是一種持續(xù)提升和完善企業(yè)自身能力的過程。如果一家公司最終通過CMMI的評估認證，標志著該公司在質(zhì)量管理的能力已經(jīng)上升到一個新的高度。CMM認證的評估方法是CBAIPI方法(即CMMBased Assessment for Internal Process Improvement)。CBAIPI方法是一種診斷工具，它借助識別其現(xiàn)行過程的優(yōu)劣使一個組織能了解其軟件開發(fā)能力，把這些優(yōu)缺點與CMM對照起來，安排軟件改進計劃的優(yōu)先順序，并把注意力集中關注到最有利的軟件改進上，以及給出其現(xiàn)行過程的成熟度等級和業(yè)務目標；此方法是受過培訓的專業(yè)組對組織的軟件過程能力作出評估，該組全體人員作為一個團隊一起對評估范圍內(nèi)的CMM關鍵過程域進行評估和評分。此評估結(jié)果是依據(jù)所采集的數(shù)據(jù)作出的，這些數(shù)據(jù)來自問卷回答、文檔審核、陳述以及與中層經(jīng)理、項目負責人和軟件專業(yè)人員的深層訪談。CMMI全稱是Capability Maturity Model Integration，即軟件能力成熟度模型集成。CMMI家族包括CMMI for Development，CMMI for Service和CMMI for Acquisition三個套裝產(chǎn)品。自從1994 年SEI 正式發(fā)布軟件CMM以來，相繼又開發(fā)出了系統(tǒng)工程、軟件采購、人力資源管理以及集成產(chǎn)品和過程開發(fā)方面的多個能力成熟度模型。雖然這些模型在許多組織都得到了良好的應用，但對于一些大型軟件企業(yè)來說，可能會出現(xiàn)需要同時采用多種模型來改進自己多方面過程能力的情況。這時他們就會發(fā)現(xiàn)存在一些問題，其中主要問題體現(xiàn)在：不能集中其不同過程改進的能力以取得更大成績；要進行一些重復的培訓、評估和改進活動，因而增加了許多成本；不同模型中會遇到有一些對相同事物說法不一致，或活動不協(xié)調(diào)，甚至相抵觸的情況。于是，希望整合不同CMM 模型的需求產(chǎn)生了。1997年，美國聯(lián)邦航空管理局（FAA）開發(fā)了FAAiCMMSM（聯(lián)邦航空管理局的集成CMM），該模型集成了適用于系統(tǒng)工程的SECMM、軟件獲取的SACMM和軟件的SWCMM三個模型中的所有原則、概念和實踐。該模型被認為是第一個集成化的模型。CMMI認證的評估方法是：SCAMPI方法（即Standard CMMI Appraisal Method for Process Improvement），SCAMPI評估方法是一種診斷工具，支持和推動組織對過程改進承諾。通過確認組織和一個或多個CMMI模型相關的現(xiàn)有過程的強、弱項，SCAMPI能夠幫助組織對它自身的過程能力或組織成熟度有一個全面的了解。CMMI 模型的前身是 SWCMM 和 SECMM，前者就是我們指的CMM。CMMI與SWCMM的主要區(qū)別就是覆蓋了許多領域；到目前為止包括四個下面領域：（1）軟件工程（SWCMM）。軟件工程的對象是軟件系統(tǒng)的開發(fā)活動，要求實現(xiàn)軟件開發(fā)、運行、維護活動系統(tǒng)化、制度化、量化。（2）系統(tǒng)工程（SECMM）。系統(tǒng)工程的對象是全套系統(tǒng)的開發(fā)活動，可能包括也可能不包括軟件。系統(tǒng)工程的核心是將客戶的需求、期望和約束條件轉(zhuǎn)化為產(chǎn)品解決方案，并對解決方案的實現(xiàn)提供全程的支持。（3）集成的產(chǎn)品和過程開發(fā)（IPPDCMM）。集成的產(chǎn)品和過程開發(fā)是指在產(chǎn)品生命周期中，通過所有相關人員的通力合作，采用系統(tǒng)化的進程來更好地滿足客戶的需求、期望和要求。如果項目或企業(yè)選擇IPPD進程，則需要選用模型中所有與IPPD相關的實踐。（4）采購（SSCMM）。采購的內(nèi)容適用于那些供應商的行為對項目的成功與否起到關鍵作用的項目。主要內(nèi)容包括：識別并評價產(chǎn)品的潛在來源、確定需要采購的產(chǎn)品的目標供應商、監(jiān)控并分析供應商的實施過程、評價供應商提供的工作產(chǎn)品以及對供應協(xié)議很供應關系進行適當?shù)恼{(diào)整。在以上模塊中，企業(yè)可以分別選擇軟件工程或系統(tǒng)工程，也可以兩者都選擇。集成的產(chǎn)品和過程開發(fā)和采購主要是配合軟件工程和系統(tǒng)工程的內(nèi)容使用。例如，純軟件企業(yè)可以選擇CMMI中的軟件工程的內(nèi)容；設備制造企業(yè)可以選擇系統(tǒng)工程和采購；集成的企業(yè)可以選擇軟件工程、系統(tǒng)工程和集成的產(chǎn)品和過程開發(fā)。CMMI中的大部分內(nèi)容是適用各不同領域的，但是實施中會有顯著的差別，因此模型中提供了不同領域應用詳解。另外，CMMI 模型中比CMM 進一步強化了對需求的重視。在CMM 中，關于需求只有需求管理這一個關鍵過程域，也就是說，強調(diào)對有質(zhì)量的需求進行管理，而如何獲取需求則沒有提出明確的要求。在CMMI的階段模型中，3 級有一個獨立的關鍵過程域叫做需求開發(fā)，提出了對如何獲取優(yōu)秀的需求的要求和方法。CMMI 模型對工程活動進行了一定的強化。在CMM中，只有3級中的軟件產(chǎn)品工程和同行評審兩個關鍵過程域是與工程過程密切相關的，而在CMMI中，則將需求開發(fā)，驗證，確認，技術解決方案，產(chǎn)品集成這些工程過程活動都作為單獨的關鍵過程域進行了要求，從而在實踐上提出了對工程的更高要求和更具體的指導。CMMI中還強調(diào)了風險管理。不像在CMM 中把風險的管理分散在項目計劃和項目跟蹤與監(jiān)控中進行要求，CMMI3級里單獨提出了一個獨立的關鍵過程域叫做風險管理。 4. ISO27001標準（1）ISO27001標準的內(nèi)容及效益ISO/IEC177992000（BS77991）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。標準指出“像其他重要業(yè)務資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業(yè)務連續(xù)性，使業(yè)務受到損害的風險減至最小，使投資回報和業(yè)務機會最大。信息安全是通過實現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。ISO/IEC177992000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO 17799進行了修訂，修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯(lián)性邏輯性更好，更適合應用；并修改了部分控制措施措辭。修改后的標準包括11個章節(jié)：l 安全策略 l 信息安全的組織 l 資產(chǎn)管理 l 人力資源安全 l 物理和環(huán)境安全 l 通信和操作管理 l 訪問控制 l 系統(tǒng)采集、開發(fā)和維護 l 信息安全事故管理 l 業(yè)務連續(xù)性管理 l 符合性 ISO27001標準的效益 l 通過定義、評估和控制風險，確保經(jīng)營的持續(xù)性和能力l 減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任l 通過遵守國際標準提高企業(yè)競爭能力，提升企業(yè)形象l 明確定義所有組織的內(nèi)部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失l 建立安全工具使用方針l 謹防技術訣竅的丟失l 在組織內(nèi)部增強安全意識 l 可作為公共會計審計的證據(jù) （2）ISO27001認證要求與其他管理標準ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統(tǒng)和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構(gòu)