热线电话

139-5809-2481 0571-86951357 0571-87298115

信息中心

information Service

管理提升项目

内审员证书查询

培训信息

学习园地

上海优华系统集成技术股份有限公司审核案例----金永彪老师
日期:2017-02-13 点击:1413
上海优华系统集成技术股份有限公司审核案例
推荐机构:兴原认证中心有限公司
认证领域:质量管理体系、环境管理体系、职业健康安全管理体系
认证人员:金永彪 洪史 骆诉元 赵明


一:项目基本情况:

        受审核方:上海优华系统集成技术股份有限公司
        审核时间:2016 年 12 月 28 日至 12月 29 日
        审核范围:合同能源管理、节能环保领域内的技术开发、技术咨询、技术服务,计算机应用软件开发和销售服务。
        公司概况:上海优华系统集成技术股份有限公司于 2010 年 5 月注册成立,注册资金 1100万元,是一家专业从事过程能量系统优化、开发和利用的高新技术企业。公司始终致力于过程工业的节能降耗、减排增效等方面的技术开发、集成和应用服务,“优华”已成为石油化工行业最有实力的过程优化技术服务公司,通过系统集成和工艺优化来提高企业的能量利用效率。
        产品实现的主要流程:
合同能源管理:项目需求——项目可研报告——项目立项、任务书——项目技术方案编制——组织项目实施——项目实施过程监控——项目验收——项目分享期管理——项目总结
       节能环保技术开发、咨询和服务:项目需求——项目建议书——项目立项、任务书——项目技术方案编制——技术方案评审、修改——技术方案确认、验收
软件开发:项目需求分析——项目开发计划——概要设计(包含测试计划)——详细设计——编程——阶段审核——性能测试——客户确认——交付

二、审核准备:
      本次审核中,本人主要审核合同能源管理、节能环保领域内的技术开发等项目所需软件的设计开发,首次会议后,审核员与受审核方进行了充分的交流沟通,了解软件开发实施过程,通过软件需求分析,充分了解软件需求,包括对软件功能的要求、性能指标要求、数据采集和处理要求,以及软硬件要求,以保证设计输入的充分性;对设计方案策划和实施、设计评审、设计验证等设计开发阶段进行过程审核。在审核中注重软件开发的需求分析、项目风险评估与控制、项目开发分工、开发周期策划、相互之间的接口等要求。。。。。。审核员对企业的质量、环境以及职业健康安全管理体系进行了审核,对发现的问题向企业人员进行了沟通。末次会议上审核员向企业对审核中的问题进行了通报,并对相关问题提出了一些改进建议。

三、不符合项描述及不符合项发现过程:
       不符合项描述:
不符合项:查安庆石化项目软件开发,其项目管理计划书中提出了3方面的风险,但未能考虑软件开发的需求风险、开发环境风险、设计和实现风险等,未编制《风险管理计划》。
      以上事实不符合 ISO9001:2015 标准 6.1.2条款以及《风险和机遇的应对控制程序》要求。

不符合项发现过程:
      审核员在审核安庆石化炼油化工板块循环水在线诊断与优化系统软件开发项目时:
      询问:“在进行项目软件开发策划时,是否考虑了软件开发风险?”
      回答:“我们在进行项目软件开发时,编制了《项目管理计划书》,识别了软件开发风险。”
      审核员要求提供《项目管理计划书》,受审核方提供了《项目管理计划书》,计划书中明确了术语和定义、项目背景、项目目标、主要参加人员和职责、项目交流管理、其他需要提供的技术条件、项目实施计划、项目预算、风险评估与控制。
     审核员发现项目管理计划书中确实进行了风险评估与控制,包括人员变动、需求变更和装置停工3方面,并简要描述了控制措施。
审核员继续询问:“在进行风险策划时,仅包括人员变动、需求变更和装置停工3方面吗?是否考虑了软件开发的需求风险、开发环境风险、设计和实现风险等内容?”
       回答:“目前我们仅考虑了人员变动、需求变更和装置停工3方面的风险。”
       审核员发现公司编制的《风险和机遇的应对控制程序》,对软件开发的风险控制中提出了《风险管理计划》的要求。

四、案例分析:
       软件开发项目风险是指在软件生命周期中所遇到的所有的预算、进度和控制等各方面的问题,以及由这些问题而产生的对软件项目的影响。当在软件设计开发风险识别时,我们要考虑以下问题:是否存在风险导致软件项目开发失败?软件需求、软件开发技术、开发环境以及其他与项目有关的因素的改变会对软件开发产生何种影响?如何采取措施降低、消除这些风险?
       在进行软件项目风险管理时,要识别出潜在的风险,评估它们出现的概率及产生的影响,进行风险分析,然后建立控制计划来管理风险。风险管理的主要目标是预防风险,但并不是所有的风险都能够预防。所以应建立风险管理计划,使风险在必要时能以可控的和有效的方式做出应对。
       软件项目的风险主要包括如下内容:需求风险、计划编制风险、组织和管理风险、人员风险、开发环境风险、客户风险、产品风险、设计和实现风险、过程风险等。
       识别风险是系统化地识别已知的和可预测的风险,在可能时降低或消除这些风险,并控制这些风险。在进行了风险识别后,我们就要进行风险评价,根据发生的概率和产生的影响等因素进行排序,明确风险是否可接受。对重要的风险要进行管理,明确预防措施以及风险发生时的应急措施。
       风险识别、评价和控制,应贯穿在整个软件生命周期中,而不是仅在设计开发策划过程中考虑。
       ISO9001:2015标准中,提出了组织对风险和机遇的管理要求,6.1.1 在策划质量管理体系时,组织应考虑到4.1所提及的因素和4.2所提及的要求,并确定需要应对的风险和机遇。。。。。。6.1.2 组织应策划:a)应对这些风险和机遇的措施;b)如何:1)在质量管理体系过程中整合并实施这些措施;2)评价这些措施的有效性。应对措施应与风险和机遇对产品和服务符合性的潜在影响相适应。
       受审核方在进行软件开发时,并非完全未考虑软件开发风险,已经识别了人员变动、需求变更和装置停工3方面的风险,表明受审核方已经有了一定的风险意识,但由于对ISO9001:2015标准的理解不够充分以及对软件开发风险管理的相关要求理解不足,故风险识别项目不够充分,风险控制措施有效性欠佳。
审核员与受审核方充分进行了交流,对软件开发的风险管理有关要求进行了沟通,从软件产品的风险识别、风险评价以及风险控制的各方面进行了深入探讨,使受审核方对软件开发风险控制的理解有了进一步提升。

五、受审核方收到的成效:
       通过沟通交流,受审核方人员对审核员所提出的风险管理方法非常满意,为他们提供了一种非常行之有效的软件开发风险管理措施,也使他们对软件开发风险控制有了重新的认识,对审核组的审核活动大为赞赏。
       受审核方进行的不符合整改,对风险识别的内容考虑的更为充分,包括了需求风险、相关性风险、管理风险、技术风险、开发环境风险和人员数目及经验风险等6个方面。风险分析采用了概率分布法,针对风险概率和后果绩效进行了风险评估。风险评估中,将风险确定为四类,分为:不可接受风险;不希望有的风险;有控制的可接受风险;不经评审即可接受的风险。确定了风险管理清单,将风险按照重要程度进行了排序。针对重要风险,明确了风险管理措施,包括了预防措施以及一旦发生时的应急措施。

六、审核总结:
      通过本次审核,审核员有如下体会:
       1、在审核中应体现“增值”,那么如何才能体现“增值”呢?首先,审核员应有发现问题的能力,这里所指的发现的问题是企业所切实存在的问题,未能按照体系要求良好运行;其次,所发现的问题应有针对性,通过对问题的整改,能够促进企业进步或提升意识;最后,应有专业依托,所发现的问题应考虑专业要求,符合行业要求。
       2、通过与受审核方的沟通,以及共同去发现问题的深入思考,可以使我们更加全面地看待问题,也可以从受审核方身上学习到很多知识。正所谓教学相长,我们在审核过程中可以去学习受审核方的知识、思路和理念,受审核方也可以在审核中学习审核员的过程方法、风险和机遇的意识,这是相辅相成的。
       3、从受审核方的不符合整改中,审核员发现受审核方对软件开发的风险管理的理解确实有了一定程度的提高,并能够按照风险识别、风险评价和风险控制的要求进行风险管理,以降低软件开发过程的风险,以保证软件产品交期和质量。审核员从其不符合整改中发现受审核方仍存在些不足之处,比如风险识别中未能考虑源代码泄露的风险,比如风险管理清单中确定的百分比概率的定义,风险控制措施应对应风险评价的重要程度排序等等。但受审核方已经能够在原有的程度上,对软件开发的风险管理有了很大提升,风险控制计划具有一定可操作性,提高了计划的有效性,这些都是非常值得肯定的。我相信,通过逐步的对ISO9001:2015标准的理解,通过更多的软件开发项目风险管理的实践,受审核方一定能够在今后的软件风险管理取得更大的进步。这也正体现了质量管理体系的PDCA循环的不断改进、不断提高的思想。