
零不符合项的真相
连续两年外审”零不符合项”。
消息传出去,有同行恭喜,有同事说”厉害”,但说实话——零不符合项不在外审那天,在平时每一天。
外审不过是一场考试,考试当天表现好不代表你一直学得好。真正有价值的事情不是”外审那天装得很到位”,而是”平时就做得很好,外审员来了发现没什么好挑的”。
这篇文章不讲鸡汤,讲具体怎么做。
体系不是质量部的事
很多企业的管理体系有个通病:体系文件是质量部写的,内审是质量部做的,外审应对是质量部顶上去的。其他部门觉得”体系是质量部的事”,配合一下就行。
这是最大的误区。
体系要真正跑起来,必须是每个部门、每个岗位都在用。
我们的做法
第一:年度审核计划不是年底突击,是季度滚动。
不是等到 11 月才想起”要外审了,赶紧补材料”,而是每季度安排一次内审。内审范围覆盖所有部门和所有条款,一年下来至少两轮全覆盖。
第二:内审团队跨部门组成。
我们不用专职内审员。每个部门抽一个人,经过体系培训,参与交叉审核。今天你审别人,明天别人审你。这样有几个好处:
- 各业务线的真实情况,只有自己人最清楚
- 交叉审核增加了客观性
- 每个人通过审别人,也学会了怎么管自己
第三:全员培训不是走过场。
每年 1 次全员体系培训+考核,覆盖自有员工和外协员工,每次 600 人以上,考核通过率 100%。
不是随便发个 PPT 让大家自己看,而是结合案例讲标准——这个条款对应你们工作的哪个环节、做不好会有什么后果、需要你做什么。
KCP 关键控制点:把质量建在流程里
KCP(Key Control Point)不是新概念,但落地方式是关键。
我们搭建了12个KCP节点
从需求立项到版本发布,覆盖研发全生命周期。每个节点有明确的准入标准、准出标准和检查清单。
重点讲两个典型的:
需求变更:从 82% 到 98%
原来需求变更随意到什么程度?做了一半,需求改了三次,开发都不知道现在应该实现哪个版本。更可怕的是——改完了没人更新需求文档,测试还在按旧需求用例跑。
后来做的事:
- 三级变更审批:紧急、一般、重大,审批链路不同
- 变更必须关联需求 ID,变更后更新追溯矩阵
- 每个变更写入版本基线,无法绕过
半年后,需求变更合规率从 82% 升到 98%。核心不是加审批加流程,而是让流程跑在工具里——需求管理系统里设置了权限和规则,不经过审批变更不了。
版本发布:从 12% 降到 3%
版本故障率 12% 什么概念?每 10 次发布就有 1 次以上出问题,要么回滚、要么带病上线。
后来搭建的标准发布流程:
- 系统测试全部通过
- 遗留问题逐条评估
- 回滚预案就位
- 版本基线锁定
- 发布审批签字
每一个节点都有明确的判定标准,不满足就卡住,不能”先发布再补材料”。
一年多后,版本故障率降到 3%。
管理评审:不只是开会
每个季度一次管理评审会。
很多人把管理评审开成了”各部门汇报本月工作情况”的例会。我不这么做。
我们看的是《自研产品质量度量看板》。 一张表,涵盖:
- 需求变更合规率
- 版本故障率
- 代码扫描问题数
- 漏洞整改平均周期
- 客户满意度
每个指标都有一个趋势线——这个月在变好还是变差?累计三个季度是在上升还是下降?哪个部门的数据拖了后腿?
数据说话,不讲故事。发现问题就定改进措施,明确责任人、完成时间、预期效果。下次管理评审时,第一条就是”上季度改进措施的完成情况”。
效果:用户质量相关投诉减少 60%,年度客户满意度从 84% 升到 96%。
信息安全常态化
体系管理不只是质量管理,信息安全同样是体系建设的一部分。
过去 11 年,我们搭建了信息安全常态化管控体系:
- 每月一次内网资产扫描,500+ 台设备全覆盖
- SOC 漏洞整改闭环率保持在 98% 以上
- 每年一次全员信息安全培训及考核
- 终端安全审计部署全覆盖
也处理过 3 起真实的安全事件——数据泄露、离职员工删库、外部攻击。平均处置时效在 4 小时内。能快速响应不是靠”应急预案写得好”,而是平时演练到位、工具到位、权限最小化做到位。
你平时怎么管的,出事了就怎么应对。没有平时基础,应急预案是纸上谈兵。
结语
零不符合项不是目标,是结果。
目标是把体系真正做扎实,让”符合标准”成为一种自然工作状态,而不是应付外审的临时表演。
做体系 11 年,我有一个朴素的体会:一个烂体系比没有体系更害人。 没有体系,你至少知道自己没做什么;一个烂体系给你”我们都做好了”的幻觉,掩盖了真正的问题。
好的体系不是墙上的文件,是行走的能力。