ISO 9001:2015标准 8.4 外部提供过程、产品和服务的控制的审核

老规矩

   ISO 9001:2015标准  8.4 外部提供过程、产品和服务的控制的审核

8.4.1总则

组织应确保外部提供的过程、产品和服务符合要求。

在下列情况下，组织应确定对外部提供的过程、产品和服务实施的控制：

a) 外部供方的过程、产品和服务构成组织自身的产品和服务的一部分；

b) 外部供方替组织直接将产品和服务提供给顾客；

c) 组织决定由外部供方提供过程或部分过程。

组织应基于外部供方提供所要求的过程、产品或服务的能力，确定外部供方的评价、选择、绩效监视以及再评价的准则，并加以实施。对于这些活动和由评价引发的任何必要的措施，组织应保留所需的形成文件的信息。

标准理解：

1、条款8.4的标题由2008版的条款“采购”变为“外部提供的过程、产品和服务的控制“进一步明确了控制的对象和范围，组织应对此予以关注。

2、本条款的范围不仅仅局限于采购产品，还增加了对外包过程和外部提供的服务的控制要求。组织应识别是否存在外部提供的过程和外部提供的服务，并采取必要的控制措施。

新旧标准变化：

1、采购”变为“外部提供过程、产品和服务的控制”；外部供方进行控制；外部供方绩效进行监视。形成文件的信息。

2、新版标准提出了新的要求：当以下情况时，组织应确定要应用的对外部提供的过程、产品和服务的控制：

a) 外部供方提供的产品和服务用于并入组织自己的产品和服务；

b) 由外部供方代表组织直接提供给顾客的产品和服务；

c) 由外部供方提供的作为组织决定结果的过程或过程的一部分。

审核要点：

1、2008版的条款7.4“采购”变为“外部提供过程、产品和服务的控制”，进一步明确了控制的对象和范围，明确要求组织应对其外部供方进行控制。新版标准增加了建立对外部供方绩效进行监视的准则并实施监视的要求；明确要求组织应保存选择、评价和重新评价活动及评价所引起的任何必要措施的形成文件的信息。

2、检查组织是否确定哪些内容的过程与外部提供的过程存在相互关系，是否确定外部提供过程对组织运行绩效的影响。

3、组织是否识别由外部提供的，组成最终产品或服务的一部分或对产品或服务提供有关键作用的材料、组件或服务。

4、组织应根据每个外部提供方对运行和绩效呃影响，是否确定对外部提供方的要求和特定的控制措施。例如组织可要求：

——原材料经检验或试验符合技术规范；

——合作公司提供的维护活动由具备使用规定安全设备特定能力的人员来实施。

审核检查表：

1、组织采购过程有哪些？这些过程控制的方法是否确定、适宜且有效，能确保采购的产品符合规定要求？

2、采购依据是否充分、可靠？采购产品的要求是否明确、适宜（包括品名、规格、数量、交付期、价格等）？

3、当供方的产品、程序、过程、设备的变化会导致影响组织产品质量时，组织对这种变化情况是否要求得到批准？这些需批准的情况是否确定并被实施？

4、当供方人员的变化会导致影响产品质量时，组织是否按照规定人员资格要求并对其鉴定？

5、组织是否按照规定过程实施采购？采购及批准权限是否明确并得到实施？

6、组织是否提供必要的采购计划资料和采购承诺，以便供方能够满足这些期望要求？

不符合事项归纳：

1、没有确保外部提供的过程、产品和服务符合要求。

2、没有保留对外部提供的过程、产品和服务的供方进行的评价、选择、绩效监视这些活动和由评价引起的必要措施的文件化信息。

3、没有根据外部供方提供过程、产品和服务的能力对外部供方进行评价、选择、绩效监视和再评价。

老规矩

ISO9001-2015外部提供产品和服务控制解析  
一、总体要求的变化
2015版标准中对外部提供产品和服务控制的要求

1、理解组织及其背景
组织应确定外部和内部那些与其宗旨及其战略方向和影响质量管理体系实现预期结果的能力的事务。
组织应监视并评审关于这些外部和内部事宜的信息。
注1：外部环境，可以考虑法律、技术、竞争、市场、文化、社会和经济环境方面，不管是国际、国家、地区或本地。
注2：内部环境，可以考虑与组织的价值观、文化知识和绩效相关的事宜。

2、理解利益相关关方的需求和期望
由于影响或有可能影响组织持续提供满足顾客需要，且符合相关法定法律和法规要求的产品与服务，组织应确定：
a)与质量管理体系相关的利益相关方；
b)与质量管理体系相关的利益相关方的要求。
组织应监视并评审这些利益相关方及其相关信息要求。

3、质量管理体系范围的确定
组织应确定质量管理体系的边界和适用性，以确定其范围。
在确定该范围时，组织应考虑：
a)4.1中提到的内部和外部事宜；
b)4.2中提到的利益相关方的要求；
c)组织的产品和服务。
如已经确定范围内的本国际标准的要求可以采用，则组织应该采用该要求。
如本国际标准的要求不能采用，则不得影响组织确保产品和服务满足要求的能力和责任。
该范围应以形成文件的信息的形式呈现并得以保持，并说明：
质量管理体系所包括的产品和服务；
判定不能采用本国际标准要求的情况。

从ISO9001:2015标准0.1总则、第4章组织背景多处提到利益相关方，除了直接提供产品的供应商外，还有提供与组织相关的服务供应商以及来自内外部的相关方，基于风险控制，2015版对2008版有关外包内容的诸多问题和困扰，从术语、概念上给出了合理的解释。



二 、利益相关方定义
在2015版标准第3章的术语和定义中给出了利益相关方的定义：那就是能影响或某项决策或活动影响的个人或组织，例如，客户、所有者、组织内部人员、供应商、银行家、协会、合伙人或者竞争者、反对者在内的社会团体。

三、外包控制内容的修改
从标准结构来看，2015版ISO9001标准修订内容删除了ISO9001:2008标准4.1总要求中“组织如果选择将影响产品符合要求的任何过程外包，应确保对这些过程的控制。对此类外包过程控制的类型和程度应在质量管理体系中加以规定以及注解”字样，将2008版标准中7.4 采购、7.4.1 采购过程 、7.4.2 采购信息、7.4.3 采购产品的验证更新为8.4外部供应产品和服务的控制、8.4.1 总则 、8.4.2 外部供应的控制类型和程度 、8.4.3 外部供应商的信息 。其控制核心思想： 组织应确保外部供应过程、产品和服务符合规定要求；组织应确保外部提供的过程、产品和服务对组织稳定地向顾客交付符合要求的产品和服务的能力没有负面影响；在与外部供方沟通前，组织应确保要求的充分性。

究其内容来看，在ISO9001:2015标准中更强调内外部风险控制要求，明确外部组织对本组织可能带来的风险，更多的从组织及其背景和目标相关风险、组织顾客、其他利益相关方需求和期望以及一个组织的背景可以包括例如组织文化的内部因素和例如社会经济条件下组织运作的外部因素进行思考，从标准修订内容可以看出，2015版不仅仅是对影响产品符合性的外包过程进行控制，而已上升到组织宗旨、战略方向的层面。外部供应的控制类型和程度取决于这些过程、产品、服务活动中涉及的风险。它包括：
a) 外包过程对组织持续提供满足顾客和法律法规要求的产品的能力的潜在影响；
b) 对外包过程控制的分担程度；
c) 通过应用8.4实现所需控制的能力。
组织应将这些过程包括在其质量管理体系范围内，并在“文件化的信息”上说明。

四、外包供应控制类型和程度
外包供应控制类型和程度通常有：
对外包方的调查、选择、评价与再评价；
对规范/或过程的确认应作为与供方合同协议的一部分；
对供方质量管理体系的要求；
进厂检验、验证或现场检验、验证；
实施第二方审核，以建立清晰的沟通渠道、明确产品规范和交货要求等。

综上所述，不同或相同的外包过程，其控制方式是不同的，企业只有充分识别外包过程输出结果对产品符合性的影响程度，才能确定控制的程度和类型，从而明确控制方法，确保外包过程输出的结果满足符合产品要求。
“外部提供的产品或服务”正如ISO9001:2015标准附录A-8中解释：“无论组织是从供应商处购买，还是通过外包或是其他方式(得到的产品或服务），要求组织采用基于风险的方法判断，对该外部供应商、外部提供的产品或服务进行恰当的控制。”
有关外包的部分，尤其是何种产品或服务进行了或未进行外包的内容，在2008版的ISO 9001标准中一直带来诸多问题和困扰。而按照以上的解释，无论通过外包得到的是什么，都要求组织采用基于风险的方法。这一点规定，并且和前文讨论过的基于风险的方法这个概念紧密相连。