“8.4.1 总则 组织应确保外部提供的过程、产品和服务符合要求。
在下列情况下,组织应确定对外部提供的过程、产品和服务实施的控制:
a)外部供方的过程、产品和服务将构成组织自身的产品和服务的一部分;
b)外部供方代表组织直接将产品和服务提供给顾客;
c)组织决定由外部供方提供的过程或过程的一部分。
组织应基于外部供方按照要求提供过程、产品或服务的能力,确定外部供方的评价、选择、绩效监视以及再评价的准则,并加以实施。对于这些活动和由评价引发的任何必要的措施,组织应保留形成文件的信息。”
2015版ISO9001明显将以往的“外包、外协”概念包含到8.4中来了,将外包过程也列入“外部提供的过程、产品和服务”。也就是说,以后用不着区分什么是外包,什么是采购了。关键是受控。
总则要求企业控制好外部供方提供的过程、产品和服务。供方、企业和顾客三者形成了供应链关系。对于供方,七大管理原则之一“关系管理”,要求与供方保持互利的关系。在合作的基础上做好对过程、产品和服务的控制,这也符合双方的利益。
总则在这里明示了哪些外部提供的行为需要实施控制,企业的原辅材料采购、物流、代加工厂之类的均在此之类。在本标准附录A8条款还特意解释了外部提供的类型。
对外部供方以及外部提供的过程、产品和服务的控制,应“基于风险的思维”来考虑。并不是说一定要怎么样控制的,每个企业在每个阶段均有可能不同。
审核时可以要求提供外部供方的清单和控制的准则,以及相应的档案资料。
“8.4.2 控制类型和程度 组织应确保外部提供的过程、产品和服务不会对组织持续地向顾客交付合格产品和服务的能力产生不利影响。
组织应:
a)确保外部提供的过程保持在其质量管理体系的控制之中;
b)规定对外部供方的控制及其输出结果的控制;
c)考虑:
1)外部提供的过程、产品和服务对组织持续地满足顾客要求和适用的法律法规要求的能力的潜在影响;
2)由外部供方实施控制的有效性;
d) 确定必要的验证或其他活动,以确保外部提供的过程、产品和服务满足要求。”
对外部供方控制的目的和底限,就是不能影响到向顾客稳定地提供合格产品或履行合同。如果做得更好一些,还应该能提升企业的产品和服务的水平,为顾客服务得更好。
本条款提出了不同情况下应如何实施控制,同样是“基于风险的思维”。如果这个外部供方的质保能力远高于我们的需要,那可以简单地实施监视;如果外部供方规模小技术水平低、信誉差,那就要考虑如何控制风险了,应该策划和实施非常严格的控制手段。
审核时可以要求提供实施控制的证据,如对外包过程的评价、验厂、验货等记录。
“8.4.3 提供给外部供方的信息 组织应确保在与外部供方沟通之前所确定的要求是充分的。组织应与外部供方沟通以下要求:
a)拟提供的过程、产品和服务;
b)对下列内容的批准:
1)产品和服务;
2)方法、过程和设备;
3)产品和服务的放行;
c) 能力,包括所要求的人员资格;
d) 外部供方与组织的互动;
e) 被组织所用的外部供方绩效的控制和监视;
f) 组织或其顾客拟在外部供方现场实施的验证或确认活动。 ”
如何影响、控制外部供方,有各种不同的方法和形式。本条款要求必须沟通a-f)的内容。可以体现在合作协议上、采购订单上、验厂过程记录等。
整个8.4要求企业采购符合要求的合格产品或控制好分包过程。