一、ISO 9001:2015 8.4 标准原文
条款原文:组织应确保外部提供的过程、产品和服务符合要求。
当组织使用外部供方的过程、产品和服务时,应确定对外部供方控制的类型和程度以及对输出的控制,以确保组织持续提供满足顾客和适用法律法规要求的能力。
当组织将过程外包时,应确保该过程处于其质量管理体系的控制范围内。
二、条款解读说明
2.1 8.4适用范围:外部提供不仅是“买东西”
很多组织将8.4简单理解为“采购管理”,但标准使用的是“外部提供过程、产品和服务”,范围更宽。只要组织为了实现自己的产品或服务,借助外部供方提供过程、产品或服务,并且这些外部输出会影响最终符合性,就必须纳入8.4控制。
| 外部提供类型 | 常见场景 | 主要风险 | 控制要点 |
|---|---|---|---|
| 外购产品 | 关键零部件、原材料、软件模块 | 性能不稳定、批次差异 | 来料检验、供方准入、质量协议 |
| 外包过程 | 热处理、电镀、检测、客服、运维 | 过程波动、责任边界模糊 | 过程控制计划、监视与审核 |
| 外部服务 | 云服务、物流、售后服务、安装 | 服务稳定性、SLA失效 | 服务级别协议、应急演练 |
| 直接交付顾客 | 外部供方直接把产品/服务交付给顾客 | 顾客体验失控 | 交付标准、顾客反馈闭环 |
2.2 8.4的核心不是“把供方管住”,而是“把责任管清”
标准反复强调“确保符合要求”和“保持在体系控制范围内”,意味着组织对最终结果负有不可转移的责任。外部供方可以执行任务,但不能替组织承担质量责任。审核中经常出现的风险是:问题一出,组织把责任推给外协或供应商,却拿不出对其控制的证据。8.4要求组织建立一套“事前有准入、事中有监视、事后有追溯”的责任链。
2.3 控制类型与程度必须基于风险分级
标准并未要求所有供方采用相同强度的控制。高风险外部提供(如关键安全件、法规敏感过程、直接影响顾客体验的服务)必须采用更强的控制机制;低风险外部提供可以采用简化控制。风险分级的依据通常包括:对最终产品/服务的影响程度、供方过程的稳定性、历史绩效、替代性和法规约束。
| 风险等级 | 外部提供特征 | 推荐控制强度 | 典型证据 |
|---|---|---|---|
| 高 | 关键安全、法规敏感、唯一供方 | 现场审核+过程验证+驻厂监视 | 审核报告、过程能力数据、专项验证 |
| 中 | 质量影响明显但可替代 | 准入评审+绩效监控+抽检验证 | 评分卡、来料检验记录 |
| 低 | 通用件、非关键服务 | 合格供方清单+基本验收 | 采购记录、抽检记录 |
2.4 外包过程并非“离开QMS”,而是“纳入QMS外延”
外包过程最大的误区是认为“外面做的就不归我们管”。8.4明确要求外包过程必须处于组织QMS控制范围内。这意味着组织必须定义该外包过程的输入、输出、控制方法、验收标准和职责接口,并对供方过程运行的有效性进行监视。外包过程不是“把控制移出去”,而是“把控制延伸出去”。
2.5 8.4与8.1/8.6/8.7的联动关系
- 与8.1运行策划联动:外部提供本身是运行策划的一部分,控制策略必须在运行策划阶段确定。
- 与8.6放行联动:外部提供的输出必须经过适当的验证或确认才能放行。
- 与8.7不合格控制联动:外部供方的不合格输出需纳入组织不合格控制流程,并能追溯原因。
三、实施要点
3.1 建立“外部提供清单”并分类管理
组织应梳理所有由外部供方提供的过程、产品和服务,形成清单,并按风险和重要性分级。清单要覆盖外包过程与外购产品、外部服务与顾客直接交付等不同类别。
- 识别哪些外部提供直接影响顾客满意或法规合规。
- 确定关键供方、关键过程与关键外购件。
- 将外部提供清单与过程地图、产品结构清单(BOM)对齐。
3.2 按风险设定控制策略与验收规则
对高风险外部提供,应在合同和技术规范中明确控制要求、关键特性、验证方式和变更规则;对中低风险外部提供,可采用简化验收与绩效监控。
- 高风险:要求过程能力数据、首件认可、驻厂或远程审核。
- 中风险:建立绩效评分卡,定期抽检。
- 低风险:基本进料验收与合格供方清单管理。
3.3 建立外部供方绩效监视与改进机制
外部供方控制不应止于“准入”,而应持续监视其绩效。常用指标包括合格率、PPM、交付及时率、响应速度、纠正措施有效性等。
- 设定KPI与评价周期,形成定期绩效回顾。
- 低绩效触发整改、复审或退出机制。
- 必要时实施供方开发与辅导。
3.4 外包过程要明确输入、输出与接口责任
外包过程容易出现责任断裂,组织应明确输入要求、工艺参数、检验标准、交付形式、版本控制与异常处理流程,确保外包过程的输出可控。
- 建立外包过程控制计划和监视点。
- 对外包过程关键参数进行验证或监测。
- 明确异常时的协同处理与升级机制。
3.5 将供方变更纳入组织变更控制流程
供方变更(原材料替换、工艺调整、设备更换、人员变动)会直接影响输出符合性。组织应要求供方进行变更申报,并在必要时评审、验证或批准。
- 合同中约定变更通知与审批规则。
- 关键变更需重新验证或样件确认。
- 保留变更记录,确保可追溯。
3.6 建立外部输出验证与放行机制
外部提供输出必须有适当验证与确认机制。组织可通过来料检验、过程审核、第三方检测或联合验收确保外部输出符合要求。
- 定义验收标准、抽样方案和判定规则。
- 对关键外部输出实施100%检验或过程认证。
- 与8.6放行流程衔接,确保放行前合规。
3.7 建立供应链风险应对与备份策略
外部提供控制不仅是质量问题,还涉及供应链连续性。组织应规划备选供方、库存缓冲与应急方案,避免外部风险导致交付中断。
- 关键供方至少建立备选资源。
- 制定供应中断应急响应与替换流程。
- 针对法规与合规风险建立预警机制。
3.8 形成可审核的证据链
审核员会关注“你是否真正控制了外部提供”。证据链应覆盖准入、过程监视、绩效评价、纠正措施和输出验证等关键环节。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 输出成果 |
|---|---|---|---|
| 供方准入评审 | 首次合作或关键供方引入 | 能力、合规、质量体系审查 | 准入评审报告 |
| 供应商审核(现场/远程) | 高风险外包过程 | 过程控制、人员资质、设备验证 | 审核报告与整改闭环 |
| 质量协议/技术规范 | 关键外购件或外包过程 | 明确控制要求与变更规则 | 质量协议、技术规范文件 |
| 供应商绩效评分卡 | 持续绩效监控 | 质量、交付、响应、成本多维度评价 | 季度/年度评价结果 |
| 首件认可/PPAP/FAI | 新产品或重大变更 | 样件确认、过程验证 | 首件认可记录 |
| 来料检验与抽样计划 | 外购件与外协件验证 | 抽样规则、判定标准 | 检验记录与放行结论 |
| 供应链风险评估矩阵 | 关键供方风险识别 | 影响度与发生概率评估 | 风险清单与控制措施 |
| 变更通知与验证机制 | 供方工艺或材料变更 | 变更评审、再验证 | 变更审批记录 |
五、典型案例
案例 1 – 制造业:外协热处理导致性能波动
- 问题背景:汽车零部件企业将热处理外包,出现硬度波动导致批量返工。
- 问题原因:供方工艺参数未受控、设备校准记录缺失,组织仅做来料抽检。
- 改进措施:
- 将热处理列为高风险外包过程,实施现场审核。
- 要求供方建立过程能力监控并提供Cpk数据。
- 对关键批次实施100%硬度检测与放行确认。
案例 2 – 服务业:云服务外包导致交付中断
- 问题背景:软件服务企业将系统托管给外部云服务商,发生宕机导致客户投诉。
- 问题原因:合同仅关注价格,未规定SLA与备份机制。
- 改进措施:
- 建立云服务供方评估清单,增加稳定性与安全性指标。
- 签订SLA并定期开展灾备演练。
- 设置双活或容灾架构作为应急替代方案。
案例 3 – 食品行业:外包包装影响法规合规
- 问题背景:食品企业外包包装印刷,出现标签信息不符合法规要求。
- 问题原因:缺乏对外包包装的法规审核流程。
- 改进措施:
- 将包装印刷纳入外部提供清单的高风险类别。
- 建立标签内容审核与法规更新机制。
- 对包装批次实施复核与留样。
六、成文信息管理要求
8.4要求组织保留与外部供方控制相关的成文信息,以证明外部提供过程、产品和服务在受控状态。
- 隐含强制成文信息
- 外部供方评价、选择、监视与再评价记录
- 外包过程控制的证据(审核记录、过程监视记录)
- 建议保留的成文信息
- 合格供方清单及分级管理规则
- 质量协议、技术规范、SLA条款
- 来料检验与放行记录、供应商绩效评分卡
- 供方变更通知与审批记录
- 管理要求
- 记录必须与供方绩效周期同步更新
- 文档保留期限应覆盖产品生命周期与法规要求
- 成文信息需按7.5条款实施版本与权限控制
七、常见误区及踩坑提醒
| 误区 | 说明 | 正确做法 |
|---|---|---|
| 只看价格选择供方 | 忽视质量能力与稳定性 | 引入质量与合规指标作为准入条件 |
| 把外包过程当普通采购 | 缺乏过程监视和控制计划 | 将外包过程纳入QMS控制并定期审核 |
| 供方变更不申报 | 材料或工艺变更引发质量波动 | 建立变更通知和再验证机制 |
| 只做来料检验 | 无法控制过程稳定性 | 对关键供方实施过程审核和持续监控 |
| 没有备选供方 | 供应中断风险无法应对 | 关键供方建立双源或应急供应策略 |
| 证据链不完整 | 审核时无法证明控制有效性 | 保留评价、监视和改进记录 |