一、ISO 9001:2015 8.4.1 标准原文
条款原文:组织应确保外部提供的过程、产品和服务符合要求。
当外部供方为组织提供:a)用于组织产品和服务的产品和服务;b)直接提供给顾客的产品和服务;c)组织已决定外包的过程或过程的部分时,本条款适用。
组织应基于外部供方提供过程、产品和服务满足要求的能力,确定并应用评价、选择、监视绩效以及再评价的准则。组织应保留这些活动的形成文件的信息以及必要的行动记录。
二、条款解读说明
2.1 外部提供的边界:三类情形必须纳入控制
8.4.1明确列出三类情形:外部供方提供用于组织产品和服务的产品与服务、外部供方直接交付顾客、以及组织决定外包的过程或过程部分。换句话说,只要外部提供的输出影响最终符合性,就必须进入供方控制范围。
- 用于组织产品和服务:常见的外购原材料、零部件、软件模块、检验服务等。
- 直接交付顾客:外部物流、安装、售后服务或外协现场服务。
- 外包过程:电镀、热处理、检测、客服、运维等外包工序或服务过程。
2.2 评价—选择—监视—再评价:供方生命周期闭环
| 阶段 | 核心目的 | 关键活动 | 审核关注点 |
|---|---|---|---|
| 评价 | 判断供方能力与风险 | 文件评审、现场审核、样件验证 | 是否有清晰准入标准 |
| 选择 | 确定合作供方 | 综合质量、交付、成本、合规评估 | 是否有记录与批准依据 |
| 监视 | 持续确认绩效稳定 | KPI监控、交付和质量统计、问题响应 | 是否定期评估与报告 |
| 再评价 | 重新确认适用性 | 年度复审、重大变更触发再审核 | 是否有再评价规则与结果 |
2.3 风险导向决定评价深度与准入条件
评价标准不是一成不变的“模板表”。8.4.1强调“基于外部供方满足要求的能力”,意味着评价的深度应与风险水平匹配。关键供方应重点关注过程稳定性、法规合规、关键特性控制能力和变更管理;普通供方可使用简化评价。
风险导向带来两个结果:其一是评价方式分级(现场审核、文件审核、样件验证等),其二是准入门槛差异(关键供方需具备体系认证或过程能力证明)。
2.4 再评价是供方管理中最容易被忽视的一环
很多组织只在首次准入时做评价,之后多年不再复审,导致供方能力下降、人员流失、设备老化或法规变化未被识别。8.4.1强调“监视绩效以及再评价”,意味着组织必须定义再评价频次和触发条件,例如质量事故、交付波动、重大变更、法规更新或客户投诉。
2.5 记录保存是审核的关键证据
8.4.1明确要求“保留形成文件的信息”,意味着供方管理必须有可追溯证据。没有评价记录、没有再评价记录、没有绩效监视证据,都会被视为不符合。供方管理不能停留在口头或经验层面。
三、实施要点
3.1 建立可量化的供方评价准则
评价准则应覆盖质量、交付、技术能力、合规与风险等维度,并形成评分体系。
- 质量能力:合格率、PPM、过程能力、检验设备。
- 交付能力:准时交付率、产能稳定性、柔性响应。
- 合规能力:法规符合性、认证资质、环境与安全要求。
- 风险能力:替代性、财务稳定性、地缘或供应链风险。
3.2 评价方式分级匹配风险
高风险供方需现场审核与样件验证;中低风险供方可采用文件评审与小批量试供。
- 关键供方:现场审核+过程验证+样件确认。
- 中风险供方:文件评审+样件抽检。
- 低风险供方:资质核查+基本验收。
3.3 供方选择要形成跨部门决策
供方选择不仅是采购成本问题,还应由质量、技术、生产和采购共同参与,确保综合评价与决策依据完整。
- 设定供方选择流程和批准层级。
- 对关键供方形成评审会议记录。
- 建立合格供方清单与动态更新机制。
3.4 绩效监视要覆盖质量、交付和响应
持续绩效监视是防止供方能力滑坡的关键。组织应定义指标、周期和责任人,并将结果与供方等级调整、合作续约相联动。
- 质量指标:PPM、不合格批次、纠正措施有效性。
- 交付指标:准时率、交期波动、缺料率。
- 响应指标:问题反馈时效、整改关闭周期。
3.5 再评价应设置周期与触发机制
再评价可以按年度/半年度进行,也可设置触发条件,例如重大投诉、供方变更、合规要求变化、供方绩效连续下降等。
- 明确再评价频率与触发事件。
- 再评价结果应影响供方等级或合作策略。
- 对低绩效供方形成整改要求或退出计划。
3.6 供方问题应纳入纠正措施闭环
当供方出现不合格或交付异常时,组织必须要求供方实施纠正措施,并验证其有效性。
- 建立供方不合格处理流程(含8D或CAPA)。
- 对重大问题实施复审或现场核查。
- 将供方整改结果纳入绩效评价。
3.7 外包过程要明确责任与接口
外包过程必须明确输入要求、控制点、输出标准和验证方式。组织应指定过程责任人,确保外包过程在QMS控制范围内。
- 制定外包过程控制计划。
- 明确过程参数与验收标准。
- 对过程变更执行再评价。
3.8 形成“可审计证据链”
供方管理的关键是证据链完整:从评价到选择、从监视到再评价、从问题到整改。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 输出成果 |
|---|---|---|---|
| 供方准入问卷 | 初步筛选供方 | 快速识别资质与合规性 | 准入评估表 |
| 供方现场审核 | 高风险或关键供方 | 过程控制、设备、人员能力验证 | 审核报告与整改计划 |
| 样件认可/试供 | 新供方或新产品 | 样品验证、首件认可 | 样件确认记录 |
| 供应商绩效计分卡 | 持续绩效监视 | 质量、交付、成本、响应综合评分 | 月度/季度绩效报告 |
| 供方分级管理 | 多层级供应链 | A/B/C分级与控制策略差异化 | 供方分级清单 |
| 纠正措施跟踪 | 供方问题闭环 | 原因分析、措施验证 | 8D或CAPA记录 |
| 再评价触发规则 | 关键供方长期合作 | 绩效下滑、变更事件触发复审 | 再评价报告 |
五、典型案例
案例 1 – 制造业:供应商准入不严导致批量不合格
- 问题背景:家电企业引入新塑胶件供方,仅基于报价决策,未做过程审核。
- 问题结果:量产后出现尺寸偏差,导致批量返工和交付延迟。
- 改进措施:
- 建立准入审核流程,关键供方必须现场审核。
- 样件认可与首批验证必须完成后才量产。
- 绩效监控与定期再评价纳入供应商管理制度。
案例 2 – IT服务:外包运维响应不足
- 问题背景:某企业将运维外包,但未定义响应时限和绩效指标。
- 问题结果:故障响应慢,造成业务中断。
- 改进措施:
- 建立运维供方评价准则,增加SLA与备份要求。
- 定期监控响应时效与故障处理质量。
- 再评价触发规则:连续两次超时即启动复审。
案例 3 – 医疗行业:外包检验机构资质不合规
- 问题背景:医疗器械企业外包检测,但未核实检验机构资质更新。
- 问题结果:检测报告无法被监管认可,导致上市延误。
- 改进措施:
- 将检验机构资质作为准入与再评价硬性条件。
- 建立法规更新提醒机制,定期复审资质有效性。
- 保存检验机构评价记录作为合规证据。
六、成文信息管理要求
8.4.1明确要求保留外部供方评价、选择、监视与再评价的形成文件信息,这些是审核最直接的证据。
- 强制性成文信息
- 供方评价标准与准入准则
- 供方评价与选择记录
- 绩效监视记录与再评价结果
- 必要的纠正措施记录
- 建议保留的成文信息
- 合格供方清单与分级管理规则
- 现场审核报告与整改关闭记录
- 供方绩效计分卡与年度评审纪要
- 供方变更申报与评审记录
- 管理要求
- 成文信息需与供方绩效周期同步更新
- 记录保留期限应覆盖产品生命周期与法规要求
- 记录需满足7.5条款的版本、权限和可追溯性要求
七、常见误区及踩坑提醒
| 误区 | 说明 | 正确做法 |
|---|---|---|
| 准入只做一次 | 忽视供方能力变化 | 建立再评价周期与触发机制 |
| 评价标准笼统 | 无法区分供方能力高低 | 建立可量化的评价指标体系 |
| 绩效监视缺失 | 供方问题积累到严重才暴露 | 建立月度/季度绩效评分卡 |
| 外包过程不纳入QMS | 过程控制断裂,责任模糊 | 明确外包过程控制计划与接口责任 |
| 缺少证据链 | 审核无法证明控制有效性 | 保留评价、监视、再评价记录 |