一、ISO 9001:2015 8.4.2 标准原文
ISO 9001:2015 8.4.2 控制的类型和程度
条款原文:组织应确保外部提供的过程保持在其质量管理体系的控制范围内。组织应确定对外部提供的过程、产品和服务所采取的控制类型和程度。控制应基于:
a)外部提供的过程、产品和服务对组织持续满足顾客和适用法律法规要求的能力的潜在影响;
b)外部供方自身控制的有效性。
组织应确定必要的验证或其他活动,以确保外部提供的过程、产品和服务符合要求。
条款原文:组织应确保外部提供的过程保持在其质量管理体系的控制范围内。组织应确定对外部提供的过程、产品和服务所采取的控制类型和程度。控制应基于:
a)外部提供的过程、产品和服务对组织持续满足顾客和适用法律法规要求的能力的潜在影响;
b)外部供方自身控制的有效性。
组织应确定必要的验证或其他活动,以确保外部提供的过程、产品和服务符合要求。
提示:完整原文请参阅 ISO 9001:2015 正式文本
引用:8.4.2解决的不是“要不要管”,而是“管到什么程度、用什么方式管”。
二、条款解读说明
2.1 “控制类型与程度”是风险导向的核心要求
8.4.2并不要求组织对所有外部供方采取同样强度的控制,而是要求组织基于风险进行差异化管理。换句话说,控制强度要与外部提供对最终符合性的影响程度匹配。关键过程和关键零部件必须被“管得更严”,低风险物料与通用服务则可“管得更轻”。
2.2 决定控制强度的两个关键因子
| 因子 | 含义 | 常见判断方式 | 影响 |
|---|---|---|---|
| 潜在影响 | 外部提供对顾客满意与法规合规的影响程度 | 是否影响安全、法规、关键性能或品牌风险 | 决定控制强度上限 |
| 供方控制有效性 | 外部供方自身过程控制能力与稳定性 | 历史绩效、过程能力、体系成熟度 | 决定控制措施是否需要加码 |
潜在影响高但供方控制弱时,组织必须采取更严的控制;潜在影响低且供方控制稳定时,可采用简化控制。
2.3 组织需要“控制外部输出”,而不是“替供方管理内部”
8.4.2强调“外部提供保持在QMS控制范围内”。这并不意味着组织必须直接管理供方内部的所有流程,而是必须确保外部提供的输出符合要求。关键是建立适当的控制方式:过程审核、首件确认、关键参数监控、抽检验证、第三方检测等,确保外部输出的稳定性和可追溯性。
2.4 控制方式的分类:从“准入”到“验证”的多层组合
| 控制层级 | 常用方式 | 适用场景 | 关键输出 |
|---|---|---|---|
| 准入控制 | 资质审核、现场评审、试供验证 | 新供方引入、关键供方复审 | 准入评审报告 |
| 过程控制 | 过程审核、过程能力评估、驻厂监视 | 高风险外包过程或关键工序 | 过程监视记录 |
| 输出验证 | 来料检验、首件认可、第三方检测 | 关键件或法规敏感产品 | 检验与放行记录 |
| 绩效监控 | PPM、交付准时率、响应速度 | 长期合作供方 | 绩效评分卡 |
| 变更控制 | 变更申报、再验证、再审核 | 供方工艺或材料变更 | 变更审批记录 |
2.5 “验证或其他活动”是8.4.2的审计重点
8.4.2要求组织明确必要的验证或其他活动,这意味着审核员会关注:你如何证明外部输出符合要求?如果只是“相信供方”,没有验证证据,就无法满足条款要求。验证不一定必须100%检验,但必须基于风险设计合理的验证策略。
三、实施要点
3.1 建立外部提供风险分级机制
组织应根据对最终符合性的影响程度对外部提供进行分级,例如关键件、关键过程、一般外购件、普通服务。
- 以安全、法规、关键性能为核心评估维度。
- 建立“高/中/低”风险分级标准。
- 分级结果与控制强度直接挂钩。
3.2 设计差异化的控制策略矩阵
将风险分级与控制方式结合,形成“风险—控制矩阵”。
- 高风险:准入审核+过程监视+加强验证。
- 中风险:准入评审+抽样验证+绩效监控。
- 低风险:基本准入+来料抽检。
3.3 评估供方控制能力并动态调整
控制强度不仅取决于风险等级,还取决于供方自身能力。供方能力提升时,可以适度降低验证频率;供方绩效下降时,应立即加严控制。
- 建立供方绩效评估周期(如季度/半年)。
- 设置“绩效下降触发加严控制”的机制。
- 对关键供方实施能力成熟度评估。
3.4 明确验证活动与责任分工
组织要明确外部提供验证的责任人、方法、频率和判定标准,确保验证活动可执行、可追溯。
- 制定验收标准与抽样计划。
- 关键外购件或外包过程实施首件认可。
- 明确放行权限与不合格处理流程。
3.5 将外部控制与内部过程衔接
外部提供控制必须与内部运行策划、放行、不合格控制等流程打通。
- 与8.1运行策划联动:外部控制策略纳入过程策划。
- 与8.6放行联动:外部输出必须经验证后放行。
- 与8.7联动:外部不合格纳入纠正措施闭环。
3.6 建立控制有效性的定期评估
控制策略本身也要评估其有效性。例如,如果供应风险持续存在,应评估控制是否不足,必要时升级控制。
- 通过质量事故分析评估控制失效点。
- 对供应链风险评估结果进行年度更新。
- 将控制有效性纳入管理评审输入。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 输出成果 |
|---|---|---|---|
| 风险分级矩阵 | 外部提供分类 | 影响度×发生概率评估 | 分级清单 |
| 供应商审核 | 高风险供方 | 过程能力、人员、设备检查 | 审核报告 |
| 控制计划 | 外包过程/关键件 | 控制点、频率、方法定义 | 控制计划表 |
| 首件认可/FAI | 新供方或变更后验证 | 样件验证、关键特性确认 | 首件认可记录 |
| 供应商绩效评分卡 | 持续监控 | 质量、交付、响应综合评分 | 绩效报告 |
| 第三方检测 | 法规敏感产品 | 独立验证与合规证明 | 检测报告 |
提示:控制策略应该是动态的,随供方能力与业务风险变化而调整。
五、典型案例
案例 1 – 汽车行业:关键零部件控制加严
- 背景:刹车系统关键件外购,影响安全法规合规。
- 控制策略:供方准入现场审核 + 过程能力数据(Cpk) + 100%关键尺寸检验。
- 效果:批次波动明显减少,法规审核通过率提升。
案例 2 – IT服务:外包运维控制不足引发故障
- 背景:运维外包,因缺少监视指标导致故障响应迟缓。
- 改进:建立SLA指标、月度绩效评分卡与季度复审机制。
- 效果:响应时间缩短50%,客户投诉显著下降。
案例 3 – 医疗行业:外包检测风险控制
- 背景:医疗器械检验外包,检测机构变更引发合规风险。
- 控制策略:变更需再验证,外包机构每年再评价。
- 效果:检测报告合规稳定,注册审批周期缩短。
六、成文信息管理要求
8.4.2要求组织保留与控制类型、程度和验证活动相关的证据,以证明外部提供处于受控状态。
- 强制性成文信息
- 外部提供风险分级与控制策略记录
- 验证活动记录(检验、审核、验证报告)
- 建议保留的成文信息
- 控制计划与控制矩阵
- 供方绩效监控记录
- 变更评审与再验证记录
- 管理要求
- 记录需可追溯到供方、批次和控制策略
- 记录保留期限应与产品生命周期和法规要求匹配
- 按7.5条款进行版本、权限、更新控制
七、常见误区及踩坑提醒
| 误区 | 说明 | 正确做法 |
|---|---|---|
| 一刀切控制 | 所有供方采取相同控制,资源浪费或风险失控 | 基于风险分级实施差异化控制 |
| 只做准入审核 | 缺乏持续监控与验证 | 建立绩效监视和再评价机制 |
| 仅依赖供方自检 | 缺少组织自身验证 | 设置适当的验证活动与放行机制 |
| 忽视供方能力变化 | 绩效下降未被及时发现 | 设定触发加严控制的规则 |
| 验证记录不完整 | 审核无法证明控制有效性 | 保留完整的验证与控制证据链 |
警告:控制类型与程度的失配,是供应链质量事故最常见的根源之一。
小结:8.4.2要求组织用风险导向的方法确定控制类型与程度,并通过验证活动证明外部提供满足要求。控制策略越明确、证据链越完整,供应链风险越可控。