“8.4.1 總則 組織應確保外部提供的過程、產品和服務符合要求。

在下列情況下，組織應確定對外部提供的過程、產品和服務實施的控制：

a)外部供方的過程、產品和服務將構成組織自身的產品和服務的一部分；

b)外部供方代表組織直接將產品和服務提供給顧客；

c)組織決定由外部供方提供的過程或過程的一部分。

組織應基于外部供方按照要求提供過程、產品或服務的能力，確定外部供方的評價、選擇、績效監視以及再評價的準則，并加以實施。對于這些活動和由評價引發的任何必要的措施，組織應保留形成文件的信息。”

2015版ISO9001明顯將以往的“外包、外協”概念包含到8.4中來了，將外包過程也列入“外部提供的過程、產品和服務”。也就是說，以后用不著區分什么是外包，什么是采購了。關鍵是受控。

總則要求企業控制好外部供方提供的過程、產品和服務。供方、企業和顧客三者形成了供應鏈關系。對于供方，七大管理原則之一“關系管理”，要求與供方保持互利的關系。在合作的基礎上做好對過程、產品和服務的控制，這也符合雙方的利益。

總則在這里明示了哪些外部提供的行為需要實施控制，企業的原輔材料采購、物流、代加工廠之類的均在此之類。在本標準附錄A8條款還特意解釋了外部提供的類型。

對外部供方以及外部提供的過程、產品和服務的控制，應“基于風險的思維”來考慮。并不是說一定要怎么樣控制的，每個企業在每個階段均有可能不同。

審核時可以要求提供外部供方的清單和控制的準則，以及相應的檔案資料。

“8.4.2 控制類型和程度 組織應確保外部提供的過程、產品和服務不會對組織持續地向顧客交付合格產品和服務的能力產生不利影響。

組織應：

a)確保外部提供的過程保持在其質量管理體系的控制之中；

b)規定對外部供方的控制及其輸出結果的控制；

c)考慮：

1）外部提供的過程、產品和服務對組織持續地滿足顧客要求和適用的法律法規要求的能力的潛在影響；

2）由外部供方實施控制的有效性；

d) 確定必要的驗證或其他活動，以確保外部提供的過程、產品和服務滿足要求。”

對外部供方控制的目的和底限，就是不能影響到向顧客穩定地提供合格產品或履行合同。如果做得更好一些，還應該能提升企業的產品和服務的水平，為顧客服務得更好。

本條款提出了不同情況下應如何實施控制，同樣是“基于風險的思維”。如果這個外部供方的質保能力遠高于我們的需要，那可以簡單地實施監視；如果外部供方規模小技術水平低、信譽差，那就要考慮如何控制風險了，應該策劃和實施非常嚴格的控制手段。

審核時可以要求提供實施控制的證據，如對外包過程的評價、驗廠、驗貨等記錄。

“8.4.3 提供給外部供方的信息 組織應確保在與外部供方溝通之前所確定的要求是充分的。組織應與外部供方溝通以下要求：

a)擬提供的過程、產品和服務；

b)對下列內容的批準：

1）產品和服務；

2）方法、過程和設備；

3）產品和服務的放行；

c) 能力，包括所要求的人員資格；

d) 外部供方與組織的互動；

e) 被組織所用的外部供方績效的控制和監視；

f) 組織或其顧客擬在外部供方現場實施的驗證或確認活動。 ”

如何影響、控制外部供方，有各種不同的方法和形式。本條款要求必須溝通a-f）的內容。可以體現在合作協議上、采購訂單上、驗廠過程記錄等。

整個8.4要求企業采購符合要求的合格產品或控制好分包過程。

【專題】ISO9001：2015版標準學習和理解

【專題】ISO14001：2015版標準學習與理解

【專題】GJB9001B-2009標準學習與理解

【專題】GB/T23331能源管理體系標準學習與理解