作为一名管理体系审核员,每次到制造业或服务型企业进行第三方审核时,第8.4条款「外部提供过程、产品和服务的控制」总是审核的重头戏。为什么?因为绝大多数组织都依赖于外部供方来提供原材料、零部件、服务或外包过程,而供应链的质量直接决定了最终产品和服务的质量。这个条款审核得好不好,直接关系到审核的深度和价值。
本文从审核实务角度出发,系统梳理第8.4条款的审核思路、关键证据、常见不符合项以及审核技巧。
一、条款理解:不止是"采购控制"那么简单
ISO 9001:2015 将旧版标准的7.4「采购」升级为8.4「外部提供过程、产品和服务的控制」,这一变化本身就值得关注。新版标准的用词变化反映了以下理念升级:
第一,范围扩大。 不再局限于"采购"这个传统概念,而是涵盖了所有"外部提供"的情形。具体来说,包括三种情形:
- 供方提供产品(如原材料、零部件采购)
- 委托外部方提供服务(如物流、检测、IT运维)
- 将组织的过程或职能外包(如外包加工、外包客服中心)
第二,风险管理导向。 条款明确要求组织确定对外部供方及其输出实施的控制「类型和程度」,这种控制应根据"外部提供对后续产品和服务及顾客满意的潜在影响"来确定。这就是说,不是所有的供方都一样管理,关键供方要管得严,一般供方可以管得松。
第三,强调过程控制而非结果检验。 8.4条款的核心思想是:与其等到供方交付后再检验,不如在供方选择、评价、绩效监控等前端环节施加控制。
二、审核要点与证据矩阵
在审核第8.4条款时,我通常将其拆解为以下几个关键控制环节,每个环节对应不同的审核证据要求:
1. 外部供方的选择与评价(8.4.1)
这是审核的起点,也是最容易出现问题的环节。
审核问题示例:
- 组织制定了哪些选择、评价和重新评价外部供方的准则?
- 准则是如何确保与外部提供的重要性相匹配的?
- 有无"单一来源"或"唯一定点"的情形?理由是什么?
需要收集的证据:
- 外部供方选择与评价管理程序/作业指导书
- 供方准入评价记录(资质审核、现场考察记录、样品检测报告等)
- 供方清单/合格供方名录
- 对于关键供方,是否进行了现场审核或第二方审核?
2. 控制类型和程度的确定(8.4.1)
审核问题示例:
- 组织如何确定对不同外部供方的控制类型和程度?
- 同一供方提供的不同产品,控制要求是否不同?
- 是否有根据风险等级(高、中、低)制定差异化控制策略?
需要收集的证据:
- 供方风险分级准则(如按对产品质量的影响程度)
- 各类别供方的控制措施清单(如A类供方需现场审核,B类供方只需资料审查)
- 控制措施与风险匹配的合理性说明
3. 采购/外包信息(8.4.2 沟通要求)
这一条经常被审核员忽视细节,实际上是非常容易开不符合项的环节。
审核问题示例:
- 采购信息(采购订单/合同)是否充分说明了拟采购的产品或服务的要求?
- 对于关键产品,是否明确了验收标准、规范、图样等要求?
- 是否在采购信息中要求供方具备特定的人员资格(如焊工、检测员资质)?
- 是否明确了对供方质量管理体系的要求?
需要收集的证据:
- 采购合同/订单样本(至少2-3份不同供方)
- 技术规格书、图纸、验收标准
- 对供方质量体系的要求文件(如要求通过ISO 9001认证)
- 采购信息的审批记录
4. 验证活动(8.4.3)
审核问题示例:
- 组织对外部提供产品/服务实施了哪些验证活动?
- 验证活动的范围和程度是如何确定的?
- 对于在供方现场验证的情况(如驻厂监造),合同是否做出了相应安排?
需要收集的证据:
- 进货检验/验证记录
- 验证准则(抽检标准、全检标准等)
- 不合格处理记录(退货、让步接收等)
- 供方现场验证记录(如有)
5. 外部供方绩效监控(8.4.1 e)
这里实际上是对8.4.1条款最后部分"评价这些外部供方提供满足要求的外部提供的过程、产品和服务的能力"以及"保留对这些评价和必要措施的成文信息"的展开。
审核问题示例:
- 组织如何监控外部供方的绩效?是否有定期绩效评价?
- 绩效评价的指标包括哪些(质量、交付、价格、服务等)?
- 对于绩效不达标的供方,采取了哪些措施?
- 供方绩效评价结果是否用于供方清单的动态调整?
需要收集的证据:
- 供方绩效评价记录(月度/季度/年度)
- 供方评分表
- 供方问题整改通知/纠正措施记录
- 供方淘汰/暂停记录
三、常见不符合项类型
从实际审核经验来看,第8.4条款的不符合项主要集中在这几类:
类型一:评价准则不充分或未有效执行
典型情形:程序文件写得很漂亮,列出了"资质、价格、交付、服务、质量"五个维度,但实际上新供方准入时只看了营业执照,完全没有按准则进行评价和打分记录。
类型二:控制类型与风险不匹配
典型情形:对影响关键安全特性的核心零部件供方,和提供办公用品的供方采用完全相同的控制方式,没有体现差异化。
类型三:采购信息不完整
典型情形:采购订单只写了品名和数量,没有明确验收标准或技术要求;或者没有要求供方提供必要的随货文件(材质证明、检测报告等)。
类型四:供方绩效评价流于形式
典型情形:绩效评价表显示供方评分连续三个季度都是满分,但实际生产现场该供方产品的不良率明显上升,说明绩效评价的"水分"很大。
类型五:对"外包"的控制不足
典型情形:公司将部分加工工序外包,但"采购"和"外包"的界限模糊,对外包控制的内容和程度没有明确,相当于把关键过程完全交给了外部而没有有效管控。
四、审核技巧分享
技巧1:追证据不追口号
审核时,不要满足于被审核方说"我们有供方管理制度",而要追着看具体的评价记录。曾经审核一家电子厂,审核员问到新供方怎么选择的,对方很自信地拿出了一份"供方调查表",但仔细看才发现,这张表上只有基本信息,连最基本的质量保证能力评估栏目都没有。当场开了不符合项。
技巧2:从交货端倒查
从仓库的进货检验记录倒推,找到批不合格退货物料,然后追溯该供方的评价记录和绩效数据——这是非常有效的审核路径。比如发现有供方连续3个月退货率超过5%,但组织没有任何措施,这就能开不符合项了。
技巧3:关注特殊要求
有些行业有特殊要求,比如食品行业对原材料供应商有可追溯性要求,建筑行业对分包商有资质要求,医疗器械行业对供方有灭菌验证要求。不了解行业特点就难以发现深层问题。
技巧4:确认"沟通"的有效性
很多组织的采购信息传递存在断层:技术部门编了技术规格书,采购部门只摘录了部分信息到订单中,供方实际收到的要求已经"走样"。审核时可以抽查:随机选取一份采购订单,搜索对应产品的技术规格书或图纸文件,看采购信息是否完整、准确。
五、对不同类型组织的审核侧重点
制造业(最典型):
- 关注原材料/零部件的进货检验记录
- 关注关键物料供方的第二方审核
- 关注外协加工的控制(热处理、表面处理等工序外协)
服务业:
- 关注外包服务(保洁、安保、IT运维、物流等)的控制
- 关注对服务提供方的资质和人员能力要求
- 关注服务验收的准则和记录
工程/建筑行业:
- 关注材料供方的控制
- 关注分包商的评价和管理(工程分包往往风险更大)
- 关注特殊工种(焊工、脚手架工等)的人员资质要求
IT/软件开发企业:
- 关注外包开发的管理
- 关注第三方软件/组件的验证
- 关注云服务提供商的SLA管理
六、结语
第8.4条款看似只是一个"采购控制"条款,实则涵盖了供应链质量管理的全链条——从供方选择、评价、信息传递、验证到绩效监控和再评价。审核这个条款时,审核员需要有供应链管理的全局视角,既要看制度和流程是否完善,更要看实际执行是否到位。
真正有效的供方控制,不是把"管理要求"写在纸面上就算完事,而是要通过差异化的控制策略、实实在在的评价活动和持续不断的绩效监控,真正把供应链的质量风险管起来。
下次审核第8.4条款时,不妨尝试一下本文提到的倒查法和风险匹配分析法,相信你会发现比简单翻翻供方清单更精彩的审核故事。