ISO9000系列标准自1987年发布以来，经历了1994版、2000版和2008版的修改，形成了今天的ISO9001:2015标准。2015版ISO 9001标准较目前实施的2008版标准有许多重大变化，如采用新的结构、术语、概念的说明，引入风险管理、强化过程方法的应用、明确在不同类型和程度上对风险控制要求，同时对2008版有关外包部分诸多问题和困扰加以了说明。本文是近段时间对新版标准中有关“外部提供产品和服务控制的解读。

 

一、总体要求的变化

 

    2015版标准中对外部提供产品和服务控制的要求

 

    1、理解组织及其背景

    组织应确定外部和内部那些与其宗旨及其战略方向和影响质量管理体系实现预期结果的能力的事务。

 

    组织应监视并评审关于这些外部和内部事宜的信息。
 

    注1：外部环境，可以考虑法律、技术、竞争、市场、文化、社会和经济环境方面，不管是国际、国家、地区或本地。

    注2：内部环境，可以考虑与组织的价值观、文化知识和绩效相关的事宜。

 

    2、理解利益相关关方的需求和期望

    由于影响或有可能影响组织持续提供满足顾客需要，且符合相关法定法律和法规要求的产品与服务，组织应确定：

    a)与质量管理体系相关的利益相关方；

    b)与质量管理体系相关的利益相关方的要求。

    组织应监视并评审这些利益相关方及其相关信息要求。

 

    3、质量管理体系范围的确定

    组织应确定质量管理体系的边界和适用性，以确定其范围。

    在确定该范围时，组织应考虑：

    a)4.1中提到的内部和外部事宜；

    b)4.2中提到的利益相关方的要求；

    c)组织的产品和服务。

    如已经确定范围内的本国际标准的要求可以采用，则组织应该采用该要求。

    如本国际标准的要求不能采用，则不得影响组织确保产品和服务满足要求的能力和责任。

    该范围应以形成文件的信息的形式呈现并得以保持，并说明：

    质量管理体系所包括的产品和服务；

    判定不能采用本国际标准要求的情况。

 

    从ISO9001:2015标准0.1总则、第4章组织背景多处提到利益相关方，除了直接提供产品的供应商外，还有提供与组织相关的服务供应商以及来自内外部的相关方，基于风险控制，2015版对2008版有关外包内容的诸多问题和困扰，从术语、概念上给出了合理的解释。

 

二 、利益相关方 定义

 

    在2015版标准第3章的术语和定义中给出了利益相关方的定义：那就是能影响或某项决策或活动影响的个人或组织，例如，客户、所有者、组织内部人员、供应商、银行家、协会、合伙人或者竞争者、反对者在内的社会团体。

 

三、外包控制内容的修改

 

    从标准结构来看，2015版ISO9001标准修订内容删除了ISO9001:2008标准4.1总要求中“组织如果选择将影响产品符合要求的任何过程外包，应确保对这些过程的控制。对此类外包过程控制的类型和程度应在质量管理体系中加以规定以及注解”字样，将2008版标准中7.4 采购、7.4.1 采购过程 、7.4.2 采购信息、7.4.3 采购产品的验证更新为8.4外部供应产品和服务的控制、8.4.1 总则 、8.4.2 外部供应的控制类型和程度 、8.4.3 外部供应商的信息 。其控制核心思想： 组织应确保外部供应过程、产品和服务符合规定要求；组织应确保外部提供的过程、产品和服务对组织稳定地向顾客交付符合要求的产品和服务的能力没有负面影响；在与外部供方沟通前，组织应确保要求的充分性。

 

    究其内容来看，在ISO9001:2015标准中更强调内外部风险控制要求，明确外部组织对本组织可能带来的风险，更多的从组织及其背景和目标相关风险、组织顾客、其他利益相关方需求和期望以及一个组织的背景可以包括例如组织文化的内部因素和例如社会经济条件下组织运作的外部因素进行思考，从标准修订内容可以看出，2015版不仅仅是对影响产品符合性的外包过程进行控制，而已上升到组织宗旨、战略方向的层面。外部供应的控制类型和程度取决于这些过程、产品、服务活动中涉及的风险。它包括： 

         

    a) 外包过程对组织持续提供满足顾客和法律法规要求的产品的能力的潜在影响；

    b) 对外包过程控制的分担程度；

    c) 通过应用8.4实现所需控制的能力。

    组织应将这些过程包括在其质量管理体系范围内，并在“文件化的信息”上说明。

 

四、外包供应控制类型和程度

 

    外包供应控制类型和程度通常有：

    对外包方的调查、选择、评价与再评价；

    对规范/或过程的确认应作为与供方合同协议的一部分；

    对供方质量管理体系的要求；

    进厂检验、验证或现场检验、验证；

    实施第二方审核，以建立清晰的沟通渠道、明确产品规范和交货要求等。

 

    综上所述，不同或相同的外包过程，其控制方式是不同的，企业只有充分识别外包过程输出结果对产品符合性的影响程度，才能确定控制的程度和类型，从而明确控制方法，确保外包过程输出的结果满足符合产品要求。

 

    “外部提供的产品或服务”正如ISO9001:2015标准附录A-8中解释：“无论组织是从供应商处购买，还是通过外包或是其他方式(得到的产品或服务），要求组织采用基于风险的方法判断，对该外部供应商、外部提供的产品或服务进行恰当的控制。”

 

    有关外包的部分，尤其是何种产品或服务进行了或未进行外包的内容，在2008版的ISO 9001标准中一直带来诸多问题和困扰。而按照以上的解释，无论通过外包得到的是什么，都要求组织采用基于风险的方法。这一点规定，并且和前文讨论过的基于风险的方法这个概念紧密相连。

（本文有删减）