1. 由于外包是由外部組織完成的，對外包組織的控制相對于組織內(nèi)部，較為困難。這些控制包括資源保障（包括設(shè)備、人力資源、信息等）、過程策劃、過程控制、監(jiān)視和測量、產(chǎn)品標(biāo)識和可追溯性等。 2. 外包方作為一種資源，受限于地理區(qū)域或其它原因，有時是稀缺的，如電鍍廠。一個區(qū)域可能僅存在一家電鍍廠，產(chǎn)品需要電鍍只能選擇這一家，電鍍廠就缺乏動力來迎合組織提出的管理或協(xié)作要求。組織很難通過自身努力來改善這些現(xiàn)狀。 3. 外包的過程、產(chǎn)品和服務(wù)雖然對組織很重要，但外包費(fèi)用不高，無法引起外包方的重視。如快遞一臺儀器，雖然運(yùn)輸過程中的產(chǎn)品防護(hù)非常重要，但由于快遞費(fèi)用有限，承運(yùn)方對產(chǎn)品防護(hù)的要求僅能按其快遞規(guī)范來執(zhí)行，企業(yè)很難對承運(yùn)方施加足夠的控制。這一現(xiàn)象在中小企業(yè)當(dāng)中更為明顯。 4. 現(xiàn)代經(jīng)濟(jì)是分工和協(xié)作的經(jīng)濟(jì)，一個組織的外包活動通常非常多。認(rèn)證審核組在有限的工作時間內(nèi)對挑出的重要外程中進(jìn)行檢查，通常只能查個皮毛，僅對控制的形式和結(jié)果作評價，對有效性和適宜性無法深入檢查。 5. 外包的運(yùn)作和控制有時分布在采購部門之外，在其它部門檢查時容易忽視對外包的審核。 6. 認(rèn)證準(zhǔn)則中關(guān)于外包的要求描述的很抽象，審核組很難作出外程控制是否適宜、有效的結(jié)論。 四）常見的外包形式和控制方法。 1）常見的外程及存在形式： 過程外包：設(shè)計外包、生產(chǎn)外包、工序（加工）外包、運(yùn)輸外包、售后外包等； 職能外包：培訓(xùn)外包、食堂管理外包、計量管理外包、設(shè)備維保外包、廠區(qū)物業(yè)外包等； 2）外包活動控制的方法及分析： A）控制外包方整個管理體系的控制，參與外包方管理體系的策劃和監(jiān)視，如PPAP。 相關(guān)概念： Production Part Approval Process 生產(chǎn)件批準(zhǔn)程序，即生產(chǎn)件認(rèn)可過程,要求按照事先批準(zhǔn)的程序生產(chǎn),制造出的樣件用于驗(yàn)證生產(chǎn)能力。 需要提交的保證材料主要有生產(chǎn)件尺寸檢驗(yàn)報告,外觀檢驗(yàn)報告,功能檢驗(yàn)報告, 材料檢驗(yàn)報告;還包括零件控制方法和供應(yīng)商控制方法; 主要是制造型企業(yè)要求供應(yīng)商在提交產(chǎn)品時做PPAP文件及首件，只有當(dāng)ppap文件全部合格后才能提交；當(dāng)工程變更后還須提交報告。 B）組織二方審核。以組織的名義對其供方實(shí)施現(xiàn)場審核并出具審核結(jié)論，審核準(zhǔn)則由組織策劃決定。外包方需對審核出具的不符合實(shí)施整改，并獲得組織的認(rèn)可。審核組可以由組織直接派出，也可以外聘審核員或外包。 C）體系或產(chǎn)品要求通過第三方認(rèn)證或檢測。要求外包方在承包前需獲得指定或不指定認(rèn)證機(jī)構(gòu)的第三方管理體系認(rèn)證，或要求外包方的產(chǎn)品通過第三方檢測機(jī)構(gòu)的委托試驗(yàn)或產(chǎn)品認(rèn)證，如RoHS認(rèn)證。 D）合同，質(zhì)量保證和附加義務(wù)約定。一般情況下，組織均會與外包方簽訂有法律約束力的經(jīng)濟(jì)合同。通過合同來約束外包方的責(zé)任和義務(wù)。關(guān)鍵是看這些合同的條款，是否能保護(hù)組織的預(yù)期和利益。如果僅僅是外包方的格式合同，通常不能滿足體系有效性的要求。 E）駐廠監(jiān)造/質(zhì)檢/工程師。在外程非常重要，而外包方?jīng)]有能力保證績效時，可采用這種比較實(shí)用的措施。組織派出的人員，在現(xiàn)場參與策劃，批準(zhǔn)工藝，參與監(jiān)視和測量等等，能有力保證外包方的外程滿足預(yù)期的要求。 F）供應(yīng)商調(diào)查、評價和業(yè)績監(jiān)視。外包方在承接外包業(yè)務(wù)之前，需要獲得組織的認(rèn)可。這個認(rèn)可活動包括外包方的資質(zhì)能力調(diào)查和評價、產(chǎn)品試制或試用，以及持續(xù)的外包績效監(jiān)視等。必要時，由組織委派審查組對外包方現(xiàn)場實(shí)施審查或（專業(yè)的、系統(tǒng)的、獨(dú)立的）二方審核。這些是質(zhì)量管理體系標(biāo)準(zhǔn)所要求的。環(huán)境管理體系則要求組織考慮將外包方的環(huán)境義務(wù)列入評價準(zhǔn)則之中，對確保對外包方實(shí)施足夠的影響。 G）檢驗(yàn)和驗(yàn)證。無論是外包還是采購，檢驗(yàn)和驗(yàn)證是有保證力的手段。檢驗(yàn)需要投入檢驗(yàn)所需資源，涉及管理成本，是組織考慮采用檢驗(yàn)還是驗(yàn)證的主要因素。 五）認(rèn)證審核應(yīng)考慮的風(fēng)險和有效性評價準(zhǔn)則。 認(rèn)證機(jī)構(gòu)對申請組織實(shí)施認(rèn)證審核并且頒發(fā)認(rèn)證，是一種信用擔(dān)保行為。認(rèn)證機(jī)構(gòu)根據(jù)經(jīng)營環(huán)境和自身定位，以及相關(guān)方的期望和要求，制定認(rèn)證評定的準(zhǔn)則，對申請組織質(zhì)量和環(huán)境管理體系運(yùn)行符合性和有效性實(shí)施審核和評價，終作出認(rèn)證決定。也就是說，對于不同的認(rèn)證機(jī)構(gòu)，不同的申請組織，會有不同的認(rèn)證評定準(zhǔn)則。而不能僅僅是符合法定要求。 評價外包的風(fēng)險和外包控制的有效性，可以考慮以下幾個方面： 1）外包的產(chǎn)品、服務(wù)和過程，對組織質(zhì)量和環(huán)境管理體系的影響有多大。 A）如果外包涉及相關(guān)方的強(qiáng)制性要求，如法律法規(guī)、與組織的顧客簽訂的合同等，當(dāng)外包控制失效，就會涉及違法違規(guī)或違反合同等惡性事故發(fā)生。某些外包的產(chǎn)品、服務(wù)和過程涉及性要求，比如說危化品運(yùn)輸，一旦失控，會造成對相關(guān)方（包括認(rèn)證機(jī)構(gòu)）帶來很大的風(fēng)險。 上述這些外包如果失控，應(yīng)該成為認(rèn)證評定的否決項。 B）有些外程雖然不涉及強(qiáng)制性要求，但對其公開申明的方針目標(biāo)有較大的影響，或無法履行對相關(guān)方（如顧客）的承諾，或顯著影響組織的體系運(yùn)行（如因外包方未按時交付而導(dǎo)致停產(chǎn)）。這些外包失控產(chǎn)生的風(fēng)險，主要是會對相關(guān)方（顧客、員工、股東、社會等）的利益造成侵害。審核組應(yīng)在現(xiàn)場評價其風(fēng)險等級，并出具不符合報告或觀察項。 C）實(shí)踐中，有很多外包對管理體系的影響比較小。組織沒有識別或沒有實(shí)施嚴(yán)格的管理，并不會對管理體系的有效性帶來比較大的影響。審核時應(yīng)抓大放小，或僅與受審核方作適當(dāng)?shù)慕涣鳌? 2）外包控制方法的選擇。前文已經(jīng)描述了外包的幾種常見的控制方法。實(shí)踐中，組織常常是根據(jù)需要綜合利用其中方法。每一種方法，對外包控制均有一定的效果（收益），但同時也均需投入一定的資源（成本）。將收益與成本相比較，就是效率。 以下幾種情況，可以認(rèn)為外包的控制方法或控制效果未達(dá)到認(rèn)證要求： A）不符合GB/T19001-2016《質(zhì)量管理體系 要求》和GB/T24001-2016《環(huán)境管理體系 要求及使用指南》二個標(biāo)準(zhǔn)關(guān)于外包控制的條款要求； B）外包的控制程度無法保證產(chǎn)品（和服務(wù)）的質(zhì)量符合規(guī)定的要求，如產(chǎn)品的質(zhì)量特性無法得到驗(yàn)證，無法向相關(guān)方證明外包質(zhì)量受控； C）外包的實(shí)際控制效果影響了與相關(guān)方簽訂的合同（如銷售訂單或與社區(qū)簽訂的環(huán)保約定）的履行，如交付時間； D）外包產(chǎn)生的經(jīng)濟(jì)損失和運(yùn)營風(fēng)險，使組織無法保證具備穩(wěn)定地履行與相關(guān)方簽訂合同的能力； E）外包的控制效果無法保證組織各層次目標(biāo)指標(biāo)的實(shí)現(xiàn)。 綜上所述，認(rèn)證審核組應(yīng)在組織選擇外包控制方法所考慮的效率，和認(rèn)證風(fēng)險之間取得一個適當(dāng)?shù)钠胶?。既不能片面?qiáng)調(diào)組織的資源能力或經(jīng)濟(jì)效益，也不能妄顧認(rèn)證機(jī)構(gòu)的認(rèn)證風(fēng)險。

ISO27001認(rèn)證體系信息業(yè)務(wù)連續(xù)性審核示便供參考。 ISO27001認(rèn)證體系業(yè)務(wù)連續(xù)性審核目的 1）組織是否進(jìn)行了關(guān)鍵業(yè)務(wù)分析; 2）組織是否分析了關(guān)鍵業(yè)務(wù)對信息資產(chǎn)的依賴程度; 3）組織是否建立了業(yè)務(wù)連續(xù)性框架; 4）組織確定的業(yè)務(wù)連續(xù)性信息管理方面的管理流程是否完整; 5）組織是否針對關(guān)鍵業(yè)務(wù)分別制定了業(yè)務(wù)連續(xù)性計劃; 6）組織是否針對與關(guān)鍵業(yè)務(wù)密切相關(guān)的高風(fēng)險信息資產(chǎn)制定了完整的信息業(yè)務(wù)連續(xù)性計劃; 7）組織是否針對業(yè)務(wù)連續(xù)性計劃制定了演練計劃; 8）組織是否針對信息業(yè)務(wù)連續(xù)性計劃制定了演練計劃; 9）組織是否組織了業(yè)務(wù)連續(xù)性演練; 10）組織是否組織了信息業(yè)務(wù)連續(xù)性演練; 11）組織進(jìn)行的信息業(yè)務(wù)連續(xù)性演練是否滿足三年全覆蓋要求; 12）組織是否進(jìn)行了業(yè)務(wù)連續(xù)性演練分析; 13）組織是否進(jìn)行了信息業(yè)務(wù)連續(xù)性分析; 14）組織是否依據(jù)信息業(yè)務(wù)連續(xù)性分析結(jié)果，對信息業(yè)務(wù)連續(xù)性演練計劃、信息業(yè)務(wù)連續(xù)性計劃、業(yè)務(wù)連續(xù)性信息管理方面的管理流程進(jìn)行適當(dāng)?shù)恼{(diào)整; 15）組織是杏出現(xiàn)過引起關(guān)鍵業(yè)務(wù)中斷的信息事件;如出現(xiàn)，是否依據(jù)信息、業(yè)務(wù)連續(xù)性計劃實(shí)現(xiàn)了關(guān)鍵業(yè)務(wù)的恢復(fù)目標(biāo)，特別是有沒有關(guān)聯(lián)信息資產(chǎn)影響恢復(fù)目標(biāo)實(shí)現(xiàn) 上述內(nèi)容既是ISO27001認(rèn)證機(jī)構(gòu)審核的目的，也應(yīng)是企業(yè)實(shí)施ISO27001認(rèn)證體系及內(nèi)審參考。以下審核步驟 1.ISO27001認(rèn)證體系業(yè)務(wù)連續(xù)性程序檢查 a) 業(yè)務(wù)連續(xù)性管理程序完整性; b) 關(guān)鍵業(yè)務(wù)分析報告、業(yè)務(wù)連續(xù)性計劃、業(yè)務(wù)連續(xù)性演練計劃等的發(fā)布與控制 2.ISO27001認(rèn)證體系業(yè)務(wù)連續(xù)性報告檢查 a) 關(guān)鍵業(yè)務(wù)進(jìn)行了分析; b) 關(guān)鍵業(yè)務(wù)對信息與信息系統(tǒng)的依賴程度分析; c) 信息對關(guān)鍵業(yè)務(wù)的連續(xù)性影響因素分析; d) 對所有影響因素制定了可操作的具體業(yè)務(wù)連續(xù)性保證計劃; c)各種演練記錄完整性; f) 各種演練分析報告完整性合理抽樣審 3.ISO27001認(rèn)證體系業(yè)務(wù)連續(xù)性演練檢查 a) 演練計劃; b) 演練方式; c) 演練內(nèi)容; d) 演練記錄; e) 演練分析 4.ISO27001認(rèn)證體系業(yè)務(wù)連續(xù)性事件檢查 a) 事件記錄； b) 事件處理方式; c)事件影響分析: d) 業(yè)務(wù)連續(xù)性恢復(fù)記錄

iso9001:2015認(rèn)證中的外部供方有哪些要求? ISO 9001：2015標(biāo)準(zhǔn)中給出的例子包括為組織提供產(chǎn)品或服務(wù)的供應(yīng)商、承包方、生產(chǎn)商、分銷商、零售商或小商小販。外包機(jī)構(gòu)是執(zhí)行組織的部分職能或過程的外部組織。 ISO 9001：2015的8.4條款是有關(guān)外部提供過程、產(chǎn)品和服務(wù)控制的相關(guān)要求。但與外部供方的相關(guān)活動在本標(biāo)準(zhǔn)的其他條款也有提及或意指。 4.1條款“理解組織及其所處環(huán)境”要求“組織應(yīng)確定與其宗旨和戰(zhàn)略方向相關(guān)并影響其實(shí)現(xiàn)質(zhì)量管理體系預(yù)期結(jié)果的能力的各種外部和內(nèi)部因素”。 這個條款指出的情況可能是個問題，也可能是個積極的因素。組織的關(guān)鍵外部供方可能處于整合、能力擴(kuò)張或探索新領(lǐng)域的不同發(fā)展階段。這種情況可能是積極的，因?yàn)樗赡苡兄诮M織的發(fā)展或顧客滿意度。 如果您的組織在技術(shù)發(fā)展和收入上長期依賴外部供方，那么您的組織必須對相關(guān)的因素保持適當(dāng)?shù)年P(guān)注和評價。因?yàn)檫@是4.1條款的要求。 外部供方也可能是4.2條款涉及的相關(guān)方，“組織應(yīng)對相關(guān)方及其要求的相關(guān)信息進(jìn)行監(jiān)控和評審”。 有些人會問，“對外部供方有哪些要求”？這方面應(yīng)考慮諸如是否有公正而透明的招標(biāo)及付款程序，供方的產(chǎn)品和服務(wù)的質(zhì)量，或者它的生命周期管理等內(nèi)容。 5.2.2.C條款要求組織所制定的質(zhì)量方針“可為相關(guān)方所獲取”。許多組織在與其相關(guān)方簽署的合約中包括了對外部供方的質(zhì)量要求。組織的質(zhì)量方針可以在這些文件中明確，也可以在其官網(wǎng)上顯示。這僅是滿足本條款要求的兩種可參考方法。 這個條款旨在確保外部供方了解組織的質(zhì)量追求和組織的意圖，因此，如果您的組織在方針中提出“世界 品質(zhì)”或“卓越績效”之類的方向，那么外部供方就更理解在雙方協(xié)議中強(qiáng)調(diào)的質(zhì)量、可靠性和按時交貨的高期望值。 外部供方要求 ISO 9001：2015 8.4.1條款要求“組織應(yīng)確保由外部供方提供的過程、產(chǎn)品和服務(wù)符合要求”。這意味著組織在做出采購決定時，組織已經(jīng)進(jìn)行了全盤的考慮，對需要采購的商品或外購的服務(wù)非常清楚，并且明白使用外部供方的風(fēng)險和機(jī)遇。 供方的風(fēng)險和機(jī)遇可能因交付產(chǎn)品或服務(wù)方式的不同而有所區(qū)別?？赡苡幸韵虑樾危? 供方的產(chǎn)品或服務(wù)作為組織的整體報價一部分的，比如，作為產(chǎn)品清單中的一部分零部件，或作為咨詢服務(wù)，或第三儲服務(wù)； 以組織的名義將產(chǎn)品或服務(wù)直接提供給客戶，比如現(xiàn)場產(chǎn)品安裝服務(wù)，或運(yùn)營服務(wù)，或維修服務(wù)； 向客戶提供的過程，比如維修服務(wù)的過程之一——在保修替換服務(wù)時回收有缺陷零部件的工作。 識別并應(yīng)用準(zhǔn)則 在編制對外部供方的評價和選擇準(zhǔn)則時，考慮的重要因素宜包括諸如質(zhì)量、按時交貨、成本或供方的環(huán)境可持續(xù)性等內(nèi)容。決定使用一個供方時，應(yīng)考慮在整個生命周期的使用成本而不僅僅是初始成本，這是非常重要的。 在外購產(chǎn)品或服務(wù)的時候考慮相關(guān)的風(fēng)險和機(jī)遇，可以思考以下問題：“對哪些外部供方需要采取這種控制措施？”“不采取任何措施的風(fēng)險是否可接受？”“與該供方建立長期的合作關(guān)系是否能帶來機(jī)遇，比如能夠帶來技術(shù)的進(jìn)步或者有合作創(chuàng)新的潛力？” 評價和選擇 可以用一個跨部門的團(tuán)隊對外部供方進(jìn)行現(xiàn)場評價，去判定供方是否具備滿足當(dāng)前和未來需求的能力。 在評價未來需求時一定要考慮靈活性。在滿足需求方面大部分的外部供方都有一定的彈性，但是有可能他們的產(chǎn)品或服務(wù)質(zhì)量會受到很大影響。 進(jìn)行評價的結(jié)果應(yīng)體現(xiàn)在對外部供方的選擇或資格狀態(tài)做出的結(jié)論，如批準(zhǔn)，有條件的批準(zhǔn)或不批準(zhǔn)。評價小組可能需要完成其他的盡職調(diào)查工作，比如由客戶要求的或由于商品的特殊性決定的生產(chǎn)件批準(zhǔn)程序。 績效監(jiān)視 對外部供方的先期評價和選擇需要明確供方是否具備交付組織需要的產(chǎn)品或服務(wù)的能力并建立了相關(guān)流程。對供方績效的監(jiān)視則將之前的評價和實(shí)際結(jié)果聯(lián)系起來。沒有結(jié)果的流程是無用的，而沒有流程的結(jié)果則是不可持續(xù)的。 對供方進(jìn)行的定期績效評價能確保一致的表現(xiàn)和持續(xù)改進(jìn)。這種評價不能僅僅停留在文件審核上。在評價時組織必須深入了解供方，并提供切實(shí)有助于供方改進(jìn)的反饋信息。對風(fēng)險和機(jī)遇進(jìn)行定期評價以確保及時采取相關(guān)措施也是必要的，這樣能夠確保及時發(fā)現(xiàn)新情況并納入監(jiān)視范圍。這種的監(jiān)視有助于確保減少風(fēng)險、有效改進(jìn)并且避免因供方組織內(nèi)部原因造成產(chǎn)品和服務(wù)質(zhì)量的下降。 再評價 供方的情況可能發(fā)生各種變化。供方的管理、工作優(yōu)先重點(diǎn)可能會有變化，有時產(chǎn)品或者流程方面的調(diào)整也可能未及時與組織溝通。根據(jù)績效指標(biāo)，供方的業(yè)務(wù)成熟度以及產(chǎn)品或服務(wù)的關(guān)鍵急迫程度，組織可以選擇對供方實(shí)施再評價的安排；再評價可以是完整的評價，也可以是針對某些領(lǐng)域的評價。 新版標(biāo)準(zhǔn)8.4.2 D條款要求組織“確定必要的驗(yàn)證或其他活動，以確保外部提供的過程、產(chǎn)品和服務(wù)滿足要求”。為了滿足這項要求，組織需要實(shí)施定期的現(xiàn)場審核，控制進(jìn)貨質(zhì)量，實(shí)行持續(xù)的可靠性測試，采用嚴(yán)謹(jǐn)?shù)淖兏鷾?zhǔn)制度并確保持續(xù)和有效的溝通。 財產(chǎn)控制 8.5.3 條款擴(kuò)展了財產(chǎn)控制的外延，現(xiàn)在的范圍已不僅僅包括組織的顧客，也將外部供方包括在內(nèi)。 這種控制可以是雙向的， 可以是外部供方對發(fā)包方組織財產(chǎn)的控制，也可以是組織對外部供方財產(chǎn)的控制。組織可能把以下財產(chǎn)委托給外部供方：原料；專有工具的運(yùn)輸；組織的產(chǎn)品或服務(wù)使用到的軟件。 外部供方的財產(chǎn)可以是有形的，比如設(shè)備、原料、工具、裝置或圖紙；也可以是無形的，比如提供知識產(chǎn)權(quán)類信息。組織必須按照合同約定明確責(zé)任和義務(wù)，并且妥善保管外部供方的財產(chǎn)。 對于安裝或使用在組織的產(chǎn)品或服務(wù)上的外部供方財產(chǎn)，組織也需要明確對其進(jìn)行識別、核查、保護(hù)并保全的責(zé)任，這也包括明確定期維修的責(zé)任。組織還要確保制定了財產(chǎn)丟失、財產(chǎn)損毀或發(fā)現(xiàn)不合用情況下的報告流程。 9.1.3條款和9.3條款的“分析與評價”及“管理評審”也涉及了外部供方的內(nèi)容。9.1.3要求進(jìn)行適當(dāng)?shù)臄?shù)據(jù)信息分析與評價，且這些數(shù)據(jù)和信息是來自對供方績效的監(jiān)視與測量活動。9.3.2.C7管理評審應(yīng)考慮將關(guān)注外部供方的績效作為輸入內(nèi)容之一，這方面信息可以包括基于對供方的監(jiān)視和測量得到的風(fēng)險與機(jī)遇的相關(guān)信息。