评价外包的风险和外包控制的有效性，可以考虑以下几个方面：

1）外包的产品、服务和过程，对组织质量和环境管理体系的影响有多大。

A）如果外包涉及相关方的强制性要求，如法律法规、与组织的顾客签订的合同等，当外包控制失效，就会涉及违法违规或违反合同等恶性事故发生。某些外包的产品、服务和过程涉及安全性要求，比如说危化品运输，一旦失控，会造成对相关方（包括认证机构）带来很大的风险。

上述这些外包如果失控，应该成为认证评定的否决项。

B）有些外包过程虽然不涉及强制性要求，但对其公开申明的方针目标有较大的影响，或无法履行对相关方（如顾客）的承诺，或显著影响组织的体系运行（如因外包方未按时交付而导致停产）。这些外包失控产生的风险，主要是会对相关方（顾客、员工、股东、社会等）的利益造成侵害。审核组应在现场评价其风险等级，并出具不符合报告或观察项。

C）实践中，有很多外包对管理体系的影响比较小。组织没有识别或没有实施严格的管理，并不会对管理体系的有效性带来比较大的影响。审核时应抓大放小，或仅与受审核方作适当的交流。

2）外包控制方法的选择。前文已经描述了外包的几种常见的控制方法。实践中，组织常常是根据需要综合利用其中方法。每一种方法，对外包控制均有一定的效果（收益），但同时也均需投入一定的资源（成本）。将收益与成本相比较，就是效率。

相关概念：

当组织基于效率的考虑选择了外包的控制方法，审核组应考虑这种选择是否会威胁到管理体系的有效运行和相关方（如顾客、社会、员工等）的利益，而不仅仅是组织的资源提供能力或成本控制的需要。

以下几种情况，可以认为外包的控制方法或控制效果未达到认证要求：

A）不符合GB/T19001-2016《质量管理体系 要求》和GB/T24001-2016《环境管理体系 要求及使用指南》二个标准关于外包控制的条款要求；

B）外包的控制程度无法保证产品（和服务）的质量符合规定的要求，如产品的质量特性无法得到验证，无法向相关方证明外包质量受控；

C）外包的实际控制效果影响了与相关方签订的合同（如销售订单或与社区签订的环保约定）的履行，如交付时间；

D）外包产生的经济损失和运营风险，使组织无法保证具备稳定地履行与相关方签订合同的能力；

E）外包的控制效果无法保证组织各层次目标指标的实现。

综上所述，认证审核组应在组织选择外包控制方法所考虑的效率，和认证风险之间取得一个适当的平衡。既不能片面强调组织的资源能力或经济效益，也不能妄顾认证机构的认证风险。