二）标准关于外包的要求。

    GB/T19001-2016关于外包控制的要求：

    7.1.1 （资源）总则 组织应确定并提供所需的资源，以建立、实施、保持和持续改进质量管理体系。组织应考虑：a）现有内部资源的能力局限；b）需要从外部供方获得的资

源。

    8.1 运行的策划和控制 组织应确保外包过程受控。

    8.4 外部提供的过程、产品和服务的控制。

    GB/T24001-2016关于外包和相关方控制的要求：

    4.3 确定环境管理体系的范围 组织应确定环境管理体系的边界和适用性，以确定其范围。确定范围时组织应考虑：e）其实施控制与施加影响的权限和能力。

    8.1 运行策划和控制 组织应确保对外包过程实施控制或施加影响，应在环境管理体系内规定对这些过程实施控制或施加影响的类型与程度。从生命周期观点出发，组织应：b）

适当时，确定产品和服务采购的环境要求；c）与外部供方（包括合同方）沟通组织的相关环境要求；d）考虑提供与其产品和服务的运输或交付、使用、寿命结束后处理和最终处置

相关的潜在重大环境影响的信息的需求。

    8.2 应急准备和响应 组织应：f）适当时，向有关的相关方，包括在组织控制下工作的人员提供与应急准备和响应相关的信息和培训。

    三）外包活动对体系运行和认证审核的风险有哪些：

    1. 由于外包是由外部组织完成的，对外包组织的控制相对于组织内部，较为困难。这些控制包括资源保障（包括设备、人力资源、信息等）、过程策划、过程控制、监视和测

量、产品标识和可追溯性等。

    2. 外包方作为一种资源，受限于地理区域或其它原因，有时是稀缺的，如电镀厂。一个区域可能仅存在一家电镀厂，产品需要电镀只能选择这一家，电镀厂就缺乏动力来迎合

组织提出的管理或协作要求。组织很难通过自身努力来改善这些现状。

    3. 外包的过程、产品和服务虽然对组织很重要，但外包费用不高，无法引起外包方的重视。如快递一台仪器，虽然运输过程中的产品防护非常重要，但由于快递费用有限，承

运方对产品防护的要求仅能按其快递规范来执行，企业很难对承运方施加足够的控制。这一现象在中小企业当中更为明显。

    4. 现代经济是分工和协作的经济，一个组织的外包活动通常非常多。认证审核组在有限的工作时间内对挑出的重要外包过程中进行检查，通常只能查个皮毛，仅对控制的形式

和结果作评价，对有效性和适宜性无法深入检查。

    5. 外包的运作和控制有时分布在采购部门之外，在其它部门检查时容易忽视对外包的审核。

    6. 认证准则中关于外包的要求描述的很抽象，审核组很难作出外包过程控制是否适宜、有效的结论。

    四）常见的外包形式和控制方法。

    1）常见的外包过程及存在形式：

    过程外包：设计外包、生产外包、工序（加工）外包、运输外包、售后外包等；

职能外包：培训外包、食堂管理外包、计量管理外包、设备维保外包、厂区物业外包等；

    2）外包活动控制的方法及分析：

    A）控制外包方整个管理体系的控制，参与外包方管理体系的策划和监视，如PPAP。

相关概念：

    Production Part Approval Process 生产件批准程序，即生产件认可过程,要求按照事先批准的程序生产,制造出的样件用于验证生产能力。

    需要提交的保证材料主要有生产件尺寸检验报告,外观检验报告,功能检验报告, 材料检验报告;还包括零件控制方法和供应商控制方法;

    主要是制造型企业要求供应商在提交产品时做PPAP文件及首件，只有当ppap文件全部合格后才能提交；当工程变更后还须提交报告。

    B）组织二方审核。以组织的名义对其供方实施现场审核并出具审核结论，审核准则由组织策划决定。外包方需对审核出具的不符合实施整改，并获得组织的认可。审核组可以

由组织直接派出，也可以外聘审核员或外包。

    C）体系或产品要求通过第三方认证或检测。要求外包方在承包前需获得指定或不指定认证机构的第三方管理体系认证证书，或要求外包方的产品通过第三方检测机构的委托试

验或产品认证，如RoHS认证。

    D）合同，质量保证和附加义务约定。一般情况下，组织均会与外包方签订有法律约束力的经济合同。通过合同来约束外包方的责任和义务。关键是看这些合同的条款，是否能

保护组织的预期和利益。如果仅仅是外包方的格式合同，通常不能满足体系有效性的要求。

    E）驻厂监造/质检/工程师。在外包过程非常重要，而外包方没有能力保证绩效时，可采用这种比较实用的措施。组织派出的人员，在现场参与策划，批准工艺，参与监视和测

量等等，能有力保证外包方的外包过程满足预期的要求。

F）供应商调查、评价和业绩监视。外包方在承接外包业务之前，需要获得组织的认可。这个认可活动包括外包方的资质能力调查和评价、产品试制或试用，以及持续的外包绩效监

视等。必要时，由组织委派审查组对外包方现场实施审查或（专业的、系统的、独立的）二方审核。这些是质量管理体系标准所要求的。环境管理体系则要求组织考虑将外包方的环

境义务列入评价准则之中，对确保对外包方实施足够的影响。

G）检验和验证。无论是外包还是采购，检验和验证是最有保证力的手段。检验需要投入检验所需资源，涉及管理成本，是组织考虑采用检验还是验证的主要因素。

五）认证审核应考虑的风险和有效性评价准则。

认证机构对申请组织实施认证审核并且颁发认证证书，是一种信用担保行为。认证机构根据经营环境和自身定位，以及相关方的期望和要求，制定认证评定的准则，对申请组织质量

和环境管理体系运行符合性和有效性实施审核和评价，最终作出认证决定。也就是说，对于不同的认证机构，不同的申请组织，会有不同的认证评定准则。而不能仅仅是符合法定要

求。

评价外包的风险和外包控制的有效性，可以考虑以下几个方面：

1）外包的产品、服务和过程，对组织质量和环境管理体系的影响有多大。

A）如果外包涉及相关方的强制性要求，如法律法规、与组织的顾客签订的合同等，当外包控制失效，就会涉及违法违规或违反合同等恶性事故发生。某些外包的产品、服务和过程

涉及安全性要求，比如说危化品运输，一旦失控，会造成对相关方（包括认证机构）带来很大的风险。

上述这些外包如果失控，应该成为认证评定的否决项。

B）有些外包过程虽然不涉及强制性要求，但对其公开申明的方针目标有较大的影响，或无法履行对相关方（如顾客）的承诺，或显著影响组织的体系运行（如因外包方未按时交付

而导致停产）。这些外包失控产生的风险，主要是会对相关方（顾客、员工、股东、社会等）的利益造成侵害。审核组应在现场评价其风险等级，并出具不符合报告或观察项。

C）实践中，有很多外包对管理体系的影响比较小。组织没有识别或没有实施严格的管理，并不会对管理体系的有效性带来比较大的影响。审核时应抓大放小，或仅与受审核方作适

当的交流。

2）外包控制方法的选择。前文已经描述了外包的几种常见的控制方法。实践中，组织常常是根据需要综合利用其中方法。每一种方法，对外包控制均有一定的效果（收益），但同

时也均需投入一定的资源（成本）。将收益与成本相比较，就是效率。