1. 由于外包是由外部组织完成的，对外包组织的控制相对于组织内部，较为困难。这些控制包括资源保障（包括设备、人力资源、信息等）、过程策划、过程控制、监视和测量、产品标识和可追溯性等。 2. 外包方作为一种资源，受限于地理区域或其它原因，有时是稀缺的，如电镀厂。一个区域可能仅存在一家电镀厂，产品需要电镀只能选择这一家，电镀厂就缺乏动力来迎合组织提出的管理或协作要求。组织很难通过自身努力来改善这些现状。 3. 外包的过程、产品和服务虽然对组织很重要，但外包费用不高，无法引起外包方的重视。如快递一台仪器，虽然运输过程中的产品防护非常重要，但由于快递费用有限，承运方对产品防护的要求仅能按其快递规范来执行，企业很难对承运方施加足够的控制。这一现象在中小企业当中更为明显。 4. 现代经济是分工和协作的经济，一个组织的外包活动通常非常多。认证审核组在有限的工作时间内对挑出的重要外程中进行检查，通常只能查个皮毛，仅对控制的形式和结果作评价，对有效性和适宜性无法深入检查。 5. 外包的运作和控制有时分布在采购部门之外，在其它部门检查时容易忽视对外包的审核。 6. 认证准则中关于外包的要求描述的很抽象，审核组很难作出外程控制是否适宜、有效的结论。 四）常见的外包形式和控制方法。 1）常见的外程及存在形式： 过程外包：设计外包、生产外包、工序（加工）外包、运输外包、售后外包等； 职能外包：培训外包、食堂管理外包、计量管理外包、设备维保外包、厂区物业外包等； 2）外包活动控制的方法及分析： A）控制外包方整个管理体系的控制，参与外包方管理体系的策划和监视，如PPAP。 相关概念： Production Part Approval Process 生产件批准程序，即生产件认可过程要求按照事先批准的程序生产制造出的样件用于验证生产能力。 需要提交的保证材料主要有生产件尺寸检验报告外观检验报告功能检验报告 材料检验报告;还包括零件控制方法和供应商控制方法; 主要是制造型企业要求供应商在提交产品时做PPAP文件及首件，只有当ppap文件全部合格后才能提交；当工程变更后还须提交报告。 B）组织二方审核。以组织的名义对其供方实施现场审核并出具审核结论，审核准则由组织策划决定。外包方需对审核出具的不符合实施整改，并获得组织的认可。审核组可以由组织直接派出，也可以外聘审核员或外包。 C）体系或产品要求通过第三方认证或检测。要求外包方在承包前需获得指定或不指定认证机构的第三方管理体系认证，或要求外包方的产品通过第三方检测机构的委托试验或产品认证，如RoHS认证。 D）合同，质量保证和附加义务约定。一般情况下，组织均会与外包方签订有法律约束力的经济合同。通过合同来约束外包方的责任和义务。关键是看这些合同的条款，是否能保护组织的预期和利益。如果仅仅是外包方的格式合同，通常不能满足体系有效性的要求。 E）驻厂监造/质检/工程师。在外程非常重要，而外包方没有能力保证绩效时，可采用这种比较实用的措施。组织派出的人员，在现场参与策划，批准工艺，参与监视和测量等等，能有力保证外包方的外程满足预期的要求。 F）供应商调查、评价和业绩监视。外包方在承接外包业务之前，需要获得组织的认可。这个认可活动包括外包方的资质能力调查和评价、产品试制或试用，以及持续的外包绩效监视等。必要时，由组织委派审查组对外包方现场实施审查或（专业的、系统的、独立的）二方审核。这些是质量管理体系标准所要求的。环境管理体系则要求组织考虑将外包方的环境义务列入评价准则之中，对确保对外包方实施足够的影响。 G）检验和验证。无论是外包还是采购，检验和验证是有保证力的手段。检验需要投入检验所需资源，涉及管理成本，是组织考虑采用检验还是验证的主要因素。 五）认证审核应考虑的风险和有效性评价准则。 认证机构对申请组织实施认证审核并且颁发认证，是一种信用担保行为。认证机构根据经营环境和自身定位，以及相关方的期望和要求，制定认证评定的准则，对申请组织质量和环境管理体系运行符合性和有效性实施审核和评价，终作出认证决定。也就是说，对于不同的认证机构，不同的申请组织，会有不同的认证评定准则。而不能仅仅是符合法定要求。 评价外包的风险和外包控制的有效性，可以考虑以下几个方面： 1）外包的产品、服务和过程，对组织质量和环境管理体系的影响有多大。 A）如果外包涉及相关方的强制性要求，如法律法规、与组织的顾客签订的合同等，当外包控制失效，就会涉及违法违规或违反合同等恶性事故发生。某些外包的产品、服务和过程涉及性要求，比如说危化品运输，一旦失控，会造成对相关方（包括认证机构）带来很大的风险。 上述这些外包如果失控，应该成为认证评定的否决项。 B）有些外程虽然不涉及强制性要求，但对其公开申明的方针目标有较大的影响，或无法履行对相关方（如顾客）的承诺，或显著影响组织的体系运行（如因外包方未按时交付而导致停产）。这些外包失控产生的风险，主要是会对相关方（顾客、员工、股东、社会等）的利益造成侵害。审核组应在现场评价其风险等级，并出具不符合报告或观察项。 C）实践中，有很多外包对管理体系的影响比较小。组织没有识别或没有实施严格的管理，并不会对管理体系的有效性带来比较大的影响。审核时应抓大放小，或仅与受审核方作适当的交流。 2）外包控制方法的选择。前文已经描述了外包的几种常见的控制方法。实践中，组织常常是根据需要综合利用其中方法。每一种方法，对外包控制均有一定的效果（收益），但同时也均需投入一定的资源（成本）。将收益与成本相比较，就是效率。 以下几种情况，可以认为外包的控制方法或控制效果未达到认证要求： A）不符合GB/T19001-2016《质量管理体系 要求》和GB/T24001-2016《环境管理体系 要求及使用指南》二个标准关于外包控制的条款要求； B）外包的控制程度无法保证产品（和服务）的质量符合规定的要求，如产品的质量特性无法得到验证，无法向相关方证明外包质量受控； C）外包的实际控制效果影响了与相关方签订的合同（如销售订单或与社区签订的环保约定）的履行，如交付时间； D）外包产生的经济损失和运营风险，使组织无法保证具备稳定地履行与相关方签订合同的能力； E）外包的控制效果无法保证组织各层次目标指标的实现。 综上所述，认证审核组应在组织选择外包控制方法所考虑的效率，和认证风险之间取得一个适当的平衡。既不能片面强调组织的资源能力或经济效益，也不能妄顾认证机构的认证风险。

ISO20000认证核心过程 ISO20000IT服务管理规范吸收了管理体系的成功实施经验，继续采用PDCA管理模式作为IT服务管理体系持续改进模型的基础，将业务要求和客户要求作为主要的出发点和终的着陆点，通过对主要服务过程的有序化管理，促使业务成果和顾客满意的达成。 同时，ISO20000将IT服务管理的过程基于业界 的管理实践，分为5个过程域，13个过程包括如下: 2.2.1服务交付过程 服务等级管理服务等级管理的目标是通过协调IT用户和提供者双方的观点，实现特定的、一致的、可测量的服务水平，为客户节省成本、提高用户生产率 服务报告为有效沟通和制定决策而及时编制的可靠的、准确的并达成一致的报告。强调与客户的沟通和服务结果与客户要求的符合性的一致性转自项目管理者联盟 服务持续性及可用性管理持续性管理是确保在尽量少地中断客户业务情况下，提供IT服务，并在IT系统出现问题时，以可控的方式恢复;可用性管理的目标是优化IT基础设施的性能，它的服务和支持的组织。可用性管理导致成本节省的、持续的服务可用性水平，这种服务可用性确保业务满足其目标 IT 服务的预算及核算确定IT服务的预算，监督预算执行情况，根据提供的服务收取费用 容量管理使组织在危机出现时管理资源并提前预测需要的额外的能力。它描述了计划、实施和运行该过程必需的规程 信息管理在所有服务活动中有效地管理信息项目经理博客 2.2.2关系过程 业务关系管理基于对客户及其业务驱动的理解，确保在服务提供者和客户之间建立并保持良好的关系 供应商管理通过对第三方供应商的良好管理，确保提供无缝的高质量的服务项目管理培训 2.2.3解决过程项目管理培训 事件管理尽快将业务恢复到协定的服务级别，或尽快响应服务请求 问题管理通过主动识别和分析服务事件的根源，管理问题的解决方案，来减小对业务的破坏 2.2.4控制过程项目管理培训 配置管理定义并控制服务和基础设施的组件，保持配置信息的准确性 变更管理确保所有的变更都在受控方式下被评估、批准、实施和评审 2.2.5发布过程 发布管理把一个或多个变更作为一个发布来交付、分发、追溯到真实环境中项目管理者联盟 3.为什么要实施基于ISO20000标准的IT服务管理 随着市场竞争的加剧和电子商务在世界范围内的兴起，现在的企业必须持续不断地和快速地对其业务进行管理和变革。这些企业的业务很大一部分越来越依赖于其IT系统来提供使客户满意的服务，正因为如此，一个稳健而又灵活的IT解决方案对这些企业而言是至关重要。项目经理圈子 这类解决方案首先当然应当满足企业的业务需求，但同样重要的是这些方案本身应该是易于管理的，否则他们对业务的支持得不到保障。因此，为提高服务管理的效率和效果所做的投资并不是可有可无的，相反，它为业务的成功运作提供了坚实可靠的基础。 为了实现高质量的服务管理，我们可以借鉴使用经过实践证明确实行之有效的服务管理“ 实践”。这些实践在英国商务部开发的ITIL系列指南和英国率先开发的 标准BS15000实施基础上，终形成了ISO20000国际标准。因此基于ISO20000来实施IT服务管理，是具有可信的坚实基础。 经验表明，企业通过实施基于ISO20000的IT服务管理方案可以取得良好的效益，包括：blog.mypm.net 3.1 将IT和企业业务进行更好的整合。项目管理者联盟文章 3.2 提高IT服务的质量，降低IT服务的成本，从而提高了IT投资价值。 3.3 使IT成为更有效的业务变革手段。 3.4 更好的发挥员工的作用，提高了员工的工作积极性。 而IT服务提供商通过基于ISO20000有效实施IT服务管理，就能向其国内外客户广泛地证实其服务提供的能力，给客户提供广泛认可的信心，从而增强其市场竞争优势。 4.结合企业实际情况实施IT服务管理 IT服务管理体系的建设是一个长期的过程，它是IT服务从运行中心向服务中心、利润中心转变的良好契机。结合企业的实际情况，在涉及到具体的IT服务管理实施时，建议遵循以下五项原则：突出重点，逐步实施。切中要害，准确定义。适度调整，优化流程。选择工具，强化实施。与企业文化相符。 IT服务外包(IT Outsourcing Managed Service)就是把企业和个人的信息化建设或维护工作的全部或部分交给专业化的IT服务公司来做。对提供IT外包服务的企业来说，ISO20000是进入IT服务市场的一块敲门砖。 Gartner Group的调查发现，在经常出现的问题中，源自技术或产品 (包括硬件、软件、网络、电力失常及天灾等)方面的其实只占了20%，而流程失误方面的占40%，人员流失方面的占40%。流程失误包括变更管理没有做好、超载、没有测试等程序上的错误或不完整，人员疏失包括忘了做某些事情、训练不足、备份错误或疏忽等。 笔者公司信息化平台包括硬件平台、软件平台、网络平台。硬件平台包括逾1600台台式电脑、笔记本电脑、打印机、传真机、复印机等办公设备。软件平台包括常用办公软件、金蝶K/3 V12.2 ERP系统、金蝶HR系统、金蝶OA协同办公系统、CAXA设计和图文档管理系统、天盾文档系统、ESET NOD32网络版防病毒软件等。网络平台包括综合布线系统、网络规划和机房系统、监控报警系统、考勤门禁食堂一卡通系统、公共广播系统、办公电话系统。其中综合布线包括电脑信息点和电话语音点2000个，公司网络规划物理上分为内部网和外部网。结合公司快速发展的业务需要，ISO20000认证和应用能提高公司市场竞争力。 神州数码公司2006年通过ISO20000认证，其IT服务管理体系建设的成功实践经验：领导的大力支持和参与。不唯工具，不唯理论，要与公司实际情况相结合。循序渐进，不断提高。流程优化，系统固化。要与KPI、SLA严格挂钩，才能保障顺利执行。对于IT工程师，要大力加强培训、引导和岗位KPI、SLA设定的要求。 通过IT运维管理流程化、运维工作标准化、运维团队专业化的建设，将成功实现对信息运维服务水平的管理，实现知识经验的积累和共享。通过合理调配系统及人力资源，不仅提高故障应急处理能力，也使运维工程师从繁重而重复的事件处理中解脱出来，运维团队逐步向专业化发展。创建一个可知可控的IT环境，从而保证企业用户信息系统的各类业务应用系统的可靠、、持续、运行。

ISO10012测量管理体系中必须建立“文件”的条款有哪些？文章录入：上海奔烁咨询|文章来源：上海奔烁咨询|添加时间：2019-11-13Iso10012文件包括的形式很多，管理性文件主要是质量手册和程序文件。质量手册侧重于提出要求；程序文件侧重于如何实现这些要求。如果质量手册和程序文件合并编制，其内容既要包括要求，又要包括实现要求的途径。ISO10012中必须建立文件（含程序文件）的条款有：1)根据计量职能的要求，计量职能的管理者应建立测量管理体系，形成文件，并加以保持和持续改进其有效性。2)根据软件的要求，测量过程和结果计算中所用的软件应形成文件，并经识别和受控，以确保持续使用的适应性。3)根据环境的要求，测量管理体系所覆盖的测量过程对有效运行所要求的环境条件应形成文件。4)根据外部供方的要求，计量职能的管理者应对外部供方为测量管理体系提供的产品和服务提出要求并形成文件。应规定选择、监视和评价的准则并形成文件。5)根据测量过程的总则的要求，应对作为测量管理体系组成部分的测量过程进行策划、确认、实施、形成文件和加以控制。6)根据测量过程设计的要求，应根据顾客、组织和法律的要求确定计量要求。为了满足这些规定要求而设计的测量过程应形成文件。7)根据测量不确定度的要求，对所有已知的测量变化的来源应形成文件。8)根据测量管理体系的监视的要求，测量和确认过程的监视结果和采取的纠正措施应形成文件，以证明测量和确认过程持续地满足文件的要求。9)根据纠正措施的要求，采取纠正措施的准则应形成文件。【】

ISO9000认证生产和服务的运行策划与控制 产品和服务的要求，运行的策划与控制为保证向顾客提供满足要求的产品和服务，组织应事先对顾客的规定、合同或订单要求、适用于产品和服务的法律法规要求等予以评审。同时应通过以下措施对所需的过程进行策划、实施和控制；确定产品和服务的要求及所需的资源；建立过程、产品和服务的接收准则；控制策划的变更和外程；识别评估重要环境因素和危险因素；识别潜在的紧急情况并策划应急响应措施。 2、产品和服务的设计与开发 组织应建立、实施和保持设计和开发的策划、输入、过程控制、输出以及更改的过程，确保后续的产品和服务的提供。在设计和开发的各个控制阶段，主要考虑设计和开发活动的性质、产品和服务的具体类型、输出满足输入的要求、提供产品和服务过程的需求，设计和开发流程见附图。 2021623 深圳? ISO9000认证 3、生产和服务提供的控制 组织应在一切资源（包括人员、设备、基础设施、运行环境、可获得的成文信息等）受控条件下进行生产和服务的提供。在生产和服务提供的整个过程中应按照监视和测量要求识别输出状态，实现可追溯性。在确定所要求的产品和服务交付后的覆盖范围及程度时，组织应考虑法律法规的要求、与产品和服务相关的潜在不良后果、产品和服务的性质及使用寿命、顾客要求与反馈。应对生产和服务提供的更改，进行必要的评审和控制，确保持续符合要求。当验证产品和服务的要求已符合接收准则并得到有关授权人员的批准时，方可向顾客交付产品和服务。 深圳? ISO9000认证生产和服务的运行策划与控制 产品和服务的要求，运行的策划与控制为保证向顾客提供满足要求的产品和服务，组织应事先对顾客的规定、合同或订单要求、适用于产品和服务的法律法规要求等予以评审。同时应通过以下措施对所需的过程进行策划、实施和控制；确定产品和服务的要求及所需的资源；建立过程、产品和服务的接收准则；控制策划的变更和外程；识别评估重要环境因素和危险因素；识别潜在的紧急情况并策划应急响应措施。 2、产品和服务的设计与开发 组织应建立、实施和保持设计和开发的策划、输入、过程控制、输出以及更改的过程，确保后续的产品和服务的提供。在设计和开发的各个控制阶段，主要考虑设计和开发活动的性质、产品和服务的具体类型、输出满足输入的要求、提供产品和服务过程的需求，设计和开发流程见附图。 3、生产和服务提供的控制 组织应在一切资源（包括人员、设备、基础设施、运行环境、可获得的成文信息等）受控条件下进行生产和服务的提供。在生产和服务提供的整个过程中应按照监视和测量要求识别输出状态，实现可追溯性。 在确定所要求的产品和服务交付后的覆盖范围及程度时，组织应考虑法律法规的要求、与产品和服务相关的潜在不良后果、产品和服务的性质及使用寿命、顾客要求与反馈。应对生产和服务提供的更改，进行必要的评审和控制，确保持续符合要求。当验证产品和服务的要求已符合接收准则并得到有关授权人员的批准时，方可向顾客交付产品和服务。

---