1. 由于外包是由外部組織完成的，對外包組織的控制相對于組織內部，較為困難。這些控制包括資源保障（包括設備、人力資源、信息等）、過程策劃、過程控制、監(jiān)視和測量、產品標識和可追溯性等。 2. 外包方作為一種資源，受限于地理區(qū)域或其它原因，有時是稀缺的，如電鍍廠。一個區(qū)域可能僅存在一家電鍍廠，產品需要電鍍只能選擇這一家，電鍍廠就缺乏動力來迎合組織提出的管理或協(xié)作要求。組織很難通過自身努力來改善這些現(xiàn)狀。 3. 外包的過程、產品和服務雖然對組織很重要，但外包費用不高，無法引起外包方的重視。如快遞一臺儀器，雖然運輸過程中的產品防護非常重要，但由于快遞費用有限，承運方對產品防護的要求僅能按其快遞規(guī)范來執(zhí)行，企業(yè)很難對承運方施加足夠的控制。這一現(xiàn)象在中小企業(yè)當中更為明顯。 4. 現(xiàn)代經濟是分工和協(xié)作的經濟，一個組織的外包活動通常非常多。認證審核組在有限的工作時間內對挑出的重要外程中進行檢查，通常只能查個皮毛，僅對控制的形式和結果作評價，對有效性和適宜性無法深入檢查。 5. 外包的運作和控制有時分布在采購部門之外，在其它部門檢查時容易忽視對外包的審核。 6. 認證準則中關于外包的要求描述的很抽象，審核組很難作出外程控制是否適宜、有效的結論。 四）常見的外包形式和控制方法。 1）常見的外程及存在形式： 過程外包：設計外包、生產外包、工序（加工）外包、運輸外包、售后外包等； 職能外包：培訓外包、食堂管理外包、計量管理外包、設備維保外包、廠區(qū)物業(yè)外包等； 2）外包活動控制的方法及分析： A）控制外包方整個管理體系的控制，參與外包方管理體系的策劃和監(jiān)視，如PPAP。 相關概念： Production Part Approval Process 生產件批準程序，即生產件認可過程,要求按照事先批準的程序生產,制造出的樣件用于驗證生產能力。 需要提交的保證材料主要有生產件尺寸檢驗報告,外觀檢驗報告,功能檢驗報告, 材料檢驗報告;還包括零件控制方法和供應商控制方法; 主要是制造型企業(yè)要求供應商在提交產品時做PPAP文件及首件，只有當ppap文件全部合格后才能提交；當工程變更后還須提交報告。 B）組織二方審核。以組織的名義對其供方實施現(xiàn)場審核并出具審核結論，審核準則由組織策劃決定。外包方需對審核出具的不符合實施整改，并獲得組織的認可。審核組可以由組織直接派出，也可以外聘審核員或外包。 C）體系或產品要求通過第三方認證或檢測。要求外包方在承包前需獲得指定或不指定認證機構的第三方管理體系認證，或要求外包方的產品通過第三方檢測機構的委托試驗或產品認證，如RoHS認證。 D）合同，質量保證和附加義務約定。一般情況下，組織均會與外包方簽訂有法律約束力的經濟合同。通過合同來約束外包方的責任和義務。關鍵是看這些合同的條款，是否能保護組織的預期和利益。如果僅僅是外包方的格式合同，通常不能滿足體系有效性的要求。 E）駐廠監(jiān)造/質檢/工程師。在外程非常重要，而外包方沒有能力保證績效時，可采用這種比較實用的措施。組織派出的人員，在現(xiàn)場參與策劃，批準工藝，參與監(jiān)視和測量等等，能有力保證外包方的外程滿足預期的要求。 F）供應商調查、評價和業(yè)績監(jiān)視。外包方在承接外包業(yè)務之前，需要獲得組織的認可。這個認可活動包括外包方的資質能力調查和評價、產品試制或試用，以及持續(xù)的外包績效監(jiān)視等。必要時，由組織委派審查組對外包方現(xiàn)場實施審查或（專業(yè)的、系統(tǒng)的、獨立的）二方審核。這些是質量管理體系標準所要求的。環(huán)境管理體系則要求組織考慮將外包方的環(huán)境義務列入評價準則之中，對確保對外包方實施足夠的影響。 G）檢驗和驗證。無論是外包還是采購，檢驗和驗證是有保證力的手段。檢驗需要投入檢驗所需資源，涉及管理成本，是組織考慮采用檢驗還是驗證的主要因素。 五）認證審核應考慮的風險和有效性評價準則。 認證機構對申請組織實施認證審核并且頒發(fā)認證，是一種信用擔保行為。認證機構根據經營環(huán)境和自身定位，以及相關方的期望和要求，制定認證評定的準則，對申請組織質量和環(huán)境管理體系運行符合性和有效性實施審核和評價，終作出認證決定。也就是說，對于不同的認證機構，不同的申請組織，會有不同的認證評定準則。而不能僅僅是符合法定要求。 評價外包的風險和外包控制的有效性，可以考慮以下幾個方面： 1）外包的產品、服務和過程，對組織質量和環(huán)境管理體系的影響有多大。 A）如果外包涉及相關方的強制性要求，如法律法規(guī)、與組織的顧客簽訂的合同等，當外包控制失效，就會涉及違法違規(guī)或違反合同等惡性事故發(fā)生。某些外包的產品、服務和過程涉及性要求，比如說危化品運輸，一旦失控，會造成對相關方（包括認證機構）帶來很大的風險。 上述這些外包如果失控，應該成為認證評定的否決項。 B）有些外程雖然不涉及強制性要求，但對其公開申明的方針目標有較大的影響，或無法履行對相關方（如顧客）的承諾，或顯著影響組織的體系運行（如因外包方未按時交付而導致停產）。這些外包失控產生的風險，主要是會對相關方（顧客、員工、股東、社會等）的利益造成侵害。審核組應在現(xiàn)場評價其風險等級，并出具不符合報告或觀察項。 C）實踐中，有很多外包對管理體系的影響比較小。組織沒有識別或沒有實施嚴格的管理，并不會對管理體系的有效性帶來比較大的影響。審核時應抓大放小，或僅與受審核方作適當?shù)慕涣鳌? 2）外包控制方法的選擇。前文已經描述了外包的幾種常見的控制方法。實踐中，組織常常是根據需要綜合利用其中方法。每一種方法，對外包控制均有一定的效果（收益），但同時也均需投入一定的資源（成本）。將收益與成本相比較，就是效率。 以下幾種情況，可以認為外包的控制方法或控制效果未達到認證要求： A）不符合GB/T19001-2016《質量管理體系 要求》和GB/T24001-2016《環(huán)境管理體系 要求及使用指南》二個標準關于外包控制的條款要求； B）外包的控制程度無法保證產品（和服務）的質量符合規(guī)定的要求，如產品的質量特性無法得到驗證，無法向相關方證明外包質量受控； C）外包的實際控制效果影響了與相關方簽訂的合同（如銷售訂單或與社區(qū)簽訂的環(huán)保約定）的履行，如交付時間； D）外包產生的經濟損失和運營風險，使組織無法保證具備穩(wěn)定地履行與相關方簽訂合同的能力； E）外包的控制效果無法保證組織各層次目標指標的實現(xiàn)。 綜上所述，認證審核組應在組織選擇外包控制方法所考慮的效率，和認證風險之間取得一個適當?shù)钠胶?。既不能片面強調組織的資源能力或經濟效益，也不能妄顧認證機構的認證風險。

HSE認證管理體系建立過程 南陽（濮陽）HSE認證企業(yè)開展HSE體系認證工作通常要進行兩階段工作：建 立和運行HSE管理體系； HSE管理體系認證審核。 (一)南陽（濮陽）HSE認證建立和運行HSE管理體系 1．領導決策和準備 首先需要 管理者做出承諾，即遵守有關法律、法規(guī)和其它要求的承諾和 實現(xiàn)持續(xù)改進的承諾。在體系建立和實施期間 管理者必須為此提供必要的資 源保障。 建立和實施HSE管理體系是一個十分復雜的系統(tǒng)工程， 管理者應任命HSE管理 者代表，來具體負責HSE管理體系的日常工作。 管理者還應授權管理者代表成立一個專門的工作小組，來完成企業(yè)的初始狀 態(tài)評審以及建立HSE管理體系的各項任務。 2.教育培訓 HSE管理體系標準的教育培訓，是開始建立HSE管理體系十分重要的工作。培 訓工作要分層次、分階段、循序漸進地進行，并且必須是全員培訓。 3．擬訂工作計劃 通常情況下，建立HSE管理體系需要一年以上的時間，因此需要擬訂詳細的 工作計劃。在擬訂工作計劃時要注意：目標明確、控制進程、突出重點。總計劃 表批準后，就可制定每項具體工作的分計劃。與此同時，還要注意制定計劃的另 一項重要內容是提出資源的需求，報 管理層批準。 4．初始狀態(tài)評審 初始狀態(tài)評審是建立HSE管理體系的基礎，其主要目的是了解企業(yè)的HSE管理 現(xiàn)狀，為企業(yè)建立HSE管理體系搜集信息并提供依據。 5．危險辨識和風險評價 危險辨識是整個HSE管理體系建立的基礎。主要分為：危害識別、風險評價 和隱患治理。 6．體系的策劃和設計 主要任務是依據初始評審的結論，制定HSE方針、目標、指標和管理方案， 并補充、完善、明確或重新劃分組織機構和職責。 7．編寫體系文件 HSE管理體系是一套文件化的管理制度和方法，因此，編寫體系文件是企業(yè) 建立HSE管理體系不可缺少的內容，是建立并保持HSE管理體系重要的基礎工作， 也是企業(yè)達到預定的HSE方針、評價和改進HSE管理體系、實現(xiàn)持續(xù)改進和事故預 防必不可少的依據。 8．體系的試運行和正式運行 體系文件編制完成以后，HSE管理體系將進入試運行階段。試運行的目的就 是要在實踐中檢驗體系的充分性、適用性和有效性。試運行階段，企業(yè)應加大運 作力度，特別是要加強體系文件的宣貫力度，使全體員工了解如何按照體系文件 的要求去做，并且通過體系文件的實施，及時發(fā)現(xiàn)問題，找出問題的根源，采取 措施予以糾正，及時對體系文件進行修改。 經過一段時間的試運行后，體系文件得到了進一步完善，這時就可以進入正 式運行階段了。在正式運行階段發(fā)現(xiàn)的體系文件不適宜之處，就需要按照規(guī)定的 程序要求來進行。 9．內部審核 內部審核是企業(yè)對其自身的HSE管理體系所進行的審核，是對體系是否正常 運行以及是否達到預定的目標等所做的系統(tǒng)性的驗證過程，是HSE管理體系的一 種自我保證手段。內部審核一般是對體系全部要素進行的審核，可采用集中 式和滾動式兩種方式。應有與被審核對象無直接責任的人員來實施，以保證審核 的客觀、公正和獨立性。 10．管理評審 管理評審是由企業(yè)的 管理者定期對HSE管理體系進行的系統(tǒng)評價，一般 每年進行一次，通常發(fā)生在內部審核之后和第三方審核之前，目的在于確保管理 體系的持續(xù)適用性、充分性和有效性，并提出新的要求和方向，以實現(xiàn)HSE管理 體系的持續(xù)改進。 (二)HSE管理體系的認證 對于建立了HSE管理體系的企業(yè)，經過一段時間的運作后，企業(yè)可以根據內 部需要開展HSE管理體系認證，由于HSE管理體系認證可以與 職業(yè)衛(wèi)生管 理體系認證一并進行，企業(yè)則可依據 經貿委第983號文件《關于開展職業(yè)安 全衛(wèi)生管理體系認證工作的通知》的有關精神，開始策劃HSE管理體系的認證工 作。 申請認證企業(yè)首先向集團公司HSE管理部門提出認證審批報告，下面就認證 審核過程中的具體要求予以介紹。 1．HSE管理體系認證前的準備 為了保證順利通過HSE管理體系認證，除要按照HSE認證中心的要求準備一系 列技術文件外，還需進行認證前的迎檢培訓和組織安排等工作。認證前的充分準 備，可以穩(wěn) 定組織各級員工的情緒，做到胸有成竹，忙而不亂，是審核人員感 受到一種良好的合作氣氛，這也是通過認證的一個重要因素。 2．HSE管理體系認證審核過程 根據審核的層次和深度上的差異，可以將認證審核的過程大體分為兩個階段 ：即初始審核和正式審核。 對審核通過的企業(yè)，HSE認證中心向其頒發(fā)認證和認證標志。 認證的有效期為三年，獲證企業(yè)應在認證有效期屆滿時，重新提出 認證申請，HSE認證中心受理后，重新對企業(yè)進行復評