8.4.2控制的類型和程度

 組織應確保外部提供的過程、產品和服務不會對組織穩定地向顧客交付合格產品和服務的能力產生不利影響。

 組織應：

   a)確保外部提供的過程保持在其質量管理體系的控制之中；

   b)規定對外部供方的控制及其輸出結果的控制；

   c)考慮：

     1)外部提供的過程、產品和服務對組織穩定地滿足顧客要求和適用的法律法規要求的能力的潛在影響；

2)由外部供方實施控制的有效性；

d）確定必要的驗證或其他活動，以確保外部提供的過程、產品和服務滿足要求。

8.4.2.1控制的類型和程度——補充

組織應有—個形成文件的過程，以識別外包過程并選擇控制的類型和程度，用于驗證外部提供的產品、過程和服務對內部（組織的）要求和外部顧客要求的符合性。

該過程應包括根據供應商績效和產品、材料或服務風險評估，增加或減少控制類型和程度以及開發活動的準則和措施。

8.4.2.2法律法規要求

組織應有形成文件的過程，確保所采購的產品、過程和服務符合收貨國、發運國和顧客確定的目的國（如有提供）的現行適用法律法規要求。

如果顧客為特定產品符合法律法規要求確定了特殊控制，組織應確保按照規定實施并保持這些控制，包括在供應商處。

8.4.2.3供應商質量管理體系開發

組織應要求其汽車產品和服務供應商開發、實施并改進—個通過IS0 9001認證的質量管理體系，除非原顧客另行授權[如：下文的a）項]，最終目標是通過本汽車QMS標準的認證。除非顧客另有規定，應當根據以下順序來達成本要求：

a)經由第二方審核符合lS0 9001；

b)經由第三方審孩通過IS0 9001認證；除非顧客另有規定，組織的供應商應通過保持認證機構出具的第三方認證證明來證實IS0 9001的符合性，證明上應有被承認的IAF MLA（國際認可論壇多邊相互承認協議）成員的認可標志，其中，認可機構的主要范圍包括ISO/IEC 17021國際體系認證。

c)經由第二方審核通過IS0 9001認證，同時符合其它顧客確定的質量管理體系要求（例如：次級供應商最低汽車質量管理體系要求[MAQMSR]或等效要求）；

d)通過IS0 9001認證，同時經由第二方審核符合IATF 16949；

e)經由第三方審核通過IATF 16949認證（IATF認可的認證機構進行的有效的供應商IATF 16949第三方認證）。

8.4.2.3.1汽車產品相關軟件或帶有嵌入式軟件的汽車產品

組織應要求其汽車產品相關軟件或帶有嵌入式軟件的汽車產品的供應商為各自產品實施并保持—個軟件質量保證過程。

應采用軟件開發評估方法來評估供應商的軟件開發過程。組織應按照風險和對顧客潛在影響的優先級，要求供應商為軟件開發能力自評估保存形成文件的信息。

8.4.2.4供應商監視

組織應為供應商績效評價制定形成文件的過程和準則，以便確保外部提供的產品、過程和服務符合內部要求和外部顧客要求。

至少應監視以下供應商績效指標：

a)已交付產品對要求的符合性；

b)在收貨工廠對顧客造成的干擾，包括整車候檢和停止出貨；

c)交付排程的績效；

d)超額運費發生次數。

如顧客有所規定，組織還應視情況在供應商績效監視中包括：

e)與質量或交付有關的特殊狀態顧客通知；

f)經銷商退貨、保修、使用現場措施和召回。

8.4.2.4.1 第二方審核

組織的供應商管理方法中應包括—個第二方審核過程。第二方審核可以用于：

a)供應商風險評估；

b)供應商監視；

c)供應商質量管理體系開發；

d)產品審核；

e)過程審核。

基于風險分析，包括產品安全/法規要求，供應商績效和質量管理體系認證水平，組織應至少對第二方審核的需求、類型、頻率和范圍的確定準則形成文件。

組織應保留第二方審核報告的記錄。

如果第二方審核的范圍是評估供應商的質量管理體系，則方法應與汽車過程方法相符。

注：可從IATF審核員指南和IS0 19011獲得指導。

8.4.2.5供應商開發

組織應為其活躍供應商確定所需供應商開發行動的優先級、類型、程度和時程安排，用于確定的輸入應包括但不限于：

a)通過供應商監視（見第8.4.2.4條）識別的績效問題；

b)第二方審核發現（見第8.4.2.4.1條）；

c)第三方質量管理體系認證狀態；

d)風險分析。

組織應采取必要措施，以解決未決的（不符合要求的）績效問題并尋求持續改進的機會。