【ISO9001】8.4 外部から提供されるプロセス、製品及びサービスの管理(1)
外部から提供されるものによって悪影響を受けないようにしよう
この項目の要求事項を一言で言うと、「外部から提供される製品やサービスの悪さによって、自分たちの製品やサービスが悪影響を受けることのないように適切に管理しなさい」ということです。この項目は8.4.1~8.4.3の三部構成になっており、それぞれ以下のようなことが規定されています。
- 8.4.1:どのような場合に「外部から提供されるプロセス、製品・サービス」を管理しなければならず、どのように「外部提供者」を管理するか?
- 8.4.2:「外部から提供されるプロセス、製品・サービス」と「外部提供者」の管理の方法や程度をどのように決めるか?
- 8.4.3:外部提供者に対してどのような情報を伝達する必要があるか?
なぜ「外部から提供されるプロセス、製品・サービス」を管理しなければならないか?
この項目は、外部から提供されるプロセス、製品・サービス、及び外部提供者に対する管理を規定しています。組織は、その製品・サービスに組み込まれる製品・サービスの品質に対して責任を持っています。従って、もし外部から提供された製品やサービスのせいで自分たちの製品・サービスに悪い影響があった場合(例 外注先の加工部品の不良による製品の不具合、委託した外部のサービスマンによるサービスに対する顧客からのクレーム)であっても、それをそれらの外部の組織のせいにして責任を逃れることはできません。お客様にとっては、問題の原因が外部から購入したものであるかどうか、外部に委託された作業であるかどうかは関係ありません。
どのような「外部から提供されるプロセス、製品・サービス」に対して、管理をしなければならないか?
それでは、外部に委託したり外部から購入したりした場合は、常に管理しなければならないのでしょうか。8.4.1では、外部から提供されるプロセス、製品・サービスの管理を決定する必要がある場合が以下のように明確に示しています。
- 外部提供者からの製品・サービスが、組織の製品・サービスに組み込むことを意図している場合
- 製品・サービスが、組織に代わって外部提供者から直接顧客に提供される場合
- プロセスが、組織の決定の結果として、外部の提供者から提供される場合
ここからも分かるように、外部から提供されている全てのプロセス、製品・サービスに対する管理が要求されているのではありません。組織の製品・サービスに組み込まれるもの、外部提供から直接顧客に提供されるもの、外部提供者によってプロセスが提供されるものなど、あくまで組織の製品・サービスの適合性に対して重要な影響を持ちうるものに対して管理が要求されているのです。ここにも「リスク」の考え方が表れていると言えるでしょう。
外部提供者の管理
8.4.1では、外部から提供されているプロセス、製品・サービスを管理するだけでなく、それを提供する外部提供者の管理も要求されています。具体的には、外部提供者に対する選定、評価、パフォーマンス監視、再評価を行うための基準を決定して、適用することが要求されています。
ここで、しばしば見られる誤解が「再評価」に関するものです。ここでは「再評価の基準を決定する」ことが要求されていますが、これは、例えば「全ての外部提供者を年1回再評価しなければならない」ということを要求したものではありません。ここで要求されているのはあくまで「再評価の基準」、つまり、どのような基準で外部提供者を再評価するかを決めることです。そして、いつ再評価を行うかについては外部提供者が示すパフォーマンスやリスクによって異なり、組織にそれを判断する裁量が認められているのです。
この場合の「リスク」には、以下のようなものが考えられます。
- 外部提供者のパフォーマンスに関する理解の違いによるリスク
- 外部提供者の活動を監視できる程度の違いによるリスク
- 提供してもらうものの重要性の違いによるリスク
例えば、今まで長い間取引をしており、かつ実績も良好な外部委託先と、取引の実績があまりない外部委託先では、後者の方がリスクは高いでしょう。また、外部委託先が行う活動を常に監視できる場合(例 常駐して一緒に作業する、常に同行して作業をする等)とそうでない場合では、当然後者の方がリスクは高いでしょう。さらに、同じような実績を持っている外部委託先であっても、委託しているものが最終製品の品質に大きく影響するものである場合とそうでない場合では、前者の方がリスクは高いと考えられます。重要なことは、何でも一律に同じレベルで管理するのではなく、このような個々のリスクを考慮して、組織にとって意味のある管理を行うことです。
この項目では、外部提供者の選定、評価、パフォーマンス監視、再評価の活動、及び評価によって必要とされた処置について文書化した情報(記録)を保持することが要求されています。特に外部提供者の評価やパフォーマンス監視、再評価の結果は、改善のためのデータとして重要なものであり、9.1.3「分析及び評価」でデータ分析の結果を外部提供者のパフォーマンス評価に用いること、そして9.3.2「マネジメントレビューへのインプット」でそのパフォーマンスに関する情報がマネジメントレビューへのインプットの一つとして考慮される必要があることが規定されていることにも注意が必要です。
(次回に続く)