标准

8.4.2.4.1第二方审核

组织的供应商管理方法中应包括一个第二方审核过程。第二方审核可以用于：

a） 供应商风险评估；

b） 供应商监视；

c） 供应商质量管理体系开发；

d） 产品审核；

e） 过程审核。

基于风险分析，包括产品安全/法律法规要求、供应商绩效和质量管理体系认证水平，组织应至少对第二方审核的需求、类型、频率和范围的确定准则形成文件。

组织应保留第二方审核报告的记录。

如果第二方审核的范围是评估供应商的质量管理体系，则方法应与汽车过程方法相符。

注：可从IATF 审核员指南和ISO 19011获得指导。

FAQ-16

问题:

假如组织的供应商是低风险，是否有第二方审核的必要吗？意图是什么？

回答：

由ISO9001：2015驱动的基于风险思维的方法需包括在供应商管理中。风险分析需被完成和基于风险评估的结果（见下面），这时第二方审核可能是不要求的。

为了支持风险分析，组织需要考虑以下标准:供应商认证状态、商品复杂性、新产品发布、重要的员工离职、产品质量问题、交付问题、客户特定要求，以及组织或客户面临的其他风险。

小编注：不是所有的供应商都需要做第二方审核，是否进行第二方审核是基于供应商的风险。

术语

3.13.1审核 audit

为获得客观证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。

注1：审核的基本要素包括由被审核客体不承担责任的人员，按照程序对客体是否合格所做的确定。

注2：审核可以是内部（第一方）审核，或外部（第二方或第三方）审核，也可以是多体系审核或联合审核。

注3：内部审核，有时称为第一方审核，由组织自已或以组织的名义进行，用于管理评审和其他内部目的，可作为组织自我合格声明的基础。内部审核可以由与正在被审核的活动无责任关系的人员进行，以证实独立性。

注4：通常，外部审核包括第二方和第三方审核。第二方审核由组织的相关方，如顾客或由其他人员以相关方的名义进行。第三方审核由外部独立的审核组织进行，如提供合格认证/注册的组织或政府机构。

指南

组织建立供应商风险评估的规则，风险高低考虑的因素至少包括：产品安全/法律法规要求、供应商绩效和质量管理体系认证水平，可包括的标准：供应商认证状态、商品复杂性、新产品发布、重要的员工离职、产品质量问题、交付问题、客户特定要求，以及组织或客户面临的其他风险；建立不同的风险的级别或内容对应第二方审核的类型、频率和范围的规则，以及触发第二方审核的要求。根据规则实施审核并保留记录。

第二方审核应考虑与组织相关的问题，而不仅仅是QMS开发的成熟度。可触发第二方审核的情况的例子包括：来自供应商绩效指标的输入；风险评估结果以及过程和产品审核中的开放问题的后续行动；和新供应商开发启动准备。组织确定第二方审核的需要、类型、频率和范围的标准必须基于风险分析。

第二方审核的类型包括：供应商风险评估；供应商监视；供应商质量管理体系开发；产品审核；过程审核。