8.

4 Dışarıdan sağlanan süreçlerin, ürünlerin ve hizmetlerin kontrolü

8.4.1 Genel

ISO 9001: 2015, Kalite yönetim sistemleri – Gereklilikler

Kuruluş, dışarıdan sağlanan süreçlerin, ürünlerin ve hizmetlerin gereksinimlere uygun olmasını

sağlayacaktır

Kuruluş, harici olarak öngörülen süreçlere, ürünlere ve hizmetlere uygulanacak kontrolleri

aşağıdaki durumlarda belirler:

a) harici sağlayıcıların ürünleri ve hizmetleri kuruluşun kendi ürün ve hizmetlerine dahil edilmek
üzere tasarlandığında;

b) ürün ve hizmetler, kuruluş adına harici sağlayıcılar tarafından doğrudan müşteriye

verildiğinde;

c) bir sürecin veya bir sürecin bir parçası, kuruluşun kararının bir sonucu olarak harici bir
sağlayıcı tarafından sağlandığında.

Kuruluş, gerekliliklere uygun olarak süreç veya ürün ve hizmet sağlama yeteneklerine
dayanarak, dış sağlayıcıların değerlendirilmesi, seçimi, performansının izlenmesi ve yeniden
değerlendirilmesi için kriterleri belirlemeli ve uygulamalıdır. Kuruluş, bu faaliyetler ve
değerlendirmelerden kaynaklanan gerekli işlemleri belgelendirmiş bilgilerini muhafaza
etmelidir.

8.4.1.1 Genel-Destekleyici

Kuruluş, iç ve dış sağlayıcılar için geçerli olan 8.4'deki gereksinimlerin türünü ve kapsamını,
belirlenen kriterlere göre risk değerlendirmeleri ile belirleyecektir.

Not: İç sağlayıcılar, aynı şirketten kuruma ürün, süreç ve hizmet sağlayan kuruluşlar olarak
anlaşılmaktadır.

Kuruluş, gerekliliklere uygunluğu sağlamak için 8.4.1'de açıklanan harici olarak sağlanan
süreçler, ürünler ve hizmetler (EPPPS) için belgelenmiş bir süreç oluşturmalı, uygulamalı ve
sürdürmelidir.

Bu süreç aşağıdakiler için tanımlanan gereksinimleri içerecektir:

a) Harici sağlayıcıların ve EPPPS'nin sınıflandırılması (bkz. 8.4.1.1.1);

b) Harici sağlayıcı değerlendirmesi (bkz. 8.4.1.1.2);

c) Harici sağlayıcı onayı (bkz. 8.4.1.1.3);

d) Harici sağlayıcı teklif seçimi (bkz. 8.4.1.1.4);

e) Harici sağlayıcılar için bilgi (bkz. 8.4.3.);

f) EPPPS'nin serbest bırakılma onayı (bkz. 8.4.2.1);

g) Serbest bırakıldıktan sonra EPPPS doğrulaması (bkz. 8.4.2.2);

h) Dış hizmet sağlayıcı performansının izlenmesi, yeniden değerlendirme ve sıralama (bkz.

8.4.2.3).

Ayrıca, organizasyon:

i) Tedarik zinciri boyunca EPPPS risklerini yönetmek;

j) Dış sağlayıcılara iletilecek riskleri tanımlamak ve dış sağlayıcılardan geri bildirim istemek;

k) Harici sağlayıcı kontrolleri hakkında dokümante edilmiş bilgileri saklar.

8.4.1.1.1 Harici sağlayıcıların ve harici sağlanan ürünlerin, işlemlerin veya hizmetlerin

sınıflandırılması

Dış sağlayıcıların ve EPPPS'nin sınıflandırması, dış sağlayıcılara ve EPPPS'ye uygulanan

kontrolün türünü ve kapsamını belirlemek için tanımlanmış kriterler üzerinde yapılacaktır
(bakınız 6.1.3.). Bir çıktı olarak, kilit dış sağlayıcılar belirlenecektir.

Kuruluş, ilgili dokümante edilmiş bilgileri saklayacaktır.

Sınıflandırma kriterleri, harici sağlayıcının gereksinimlere göre EPPPS sağlama yeteneğini

içerecektir.

Sınıflandırma kriterleri şunları içermelidir:

i. stratejik ihtiyaçlar;

ii. geçmiş tecrübeler;

iii. mevcut piyasa bilgileri;

iv. dış ölçütler;

v. harici olarak temin edilen ürünlerin operasyonel ve entegrasyon olgunluğu (örneğin

kullanıma hazır).

Ayrıca, kuruluş dış sağlayıcıların sınıflandırmasını düzenli olarak gözden geçirecektir.

8.4.1,1.2 Dış sağlayıcıların değerlendirilmesi

Dış sağlayıcıların değerlendirmesi şunları içerecektir:

a) Dış sağlayıcıların personelleri, altyapıları ve süreçleri;

b) Harici sağlayıcıların niteliklerinin mevcudiyeti (örneğin ISO 9001 veya bu belge gibi
sertifikalar)

Kuruluş, aşağıdakilerin hedeflenmesini sağlamak için bir strateji oluşturmalı, uygulamalı,

sürdürmeli ve izlemelidir:

c) Bu belgeye uygun harici sağlayıcılar;

d) ISO 9001 veya benzeri bir kalite yönetim sistemine uygun harici sağlayıcılar.

Hedeflenen dış sağlayıcılar, ürün kapsamları, stratejik ilgi düzeyi, yıllık harcama hacmi, ürün
kritikliği, tasarım faaliyetleri, demiryolu sektöründeki ciro, teslimat ve kalite performansı göz
önünde bulundurularak belirlenecektir.

Kuruluş, ilgili dokümante edilmiş bilgileri saklayacaktır.

8.4.1.1.3 Harici sağlayıcıların onayı

Kuruluş şunları yerine getirmelidir:

a) Dış sağlayıcıları onaylamak için kriterler oluşturmak;

b) Onaylama yetkisine sahip işlevlerin, zaten onaylanmış harici sağlayıcıları reddetme

yetkisine sahip olmasını sağlamak;

c) Onay kapsamlarının tanımı da dahil olmak üzere, onaylanmış harici sağlayıcıların bir
kaydını tutmak.

Kuruluş, ilgili dokümante edilmiş bilgileri saklayacaktır.

EPPPS yalnızca onaylı harici sağlayıcılar tarafından sağlanacaktır.

8.4.1.1.4 Harici sağlayıcı teklif seçimi

Kuruluş, dış tedarikçinin teklifinin, müzakere öncesinde ayrıntılı olarak belgelenmiş

analizlerden sonra seçilmesini sağlayacaktır. Analiz şunları dikkate alacaktır:

a) Şartlara uygunluk düzeyi, ör. madde ile madde;

b) LCC dahil toplam sahip olma maliyeti;

c) Harici tedarikçinin neden olduğu QDC dahil, önceki EPPPS için harici tedarikçinin kalitesi,
maliyeti ve teslimat performansı;
d) Teklifle ilgili dış sağlayıcıların sınıflandırılması.

Kuruluş, ilgili dokümante edilmiş bilgileri saklayacaktır. Analiz şunları dikkate almalıdır:

i. bir risk analizinin çıktısı;

ii. harici olarak sağlanan ürünlerin operasyonel ve entegrasyon olgunluğu.

Bir satın alma siparişi verilmeden önce kuruluş, harici sağlayıcının işlevsel ve işlevsel olmayan
tüm gereksinimlerini tam olarak anladığından emin olmalıdır. Örneğin ortak bir sözleşme
incelemesi ile.

8.4.2 Kontrol türü ve kapsamı

ISO 9001: 2015, Kalite yönetim sistemleri - Gereklilikler

8.4.2 Kontrol türü ve kapsamı

Kuruluş, dışarıdan sağlanan süreçlerin, ürünlerin ve hizmetlerin kuruluşun müşterilerine uygun ürün ve
hizmetleri tutarlı bir şekilde sunma yeteneğini olumsuz etkilememesini sağlamalıdır.

Kuruluş:

a) dışarıdan sağlanan süreçlerin kalite yönetim sisteminin kontrolünde kalmasını sağlamalı;

b) hem harici bir sağlayıcıya uygulamak istediği kontrolleri hem de ortaya çıkan çıktıya uygulamak
istediği kontrolleri tanımlamalı;

c) Şunları dikkate almalı:

1) Dışarıdan sağlanan süreçlerin, ürünlerin ve hizmetlerin kuruluşun müşteri ve uygulanabilir yasal ve

düzenleyici gereklilikleri tutarlı bir şekilde karşılama yeteneği üzerindeki potansiyel etkisi;

2) Harici sağlayıcı tarafından uygulanan kontrollerin etkinliği;

d) Dışarıdan sağlanan süreçlerin, ürünlerin ve hizmetlerin gereksinimleri karşıladığından emin olmak

için gerekli olan doğrulama veya diğer faaliyetleri belirlemelidir.

8.4.2.1 Sağlanan harici ürünler, serbest bırakma işlemi veya hizmet onayı

Yeni veya değiştirilmiş EPPPS için serbest bırakma onayı şunları içerecektir:

a) Onay yöntemlerinin belirlenmesi;

b) Doğrulama, geçerli kılma ve onay faaliyetlerinin planlanması;

c) Harici sağlayıcı tesislerinde (bakınız 8.2) veya uygun gelen / giden denetiminde FAI
yürütmek;
d) Müşteri ile aksi kararlaştırılmadıkça, müşteri sözleşmesinde ilk kullanımdan önce harici
olarak sağlanan ürün veya teknolojilerin (örn. yeni tasarım yazılımı) doğrulanması;

e) Serbest bırakma onayı (örneğin seri üretime başlamak için);

f) değişim yönetimini göz önünde bulundurarak mevcut durumun tanımı veya güncellenmesi
(bkz. 8.1.5.).

Kuruluş, ilgili dokümante edilmiş bilgileri saklayacaktır. Yeni veya değiştirilmiş EPPPS için
serbest bırakma onayı dikkate alınmalıdır:

i. İmalat öncesi incelemeler;

Not: Üretim öncesi incelemeler, kontrollü ürünlerin ve ilk ürün üretimine başlamaya hazır
olduğunun kanıtını sağlayabilir.

ii. İlk sistem entegrasyonu.

Kuruluş, tasarım ve geliştirme hedeflerine ulaşmada kaydedilen ilerlemeyi ve kalite güvence

faaliyetlerinin durumunu dış sağlayıcılarına rapor etmeli ve bunun tersi de kritik konular
hakkında rapor vermelidir.

8.4.2.2 Serbest bırakıldıktan sonra sağlanan harici ürünler, işlem veya hizmet doğrulaması

EPPPS, belirtilen gerekliliklere uygunluğu doğrulanana kadar veya yetkili imtiyaz altında
yeniden onaylanmadıkça kullanılmayacak veya işlenmeyecektir (bkz. 8.1.3.).

Yayınlandıktan sonra EPPPS doğrulaması için faaliyetler şunları içerecektir:

a) Faaliyetlerin planlanması (örn. kapsam, sıklık, numune büyüklüğü ve kontrol yöntemlerinin

belirlenmesi dahil bir muayene ve test planında -bunu 6.1.3);

b) Doğrulama faaliyetleri için talimatlar, kontrol listeleri veya şablonlar sağlanması;

c) EPPPS'nin gerekliliklere uygun olduğuna dair kanıt elde etmek (örn. uygunluk sertifikası,
test raporları, istatistiksel kayıtlar, süreç kontrol sayfaları gibi eşlik eden belgelerin kontrol
edilmesi);

d) EPPPS'nin serbest bırakılması;

e) Doğrulama faaliyetlerinin dokümantasyonu;

f) Uygun olmayan EPPPS'nin yönetimi.

Kuruluş, ilgili dokümante edilmiş bilgileri saklayacaktır.

Kuruluşun EPPPS'yi doğrulamak için test raporları kullanması durumunda, bu raporlardaki

veriler, raporda belirtilen, satın alma bilgilerinden türetilen kabul kriterleriyle
karşılaştırılabilir olmalıdır; özellikler, standartlar, vb.
Kuruluş, risk değerlendirmesine dayalı olarak hammaddelerin periyodik olarak doğrulanması
için bir plan oluşturmalı, uygulamalı ve sürdürmelidir.

Doğrulama faaliyetlerinin dış tedarikçiye devredilmesi durumunda kuruluş, yetki devri

gerekliliklerini ve kontrolleri tanımlamalıdır, örneğin; harici sağlayıcı tesislerinde düzenli
denetimler.

Kuruluşun doğrulama faaliyetlerini dış sağlayıcıya devretmesi durumunda, dış sağlayıcının

böyle bir anlaşmayı kabul ettiğine dair kanıtlar olacaktır.

Harici sağlayıcı delegasyonlarının bir kaydı oluşturulur ve saklanır.

Herhangi bir yetki devri sonraki değişikliklerden sonra gözden geçirilmelidir.

Not: Piyasaya sürüldükten sonra EPPPS doğrulaması, gelen ürün denetimi veya harici
sağlayıcı tesislerinde kalite duvarının bir parçası olabilir.

8.6'da tanımlanan muayene ve test gereksinimleri. EPPPS doğrulaması için uygulanacaktır.

8.4.2.3 Harici sağlayıcı performansının izlenmesi, yeniden değerlendirme ve sıralama

Kilit dış sağlayıcıların performansının izlenmesi, yeniden değerlendirilmesi ve sıralanması

şunları dikkate almalıdır:

a) Harici sağlayıcı performansının periyodik olarak gözden geçirilmesi (ilgili KPI'ler için bkz
9.1.1.1);

b) Dış sağlayıcıları denetlemek için kriterlerin tanımlanması;

c) Uygulanacak kontrollerin seviyesini belirlemek için yapılan bu incelemelerin sonuçları;

d) Harici sağlayıcı teknik ve (veya) performans hedeflerini karşılamadığında yapılması

planlanan eylemler;

e) Dış sağlayıcısına performans geri bildirimlerinin verilmesi;

f) Düzenli ortak performans incelemeleri.

Ek olarak organizasyon şunları yerine getirmelidir;

g) geliştirilecek harici sağlayıcıları belirlemek;

h) yeteneklerini geliştirmek için kararlaştırılmış hedeflere dayalı eylem planları uygulamak.

Kuruluş, ilgili dokümante edilmiş bilgileri saklayacaktır

 8.4.3 Harici sağlayıcılar için bilgi

ISO 9001: 2015, Kalite yönetim sistemleri – Gereklilikler

8.4.3 Harici sağlayıcılar için bilgi

Kuruluş, harici sağlayıcıyla iletişim kurmadan önce gereksinimlerin yeterliliğini sağlamalıdır.

Kuruluş, dış sağlayıcılara aşağıdakiler için gereksinimlerini bildirecektir:

a) Sağlanacak süreçler, ürünler ve hizmetler;

b) Aşağıdakilerin onaylanması:

1) Ürün ve hizmetler;

2) Yöntem, işlem ve ekipman;

3) Ürün ve hizmetlerin piyasaya sürülmesi;

c) Kişilerin gerekli nitelikleri dahil olmak üzere yeterlilik;

d) Dış sağlayıcıların kuruluşla etkileşimleri;

e) Kuruluş tarafından uygulanacak dış sağlayıcıların performansının kontrolü ve izlenmesi;

f) Kuruluşun veya müşterisinin harici sağlayıcıların tesislerinde gerçekleştirmeyi planladığı doğrulama veya
geçerlilik faaliyetleri.

8.4.3.1 Harici sağlayıcılar için bilgiler - Ek

Dış sağlayıcılar için bilgi ile ilgili olarak 8.4.4.1. şunları dikkate almalıdır:

a) Müşteri gereksinimlerinin tedarik zinciri boyunca basamaklandırılması;

b) Değişiklik olması halinde, gereksinimlerin izlenebilirliği (bakınız 8.2.);

c) Gerektiğinde özel işlemlerin kuruluş veya müşterisi tarafından onaylanması.

8.4.3'deki gerekliliklere ek olarak. kuruluş, dış sağlayıcılara aşağıdakiler için gereksinimlerini

bildirecektir:

d) Spesifik prosesler, denetim talimatları, kuruluşun kalite planından uygun detaylar ve diğer
ilgili teknik veriler dahil olmak üzere şartnamelerin, çizimlerin, proses gereksinimlerinin
belirlenmesi ve uygulanabilir revizyonları;

e) EPPPS (örn. EPPPS belgeleri) ve ilgili programla ilişkili çıktılar;

f) Değişikliklerin ve uygun olmayan çıktıların yönetimi;

g) EPPPS teslimat programı;

h) Ürün kritikliği hakkında bilgi vermek (örneğin güvenlik açısından kritik);

i) Örgütün, müşterilerinin veya diğer ilgili tarafların (örneğin düzenleyici makamlar) siparişte
yer alan tesislere ve geçerli belgelenmiş bilgilere erişim hakkı.

NOT: Harici sağlayıcılara iletilen diğer gereksinimler aşağıdakilerle ilgili olabilir:

- Tasarım incelemeleri;
- Araştırma veya tasarım onayı için test örnekleri (Örn. üretim yöntemi, sayı, saklama
koşulları); üretim: rutin test, muayene ve kabul, ilgili talimatlar dahil;
- Eskime (Kullanılamaz olma);
- Denetim;
- Paketleme ve etiketleme dahil tedarik zinciri lojistiği;
- Dış sağlayıcılarına basamaklı gereksinimler.

8.4.4 Tedarik zinciri yönetimi

Kuruluş:

a) Satın alma siparişleri alınana kadar harici tedarikçiden alındı onaylanmasını talep etmek ve
bu onayın belgelenmiş bilgilerini saklamak;

b) Harici sağlayıcılara gönderilen değişiklik taleplerini belgelemek (bakınız .8.4.3.1)

Kuruluş, kaynak planlamaları için girdi sağlamak amacıyla güncellenmiş teslimat

zamanlamaları ve tahminlerini harici sağlayıcısına iletecektir. Bu, bileşenlerin kuruluştan dış
sağlayıcıya teslimatlarındaki gecikmeleri de içerecektir.

Kuruluş, öngörülen gecikmiş hükümleri konusunda harici sağlayıcılarıyla bir erken uyarı
politikası üzerinde anlaşmalıdır, aksi takdirde kuruluşun teslimat programını düzenli olarak
kontrol etmesi gerekir. Bu erken uyarı politikası eskime sorunlarını da içermelidir.

Müşteriler, dış sağlayıcılar ve dahili işlevler (örn. Tasarım, üretim) ile değiştirilen tedarik
zinciri bilgileri (örn. Teslim tarihleri, miktarları) bir uygulama yazılımı (örn. Kurumsal Kaynak
Planlaması) ile güncel tutulmalıdır.