Este punto, relativo al Control de los procesos, productos y servicios suministrados externamente, es clave, dado que se revisa el concepto, en el que ahora se alude al control de los procesos y funciones externalizados; y al tipo y alcance del control a aplicar.
En el primer subpunto, referido a las Generalidades, se modifica la terminología y, en lugar de hablar de proveedor, se pasa a utilizar la expresión proveedor externo. Además, se alude a que se han de fijar controles para los productos y servicios que se incorporarán a los propios; para aquellos que se proporcionan directamente a los clientes por parte de proveedores externos en el nombre de la organización que busca implementar la ISO 9001:2015; y para los procesos o parte de estos que son proporcionados por proveedores externos.
Los siguientes subpuntos se refieren al tipo y alcance de control; y a la información para los proveedores externos.
Tipo y alcance del control: se confirmará que todos los procesos, los productos y los servicios que se suministran de forma externa no afectan negativamente a la capacidad de la empresa para entregar productos y servicios de forma coherente para sus clientes.
La empresa se asegurará de que los procesos permanecen bajo control del SGC; de definir los controles a aplicar al proveedor externo y a las salidas resultantes; de considerar el impacto potencial en la capacidad de cumplir con los requisitos del cliente, y con los legales; de comprobar la eficacia de los controles aplicados por el proveedor externo; y de determinar si son necesarias actividades de verificación o valoración, a fin de garantizar que lo comprado cumple con los requisitos.
Información para los proveedores externos: se incide especialmente en el seguimiento de los proveedores externos, a los que habrá de comunicarse el control y seguimiento de su desempeño por parte de la organización; y a los que se les explicarán las actividades de verificación o validación que llevará a cabo la organización o el cliente en las instalaciones del proveedor externo.
La empresa tiene que comunicar a los proveedores externos los requisitos necesarios para conocer los procesos, productos y servicios que proporciona; para la aprobación de productos y servicios, de métodos, equipos y procesos, y de liberar productos y servicios; para la competencia; para la interacción del proveedor externo con la empresa; para el control y seguimiento del desempeño del proveedor externo para ser aplicado por parte de la empresa; y para todas las actividades de verificación que la empresa pretenda realizar en las instalaciones del proveedor externo.
El control a realizar depende de:
- Los riesgos que se detecten; y los impactos que genere.
- El grado de control del proveedor sobre su proceso fuera de su organización.
- La capacidad del control y la capacidad de garantizar la eficiencia.