供應商審核計畫：第一方、第二方、第三方稽核

那天 CPK 報告出來，全場沉默了三秒

還記得好幾年前，我們廠裡某條主力產品線的良率突然雪崩式下滑。那時候我還菜，只知道大家臉色都很難看，然後產線就停了。後來品保老鳥把供應商的 CPK 報告丟出來，上面赫然寫著 1.08，DPMO 更是直接飆到 6210。會議室裡頓時鴉雀無聲，連根針掉下去都聽得到。課長只說了句：「這供應商是多久沒人去『關心』了？」

問題出在哪

說穿了，很多時候我們把「驗收」當成「品質管理」的全部，這其實是很大的誤區。驗收只能抓到「已經發生的不良」，但不能預防「還沒發生的問題」。這時候，供應商審核計畫就超級重要了。簡單來說，就是我們主動去「確認」供應商的製程是不是有照著 SOP 走，有沒有能力持續穩定地提供合格的料件。這跟體檢很像，不是等你生病了才去看醫生，而是定期檢查身體，確保你一直都健康。

實際上怎麼做

供應商審核計畫通常分成三種稽核方式，我來一個個跟你聊聊：

第一方稽核 (First-Party Audit)：

這個就是供應商「自己」對自己進行的稽核。他們內部會有品保或獨立單位，定期檢查自己的生產流程、品質文件、儀器校正等等。說實話，這就像你自己照鏡子，雖然能看到一些問題，但難免會美化，畢竟是自己人嘛。但一個有心經營的供應商，這塊絕對會做得扎實。

第二方稽核 (Second-Party Audit)：

這個就是「我們」去稽核「供應商」。通常會由我們的採購、品保或相關工程師組成稽核小組，直接殺到供應商那邊。我們會針對合約要求、產品規格、製程能力（例如他們有沒有辦法穩定達到 Cpk 1.67 以上）、環境安全這些項目去查核。我們甚至會直接看他們的生產記錄，抽樣檢視實際的製程參數。像我們當年那個 CPK 1.08 的供應商，就是因為我們太久沒去「關心」，他們才開始放飛自我。

第三方稽核 (Third-Party Audit)：

這種稽核就更獨立了，是由「獨立的第三方機構」來進行。最常見的就是 ISO 認證，像是 ISO 9001、IATF 16949（車用領域）。這些機構會派出專業的稽核員，依照國際標準來評估供應商的管理系統。這就像是找一個公正的第三方來幫你寫健檢報告，它的公信力最高，但也最花錢。通常我們會要求供應商至少要有基本的 ISO 認證，這是一個門檻。

最常見的坑

我遇過最大的坑就是，有些供應商為了應付第二方稽核，會搞出「兩套帳」。一套是給我們看的「完美」文件，另一套是他們實際在用的「隨便」文件。有次我去稽核，他們給我的文件顯示某個製程參數是 250 度 C，但當我走到現場，發現產線的溫控表居然只有 220 度 C！當場拆穿後，那個供應商的臉都綠了。所以，稽核時一定要多看、多問、多走動，不要只看書面資料。

今天能做的一件事

檢查你主力供應商的上次第二方稽核報告。