标准的正文用黑色斜体标出，解读部分则用正常字体。

7.5 成文信息

7.5.1 总则

组织的质量管理体系应(shall)包括：

这部分内容就是2008版标准中的“4.2文件要求”。从原来的“文件要求”变成了现在的“成文信息”，表述更加准确。因为越来越多的公司采用了电子化的文件，文件和记录的内容就成了公司信息流的一部分。所以2015版的标准采用了“成文信息”这个表述，更加符合实际也突出了特点。另外章节的设置也是新老版本标准的不同之处。2008版标准里，“4.2文件要求”是在第4章“质量管理体系”中。而2015版标准的 “7.5成文信息”放到了“第7章 支持”里面，说明“成文信息”是公司质量管理体系的支持部分，不能粗浅地认为文件就是体系。从逻辑上看，2015版的标准更加符合实际，也起到拨乱反正的一个作用。

只要是做过质量体系工作的朋友，应该或多或少都有过这种体会：不少其他部门的人认为质量体系就是一整套体系文件，觉得体系工作就是编写各种文件和表格。来自其他部门的误解导致工作不好开展是一方面，如果领导或者公司的最高管理者也是这种观点，就很明显会限制体系岗位人员的职业发展，也发挥不出应有的作用来。

当然更怕的是另一种情况：自己也认为自己做的文件和表格代表了体系，然后为体系无法推行而苦恼。如果说第一种情况是天不遂人愿，那这种想法就是自我设限了，危害更大。

这也是为什么我想动笔写文章解读标准的原因。只有经过一定量的工作，结合自己的体会，才能发现一些岗位的核心竞争力，不要囿于QA\QC\SQE\CQE等岗位的具体工作，一定要看到这个岗位对公司的业务过程来说，起到什么作用，这样才能选择对自己有利的平台。另外就是多寻找资料，充实自己的理论水平。而这么多年下来，我发现ISO9001标准的作用，超出了市面上大部分质量书籍的用处，既然有这么好的条件，那就利用起来，通过学习标准，让自己对质量岗位的理解能有一个提升。

a)本标准要求的成文信息；

根据ISO9001:2015标准附录A.1里的解释，本标准采用“成文信息”代替了2008版老标准中的“文件、质量手册、形成文件的程序、记录”等几个词语。所以在2015版本标准的描述中，统统变成了“保留所需的成文信息”这样的描述，至于用什么类型的文件（程序文件、作业指导书、记录），就看各公司的实际情况了。

在最初的文章中，我是摘取了标准中有明确要求成文信息的章节，并做了解释，最后发现写完后内容不少，而且大部分内容是8、9、10三个章节的，如果在这里展开太多不合适。所以我只在在这摘取了章节编号和对应的内容，没有引用章节的所有内容，先大致浏览一下哪些地方是强制要求成文信息的。

当初准备写这些文章时，想过按照标准的章节，写完ISO9001解读以后，还要怎么写？原来的计划是总结一些自己的工作经历，结合具体的章节，分析我的例子中涉及到哪些章节的要求，我是如何做的，与标准对照有哪些不足？按照标准的要求做了后有哪些改善？都是比较好的题目。

现在刚好发现，整理标准强制要求成文信息的内容，涉及到几个章节，内容串起来，可以看到标准的“最低要求”。从这个角度看也挺有意思的，所以等到章节解读内容写完，也可以写点小专题的内容，抛砖引玉。

本标准有明确要求的成文信息有以下几个地方：

“4.3确定质量管理体系的范围”中提到的“组织的质量管理体系范围应作为成文信息，可获得并得到保持”。

“5.2.2质量方针应a)可获取并保持成文信息”。

“6.2.1组织应保持有关质量目标的成文信息”。

“8.2.3.2适用时，组织应保留与下列方面有关的成文信息：a)评审结果b)产品和服务的新要求”。

“8.3.3组织应保留有关设计和开发输入的成文信息”。

“8.3.4设计和开发控制：f)保留这些活动的成文信息”。

“8.3.5设计和开发输出：组织应保留有关设计和开发输出的成文信息”。

“8.3.6设计和开发更改：组织应保留下列方面的成文信息：a)设计和开发更改b)评审的结果”

“8.4.1对于这些活动和由评价引发的任何必要的措施，组织应保留成文信息”。

“8.5.6更改控制：组织应保留成文信息，包括有关更改评审的结果……”

“8.6组织应保留有关产品和服务放行的成文信息”。

“8.7.2组织应保留下列成文信息a)描述不合格b)描述所采取的措施……”

“9.1.1组织应保留适当的成文信息，以作为结果的证据”。

“9.2.2内部审核，组织应f)保留成文信息，作为实施审核方案以及审核结果的证据。” “9.3.3组织应保留成文信息，作为管理评审结果的证据”。

“10.2.2组织应保留成文信息，作为下列事项的证据：a)不合格的性质以及随后所采取的措施b)纠正措施的结果”。

b)组织所确定的、为确保质量管理体系有效性所需的成文信息。

注：对于不同组织，质量管理体系成文信息的多少与详略程度可以不同，取决于：

——组织的规模，以及活动、过程、产品和服务的类型；

——过程及其相互作用的复杂程度；

——人员的能力。

这部分的描述和2008版本相差不大，都没有规定成文信息的具体形式和规模。从近几年网上一些帖子的内容来看，对文件系统的理解，大家是慢慢在放开，倾向于更加符合实际的做法，而不是像以前那种找一套体系文件，然后往里硬套，最后弄得日常使用别扭，审核的时候又有很多漏洞。

这里牵涉到两个思路的碰撞：审核与实操。

审核的角度是：从标准的角度出发，看公司有哪些地方做的不足。实际审核时，审核人员对着公司的文件，了解公司规定，然后抽查，形成证据，做出结论。如果公司用买来的体系文件或者找来的体系文件模版，那和实际情况是格格不入的，漏洞自然就多。如果做体系文件是为了应付审核，那很有可能会出现这种情况。

实操的角度是：梳理自己的所有过程，与客户接触——获得订单——订单评审——采购原材料——生产——发货——售后。搭建出属于公司自身的业务流程，再根据各个过程的需要，建立过程的要求，这自然而然就会形成程序文件。这里其实就是应用了“过程方法”的理念。

当然了，上面举的梳理过程的例子太简单了，只是为了写着方便，但这些过程的配合早就不是线性的关系了。应该是画出框架图更好一些，把研发、供应商管控、改进等内容放进来，大家感兴趣可以根据自己公司的情况画一画业务框架。

在这个思路下，再根据日常生产中碰到的问题，做出完善。同时根据第三方审核与客户审核，找出自己过程间是否有漏洞，进行过程层面的改善。

这样就能做到公司的程序文件符合现实，大家都明白都能用，不容易做表面文章。千万不要去追求体系文件的大和全，这完全不是本标准的目的。本标准的核心思想是告诉大家一套科学的（关于质量的）管理方法。

其实这也能回答这里第b条的问题：公司如何确定自己需要哪些成文信息？当然是根据自己的业务过程和业务特点来分析了，等把业务梳理完，需要那些成文信息，就一目了然。

绝大部分企业会采用三级文件的结构：质量手册——程序文件——作业指导书。至于记录，有些企业定义为第四级文件，有些企业会放到对应文件的附件里，这个没有强制规定。

如果不涉及具体的业务，只讲文件控制的部分是比较简单的，所以我在这里也没有太多想说的，大家看看自己公司的体系文件结构就可以。或者可以参考《GB/T19023-2003质量管理体系文件指南》，里面详细地讲解了体系文件的结构和目的。不过可惜的是版本比较老，和ISO9001:2008的内容比较匹配。

目前国标版本是2003版，对应的英文版是ISO/TR 10013:2001，现在这个标准会被ISO/PRF 10013所取代，只不过新标准还在批准中，没有发布。与体系文件工作相关的朋友可以关注一下。

7.5.2 创建和更新

在创建和更新成文信息是，组织应(shall)确保适当的：

a)标识和说明(如标题、日期、作者、索引编号)；

b)形式(如语言、软件版本、图标)和载体(如纸质的、电子的)；

c)评审和批准，以保持适宜性和充分性。

这部分内容应该都是没有疑问的，每个级别的文件都要有合适的编号和标题信息，能让人很轻易的知道该文件属于哪个级别的文件。

比较关键的是第c点，文件的评审和批准。一定要避免跨部门的程序文件，在编写和评审的时候，各自部门闷头写对自己有利的内容以及对其他部门的要求。这样一来文件释放的过程就变成了一个小战场。这会带来一个副作用：文件的权威下降，不利于体系的维持，甚至演变成文件成了不痛不痒的存在，反映不出真实的信息来。

如果遇到这种情况，最适合用“过程方法”来解决：梳理好不同部门间过程的关系，再来写文件。不解决真正的点，用写文件来迂回，是没什么用的。

7.5.3 成文信息的控制

7.5.3.1 应(shall)控制质量管理体系和本标准所要求的成文信息，以确保：

a)在需要的场合和时机，均可获得并适用；

b)予以妥善保护(如防止泄密、不当使用或缺失)。

其实我觉得，这部分内容才是成文信息的核心：“在需要的场合和时机，均可获得并适用”。很明确地指出了，成文信息是为了使用的，在需要用的时候要可以获得。不要出现想参考一份文件发现找不到或者很难获取的情况。在能用的基础上，再来考虑保护的问题。

7.5.3.2为控制成文信息，适用时，组织应(shall)进行下列活动：

a)分发、访问、检索和使用；

b)储存和防护，包括保持可读性；

c)更改控制(如版本控制)；

d)保留和处置。

成文信息的分发和改版，对于日常工作来说，意义是比较重大的，千万不要以为这只是一个很渺小的动作，一定要重视起来。

之所以要控制成文信息，就是希望公司日常运作中，用到的文件内容，是经过评估的、正确的、合适的。谁也不希望自己公司在使用来路不明的文件，也不知道上面的内容对不对，想想就觉得可怕。这也就是分发这个动作的重要性了，同时也能维护文件的权威形象。

对于组织确定的策划和运行质量管理体系所必须的来自外部的成文信息，组织应(shall)进行适当识别，并予以控制。

外部的成文信息主要是客户的图纸或者要求文件。必须做好识别，特别是图纸版本和要求是否变更。

对所保留的、作为符合性证据的成文信息应(shall)予以保护，防止非预期的更改。

符合性证据，可以是内审报告、绩效报告之类的反应公司层面，质量管理体系运作效果的证据。也包括产品的检验记录，表示产品是否符合放行要求的证据。之所以说“防止非预期的更改”，而不是不允许修改。那是因为在特定情况下，这些证据是真的要做出修改的。比如公司的质量管理体系范围变化了，内审报告就需要重新确认。公司发生重大变化，转换方向，绩效目标也是要发生变化。至于产品的检验记录修改，是用来纠错的，将原来错误的记录修正回来，并不是死板地不允许修改，不能理解成可以随意涂改记录。

注：对成文信息的“访问”可能意味着仅允许查阅，或者意味着允许查阅并授权修改。