La FSSC 22000 ofrece dos opciones de auditoría remota: La auditoría parcialmente remota y la auditoría totalmente remota. A continuación aprenderá sobre el proceso de certificación y cómo las dos opciones de auditoría remota difieren entre sí. También aprenderá cómo utilizar la Discusión Remota para extender la próxima auditoría FSSC 22000 hasta un máximo del 30 de marzo de 2021.

Esquema

  1. La auditoría parcialmente remota
  2. La auditoría FSSC 22000 totalmente remota
  3. Discusión remota de FSSC 22000

1. La auditoría parcialmente remota

Desde junio de 2020 es posible realizar auditorías FSSC 22000 parcialmente remotas. El procedimiento consiste en una auditoría remota seguida de una auditoría abreviada in situ. El procedimiento para las auditorías remotas según FSSC 22000 se describe en el nuevo Anexo 9. Es aplicable a las auditorías iniciales, a las auditorías de mantenimiento y a las auditorías de recertificación, cada una de ellas en condiciones diferentes.

Con la ayuda de una evaluación de riesgos, el organismo de certificación determina si una auditoría a distancia es una opción en el sitio en cuestión. La evaluación de riesgos se basa en un cuestionario que determina, entre otras cosas, el rendimiento histórico del centro y la disponibilidad de documentación y registros. El organismo de certificación se encarga de evaluar la evaluación de riesgos. Decide si es posible realizar una auditoría a distancia en el centro.

¿Cómo se lleva a cabo una auditoría parcialmente remota de FSSC 22000?

La auditoría parcialmente remota de FSSC 22000 se lleva a cabo utilizando la tecnología de la información y la comunicación (TIC). No hay normas exactas sobre los medios de comunicación; a los auditores de DQS, por ejemplo, les gusta trabajar con sistemas con los que los centros ya están familiarizados. De este modo, se pueden evitar problemas técnicos y riesgos de protección de datos.

El enfoque de la auditoría de las TIC es voluntario y debe ser acordado mutuamente entre el organismo de certificación y la organización a certificar antes de la auditoría.

¿Qué se audita?

El procedimiento descrito en el Anexo 9 consta de dos pasos principales:

1) Auditoría a distancia: Consiste en una revisión de documentos y entrevistas con el personal clave, utilizando las TIC. La auditoría remota se centrará en los componentes de la norma ISO 22000.

2) Auditoría in situ: Se centrará en la aplicación y verificación del SGSA (incluido el APPCC), los PRP, la inspección física del proceso de producción y cualquier otro requisito que no se haya cubierto durante la auditoría a distancia.

Auditorías iniciales

La auditoría completa de la Etapa 1 de FSSC puede realizarse a distancia utilizando las TIC. Deberán alcanzarse los objetivos de la auditoría de la fase 1 definidos en la norma ISO 17021-1 (9.3.1.2.2). Para ello, deben incluirse las TIC (es decir, vídeo en directo) para observar también el entorno de trabajo y las instalaciones. El informe de la auditoría de la etapa 1 indicará que la auditoría se ha realizado a distancia, qué herramientas TIC se han utilizado y qué objetivos se han cumplido.

La auditoría de la fase 2 se realiza como una auditoría completa in situ en los 6 meses siguientes a la auditoría de la fase 1. Si no se lleva a cabo en este periodo, la auditoría de la etapa 1 debe repetirse. No está permitido utilizar el enfoque de la auditoría de las TIC para la auditoría de la etapa 2.

Auditorías de mantenimiento

También es posible realizar parte de la auditoría a distancia para las auditorías de mantenimiento anuales. Tanto la auditoría a distancia como la auditoría in situ deben completarse en el plazo de un año natural. El período máximo entre la auditoría a distancia y la auditoría in situ no debe superar los 30 días naturales. En caso de sucesos graves, el periodo puede ampliarse hasta un máximo de 90 días naturales.

Si se sobrepasa este periodo, deberá realizarse la auditoría de mantenimiento completa in situ o se suspenderá el certificado.

Auditorías de recertificación

Las auditorías de recertificación también pueden realizarse parcialmente a distancia. La auditoría a distancia, junto con la auditoría in situ, constituye una auditoría de recertificación completa. Ambos procesos deben completarse antes de la expiración del certificado existente.

El plazo máximo entre la auditoría a distancia y la auditoría in situ no podrá superar los 30 días naturales. En caso de acontecimientos graves, el periodo podrá ampliarse hasta un máximo de 90 días naturales.

Auditorías sin previo aviso

Incluso en el caso de las auditorías no anunciadas, parte de la auditoría puede realizarse a distancia. El requisito previo es que se realice primero la auditoría in situ. La auditoría a distancia debe realizarse después, en un plazo máximo de 48 horas tras la auditoría in situ.

Duración y calendario

La auditoría a distancia suele durar un día, y la auditoría de verificación in situ ocupa el resto de la duración total de la auditoría anual ordinaria. La auditoría in situ no será inferior a un día y supondrá al menos el 50% de la duración total de la auditoría.

En el caso de que las TIC utilizadas no funcionen correctamente o impidan o dificulten una auditoría sólida, la auditoría deberá darse por terminada y se determinarán las medidas de seguimiento adecuadas.

Confidencialidad, seguridad y protección de datos

La protección de la información sensible tiene una prioridad muy alta en las auditorías a distancia. Los organismos de certificación deben tener en cuenta las leyes locales de protección de datos. Para prepararse para el uso de la tecnología de la información y la comunicación, deben definirse todos los requisitos de certificación y del cliente, así como los requisitos legales relacionados con la confidencialidad, la seguridad y la privacidad, y tomarse medidas para garantizar su aplicación efectiva. Todos los participantes deben demostrar su conformidad con los requisitos de confidencialidad, seguridad y privacidad.

Puede consultar el documento FSSC 22000 Anexo 9 aquí.

2. La auditoría FSSC 22000 totalmente a distancia

Desde octubre de 2020, es posible realizar auditorías FSSC 22000 completamente a distancia en caso de eventos graves, por ejemplo, guerras, huelgas, riesgos de seguridad o desastres naturales, como en el caso de la pandemia COVID-19. Esto es posible gracias al documento "Full Remote Audit Addendum". Puede consultarlo aquí.

La auditoría remota completa FSSC 22000 es una opción voluntaria, acreditada y no aprobada por la GFSI. Sólo puede utilizarse cuando el acceso a las instalaciones de la organización certificada no es posible como resultado directo de un evento grave. La auditoría remota sólo puede realizarse de mutuo acuerdo.

Aplicabilidad

La opción de la auditoría a distancia puede aplicarse a las auditorías anuales de mantenimiento o recertificación anunciadas, así como a las auditorías transitorias. La auditoría remota también es posible para las auditorías de seguimiento para comprobar las desviaciones, dependiendo del tipo de desviación. Las no conformidades críticas requieren una auditoría de seguimiento in situ en todos los casos. Las auditorías especiales también pueden realizarse a distancia en función del resultado de una evaluación de riesgos de sucesos graves.

Aplicación

En primer lugar, el organismo de certificación lleva a cabo una evaluación de riesgos para determinar el impacto del evento grave en el estado de certificación actual de la organización certificada. La opción de auditoría totalmente a distancia sólo puede utilizarse si los riesgos se consideran bajos.

A continuación, el organismo de certificación lleva a cabo una evaluación de la viabilidad para determinar si una auditoría totalmente a distancia es una opción viable y si todos los objetivos de la auditoría pueden alcanzarse mediante el uso de las tecnologías de la información y la comunicación (TIC).

Principios generales

Para poder realizar una auditoría remota completa, el centro debe estar en funcionamiento y seguir produciendo. Si el centro se ha cerrado y/o no hay producción, no se puede aplicar la opción de auditoría a distancia.

Antes de la auditoría, deben probarse las tecnologías TIC previstas y debe verificarse que existe una conexión estable a Internet. El auditor y todos los demás miembros del equipo de auditoría deben recibir una formación adecuada sobre el uso de las TIC antes de la auditoría a distancia.

En caso de que las TIC utilizadas no funcionen correctamente o impidan o dificulten la realización de una auditoría sólida, la auditoría debe abortarse y se deben determinar las medidas de seguimiento adecuadas de acuerdo con el plan de auditoría y los requisitos del sistema.

Seguridad y confidencialidad de los datos

En las auditorías a distancia, la protección de datos adquiere una prioridad especialmente alta. Por lo tanto, el uso de la tecnología de la información y la comunicación debe acordarse mutuamente de acuerdo con los requisitos de confidencialidad, seguridad y protección de datos antes de utilizar las TIC. La grabación de material de vídeo y/o audio, las capturas de pantalla y la salvaguarda de las pruebas también deben acordarse mutuamente. El almacenamiento de los datos es responsabilidad del organismo de certificación.

3. Discusión remota de FSSC

Si no desea utilizar las opciones de auditoría remota, es posible ampliar la auditoría hasta el 30 de marzo de 2021. Para ello, debe tener lugar una Discusión de Auditoría Remota antes de la fecha límite.

Esta Discusión de Auditoría Remota consiste en un análisis de riesgos que el centro debe completar y que es evaluado por el organismo de certificación. Posteriormente, un auditor realiza una auditoría en línea de dos horas de duración y emite un informe tras la misma. Así, el certificado se prolonga durante 6 meses, pero no más allá del 30 de marzo de 2021, debido a que a partir del 1 de abril de 2021 es obligatorio auditar según la versión 5.1 de la FSSC. Aquí puede encontrar todo lo importante sobre la revisión de la norma FSSC 22000.

Autor
Dr. Thijs Willaert

Dr. Thijs Willaert is a Global Director Sustainability Services. In the role, he is responsible for the entire ESG service portfolio of DQS. His areas of interest include sustainable procurement. human rights due diligence and ESG audits.

Loading...