La norme FSSC 22000 offre deux options d'audit à distance : L'audit à distance partiel et l'audit à distance complet. Vous découvrirez ci-dessous le processus de certification et comment les deux options d'audit à distance diffèrent l'une de l'autre. Vous apprendrez également comment utiliser la discussion à distance pour prolonger l'audit FSSC 22000 à venir jusqu'au 30 mars 2021.
Grandes lignes
- L'audit partiellement à distance
- L'audit FSSC 22000 entièrement à distance
- Discussion à distance FSSC 22000
1. L'audit partiellement à distance
Depuis juin 2020, il est possible de réaliser des audits FSSC 22000 partiellement à distance. La procédure consiste en un audit à distance suivi d'un audit abrégé sur site. La procédure pour les audits à distance selon FSSC 22000 est décrite dans la nouvelle annexe 9. Elle est applicable pour les audits initiaux, les audits de surveillance et les audits de recertification, chacun dans des conditions différentes.
A l'aide d'une évaluation des risques, l'organisme de certification détermine si un audit à distance est une option sur le site en question. L'évaluation des risques est basée sur un questionnaire qui détermine, entre autres, les performances historiques du site et la disponibilité de la documentation et des enregistrements. L'organisme de certification est chargé d'évaluer l'évaluation des risques. Il décide si un audit à distance est possible pour le site.
Comment se déroule un audit FSSC 22000 partiellement à distance ?
L'audit partiellement à distance FSSC 22000 est réalisé à l'aide des technologies de l'information et de la communication (TIC). Il n'existe pas de règles précises concernant les moyens de communication - les auditeurs DQS, par exemple, aiment travailler avec des systèmes que les sites connaissent déjà. De cette manière, les problèmes techniques et les risques liés à la protection des données peuvent être évités.
L'approche de l'audit TIC est volontaire et doit faire l'objet d'un accord mutuel entre l'organisme de certification et l'organisation à certifier avant l'audit.
Qu'est-ce qui est audité ?
La procédure décrite à l'annexe 9 se compose de deux étapes principales :
1) L'audit à distance : Il s'agit d'un examen des documents et d'entretiens avec le personnel clé, en utilisant les TIC. L'audit à distance se concentre sur les éléments de la norme ISO 22000.
2) Audit sur site : Il se concentre sur la mise en œuvre et la vérification du SMSF (y compris le système HACCP), des PRP, de l'inspection physique du processus de production et de toute autre exigence non couverte par l'audit à distance.
Audits initiaux
L'audit complet de l'étape 1 du FSSC peut être réalisé à distance en utilisant les TIC. Les objectifs de l'audit de phase 1 tels que définis dans la norme ISO 17021-1 (9.3.1.2.2) doivent être atteints. À cette fin, les TIC (c'est-à-dire la vidéo en direct) doivent être incluses pour observer également l'environnement de travail et les installations. Le rapport d'audit de l'étape 1 indiquera que l'audit a été réalisé à distance, quels outils TIC ont été utilisés et quels objectifs ont été atteints.
L'audit de phase 2 est réalisé sous la forme d'un audit complet sur site dans les 6 mois suivant l'audit de phase 1. S'il n'a pas lieu dans ce délai, l'audit de phase 1 doit être répété. Il n'est pas permis d'utiliser l'approche d'audit des TIC pour l'audit de phase 2.
Audits de surveillance
Il est également possible d'effectuer une partie de l'audit à distance pour les audits de surveillance annuels. L'audit à distance et l'audit sur site doivent être réalisés dans une année civile. Le délai maximum entre l'audit à distance et l'audit sur site ne doit pas dépasser 30 jours civils. En cas d'événements graves, cette période peut être étendue à un maximum de 90 jours civils.
Si cette période est dépassée, l'audit de surveillance complet sur site doit être réalisé ou le certificat sera suspendu.
Audits de re-certification
Les audits de recertification peuvent également être réalisés partiellement à distance. L'audit à distance, associé à l'audit sur site, constitue un audit complet de recertification. Les deux processus doivent être achevés avant l'expiration du certificat existant.
La période maximale entre l'audit à distance et l'audit sur site ne doit pas dépasser 30 jours civils. En cas d'événements graves, cette période peut être étendue à un maximum de 90 jours civils.
Audits inopinés
Même dans le cas d'audits inopinés, une partie de l'audit peut être réalisée à distance. La condition préalable est que l'audit sur site soit effectué en premier. L'audit à distance doit être réalisé ensuite, dans un délai maximum de 48 heures après l'audit sur site.
Durée et calendrier
L'audit à distance dure généralement un jour, et l'audit de vérification sur site occupe le reste de la durée totale de l'audit annuel régulier. L'audit sur site ne doit pas être inférieur à un jour et doit représenter au moins 50 % de la durée totale de l'audit.
Dans le cas où les TIC utilisées ne fonctionnent pas correctement ou empêchent / gênent un audit solide, l'audit doit être interrompu et des actions de suivi appropriées doivent être déterminées.
Confidentialité, sécurité et protection des données
La protection des informations sensibles a une très haute priorité dans les audits à distance. Les organismes de certification doivent tenir compte des lois locales sur la protection des données. Pour se préparer à l'utilisation des technologies de l'information et de la communication, toutes les exigences de la certification et du client, ainsi que les exigences légales liées à la confidentialité, à la sécurité et à la vie privée, doivent être définies et des mesures doivent être prises pour assurer leur mise en œuvre effective. Tous les participants doivent manifestement accepter les exigences en matière de confidentialité, de sécurité et de vie privée.
Vous pouvez consulter le document FSSC 22000 Annexe 9 ici.
2. L'audit FSSC 22000 entièrement à distance
Depuis octobre 2020, il est possible de réaliser des audits FSSC 22000 entièrement à distance en cas d'événements graves, par exemple des guerres, des grèves, des risques de sécurité ou des catastrophes naturelles, comme dans le cas de la pandémie COVID-19. Ceci est rendu possible par le document "Full Remote Audit Addendum". Vous pouvez le consulter ici.
L'audit à distance complet FSSC 22000 est une option accréditée, non approuvée par la GFSI et volontaire. Elle ne peut être utilisée que lorsque l'accès aux locaux de l'organisme certifié n'est pas possible en raison d'un événement grave. L'audit à distance ne peut être réalisé que sur accord mutuel.
Applicabilité
L'option d'audit à distance peut être appliquée aux audits annuels de surveillance ou de recertification annoncés, ainsi qu'aux audits transitoires. L'audit à distance est également possible pour les audits de suivi destinés à vérifier les écarts, en fonction du type d'écart. Les non-conformités critiques nécessitent dans tous les cas un audit de suivi sur site. Des audits spéciaux peuvent également être réalisés à distance en fonction du résultat d'une évaluation des risques d'événements graves.
Mise en œuvre
Tout d'abord, l'organisme de certification procède à une évaluation des risques afin de déterminer l'impact de l'événement grave sur le statut de certification actuel de l'organisme certifié. L'option d'audit entièrement à distance ne peut être utilisée que si les risques sont considérés comme faibles.
L'organisme de certification réalise ensuite une étude de faisabilité afin de déterminer si un audit entièrement à distance est une option viable et si tous les objectifs de l'audit peuvent être atteints grâce à l'utilisation des technologies de l'information et de la communication (TIC).
Principes généraux
Pour qu'un audit complet à distance puisse être réalisé, le site doit être en activité et toujours en production. Si le site a été fermé et/ou s'il n'y a pas de production, l'option d'audit à distance ne peut être appliquée.
Avant l'audit, les technologies TIC prévues doivent être testées et il faut vérifier qu'une connexion Internet stable existe. L'auditeur et tous les autres membres de l'équipe d'audit doivent recevoir une formation appropriée à l'utilisation des TIC avant l'audit à distance.
Dans le cas où les TIC utilisées ne fonctionnent pas correctement ou empêchent/noient un bon audit, l'audit doit être interrompu et une action de suivi appropriée doit être déterminée conformément au plan d'audit et aux exigences du système.
Sécurité et confidentialité des données
Dans les audits à distance, la protection des données revêt une priorité particulièrement élevée. L'utilisation des technologies de l'information et de la communication doit donc faire l'objet d'un accord mutuel conformément aux exigences de confidentialité, de sécurité et de protection des données avant que les TIC ne puissent être utilisées. L'enregistrement de matériel vidéo et/ou audio, les captures d'écran et la sauvegarde des preuves doivent également faire l'objet d'un accord mutuel. Le stockage des données est de la responsabilité de l'organisme de certification.
3. Discussion à distance FSSC
Si vous ne souhaitez pas utiliser les options d'audit à distance, il est possible de prolonger l'audit jusqu'au 30 mars 2021. Pour ce faire, une discussion d'audit à distance doit avoir lieu avant la date limite.
Cette discussion d'audit à distance consiste en une analyse des risques que le site doit réaliser et qui est évaluée par l'organisme de certification. Ensuite, un auditeur effectue un audit en ligne de deux heures et émet un rapport après l'audit. Ainsi, le certificat est prolongé de 6 mois, mais pas au-delà du 30 mars 2021, étant donné qu'à partir du 1er avril 2021, il est obligatoire d'auditer selon la version 5.1 de la FSSC. Vous trouverez ici tout ce qui est important concernant la révision de la norme FSSC 22000.
Bulletin d'information DQS
Dr. Thijs Willaert
Dr Thijs Willaert est directeur mondial des services de développement durable. À ce titre, il est responsable de l'ensemble du portefeuille de services ESG de DQS. Ses domaines d'intérêt comprennent les achats durables, la diligence raisonnable en matière de droits de l'homme et les audits ESG.