La valutazione del rischio
La valutazione del rischio si basa su un questionario che identifica, tra l'altro, le prestazioni storiche del sito e la disponibilità di documentazione e registri. L'organismo di certificazione è responsabile della valutazione del rischio. Decide se un sito può raggiungere gli obiettivi di audit con l'aiuto di un audit remoto.
Come viene condotto un audit misto?
L'audit misto viene effettuato con l'aiuto della tecnologia dell'informazione e della comunicazione. Non ci sono regole precise riguardo ai mezzi di comunicazione. Per ridurre al minimo i rischi legati alla sicurezza dei dati, gli auditor DQS lavorano idealmente con gli strumenti che i rispettivi clienti conoscono già.
Cosa viene sottoposto ad audit?
Ciò che viene controllato a distanza durante l'audit misto e ciò che viene controllato sul posto può essere identificato in quasi tutti gli standard BRCGS attraverso la codifica a colori. Di solito si trova a sinistra di ogni requisito.
Gli audit a distanza esaminano la documentazione, le registrazioni e i sistemi. Gli audit in sede esaminano le buone pratiche di produzione, l'implementazione dei sistemi di gestione della sicurezza alimentare e la tracciabilità (test di tracciabilità).
Durata dell'audit
Il fatto che un sito sia sottoposto ad audit da remoto o completamente in sede non influisce sulla durata dell'audit. Se un sito sceglie l'audit misto, la durata totale dell'audit è esattamente la stessa di quella di un audit tradizionale. Il modo in cui il tempo viene suddiviso tra la parte remota e la parte in sede dipende dalla valutazione del rischio. Ciò che è certo, comunque, è che almeno la metà della durata dell'audit deve essere trascorsa in sede.
Riservatezza, sicurezza e protezione dei dati
Proteggere le informazioni sensibili è una priorità molto alta per gli audit remoti. Gli organismi di certificazione devono tenere conto delle leggi locali sulla protezione dei dati. Per prepararsi all'uso della tecnologia dell'informazione e della comunicazione, tutti i requisiti di certificazione, del cliente e legali relativi alla riservatezza, alla sicurezza e alla privacy devono essere definiti e devono essere prese misure per assicurare la loro effettiva attuazione. Tutti i partecipanti devono dimostrare di essere d'accordo con i requisiti di riservatezza, sicurezza e privacy.