La FSSC 22000 offre due opzioni di audit remoto: L'audit parzialmente remoto e l'audit completamente remoto. Qui di seguito vi illustreremo il processo di certificazione e le differenze tra le due opzioni di audit remoto. Verrà inoltre illustrato come utilizzare la discussione remota per estendere l'audit FSSC 22000 in corso fino a un massimo del 30 marzo 2021.
Schema
- L'audit parzialmente remoto
- L'audit FSSC 22000 completamente remoto
- Discussione a distanza FSSC 22000
1. L'audit parzialmente remoto
Da giugno 2020 è possibile eseguire audit FSSC 22000 parzialmente a distanza. La procedura consiste in un audit remoto seguito da un audit abbreviato in loco. La procedura per gli audit remoti secondo la FSSC 22000 è descritta nel nuovo Allegato 9. È applicabile agli audit iniziali, agli audit di sorveglianza e agli audit di ricertificazione, ciascuno in condizioni diverse.
Con l'aiuto di una valutazione del rischio, l'organismo di certificazione determina se un audit a distanza è un'opzione per il sito in questione. La valutazione del rischio si basa su un questionario che determina, tra l'altro, le prestazioni storiche del sito e la disponibilità di documentazione e registri. L'organismo di certificazione è responsabile della valutazione del rischio. Decide se è possibile effettuare un audit a distanza per il sito.
Come viene condotto un audit parzialmente remoto FSSC 22000?
L'audit parzialmente remoto FSSC 22000 viene condotto utilizzando le tecnologie dell'informazione e della comunicazione (ICT). Non ci sono regole precise per quanto riguarda i mezzi di comunicazione: gli auditor DQS, ad esempio, preferiscono lavorare con sistemi che i siti conoscono già. In questo modo si possono evitare problemi tecnici e rischi per la protezione dei dati.
L'approccio all'audit ICT è volontario e deve essere concordato tra l'organismo di certificazione e l'organizzazione da certificare prima dell'audit.
Cosa viene verificato?
La procedura descritta nell'Allegato 9 consiste in due fasi principali:
1) Audit a distanza: Consiste in un esame dei documenti e in colloqui con il personale chiave, utilizzando le tecnologie dell'informazione e della comunicazione. L'audit a distanza si concentra sulle componenti dello standard ISO 22000.
2) Audit in loco: Si concentrerà sull'implementazione e la verifica dell'FSMS (compreso l'HACCP), dei PRP, dell'ispezione fisica del processo produttivo e di qualsiasi altro requisito non coperto durante l'audit remoto.
Audit iniziali
L'audit completo FSSC Stage 1 può essere condotto a distanza utilizzando le TIC. Devono essere raggiunti gli obiettivi dell'audit di Fase 1 definiti nella ISO 17021-1 (9.3.1.2.2). A tal fine, le TIC (ad esempio, video in diretta) devono essere incluse per osservare anche l'ambiente di lavoro e le strutture. Il rapporto dell'audit di fase 1 indicherà che l'audit è stato condotto a distanza, quali strumenti TIC sono stati utilizzati e quali obiettivi sono stati raggiunti.
L'audit di Fase 2 viene condotto come audit completo in loco entro 6 mesi dall'audit di Fase 1. Se non si svolge entro questo periodo, l'audit di fase 1 deve essere ripetuto. Non è consentito utilizzare l'approccio di audit TIC per l'audit di fase 2.
Audit di sorveglianza
Per gli audit di sorveglianza annuali è possibile eseguire parte dell'audit a distanza. Sia l'audit remoto che l'audit in loco devono essere completati entro un anno solare. L'intervallo massimo tra l'audit remoto e l'audit in loco non deve superare i 30 giorni di calendario. In caso di eventi gravi, il periodo può essere esteso fino a un massimo di 90 giorni di calendario.
Se questo periodo viene superato, deve essere eseguito l'audit di sorveglianza completo in loco, pena la sospensione del certificato.
Audit di ricertificazione
Gli audit di ricertificazione possono essere eseguiti anche parzialmente a distanza. L'audit remoto, insieme all'audit in loco, costituisce un audit di ricertificazione completo. Entrambi i processi devono essere completati prima della scadenza del certificato esistente.
L'intervallo massimo tra l'audit remoto e l'audit in loco non deve superare i 30 giorni di calendario. In caso di eventi gravi, il periodo può essere esteso fino a un massimo di 90 giorni di calendario.
Audit senza preavviso
Anche nel caso di audit senza preavviso, una parte dell'audit può essere condotta a distanza. Il prerequisito è che prima venga effettuato l'audit in loco. L'audit a distanza deve essere effettuato successivamente, entro un massimo di 48 ore dall'audit in loco.
Durata e programma
L'audit remoto dura in genere un giorno, mentre l'audit di verifica in loco occupa il resto della durata totale dell'audit annuale regolare. L'audit in loco non deve essere inferiore a un giorno e deve rappresentare almeno il 50% della durata totale dell'audit.
Nel caso in cui le TIC utilizzate non funzionino correttamente o impediscano od ostacolino un audit solido, l'audit deve essere interrotto e devono essere stabilite le azioni di follow-up appropriate.
Riservatezza, sicurezza e protezione dei dati
La protezione delle informazioni sensibili ha una priorità molto alta negli audit a distanza. Gli organismi di certificazione devono tenere conto delle leggi locali sulla protezione dei dati. Per prepararsi all'uso delle tecnologie dell'informazione e della comunicazione, è necessario definire tutti i requisiti di certificazione e dei clienti, nonché i requisiti legali relativi alla riservatezza, alla sicurezza e alla privacy, e adottare misure per garantirne l'effettiva attuazione. Tutti i partecipanti devono dimostrare di accettare i requisiti di riservatezza, sicurezza e privacy.
È possibile consultare il documento FSSC 22000 Allegato 9 qui.
2. L'audit FSSC 22000 completamente a distanza
Da ottobre 2020 è possibile condurre audit FSSC 22000 completamente a distanza in caso di eventi gravi, ad esempio guerre, scioperi, rischi per la sicurezza o disastri naturali, come nel caso della pandemia COVID-19. Ciò è reso possibile dal documento "Full Remote Audit Addendum". È possibile visualizzarlo qui.
L'audit remoto completo FSSC 22000 è un'opzione volontaria accreditata, non approvata dalla GFSI. Può essere utilizzato solo quando l'accesso alla sede dell'organizzazione certificata non è possibile a causa di un evento grave. L'audit remoto può essere eseguito solo previo accordo reciproco.
Applicabilità
L'opzione di audit remoto può essere applicata agli audit annuali di sorveglianza o di ricertificazione annunciati, nonché agli audit di transizione. L'audit remoto è possibile anche per gli audit di follow-up per verificare le deviazioni, a seconda del tipo di deviazione. Le non conformità critiche richiedono in ogni caso un audit di follow-up in loco. Anche gli audit speciali possono essere eseguiti a distanza sulla base dei risultati di una valutazione del rischio di eventi gravi.
Attuazione
In primo luogo, l'organismo di certificazione effettua una valutazione del rischio per determinare l'impatto dell'evento grave sull'attuale stato di certificazione dell'organizzazione certificata. L'opzione di audit completamente remoto può essere utilizzata solo se i rischi sono considerati bassi.
L'organismo di certificazione effettua quindi una valutazione di fattibilità per determinare se un audit completamente remoto è un'opzione praticabile e se tutti gli obiettivi dell'audit possono essere raggiunti attraverso l'uso delle tecnologie dell'informazione e della comunicazione (TIC).
Principi generali
Per poter condurre un audit completo a distanza, il sito deve essere in funzione e produrre ancora. Se il sito è stato chiuso e/o non c'è produzione, l'opzione di audit remoto non può essere applicata.
Prima dell'audit, è necessario testare le tecnologie ICT previste e verificare l'esistenza di una connessione Internet stabile. L'auditor e tutti gli altri membri del team di audit devono ricevere una formazione adeguata sull'uso delle TIC prima dell'audit remoto.
Nel caso in cui le TIC utilizzate non funzionino correttamente o impediscano od ostacolino un buon audit, l'audit deve essere interrotto e devono essere stabilite le azioni di follow-up appropriate in conformità al piano di audit e ai requisiti del sistema.
Sicurezza e riservatezza dei dati
Negli audit a distanza, la protezione dei dati assume una priorità particolarmente elevata. L'uso delle tecnologie dell'informazione e della comunicazione deve quindi essere concordato reciprocamente in base ai requisiti di riservatezza, sicurezza e protezione dei dati prima che le TIC possano essere utilizzate. Anche la registrazione di materiale video e/o audio, gli screenshot e la salvaguardia delle prove devono essere concordati di comune accordo. L'archiviazione dei dati è di competenza dell'organismo di certificazione.
3. Discussione a distanza FSSC
Se non si desidera utilizzare le opzioni di audit remoto, è possibile estendere l'audit fino al 30 marzo 2021. A tal fine, è necessario effettuare una Remote Audit Discussion entro la data di scadenza.
Questa Remote Audit Discussion consiste in un'analisi dei rischi che il sito deve completare e che viene valutata dall'ente di certificazione. Successivamente, un auditor conduce un audit online di due ore e rilascia un rapporto dopo l'audit. In questo modo, il certificato viene esteso per 6 mesi, ma non oltre il 30 marzo 2021, poiché dal 1° aprile 2021 sarà obbligatorio effettuare l'audit secondo la versione 5.1 della FSSC. Qui potete trovare tutte le informazioni importanti sulla revisione dello standard FSSC 22000.
Newsletter DQS
Resta informato ed iscriviti alla nostra newsletter!
Autore
Dr. Thijs Willaert
Il Dott. Thijs Willaert è Direttore Globale per i Servizi di Sostenibilità. Nel suo ruolo, è responsabile per l'intero portfolio di servizi ESG di DQS. Le sue aree di interesse comprendono la sostenibilità negli approvvigionamenti, la due diligence nei diritti umani e gli audit ESG.
Loading...