De risicobeoordeling
De risicobeoordeling is gebaseerd op een vragenlijst die onder meer de historische prestaties van de site en de beschikbaarheid van documentatie en registers identificeert. De certificatie-instelling is verantwoordelijk voor de beoordeling van de risicobeoordeling. Zij beslist of een site de auditdoelstellingen kan bereiken met behulp van een audit op afstand.
Hoe wordt een gemengde audit uitgevoerd?
De blended audit wordt uitgevoerd met behulp van informatie- en communicatietechnologie. Er zijn geen precieze voorschriften voor de communicatiemiddelen. Om de risico's in verband met de veiligheid van de gegevens tot een minimum te beperken, werken de auditors van DQS idealiter met de instrumenten waarmee de respectieve cliënten al vertrouwd zijn.
Wat wordt er geauditeerd?
Wat op afstand wordt gecontroleerd tijdens de blended audit en wat ter plaatse wordt onderzocht, kan in bijna alle BRCGS-normen worden geïdentificeerd aan de hand van de kleurcodering. Deze is meestal links van elke eis te vinden.
Bij audits op afstand worden documentatie, dossiers en systemen gecontroleerd. Bij audits ter plaatse wordt gekeken naar goede productiepraktijken, implementatie van beheersystemen voor de voedselveiligheid en traceerbaarheid (traceerbaarheidstest).
Duur van de audit
Of een locatie op afstand of volledig op locatie wordt geauditeerd, heeft geen invloed op de duur van de audit. Als een vestiging voor de gemengde audit kiest, is de totale duur van de audit precies gelijk aan de duur van een traditionele audit. Hoe de tijd wordt verdeeld tussen het gedeelte op afstand en het gedeelte op locatie, hangt af van de risicobeoordeling. Zeker is echter dat ten minste de helft van de auditduur ter plaatse moet worden doorgebracht.
Vertrouwelijkheid, beveiliging en gegevensbescherming
De bescherming van gevoelige informatie is een zeer hoge prioriteit voor audits op afstand. Certificatie-instellingen moeten rekening houden met de plaatselijke wetgeving inzake gegevensbescherming. Om voorbereid te zijn op het gebruik van informatie- en communicatietechnologie moeten alle certificerings-, klanten- en wettelijke eisen met betrekking tot vertrouwelijkheid, veiligheid en privacy worden gedefinieerd en moeten maatregelen worden genomen om de effectieve uitvoering ervan te waarborgen. Alle deelnemers moeten aantoonbaar akkoord gaan met de vereisten inzake vertrouwelijkheid, beveiliging en privacy.