Ocena ryzyka
Ocena ryzyka opiera się na kwestionariuszu, w którym określa się m.in. historyczne wyniki działalności zakładu oraz dostępność dokumentacji i zapisów. Jednostka certyfikująca jest odpowiedzialna za ocenę oceny ryzyka. Decyduje ona, czy placówka może osiągnąć cele audytu za pomocą audytu zdalnego.
Jak przeprowadza się audyt mieszany?
Audyt mieszany przeprowadza się z wykorzystaniem technologii informacyjno-komunikacyjnych. Nie ma dokładnych przepisów dotyczących środków komunikacji. Aby zminimalizować ryzyko związane z bezpieczeństwem danych, audytorzy DQS najlepiej pracują z narzędziami, z którymi klienci są już zaznajomieni.
Co jest audytowane?
To, co jest audytowane zdalnie podczas audytu mieszanego i to, co jest kontrolowane na miejscu, można rozpoznać w prawie wszystkich standardach BRCGS po kolorowym oznaczeniu. Zazwyczaj można je znaleźć po lewej stronie każdego wymagania.
Podczas auditów zdalnych sprawdzana jest dokumentacja, zapisy i systemy. Audyty na miejscu sprawdzają dobre praktyki produkcyjne, wdrożenie systemów zarządzania bezpieczeństwem żywności oraz identyfikowalność (test identyfikowalności).
Czas trwania audytu
To, czy placówka jest audytowana zdalnie czy całkowicie na miejscu, nie ma wpływu na czas trwania audytu. Jeśli zakład zdecyduje się na audyt mieszany, całkowity czas trwania audytu jest dokładnie taki sam, jak czas trwania audytu tradycyjnego. To, w jaki sposób czas zostanie podzielony pomiędzy część zdalną i część przeprowadzaną na miejscu, zależy od oceny ryzyka. Pewne jest jednak, że co najmniej połowa czasu trwania audytu musi być spędzona na miejscu.
Poufność, bezpieczeństwo i ochrona danych
Ochrona informacji wrażliwych ma bardzo wysoki priorytet w przypadku audytów zdalnych. Jednostki certyfikujące muszą brać pod uwagę lokalne przepisy dotyczące ochrony danych. Aby przygotować się do korzystania z technologii informacyjnych i komunikacyjnych, należy zdefiniować wszystkie wymagania certyfikacyjne, klienckie i prawne dotyczące poufności, bezpieczeństwa i prywatności oraz podjąć działania zapewniające ich skuteczne wdrożenie. Wszyscy uczestnicy muszą w sposób widoczny wyrazić zgodę na wymagania dotyczące poufności, bezpieczeństwa i prywatności.