A FSSC 22000 oferece duas opções de auditoria remota: A auditoria parcialmente remota e a auditoria totalmente remota. Abaixo você aprenderá sobre o processo de certificação e como as duas opções de auditoria remota diferem uma da outra. Você também aprenderá como usar a Remote Discussion para estender a próxima auditoria da FSSC 22000 até o máximo de 30 de março de 2021.
Esboço
- A auditoria parcialmente remota
- A auditoria FSSC 22000 totalmente remota
- Discussão remota do FSSC 22000
1. A auditoria parcialmente remota
Desde junho de 2020 é possível realizar auditorias FSSC 22000 parcialmente remotas. O procedimento consiste em uma auditoria remota seguida por uma auditoria abreviada no local. O procedimento para auditorias remotas de acordo com a FSSC 22000 está descrito no novo Anexo 9. É aplicável para auditorias iniciais, auditorias de manutenção e auditorias de recertificação, cada uma sob diferentes condições.
Com a ajuda de uma avaliação de risco, o organismo de certificação determina se uma auditoria remota é uma opção no local em questão. A avaliação de risco é baseada em um questionário que determina, entre outras coisas, o desempenho histórico do local e a disponibilidade de documentação e registros. O organismo de certificação é responsável por avaliar a avaliação de risco. Ele decide se uma auditoria remota é possível para o local.
Como é realizada uma auditoria remota parcial da FSSC 22000?
A auditoria parcialmente remota da FSSC 22000 é realizada utilizando as tecnologias de informação e comunicação (TIC). Não existem regulamentos exatos sobre os meios de comunicação - os auditores da DQS, por exemplo, gostam de trabalhar com sistemas com os quais os sites já estão familiarizados. Desta forma, é possível evitar problemas técnicos e riscos de proteção de dados.
A abordagem da auditoria TIC é voluntária e deve ser mutuamente acordada entre o organismo de certificação e a organização a ser certificada antes da auditoria.
O que é auditado?
O procedimento descrito no Anexo 9 consiste em duas etapas principais:
1) Auditoria remota: Consiste em uma revisão documental e entrevistas com o pessoal chave, utilizando as TIC. O foco da auditoria remota será sobre os componentes da norma ISO 22000.
2) Auditoria no local: Esta incidirá sobre a implementação e verificação do FSMS (incluindo HACCP), PRPs, inspeção física do processo de produção e quaisquer requisitos restantes que não tenham sido cobertos durante a auditoria remota.
Auditorias iniciais
A auditoria completa da Fase 1 do FSSC pode ser realizada remotamente, utilizando as TIC. Os objetivos da auditoria da Fase 1 definidos na norma ISO 17021-1 (9.3.1.2.2) devem ser alcançados. Para isso, as TIC (ou seja, vídeo ao vivo) devem ser incluídas para observar também o ambiente de trabalho e as instalações. O relatório de auditoria da fase 1 indicará que a auditoria foi realizada remotamente, que ferramentas de TIC foram utilizadas e que objetivos foram alcançados.
A auditoria da fase 2 é realizada como uma auditoria completa no local no prazo de 6 meses após a auditoria da fase 1. Se não for realizada dentro deste período, a auditoria da fase 1 deve ser repetida. Não é permitido utilizar a abordagem de auditoria de TIC para a auditoria da fase 2.
Auditorias de manutenção
Também é possível realizar parte da auditoria à distância para as auditorias de manutenção anuais. Tanto a auditoria remota como a auditoria no local devem ser concluídas no prazo de um ano civil. O período máximo entre a auditoria remota e a auditoria no local não deve exceder 30 dias de calendário. No caso de eventos graves, o período pode ser prolongado até um máximo de 90 dias de calendário.
Se este período for excedido, a auditoria de manutenção completa no local deve ser realizada ou o certificado será suspenso.
Auditorias de recertificação
As auditorias de recertificação também podem ser realizadas parcialmente à distância. A auditoria remota em conjunto com a auditoria no local constitui uma auditoria de recertificação completa. Ambos os processos devem ser concluídos antes da expiração do certificado existente.
O período máximo entre a auditoria remota e a auditoria no local não deve exceder 30 dias de calendário. No caso de eventos graves, o período pode ser prolongado até um máximo de 90 dias de calendário.
Auditorias sem aviso prévio
Mesmo no caso de auditorias sem aviso prévio, parte da auditoria pode ser realizada remotamente. O pré-requisito é que a auditoria no local seja realizada em primeiro lugar. A auditoria remota deve ser realizada posteriormente, num prazo máximo de 48 horas após a auditoria no local.
Duração & Horário
A auditoria remota normalmente dura um dia, e a auditoria de verificação no local ocupa o restante da duração total da auditoria anual regular. A auditoria no local não deve ser inferior a um dia e deve ter uma duração mínima de 50% da duração total da auditoria.
Caso as TIC utilizadas não estejam funcionando corretamente ou estejam impedindo/impossibilitando uma auditoria sólida, a auditoria deve ser concluída e devem ser determinadas ações de acompanhamento adequadas.
Confidencialidade, segurança e proteção de dados
A proteção de informações sensíveis tem uma prioridade muito alta em auditorias remotas. Os órgãos de certificação devem considerar as leis locais de proteção de dados. Para se preparar para o uso das tecnologias de informação e comunicação, todas as exigências de certificação e de clientes, bem como os requisitos legais relacionados com confidencialidade, segurança e privacidade, devem ser definidos e medidas tomadas para garantir a sua implementação eficaz. Todos os participantes devem concordar comprovadamente com os requisitos de confidencialidade, segurança e privacidade.
Você pode ver o documento do Anexo 9 da FSSC 22000 aqui.
2. A auditoria totalmente remota da FSSC 22000
Desde outubro de 2020, é possível realizar auditorias FSSC 22000 de forma completamente remota no caso de eventos graves, como guerras, greves, riscos de segurança ou desastres naturais, como no caso da pandemia da COVID-19. Isto é possível graças ao documento "Full Remote Audit Addendum". Você pode visualizá-lo aqui.
A auditoria remota completa da FSSC 22000 é uma opção credenciada, não aprovada pelo FSSC, voluntária. Ela só pode ser usada quando o acesso às instalações da organização certificada não for possível como resultado direto de um evento sério. A auditoria remota só pode ser realizada mediante acordo mútuo.
Aplicabilidade
A opção de auditoria remota pode ser aplicada às auditorias anuais de manutenção ou recertificação anunciadas, bem como às auditorias transitórias. A auditoria remota também é possível para auditorias de acompanhamento para verificar desvios, dependendo do tipo de desvio. A não-conformidade crítica requer uma auditoria de acompanhamento no local em todos os casos. Auditorias especiais também podem ser realizadas remotamente, com base no resultado de uma avaliação de risco para eventos graves.
Implementação
Primeiro, o órgão de certificação realiza uma avaliação de risco para determinar o impacto do evento grave sobre o status atual da certificação da organização certificada. A opção de auditoria totalmente remota só pode ser usada se os riscos forem considerados baixos.
Em seguida, o organismo de certificação realiza uma avaliação de viabilidade para determinar se uma auditoria remota completa é uma opção viável e se todos os objetivos de auditoria podem ser alcançados através do uso de tecnologias de informação e comunicação (TIC).
Princípios gerais
Para que uma auditoria remota completa possa ser realizada, o local deve estar em operação e ainda produzindo. Se o local tiver sido fechado e/ou não houver produção, a opção de auditoria remota não pode ser aplicada.
Antes da auditoria, as tecnologias TIC pretendidas devem ser testadas e deve ser verificado se existe uma ligação estável à Internet. O auditor e todos os outros membros da equipe de auditoria devem receber formação adequada sobre o uso das TIC antes da auditoria remota.
Caso as TIC utilizadas não estejam funcionando corretamente ou estejam impedindo/impossibilitando uma auditoria sólida, a auditoria deve ser abortada e devem ser determinadas ações de seguimento adequadas de acordo com o plano de auditoria e os requisitos do sistema.
Segurança e confidencialidade dos dados
Em auditorias remotas, a proteção de dados assume uma prioridade particularmente elevada. A utilização das tecnologias de informação e comunicação deve, portanto, ser mutuamente acordada de acordo com os requisitos de confidencialidade, segurança e proteção de dados, antes que as TIC possam ser utilizadas. A gravação de material vídeo e/ou áudio, capturas de ecrã e a salvaguarda de provas também devem ser mutuamente acordadas. O armazenamento de dados é da responsabilidade do organismo de certificação.
3. Discussão Remota do FSSC
Se você não quiser usar as opções de auditoria remota, é possível estender a auditoria até 30 de março de 2021. Para isso, uma Discussão de Auditoria Remota deve ser realizada até o prazo final.
Esta Discussão de Auditoria Remota consiste em uma análise de risco que o local deve completar e que é avaliada pelo órgão de certificação. Posteriormente, um auditor realiza uma auditoria on-line de duas horas e emite um relatório após a auditoria. Assim, o certificado é prorrogado por 6 meses, mas não além de 30 de março de 2021, devido ao fato de que a partir de 1º de abril de 2021, é obrigatória a auditoria de acordo com a versão 5.1 da FSSC. Aqui você pode descobrir tudo o que é importante sobre a revisão da norma FSSC 22000.
Boletim Informativo DQS
Dr. Thijs Willaert
Dr. Thijs Willaert é Diretor Global de Serviços de Sustentabilidade. Nesta função, ele é responsável por todo o portfólio de serviços ESG da DQS. Suas áreas de interesse incluem compras sustentáveis, due diligence de direitos humanos e auditorias ESG.