800 277 6242 Lun - Vie: 8:00 - 17:30 info@globalstd.com
11 septiembre, 2020 |
Inocuidad
|
Auditorías Remotas en FSSC 22000
El 23 de junio 2020 se publicó un nuevo anexo con los requisitos para los Organismos de Certificación vinculados a las actividades de auditoría en FSSC 22000 sobre el uso de las TIC (Tecnología de la Información y la Comunicación). Ahora se puede aplicar una opción voluntaria alternativa donde se cumplen los criterios, entregando la auditoría FSSC 22000 como un proceso dividido que utiliza las TIC; este enfoque de auditoría es voluntario y debe ser acordado mutuamente entre el organismo de certificación y la organización antes de la auditoría.
El enfoque de auditoría de las TIC consta de 2 pasos principales:
- Auditoría remota que consiste en una revisión de documentos y entrevistas con personal clave que utiliza las TIC. *Este enfoque estará en los componentes ISO 22000 del esquema.
- Auditoría en el sitio que se enfoca en la implementación y verificación del FSMS (incluyendo HACCP), PRP, la inspección física del proceso de producción y cualquier requisito restante no cubierto durante la auditoría remota.
En primera instancia, el organismo de certificación realizará una evaluación para determinar, junto con la organización certificada, si el enfoque de auditoría de TIC es una opción viable. El OC deberá tener procedimientos documentados que incluyan criterios para evaluar y aprobar el proceso de auditoría dividida utilizando las TIC; esta evaluación se realizará y se documentará para cada auditoría que involucre a todos los miembros del equipo y al representante de la organización auditada.
Si se considera que el enfoque de auditoría TIC es una opción viable, los medios que se utilizarán serán probados con la organización certificada antes de la auditoría remota para confirmar que son apropiados, adecuados y efectivos; la viabilidad también depende de la calidad de la conexión en línea. Un ancho de banda débil o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto de la ineficiencia.
El OC proporcionará apoyo o capacitación sobre el uso de las TIC al auditor y a cualquier otro miembro del equipo de auditoría antes de la auditoría remota (se mantendrán registros de estos entrenamientos).
Asimismo se cumplirán los requisitos de IAF MD4, este documento obligatorio define las reglas que los organismos de certificación y sus auditores deben seguir para garantizar que las TIC se utilicen para optimizar la eficiencia y eficacia de la auditoría/evaluación, al tiempo que respaldan y mantienen la integridad del proceso de auditoría. El OC deberá incluir los requisitos de IAF MD4 en sus procedimientos para el uso de las TIC y la competencia del personal.
Para prepararse para el uso de las TIC, se deben identificar todos los requisitos legales y de certificación del cliente relacionados con la confidencialidad, la seguridad y la protección de datos y se deben tomar medidas para garantizar su implementación efectiva. Esto implica que tanto el auditor como el auditado están de acuerdo con el uso de las TIC y con las medidas tomadas para cumplir con estos requisitos.
La auditoría remota generalmente será de 1 día y la verificación in situ auditará el resto de la duración total de la auditoría anual regular; la evaluación in situ no puede ser inferior a 1 día y debe ser al menos el 50% de la duración total, misma que está basada en el cálculo de la Parte 3 de las reglas del Esquema y se cumplirá entre la auditoría remota y la que es en sitio. Cuando se aplica el redondeo, las duraciones se redondearán hacia arriba al medio día más cercano, teniendo en cuenta que podría requerirse tiempo adicional para realizar la auditoría remota; la duración total del evento no incluye actividades de preparación o informes, y se requiere tiempo adicional para estas actividades según lo define la Parte 3.
Al compilar el plan para la auditoría remota, se debe considerar la duración adecuada y permitir descansos más frecuentes para mejorar la atención y reducir la fatiga visual; estos descansos no pueden contarse dentro del tiempo considerado. Si se consume tiempo en cuestiones de inactividad de la red, interrupciones o demoras inesperadas, problemas de accesibilidad u otros desafíos de las TIC, no se contará como tiempo de auditoría, por lo que deben establecerse disposiciones para garantizar los periodos de auditoría.
El plazo máximo entre la auditoría remota e in situ no deberá exceder los 30 días calendario. En el caso de eventos graves, la línea de tiempo puede extenderse a un máximo de 90 días calendario, según un proceso de concesión claro y documentado, además de una evaluación de riesgos por parte del organismo de certificación. La evaluación de riesgos considerará los elementos de IAF ID3 como mínimo, y la extensión solo se permite cuando la eficiencia e integridad de la auditoría no se vean comprometidas. Cuando el OC otorga concesiones y se aplican los plazos de 90 días, la evaluación de riesgos se cargará en el portal como parte de la documentación de la auditoría.
En todos los casos que las TIC utilizadas no funcionen correctamente o impidan una auditoría sólida, se suspenderá y se determinarán las acciones de seguimiento adecuadas.
Se debe considerar lo siguiente al realizar la evaluación:
a) Madurez del FSMS y el historial de desempeño de la organización certificada.
b) Si la organización certificada permite y acomoda la actividad de auditoría remota (es decir, disponibilidad de registros en formato electrónico o lector de documentos), incluidas medidas de protección y seguridad de datos.
c) Las herramientas TIC que se utilizarán.
d) Si la organización certificada tiene la capacidad de proporcionar un representante capaz de comunicarse en el mismo idioma que el auditor.
e) Si el OC y la organización certificada tienen la capacidad de realizar la auditoría remota en el medio/foro elegido de la auditoría remota.
f) Impacto en la duración de la auditoría y la planificación de la auditoría, donde podría requerirse más tiempo debido al uso de las TIC.
