FSSC 22000 Remote Audits: Annex 9, Full Remote Audit Addendum & Remote Discussion

FSSC 22000 Remote Audit

FSSC 22000 bietet zwei Remote Audit Optionen an: Das teilweise Remote Audit und das vollständige Remote Audit. Im Folgenden erfahren Sie, wie eine Zertifizierung abläuft und was die beiden Remote Audit Optionen voneinander unterscheidet. Außerdem erfahren Sie, wie Sie mithilfe der Remote Discussion das anstehende FSSC 22000 Audit bis maximal zum 30. März 2021 verlängern können.

Gliederung

  1. Das teilweise Remote Audit
  2. Das vollständig remote FSSC 22000 Audit
  3. FSSC 22000 Remote Discussion

    1. Das teilweise Remote Audit

    Seit Juni 2020 ist es möglich, Audits nach FSSC 22000 teilweise remote durchzuführen. Das Vorgehen besteht aus einem Remote Audit gefolgt von einem verkürzten Audit vor Ort. Die Vorgehensweise für Remote Audits nach FSSC 22000 wird in dem neuen Annex 9 beschrieben. Sie ist anwendbar für Erstaudits, Überwachungsaudits und Re-Zertifizierungsaudits, jeweils unter verschiedenen Bedingungen.

    Mithilfe einer Risikoanalyse ermittelt die Zertifizierungsstelle, ob ein Remote Audit bei dem jeweiligen Standort in Frage kommt. Die Risikobewertung erfolgt auf Grundlage eines Fragebogens, mit dem unter anderem die historische Leistung des Standorts und die Verfügbarkeit von Dokumentationen und Aufzeichnungen ermittelt wird. Die Beurteilung der Risikobewertung obliegt der Zertifizierungsstelle. Sie entscheidet, ob ein Remote Audit für den Standort möglich ist.

    Wie wird ein FSSC 22000 teilweise Remote Audit durchgeführt?

    Das FSSC 22000 teilweise Remote Audit wird mithilfe von Informations- und Kommunikationstechnik (IKT) durchgeführt. Genaue Vorschriften gibt es hinsichtlich der Kommunikationsmittel nicht – DQS Auditoren arbeiten beispielsweise gerne mit Systemen, mit denen die Standorte bereits vertraut sind. So können technische Probleme und Datenschutzrisiken vorgebeugt werden.

    Der IKT-Prüfungsansatz ist freiwillig und muss vor der Prüfung zwischen der Zertifizierungsstelle und der zu zertifizierenden Organisation einvernehmlich vereinbart werden.

    Was wird auditiert?

    Das im Annex 9 beschriebene Verfahren besteht aus zwei Hauptschritten:

    1) Remote Audit: Dieses besteht aus einer Dokumentenprüfung und Interviews mit Schlüsselpersonen, unter dem Einsatz von IKT. Der Schwerpunkt des Remote-Audits wird auf den ISO 22000-Komponenten des Standards liegen.

    2) Vor-Ort-Audit: Hierbei liegt der Schwerpunkt auf der Implementierung und Überprüfung des FSMS (einschließlich HACCP), der PRPs, der physischen Inspektion des Produktionsprozesses und allen verbleibenden Anforderungen, die während des Remote-Audits nicht abgedeckt wurden.

    Erstaudits

    Das vollständige FSSC Stage 1-Audit kann remote unter Verwendung von IKT durchgeführt werden. Die Ziele des Audits der Stufe 1 gemäß ISO 17021-1 (9.3.1.2.2) müssen erreicht werden. Zu diesem Zweck müssen IKT (d. H. Live-Video) einbezogen werden, um auch das Arbeitsumfeld und die Einrichtungen zu beobachten. In dem Auditbericht der Stufe 1 wird darauf hingewiesen, dass das Audit aus der Ferne abgeschlossen wurde, welche IKT-Instrumente verwendet wurden und welche Ziele erreicht wurden.

    Das Audit der Stufe 2 wird als vollständiges Vor-Ort-Audit innerhalb von 6 Monaten nach dem Stufe 1 Audit durchgeführt. Wenn es in diesem Zeitraum nicht stattfindet, muss das Stufe 1 Audit wiederholt werden. Es ist nicht gestattet, den IKT-Prüfungsansatz für das Stufe 2-Audit zu verwenden.

    Überwachungsaudits

    Auch bei den jährlichen Überwachungsaudits besteht die Möglichkeit, einen Teil des Audits remote durchzuführen. Sowohl das Remote Audit als auch das Vor-Ort-Audit müssen innerhalb eines Kalenderjahres abgeschlossen sein. Der maximale Zeitraum zwischen dem Remote Audit und dem Audit vor Ort darf 30 Kalendertage nicht überschreiten. Bei schwerwiegenden Ereignissen kann die Frist auf maximal 90 Kalendertage verlängert werden.

    Wenn diese Frist überschritten wird, muss das vollständige Überwachungsaudit vor Ort durchgeführt werden oder das Zertifikat wird ausgesetzt.

    Re-Zertifizierungsaudits

    Auch Re-Zertifizierungsaudits können teilweise remote durchgeführt werden. Das Remote-Audit in Verbindung mit dem Vor-Ort-Audit stellt ein vollständiges Re-Zertifizierungsaudit dar. Beide Prozesse müssen vor Ablauf des vorhandenen Zertifikats abgeschlossen sein.

    Der maximale Zeitraum zwischen dem Remote Audit und dem Audit vor Ort darf 30 Kalendertage nicht überschreiten. Bei schwerwiegenden Ereignissen kann die Frist auf maximal 90 Kalendertage verlängert werden.

    Unangekündigte Audits

    Auch bei unangekündigten Audits kann ein Teil des Audits aus der Ferne durchgeführt werden. Voraussetzung ist, dass das Vor-Ort-Audit zuerst durchgeführt wird. Das Remote Audit muss im Anschluss durchführt werden, innerhalb von maximal 48 Stunden nach dem Vor-Ort-Audit.

    Dauer & Zeitplan

    Das Remote-Audit dauert in der Regel einen Tag, das Vor-Ort-Verifizierungsaudit nimmt den Rest der Gesamtdauer des regulären jährlichen Audits ein. Das Audit vor Ort darf nicht weniger als einen Tag dauern und muss mindestens 50% der gesamten Auditdauer betragen.

    In dem Fall, dass die eingesetzten IKT nicht ordnungsgemäß funktionieren oder ein solides Audit verhindern / behindern, muss das Audit abgebrochen und geeignete Folgemaßnahmen festgelegt werden.

    Vertraulichkeit, Sicherheit und Datenschutz

    Der Schutz sensibler Informationen hat bei Remote Audits einen sehr hohen Stellenwert. Zertifizierungsstellen müssen lokale Datenschutzgesetze berücksichtigen. Um den Einsatz von Informations- und Kommunikationstechnik vorzubereiten, müssen alle Zertifizierungs- und Kundenanforderungen sowie rechtliche Anforderungen in Bezug auf Vertraulichkeit, Sicherheit und Datenschutz festgelegt werden und Maßnahmen ergriffen werden, um deren wirksame Umsetzung sicherzustellen. Alle Teilnehmer müssen den Vertraulichkeits-, Sicherheits- und Datenschutzanforderungen nachweislich zustimmen.

    Hier können Sie das FSSC 22000 Annex 9 Dokument einsehen.

    2. Das vollständig remote FSSC 22000 Audit

    Seit Oktober 2020 ist es möglich, bei schwerwiegenden Ereignissen, zum Beispiel bei Kriegen, Streiks, Sicherheitsrisiken oder Naturkatastrophen, wie im Fall der COVID-19 Pandemie, FSSC 22000 Audits vollständig remote durchzuführen. Möglich macht’s das Dokument „Full Remote Audit Addendum“. Dieses können Sie hier einsehen.

    Das vollständige FSSC 22000 Remote Audit ist eine akkreditierte, nicht von GFSI anerkannte, freiwillige Option. Sie kann nur angewendet werden, wenn der Zugang zu den Räumlichkeiten der zertifizierten Organisation als direkte Folge eines schwerwiegenden Ereignisses nicht möglich ist. Das Remote Audit kann nur nach beidseitigem Einverständnis durchgeführt werden.

    Anwendbarkeit

    Die Remote Audit Option lässt sich bei jährlichen, angekündigten Überwachungs- oder Rezertifizierungsaudits anwenden sowie bei Übergangsaudits. Auch bei Follow-up Audits zur Überprüfung von Abweichungen ist die remote Durchführung – abhängig von der Art der Abweichung – grundsätzlich möglich. Kritische Abweichung erfordern in allen Fällen ein Follow-up-Audit vor Ort. Spezielle Audits können auf Grundlage des Ergebnisses einer Risikobewertung für schwerwiegende Ereignisse ebenfalls remote durchgeführt werden.

    Durchführung

    Zunächst führt die Zertifizierungsstelle eine Risikobewertung durch, um die Auswirkungen des schwerwiegenden Ereignisses auf den aktuellen Zertifizierungsstatus der zertifizierten Organisation zu ermitteln. Die vollständige Remote-Audit-Option kann nur verwendet werden, wenn die Risiken als gering eingestuft werden.

    Im Anschluss führt die Zertifizierungsstelle eine Machbarkeitsprüfung durch, um festzustellen, ob ein vollständiges Remote Audit eine praktikable Option ist, und ob alle Auditziele durch den Einsatz von Informations- und Kommunikationstechnologie (IKT) erreicht werden können.

    Generelle Prinzipien

    Damit ein vollständiges Remote Audit durchgeführt werden kann, muss der Standort in Betrieb sein und weiterhin produzieren. Falls der Standort geschlossen wurde und / oder keine Produktion stattfindet, kann die Remote Audit Option nicht angewendet werden.

    Vor dem Audit müssen die angedachten IKT-Technologien getestet werden und es muss überprüft werden, ob eine stabile Internetverbindung besteht. Der/Die AuditorIn und alle anderen Mitglieder des Audit Teams müssen vor dem Remote Audit eine angemessene Einweisung in den Einsatz der IKT erhalten.

    In dem Fall, das die eingesetzten IKT nicht ordnungsgemäß funktionieren oder eine solide Prüfung verhindern / behindern, muss die Prüfung abgebrochen und geeignete Folgemaßnahmen gemäß des Auditplans und der Systemanforderungen festgelegt werden.

    Datensicherheit und Vertraulichkeit

    Bei Remote Audits nimmt der Schutz der Daten einen besonders hohen Stellenwert ein. Der Einsatz von Informations- und Kommunikationstechnologie muss daher gemäß der Vertraulichkeits-, Sicherheits- und Datenschutzanforderungen einvernehmlich vereinbart werden, bevor IKT eingesetzt werden können. Die Aufnahme von Video- und / oder Audiomaterial, Screenshots und die Sicherung von Beweisen muss ebenfalls einvernehmlich vereinbart werden. Die Speicherung der Daten obliegt der Zertifizierungsstelle.

    Was die DQS für Sie tun kann

    Als Begründer von DQS Remote und akkreditierte Zertifizierungsstelle ist die DQS Vorreiter in Sachen Remote Audits. Weltweit verfügen wir über qualifizierte FSSC 22000 Auditoren, die Ihre Projekte gerne unterstützen. Kontaktieren Sie uns noch heute – wir besprechen gerne Ihre Pläne! Mehr Infos und Tipps gibt es in unserem monatlichen Newsletter – hier geht’s zur Anmeldung.

    3. FSSC Remote Discussion

    Wenn Sie nicht von den Remote Audit Optionen Gebrauch machen möchten, ist es möglich, das Audit bis zum 30. März 2021 zu verlängern. Dafür muss bis zum Stichtag eine Remote Audit Discussion stattfinden.

    Diese Remote Audit Discussion besteht aus einer Risikoanalyse, die der Standort ausfüllen muss und die von der Zertifizierungsstelle bewertet wird. Im Anschluss führt ein Auditor ein zweistündiges Online-Audit durch und stellt nach dem Audit einen Bericht aus. So wird das Zertifikat um 6 Monate verlängert, maximal jedoch bis zum 30. März 2021. Das liegt daran, dass ab dem 1. April 2021 verpflichtend nach FSSC Version 5.1 auditiert werden muss. Hier erfahren Sie alles Wichtige zu der Revision des FSSC 22000 Standards.

    Wenn Sie an einer FSSC Remote Discussion interessiert sind, kontaktieren Sie bitte Ihren Kundenbetreuer/Ihre Kundenbetreuerin oder melden Sie sich hier.

    VERANSTALTUNGSTIPP

    Was im Januar 2020 noch eine absolute Ausnahme war, ist schon jetzt nicht mehr aus dem neuen „Normal“ wegzudenken: das Remote Audit. COVID-19 wird die Art und Weise wie das eigene Unternehmen, Lieferanten und Geschäftspartner auditiert werden, nachhaltig verändern.

    remAUDIT ist die weltweit erste Konferenz, die diesen drastischen Wandel würdigt, erkundet und hinterfragt. Seien Sie mit dabei!

    Die DQS Konferenz findet vom 4.-6. Mai ausschließlich virtuell statt. Hier kommen Sie zu den Themen.

    Informationen & Anmeldung