FSSC 22000 Remote Audits – Alles, was Sie wissen müssen

FSSC 22000 Remote Audit

Seit Juni 2020 ist es möglich, Audits nach FSSC 22000 teilweise remote durchzuführen. Das Vorgehen besteht aus einem Remote Audit gefolgt von einem verkürzten Audit vor Ort. Was dabei zu beachten ist, erfahren Sie hier.

Die Vorgehensweise für Remote Audits nach FSSC 22000 wird in dem neuen Annex 9 beschrieben. Sie ist anwendbar für Erstaudits, Überwachungsaudits und Re-Zertifizierungsaudits, jeweils unter verschiedenen Bedingungen.

Mithilfe einer Risikoanalyse ermittelt die Zertifizierungsstelle, ob ein Remote Audit bei dem jeweiligen Standort in Frage kommt. Die Risikobewertung erfolgt auf Grundlage eines Fragebogens, mit dem unter anderem die historische Leistung des Standorts und die Verfügbarkeit von Dokumentationen und Aufzeichnungen ermittelt wird. Die Beurteilung der Risikobewertung obliegt der Zertifizierungsstelle. Sie entscheidet, ob ein Remote Audit für den Standort möglich ist.

Wie wird ein FSSC 22000 Remote Audit durchgeführt?

Das FSSC 22000 Remote Audit wird mithilfe von Informations- und Kommunikationstechnik (IKT) durchgeführt. Genaue Vorschriften gibt es hinsichtlich der Kommunikationsmittel nicht – DQS Auditoren arbeiten beispielsweise gerne mit Systemen, mit denen die Standorte bereits vertraut sind. So können technische Probleme und Datenschutzrisiken vorgebeugt werden.

Der IKT-Prüfungsansatz ist freiwillig und muss vor der Prüfung zwischen der Zertifizierungsstelle und der zu zertifizierenden Organisation einvernehmlich vereinbart werden.

Was wird auditiert?

Das im Annex 9 beschriebene Verfahren besteht aus zwei Hauptschritten:

1) Remote Audit: Dieses besteht aus einer Dokumentenprüfung und Interviews mit Schlüsselpersonen, unter dem Einsatz von IKT. Der Schwerpunkt des Remote-Audits wird auf den ISO 22000-Komponenten des Standards liegen.

2) Vor-Ort-Audit: Hierbei liegt der Schwerpunkt auf der Implementierung und Überprüfung des FSMS (einschließlich HACCP), der PRPs, der physischen Inspektion des Produktionsprozesses und allen verbleibenden Anforderungen, die während des Remote-Audits nicht abgedeckt wurden.

Erstaudits

Das vollständige FSSC Stage 1-Audit kann remote unter Verwendung von IKT durchgeführt werden. Die Ziele des Audits der Stufe 1 gemäß ISO 17021-1 (9.3.1.2.2) müssen erreicht werden. Zu diesem Zweck müssen IKT (d. H. Live-Video) einbezogen werden, um auch das Arbeitsumfeld und die Einrichtungen zu beobachten. In dem Auditbericht der Stufe 1 wird darauf hingewiesen, dass das Audit aus der Ferne abgeschlossen wurde, welche IKT-Instrumente verwendet wurden und welche Ziele erreicht wurden.

Das Audit der Stufe 2 wird als vollständiges Vor-Ort-Audit innerhalb von 6 Monaten nach dem Stufe 1 Audit durchgeführt. Wenn es in diesem Zeitraum nicht stattfindet, muss das Stufe 1 Audit wiederholt werden. Es ist nicht gestattet, den IKT-Prüfungsansatz für das Stufe 2-Audit zu verwenden.

Überwachungsaudits

Auch bei den jährlichen Überwachungsaudits besteht die Möglichkeit, einen Teil des Audits remote durchzuführen. Sowohl das Remote Audit als auch das Vor-Ort-Audit müssen innerhalb eines Kalenderjahres abgeschlossen sein. Der maximale Zeitraum zwischen dem Remote Audit und dem Audit vor Ort darf 30 Kalendertage nicht überschreiten. Bei schwerwiegenden Ereignissen kann die Frist auf maximal 90 Kalendertage verlängert werden.

Wenn diese Frist überschritten wird, muss das vollständige Überwachungsaudit vor Ort durchgeführt werden oder das Zertifikat wird ausgesetzt.

Re-Zertifizierungsaudits

Auch Re-Zertifizierungsaudits können teilweise remote durchgeführt werden. Das Remote-Audit in Verbindung mit dem Vor-Ort-Audit stellt ein vollständiges Re-Zertifizierungsaudit dar. Beide Prozesse müssen vor Ablauf des vorhandenen Zertifikats abgeschlossen sein.

Der maximale Zeitraum zwischen dem Remote Audit und dem Audit vor Ort darf 30 Kalendertage nicht überschreiten. Bei schwerwiegenden Ereignissen kann die Frist auf maximal 90 Kalendertage verlängert werden.

Unangekündigte Audits

Auch bei unangekündigten Audits kann ein Teil des Audits aus der Ferne durchgeführt werden. Voraussetzung ist, dass das Vor-Ort-Audit zuerst durchgeführt wird. Das Remote Audit muss im Anschluss durchführt werden, innerhalb von maximal 48 Stunden nach dem Vor-Ort-Audit.

Dauer & Zeitplan

Das Remote-Audit dauert in der Regel einen Tag, das Vor-Ort-Verifizierungsaudit nimmt den Rest der Gesamtdauer des regulären jährlichen Audits ein. Das Audit vor Ort darf nicht weniger als einen Tag dauern und muss mindestens 50% der gesamten Auditdauer betragen.

In dem Fall, dass die eingesetzten IKT nicht ordnungsgemäß funktionieren oder ein solides Audit verhindern / behindern, muss das Audit abgebrochen und geeignete Folgemaßnahmen festgelegt werden.

Vertraulichkeit, Sicherheit und Datenschutz

Der Schutz sensibler Informationen hat bei Remote Audits einen sehr hohen Stellenwert. Zertifizierungsstellen müssen lokale Datenschutzgesetze berücksichtigen. Um den Einsatz von Informations- und Kommunikationstechnik vorzubereiten, müssen alle Zertifizierungs- und Kundenanforderungen sowie rechtliche Anforderungen in Bezug auf Vertraulichkeit, Sicherheit und Datenschutz festgelegt werden und Maßnahmen ergriffen werden, um deren wirksame Umsetzung sicherzustellen. Alle Teilnehmer müssen den Vertraulichkeits-, Sicherheits- und Datenschutzanforderungen nachweislich zustimmen.

Hier können Sie das FSSC 22000 Annex 9 Dokument einsehen.

Was die DQS für Sie tun kann

Als Begründer von DQS Remote und akkreditierte Zertifizierungsstelle ist die DQS Vorreiter in Sachen Remote Audits. Weltweit verfügen wir über qualifizierte FSSC 22000 Auditoren, die Ihre Projekte gerne unterstützen. Kontaktieren Sie uns noch heute – wir besprechen gerne Ihre Pläne! Mehr Infos und Tipps gibt es in unserem monatlichen Newsletter – hier geht’s zur Anmeldung.