Traducido del inglés al español - www.onlinedoctranslator.

com

SISTEMA DE SEGURIDAD ALIMENTARIA

CERTIFICACIÓN

ANEXO 5: REQUISITOS DE CB PARA EL USO DE

TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES (TIC)

Versión 6 | abril 2023

Anexo 5: Requisitos del OC para el uso de las TIC

CONTENIDO

1. Propósito ............................................... .................................................... .................................... 2

2. Alcance ............................................... .................................................... .......................................... 2

3. Realización de auditorías utilizando las TIC .................................. .................................................... ..... 2

4. Equipo de Auditoría .................................................. .................................................... ............................... 7

FSSC 22000 Versión 6 | abril 2023 1 de 8

Anexo 5: Requisitos del OC para el uso de las TIC

1. PROPÓSITO
Este Anexo describe los requisitos para el uso de Tecnologías de la Información y la Comunicación (TIC) por parte de los
Organismos de Certificación vinculados a las actividades de auditoría de FSSC 22000.

2. ALCANCE
El alcance de este documento cubre lo siguiente:

• Realización de auditorías FSSC 22000 utilizando tecnología de la información y la comunicación (TIC)

• Requisitos y actividades del auditor del OC

Las TIC son el uso de la tecnología para recopilar, almacenar, recuperar, procesar, analizar y transmitir
información. Incluye software y hardware como teléfonos inteligentes, dispositivos portátiles,
computadoras portátiles, computadoras de escritorio, drones, cámaras de video, tecnología portátil,
inteligencia artificial y otros. El uso de las TIC puede ser apropiado para la auditoría/evaluación tanto a
nivel local como a distancia.

A medida que la tecnología evoluciona y aumentan las limitaciones de tiempo en las empresas, existe la necesidad de considerar
métodos alternativos para realizar actividades de auditoría sin dejar de alcanzar los objetivos de auditoría y garantizar un
proceso de auditoría sólido.

ElDocumento Obligatorio IAF (MD) 4 para elUso de la tecnología de la información y la comunicación (TIC)
para fines de auditoría/evaluación(última versión) será utilizado por los OC como un documento normativo
junto con los requisitos establecidos en este Anexo.

3. REALIZACIÓN DE AUDITORÍAS UTILIZANDO TIC

El método estándar para realizar auditorías FSSC 22000 es a través de auditorías completas in situ, como se describe en
la Parte 3 del esquema. Ahora se puede aplicar una opción voluntaria alternativa cuando se cumplen los criterios,
mediante la entrega de la auditoría FSSC 22000 como un proceso dividido que utiliza las TIC. Esto se conoce como el
enfoque de auditoría de TIC, que es voluntario y debe acordarse mutuamente entre el OC y la organización certificada
antes de la auditoría.

El enfoque de auditoría de TIC consta de dos (2) componentes, que deben entregarse en el siguiente
orden:

Paso 1: Componente de auditoría remotaque consiste en una revisión de documentos y entrevistas con personal clave
que utiliza las TIC.

Paso 2: Componente de auditoría in situcentrándose en la implementación y verificación del FSMS

(incluido HACCP), PRP, la inspección física del proceso de producción y cualquier requisito restante no
cubierto durante la auditoría remota.

Aunque se prefiere realizar primero el componente de auditoría remota, es posible invertir la secuencia y
comenzar con el componente de auditoría en el sitio. Cuando se invierte la secuencia, se puede requerir que el
auditor (re)verifique una actividad de producto/proceso en el sitio, en función del resultado del componente de
auditoría remota, lo que podría resultar en que el auditor necesite regresar al sitio para verificar esta actividad.
En este caso, el OC y la organización deberán aceptar este riesgo por escrito antes de la

FSSC 22000 Versión 6 | abril 2023 2 de 8

Anexo 5: Requisitos del OC para el uso de las TIC

entrega del Enfoque de Auditoría TIC Auditoría en este orden. Cuando el auditor necesite regresar al sitio
para la actividad de verificación, esto todavía se considera parte de la auditoría regular y debe completarse
dentro del plazo total de 30 días. La auditoría no se considera completa hasta que se hayan entregado
todos los componentes.

Los componentes de auditoría (remoto + in situ) también pueden entregarse al mismo tiempo cuando se utiliza un
equipo de auditoría.

Durante elauditoría remota, las actividades de evaluación se realizan desde una ubicación distinta a la ubicación
física de la organización auditada, mientras que durante laauditoria in situ, las actividades de evaluación se
realizan en la ubicación física de la organización auditada.

El OC deberá realizar una evaluación de factibilidad para determinar, junto con la organización certificada,
si el enfoque de auditoría de TIC es una opción viable. El OC deberá tener procedimientos documentados,
incluidos los criterios para evaluar y aprobar el enfoque de auditoría de TIC. Esta evaluación de factibilidad
debe realizarse y documentarse antes de la auditoría, teniendo en cuenta a los miembros del equipo de
auditoría y la organización auditada.

Al realizar la evaluación de factibilidad, se considerará lo siguiente:

a) Madurez del FSMS de la organización certificada y el historial de desempeño;

b) Si la organización certificada permite y acomoda la actividad de auditoría remota (es decir, la
disponibilidad de registros en formato electrónico o lector de documentos), incluidas las medidas de
seguridad y protección de datos;
c) Las herramientas TIC a utilizar;
d) Si la organización certificada y/o el OC tienen representantes capaces de comunicarse en el
mismo idioma;
e) Si el OC y la organización certificada tienen la capacidad y habilidad para realizar la auditoría
remota en el medio/foro elegido para la auditoría remota; y
f) Impacto en la duración de la auditoría y la planificación de la auditoría, por ejemplo, cuando se requiera más tiempo debido al uso
de las TIC.

4. PRINCIPIOS GENERALES
a) Si se considera que el enfoque de auditoría de TIC es una opción viable, los medios de TIC que se utilizarán se
probarán con la organización certificada antes de la auditoría remota planificada para confirmar que la TIC es
adecuada, adecuada y eficaz. La viabilidad también depende de la calidad de la conexión en línea. Un ancho de
banda débil o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto de la
ineficiencia.
b) Se debe proporcionar soporte/capacitación adecuada sobre el uso de las TIC al auditor y a cualquier otro
miembro del equipo de auditoría, antes de la auditoría remota. El OC deberá conservar los registros de estas
capacitaciones y cargarlos en el registro del auditor en la plataforma de aseguramiento.
c) Se seguirán los requisitos de IAF MD4. Este documento obligatorio define las reglas que deben
seguir los Organismos de Certificación y sus auditores para garantizar que las TIC se utilicen para
optimizar la eficiencia y eficacia de la auditoría/evaluación, al tiempo que respaldan y mantienen la
integridad del proceso de auditoría.
d) El OC deberá incluir los requisitos de IAF MD4 en sus procedimientos para el uso de las TIC y la
competencia del personal.
e) Seguridad y confidencialidad de los datos: para prepararse para el uso de las TIC, todos los requisitos legales de
certificación y del cliente relacionados con la confidencialidad, la seguridad y la protección de datos deben cumplirse.

FSSC 22000 Versión 6 | abril 2023 3 de 8

Anexo 5: Requisitos del OC para el uso de las TIC

identificados y acciones tomadas para asegurar su implementación efectiva. Esto implica que tanto el
auditor como el auditado están de acuerdo con el uso de las TIC y con las medidas tomadas para
cumplir con estos requisitos.
f) Tanto la auditoría remota como la auditoría in situ deberán ser realizadas por uno o más auditores calificados en
FSSC 22000. El equipo de auditoría deberá tener la competencia combinada para las subcategorías de la
cadena alimentaria que respaldan el alcance de la auditoría. El auditor que realiza el componente in situ de la
auditoría, así como cualquier actividad relacionada con el producto/proceso (evaluación de las actividades del
producto/proceso, estudios HACCP, etc.) deberá tener la competencia para las subcategorías de la cadena
alimentaria, o categoría donde no existe una subcategoría, vinculada al alcance de la auditoría.

g) El componente de auditoría remota normalmente será de 0,5 a 1 día y la auditoría de

verificación in situ el resto de la duración total de la auditoría anual regular. El componente
de auditoría in situ no puede ser inferior a 1 día y deberá ser al menos el 50 % de la duración
total de la auditoría. Al determinar la cantidad de tiempo invertido en el sitio y de forma
remota, se deben tener en cuenta el resultado de la evaluación de factibilidad y el
desempeño histórico de la organización (incluidas las quejas y retiros). Por ejemplo, si la
evaluación de factibilidad demostró que es posible una auditoría remota, pero el desempeño
histórico de la organización ha sido motivo de preocupación, entonces se espera que
aumente la proporción de tiempo in situ.
h) La duración total de la auditoría basada en el cálculo de la Parte 3 de las reglas del Esquema se cumplirá entre el
componente de auditoría remota y el componente de auditoría in situ. Cuando se aplique el redondeo, las
duraciones se redondearán hacia arriba al medio día más cercano, teniendo en cuenta que podría requerirse
tiempo adicional para realizar el componente de auditoría remota. La duración total de la auditoría no incluye
las actividades de preparación ni los informes, y se requiere tiempo adicional para estas actividades, tal como
se define en la Parte 3 del Esquema.
i) Al compilar el plan de auditoría para el componente de auditoría remota, se debe considerar la
duración adecuada y permitir descansos más frecuentes para mejorar la atención y reducir la
fatiga visual. Estos descansos no se pueden contar para la duración de la auditoría.
j) Si se consume tiempo en cuestiones como el tiempo de inactividad de la red, interrupciones o retrasos
inesperados, problemas de accesibilidad u otros desafíos de TIC, este tiempo no se contará para la duración de
la auditoría. Deben establecerse disposiciones para garantizar la duración de la auditoría.
k) Se recomienda que los componentes de auditoría remota y presencial se realicen lo más cerca
posible, pero en todos los casos el tiempo máximo para la realización de la auditoría (remota +
presencial) no debe exceder los 30 días naturales.
l) Como excepción, y solo en el caso de eventos graves definidos en el Esquema, el plazo para la
realización de la auditoría podrá ampliarse hasta un máximo de 90 días naturales, con base en un
proceso de concesión claro y documentado y una evaluación de riesgos por el CB La evaluación de
riesgos considerará los elementos de la sección 3 del Documento de Información (ID) de IAF
3Gestión de Eventos o Circunstancias Extraordinarias que Afectan a AB, CAB y Organizaciones
Certificadascomo mínimo. La extensión solo se permite cuando la eficiencia y la integridad de la
auditoría no se vean comprometidas. Cuando el OC otorgue las concesiones y se aplique el plazo
de 90 días, la evaluación de riesgos se cargará en la plataforma de garantía como parte de la
documentación de auditoría.
m) En todos los casos en los que las TIC utilizadas no funcionen correctamente o impidan/obstaculicen una
auditoría sólida, la auditoría se cancelará y se determinarán las acciones de seguimiento adecuadas.
n) Cuando ocurra un evento grave después de que haya comenzado una auditoría de enfoque de auditoría
de TIC, y la auditoría deba convertirse en una auditoría remota completa, el OC deberá solicitar una
exención con la Fundación. En el caso de que se otorgue una exención, el OC deberá cumplir con los
requisitos del Anexo completo de auditoría remota, incluida la realización de una evaluación de riesgos
(consulte la Parte 3, Sección 5.10 del Esquema) y debe realizar una evaluación adicional.

FSSC 22000 Versión 6 | abril 2023 4 de 8

Anexo 5: Requisitos del OC para el uso de las TIC

evaluación de viabilidad para garantizar que las TIC sean adecuadas para realizar la auditoría remota
completa, incluida la auditoría de los procesos de producción.

4.1 APLICABILIDAD
El enfoque de auditoría de TIC se puede aplicar en el caso de las auditorías anuales regulares de FSSC 22000
(auditorías de vigilancia y recertificación) como parte del proceso de certificación de rutina y es adicional a la
Parte 3 del Esquema.
El uso de las TIC puede aplicarse a las auditorías de la Etapa 1 en circunstancias o eventos excepcionales como se
describe a continuación, y para las auditorías de la Casa Matriz donde las funciones corporativas se controlan por
separado.

En el año en que vence una auditoría no anunciada, se puede utilizar el enfoque de auditoría de TIC
descrito en este Anexo, mientras se siguen aplicando los requisitos de la Parte 3, sección 5.4 del Esquema.
El requisito previo sería que el componente in situ de la auditoría se realice primero, seguido directamente
por el componente de auditoría remota con un período máximo de 48 horas entre los dos componentes de
auditoría.

4.1.1 AUDITORÍAS INICIALES

En circunstancias o eventos excepcionales, toda o parte de la etapa 1 puede tener lugar fuera del sitio o de forma
remota mediante el uso de las TIC y deberá estar plenamente justificado (ISO 22003-1:2022, cl. 9.3.5). Se deben cumplir
los objetivos de la auditoría de la Etapa 1 según ISO17021-1 (9.3.1.2.2), y para ello se deben incluir las TIC (es decir, video
en vivo) para observar también los procesos de producción, el entorno de trabajo y las instalaciones. El informe de
auditoría de la Etapa 1 deberá hacer referencia a que la auditoría se completó de forma remota, qué herramientas de
TIC se utilizaron e incluir la confirmación de que se lograron los objetivos.

La auditoría de la Etapa 2 se realizará como una auditoría in situ completa dentro de los 6 meses posteriores a la Etapa
1, o se repetirá la Etapa 1. No está permitido utilizar el enfoque de auditoría de TIC para la auditoría de la Etapa 2.

4.1.2 AUDITORIAS DE VIGILANCIA

Las auditorías anuales de vigilancia se pueden realizar utilizando el enfoque de auditoría de las TIC. La auditoría completa (remota
+ in situ) se completará dentro del año calendario.
Cuando el enfoque de auditoría de las TIC se aplique a la primera auditoría de seguimiento después de una
certificación inicial, el proceso debe planificarse para garantizar que la auditoría completa (remota + in situ) se
lleve a cabo antes o después de los 12 meses posteriores a la fecha de la decisión de certificación. para la
auditoría inicial. Si no se ha entregado la auditoría completa dentro de los 12 meses, se suspenderá el certificado.

4.1.3 AUDITORÍAS DE RECERTIFICACIÓN

La auditoría de recertificación se puede realizar utilizando el enfoque de auditoría de TIC. El componente de

auditoría remota combinado con el componente de auditoría in situ constituye una auditoría de recertificación
completa y ambos componentes se completarán antes de que expire el certificado existente. Se aplican los
requisitos de ISO/IEC 17021-1: 2015 – 9.6.3.2.

4.2 PROCESO DE AUDITORIA

La auditoría (remota + in situ) debe ser realizada por auditores calificados de FSSC 22000 que cumplan con los
requisitos de competencia relacionados con el alcance de la certificación. En todos los casos, la auditoría in situ
deberá ser realizada por un auditor líder calificado de FSSC 22000 con la subcategoría. Cuando los componentes
remotos e in situ son entregados en momentos diferentes por diferentes auditores, el OC deberá contar con un
proceso de transferencia/comunicación adecuado.

FSSC 22000 Versión 6 | abril 2023 5 de 8

Anexo 5: Requisitos del OC para el uso de las TIC

4.2.1 COMPONENTE DE AUDITORÍA REMOTA

El componente de auditoría remota incluirá una revisión de documentos y entrevistas con el personal clave.
Los siguientes son ejemplos de lo que puede incluirse como parte de la revisión de documentos realizada
durante el componente de auditoría remota:
• Revisiones de documentos/procedimientos;

• Cambios clave desde la última auditoría (cuando corresponda);

• Retiros de productos y quejas importantes;

• Estado con respecto a los objetivos de FSMS y el rendimiento de procesos clave, revisión de gestión y
auditorías internas;

4.2.2 COMPONENTE AUDITORÍA IN SITU

El componente de auditoría in situ sirve como auditoría de verificación para la implementación del Sistema de gestión
de inocuidad de los alimentos (FSMS) con un enfoque en los procesos y el entorno de producción, así como el resto de
las cláusulas no cubiertas como parte del componente de auditoría remota.

El componente de auditoría in situ deberá incluir como mínimo la inspección/verificación física de los PRP,
la prueba de trazabilidad y la implementación del FSMS. Este último incluye, pero no se limita a, el sistema
HACCP, por ejemplo, la operación efectiva de los PRP, la verificación del diagrama de flujo del proceso, el
monitoreo y la verificación del OPRP y CCP. Puede ser necesario revisar partes de la auditoría remota
nuevamente para garantizar la implementación de los requisitos.

Todos los requisitos del Esquema deberán cubrirse entre la auditoría remota y los componentes de auditoría en
el sitio y se reflejarán claramente en los planes de auditoría, el programa de auditoría y el informe de auditoría
final.

4.2.3 GESTIÓN DE NO CONFORMIDAD

Cualquier no conformidad identificada durante la auditoría (remota e in situ) se abordará de acuerdo con
los requisitos del Esquema, incluida la calificación y los plazos, y se registrará en el informe NC (consulte el
Anexo 2).
i. Cuando la auditoría (remota + in situ) se completa dentro de los 30 días calendario, se completa un
informe de no conformidad y el cronograma para el cierre de la no conformidad comienza al final
del último componente de la auditoría. Cualquier no conformidad identificada durante el curso de
la auditoría deberá ser comunicada a la organización de manera oportuna. El OC puede optar por
proporcionar un informe NC provisional a la organización al final del primer componente de
auditoría entregado.
ii. En el caso de un evento grave y cuando se excedan los 30 días calendario para la finalización de la auditoría
(consulte la excepción en 3.1(l)), se deberá registrar cualquier no conformidad identificada como parte del
primer componente de la auditoría, y una copia de el informe de no conformidad se queda con la organización
certificada al final del primer componente de la auditoría. El cronograma para el cierre de estas no
conformidades comienza al final del primer componente de auditoría. El informe de NC producido después del
último componente de auditoría deberá contener una descripción general de todas las no conformidades
planteadas, incluidas las no conformidades planteadas en el primer componente de auditoría, para
proporcionar un registro consolidado. El cronograma para el cierre de las NC identificadas en el último
componente de auditoría comienza al final del último componente de auditoría.
iii. Cuando se identifique una no conformidad crítica en cualquier momento durante la auditoría (remota o in
situ), el certificado se suspenderá y se requerirá una nueva auditoría in situ completa para levantar la
suspensión dentro de los 6 meses.

FSSC 22000 Versión 6 | abril 2023 6 de 8

Anexo 5: Requisitos del OC para el uso de las TIC

Las herramientas de TIC se pueden utilizar para cerrar las no conformidades menores y/o mayores, según la
naturaleza de la no conformidad y la confiabilidad de las TIC. El OC deberá poder demostrar que los métodos
utilizados son adecuados para la acción resultante. Las no conformidades críticas requieren una auditoría de
seguimiento in situ en todos los casos.

4.2.4 INFORME DE AUDITORIA

Se produce un informe de auditoría que cubre los componentes de auditoría remota e in situ. El informe de
auditoría deberá identificar claramente la medida en que se ha utilizado cualquier TIC para llevar a cabo la
auditoría y la eficacia de las TIC para lograr los objetivos de la auditoría. El informe de auditoría incluirá toda la
información resumida, los hallazgos y los detalles de no conformidad de los componentes de auditoría remotos e
in situ, cubriendo todos los requisitos normativos del Esquema y cumpliendo con los requisitos establecidos en el
Anexo 2 del Esquema. El informe también deberá hacer referencia a las fechas y la duración de los componentes
de auditorías presenciales y remotas, y el/los auditor/es involucrado/s en ambos componentes.

El paquete de auditoría completo, que consta de la documentación de auditoría remota e in situ, se cargará en la
plataforma de garantía dentro de los 2 meses posteriores al último día de la auditoría completa. La Fundación
proporcionará instrucciones por separado sobre el proceso y los requisitos para cargar información de auditoría
y no conformidades en la Plataforma de Garantía.

La auditoría de certificación solo concluye una vez que tanto los componentes remotos como los in situ se han
completado con éxito. Tras la finalización de la auditoría completa (componentes remotos e in situ) y una
decisión de certificación positiva por parte del OC, el proceso de auditoría está completo y, cuando corresponda,
se puede emitir un nuevo certificado.

5. EQUIPO DE AUDITORÍA

5.1 TESTIMONIO DE LOS AUDITORES

Cuando las herramientas TIC apropiadas estén disponibles, esta tecnología también se puede utilizar para el testimonio
remoto de los auditores FSSC 22000 calificados existentes como parte del mantenimiento de los requisitos de
competencia (auditoría de testigos de 3 años) y el proceso de recalificación.

Lo mismo se aplica a los auditores FSSC 22000 ya calificados que se mudan a otro OC. Cuando el nuevo OC
considere que la testificación remota es lo suficientemente sólida, el nuevo OC puede usar una auditoría de
testigo remoto para aprobar al auditor FSSC 22000. No se permite la presencia remota para la aprobación inicial
del auditor de FSSC 22000 (auditores nuevos en FSSC 22000).

En todos los casos en los que se utilicen herramientas TIC remotas, el OC debe asegurarse de que la
tecnología sea adecuada y permita al testigo observar la auditoría de certificación FSSC 22000
completa, incluida la reunión de apertura, la revisión de documentos, la auditoría de las instalaciones
en el sitio y la clausura. reunión. Debe reflejarse claramente en el informe de auditoría de testigos
que el testigo se realizó de forma remota y qué tecnología remota se utilizó. Se requerirá el permiso
de la organización certificada para realizar la auditoría de testigos de esta manera, y se aplican los
requisitos normales de confidencialidad. La tecnología debe probarse de antemano, y el testigo y el
auditor deben recibir capacitación en el uso de la tecnología según lo requiere IAF MD4. En todos los
casos en los que la tecnología utilizada no funcione correctamente o impida/obstaculice una
auditoría sólida,

FSSC 22000 Versión 6 | abril 2023 7 de 8

Anexo 5: Requisitos del OC para el uso de las TIC

5.2 USO DE EXPERTOS TÉCNICOS

Los expertos técnicos pueden unirse a la auditoría de forma remota utilizando herramientas TIC, si el OC ha
determinado que las herramientas TIC son apropiadas y suficientes para cumplir con los objetivos de la auditoría
y la organización certificada está de acuerdo con la actividad de auditoría remota. La tecnología debe probarse
de antemano y el experto técnico y el auditor deben estar capacitados en el uso de la tecnología según lo
requiere IAF MD4. En todos los casos en los que la tecnología utilizada no funcione correctamente o impida/
obstaculice una auditoría sólida, el OC deberá hacer arreglos alternativos para garantizar que se pueda
completar el proceso de auditoría completo o se cancelará la auditoría.

FSSC 22000 Versión 6 | abril 2023 8 de 8