Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
CONTENIDO
1. PROPÓSITO
Este Anexo describe los requisitos para el uso de Tecnologías de la Información y la Comunicación (TIC) por parte de los
Organismos de Certificación vinculados a las actividades de auditoría de FSSC 22000.
2. ALCANCE
El alcance de este documento cubre lo siguiente:
Las TIC son el uso de la tecnología para recopilar, almacenar, recuperar, procesar, analizar y transmitir
información. Incluye software y hardware como teléfonos inteligentes, dispositivos portátiles,
computadoras portátiles, computadoras de escritorio, drones, cámaras de video, tecnología portátil,
inteligencia artificial y otros. El uso de las TIC puede ser apropiado para la auditoría/evaluación tanto a
nivel local como a distancia.
A medida que la tecnología evoluciona y aumentan las limitaciones de tiempo en las empresas, existe la necesidad de considerar
métodos alternativos para realizar actividades de auditoría sin dejar de alcanzar los objetivos de auditoría y garantizar un
proceso de auditoría sólido.
ElDocumento Obligatorio IAF (MD) 4 para elUso de la tecnología de la información y la comunicación (TIC)
para fines de auditoría/evaluación(última versión) será utilizado por los OC como un documento normativo
junto con los requisitos establecidos en este Anexo.
El método estándar para realizar auditorías FSSC 22000 es a través de auditorías completas in situ, como se describe en
la Parte 3 del esquema. Ahora se puede aplicar una opción voluntaria alternativa cuando se cumplen los criterios,
mediante la entrega de la auditoría FSSC 22000 como un proceso dividido que utiliza las TIC. Esto se conoce como el
enfoque de auditoría de TIC, que es voluntario y debe acordarse mutuamente entre el OC y la organización certificada
antes de la auditoría.
El enfoque de auditoría de TIC consta de dos (2) componentes, que deben entregarse en el siguiente
orden:
Paso 1: Componente de auditoría remotaque consiste en una revisión de documentos y entrevistas con personal clave
que utiliza las TIC.
Aunque se prefiere realizar primero el componente de auditoría remota, es posible invertir la secuencia y
comenzar con el componente de auditoría en el sitio. Cuando se invierte la secuencia, se puede requerir que el
auditor (re)verifique una actividad de producto/proceso en el sitio, en función del resultado del componente de
auditoría remota, lo que podría resultar en que el auditor necesite regresar al sitio para verificar esta actividad.
En este caso, el OC y la organización deberán aceptar este riesgo por escrito antes de la
entrega del Enfoque de Auditoría TIC Auditoría en este orden. Cuando el auditor necesite regresar al sitio
para la actividad de verificación, esto todavía se considera parte de la auditoría regular y debe completarse
dentro del plazo total de 30 días. La auditoría no se considera completa hasta que se hayan entregado
todos los componentes.
Los componentes de auditoría (remoto + in situ) también pueden entregarse al mismo tiempo cuando se utiliza un
equipo de auditoría.
Durante elauditoría remota, las actividades de evaluación se realizan desde una ubicación distinta a la ubicación
física de la organización auditada, mientras que durante laauditoria in situ, las actividades de evaluación se
realizan en la ubicación física de la organización auditada.
El OC deberá realizar una evaluación de factibilidad para determinar, junto con la organización certificada,
si el enfoque de auditoría de TIC es una opción viable. El OC deberá tener procedimientos documentados,
incluidos los criterios para evaluar y aprobar el enfoque de auditoría de TIC. Esta evaluación de factibilidad
debe realizarse y documentarse antes de la auditoría, teniendo en cuenta a los miembros del equipo de
auditoría y la organización auditada.
4. PRINCIPIOS GENERALES
a) Si se considera que el enfoque de auditoría de TIC es una opción viable, los medios de TIC que se utilizarán se
probarán con la organización certificada antes de la auditoría remota planificada para confirmar que la TIC es
adecuada, adecuada y eficaz. La viabilidad también depende de la calidad de la conexión en línea. Un ancho de
banda débil o una capacidad de hardware limitada pueden ralentizar el proceso hasta el punto de la
ineficiencia.
b) Se debe proporcionar soporte/capacitación adecuada sobre el uso de las TIC al auditor y a cualquier otro
miembro del equipo de auditoría, antes de la auditoría remota. El OC deberá conservar los registros de estas
capacitaciones y cargarlos en el registro del auditor en la plataforma de aseguramiento.
c) Se seguirán los requisitos de IAF MD4. Este documento obligatorio define las reglas que deben
seguir los Organismos de Certificación y sus auditores para garantizar que las TIC se utilicen para
optimizar la eficiencia y eficacia de la auditoría/evaluación, al tiempo que respaldan y mantienen la
integridad del proceso de auditoría.
d) El OC deberá incluir los requisitos de IAF MD4 en sus procedimientos para el uso de las TIC y la
competencia del personal.
e) Seguridad y confidencialidad de los datos: para prepararse para el uso de las TIC, todos los requisitos legales de
certificación y del cliente relacionados con la confidencialidad, la seguridad y la protección de datos deben cumplirse.
identificados y acciones tomadas para asegurar su implementación efectiva. Esto implica que tanto el
auditor como el auditado están de acuerdo con el uso de las TIC y con las medidas tomadas para
cumplir con estos requisitos.
f) Tanto la auditoría remota como la auditoría in situ deberán ser realizadas por uno o más auditores calificados en
FSSC 22000. El equipo de auditoría deberá tener la competencia combinada para las subcategorías de la
cadena alimentaria que respaldan el alcance de la auditoría. El auditor que realiza el componente in situ de la
auditoría, así como cualquier actividad relacionada con el producto/proceso (evaluación de las actividades del
producto/proceso, estudios HACCP, etc.) deberá tener la competencia para las subcategorías de la cadena
alimentaria, o categoría donde no existe una subcategoría, vinculada al alcance de la auditoría.
evaluación de viabilidad para garantizar que las TIC sean adecuadas para realizar la auditoría remota
completa, incluida la auditoría de los procesos de producción.
4.1 APLICABILIDAD
El enfoque de auditoría de TIC se puede aplicar en el caso de las auditorías anuales regulares de FSSC 22000
(auditorías de vigilancia y recertificación) como parte del proceso de certificación de rutina y es adicional a la
Parte 3 del Esquema.
El uso de las TIC puede aplicarse a las auditorías de la Etapa 1 en circunstancias o eventos excepcionales como se
describe a continuación, y para las auditorías de la Casa Matriz donde las funciones corporativas se controlan por
separado.
En el año en que vence una auditoría no anunciada, se puede utilizar el enfoque de auditoría de TIC
descrito en este Anexo, mientras se siguen aplicando los requisitos de la Parte 3, sección 5.4 del Esquema.
El requisito previo sería que el componente in situ de la auditoría se realice primero, seguido directamente
por el componente de auditoría remota con un período máximo de 48 horas entre los dos componentes de
auditoría.
En circunstancias o eventos excepcionales, toda o parte de la etapa 1 puede tener lugar fuera del sitio o de forma
remota mediante el uso de las TIC y deberá estar plenamente justificado (ISO 22003-1:2022, cl. 9.3.5). Se deben cumplir
los objetivos de la auditoría de la Etapa 1 según ISO17021-1 (9.3.1.2.2), y para ello se deben incluir las TIC (es decir, video
en vivo) para observar también los procesos de producción, el entorno de trabajo y las instalaciones. El informe de
auditoría de la Etapa 1 deberá hacer referencia a que la auditoría se completó de forma remota, qué herramientas de
TIC se utilizaron e incluir la confirmación de que se lograron los objetivos.
La auditoría de la Etapa 2 se realizará como una auditoría in situ completa dentro de los 6 meses posteriores a la Etapa
1, o se repetirá la Etapa 1. No está permitido utilizar el enfoque de auditoría de TIC para la auditoría de la Etapa 2.
Las auditorías anuales de vigilancia se pueden realizar utilizando el enfoque de auditoría de las TIC. La auditoría completa (remota
+ in situ) se completará dentro del año calendario.
Cuando el enfoque de auditoría de las TIC se aplique a la primera auditoría de seguimiento después de una
certificación inicial, el proceso debe planificarse para garantizar que la auditoría completa (remota + in situ) se
lleve a cabo antes o después de los 12 meses posteriores a la fecha de la decisión de certificación. para la
auditoría inicial. Si no se ha entregado la auditoría completa dentro de los 12 meses, se suspenderá el certificado.
La auditoría (remota + in situ) debe ser realizada por auditores calificados de FSSC 22000 que cumplan con los
requisitos de competencia relacionados con el alcance de la certificación. En todos los casos, la auditoría in situ
deberá ser realizada por un auditor líder calificado de FSSC 22000 con la subcategoría. Cuando los componentes
remotos e in situ son entregados en momentos diferentes por diferentes auditores, el OC deberá contar con un
proceso de transferencia/comunicación adecuado.
El componente de auditoría remota incluirá una revisión de documentos y entrevistas con el personal clave.
Los siguientes son ejemplos de lo que puede incluirse como parte de la revisión de documentos realizada
durante el componente de auditoría remota:
• Revisiones de documentos/procedimientos;
El componente de auditoría in situ sirve como auditoría de verificación para la implementación del Sistema de gestión
de inocuidad de los alimentos (FSMS) con un enfoque en los procesos y el entorno de producción, así como el resto de
las cláusulas no cubiertas como parte del componente de auditoría remota.
El componente de auditoría in situ deberá incluir como mínimo la inspección/verificación física de los PRP,
la prueba de trazabilidad y la implementación del FSMS. Este último incluye, pero no se limita a, el sistema
HACCP, por ejemplo, la operación efectiva de los PRP, la verificación del diagrama de flujo del proceso, el
monitoreo y la verificación del OPRP y CCP. Puede ser necesario revisar partes de la auditoría remota
nuevamente para garantizar la implementación de los requisitos.
Todos los requisitos del Esquema deberán cubrirse entre la auditoría remota y los componentes de auditoría en
el sitio y se reflejarán claramente en los planes de auditoría, el programa de auditoría y el informe de auditoría
final.
Las herramientas de TIC se pueden utilizar para cerrar las no conformidades menores y/o mayores, según la
naturaleza de la no conformidad y la confiabilidad de las TIC. El OC deberá poder demostrar que los métodos
utilizados son adecuados para la acción resultante. Las no conformidades críticas requieren una auditoría de
seguimiento in situ en todos los casos.
Se produce un informe de auditoría que cubre los componentes de auditoría remota e in situ. El informe de
auditoría deberá identificar claramente la medida en que se ha utilizado cualquier TIC para llevar a cabo la
auditoría y la eficacia de las TIC para lograr los objetivos de la auditoría. El informe de auditoría incluirá toda la
información resumida, los hallazgos y los detalles de no conformidad de los componentes de auditoría remotos e
in situ, cubriendo todos los requisitos normativos del Esquema y cumpliendo con los requisitos establecidos en el
Anexo 2 del Esquema. El informe también deberá hacer referencia a las fechas y la duración de los componentes
de auditorías presenciales y remotas, y el/los auditor/es involucrado/s en ambos componentes.
El paquete de auditoría completo, que consta de la documentación de auditoría remota e in situ, se cargará en la
plataforma de garantía dentro de los 2 meses posteriores al último día de la auditoría completa. La Fundación
proporcionará instrucciones por separado sobre el proceso y los requisitos para cargar información de auditoría
y no conformidades en la Plataforma de Garantía.
La auditoría de certificación solo concluye una vez que tanto los componentes remotos como los in situ se han
completado con éxito. Tras la finalización de la auditoría completa (componentes remotos e in situ) y una
decisión de certificación positiva por parte del OC, el proceso de auditoría está completo y, cuando corresponda,
se puede emitir un nuevo certificado.
5. EQUIPO DE AUDITORÍA
Lo mismo se aplica a los auditores FSSC 22000 ya calificados que se mudan a otro OC. Cuando el nuevo OC
considere que la testificación remota es lo suficientemente sólida, el nuevo OC puede usar una auditoría de
testigo remoto para aprobar al auditor FSSC 22000. No se permite la presencia remota para la aprobación inicial
del auditor de FSSC 22000 (auditores nuevos en FSSC 22000).
En todos los casos en los que se utilicen herramientas TIC remotas, el OC debe asegurarse de que la
tecnología sea adecuada y permita al testigo observar la auditoría de certificación FSSC 22000
completa, incluida la reunión de apertura, la revisión de documentos, la auditoría de las instalaciones
en el sitio y la clausura. reunión. Debe reflejarse claramente en el informe de auditoría de testigos
que el testigo se realizó de forma remota y qué tecnología remota se utilizó. Se requerirá el permiso
de la organización certificada para realizar la auditoría de testigos de esta manera, y se aplican los
requisitos normales de confidencialidad. La tecnología debe probarse de antemano, y el testigo y el
auditor deben recibir capacitación en el uso de la tecnología según lo requiere IAF MD4. En todos los
casos en los que la tecnología utilizada no funcione correctamente o impida/obstaculice una
auditoría sólida,