Adendo de Auditoria Completamente Remota

CONTEÚDO

1. Objetivo ................................................................................................................................ 2 2

2. Escopo ................................................................................................................................... 2 2

3. Conduzindo auditorias completamente remotas ........................................................... 2 2

3.1. Avaliações de risco e viabilidade ..................................................................................................... 22

3.2. Princípios gerais ................................................................................................................................. 33

3.3. Aplicabilidade ..................................................................................................................................... 44

3.4. Plano de auditoria ............................................................................................................................. 44

3.5. Auditoria .............................................................................................................................................. 5

Trabalharam na tradução desse texto para o português brasileiro

Carina Sá Leitão
Silvana Chaves

A tradução é uma iniciativa

www.foodsafetybrazil.org

Versão 1 | Outubro 2020 1 de 6

Adendo de Auditoria Completamente Remota

1. OBJETIVO
Este documento descreve os requisitos para os Organismos de Certificação (OC) conduzirem
auditorias FSSC 22000 completamente remotas com o uso de Tecnologia da Informação e
Comunicação (TIC) quando as instalações da organização certificada não puderem ser acessadas
devido a um evento sério.

2. ESCOPO
O método padrão para conduzir auditorias FSSC 22000 é por meio de auditorias completamente
presenciais, conforme descrito na Parte 3 do Esquema, ou auditorias parcialmente presenciais,
usando a Abordagem de Auditoria de TIC conforme descrito no Anexo 9, ambas opções
reconhecidas pelo GFSI.

A opção completamente remota FSSC 22000 é uma opção voluntária credenciada, não
reconhecida pelo GFSI, que só pode ser utilizada onde o acesso às instalações da organização
certificada não for possível devido a um evento sério (consulte o Apêndice 1 do Esquema), e
apoiada por uma avaliação de risco. É necessário acordo mútuo entre o OC e a organização
certificada antes de realizar a auditoria completamente remota.

Uma auditoria completamente remota é definida como uma auditoria que ocorre inteiramente
em um local diferente daquele da organização certificada por meio do uso de TIC.

O Documento Obrigatório 4 (MD4) do IAF (Fórum de Acreditação Internacional) para o Uso de

Tecnologia da Informação e Comunicação (TIC) para Fins de Auditoria / Avaliação (versão mais
recente) deve ser usado pelos OCs como um documento normativo em conjunto com os
requisitos estabelecidos neste documento.

3. CONDUZINDO AUDITORIAS COMPLETAMENTE REMOTAS

Conforme estabelecido na Parte 3, seção 5.10 do Esquema, Gestão de Eventos Sérios, o OC deve
avaliar o risco de certificação contínua e revisar as auditorias planejadas quando a auditoria no
local não for possível. Uma auditoria completamente remota agora também pode ser
considerada como uma opção ao planejar as auditorias nos locais onde esta metodologia de
auditoria é apoiada pelas avaliações de viabilidade e risco.

3.1 AVALIAÇÕES DE RISCO E VIABILIDADE

Em primeiro lugar, o OC deve realizar uma avaliação de risco para determinar o impacto do
evento sério no status de certificação atual da organização certificada, conforme estabelecido na
Parte 3 do Esquema, cláusula 5.10. Os elementos da seção 3 do Documento de Informação 3
(MD3) do IAF, Gestão de Eventos ou Circunstâncias Extraordinárias Que Afetam Organismos de
Acreditação (OAs), Órgão de Avaliação de Conformidades (OACs) e Organizações Certificadas
(OCs), devem ser considerados. A opção de auditoria completamente remota só pode ser
utilizada quando o risco de manutenção da certificação é determinado como baixo.

Em segundo lugar, o OC deve conduzir uma avaliação de viabilidade para determinar, em

conjunto com a organização certificada, se uma auditoria completamente remota é uma opção
viável e para determinar se os objetivos da auditoria podem ser alcançados por meio do uso de
TIC.

Versão 1 | Outubro 2020 2 de 6

Adendo de Auditoria Completamente Remota

Ao realizar a avaliação de viabilidade, deve-se considerar:

a) Maturidade do SGSA da organização certificada e histórico de desempenho;

b) Se a organização certificada permite e pode acomodar auditoria remota (ou seja,
disponibilidade de registros em formato eletrônico ou leitor de documentos), incluindo
proteção de dados e medidas de segurança específicas;
c) As ferramentas TIC a serem utilizadas;
d) Se a organização certificada e / ou o OC têm a capacidade de fornecer representantes
capazes de se comunicar no mesmo idioma;
e) Se o OC e a organização certificada têm a capacidade e habilidade de conduzir a auditoria
remota no meio / fórum escolhido para a auditoria remota cobrindo todas as partes da
auditoria, incluindo a auditoria de produção;
f) Impacto na duração da auditoria e no planejamento da auditoria, onde mais tempo pode
ser necessário devido ao uso das TIC.

3.2 PRINCÍPIOS GERAIS

a) Para que uma auditoria completamente remota seja realizada, a empresa precisa estar
com a produção operando. Caso a empresa esteja fechada e / ou nenhuma produção
estiver ocorrendo, a opção de auditoria completamente remota não é aplicável.
b) O OC deve ter procedimentos documentados, incluindo critérios para avaliar e aprovar
todo o processo de auditoria remota.
c) Se a auditoria completamente remota for considerada uma opção viável, os meios de TIC a
serem usados devem ser testados com a organização certificada antes da auditoria remota
planejada, para confirmar que a TIC é apropriada, adequada e eficaz. A viabilidade também
depende da qualidade da conexão online.
d) Suporte e treinamento adequados no uso de TIC devem ser fornecidos para o auditor e
quaisquer outros membros da equipe auditora, antes da auditoria remota. Os registros
desses treinamentos devem ser mantidos pelo OC.
e) O uso de tecnologia remota deve garantir que os controles adequados sejam implantados
para garantir uma representação verdadeira da empresa e uma auditoria robusta.
f) Os requisitos do IAF MD4 devem ser seguidos. Este documento obrigatório define as
regras que os organismos de certificação e seus auditores devem seguir para garantir que
as TIC sejam utilizadas para assegurar a eficiência e eficácia da auditoria / avaliação,
apoiando e mantendo a integridade do processo de auditoria.
g) O OC deve incluir os requisitos do IAF MD4 em seus procedimentos, como orientação para
o uso de TIC e capacitação de pessoal.
h) Segurança e confidencialidade dos dados: o uso das TIC deve ser mutuamente acordado
entre o auditado e o OC de acordo com as medidas e regulamentos de segurança da
informação e dados antes do uso das TIC. As gravações de vídeo e / ou áudio, capturas de
tela e armazenamento de evidências também devem ser acordados mutuamente e o OC
deve manter registro desses acordos.
i) A auditoria remota deve ser conduzida por auditores FSSC 22000 qualificados, que
atendam aos requisitos de competência vinculados ao escopo da certificação, conforme
estabelecido no Esquema.
j) Em todos os casos em que as TIC utilizadas não funcionarem adequadamente ou
impedirem / dificultarem a robustez da auditoria, a mesma deve ser abortada e as ações
de acompanhamento devidamente determinadas de acordo com o cronograma de
auditoria e os requisitos do Esquema.

Versão 1 | Outubro 2020 3 de 6

Adendo de Auditoria Completamente Remota

3.3 APLICABILIDADE
A opção de auditoria completamente remota só é aplicável nos seguintes casos, quando
associada a um evento sério:

i. Onde as auditorias FSSC 22000 anuais anunciadas de acompanhamento ou de

recertificação forem impactadas devido a um evento sério e não puderem ocorrer no local;
ii. Auditorias de transição - referentes à Parte 3, cláusula 5.8 do Esquema;
iii. Quando as auditorias de acompanhamento para encerrar não-conformidades não
puderem ocorrer - isso dependerá da natureza da não-conformidade, a adequação das TIC
e o OC deve, em todos os casos, ser capaz de justificar a eficácia dos métodos usados. Não
conformidades críticas requerem uma auditoria de acompanhamento presencial em todas
as instâncias.
iv. Conduzir uma auditoria especial com base no resultado da avaliação de risco do evento
sério.

3.4 PLANEJAMENTO DA AUDITORIA

É necessário um planejamento eficaz para a auditoria remota de modo a garantir que ela atinja
os objetivos declarados e o tempo mínimo de auditoria. Consequentemente, pode ser necessário
mais tempo para o processo de planejamento. A duração total da auditoria deve ser calculada
com base nas regras da Parte 3 do Esquema. Quando necessário, as durações devem ser
arredondadas para o meio dia subsequente mais próximo, levando em consideração que pode
ser necessário tempo adicional para realizar a auditoria remota.

Os pontos a serem considerados na fase de planejamento são explicados na cláusula 6.2.3 da

ISO 19011 - Determinando a viabilidade da auditoria:

A viabilidade da auditoria deve ser determinada para fornecer confiança de que os objetivos da
auditoria podem ser alcançados.

A determinação da viabilidade deve levar em consideração fatores como a disponibilidade do

seguinte:

a) Informação suficiente e apropriada para o planejamento e condução da auditoria;

b) Cooperação adequada do auditado;

c) Tempo e recursos adequados para a realização da auditoria.

NOTA: Os recursos incluem acesso a tecnologias de informação e comunicação adequadas e

apropriadas.

É aconselhável obter informações de apoio da organização certificada antes da auditoria para

auxiliar no processo de planejamento da auditoria, como: mapa do local, diagramas de fluxo,
visão geral de PPROs / PCCs, padrões de troca de turnos específicos, bem como qualquer
processo, produção ou mudanças significativas ocasionadas como resultado do evento sério.

O plano de auditoria e o programa de auditoria devem refletir claramente que a auditoria foi
conduzida de forma totalmente remota e vinculada a um evento sério, bem como indicar os
diferentes tipos de TIC usados durante a auditoria. Ao preparar o plano de auditoria para a
auditoria remota, devem-se levar em consideração as durações apropriadas e permitir pausas
mais frequentes para aumentar a atenção e reduzir o cansaço visual. Essas pausas não devem
ser contadas como tempo de auditoria. O tempo consumido em questões como inatividade da
rede, interrupções ou atrasos inesperados, problemas de acessibilidade ou outros desafios de
TIC, não deve ser contado como tempo de auditoria. Medidas para garantir o tempo de auditoria
devem ser estabelecidas.

Versão 1 | Outubro 2020 4 de 6

Adendo de Auditoria Completamente Remota

3.5 AUDITORIA
As atividades de auditoria remota seguem os mesmos princípios e formato das atividades de
auditoria presencial e incluem uma auditoria completa em relação aos requisitos do Esquema.
Portanto, é provável que diferentes tipos e combinações de TIC sejam usados durante a mesma
auditoria, o que deve ser revisto e acordado como parte das avaliações de viabilidade e de risco
e do planejamento de auditoria. A auditoria deve ser concluída em um prazo definido que pode
ser subdividido em vários dias, por exemplo, uma auditoria de 1,5 dia pode ser distribuída por 3-
4 dias para permitir pausas suficientes e otimização do uso das TIC.

Exemplos de requisitos, atividades e processos incluem:

Atividade de auditoria Interação remota

Atividade de auditoria
a. Reuniões de abertura e fechamento Videoconferência
b. Revisão do plano de auditoria em Reunião virtual
diferentes estágios da auditoria
c. Relatório de conclusões intermediárias
d. Reuniões intermediárias da equipe de
auditoria, quando aplicável
Processos / atividades / pessoas da organização
a. Entrevistas Videoconferência com tela compartilhada
b. Processos ou atividades em que o objeto
da auditoria é principalmente a revisão de
documentos e informações explicativas
obtidas por meio de entrevista, como
Imagens de vídeo em tempo real obtidas com
compras, recursos humanos /
drones, câmeras móveis ou fixas.
treinamento, processos comerciais,
design e desenvolvimento. Muitas dessas
atividades são realizadas por serviços
compartilhados.
c. Infraestrutura que possui ampla extensão Acesso ao monitoramento de vídeo / vigilância dos
territorial locais
Situações particulares Videoconferência, imagens em tempo real, tela
a. Participação de especialistas técnicos compartilhada, documento assíncrono e revisão
de dados, ou seja, em nuvem ou ambiente
semelhante.

Quando for necessário fazer ajustes no plano de auditoria na reunião de abertura, a

disponibilidade e a viabilidade de usar as TIC também devem ser reconfirmadas. As medidas
para garantir a confidencialidade e a segurança dos dados também devem ser revistas e
acordadas quando aplicável.

É importante que a TIC usada seja adequada para auditar as instalações, áreas de
armazenamento e processos de fabricação usando transmissão / vídeo ao vivo com capacidade
de áudio por meio de tecnologia móvel ou outra tecnologia vestível para permitir a confirmação
da implementação contínua de PPRs, observação de práticas e processos e entrevistas com o
pessoal. O representante do local precisará levar a câmera ou outro equipamento de vídeo (por
exemplo, um laptop, telefone celular ou tablet) para a produção, armazenamento e outras áreas
para permitir que o auditor testemunhe, veja e questione quaisquer aspectos e replique uma
visita à instalação local e ao processo.

Versão 1 | Outubro 2020 5 de 6

Adendo de Auditoria Completamente Remota

Ao usar o vídeo para transmitir imagens online ao vivo, é importante que a organização
demonstre a veracidade das imagens. Ao olhar para imagens de uma instalação, elas possam ser
comparadas com plantas baixas e diagramas de fluxo, por exemplo. As imagens observadas de
um local geográfico possam ser comparadas com imagens de satélite disponíveis ou informações
disponíveis em Sistemas de Informações Geográficas (SIG). Qualquer vídeo ou tecnologia
semelhante não requer gravação, mas devem ser registrados no relatório de auditoria a duração
do vídeo e o que foi coberto.

A responsabilidade pela aplicação eficaz de métodos de auditoria remota para qualquer

auditoria é do OC e do auditor líder (em termos de execução de atividades de auditoria).

3.5.1 NÃO CONFORMIDADES

As atividades de auditoria remota seguem os mesmos princípios das atividades de auditoria

presencial, e onde não conformidades são identificadas, estas são documentadas, classificadas e
tratadas conforme definido nos requisitos do Esquema.

3.5.2 RELATÓRIO DE AUDITORIA

O relatório de auditoria deve cumprir os requisitos estabelecidos no anexo 2 do Esquema e

indicar claramente que a auditoria foi realizada como uma auditoria completamente remota.
Uma visão geral deve ser incluída no resumo executivo do relatório, fornecendo detalhes do
evento grave e até que ponto as TIC foram usadas, incluindo as diferentes metodologias
aplicadas. A avaliação de viabilidade e risco conduzida deve ser carregada no portal FSSC como
parte da documentação de auditoria. As instruções serão fornecidas separadamente pela
Fundação sobre o processo e os requisitos para o upload da documentação de auditoria
completamente remota no portal.

3.5.3 DECISÃO DE CERTIFICAÇÃO

Como parte do processo de decisão de certificação, o OC deve revisar o programa de auditoria e

levar em consideração a necessidade de uma auditoria especial no local e quaisquer mudanças
necessárias ao programa de auditoria com base no risco e no resultado da auditoria.

Continua a ser responsabilidade do OC garantir um processo de auditoria adequado e robusto e

tomar uma decisão de certificação baseada em informações. Quando o resultado da auditoria
remota é manter a (re)certificação, o certificado deve ser atualizado para fazer referência a que
uma auditoria completamente remota foi realizada. Após uma auditoria presencial (totalmente
na empresa ou por meio da abordagem de Auditoria de TIC), o certificado deve ser atualizado e a
referência à Auditoria Completamente Remota removida.

Versão 1 | Outubro 2020 6 de 6