BRC认证辅导-混合审核协议的工厂至少每3年进行一次不通知的审核的要求

3 混合通知审核协议—两部分通知审核
这是两部分的审核，由远程审核和随后的现场审核组成。
借助混合通知审核方案，认证机构可以考虑在开展远程评估时，可以使用 ICT 审核《标准》的哪些要求。这种审核方式将审核要求分为两个独立的审核，包括：
• 远程审核 - 主要是基于对文件和记录的审核，可能计划要确保有适当的人员参与检索和讨论有关记录。
• 随后的现场审核 - 主要关注在现场的操作实践，如卫生、生产、存储和产品处理。
认证机构应有书面的混合审核流程，以确保符合IAF MD4:2018。
BRCGS080 中提供了有关混合审核流程的其他信息：混合审核 – 使用 ICT 的远程审核 （可在 BRCGS 网站上获取）。
选择混合通知审核协议的工厂，依旧遵循至少每3年进行一次不通知的审核的要求（见第2节）。
3.1 审核规划
3.1.1 选择混合审核方案
该审核选项仅适用于再认证审核，不适用于工厂的初次BRCGS审核，也不适用于对未持有当前有效的证书的工厂的审核。
不论工厂以往是哪个级别（AA至D级的所有级别均符合资格），均可以采用混合审核；但是，在审核前的风险评估期间将考虑评级（见第3.1.5）。
认证机构可以在风险评估之后决定是否提供和/或接受混合审核选项。
在策划远程审核之前，认证机构应考虑工厂同意使用ICT进行远程审核的意愿。可以顺畅使用 ICT 技术也是有效完成审核的一个因素。重要的是双方都同意采用此方案。
3.1.2 公司的准备工作
工厂的准备工作基本与通知审核方案相同（见2.1.1节）。
然而，审核的远程部分需要额外考虑。例如，确保需要适当的IT系统的可用性，就任何保密、安全和数据保护（CSDP）要求达成的协议（见第3.1.6节），以及有必要在安静的环境中进行审核工作，以避免背景噪音和干扰（例如，考虑办公空间是否可用，以及噪音消除技术的使用，如使用“麦克风上的消音器”或耳机）。
3.1.3 向认证机构提供审核筹备情况信息
提供给认证机构的信息与通知审核方案相同（参见第2.1.2节）。
3.1.4 安排强制不通知审核
选择混合通知审核协议的工厂，依旧遵循至少每3年进行一次不通知的审核的要求。强制的不通知审核的协议细节见第2节，特别是2.1.3和2.1.4节。
3.1.5 审核前风险评估
认证机构应进行全面的风险评估，以确保远程方式可以实现审核的目标。风险评估应包括公司接受远程审核的能力，包括：
• 工厂的历史审核表现，包括投诉和召回风险
• 电子形式的文档和记录的可用性，以及工厂远程共享这些文件和记录的意愿（包括任何限制）。
• 认证机构进行远程审核的能力（例如接受过培训的审核员、认证机构和公司都可以使用的 IT 系统）
• 工厂工作人员使用远程审核技术（包括现场视频）中用到的技术的能力。
认证机构应在审核前了解工厂对文件和记录共享的任何限制。
审核前的风险评估不计入审核时长。
3.1.6 机密性、安全性和数据保护 
认证机构应考虑数据保护和当地的隐私法规（如IAF MD4:2018，第4.1条）。重要的是，如果使用 ICT（例如视频），必须征得涉及人员的相关同意，以确保遵守当地的隐私法规。
使用ICT之前，应确定与保密性、安全性和数据保护有关的所有要求（认证、法律和客户），并采取行动确保其有效实施。必须提供与保密、安全和数据保护 (CSDP) 相关的协议证据。CSDP 标准应得到所有参与者的认可，并在首次会议上确认确保机密性和安全性的措施。
对文件信息进行分析时，应在安全且约定的系统内共享，例如基于云的虚拟专用网络或其他使用 CSDP 指南的文件共享系统。一旦审核完成，审核员应从系统中删除不要求作为客观证据保留的任何形成文件的信息和记录，或移除上述文件接入途径。
审核员不得截图、或将受审核方的录像记录作为审核证据。任何文件、记录或其他类型证据的截图必须事先获得被审核工厂的授权。在不履行这些措施或未就信息安全和数据保护措施达成一致的情况下，认证机构不得使用混合审核方案。