ISO 22003-1:2022

NORME ISO
INTERNATIONALE 22003-1
Première édition
2022-06
Sécurité des denrées alimentaires —
Partie 1:
Exigences pour les organismes
procédant à l'audit et à la certification
de systèmes de management de la
sécurité des denrées alimentaires
Food safety —
Part 1: Requirements for bodies providing audit and certification of
food safety management systems
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 2
4 Principes . 2
5 Exigences générales . .2
6 Exigences structurelles . 2
7 Exigences relatives aux ressources . 2
7.1 Compétence du personnel . 2
7.1.1 Considérations générales . 2
7.1.2 Détermination des critères de compétence . 3
7.1.3 Processus d’évaluation . 3
7.1.4 Autres considérations . 3
7.2 Personnel intervenant dans les activités de certification . 3
7.3 Intervention d’auditeurs et d’experts techniques externes individuels . 3
7.4 Enregistrements relatifs au personnel . 3
7.5 Externalisation . 3
8 Exigences relatives aux informations .4
9 Exigences relatives aux processus .4
9.1 Activités préalables à la certification . 4
9.1.1 Demande de certification . 4
9.1.2 Revue de la demande . 4
9.1.3 Programme d’audit . 5
9.1.4 Détermination du temps d’audit . 5
9.1.5 Échantillonnage multisite . 5
9.1.6 Normes de systèmes de management multiples . 7
9.2 Planification des audits . 8
9.3 Certification initiale . 8
9.4 Réalisation des audits . 9
9.5 Décision de certification . 9
9.6 Maintien de la certification . 9
9.7 Appels . 9
9.8 Plaintes . 9
9.9 Enregistrements relatifs au client . 9
10 Exigences relatives au système de management des organismes de certification .9
Annexe A (normative) Classification des catégories de la chaîne alimentaire .10
Annexe B (normative) Durée minimale d’audit .15
Annexe C (normative) Connaissances et savoir-faire requis en matière de systèmes
de management de la sécurité des denrées alimentaires pour déterminer
la compétence .19
Annexe D (informative) Recommandations relatives aux fonctions de certification
génériques .24
Bibliographie .28
iii
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 34, Produits alimentaires, sous-
comité SC 17, Systèmes de management pour la sécurité des denrées alimentaires, en collaboration avec le
Comité ISO pour l’évaluation de la conformité (CASCO).
Cette première édition annule et remplace l’ISO/TS 22003:2013, qui a fait l’objet d’une révision
technique complète.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
Introduction
La certification du système de management de la sécurité des denrées alimentaires (SMSDA) d’une
organisation est l’un des moyens permettant d’assurer que l’organisation a mis en œuvre un système
de management de la sécurité des denrées alimentaires conforme à sa politique et aux principes de
sécurité des denrées alimentaires internationalement reconnus.
Les exigences applicables à un SMSDA peuvent émaner d’un certain nombre de sources et le présent
document a été élaboré pour apporter une aide à la certification des SMSDA qui satisfont aux exigences
de l’ISO 22000. Le contenu du présent document peut également servir à accompagner la certification
des SMSDA qui sont fondés sur d’autres ensembles d’exigences spécifiées en la matière.
Le présent document est destiné à être utilisé conjointement avec l’ISO/IEC 17021-1:2015 par les
organismes qui procèdent aux audits et à la certification des SMSDA. Il fournit des exigences générales
à l’attention de ces organismes dits «de certification». Ce libellé n’est pas destiné à faire obstacle
à l’utilisation du présent document par des organismes désignés différemment qui entreprennent
des activités couvertes par le domaine d’application décrit dans ce document. Le présent document est
destiné à être utilisé par tout organisme impliqué dans l’évaluation de SMSDA.
Les activités de certification comprennent l’audit du SMSDA d’une organisation. L’attestation de la
conformité de ce système à une norme spécifique de SMSDA (par exemple ISO 22000) ou à d’autres
exigences spécifiées prend généralement la forme d’un document de certification ou d’un certificat.
Il incombe à l’organisation cherchant à obtenir une certification de mettre en place ses propres
systèmes de management et, sauf spécifications contraires dans les exigences réglementaires
applicables, il appartient à l’organisation de décider de l’agencement des différents composants de ces
systèmes. Le degré d’intégration entre les divers composants des systèmes de management variera
d’une organisation à l’autre. Il est donc approprié pour les organismes de certification qui opèrent
conformément au présent document de prendre en compte la culture et les pratiques de leurs clients, eu
égard à l’intégration de leur SMSDA dans un cadre plus large.
Le présent document a été élaboré en parallèle de l’ISO 22003-2, qui est utilisée conjointement avec
l’ISO/IEC 17065.
Dans le présent document, les formes verbales suivantes sont utilisées:
— «doit» indique une exigence;
— «il convient de/que» indique une recommandation;
— «peut/il est admis/permis» indique une permission;
— «peut/il est possible» indique une possibilité ou une capacité.
v
NORME INTERNATIONALE ISO 22003-1:2022(F)
Sécurité des denrées alimentaires —
Partie 1:
Exigences pour les organismes procédant à l'audit et à la
certification de systèmes de management de la sécurité
des denrées alimentaires
1 Domaine d’application
Le présent document spécifie les exigences pour l’audit et la certification d’un système de management
de la sécurité des denrées alimentaires (SMSDA) conforme aux exigences énoncées dans l’ISO 22000
(ou à d’autres exigences spécifiées dans ce domaine). Il fournit également aux clients les informations
nécessaires sur la manière de procéder à la certification de leurs fournisseurs et leur donne ainsi
confiance dans cette certification.
La certification des SMSDA est une activité d’évaluation de la conformité par tierce partie (tel que
décrit dans l’ISO/IEC 17000:2020, 4.3) et les organismes exerçant cette activité sont des organismes
d’évaluation de la conformité par tierce partie.
NOTE 1 Dans le présent document, les termes «produit» et «service» sont employés séparément (contrairement
à la définition de «produit» donnée dans l’ISO/IEC 17000).
NOTE 2 Le présent document peut être utilisé comme référentiel pour l’accréditation ou l’évaluation
par des tiers des organismes de certification qui cherchent à se faire reconnaître comme étant compétents
pour certifier qu’un SMSDA est conforme à l’ISO 22000 ou à d’autres ensembles d’exigences spécifiées dans
ce domaine. Il est également destiné à être utilisé comme référentiel par des autorités réglementaires et des
consortiums industriels qui procèdent à la reconnaissance directe des organismes de certification qui certifient
qu’un SMSDA est conforme à l’ISO 22000. Certaines de ses exigences peuvent aussi être utiles pour toute autre
partie susceptible d’être impliquée dans l’évaluation de la conformité de tels organismes de certification et dans
l’évaluation de la conformité de tout organisme qui réalise la certification de la conformité des SMSDA à des
critères complémentaires à l’ISO 22000 ou différents de ceux énoncés dans cette dernière.
La certification d’un SMSDA n’atteste pas la sécurité ou l’aptitude à l’emploi des produits d’une
organisation appartenant à la chaîne alimentaire. Cependant, un SMSDA exige qu’une organisation
satisfasse à l’ensemble des exigences législatives et réglementaires en vigueur liées à la sécurité des
denrées alimentaires au travers de son système de management.
NOTE 3 La certification d’un SMSDA conforme à l’ISO 22000 est une certification de système de management,
et non une certification de produits.
D’autres utilisateurs de SMSDA peuvent utiliser les concepts et les exigences du présent document,
à condition d’adapter les exigences selon les besoins.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
ISO/IEC 17021-1:2015, Évaluation de la conformité — Exigences pour les organismes procédant à l’audit et
à la certification des systèmes de management — Partie 1: Exigences
ISO 22000, Systèmes de management de la sécurité des denrées alimentaires — Exigences pour tout
organisme appartenant à la chaîne alimentaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 17000, l’ISO/IEC 17021-1
et l’ISO 22000 ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
système de management de la sécurité des denrées alimentaires
SMSDA
ensemble d’éléments corrélés ou en interaction d’un organisme, utilisés pour établir des politiques,
des objectifs et des processus de façon à atteindre les objectifs du système de management de la sécurité
des denrées alimentaires
Note 1 à l'article: Dans le présent document, l’expression «système de management de la sécurité des denrées
alimentaires» remplace l’expression «système de management» utilisée dans l’ISO/IEC 17021-1.
3.2
analyse des dangers et points critiques pour leur maîtrise
étude HACCP
analyse des dangers pour une famille de produits/services/procédés présentant des dangers semblables
ainsi que des processus et une technologie analogues (par exemple production, conditionnement,
stockage ou prestation de services)
4 Principes
Les principes de l’ISO/IEC 17021-1:2015, Article 4, servent de base pour les exigences spécifiques
de performance et les exigences descriptives données dans le présent document. Le présent document
ne définit pas d’exigences spécifiques pour traiter l’ensemble des questions relatives au processus
d’audit et de certification. Il convient de considérer ces principes comme des recommandations à
appliquer en cas de décisions à prendre dans des situations imprévues. Ces principes ne constituent pas
des exigences.
5 Exigences générales
L’ISO/IEC 17021-1:2015, Article 5, doit être respectée.
6 Exigences structurelles
L’ISO/IEC 17021-1:2015, Article 6, doit être respectée.
7 Exigences relatives aux ressources
7.1 Compétence du personnel
7.1.1 Considérations générales
L’ISO/IEC 17021-1:2015, 7.1.1, doit être respectée.
Les fonctions de certification pour lesquelles une compétence doit être identifiée sont celles énoncées
à l’Annexe C.
7.1.2 Détermination des critères de compétence
L’ISO/IEC 17021-1:2015, 7.1.2, doit être respectée.
Les secteurs techniques doivent être définis à l’aide de l’Annexe A.
Les critères de compétence de l’Annexe C, précisant les connaissances et le savoir-faire spécifiques,
doivent s’appliquer.
NOTE 1 L’Annexe D fournit des recommandations à l’organisme de certification sur la plupart des fonctions
de certification génériques identifiées dans l’ISO/IEC 17021-1:2015, Annexe A, et pour lesquelles il est nécessaire
de déterminer des critères de compétence des membres du personnel impliqués dans la réalisation des audits et
de la certification d’un SMSDA.
NOTE 2 La ou les qualifications et l’expérience peuvent faire partie des critères; toutefois, la compétence
ne repose pas uniquement sur ces caractéristiques, car il est important de s’assurer qu’une personne peut
démontrer son aptitude à mettre en œuvre les connaissances spécifiques et le savoir-faire que l’on attendrait
d’une personne ayant obtenu une qualification ou possédant une certaine expérience dans le secteur.
7.1.3 Processus d’évaluation
L’ISO/IEC 17021-1:2015, 7.1.3, doit être respectée.
L’organisme de certification doit en particulier évaluer les connaissances de l’individu en matière
de sécurité des denrées alimentaires, y compris ses connaissances des programmes prérequis (PRP)
spécifiques, des dangers liés à la sécurité des denrées alimentaires et des mesures de maîtrise
concernant les catégories qui entrent dans le périmètre d’action du personnel de l’organisme de
certification. Ils doivent être identifiés pour les catégories relevant des exigences de 7.1.2.
Les évaluateurs doivent connaître une ou plusieurs méthodes d’évaluation (voir l’ISO/IEC 17021-1:2015,
Annexe B) et démontrer leur capacité à les appliquer.
NOTE L’ISO/IEC 17021-1:2015, 7.1.3, exige que l’organisme de certification démontre l’efficacité des
méthodes d’évaluation utilisées pour évaluer le personnel par rapport à des critères de compétence identifiés.
7.1.4 Autres considérations
L’ISO/IEC 17021-1:2015, 7.1.4, doit être respectée.
7.2 Personnel intervenant dans les activités de certification
L’ISO/IEC 17021-1:2015, 7.2, doit être respectée.
7.3 Intervention d’auditeurs et d’experts techniques externes individuels
L’ISO/IEC 17021-1:2015, 7.3, doit être respectée.
7.4 Enregistrements relatifs au personnel
L’ISO/IEC 17021-1:2015, 7.4, doit être respectée.
7.5 Externalisation
L’ISO/IEC 17021-1:2015, 7.5, doit être respectée.
8 Exigences relatives aux informations
8.1 L’ISO/IEC 17021-1:2015, Article 8, doit être respectée à l’exception des paragraphes amendés 8.2,
8.3 et 8.4.
8.2 Les documents de certification doivent identifier en détail les catégories et sous-catégories
présentées dans le Tableau A.1 auxquelles le SMSDA s’applique.
8.3 Un organisme de certification ne doit pas autoriser l’utilisation de la marque de certification
du SMSDA sur le produit ou l’emballage du produit. Dans le contexte du présent document, l’emballage
du produit auquel il est fait référence dans l’ISO/IEC 17021-1:2015, 8.3, doit couvrir tous les emballages
du produit, aussi bien l’emballage primaire (qui contient le produit) que tout emballage extérieur
ou secondaire.
8.4 Un organisme de certification ne doit pas autoriser l’utilisation d’une mention sur l’emballage
du produit indiquant que le client dispose d’un SMSDA certifié. Cela concerne tous les emballages
du produit, tant l’emballage primaire (qui contient le produit) que tout emballage extérieur ou
secondaire.
9 Exigences relatives aux processus
9.1 Activités préalables à la certification
9.1.1 Demande de certification
L’ISO/IEC 17021-1:2015, 9.1.1, doit être respectée.
L’organisme de certification doit exiger de l’organisation candidate qu’elle fournisse des informations
utiles relatives aux produits et aux procédés, pour la détermination de la durée de l’audit, conformément
aux Annexes A et B.
9.1.2 Revue de la demande
9.1.2.1 L’ISO/IEC 17021-1:2015, 9.1.2, doit être respectée.
9.1.2.2 L’organisme de certification doit utiliser l’Annexe A pour définir le domaine d’application
pertinent pour l’organisation émettant une demande de certification. L’énoncé du domaine d’application
doit:
— identifier la ou les catégories ou sous-catégories dans le périmètre de certification, pour chaque
site;
— décrire brièvement les principaux types d’activités/processus pour les produits et/ou services
qui sont audités par l’organisme de certification.
9.1.2.3 Le périmètre défini de la certification ne doit pas:
— être trompeur;
— exclure d’activités, de procédés, de produits ou de services du périmètre de la certification lorsque
ces derniers peuvent influer sur la sécurité sanitaire des produits finis telle que définie par la
responsabilité juridique des activités des organismes;
— inclure de mentions, marques ou allégations promotionnelles.
9.1.3 Programme d’audit
9.1.3.1 L’ISO/IEC 17021-1:2015, 9.1.3, doit être respectée.
9.1.3.2 En outre, l’organisme de certification doit disposer d’un processus pour choisir la date et
la saison de l’audit pour que l’équipe d’audit ait l’occasion d’auditer l’organisation en fonctionnement
sur un nombre représentatif de lignes de produits et/ou de services couverts par le périmètre de la
certification.
9.1.4 Détermination du temps d’audit
9.1.4.1 L’ISO/IEC 17021-1:2015, 9.1.4, doit être respectée.
9.1.4.2 L’organisme de certification doit disposer de procédures documentées pour la détermination
du temps d’audit et pour chaque client, l’organisme de certification doit déterminer le temps nécessaire
à la planification et à la réalisation d’un audit complet et efficace du SMSDA du client. Afin de déterminer
la durée de l’audit, l’organisme de certification doit utiliser la méthodologie décrite à l’Annexe B. Le
temps imparti déterminé par l’organisme de certification ainsi que les justifications correspondantes
doivent être enregistrés, y compris la justification de toute réduction ou de tout allongement.
9.1.4.3 Afin de déterminer le temps d’audit nécessaire et de le documenter, l’organisme de certification
doit déterminer:
a) le temps de préparation de l’audit;
b) la durée minimale de l’audit pour chaque site, qu’il s’agisse d’un audit sur site ou d’un audit à
distance, tel que spécifié dans les paragraphes B.1, B.2 et B.3, ainsi que dans le Tableau B.1;
c) le temps nécessaire à l’établissement des rapports et, le cas échéant, à la conduite des activités post-
audit;
d) une augmentation du temps d’audit peut être requise lorsque des réunions supplémentaires sont
nécessaires, par exemple des réunions de revue, de coordination, d’information de l’équipe d’audit;
e) dans les cas applicables et convenus, le temps nécessaire pour assurer un audit à distance efficace
ou l’utilisation des technologies de l’information et de la communication (TIC).
9.1.5 Échantillonnage multisite
9.1.5.1 L’ISO/IEC 17021-1:2015, 9.1.5, doit être respectée.
NOTE L'ensemble du paragraphe 9.1.5 est destiné à s’appliquer uniquement aux opérations où sont menées
des activités figurant dans l’énoncé du domaine d’application.
9.1.5.2 Une organisation multisite est une organisation comportant une fonction centralisée
identifiée au niveau de laquelle certaines activités de SMSDA sont planifiées, maîtrisées ou gérées,
ainsi qu’un réseau de sites au niveau desquels ces activités sont entièrement ou partiellement réalisées.
Des exemples d’organisations multisites possibles sont:
— les organisations opérant avec des franchises;
— les groupements de producteurs (pour les catégories A et B);
— une entreprise manufacturière disposant d’un ou de plusieurs sites de production et d’un réseau
de bureaux de vente;
— les organisations de services disposant de plusieurs sites offrant un service analogue;
— les organisations comportant plusieurs filiales.
L’échantillonnage des organisations multisites doit couvrir toutes les activités (voir les critères
présentés en 9.1.5.3).
9.1.5.3 L’organisme de certification doit démontrer que l’échantillonnage des sites ne nuit pas
à l’efficacité de l’audit. Lorsqu’un échantillonnage multisite est entrepris, l’organisme de certification
doit en justifier et documenter les raisons sur la base des conditions suivantes:
a) les sites opèrent sous un seul SMSDA contrôlé et administré de façon centralisée;
b) les sites faisant l’objet d’un échantillonnage se ressemblent (sous-catégorie de la chaîne alimentaire,
emplacement géographique, processus et technologies, taille et complexité, exigences légales et
réglementaires, exigences des clients, dangers liés à la sécurité des denrées alimentaires et mesures
de maîtrise);
c) la fonction centralisée fait partie de l’organisation, elle est clairement identifiée et n’est pas sous-
traitée à une organisation externe;
d) tous les sites ont un lien juridique ou contractuel avec la fonction centralisée;
e) la fonction centralisée dispose, au sein de l’organisation, de l’autorité pour définir, établir et tenir
à jour le SMSDA;
f) tous les sites sont soumis au programme d’audit interne de l’organisation et ont fait l’objet d’un
audit;
g) les constats d’audit sur un site sont considérés comme indicatifs de l’ensemble du SMSDA et des
actions correctives sont mises en œuvre en conséquence;
h) la fonction centralisée est chargée de veiller à ce que les résultats de l’évaluation des performances
et les plaintes des clients provenant de tous les sites soient collectés et analysés;
i) le SMSDA de l’organisation fait l’objet d’une revue de direction centralisée;
j) la fonction centralisée a le pouvoir d’initier l’amélioration continue du SMSDA.
NOTE La fonction centralisée est le lieu où la maîtrise opérationnelle et l’autorité de la direction de
l’organisation sont exercées sur chaque site. Il n’est pas exigé que la fonction centralisée se situe sur un seul
site.
9.1.5.4 L’utilisation de l’échantillonnage multisite est autorisée pour les catégories A et B.
L’échantillonnage peut être appliqué à des organisations multisites, la taille minimale de l’échantillon
étant la racine carrée du nombre total des sites: √(x), arrondi au nombre entier supérieur. L’échantillon
issu de ce calcul doit être prélevé par catégorie de risque en fonction de la complexité de la production
des sites (par exemple, production végétale en plein champ, production de plantes vivaces, production
en intérieur ou production animale en plein champ, production animale en intérieur).
L’utilisation d’un échantillonnage multisite est autorisée pour les catégories F, G et uniquement pour
les installations aux possibilités de préparation ou de cuisson limitées, telles que le réchauffage ou la
friture (par exemple restauration événementielle, cafés, bars) de la catégorie E (voir le Tableau A.1).
Pour les organisations comportant 20 sites ou moins, tous les sites doivent être audités. Dans le cas
d’organisations de plus de 20 sites, le nombre minimal de sites à échantillonner doit être de 20 plus la
racine carrée du nombre total des autres sites: y = 20 + √(x – 20), arrondi au nombre entier supérieur.
Ce principe s’applique aux audits de certification initiale, de surveillance et de renouvellement de
certification.
L’utilisation d’un échantillonnage multisite n’est pas autorisée pour les autres catégories identifiées
à l’Annexe A.
9.1.5.5 En cas d’échantillonnage multisite autorisé, l’organisme de certification doit s’assurer
(par exemple, par l’intermédiaire de dispositions contractuelles) que l’organisation a réalisé un audit
interne sur chaque site au cours de l’année précédant la certification et, le cas échéant, des preuves de
l’efficacité des actions correctives doivent être disponibles. Après la certification, l’audit interne annuel
doit couvrir tous les sites de l’organisation inclus dans le périmètre de la certification de l’organisation
multisite et l’efficacité continue des actions correctives doit être démontrée.
9.1.5.6 Lorsque l’échantillonnage multisite est autorisé, l’organisme de certification doit définir
et utiliser un programme d’échantillonnage afin de garantir un audit efficace du SMSDA dans lequel les
conditions suivantes s’appliquent.
a) Un audit de la fonction centralisée concernant le SMSDA doit être réalisé au moins une fois par an
par l’organisme de certification avant les audits des sites échantillonnés.
b) Des audits doivent être réalisés au moins une fois par an par l’organisme de certification sur le
nombre de sites échantillonnés requis.
c) Les constats d’audit issus des sites échantillonnés doivent être évalués pour déterminer s’ils
indiquent une défaillance globale du SMSDA et s’ils peuvent donc être applicables à certains ou à
tous les autres sites.
d) Lorsque les constats d’audit issus des sites échantillonnés sont considérés comme étant indicatifs
de l’ensemble du SMSDA, des actions correctives doivent être mises en œuvre en conséquence.
e) Pour les organisations comportant 20 sites ou moins, tous les sites doivent être audités.
L’organisme de certification doit augmenter la taille de l’échantillon ou mettre fin à l’échantillonnage
des sites lorsque le SMSDA soumis à la certification n’indique pas sa capacité à atteindre les résultats
escomptés.
9.1.5.7 L’échantillon doit être en partie sélectif et en partie aléatoire, et doit permettre de sélectionner
un éventail représentatif des différents sites, en garantissant que tous les processus couverts par le
périmètre de la certification seront audités.
Au moins 25 % de l’échantillon doit être sélectionné de manière aléatoire. Le reste doit être sélectionné
de manière que les différences entre les sites choisis sur la période de validité de la certification soient
aussi grandes que possible.
La sélection des sites doit tenir compte, entre autres, des aspects suivants:
a) les résultats des audits internes, des revues de direction ou des audits précédents;
b) les enregistrements de plaintes, de retraits de produits et d’autres aspects pertinents des actions
correctives;
c) les variations dans les caractéristiques des sites;
d) les autres changements pertinents depuis le dernier audit.
9.1.5.8 Si un site présente une non-conformité majeure et qu’aucune action corrective satisfaisante
n’a pas été mise en œuvre dans le délai convenu, la certification ne doit pas être accordée ou maintenue
pour l’ensemble de l’organisation multisite en attendant une action corrective satisfaisante.
9.1.5.9 L’organisme de certification doit identifier et inclure dans le périmètre de certification les
processus du SMSDA mis en œuvre sur chaque site échantillonné.
9.1.6 Normes de systèmes de management multiples
L’ISO/IEC 17021-1:2015, 9.1.6, doit être respectée.
9.2 Planification des audits
L’ISO/IEC 17021-1:2015, 9.2, doit être respectée.
9.3 Certification initiale
9.3.1 L’ISO/IEC 17021-1:2015, 9.3, doit être respectée.
9.3.2 L’étape 1 a pour objectif de préparer la planification de l’étape 2 de l’audit initial en appréhendant
le SMSDA de l’organisation et son degré de préparation pour l’étape 2, en passant en revue dans quelle
mesure:
a) l’organisation a identifié les PRP qui sont appropriés à l’entreprise (par exemple les exigences
réglementaires, législatives, relatives aux clients et à la certification);
b) le SMSDA inclut des processus et des méthodes adéquats pour l’identification et l’évaluation des
dangers liés à la sécurité des denrées alimentaires spécifiques de l’organisation, ainsi que pour la
sélection et la catégorisation ultérieures des mesures de maîtrise et de leurs combinaisons;
c) le SMSDA comprend des processus et des méthodes adéquats pour l’identification et la mise en
œuvre de la législation pertinente relative à la sécurité des denrées alimentaires;
d) le SMSDA est conçu pour accomplir la politique de sécurité sanitaire de l’organisation;
e) le programme de mise en œuvre du SMSDA justifie le passage à l’étape 2;
f) la validation des mesures de maîtrise, la vérification des activités et les programmes d’amélioration
sont conformes aux exigences de la norme relative au SMSDA;
g) les documents et les dispositions du SMSDA sont en place afin de communiquer en interne et avec
des fournisseurs, des clients et des parties intéressées pertinents;
h) il existe une documentation supplémentaire qu’il est nécessaire de revoir et/ou des informations
qu’il est nécessaire d’acquérir au préalable.
9.3.3 Lorsqu’une organisation a mis en œuvre des éléments d’un SMSDA développés en externe,
l’étape 1 doit passer en revue la documentation incluse dans le SMSDA afin de déterminer si la
combinaison de mesures de maîtrise:
— convient à l’organisation;
— a été élaborée conformément aux exigences de l’ISO 22000 ou à d’autres ensembles d’exigences
spécifiées en matière de SMSDA;
— est tenue à jour.
9.3.4 Il doit être vérifié que les autorisations pertinentes sont disponibles lors de la collecte des
informations concernant la conformité aux aspects réglementaires.
9.3.5 Pour le SMSDA, l’étape 1 doit être menée dans les locaux du client afin d’atteindre les objectifs
cités ci-dessus. En cas de circonstances ou d’événements exceptionnels qui doivent être entièrement
justifiés, tout ou partie de l’étape 1 peut être réalisée en dehors du site ou à distance en faisant appel
aux TIC. Les preuves démontrant que les objectifs de l’étape 1 sont entièrement atteints doivent être
fournies.
NOTE 1 Des circonstances ou des événements exceptionnels peuvent inclure un emplacement très éloigné,
une catastrophe naturelle, une pandémie, une courte production saisonnière et d’autres situations particulières.
NOTE 2 Il n’est pas toujours nécessaire d’auditer de nouveau toute partie du SMSDA, auditée au cours de l’audit
d’étape 1 et considérée comme étant entièrement mise en œuvre, efficace et conforme aux exigences, au cours
de l’étape 2. Dans ce cas, le rapport d’audit inclut ces constats et indique clairement que la conformité a été établie
au cours de l’audit de l’étape 1.
9.3.6 L’intervalle entre l’étape 1 et l’étape 2 ne doit pas dépasser six mois. L’étape 1 doit être répétée
si un intervalle plus long est requis.
9.3.7 L’ISO/IEC 17021-1:2015, 9.3.1.3 et 9.3.1.4, doit être respectée.
9.4 Réalisation des audits
L’ISO/IEC 17021-1:2015, 9.4, doit être respectée.
9.5 Décision de certification
L’ISO/IEC 17021-1:2015, 9.5, doit être respectée.
9.6 Maintien de la certification
9.6.1 L’ISO/IEC 17021-1:2015, 9.6, doit être respectée.
9.6.2 Lorsque l’organisme de certification effectue des audits inopinés dans le cadre des activités
de surveillance, il doit décrire et porter préalablement à la connaissance des clients certifiés les
conditions dans lesquelles ces audits seront organisés et menés.
9.7 Appels
L’ISO/IEC 17021-1:2015, 9.7, doit être respectée.
9.8 Plaintes
L’ISO/IEC 17021-1:2015, 9.8, doit être respectée.
9.9 Enregistrements relatifs au client
L’ISO/IEC 17021-1:2015, 9.9, doit être respectée.
10 Exigences relatives au système de management des organismes
de certification
L’ISO/IEC 17021-1:2015, Article 10, doit être respectée.
Annexe A
(normative)
Classification des catégories de la chaîne alimentaire
L’organisme de certification doit se servir du Tableau A.1 pour:
a) définir la sous-catégorie (ou la catégorie en l’absence de sous-catégorie) dans laquelle il souhaite
œuvrer;
b) identifier les sous-catégories (ou la catégorie en l’absence de sous-catégorie) par rapport auxquelles
le domaine d’application du client est audité ou certifié;
c) évaluer les compétences de l’auditeur et de l’équipe d’audit présentées à l’Annexe C dans une sous-
catégorie particulière du Tableau A.1;
d) définir la durée de l’audit conformément à l’Annexe B;
e) identifier les PRP appropriés, le cas échéant.
Le domaine d’application d’une organisation cliente spécifique peut couvrir plusieurs sous-catégories
ou catégories.
NOTE Activités pertinentes dans la catégorie H «services»: les opérateurs appartenant à la chaîne
alimentaire peuvent fournir ou faire appel à de nombreux types de services différents. Certains de ces services
peuvent se trouver en dehors du périmètre d’une certification incluant le SMSDA. Si l’organisation/service est
susceptible d’introduire un danger lié à la sécurité des denrées alimentaires au sein de la chaîne alimentaire, le
prestataire de services, ainsi que son ou ses opérateurs peuvent être pris en compte dans le périmètre.
Lorsque le propriétaire d’un programme a établi ses propres règles de détermination des catégories/
sous-catégories, le résultat des règles du programme doit s’appliquer à condition que les règles du
programme ne soient pas inférieures à celles exigées dans la présente annexe comme base commune.
Tableau A.1 — Catégories de la chaîne alimentaire
a
Groupe Catégorie Sous-catégorie Exemples d’activités incluses
Élevage d’animaux (autres que les poissons
et l’aquaculture) utilisés pour la production
de viande, la production d’œufs,
Productions
Productions la production laitière ou l’apiculture.
Production animales ou
A AI animales: viande,
primaire manipulation Élevage, garde, piégeage et chasse
lait, œufs, miel
d’animaux (abattage sur le point de chasse).
Emballage temporaire associé
sans modification ni traitement du produit.
Élevage de poissons et de fruits de mer
utilisés pour la production de viande.
Élevage
de poissons Élevage, piégeage et pêche
AII
et de fruits (abattage au point de capture).
de mer
Emballage temporaire associé
sans modification ni traitement du produit.
a
Les groupes peuvent être utilisés pour le périmètre d’accréditation des organismes de certification et pour les
organismes d’accréditation chargés d’observer les organismes de certification.
NOTE  «Périssable» peut être considéré comme des denrées alimentaires pouvant s’abîmer en raison de leur type ou de leur
état et devant être conservées dans un environnement à température contrôlée.
Tableau A.1 (suite)
a
Groupe Catégorie Sous-catégorie Exemples d’activités incluses
Culture ou récolte de plantes (autres que les
céréales et les oléagineux et protéagineux):
Productions
produits horticoles (fruits, légumes, épices,
végétales –
champignons, etc.) et hydrophytes pour les
manipulation de
denrées alimentaires.
BI plantes (autres
Stockage à la ferme de plantes (autres que
que les céréales,
les céréales et les oléagineux et protéagi-
oléagineux
neux), y compris les produits horticoles et
et protéagineux)
les hydrophytes pour les denrées
alimentaires.
Culture et récolte de céréales et d’oléagi-
Productions
neux et de protéagineux pour les denrées
Productions végétales –
alimentaires. Manipulation de céréales,
végétales ou manipulation
d’oléagineux et de protéagineux.
B BII
manipulation de de céréales,
Stockage à la ferme de céréale, d’oléagineux
plantes d’oléagineux et de
et de protéagineux pour les denrées
protéagineux
alimentaires.
Activit
...

NORMA ISO
INTERNACIONAL 22003-1
Traducción oficial
Primera edición
2022-06
Official translation
Traduction officielle
Inocuidad de los alimentos —
Parte 1:
Requisitos para los organismos que
realizan la auditoría y la certificación
de sistemas de gestión de la inocuidad
de los alimentos
Food safety —
Part 1: Requirements for bodies providing audit and certification of
food safety management systems
Sécurité des denrées alimentaires —
Partie 1: Exigences pour les organismes procédant à l'audit et à la
certification de systèmes de management de la sécurité des denrées
alimentaires
Publicado por la Secretaría Central de ISO en Ginebra, Suiza,
como traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en relación
con las versiones inglesa y francesa.
Número de referencia
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2022
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de
esta publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado, o la publicación en
Internet o una Intranet, sin la autorización previa por escrito. La autorización puede solicitarse a ISO en la siguiente dirección o al
organismo miembro de ISO en el país solicitante.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Publicado en Suiza
Version espanola publicada en 2024
Traducción oficial/Official translation/Traduction officielle
ii
Índice Página
Prólogo .iv
Prólogo de la versión en español.v
Introducción . vi
1 Objeto y campo de aplicación . 1
2 Referencias normativas . 1
3 Términos y definiciones .2
4 Principios . 2
5 Requisitos generales . 2
6 Requisitos relativos a la estructura . 2
7 Requisitos relativos a los recursos .3
7.1 Competencia del personal . 3
7.1.1 Consideraciones generales . 3
7.1.2 Determinación de los criterios de competencia . 3
7.1.3 Procesos de evaluación . 3
7.1.4 Otras consideraciones . 3
7.2 Personal involucrado en las actividades de certificación. 3
7.3 Empleo de auditores externos y expertos técnicos externos individuales . 3
7.4 Registros relativos al personal . 4
7.5 Contratación externa . 4
8 Requisitos relativos a la información . 4
9 Requisitos relativos a los procesos .4
9.1 Actividades previas a la certificación . 4
9.1.1 Solicitud . 4
9.1.2 Revisión de la solicitud . 4
9.1.3 Programa de auditoría . 5
9.1.4 Determinación del tiempo de auditoría . 5
9.1.5 Muestreo multisitio . 5
9.1.6 Sistemas de gestión múltiples . 7
9.2 Planificación de auditorías . 7
9.3 Certificación inicial. 8
9.4 Realización de auditorías . 9
9.5 Decisión de certificación . 9
9.6 Mantenimiento de la certificación . 9
9.7 Apelaciones . 9
9.8 Quejas . 9
9.9 Registros relativos a los clientes . 9
10 Requisitos relativos al sistema de gestión de los organismos de certificación .9
Annexo A (normativo) Clasificación de las categorías de la cadena alimentaria .10
Annexo B (normativo) Duración mínima de la auditoría .15
Annexo C (normativo) Conocimientos y habilidades necesarios del sistema de gestión de la
inocuidad de los alimentos para determinar la competencia .19
Annexo D (informativo) Orientación sobre las funciones de certificación genéricas .25
Bibliografía.29
Traducción oficial/Official translation/Traduction officielle
iii
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos
nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas
Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho
de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no
gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente
con la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/
IEC (véase www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno
o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante
el desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos
de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información
acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a
los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité Técnico ISO/TC 34, Productos alimenticios, Subcomité
SC 17, Sistemas de gestión de la inocuidad de los alimentos, en colaboración con el Comité ISO sobre
evaluación de la conformidad (CASCO).
Esta primera edición anula y sustituye a la Especificación Técnica ISO/TS 22003:2013 que ha sido
revisada técnicamente.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de
estos organismos.
Traducción oficial/Official translation/Traduction officielle
iv
Prólogo de la versión en español
Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del
Comité Técnico ISO/TC 34, Productos alimenticios, Subcomité SC 17, Sistemas de gestión de la inocuidad
de los alimentos, en el que participan representantes de los organismos nacionales de normalización y
otras partes interesadas, para lograr la unificación de la terminología en lengua española en el ámbito
de la gestión de la inocuidad de los alimentos.
Este documento ha sido validado por el ISO/TMBG/Spanish Translation Management Group (STMG)
conformado por los siguientes países: Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador,
El Salvador, España, Guatemala, Honduras, República Dominicana, México, Panamá, Paraguay, Perú y
Uruguay.
Traducción oficial/Official translation/Traduction officielle
v
Introducción
La certificación del sistema de gestión de la inocuidad de los alimentos (SGIA) de una organización
es un medio para asegurar que la organización ha implementado un sistema para la gestión de la
inocuidad de los alimentos de acuerdo con su política y los principios de inocuidad de los alimentos
internacionalmente aceptados.
Los requisitos para un SGIA pueden originarse a partir de varias fuentes. Este documento ha sido
desarrollado como apoyo en la certificación de SGIA que cumplen con los requisitos de la Norma
ISO 22000. El contenido de este documento también se puede utilizar para respaldar la certificación de
SGIA con base en otro conjunto de requisitos de SGIA especificados.
Este documento está destinado para su uso, en combinación con la Norma ISO/IEC 17021-1:2015, por
organismos que realizan auditoría y certificación de SGIA. Proporciona requisitos genéricos para dichos
organismos, a los que se hace referencia como "organismos de certificación". Esta redacción no pretende
ser un obstáculo para el uso de este documento por parte de organismos con otras designaciones que
realicen actividades comprendidas por el alcance de este documento. Este documento está destinado a
ser utilizado por cualquier persona involucrada en la evaluación de SGIA.
Las actividades de certificación implican la auditoría del SGIA de una organización. La forma de
declaración de conformidad del SGIA de una organización con una norma específica de SGIA (por
ejemplo, la Norma ISO 22000) u otros requisitos especificados es normalmente un documento de
certificación o un certificado.
Corresponde a la organización que desea ser certificada, desarrollar sus propios sistemas de gestión
y, excepto cuando los requisitos legislativos pertinentes especifiquen lo contrario, corresponde a la
organización decidir cómo se organizarán los diversos componentes de estos. El grado de integración
entre los diversos componentes del sistema de gestión varía de una organización a otra. Por lo tanto,
es apropiado que los organismos de certificación que operan de acuerdo con este documento tengan
en cuenta la cultura y las prácticas de sus clientes con respecto a la integración de su SGIA dentro de la
organización en general.
Este documento fue desarrollado en conjunto con la Norma ISO 22003-2, que se utiliza en combinación
con la Norma ISO/IEC 17065.
En este documento, se utilizan las siguientes formas verbales:
— “debe” indica un requisito;
— “debería” indica una recomendación;
— “puede” indica un permiso, una posibilidad o una capacidad.
Traducción oficial/Official translation/Traduction officielle
vi
NORMA INTERNACIONAL ISO 22003-1:2022 (traducción oficial)
Inocuidad de los alimentos —
Parte 1:
Requisitos para los organismos que realizan la auditoría y
la certificación de sistemas de gestión de la inocuidad de
los alimentos
1 Objeto y campo de aplicación
Este documento especifica los requisitos para la auditoría y la certificación de un sistema de gestión de
inocuidad de los alimentos (SGIA) que cumple con los requisitos establecidos en la Norma ISO 22000 (u
otros requisitos de SGIA especificados). También proporciona la información necesaria y la confianza a
los clientes sobre la forma en que se ha otorgado la certificación de sus proveedores.
La certificación del SGIA es una actividad de evaluación de la conformidad de tercera parte (como se
describe en la Norma ISO/IEC 17000:2020, apartado 4.3), y los organismos que realizan esta actividad
son organismos de evaluación de la conformidad de tercera parte.
NOTA 1 En este documento, los términos "producto" y "servicio" se utilizan por separado (en contraste con la
definición de "producto" dada en la Norma ISO/IEC 17000).
NOTA 2 Este documento se puede utilizar como un documento de criterios para la acreditación o para la
evaluación de pares de los organismos de certificación, que buscan ser reconocidos como competentes para
certificar que un SGIA cumple con la Norma ISO 22000 u otros conjuntos de requisitos de SGIA especificados.
También está destinado a ser utilizado como un documento de criterios para las autoridades reglamentarias y
los consorcios de la industria que participan en el reconocimiento directo de los organismos de certificación
para certificar que un SGIA cumple con la Norma ISO 22000. Algunos de sus requisitos también pueden ser útiles
para otras partes involucradas en la evaluación de la conformidad de dichos organismos de certificación, y en la
evaluación de la conformidad de los organismos que se comprometen a certificar el cumplimiento del SGIA con
los criterios adicionales o distintos a los de la Norma ISO 22000.
La certificación del SGIA no atesta la inocuidad o aptitud de los productos de una organización dentro
de la cadena alimentaria. Sin embargo, un SGIA requiere que una organización cumpla con todos los
requisitos legales y reglamentarios aplicables, relacionados con la inocuidad de los alimentos a través
de su sistema de gestión.
NOTA 3 La certificación de un SGIA según la Norma ISO 22000 es una certificación de sistema de gestión, no
una certificación de producto.
Otros usuarios del SGIA pueden usar los conceptos y los requisitos de este documento siempre que los
requisitos se adapten según sea necesario.
2 Referencias normativas
En el texto se hace referencia a los siguientes documentos de manera que parte o la totalidad de su
contenido constituyen requisitos de este documento. Para las referencias con fecha, solo se aplica la
edición citada. Para las referencias sin fecha se aplica la última edición (incluida cualquier modificación
de esta).
ISO/IEC 17000, Evaluación de la conformidad — Vocabulario y principios generales
ISO/IEC 17021-1:2015, Evaluación de la conformidad — Requisitos para los organismos que realizan la
auditoría y la certificación de sistemas de gestión — Parte 1: Requisitos
Traducción oficial/Official translation/Traduction officielle
ISO 22000, Sistemas de gestión de la inocuidad de los alimentos — Requisitos para cualquier organización
en la cadena alimentaria
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones dados en las Normas
ISO/IEC 17000, ISO/IEC 17021-1, ISO 22000 y los siguientes.
Para utilizar en normalización, ISO e IEC mantienen bases de datos terminológicas en las direcciones
siguientes:
— Plataforma de búsqueda en línea de ISO: disponible en https:// www .iso .org/ obp
— Electropedia de IEC: disponible en https:// www .electropedia .org/
3.1
sistema de gestión de la inocuidad de los alimentos
SGIA
conjunto de elementos interrelacionados o que interactúan de una organización para establecer
políticas y objetivos, y procesos para lograr los objetivos del sistema de gestión de la inocuidad de los
alimentos
Nota 1 a la entrada: En este documento, “sistema de gestión de la inocuidad de los alimentos” reemplaza el
término “sistema de gestión” utilizado en la Norma ISO/IEC 17021-1.
3.2
estudio de análisis de peligros y puntos críticos de control
estudio HACCP (por sus siglas en inglés)
análisis de peligros para una familia de productos/procesos/servicios, con peligros similares y,
procesos y tecnología similares (por ejemplo, producción, embalaje, almacenamiento o implementación
de servicios)
Nota 1 a la entrada: Nota a la versión en español: Algunos países utilizan el acrónimo APPCC (Análisis de Peligros
y Puntos Críticos de Control) en lugar del acrónimo inglés HACCP (Hazard Analysis and Critical Control Point).
4 Principios
Los principios de la Norma ISO/IEC 17021-1:2015, Capítulo 4, son la base para el desempeño específico
posterior y los requisitos descriptivos de este documento. Este documento no establece requisitos
específicos para abordar todas las cuestiones relacionadas con el proceso de auditoría y certificación.
Estos principios se deberían aplicar como guía para las decisiones que a veces se necesitan tomar ante
situaciones imprevistas. Los principios no son requisitos.
5 Requisitos generales
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, Capítulo 5.
6 Requisitos relativos a la estructura
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, Capítulo 6.
Traducción oficial/Official translation/Traduction officielle
7 Requisitos relativos a los recursos
7.1 Competencia del personal
7.1.1 Consideraciones generales
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.1.1.
En el Anexo C se establecen las funciones de certificación para las que se debe identificar competencia.
7.1.2 Determinación de los criterios de competencia
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.1.2.
Las áreas técnicas se deben definir utilizando el Anexo A.
Se deben aplicar los criterios de competencia, que especifican los conocimientos y habilidades
requeridos en el Anexo C.
NOTA 1 El Anexo D proporciona orientación al organismo de certificación sobre muchas de las funciones
de certificación genéricas identificadas en la Norma ISO/IEC 17021-1:2015, Anexo A, para el cual necesitan ser
determinados los criterios de competencia del personal involucrado en la auditoría y certificación de un SGIA.
NOTA 2 Las calificaciones y la experiencia pueden utilizarse como parte de los criterios; sin embargo, la
competencia no se basa solo en esto, ya que es importante asegurar que una persona pueda demostrar la
capacidad de aplicar los conocimientos y habilidades específicos que se esperaría que tenga una persona después
de completar una calificación o tener cierta cantidad de experiencia en la industria.
7.1.3 Procesos de evaluación
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.1.3.
El organismo de certificación debe valorar, en particular, el conocimiento de la persona en relación con
la inocuidad de los alimentos, incluido el conocimiento de los programas de prerrequisitos específicos
(PPR), los peligros para la inocuidad de los alimentos y las medidas de control relacionadas con las
categorías dentro de las cuales opera el personal del organismo de certificación. Estos se deben haber
identificado para estas categorías bajo los requisitos del apartado 7.1.2.
Los evaluadores deben tener conocimiento de (uno o más) métodos de evaluación (véase la Norma
ISO/IEC 17021-1:2015, Anexo B) y deben demostrar la capacidad para aplicarlos.
NOTA La Norma ISO/IEC 17021-1:2015, apartado 7.1.3, exige que el organismo de certificación demuestre
la eficacia de los métodos de evaluación utilizados para valorar al personal frente a los criterios de competencia
identificados.
7.1.4 Otras consideraciones
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.1.4.
7.2 Personal involucrado en las actividades de certificación
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.2.
7.3 Empleo de auditores externos y expertos técnicos externos individuales
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.3.
Traducción oficial/Official translation/Traduction officielle
7.4 Registros relativos al personal
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.4.
7.5 Contratación externa
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 7.5.
8 Requisitos relativos a la información
8.1 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, Capítulo 8, excepto como se
modifica en los apartados 8.2, 8.3 y 8.4.
8.2 Los documentos de certificación deben identificar en detalle las categorías y subcategorías de la
Tabla A.1 a las que se aplica el SGIA.
8.3 Un organismo de certificación no debe autorizar el uso de la marca de certificación de SGIA en
el producto ni en el embalaje del producto. En el contexto de este documento, el embalaje del producto
mencionado en la Norma ISO/IEC 17021-1:2015, apartado 8.3, debe comprender todo el embalaje del
producto, tanto el envase primario (que contiene el producto) como todo embalaje externo o secundario.
8.4 Un organismo de certificación no debe permitir el uso de ninguna declaración en el embalaje del
producto que indique que el cliente tiene un SGIA certificado. Esto incluye todo el embalaje del producto,
tanto el envase primario (que contiene el producto) como todo embalaje exterior o secundario.
9 Requisitos relativos a los procesos
9.1 Actividades previas a la certificación
9.1.1 Solicitud
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.1.1.
El organismo de certificación debe requerir a la organización solicitante que proporcione la información
relativa a los productos y procesos pertinentes para la determinación de la duración de la auditoría,
según los Anexos A y B.
9.1.2 Revisión de la solicitud
9.1.2.1 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.1.2.
9.1.2.2 El organismo de certificación debe utilizar el Anexo A para definir el alcance pertinente para
la organización que solicita la certificación. La declaración de alcance debe:
— identificar las categorías o subcategorías en el alcance de la certificación para cada sitio o sitios;
— describir brevemente los principales tipos de actividades/procesos para los productos y/o servicios
que son auditados por el organismo de certificación.
9.1.2.3 El alcance de la certificación definido no debe:
— ser engañoso;
— excluir actividades, procesos, productos o servicios del alcance de la certificación cuando esas
actividades, procesos, productos o servicios puedan tener una influencia en la inocuidad de los
Traducción oficial/Official translation/Traduction officielle
alimentos de los productos finales según lo definido por la responsabilidad legal de las actividades
de las organizaciones;
— incluir cualquier afirmación, marca o declaración promocional.
9.1.3 Programa de auditoría
9.1.3.1 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.1.3.
9.1.3.2 Además, el organismo de certificación debe tener un proceso para elegir el momento y
la temporada de la auditoría, de modo que el equipo auditor tenga la oportunidad de auditar a la
organización operando en un número representativo de líneas de productos y/o servicios abarcados
por el alcance de la certificación.
9.1.4 Determinación del tiempo de auditoría
9.1.4.1 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.1.4.
9.1.4.2 El organismo de certificación debe contar con procedimientos documentados para determinar
el tiempo de la auditoría, y para cada cliente, el organismo de certificación debe determinar el tiempo
necesario para planificar y lograr una auditoría completa y efectiva del SGIA del cliente. Para determinar
la duración de la auditoría, el organismo de certificación debe utilizar la metodología descrita en el
Anexo B. Se deben registrar el tiempo de auditoría determinado por el organismo de certificación y su
justificación, incluida la justificación de cualquier reducción o adición.
9.1.4.3 Al determinar y documentar el tiempo de auditoría necesario, el organismo de certificación
debe determinar:
a) el tiempo de preparación de la auditoría;
b) la duración mínima para auditar cada sitio, ya sea auditoría in situ o remota, como se especifica en
los Capítulos B.1, B.2 y B.3 y la Tabla B.1;
c) el tiempo para informar y, cuando corresponda, realizar actividades posteriores a la auditoría;
d) cuando sean necesarias reuniones adicionales (por ejemplo, reuniones de revisión, coordinación,
instrucción del equipo auditor), se puede requerir un aumento en el tiempo de auditoría;
e) cuando corresponda y se acuerde, el tiempo necesario para asegurar auditorías remotas efectivas o
la utilización de las tecnologías de la información y la comunicación (TIC).
9.1.5 Muestreo multisitio
9.1.5.1 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.1.5.
NOTA Este apartado 9.1.5 está destinado a aplicarse solo a operaciones en las que se realizan actividades
que están presentes en la declaración del alcance.
9.1.5.2 Una organización multisitio, es una organización que tiene una casa matriz identificada en
la que se planifican, controlan o gestionan determinadas actividades del SGIA, y una red de sitios en
los que dichas actividades se llevan a cabo total o parcialmente. Ejemplos de posibles organizaciones
multisitio son:
— las organizaciones que operan con franquicias;
— los grupos de productores (para las categorías A y B);
— una empresa de fabricación con uno o más sitios de producción y una red de oficinas de ventas;
Traducción oficial/Official translation/Traduction officielle
— las organizaciones de servicios con múltiples sitios que ofrecen un servicio similar;
— las organizaciones con múltiples sucursales.
El muestreo de organizaciones multisitio debe abarcar todas las actividades (véanse los criterios
establecidos en 9.1.5.3).
9.1.5.3 El organismo de certificación debe demostrar que el muestreo de sitios no compromete la
eficacia de la auditoría. Cuando se lleva a cabo un muestreo multisitio, el organismo de certificación
debe justificar y documentar la justificación con base en las siguientes condiciones:
a) los sitios están operando bajo un SGIA controlado y administrado centralmente;
b) los sitios sujetos al muestreo son similares (subcategoría de la cadena alimentaria, ubicación
geográfica, procesos y tecnologías, tamaño y complejidad, requisitos reglamentarios y legales,
requisitos de los clientes, peligros para la inocuidad de los alimentos y medidas de control);
c) la casa matriz es parte de la organización, claramente identificada y no contratada a una
organización externa;
d) todos los sitios tienen un vínculo legal o contractual con la casa matriz;
e) la casa matriz tiene autoridad organizacional para definir, establecer y mantener el SGIA;
f) todos los sitios están sujetos al programa de auditoría interno de la organización y han sido
auditados;
g) los hallazgos de auditoría en un sitio se consideran indicativos de todo el SGIA y se implementan
acciones correctivas en consecuencia;
h) la casa matriz es responsable de asegurar que se recopilen y analicen los resultados de la evaluación
del desempeño y las quejas de los clientes de todos los sitios;
i) el SGIA de la organización está sujeto a revisión por la dirección central;
j) la casa matriz tiene autoridad para iniciar la mejora continua del SGIA.
NOTA La casa matriz es donde el control operativo y la autoridad de la alta dirección de la organización
se ejerce sobre cada sitio. No hay ningún requisito para que la casa matriz esté ubicada en un solo sitio.
9.1.5.4 Se permite el uso de muestreo multisitio para las categorías A y B. El muestreo se puede
aplicar a organizaciones multisitio, siendo el tamaño mínimo de la muestra la raíz cuadrada del número
total de sitios: √(x), redondeando al número entero siguiente. La muestra de la raíz cuadrada se debe
tomar por categoría de riesgo basado en la complejidad de la producción de los sitios (por ejemplo,
producción de plantas en campo abierto, producción de plantas perennes, producción en interiores,
producción ganadera en campos abiertos, producción ganadera en interiores).
Se permite el uso de muestreo multisitio para las categorías F y G, y solo para instalaciones de tipo
recalentamiento para la categoría E (por ejemplo, servicios de alimentos para eventos, cafeterías,
pubs) y solo para instalaciones con preparación o cocción limitadas (por ejemplo, recalentar, freír)
(véase la Tabla A.1). Para organizaciones con 20 sitios o menos, todos los sitios se deben auditar. Para
organizaciones con más de 20 sitios, el número mínimo de sitios a muestrear debe ser 20 más la raíz
cuadrada del número total de otros sitios: y = 20 + √ (x – 20), redondeando al número entero siguiente.
Esto se aplica a las auditorías de certificación inicial, seguimiento y renovación de la certificación.
El uso de muestreo multisitio no está permitido para ninguna otra categoría identificada en el Anexo A.
9.1.5.5 Cuando se permita el muestreo multisitio, el organismo de certificación debe asegurar (por
ejemplo, a través de acuerdos contractuales) que la organización haya realizado una auditoría interna
para cada sitio dentro del año anterior a la certificación y, cuando corresponda, la eficacia de las
acciones correctivas debe estar disponible. Después de la certificación, la auditoría interna anual debe
Traducción oficial/Official translation/Traduction officielle
abarcar todos los sitios de la organización incluidos en el alcance de la certificación de la organización
multisitio y se debe demostrar la eficacia continua de las acciones correctivas.
9.1.5.6 Cuando se permita el muestreo multisitio, el organismo de certificación debe definir y
utilizar un programa de muestreo para asegurar una auditoría efectiva del SGIA cuando se apliquen las
condiciones siguientes.
a) Como mínimo una vez al año, el organismo de certificación debe realizar una auditoría de la casa
matriz del SGIA antes de las auditorías del sitio muestreado.
b) Como mínimo una vez al año, el organismo de certificación debe realizar auditorías en el número
de sitios muestreados requerido.
c) Los hallazgos de la auditoría de los sitios muestreados se deben evaluar para averiguar si indican
una deficiencia global del SGIA y, por lo tanto, se pueden aplicar a algunos o a todos los demás sitios.
d) Cuando los hallazgos de la auditoría de los sitios muestreados se consideren indicativos de todo el
SGIA, se deben implementar las acciones correctivas correspondientes.
e) Para organizaciones con 20 sitios o menos, todos los sitios se deben auditar.
El organismo de certificación debe aumentar el tamaño de la muestra o finalizar el muestreo del sitio
cuando el SGIA sujeto a certificación no indique la capacidad de lograr los resultados previstos.
9.1.5.7 La muestra debe ser en parte selectiva y en parte aleatoria, y debe resultar en la selección de
un rango representativo de diferentes sitios, asegurando que todos los procesos comprendidos por el
alcance de la certificación van a ser auditados.
Como mínimo el 25 % de la muestra se debe seleccionar al azar. El resto se debe seleccionar de modo
que las diferencias entre los sitios seleccionados durante el período de validez de la certificación sean lo
más grandes posible.
La selección del sitio se debe considerar, entre otros, los aspectos siguientes:
a) los resultados de auditorías internas, las revisiones por la dirección o las auditorías anteriores;
b) los registros de quejas, retiradas/recuperación de productos y otros aspectos pertinentes de la
acción correctiva;
c) las variaciones en las características del sitio;
d) otros cambios pertinentes desde la última auditoría.
9.1.5.8 Si algún sitio tiene una no conformidad mayor y no se han implementado acciones correctivas
satisfactorias en el plazo acordado, no se debe otorgar ni se debe mantener la certificación para toda la
organización multisitio hasta que se tomen medidas correctivas satisfactorias.
9.1.5.9 El organismo de certificación debe identificar e incluir en el alcance de la certificación los
procesos del SGIA implementados en cada sitio muestreado.
9.1.6 Sistemas de gestión múltiples
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.1.6.
9.2 Planificación de auditorías
Se debe seguir la Norma ISO/IEC 17021-1:2015, 9.2.
Traducción oficial/Official translation/Traduction officielle
9.3 Certificación inicial
9.3.1 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.3.
9.3.2 Los objetivos de la etapa 1 son proporcionar un enfoque para la planificación de la auditoría de
la etapa 2 inicial mediante la comprensión del SGIA de la organización y el estado de preparación de la
organización para la etapa 2 revisando hasta qué punto:
a) la organización ha identificado los PPR que son apropiados para el negocio (por ejemplo, requisitos
reglamentarios, legales, del cliente y del esquema de certificación);
b) el SGIA incluye procesos y métodos adecuados para la identificación y evaluación de los peligros
para la inocuidad de los alimentos de la organización, y la subsiguiente selección y categorización
de las medidas de control (combinaciones);
c) el SGIA incluye procesos y métodos adecuados para la identificación e implementación de la
legislación pertinente a la inocuidad de los alimentos;
d) el SGIA está diseñado para lograr la política de inocuidad de los alimentos de la organización;
e) el programa de implementación del SGIA justifica proceder a la etapa 2;
f) la validación de medidas de control, verificación de actividades y programas de mejora cumplen los
requisitos del estándar del SGIA;
g) los documentos y las disposiciones del SGIA están establecidas para comunicarse internamente y
con proveedores, los clientes y las partes interesadas pertinentes;
h) existe documentación adicional que se debe revisar y/o información que se debe obtener con
anticipación.
9.3.3 Cuando una organización ha implementado elementos desarrollados externamente de un SGIA,
la etapa 1 debe revisar la documentación incluida en el SGIA para determinar si la combinación de
medidas de control:
— es adecuada para la organización;
— fue desarrollada de conformidad con los requisitos de la Norma ISO 22000 u otros conjuntos de
requisitos del SGIA especificados;
— se mantiene actualizada.
9.3.4 La disponibilidad de las autorizaciones pertinentes se debe verificar al recopilar la información
sobre el cumplimiento de los aspectos reglamentarios.
9.3.5 La etapa 1 se debe llevar a cabo en las instalaciones del cliente para lograr los objetivos
establecidos anteriormente para el SGIA. En circunstancias o eventos excepcionales, toda o parte de
la etapa 1 puede tener lugar fuera del sitio o remota mediante el uso de TIC y debe estar plenamente
justificada. Se deben proporcionar las evidencias que demuestren que los objetivos de la etapa 1 se
alcanzan plenamente.
NOTA 1 Las circunstancias o eventos excepcionales pueden incluir una ubicación muy remota, un desastre
natural, una pandemia, una producción estacional corta y otras situaciones especiales.
NOTA 2 Cualquier parte del SGIA que se audite durante la auditoría de la etapa 1, y que se determine que
está completamente implementado, que es efectivo y que cumple con los requisitos, no necesariamente necesita
volver a auditarse durante la etapa 2. En este caso, el informe de auditoría incluye estos hallazgos y establece
claramente que se ha establecido la conformidad durante la etapa 1 de la auditoría.
Traducción oficial/Official translation/Traduction officielle
9.3.6 El intervalo entre la etapa 1 y la etapa 2 no debe ser mayor que seis meses. La etapa 1 se debe
repetir si se necesita un intervalo más largo.
9.3.7 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartados 9.3.1.3 y 9.3.1.4.
9.4 Realización de auditorías
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.4.
9.5 Decisión de certificación
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.5.
9.6 Mantenimiento de la certificación
9.6.1 Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.6.
9.6.2 Cuando el organismo de certificación realice auditorías no anunciadas como parte de las
actividades de seguimiento, el organismo de certificación debe describir y dar a conocer con anticipación
a los clientes certificados las condiciones bajo las cuales se deben organizar y realizar dichas auditorías.
9.7 Apelaciones
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.7.
9.8 Quejas
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.8.
9.9 Registros relativos a los clientes
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, apartado 9.9.
10 Requisitos relativos al sistema de gestión de los organismos de certificación
Se deben seguir los requisitos de la Norma ISO/IEC 17021-1:2015, Capítulo 10.
Traducción oficial/Official translation/Traduction officielle
Annexo A
(normativo)
Clasificación de las categorías de la cadena alimentaria
El organismo de certificación debe utilizar la Tabla A.1 para los propósitos siguientes:
a) definir la subcategoría (o categoría si no hay subcategoría) dentro de la cual desea operar;
b) identificar las subcategorías (o categoría si no hay subcategoría) para las cuales se audita o certifica
el alcance del cliente;
c) evaluar la competencia del auditor y del equipo auditor que figura en el Anexo C dentro de una
subcategoría particular de la Tabla A1;
d) definir la duración de la auditoría de acuerdo con el Anexo B;
e) identificar los PPR apropiados, si corresponde.
El alcance de una organización cliente específica puede cubrir más de una subcategoría o categoría.
NOTA Actividades pertinentes dentro de la categoría H “servicios”: para los operadores de la cadena
alimentaria, hay muchos tipos diferentes de servicios que se pueden proporcionar o solicitar. Algunos de estos
servicios pueden quedar fuera del alcance de una certificación que incluye SGIA. Si la organización/servicio
es susceptible de introducir un peligro para la inocuidad de los alimentos dentro de la cadena alimentaria, el
proveedor del servicio y sus operadores pueden considerarse dentro del alcance.
Cuando el propietario de un esquema haya establecido sus propios criterios para la determinación de
categorías/subcategorías, se debe aplicar el resultado del criterio del esquema siempre que el criterio
del esquema sea mayor que lo requerido en este anexo como base común.
Tabla A.1 — Categorías de la cadena alimentaria
a
Grupo Categoría Subcategoría Ejemplos de actividades incluidas
Cría de animales (distintos de la
p
...