ISO 22003-2:2022

NORME ISO
INTERNATIONALE 22003-2
Première édition
2022-06
Sécurité des denrées alimentaires —
Partie 2:
Exigences pour les organismes
procédant à l’évaluation et à la
certification de produits, de procédés
et de services, incluant un audit du
système de sécurité des denrées
alimentaires
Food safety —
Part 2: Requirements for bodies providing evaluation and
certification of products, processes and services, including an audit of
the food safety system
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 2
4 Exigences générales . .4
4.1 Domaine juridique et contractuel . 4
4.2 Gestion de l’impartialité . 4
4.3 Responsabilité et financement . 4
4.4 Conditions non discriminatoires . 4
4.5 Confidentialité . 4
4.6 Informations accessibles au public . 5
5 Exigences structurelles . 5
5.1 Organisation et direction . 5
5.2 Dispositif de préservation de l’impartialité . 5
6 Exigences relatives aux ressources . 5
6.1 Personnel de l’organisme de certification . 5
6.1.1 Généralités . 5
6.1.2 Gestion des compétences du personnel engagé dans le processus de
certification. 5
6.1.3 Contrat conclu avec le personnel . 5
6.2 Ressources pour l’audit . 6
6.2.1 Ressources internes . 6
6.2.2 Ressources externes (externalisation) . 6
7 Exigences relatives aux processus .6
7.1 Généralités . 6
7.2 Demande . 6
7.3 Revue de la demande . 6
7.4 Évaluation . 7
7.4.1 Activités préalables à l’audit . 7
7.4.2 Planification des audits . 10
7.4.3 Réalisation des audits .13
7.4.4 Acceptation des résultats externes . 17
7.4.5 Rapport d’audit . 17
7.4.6 Non-conformités . 18
7.4.7 Résolution des non-conformités . 18
7.5 Revue . 19
7.6 Décision de certification . 19
7.7 Documents de certification . 19
7.8 Annuaire des produits certifiés . 19
7.9 Surveillance . 19
7.10 Changements ayant des conséquences sur la certification. 19
7.11 Résiliation, réduction, suspension ou retrait de la certification . . 19
7.12 Enregistrements . 19
7.13 Plaintes et appels . 19
7.14 Audits particuliers . 20
8 Exigences du système de management .20
Annexe A (normative) Classification des catégories de la chaîne alimentaire .21
Annexe B (normative) Durée minimale d’audit .25
Annexe C (normative) Connaissances et savoir-faire requis pour déterminer la compétence .29
iii
Bibliographie .34
iv
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 34, Produits alimentaires, sous-
comité SC 17, Systèmes de management pour la sécurité des denrées alimentaires, en collaboration avec le
Comité ISO pour l’évaluation de la conformité (CASCO).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
La certification du système de sécurité des denrées alimentaires (SSDA) d’une organisation est l’un
des moyens permettant d’assurer que l’organisation a mis en œuvre un système de management de
la sécurité des denrées alimentaires conforme à sa politique et aux principes de sécurité des denrées
alimentaires internationalement reconnus.
Les exigences relatives à un SSDA peuvent provenir de différentes sources. Le présent document a été
élaboré afin de faciliter la certification des produits, des procédés ou des services de l’organisation,
ainsi que de son SSDA, y compris les éléments de son système de management.
Le présent document est destiné à être utilisé conjointement avec l’ISO/IEC 17065 par les organismes qui
procèdent à l’évaluation et à la certification des produits, des procédés ou des services, y compris à un
audit du SSDA. Il fournit des exigences générales à l’attention de ces organismes dits «de certification».
Ce libellé n’est pas destiné à faire obstacle à l’utilisation du présent document par des organismes
désignés différemment qui entreprennent des activités couvertes par le domaine d’application décrit
dans ce document.
La certification des produits, procédés ou services d’une organisation, incluant un audit du SSDA
conformément au présent document, peut impliquer un certain nombre d’activités. Le présent document
étant destiné aux programmes de certification de produits qui comprennent un élément de système de
management, ces activités impliquent un audit du SSDA de l’organisation. L’attestation de la conformité
du SSDA d’une organisation à une norme spécifique, aux exigences d’un programme de certification
ou à d’autres exigences spécifiées prend généralement la forme d’un document de certification ou d’un
certificat.
Il incombe à l’organisation cherchant à obtenir une certification de mettre au point son propre SSDA
et ses systèmes connexes conformément aux exigences du programme. Sauf spécifications contraires
dans les exigences réglementaires applicables, les exigences du client ou les exigences du programme
de certification, il appartient à l’organisation de décider de l’agencement des divers composants desdits
systèmes. Le degré d’intégration entre les divers composants des systèmes variera d’une organisation
à l’autre. Il est donc approprié pour les organismes de certification qui opèrent conformément au présent
document de prendre en compte la culture et les pratiques de leurs clients, eu égard à l’intégration
de leur SSDA dans un cadre plus large.
Le présent document a été élaboré en parallèle de l’ISO 22003-1, qui est utilisée conjointement avec
l’ISO/IEC 17021-1.
Dans le présent document, les formes verbales suivantes sont utilisées:
— «doit» indique une exigence;
— «il convient de/que» indique une recommandation;
— «peut/il est admis/permis» indique une permission;
— «peut/il est possible» indique une possibilité ou une capacité.
vi
NORME INTERNATIONALE ISO 22003-2:2022(F)
Sécurité des denrées alimentaires —
Partie 2:
Exigences pour les organismes procédant à l’évaluation et
à la certification de produits, de procédés et de services,
incluant un audit du système de sécurité des denrées
alimentaires
1 Domaine d’application
Le présent document vient compléter l’ISO/IEC 17065. Il spécifie les règles applicables à l’audit d’un
système de sécurité des denrées alimentaires (SSDA) et à la certification de produits, de procédés et de
services conformes aux exigences d’un programme de certification fondé sur les principes de sécurité
des denrées alimentaires internationalement reconnus (par exemple, les Principes généraux d’hygiène
[8]
alimentaire du CODEX ) et comprenant des éléments de système de management.
Le présent document ne s’applique pas aux certifications qui s’appuient exclusivement sur des essais
de produits (par exemple, effectués par un organisme appliquant l’ISO/IEC 17025) ou des inspections
(par exemple, effectuées par un organisme appliquant l’ISO/IEC 17020) et ne s’applique pas aux
programmes de sécurité des denrées alimentaires fondés sur l’ISO/IEC 17065 qui n’incluent pas à la fois
les principes de la sécurité des denrées alimentaires internationalement reconnus et des éléments de
système de management.
Il fournit également aux clients les informations nécessaires sur la manière de procéder à la certification
de leurs fournisseurs et leur donne ainsi confiance dans cette certification.
La certification des SSDA est une activité d’évaluation de la conformité par tierce partie
(tel que décrit dans l’ISO/IEC 17000:2020, 4.3) et les organismes exerçant cette activité sont des
organismes d’évaluation de la conformité par tierce partie.
NOTE Le présent document peut être utilisé comme référentiel pour l’accréditation ou l’évaluation par
des tiers des organismes de certification qui cherchent à se faire reconnaître comme étant compétents pour
certifier que les produits, les procédés et les services d’une organisation ainsi que son SSDA sont conformes
aux exigences d’un programme de certification. Il est également destiné à être utilisé comme référentiel
par des autorités réglementaires et des consortiums industriels qui procèdent à la reconnaissance directe
des organismes de certification qui certifient que le SSDA d’une organisation est conforme aux exigences
d’un programme de certification. Certaines de ses exigences peuvent aussi être utiles pour toute autre partie
susceptible d’être impliquée dans l’évaluation de la conformité de tels organismes de certification et dans
l’évaluation de la conformité de tout organisme qui réalise la certification de la conformité d’un SSDA à des
critères supplémentaires.
La certification d’un SSDA n’atteste pas la sécurité ou l’aptitude à l’emploi des produits d’une
organisation appartenant à la chaîne alimentaire. Cependant, la certification exige qu’une organisation
satisfasse à l’ensemble des exigences législatives et réglementaires en vigueur liées à la sécurité des
denrées alimentaires au travers de son SSDA.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
ISO/IEC 17065:2012, Évaluation de la conformité — Exigences pour les organismes certifiant les produits,
les procédés et les services
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 17000, l’ISO/IEC 17065
ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
système de sécurité des denrées alimentaires
SSDA
programmes prérequis (3.2), complétés par des mesures de maîtrise (3.16), suivant le cas, fondés sur les
principes de sécurité des denrées alimentaires internationalement reconnus, combinés à des éléments
de système de management (3.17) qui, lorsqu’ils sont mis en œuvre par l’organisation, permettent de
fournir des produits et des services sûrs, dans le cadre de leur utilisation prévue
Note 1 à l'article: Les programmes prérequis et les mesures de maîtrise d’un SSDA peuvent être fondés soit sur
une analyse des dangers spécifiques à l’organisation, à ses produits et à ses procédés, soit sur une analyse des
dangers générique réalisée par un organisme externe compétent (par exemple, une autorité compétente, une
université, une association professionnelle ou sectorielle, le propriétaire d’un programme de certification),
appropriée aux produits et aux procédés de l’organisation, et adaptée et personnalisée par l’organisation par
rapport à ses opérations.
3.2
programme prérequis
PRP
conditions et activités de base nécessaires au sein de l’organisation et tout au long de la chaîne
alimentaire pour préserver la sécurité des denrées alimentaires
Note 1 à l'article: Les PRP nécessaires dépendent du segment de la chaîne alimentaire dans lequel l’organisme
intervient et du type d’organisme. Parmi les exemples de termes équivalents figurent bonnes pratiques
agricoles (BPA), bonnes pratiques vétérinaires (BPV), bonnes pratiques de fabrication (BPF), bonnes pratiques
d’hygiène (BPH), bonnes pratiques de production (BPP), bonnes pratiques de distribution (BPD) et bonnes
pratiques de vente (BPV).
[SOURCE: ISO 22000:2018, 3.35]
3.3
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
[SOURCE: ISO/IEC 17021-1:2015, 3.7]
3.4
audit
processus permettant d’obtenir des informations pertinentes sur un objet de l’évaluation de la
conformité et de l’évaluer objectivement pour déterminer dans quelle mesure les exigences spécifiées
sont respectées
Note 1 à l'article: Les exigences spécifiées sont définies avant la réalisation d’un audit de manière à obtenir
des informations pertinentes.
Note 2 à l'article: Dans le contexte du présent document, le terme «audit» comprend toute activité d’évaluation
applicable (conformément à l’ISO/IEC 17065), comme l’inspection, les essais et l’audit du système de management
(conformément à l’ISO/IEC 17021-1).
[SOURCE: ISO/IEC 17000:2020, 6.4, modifié —Les Notes 2 et 3 à l’article ont été supprimées et une
nouvelle Note 2 à l’article a été ajoutée.]
3.5
durée d’audit
partie du temps d’audit (3.6) consacrée à la réalisation des activités d’audit (3.4), de la réunion
d’ouverture à la réunion de clôture incluse
[SOURCE: ISO/IEC 17021-1:2015, 3.17, modifié — Le terme «durée d’audit» remplace «durée des audits
de certification d’un système de management».]
3.6
temps d’audit
temps nécessaire à la planification et à la réalisation d’un audit (3.4) complet et efficace du SSDA de
l’organisation du client
[SOURCE: ISO/IEC 17021-1:2015, 3.16, modifié — «SSDA» remplace «système de management» dans la
définition.]
3.7
non-conformité
non-satisfaction d’une exigence
[SOURCE: ISO/IEC 17021-1:2015, 3.11]
3.8
analyse des dangers et points critiques pour leur maîtrise
étude HACCP
analyse des dangers pour une famille de produits/services/procédés présentant des dangers semblables
ainsi que des processus et une technologie analogues (par exemple production, conditionnement,
stockage ou prestation de services)
3.9
auditeur
personne qui réalise un audit (3.4)
[SOURCE: ISO/IEC 17021-1:2015, 3.6]
3.10
guide
personne nommée par le client pour assister l’équipe d’audit
[SOURCE: ISO/IEC 17021-1:2015, 3.8]
3.11
observateur
personne qui accompagne l’équipe d’audit (3.4), mais qui n’audite pas
[SOURCE: ISO/IEC 17021-1:2015, 3.9]
3.12
expert technique
personne apportant à l’équipe d’audit des connaissances ou une expertise spécifiques
[SOURCE: ISO/IEC 17021-1:2015, 3.14, modifié — La Note 1 à l’article a été supprimée.]
3.13
site permanent
emplacement (physique ou virtuel) où une organisation cliente effectue un travail ou délivre un service
de manière permanente
[SOURCE: ISO/IEC TS 17023:2013, 3.4]
3.14
site provisoire
emplacement (physique ou virtuel) où une organisation cliente effectue un travail particulier ou délivre
un service pendant une période de temps définie, et qui n’est pas destiné à devenir un site permanent
(3.13)
[SOURCE: ISO/IEC TS 17023:2013, 3.5]
3.15
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.4)
[SOURCE: ISO 19011:2018, 3.6]
3.16
mesure de maîtrise
action ou activité pouvant être utilisée pour prévenir ou éliminer un danger ou pour le réduire à un
niveau acceptable
3.17
élément de système de management
élément d’un système de management (par exemple, engagement de la direction, responsabilité de
la direction, revue de direction, informations documentées, audit interne) qui favorise la production
de denrées alimentaires sûres
4 Exigences générales
4.1 Domaine juridique et contractuel
4.1.1 L’ISO/IEC 17065:2012, 4.1, doit être respectée.
4.1.2 Les documents de certification doivent identifier en détail les catégories et sous-catégories
présentées dans le Tableau A.1 auxquelles le SSDA s’applique.
4.2 Gestion de l’impartialité
L’ISO/IEC 17065:2012, 4.2, doit être respectée.
4.3 Responsabilité et financement
L’ISO/IEC 17065:2012, 4.3, doit être respectée.
4.4 Conditions non discriminatoires
L’ISO/IEC 17065:2012, 4.4, doit être respectée.
4.5 Confidentialité
L’ISO/IEC 17065:2012, 4.5, doit être respectée.
4.6 Informations accessibles au public
L’ISO/IEC 17065:2012, 4.6, doit être respectée.
5 Exigences structurelles
5.1 Organisation et direction
L’ISO/IEC 17065:2012, 5.1, doit être respectée.
5.2 Dispositif de préservation de l’impartialité
L’ISO/IEC 17065:2012, 5.2, doit être respectée.
6 Exigences relatives aux ressources
6.1 Personnel de l’organisme de certification
6.1.1 Généralités
L’ISO/IEC 17065:2012, 6.1.1, doit être respectée.
6.1.2 Gestion des compétences du personnel engagé dans le processus de certification
6.1.2.1 L’ISO/IEC 17065:2012, 6.1.2, doit être respectée.
Outre les exigences de l’ISO/IEC 17065:2012, 6.1.2.1, la procédure doit exiger que l’organisme de
certification applique les Annexes A et C pour la détermination des compétences.
NOTE La ou les qualifications et l’expérience peuvent faire partie des critères; toutefois, la compétence
ne repose pas uniquement sur ces caractéristiques, car il est important de s’assurer qu’une personne peut
démontrer son aptitude à mettre en œuvre les connaissances spécifiques et le savoir-faire que l’on attendrait
d’une personne ayant obtenu une qualification ou possédant une certaine expérience dans le secteur.
6.1.2.2 La détermination des compétences du personnel doit inclure la capacité de l’individu
à appliquer ses connaissances, en particulier les connaissances de l’individu relatives à la sécurité
des denrées alimentaires, y compris ses connaissances des programmes prérequis (PRP) spécifiques,
des dangers liés à la sécurité des denrées alimentaires et des mesures de maîtrise concernant les
catégories qui entrent dans le périmètre d’action du personnel de l’organisme de certification.
Elles doivent être identifiées pour les catégories relevant des exigences de 6.1.2.1.
L’organisme de certification doit évaluer périodiquement les performances de chaque auditeur au cours
d’un audit sur site.
Les personnes responsables de la détermination des compétences du personnel doivent connaître les
méthodes de détermination et avoir démontré leur capacité à les appliquer, ainsi que posséder des
compétences équivalentes aux fonctions qu’elles évaluent.
6.1.3 Contrat conclu avec le personnel
L’ISO/IEC 17065:2012, 6.1.3, doit être respectée.
6.2 Ressources pour l’audit
6.2.1 Ressources internes
L’ISO/IEC 17065:2012, 6.2.1, doit être respectée.
NOTE Les exigences applicables de l’ISO/IEC 17021-1 auxquelles il est fait référence dans
l’ISO/IEC 17065:2012, 6.2.1, ont été incluses dans le présent document.
6.2.2 Ressources externes (externalisation)
L’ISO/IEC 17065:2012, 6.2.2, doit être respectée.
NOTE Les exigences applicables de l’ISO/IEC 17021-1 auxquelles il est fait référence dans
l’ISO/IEC 17065:2012, 6.2.2, ont été incluses dans le présent document.
7 Exigences relatives aux processus
7.1 Généralités
L’ISO/IEC 17065:2012, 7.1, doit être respectée.
Lorsque le propriétaire d’un programme a établi ses propres règles de détermination des catégories,
de durée d’audit et de compétence, le résultat des règles du programme doit s’appliquer à condition
que les règles du programme ne soient pas inférieures à celles exigées à l’Article 7 et dans les annexes
correspondantes comme base commune.
7.2 Demande
L’ISO/IEC 17065:2012, 7.2, doit être respectée.
L’organisme de certification doit exiger de l’organisation candidate qu’elle fournisse les informations
concernant les produits et les procédés, pertinentes pour la détermination de la durée de l’audit,
conformément aux Annexes A et B.
7.3 Revue de la demande
7.3.1 L’organisme de certification doit procéder à une revue des informations obtenues (voir 7.2)
afin de s’assurer que:
a) les informations relatives au client, ainsi qu’à ses produits/procédés/services et à son SSDA,
y compris les sites d’exploitation du client, et tout autre point ayant une incidence sur l’activité
de certification (langue, conditions de sécurité, etc.) sont suffisantes pour la conduite du processus
de certification;
b) toute différence de compréhension connue entre l’organisme de certification et le client est résolue,
y compris l’accord concernant les normes ou d’autres documents normatifs;
c) le périmètre de la certification recherchée est défini;
d) les moyens nécessaires à la réalisation des audits sont disponibles;
e) l’organisme de certification a la compétence et la capacité d’effectuer l’activité de certification.
7.3.2 L’ISO/IEC 17065:2012, 7.3.2, doit être respectée.
7.3.3 L’ISO/IEC 17065:2012, 7.3.3, doit être respectée.
7.3.4 L’ISO/IEC 17065:2012, 7.3.4, doit être respectée.
7.3.5 L’ISO/IEC 17065:2012, 7.3.5, doit être respectée.
7.3.6 L’organisme de certification doit déterminer le périmètre de certification pertinent pour
l’organisation demandeuse en utilisant l’Annexe A, à moins que le programme ne prévoie des catégories
ou sous-catégories spécifiques. L’organisme de certification doit identifier la ou les catégories ou sous-
catégories incluses dans le périmètre de la certification pour chaque site en décrivant brièvement
les principaux types de produits et procédés pour les produits et/ou services qui sont évalués
par l’organisme de certification.
7.3.7 Le périmètre défini de la certification ne doit pas:
— être trompeur;
— exclure d’activités, de procédés, de produits ou de services du périmètre de certification lorsque
ces derniers peuvent influer sur la sécurité sanitaire des produits finis telle que définie par la
responsabilité juridique des activités des organisations;
— de mentions, marques ou allégations promotionnelles n’entrant pas dans le périmètre du programme
de certification.
7.4 Évaluation
NOTE L’ISO/IEC 17065 fait référence à une «évaluation» qui s’applique aux différents types de programmes
de certification de produits, de procédés et de services comprenant des activités d’évaluation de la conformité,
telles que des contrôles, des essais, des audits, des vérifications et des validations. Dans le contexte du présent
document, l’activité d’évaluation est l’audit, par conséquent la terminologie utilisée dans le présent paragraphe
a trait uniquement à l’audit.
7.4.1 Activités préalables à l’audit
7.4.1.1 Programme d’audit
NOTE 1 Le «programme d’audit» est identifié comme étant équivalent au «plan d’évaluation» requis dans
l’ISO/IEC 17065:2012, 7.4.1.
L’organisme de certification doit prévoir un programme pour les activités d’audit, y compris les
activités réalisées à distance, afin de permettre la gestion des dispositions nécessaires. Le programme
doit énoncer des activités individuelles claires (par exemple, audit, essais et inspection), mais doit tenir
compte du fait que les activités individuelles ne sont pas toujours discernables les unes des autres
lorsqu’elles sont menées sur site.
L’organisme de certification doit disposer d’un processus pour choisir la date et la saison de l’audit
et ainsi permettre à l’équipe d’audit d’auditer l’organisation en fonctionnement sur un nombre
représentatif de produits et de procédés couverts par le domaine d’application, en utilisant les critères
du programme de certification, le cas échéant.
NOTE 2 En fonction des caractéristiques du programme de certification et des exigences relatives au SSDA,
le programme d’audit peut être soit un plan générique applicable à toutes les activités, y compris l’audit des
éléments pertinents du système de management (par exemple, le système de management de la qualité ou de la
sécurité des denrées alimentaires ou leur intégration), le cas échéant, soit un plan spécifique pour une activité
particulière, soit une combinaison des deux.
7.4.1.2 Détermination du temps d’audit
7.4.1.2.1 L’organisme de certification doit disposer de procédures documentées visant à déterminer
le temps d’audit. Pour chaque client, l’organisme de certification doit déterminer le temps nécessaire à
la planification et à la réalisation d’un audit complet et efficace du SSDA. Afin de déterminer la durée
de l’audit, l’organisme de certification doit utiliser la méthodologie décrite à l’Annexe B. Le temps
imparti déterminé par l’organisme de certification ainsi que les justifications correspondantes doivent
être enregistrés, y compris la justification de toute réduction ou de tout allongement.
7.4.1.2.2 Afin de déterminer le temps d’audit nécessaire et de le documenter, l’organisme de
certification doit déterminer:
a) le temps de préparation de l’audit;
b) la durée minimale de l’audit pour chaque site, qu’il s’agisse d’un audit sur site ou d’un audit à
distance, tel que spécifié dans les paragraphes B.2 et B.3, ainsi que dans le Tableau B.1;
c) le temps nécessaire à l’établissement des rapports et, le cas échéant, à la conduite des activités post-
audit;
d) le nombre d’auditeurs par journée d’audit en fonction des ressources de l’organisation;
e) une augmentation du temps d’audit peut être requise lorsque des réunions supplémentaires sont
nécessaires, par exemple des réunions de revue, de coordination, d’information de l’équipe d’audit;
f) dans les cas applicables et convenus, le temps nécessaire pour assurer un audit à distance efficace
ou l’utilisation des technologies de l’information et de la communication (TIC).
7.4.1.3 Échantillonnage multisite
7.4.1.3.1 Une organisation multisite est une organisation comportant une fonction centralisée
identifiée au niveau de laquelle certaines activités de SSDA sont planifiées, maîtrisées ou gérées;
ainsi qu’un réseau de sites au niveau desquels ces activités sont entièrement ou partiellement réalisées.
Des exemples d’organisations multisites possibles sont:
— les organisations opérant avec des franchises;
— une entreprise manufacturière disposant d’un ou de plusieurs sites de production et d’un réseau
de bureaux de vente;
— les organisations de services disposant de plusieurs sites offrant un service similaire;
— les organisations comportant plusieurs filiales.
Une organisation multisite possède plusieurs sites à différentes adresses, avec ou sans propriétaires
différents impliqués.
NOTE Le concept d’organisation multisite dans le contexte du présent document ne comprend pas les
exploitations agricoles (c’est-à-dire les catégories A et B de l’Annexe A) qui disposent d’un certain nombre de sites
de production (par exemple, des champs, des granges, des enclos, des pâturages) au sein de leur exploitation.
Les exploitations agricoles qui disposent d’installations de stockage ou de conditionnement en plusieurs endroits
associés à leurs sites de production ne sont généralement pas considérées comme des exploitations multisites,
sauf si ces installations sont clairement gérées indépendamment des autres fonctions (c’est-à-dire avec des
équipes distinctes, ce qui peut être le cas de certaines exploitations agricoles polyvalentes). Les organisations
multisites peuvent inclure les groupements de producteurs gérés par une fonction centralisée.
7.4.1.3.2 Lorsque l’organisme de certification doit auditer le SSDA d’une organisation multisite
(voir 7.4.1.3.1), il peut adopter une approche par échantillonnage. L’échantillonnage des organisations
multisites doit couvrir toutes les activités de l’organisation entrant dans le périmètre de la certification.
Voir 7.4.1.5 pour savoir dans quelles catégories l’échantillonnage est autorisé.
NOTE L’échantillonnage n’est pas permis dans le cadre de certains programmes de certification spécifiques.
7.4.1.3.3 Lorsque l’échantillonnage multisite est permis pour auditer le SSDA d’un client, l’organisme
de certification doit disposer d’un programme d’échantillonnage afin de s’assurer que les objectifs
de l’audit sont atteints. Les raisons du programme d’échantillonnage pour chaque client doivent être
documentées.
7.4.1.3.4 L’organisme de certification doit démontrer que l’échantillonnage des sites ne nuit pas
à l’efficacité de l’audit. Lorsqu’un échantillonnage multisite est entrepris, l’organisme de certification
doit justifier et documenter les raisons utilisées pour déterminer l’échantillonnage, sur la base des
conditions suivantes:
a) les sites opèrent sous un seul SSDA contrôlé et administré de façon centralisée;
b) les sites faisant l’objet d’un échantillonnage se ressemblent (par exemple, sous-catégorie de la
chaîne alimentaire, emplacement géographique, procédés et technologies, taille et complexité,
exigences légales et réglementaires, exigences des clients, dangers liés à la sécurité des denrées
alimentaires et mesures de maîtrise);
c) la fonction centralisée fait partie de l’organisation, elle est clairement identifiée et n’est pas sous-
traitée à une organisation externe;
d) tous les sites ont un lien juridique ou contractuel avec la fonction centralisée;
e) la fonction centralisée dispose, au sein de l’organisation, de l’autorité pour définir, établir et tenir
à jour le SSDA;
f) tous les sites sont soumis au programme d’audit interne de l’organisation et ont fait l’objet d’un
audit;
g) les constats d’audit sur un site sont considérés comme indicatifs de l’ensemble du SSDA et des
actions correctives sont mises en œuvre en conséquence;
h) la fonction centralisée est chargée de veiller à ce que les résultats de l’évaluation des performances
et les plaintes des clients provenant de tous les sites soient collectés et analysés;
i) le SSDA de l’organisation fait l’objet d’une revue de direction centralisée;
j) la fonction centralisée a le pouvoir d’initier l’amélioration continue du SSDA.
NOTE La fonction centralisée est le lieu où la maîtrise opérationnelle et l’autorité de la direction de
l’organisation sont exercées sur chaque site. Il n’est pas exigé que la fonction centralisée se situe sur un seul
site.
7.4.1.3.5 L’utilisation de l’échantillonnage multisite est autorisée pour les catégories A et B.
L’échantillonnage peut être appliqué à des organisations multisites et à des groupements de
producteurs, la taille minimale de l’échantillon étant la racine carrée du nombre total des autres sites
ou des membres du groupement, √(x), arrondi au nombre entier supérieur. L’échantillon issu de ce
calcul doit être prélevé par catégorie de risque en fonction de la complexité de la production des sites/
membres (par exemple, production végétale en plein champ, production de plantes vivaces, production
en intérieur ou production animale en plein champ, production animale en intérieur). Le propriétaire
du programme peut définir les catégories de risque et revoir la taille minimale de l’échantillon à la
hausse.
L’utilisation d’un échantillonnage multisite est permise pour les catégories F, G et uniquement pour les
installations dotées de possibilités de préparation ou de cuisson limitées (par exemple, réchauffage,
friture) de la catégorie E (voir le Tableau A.1). Pour les organisations comportant 20 sites ou moins,
tous les sites doivent être audités. Dans le cas d’organisations de plus de 20 sites, le nombre minimal
de sites à échantillonner doit être de 20 plus la racine carrée du nombre total des autres sites:
y = 20 + √(x – 20), arrondi au nombre entier supérieur.
Pour toutes les catégories où l’échantillonnage multisite est autorisé, l’organisme de certification doit
augmenter la taille de l’échantillon ou mettre fin à l’échantillonnage des sites lorsque le SSDA n’indique
pas sa capacité à atteindre les résultats escomptés.
L’utilisation d’un échantillonnage multisite n’est pas autorisée pour les autres catégories identifiées
à l’Annexe A.
7.4.1.3.6 Lorsque l’échantillonnage multisite est autorisé, l’organisme de certification doit définir
et utiliser un programme d’échantillonnage afin de garantir un audit efficace du SSDA dans lequel les
conditions suivantes s’appliquent.
a) Un audit de la fonction centralisée concernant le SSDA doit être réalisé au moins une fois par an
par l’organisme de certification avant d’effectuer la majorité des audits des sites échantillonnés.
b) Des audits doivent être réalisés au moins une fois par an par l’organisme de certification sur le
nombre de sites échantillonnés requis.
c) Les constats d’audit issus des sites échantillonnés doivent être évalués pour déterminer s’ils
indiquent une défaillance globale du SSDA et s’ils peuvent donc être applicables à certains ou à tous
les autres sites.
d) Lorsque les constats d’audit issus des sites échantillonnés sont considérés comme étant indicatifs
de l’ensemble du SSDA, des actions correctives doivent être mises en œuvre en conséquence.
7.4.1.3.7 L’échantillon doit être en partie sélectif et en partie aléatoire, et doit permettre de
sélectionner un éventail représentatif des différents sites, en garantissant que tous les processus
couverts par le périmètre de la certification seront audités.
Au moins 25 % de l’échantillon doit être sélectionné de manière aléatoire. Le reste doit être sélectionné
de manière que les différences entre les sites choisis sur la période de validité de la certification soient
aussi grandes que possible.
La sélection des sites doit tenir compte, entre autres, des aspects suivants:
a) les résultats des audits internes, des revues de direction ou des audits précédents;
b) les enregistrements
...

NORMA ISO
INTERNACIONAL 22003-2
Traducción oficial
Primera edición
2022-06
Official translation
Traduction officielle
Inocuidad de los alimentos —
Parte 2:
Requisitos para los organismos que
realizan la evaluación y la certificación
de productos, procesos y servicios,
que incluye una auditoría del sistema
de la inocuidad de los alimentos
Food safety —
Part 2: Requirements for bodies providing evaluation and
certification of products, processes and services, including an audit of
the food safety system
Sécurité des denrées alimentaires —
Partie 2: Exigences pour les organismes procédant à l’évaluation et
à la certification de produits, de procédés et de services, incluant un
audit du système de sécurité des denrées alimentaires
Publicado por la Secretaría Central de ISO en Ginebra, Suiza,
como traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en relación
con las versiones inglesa y francesa.
Número de referencia
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2022
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de
esta publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado, o la publicación en
Internet o una Intranet, sin la autorización previa por escrito. La autorización puede solicitarse a ISO en la siguiente dirección o al
organismo miembro de ISO en el país solicitante.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Publicado en Suiza
Version espanola publicada en 2024
Traducción oficial/Official translation/Traduction officielle
ii
Índice Página
Prólogo .v
Prólogo de la versión en español. vi
Introducción .vii
1 Objeto y campo de aplicación . 1
2 Referencias normativas . 1
3 Términos y definiciones .2
4 Requisitos generales . 4
4.1 Temas legales y contractuales . 4
4.2 Gestión de la imparcialidad. 4
4.3 Responsabilidad legal y financiamiento . 4
4.4 Condiciones no discriminatorias . 4
4.5 Confidencialidad . 4
4.6 Información disponible al público . 5
5 Requisitos relativos a la estructura . 5
5.1 Estructura de la organización y alta dirección . 5
5.2 Mecanismo para salvaguardar la imparcialidad . 5
6 Requisitos para los recursos .5
6.1 Personal del organismo de certificación . 5
6.1.1 Generalidades . 5
6.1.2 Gestión de la competencia para el personal involucrado en el proceso de
certificación . 5
6.1.3 Contrato con el personal . 5
6.2 Recursos para auditoría . 6
6.2.1 Recursos internos . 6
6.2.2 Recursos externos (contratación externa) . 6
7 Requisitos del proceso . 6
7.1 Generalidades . 6
7.2 Solicitud . 6
7.3 Revisión de la solicitud . 6
7.4 Evaluación. 7
7.4.1 Actividades previas a la auditoría . 7
7.4.2 Auditoría de planificación . 10
7.4.3 Realización de auditorías . 13
7.4.4 Aceptar resultados externos . 17
7.4.5 Informe de auditoría . 17
7.4.6 No conformidades . 18
7.4.7 Resolución de no conformidades . 18
7.5 Revisión . 19
7.6 Decisión de certificación . 19
7.7 Documentación de certificación . 19
7.8 Directorio de productos certificados . 19
7.9 Vigilancia . 19
7.10 Cambios que afectan a la certificación . 19
7.11 Finalizar, reducir, suspender o retirar la certificación . 19
7.12 Registros . 19
7.13 Quejas y apelaciones . 19
7.14 Auditorías especiales . 19
7.14.1 Ampliación del alcance . 19
7.14.2 Auditorías con poca antelación o sin previo aviso .20
8 Requisitos del sistema de gestión .20
Traducción oficial/Official translation/Traduction officielle
iii
Annexo A (normativo) Clasificación de las categorías de la cadena alimentaria .21
Annexo B (normativo) Duración mínima de la auditoría .26
Annexo C (normativo) Conocimientos y habilidades necesarios para determinar la
competencia .30
Bibliografía.36
Traducción oficial/Official translation/Traduction officielle
iv
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos
nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas
Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho
de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no
gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente
con la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/
IEC (véase www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno
o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante
el desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos
de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información
acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a
los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité Técnico ISO/TC 34, Productos alimenticios, Subcomité
SC 17, Sistemas de gestión de la inocuidad de los alimentos, en colaboración con el Comité ISO sobre
evaluación de la conformidad (CASCO).
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de
estos organismos.
Traducción oficial/Official translation/Traduction officielle
v
Prólogo de la versión en español
Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del
Comité Técnico ISO/TC 34, Productos alimenticios, Subcomité SC 17, Sistemas de gestión de la inocuidad
de los alimentos, en el que participan representantes de los organismos nacionales de normalización y
otras partes interesadas, para lograr la unificación de la terminología en lengua española en el ámbito
de la gestión de la inocuidad de los alimentos.
Este documento ha sido validado por el ISO/TMBG/Spanish Translation Management Group (STMG)
conformado por los siguientes países: Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador,
El Salvador, España, Guatemala, Honduras, República Dominicana, México, Panamá, Paraguay, Perú y
Uruguay.
Traducción oficial/Official translation/Traduction officielle
vi
Introducción
La certificación del sistema de la inocuidad de los alimentos (SIA) de una organización es un medio
para asegurar que la organización ha implementado un sistema para la gestión de la inocuidad de los
alimentos de acuerdo con su política y los principios de inocuidad de los alimentos internacionalmente
aceptados.
Los requisitos para un SIA pueden originarse a partir de varias fuentes. Este documento ha sido
desarrollado para ayudar en la certificación de los productos, procesos o servicios de la organización y
su SIA, que incluye los elementos de su sistema de gestión.
Este documento está destinado para su uso, en combinación con la Norma ISO/IEC 17065, por
organismos que realizan evaluación y certificación de productos, procesos o servicios que incluye una
auditoría del SIA. Proporciona requisitos genéricos para dichos organismos, a los que se hace referencia
como "organismos de certificación". Esta redacción no pretende ser un obstáculo para el uso de este
documento por parte de organismos con otras designaciones que realicen actividades comprendidas
por el alcance de este documento.
La certificación de los productos, procesos o servicios de una organización que incluye una auditoría
del SIA de acuerdo con este documento, puede implicar una serie de actividades. Debido a que este
documento está destinado a esquemas de certificación de producto que incluyen un elemento del
sistema de gestión, estas actividades implican una auditoría del SIA de la organización. La forma de
testificación de la conformidad del SIA de una organización con un estándar específico, requisitos
del esquema de certificación u otros requisitos especificados generalmente es un documento de
certificación o un certificado.
Corresponde a la organización que busca la certificación desarrollar su propio SIA y sistemas
relacionados de acuerdo con los requisitos del esquema. Excepto cuando los requisitos legislativos,
del cliente o del esquema de certificación pertinentes especifiquen lo contrario, corresponde a la
organización decidir cómo se organizarán los diversos componentes de estos. El grado de integración
entre los diversos componentes del sistema variará de una organización a otra. Por lo tanto, es
apropiado que los organismos de certificación que operan de acuerdo con este documento tengan en
cuenta la cultura y las prácticas de sus clientes con respecto a la integración de su SIA dentro de la
organización en general.
Este documento fue desarrollado en conjunto con la Norma ISO 22003-1, que se utiliza en combinación
con la Norma ISO/IEC 17021-1.
En este documento, se utilizan las siguientes formas verbales:
— “debe” indica un requisito;
— “debería” indica una recomendación;
— “puede” indica un permiso, una posibilidad o una capacidad.
Traducción oficial/Official translation/Traduction officielle
vii
NORMA INTERNACIONAL ISO 22003-2:2022 (traducción oficial)
Inocuidad de los alimentos —
Parte 2:
Requisitos para los organismos que realizan la evaluación
y la certificación de productos, procesos y servicios, que
incluye una auditoría del sistema de la inocuidad de los
alimentos
1 Objeto y campo de aplicación
Este documento es complementario a la Norma ISO/IEC 17065. Especifica las reglas aplicables para la
auditoría de un sistema de la inocuidad de los alimentos (SIA) y la certificación de productos, procesos
y servicios que cumplen con los requisitos de un esquema de certificación que se basa en los principios
de la inocuidad de los alimentos aceptados internacionalmente (por ejemplo, Principios Generales de
[8]
Higiene de los Alimentos de CODEX ) e incluye elementos del sistema de gestión.
Este documento no se aplica a las certificaciones que se basan únicamente en ensayos de productos
(por ejemplo, ISO/IEC 17025) o inspección (por ejemplo, ISO/IEC 17020) y no se aplica a los esquemas
de inocuidad de los alimentos basados en la Norma ISO/IEC 17065 que no incluyan tanto principios de
la inocuidad de los alimentos aceptados internacionalmente como elementos del sistema de gestión.
También brinda la información necesaria y la confianza a los clientes sobre la forma en que se ha
otorgado la certificación de sus proveedores.
La certificación del SIA es una actividad de evaluación de la conformidad de tercera parte (como se
describe en la Norma ISO/IEC 17000:2020, apartado 4.3) y los organismos que realizan esta actividad
son organismos de evaluación de la conformidad de tercera parte.
NOTA Este documento se puede utilizar como un documento de criterios para la acreditación o para la
evaluación de pares de los organismos de certificación, que buscan ser reconocidos como competentes para
certificar que los productos, procesos y servicios de una organización y su SIA cumplen con los requisitos de
un esquema de certificación. También está destinado a ser utilizado como un documento de criterios para las
autoridades reglamentarias y los consorcios de la industria que participan en el reconocimiento directo de
los organismos de certificación para certificar que el SIA de una organización cumple con los requisitos de un
esquema de certificación. Algunos de sus requisitos también pueden ser útiles para otras partes involucradas en
la evaluación de la conformidad de dichos organismos de certificación, y en la evaluación de la conformidad de los
organismos que se comprometen a certificar el cumplimiento de un SIA con criterios adicionales.
La certificación del SIA no atesta la inocuidad o aptitud de los productos de una organización dentro de
la cadena alimentaria. Sin embargo, la certificación requiere que una organización cumpla con todos los
requisitos legales y reglamentarios aplicables, relacionados con la inocuidad de los alimentos a través
de su SIA.
2 Referencias normativas
Los siguientes documentos se mencionan en el texto de tal manera que parte o todo de su contenido
constituye requisitos de este documento. Para las referencias con fecha, sólo se aplica la edición citada.
Para las referencias sin fecha, se aplica la última edición del documento de referencia (incluidas las
enmiendas).
ISO/IEC 17000, Evaluación de la conformidad — Vocabulario y principios generales
Traducción oficial/Official translation/Traduction officielle
ISO/IEC 17065:2012, Evaluación de la conformidad — Requisitos para los organismos que certifican
productos, procesos y servicios
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones dados en las Normas
ISO/IEC 17000, ISO/IEC 17065 y los siguientes.
Para utilizar en normalización, ISO e IEC mantienen bases de datos terminológicas en las direcciones
siguientes:
— Plataforma de búsqueda en línea de ISO: disponible en https:// www .iso .org/ obp
— Electropedia de IEC: disponible enhttps:// www .electropedia .org/
3.1
sistema de la inocuidad de los alimentos
SIA
programas de prerrequisitos (3.2), complementados con medidas de control (3.16), según corresponda,
basados en principios internacionalmente aceptados de inocuidad de los alimentos, combinados
con elementos del sistema de gestión (3.17), que, cuando son implementados por la organización,
proporcionan productos y servicios que son seguros, según su uso previsto
Nota 1 a la entrada: Los programas de prerequisitos y las medidas de control de un SIA pueden basarse en un
análisis de peligros específico para la organización, sus productos y procesos, o en un análisis de peligros genérico
realizado por un organismo externo competente (por ejemplo, autoridad competente, academia, asociación
comercial o industrial, propietario del esquema de certificación) apropiado para los productos y procesos de la
organización y adaptado y adaptado por la organización a sus operaciones.
3.2
programa de prerequisitos
PPR
condiciones y actividades básicas que son necesarias dentro de la organización y a lo largo de la cadena
alimentaria para mantener la inocuidad de los alimentos
Nota 1 a la entrada: Los PRPs necesarios dependen del segmento de la cadena alimentaria en el que opera la
organización y del tipo de organización. Son ejemplos de términos equivalentes: Buenas Prácticas Agrícolas
(BPA), Buenas Prácticas veterinarias (BPV), Buenas Prácticas de Fabricación/Manufactura (BPF, BPM), Buenas
Prácticas de Higiene (BPH), Buenas Prácticas de Producción (BPP), Buenas Prácticas de Distribución (BPD) y
Buenas Prácticas de Comercialización (GTP).
[FUENTE: ISO 22000:2018, 3.35]
3.3
competencia
capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos
[FUENTE: ISO/IEC 17021-1:2015, 3.7]
3.4
auditoría
proceso para obtener información pertinente sobre un objeto de evaluación de la conformidad y
evaluarlo de manera objetiva para determinar el grado en el que se cumplen los requisitos especificados
Nota 1 a la entrada: Los requisitos especificados se definen antes de llevar a cabo una auditoría, de manera que se
pueda obtener la información pertinente.
Nota 2 a la entrada: En el contexto de este documento, “auditoría” incluye cualquier actividad de evaluación
aplicable (de acuerdo con la Norma ISO/IEC 17065), como inspección, ensayo y auditoría del sistema de gestión
(de acuerdo con la Norma ISO/IEC 17021-1).
Traducción oficial/Official translation/Traduction officielle
[FUENTE: ISO/IEC 17000:2020, 6.4, modificado: se eliminaron las Notas 2 y 3 de la entrada y se agregó
una nueva Nota 2 a la entrada.]
3.5
duración de la auditoría
parte del tiempo de la auditoría (3.6) empleado en actividades de auditoría (3.4), desde la reunión de
apertura hasta la reunión de cierre, inclusive
[FUENTE: ISO/IEC 17021-1:2015, 3.17, modificado — Se cambió el término de “duración de las auditorías
de certificación del sistema de gestión”.]
3.6
tiempo de la auditoría
tiempo requerido para planificar y realizar una auditoría completa y eficaz (3.4) del SIA de la
organización del cliente
[FUENTE: ISO/IEC 17021-1:2015, 3.16, modificado — " SIA " ha reemplazado "sistema de gestión" en la
definición.]
3.7
no conformidad
incumplimiento de un requisito
[FUENTE: ISO/IEC 17021-1:2015, 3.11]
3.8
estudio de análisis de peligros y puntos críticos de control
estudio HACCP (por sus siglas en inglés)
análisis de peligros para una familia de productos/procesos/servicios con peligros similares y procesos
y tecnología similares (por ejemplo, producción, envasado, almacenamiento o implementación de
servicios)
Nota 1 a la entrada: Nota a la versión en español: Algunos países utilizan el acrónimo APPCC (Análisis de Peligros
y Puntos Críticos de Control) en lugar del acrónimo inglés HACCP (Hazard Analysis and Critical Control Point).
3.9
auditor
persona que lleva a cabo una auditoría (3.4)
[FUENTE: ISO/IEC 17021-1:2015, 3.6]
3.10
guía
persona designada por el cliente para asistir al equipo auditor
[FUENTE: ISO/IEC 17021-1:2015, 3.8]
3.11
observador
persona que acompaña al equipo auditor, pero que no audita (3.4)
[FUENTE: ISO/IEC 17021-1:2015, 3.9]
3.12
experto técnico
persona que proporciona conocimiento o experiencia específicos al equipo auditor
[FUENTE: ISO/IEC 17021-1:2015, 3.14, modificado — Se eliminó la nota 1 a la entrada.]
Traducción oficial/Official translation/Traduction officielle
3.13
sitio permanente
ubicación (física o virtual) en la que una organización cliente realiza un trabajo o proporciona un
servicio de manera continuada
[FUENTE: ISO/IEC TS 17023:2013, 3.4]
3.14
sitio temporal
ubicación (física o virtual) en la que una organización cliente realiza un trabajo específico o proporciona
un servicio durante un período de tiempo definido y el cual no está previsto que se convierta en un sitio
permanente (3.13)
[FUENTE: ISO/IEC TS 17023:2013, 3.5]
3.15
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.4)
[FUENTE: ISO 19011:2018, 3.6]
3.16
medida de control
acción o actividad que se puede utilizar para prevenir o eliminar un peligro o reducirlo a un nivel
aceptable
3.17
elemento del sistema de gestión
elemento de un sistema de gestión (por ejemplo, compromiso, responsabilidad y revisión, información
documentada, auditoría interna, de la gestión) que contribuye a la producción de alimentos inocuos
4 Requisitos generales
4.1 Temas legales y contractuales
4.1.1 Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 4.1.
4.1.2 Los documentos de certificación deben identificar en detalle las categorías y subcategorías de
la Tabla A.1 a las que se aplica el SIA.
4.2 Gestión de la imparcialidad
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 4.2.
4.3 Responsabilidad legal y financiamiento
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 4.3.
4.4 Condiciones no discriminatorias
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 4.4.
4.5 Confidencialidad
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 4.5.
Traducción oficial/Official translation/Traduction officielle
4.6 Información disponible al público
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 4.6.
5 Requisitos relativos a la estructura
5.1 Estructura de la organización y alta dirección
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 5.1.
5.2 Mecanismo para salvaguardar la imparcialidad
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 5.2.
6 Requisitos para los recursos
6.1 Personal del organismo de certificación
6.1.1 Generalidades
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 6.1.1.
6.1.2 Gestión de la competencia para el personal involucrado en el proceso de certificación
6.1.2.1 Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 6.1.2.
Además de la Norma ISO/IEC 17065:2012, apartado 6.1.2.1, el procedimiento debe requerir que un
organismo de certificación aplique los Anexos A y C en la determinación de competencias.
NOTA Las cualificaciones y la experiencia pueden utilizarse como parte de los criterios; sin embargo, la
competencia no se basa solo en esto, ya que es importante asegurarse de que una persona pueda demostrar
la capacidad de aplicar los conocimientos y habilidades específicos que se esperaría que tuviera una persona
después de completar una calificación o tener cierta experiencia en la industria.
6.1.2.2 La determinación de la competencia del personal debe incluir la capacidad del individuo para
aplicar el conocimiento, y en particular, de la persona involucrada en la inocuidad de los alimentos,
que incluye el conocimiento de los programas de prerequisitos específicos (PPR), los peligros de la
inocuidad de los alimentos y las medidas de control relacionadas con las categorías en las que opera
el personal del organismo de certificación. Estos deben haber sido identificados para estas categorías
bajo los requisitos del apartado 6.1.2.1.
El organismo de certificación debe evaluar periódicamente el desempeño de cada auditor durante una
auditoría in situ.
Los responsables de determinar la competencia del personal deben tener conocimiento de los métodos
de determinación y haber demostrado capacidad para aplicarlos y tener competencia equivalente a las
funciones que están evaluando.
6.1.3 Contrato con el personal
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 6.1.3.
Traducción oficial/Official translation/Traduction officielle
6.2 Recursos para auditoría
6.2.1 Recursos internos
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 6.2.1.
NOTA Los requisitos aplicables de la Norma ISO/IEC 17021-1 mencionados en la ISO/IEC 17065:2012,
apartado 6.2.1, se han incluido en este documento.
6.2.2 Recursos externos (contratación externa)
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 6.2.2.
NOTA Los requisitos aplicables de la Norma ISO/IEC 17021-1 mencionados en la ISO/IEC 17065:2012,
apartado 6.2.2, se han incluido en este documento.
7 Requisitos del proceso
7.1 Generalidades
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 7.1.
Cuando el propietario de un esquema haya establecido sus propias reglas para la determinación de las
categorías, la duración de la auditoría y la competencia, Se debe aplicar el resultado de las reglas del
esquema siempre que las mismas reglas no sean inferiores a las requeridas en el Capítulo 7 y los anexos
relacionados como base común.
7.2 Solicitud
Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 7.2.
El organismo de certificación debe exigir a la organización solicitante que proporcione la información
relativa a los productos y procesos relevantes para la determinación de la duración de la auditoría de
acuerdo con los Anexos A y B.
7.3 Revisión de la solicitud
7.3.1 El organismo de certificación debe realizar una revisión de la información obtenida (véase 7.2)
para asegurar que:
a) la información sobre el cliente, sus productos/procesos/servicios y su SIA, incluidos los sitios de
operaciones del cliente y cualquier otro punto que influya en la actividad de certificación (idioma,
condiciones de seguridad, etc.), es suficiente para la realización de proceso de certificación;
b) se resuelva cualquier diferencia conocida de entendimiento entre el organismo de certificación y el
cliente, que incluye el acuerdo sobre estándares u otros documentos normativos;
c) se define el alcance de la certificación solicitada;
d) se dispone de medios para realizar las auditorías;
e) el organismo de certificación tiene la competencia y la capacidad para realizar la actividad de
certificación.
7.3.2 Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 7.3.2.
7.3.3 Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 7.3.3.
Traducción oficial/Official translation/Traduction officielle
7.3.4 Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 7.3.4.
7.3.5 Se deben seguir los requisitos de la Norma ISO/IEC 17065:2012, apartado 7.3.5.
7.3.6 El organismo de certificación debe determinar el alcance relevante de la certificación para la
organización que solicita la certificación utilizando el Anexo A, a menos que el esquema proporcione
categorías o subcategorías específicas. El organismo de certificación debe identificar la(s) categoría(s)
o subcategoría(s) en el alcance de la certificación para cada sitio o sitios describiendo brevemente los
principales tipos de productos y procesos para los productos y/o servicios que son evaluados por el
organismo de certificación.
7.3.7 El alcance definido de la certificación no debe:
— ser engañoso;
— excluir actividades, procesos, productos o servicios del alcance de la certificación cuando esas
actividades, procesos, productos o servicios puedan tener una influencia en la inocuidad de
los productos finales según lo definido por la responsabilidad legal de las actividades de las
organizaciones;
— incluir declaraciones promocionales, marcas o afirmaciones que no estén dentro del alcance del
sistema de certificación.
7.4 Evaluación
NOTA La Norma ISO/IEC 17065 se refiere a "evaluación" y es aplicable a los diversos tipos de esquemas de
certificación de productos, procesos y servicios que incorporan actividades de evaluación de la conformidad, que
incluye la inspección, los ensayos, la auditoría, la verificación y la validación. En el contexto de este documento, la
actividad de evaluación es auditoría y, por lo tanto, la terminología utilizada en este apartado es solo auditoría.
7.4.1 Actividades previas a la auditoría
7.4.1.1 Programa de auditoría
NOTA 1 El "programa de auditoría" se identifica como equivalente al "plan de evaluación" requerido en la
Norma ISO/IEC 17065:2012, apartado 7.4.1.
El organismo de certificación debe tener un programa para las actividades de auditoría, que incluyen las
actividades de auditoría realizadas de forma remota, para permitir que se gestionen las disposiciones
necesarias para cada auditoría. El programa debe ser claro con respecto a las actividades individuales
(por ejemplo, auditoría, ensayo e inspección), pero debe tener en cuenta que las actividades individuales
no siempre se distinguen entre sí cuando se realizan en el sitio.
El organismo de certificación debe tener un proceso para elegir el momento y la temporada de la
auditoría, de modo que el equipo auditor tenga la oportunidad de auditar a la organización que opera en
un número representativo de productos y procesos cubiertos por el alcance utilizando los criterios del
esquema de certificación, si corresponde.
NOTA 2 Dependiendo de las características del esquema de certificación y los requisitos de SIA, el programa
de auditoría puede ser un plan genérico aplicable a todas las actividades, que incluye la auditoría de los elementos
relevantes del sistema de gestión (por ejemplo., sistema de gestión de calidad o inocuidad de los alimentos o una
integración de los mismos), en su caso, o uno específico para una determinada actividad, o una combinación de
ambos.
7.4.1.2 Determinación del tiempo de auditoría
7.4.1.2.1 El organismo de certificación debe tener procedimientos documentados para determinar
el tiempo de la auditoría. Para cada cliente, el organismo de certificación debe determinar el tiempo
Traducción oficial/Official translation/Traduction officielle
necesario para planificar y realizar una auditoría completa y eficaz del SIA. Para determinar la duración
de la auditoría, el organismo de certificación debe utilizar la metodología descrita en el Anexo B. El
tiempo de auditoría determinado por el organismo de certificación y la justificación de la determinación
deben registrarse, incluyendo la justificación de cualquier reducción o adición.
7.4.1.2.2 Al determinar y documentar el tiempo de auditoría necesario, el organismo de certificación
debe determinar:
a) el tiempo de preparación de la auditoría;
b) la duración mínima de la auditoría para cada sitio para la auditoría in situ o remota, como se
especifica en los Capítulos B.2 y B.3 y la Tabla B.1;
c) el tiempo para informar y, en su caso, realizar actividades posteriores a la auditoría;
d) el número de auditores por día de auditoría equilibrado con los recursos de la organización;
e) cuando sean necesarias reuniones adicionales (por ejemplo, reuniones de revisión, coordinación,
sesión informativa del equipo auditor), se puede requerir un aumento en el tiempo de auditoría;
f) en su caso y acordado, el tiempo necesario para asegurar la eficacia de la auditoría remota o el uso
de las tecnologías de la información y la comunicación (TIC).
7.4.1.3 Muestreo multisitio
7.4.1.3.1 Una organización multisitio es una organización que tiene una casa matriz identificada en la
que se planifican, controlan o gestionan determinadas actividades del SIA, y una red de sitios en los que
dichas actividades se llevan a cabo total o parcialmente.
Ejemplos de posibles organizaciones multisitio son:
— organizaciones que operan con franquicias;
— una empresa de fabricación con uno o más sitios de producción y una red de oficinas de ventas;
— organizaciones de servicios con múltiples sitios que ofrecen un servicio similar;
— organizaciones con múltiples sucursales.
Una organización con múltiples sitios tiene múltiples ubicaciones en diferentes direcciones con los
mismos o diferentes propietarios involucrados.
NOTA El concepto de una organización multisitio en el contexto de este documento no incluye operaciones
agrícolas (es decir, categorías A y B en el Anexo A) que tienen varios sitios de producción (por ejemplo, campos,
graneros, potreros, pasturas) dentro de su operación. Las operaciones de cultivo que tienen instalaciones
de almacenamiento o envasado en varias ubicaciones asociadas con sus sitios de producción normalmente
no se consideran operaciones multisitio, a menos que esas instalaciones se administren claramente de forma
independiente de otras funciones (es decir, con equipos separados, que puede ser el caso de algunas operaciones
agrícolas con múltiples productos básicos). Los multisitio pueden incluir grupos de productores administrados
por una casa matriz.
7.4.1.3.2 Cuando se requiere que el organismo de certificación audite el SIA de una organización con
múltiples sitios (véase 7.4.1.3.1), puede adoptar un enfoque de muestreo. El muestreo de organizaciones
con múltiples sitios debe cubrir todas las actividades de la organización dentro del alcance de la
certificación. Véase el apartado 7.4.1.5 para las categorías dentro de las cuales se permite el muestreo.
NOTA No se permite el muestreo para algunos esquemas de certificación específicos.
7.4.1.3.3 Cuando se permita el muestreo en múltiples sitios para la auditoría del SIA de un cliente,
el organismo de certificación debe contar con un programa de muestreo para asegurar el logro de los
Traducción oficial/Official translation/Traduction officielle
objetivos de la auditoría. Se debe documentar la justificación del programa de muestreo para cada
cliente.
7.4.1.3.4 El organismo de certificación debe demostrar que el muestreo de sitios no afecta a
la efectividad de las auditorías. Cuando se lleve a cabo un muestreo multisitio, el organismo de
certificación debe justificar y documentar la justificación utilizada para determinar el muestreo, en
base a las siguientes condiciones:
a) los sitios están operando bajo un SIA controlado y administrado centralmente;
b) los sitios sujetos a muestreo son similares (por ejemplo, subcategoría de la cadena alimentaria,
ubicación geográfica, procesos y tecnologías, tamaño y complejidad, requisitos reglamentarios y
legales, requisitos de los clientes, peligros para la inocuidad de los alimentos y medidas de control);
c) la casa matriz es parte de la organización, claramente identificada y no subcontratada a una
organización externa;
d) todos los sitios tienen un vínculo legal o contractual con la casa matriz;
e) la casa matriz tiene autoridad organizacional para definir, establecer y mantener el SIA;
f) todos los sitios están sujetos al programa de auditoría interna de la organización y han sido
auditados;
g) los hallazgos de la auditoría en un sitio se consideran indicativos de todo el SIA y las acciones
correctivas se implementan en consecuencia;
h) la casa matriz es responsable de asegurar que se recopilen y analicen los resultados de la evaluación
del desempeño y las quejas de los clientes de todos los sitios;
i) el SIA de la organización está sujeto a revisión por parte de la dirección central;
j) la casa matriz tiene autoridad para iniciar la mejora continua del SIA.
NOTA La casa matriz es donde el control operacional y la autoridad de la alta dirección de la organización
se ejerce sobre cada sitio. No hay ningún requisito para que la casa matriz esté ubicada en un solo sitio.
7.4.1.3.5 Se permite el uso de muestreo multisitio para las categorías A y B. El muestreo puede
aplicarse a organizaciones multisitio y grupos de productores, siendo el tamaño mínimo de la muestra
la raíz cuadrada del número total de otros sitios o miembros del grupo, √(x), redondeado al siguiente
número entero. La muestra de raíz cuadrada se debe tomar por categoría de riesgo en función de la
complejidad de la producción de los sitios/miembros (por ejemplo, producción de plantas en campo
abierto, producción de plantas pere
...