如何在食品加工企业的整合ISO9001和ISO22000体系

御剑

让我开麦

随着ISO22000的发布和随后的GB/T 22000的实施，将集成HACCP原理的食品安全管理体系国际标准应用于自身的iso三体系认证管理体系是食品生产企业即将要进行的工作。鉴于很多食品生产企业已经建立了以ISO9001为主线的质量管理体系，因此，这项工作将演化成ISO9001和ISO22000二个标准的整合应用过程。

识别和确立面向基础工作、过程管理和系统改进的框架化的iso三体系认证质量和食品安全管理体系模块，然后将ISO9001和ISO22000条款和行业法规的相应要求输入到各个工作模块中，让企业的各部门和人员在执行工作的过程中自动去实现标准和法规的要求。

njrackt

一、识别企业的运行过程，确定完整的工作模块的方法

模块的意思是：围绕产品质量和安全管理，要做的相关工作。反映在今后的管理手册中，是章节的方式。如果把工作框架都装在脑子里了，那么管理体系的大局就心中有数了。工作模块的识别并不是非要以ISO9001/ISO22000等标准的条款和要素的顺序为主线进行，而应该以企业的运作过程各环节和工作分类为主线进行。如果标准要求的工作在企业没有得到识别和执行的时候，需要在适当的模块中增加这些工作，或另外开辟工作模块。

先来解剖企业的一般性运作环节。把工厂的运行可分为基础层面、日常运行和改进层面的工作，当然有些工作是不能完全严格以层面来区分的，只要识别到了就可以。以一个企业从建立到运行，一直到产品出厂和后续工作所经历的自然过程为主线，看一下过程内容：

二、工厂建立和运行前的准备工作

主要是“人机料法环”，即资源和方法的准备工作，包括：基础设施和设备的建造和采购；组织机构的形成和部门工作分配；人力资源准备；设备计量准备；生产控制系统设计（设计产品），包括加工工艺、HACCP/SSOP计划和对应的设备等；建立产品追溯机制。在执行生产前，采购有关各类原辅料和包装材料等。考虑到生产加工过程中可能会发生一些紧急的事件，在基础工作中增加了对应急状况和识别和相应对策的预先布置，这是ISO22000和HACCP工作独特的内容。

与产品实现直接有关的工作

接受订单；资源确认和生产实施（产品实现策划结果的实施）；产品形成；产品检测；不合格控制；产品交付；反馈和投诉处理，甚至产品召回等等。这是工厂生产活动的主线。在这个过程中，企业需要实施各种过程控制，尤其是加工过程中的产品质量、加工环境、SSOP和CCP监视，加上适当时机的半成品和成品检测以及各项验证等。当这些活动发现不合格工作或不合格产品时，就需要不合格处理程序或采取纠正或纠正措施。

工作体系的保持和改进的相关工作

工作运行中总会出现各种各样的状况，要么就是硬件不行、要么就是操作不到位、要么就是产品质量不理想，甚至是不合格、索赔退货，这是无法回避的问题。因此设立不合格处理、投诉处理和产品召回的原则和应对措施是必须的。但这个不是严格意义上的体系改进，而是事件处理。如果事后对不正常事件的原因进行分析，作为工作改进的依据，以避免同样不合格再次发生时，就上升到了改进层面。

同时，所进行的各项工作都会因为要求的提高、情况的改变原因而主动或被动地改进，管理体系的基础工作和日常运行方式都是如此，无论是ISO标准和法律法规都讲到了体系的保持和改进。怎么去改进。把改进分成日常改进和阶段性定期改进二部分，日常改进主要是通过组织内部和外部的信息沟通和后续处理，识别时机对基础工作和运行进行改进，也可以通过专门的纠正和预防措施，加大改进的力度；对监视过程中发现的偏离事件和现象的原因进行分析，采取措施以消除之，也是改进行动之一；对不合格产品、顾客投诉或索赔后的原因分析和纠正措施当然也是。这些改进是多方面的。

阶段性改进体现的方面。内部审核肯定是一种手段，是通过执行状况和工作效果的定期检查（或者说是HACCP验证活动的一部分），发现企业内部有可能存在的问题，继而进行改进的经典方法，按照中国人的理解，就是“定期的工作检查”。管理评审当然也是，它是管理层基于业绩、资源和顾客反映状况的现实，对整个工作体系进行定期的效用评价，继而对企业政策、资源、基础工作和运行进行改进的手段，按照中国人的理解是“阶段性的工作总结”。为了使管理层做出正确的评价并制订出改进措施，各部门当然应该提供产品质量状况、资源运行状况、顾客反映、供应方情况等报告，改进的依据。

这里要提到HACCP体系验证的工作，很多CIQ注册的工厂都要进行年度的HACCP验证，是一项不可缺少的工作。HACCP验证是评价HACCP计划充分性和实施符合性的方法，FDA所要求的验证主要涉及的是CCP点验证（包括记录审核、设备校准、产品检测或其他可行的方法），其目的是证实CCP点的监视和纠偏是否按预先所给定的要求进行，监视工作是否处于受控状态；另外一个层次的HACCP验证是审核（FDA称之Reassessment of adequacy of HACCP plan，主要是关注顾客抱怨、预备信息变化和官方要求改变等信息，适时重新进行危害分析，必要时改进HACCP计划，这种审核工作至少每年进行一次）。在任何层面的验证中发现偏离当然要采取纠正或措施，这与ISO9001和ISO22000的思维是一致的。因此可以用CCP点验证、内部审核和日常的内部外部沟通，结合发现问题后的纠正措施（包括HACCP计划的改进）来实现所谓的验证工作。这些工作其实都已经被包括在各个工作模块中了。

FDA的HACCP法规主要强调的验证工作和ISO22000关系见下图：

通过以上图示，可以得出结论：FDA经典的验证内容和方法和ISO22000所要求的HACCP体系验证是没有本质的区别；同时，HACCP体系验证不是一项单独进行的工作，而是蕴含在体系的日常运行和阶段性审核中的。但ISO22000要求把这些验证活动的结果分析写成书面报告，作为管理评审的输入和改进的依据。

三、推荐的管理体系模块组成和其中内容情况

制订企业政策和目标：食品安全和质量方针（政策）、工作目标和进行宣贯的要求，意识的引导和沟通。对企业管理者的要求，最重要的结果是质量安全意识和顾客意识的形成和提高。管理者需要对资源提供、体系运行和改进等适宜向有关方做出承诺。

组织机构和分工：建立组织机构，分配框架性工作任务，指定管理者代表和工作权限，建立食品安全小组和赋予职责。这项工作最重要的是建立各部门分工框架，这也是企业高层应该做到的事情，合理的分工和正确完整的职权分配方式可以减少企业的内耗，有利于各负其责、分工协作；同样，在选择管理者代表时，应该考虑到他的能力、威信和权力，如果选择一个无足轻重的人物担任管理者代表，那工作落实和协调沟通、体系改进都会发生困难。对管理者代表的支持力度可以衡量最高层对管理体系的重视程度，管理承诺也可以从这里见端倪；食品安全小组的建立是HACCP体系独特的要求，其初衷是组成一支有全面技术能力的团队，以保证体系策划、实施和HACCP计划的验证和改进，这些人员也许是非专职的，但必须具备相应的知识和能力。对食品安全小组成员的任命需要有书面的文件，从方便和便于修改的角度来讲，这种书面文件应该是独立的，而不是写在HACCP计划书上。

基础设施和工作环境管理：识别基础设施和工作环境的要求，建立维护保养和监视的程序（操作性前提计划中的预防性维护措施）。对食品生产企业来说，GMP就是最适用的基础设施和工作环境硬件要求，这是行业的特点和法规所要求的。因此，满足GMP要求的基础设施肯定也满足ISO要求了；工作环境管理内容。一样的道理，卫生管理就是最好的工作环境管理，SSOP程序就是食品加工厂最好的环境管制程序。当然，办公区域的环境管制措施和实验室的排放和废弃控制也是环境管理的一部分，如果在适当的文件中落实了这些控制措施，那么环境管理也就符合要求了。对于有环保要求的企业，SSOP可能是不够了，还应该有排放等监视和控制措施。

员工管理：这是人力资源管理工作。根据标准和法律法规的要求，对人力资源的管理主要包括人员健康和技能、意识的控制。ISO9001和ISO22000将的是意识和培训，难道食品生产企业把健康管理加进去就不合适吗。显然不是，这是一种基于本行业特点的应用扩展。经常看到ISO9001认证的企业同时存在培训程序和培训计划（其他前提计划中）这是一种重复和浪费，而且还可能相互拆台，需要整合。另外必须注意，人员的健康管理也是SSOP计划的一部分，至于这块工作到底怎么划分法，并不重要。倾向于：招收前的健康审核和档案管理列入人力资源管理的范围，这样人事部门针对人力资源的管理比较集中，而招收后人员的日常健康管理由SSOP计划去控制，在车间入口处建立健康检查制度，阻止不符合的人员进入就可以实现这方面的管理。

设备校准管理：这是很好理解的一个工作模块，需要对各种测量和监视设备进行必要的校准，以确保这些设备的显示值和控制参数是正确的。这些设备当然也包括CCP监视和实验室的检测仪器设备。这里需要特别注意的是有些设备计量局不能校准时，需要有适当的方法去定期证明它是准确可靠的，或者有些设备在计量有效期内，但仍需要进行定期检查，如台秤和电子显示的温度计等。从某种角度上看，计量局的校准证书和工厂自己检查的记录是并行的，也就是说，当能进行法定计量时，所要保持的是校准证书，而不能或不需要进行法定计量时，所要保存的检查或者自校的记录。

采购相关的工作：包括采购和供应商确定原则、供应商评价和管理、采购实施和接收前验收（验证或检验）、接收后的仓储管理等后续工作。采购原辅料、包装材料甚至是维修和校准服务是企业的重要运作行为，比较复杂，但对产品质量和安全有着重大的影响。按照一般的思维，供应商控制资质和能力、采购过程监视和保障和产品质量验收是采购质量管理的三部曲。企业可以在本模块中落实所有采购的相应控制，具体由哪个部门去执行并不重要，重要的是各部门按照规则去实施。采购控制中比较重要的是，采购部门必须注意原辅料供应商的动向和原辅料来源、供应方式的变化原因。因为企业的加工质量和危害控制系统是建立在特定的组织外供应条件的基础上，如果这些外部因素发生了变化，内部的方法有可能需要调整，或者进行改进。这就是为什么ISO9001有条款强调定期对供应商进行监视的原因，这对HACCP体系也是适用的，ISO22000要求采购部门把供应商状况和变化信息作为沟通的一个方面，为的也是当外部情况变化时，相应的危害分析和控制措施能做出相应调整。

产品追溯机制和程序：建立追溯规则、建立追溯相关的程序和记录机制以供生产运行时执行。产品追溯一般要注意原料、食品添加剂的生产和使用，罐头生产企业可能还要有空罐的投入追溯机制。产品追溯的目的是能从投入到产品消费之间建立一种可查找的信息链，以便当产品质量出现各种问题时，及时复原整个产品的加工过程记录和信息，从而为处理问题、查找原因和改进提供依据。关于产品追溯规则，CIQ有专门的文件，需要企业根据自身的实际情况，严格去执行。

应急识别和预先布置：这个工作模块是ISO22000所要求的，设立的初衷是希望企业对自己工作范围内，有可能发生的和食品安全有关的紧急事件进行预先的识别和措施准备，以便当这些事情发生时，现场人员或整个机构能有效应对，最大限度避免或减轻这些事故对食品安全所产生的影响。关于这点，FDA反恐注册、客户委托的第二方认证机构在验证工厂的HACCP体系时已经有所触及，今后的要求会越来越全面，ISO22000也顺应了这种要求。这项工作最重要的是各种应急状况的识别和应对措施的预先制订和落实，包括人员培训和现场演习（适用时）、硬件准备。

与顾客相关的工作：包括订单受理和接受（合同评审和确认）、生产任务的传达、交货前后与顾客的沟通、销售管理、产品质量反馈信息的监视利用、投诉处理、顾客交流和顾客财产保护等。这些工作一般由企业贸易销售部门去执行，于是都把他分配到了这个工作模块。不管ISO9001和ISO22000有没有讲到这些要求，但这是企业自然进行的过程。如果把这些工作都布局好了，让贸易部门把顾客的各种信息反馈到体系改进策划部门，这些工作就算完成了。产品召回可能也是贸易部的事情，但考虑到产品召回和不合格处理有关，因此把这部分划入产品不合格处理和召回的工作模块。

产品设计和改进：在ISO9001和ISO22000结合运行的企业，产品设计包含着二种意思：一是设计出能生产出合格产品的加工工艺，二是在工艺已经确定的前提下，根据预备信息进行危害分析，最终设计出食品危害控制措施（HACCP计划）。这是一项看起来比较复杂的工作，包含了产品实现过程设计和HACCP原理的应用，可能会应用到设计输入、设计实施、设计评审和设计确认（控制措施组合的确认）、验证和改进。简单的讲，产品设计就是写工艺，写HACCP计划书（包括核对SSOP计划的充分性），并根据他们所提出的要求去落实相应的硬件和操作。必须承认：工艺和HACCP计划书以及后续的资源配备是设计产生的。这个模块就是想告诉相关部门和人员如何起草和确定产品加工工艺和危害控制系统（HACCP计划书），并且指导他们为保证工艺和HACCP计划的科学性、可行性和满足产品质量控制、危害控制的需要，在这个工作中所要经历的自然过程。又因为产品设计是一项不断改进的工作，因此PDCA原理（设计、实施、检查、改进）的应用肯定要被导入，而HACCP计划的验证和改进与PDAC原理是一致的。当然，有些东西工艺里写不清楚的，可以根据需要，另外写一些操作规程来补充。在进行产品设计时，ISO9001所要求的产品实现过程控制措施布置和产品实现过程的确认等工作，包括过程的监视和测量等要求都可以得到应用。接下来的事情只不过是如何实施的问题。

生产实施和过程控制：生产实施的过程一般是：明确生产要求、检查资源、启动生产（包括产品追溯、SSOP计划、CCP监视、工序监视和参数控制、加工环境控制的综合运行）、废次品识别和控制、偏离产品的处置、库房交接和产品安置、应急事件的应对等环节。这个模块是一个通用的运行管理程序，只要把这些过程、交接方式、怎么处理各种事件讲清楚就是了。具体怎么操作那是工艺和HACCP计划的事情。客观地讲，如果各项记录和现场状况都能证实一种产品是在预期的受控条件下加工，那ISO9001中的
7.
5.1“生产和服务提供的控制”条款就能满足。原则性的废话讲得再多是没有用的。

与检测和检验相关的工作及实验室管理：把与所有与检验和检测（包括验证检测）相关的所有工作落实到这个模块中。首先强调的是检测的基础工作，包括检验的人机料法环准备，让检测部门具备足够的能力。一个连检测结果都做不准确的实验室是无法为HACCP和产品质量管理体系的测量分析、验证和改进提供有效依据的。其次是在检验部门落实面向质量控制和HACCP验证的工作任务，把工作内容、实施时机和项目、事后评价和信息反馈工作结合起来，就能满足法规和标准对检测、产品确认和验证（ISO9001叫产品监视）的要求。

在实验室管理中需要注意：这样的模块并不能保证实验室内部的检测质量控制。有关这方面的工作，需要实验室建立适当的内部质量管理体系（如ISO/IEC17025为标准的简化的管理体系）予以支持；建立的实验室质量控制体系并不需要游离于企业的整个产品管理体系。因为实验室体系所需要的工作，如文件管理、环境控制、计量管理等工作已经在大体系里布置好了，只要按通用的要求去实施就行，或者说，把实验室某些方面的工作纳入大体系就可以。但实验室应该对其任务执行到报告签发的程序做出合适的描述，并且对检测质量的控制方法做出规定。

不合格产品处理和召回：注意：不合格产品主要指的是已经形成的成品的不合格，而不是加工过程中产生的零星废次品。产品检测和验证后肯定会发现不合格，如果发现有些不合格产品已经被销售，并且有可能危害消费者健康时，应该召回这些产品。本模块的设立就是为了这类事件的应对。在这里需要把不合格产品处理的准则和程序、放行前评估原则讲清楚，也需要把产品召回行动中所要涉及的环节和经历的过程讲清楚。这类事件发生后，肯定会对企业造成各方面的影响和损失，但是回避问题不是理性的做法，如果不把原因找出来予以消除，以后的问题照样会重复出现，会给企业造成进一步的损失。因此“亡羊补牢，为时未晚”，需要分析和找到原因，采取措施保证同样的不合格不会再次发生，也就是标准所要求的纠正预防措施的概念。这个模块的后续处理就自然接口到了“纠正和预防措施”。

沟通和后续处理：这部分工作已经属于日常的体系维护和改进层面，主要内容是：在企业内部建立一个定期或不定期搜集和获得内部、外部的与产品质量和食品安全有关的信息后，进行综合评价和分析，必要时以一般性整改、纠正措施和预防措施方式改进工作的手段。必须明白，沟通的目的在于识别整个体系，包括HACCP计划所涉及的危害识别和控制系统的改进的必要性和时机。比较重要的内容是：原辅料供应方式和组织外处理方式的改变、CIQ有新的危害控制警示、顾客对产品安全有新的要求、工艺改变和配方调整等等，这些信息都会影响HACCP计划书中的预备信息，如何及时获得信息，进行危害分析是企业长期要做的事情，这也是HACCP验证的组成部分，是体系改进的行为。企业需要由HACCP小组（或指定专人，如管理者代表专门关注此事）以定期或不定期会议的方式来进行信息沟通，这样比较现实。对于会议式的沟通，建议企业建立会议记录制度，这样有利于沟通证据的保持和事后改进的回顾。当然，管理严格的企业也可以强制性让各部门定期报告信息。只要能及时获得信息，必要时实施HACCP计划改进，情况严重时与“纠正预防措施”模块接口，任何方式都是可以接受的。ISO9001中的内部沟通讲的是职责和权限以及政策目标的沟通，只是这里的一部分。

内部审核和纠正预防措施：内部审核是任何工作体系都要求的工作模块，目的是检查各部门的工作是否按所要求的政策、程序和规程进行，工作是否有效。对于HACCP体系，内部审核又多了一层含义，就是HACCP计划的充分性和实施状况验证，具体方法是核对HACCP计划各要素是否和企业当前的加工和外部环境相符合、最新的信息是否被利用并作为危害分析的输入等。内部审核的文件审核（HACCP计划审核）和现场检查已经能覆盖这样的验证。在任何体系中，内部审核的方式方法和过程都是一样的，只不过是审核范围和依据的不同。按照GMP法规的要求，HACCP体系内部审核的周期应该是半年一次，而不是传统ISO9001所要求的至少一年一次。

在内部审核中或多或少会发现一些不符合的现象和实事，因此很自然的需要采取程度不同的纠正措施。纠正预防措施写到内部审核这个工作模块原因。主要考虑到这是连续进行的工作，但如果一定要分开也是可以的。纠正预防措施并不仅仅是因为内部审核才启动，沟通、不合格产品、其他情况发现不合格，或通过某种现象意识到产品质量和安全有潜在不合格可能时，就应该启动纠正和预防措施。这里需要分清楚二个概念，纠偏（纠正）和纠正措施的区别：纠正是事件处理，也就是纠偏，而纠正措施则是分析偏离原因，制订措施以消除偏离原因的行为。用中国人的思维来说，纠正措施是：一是通过现象看本质，二是发现问题，分析原因，采取措施解决本质原因。预防措施的思维和纠正措施是一样的，只不过预防措施是在不合格发生之前，主动分析可能性并采取措施的行为。这就是为什么把纠正和预防措施写到一起的原因。

管理评审和体系改进：同样，管理评审和是任何体系都要求的工作模块，是管理者发动的行为，按照中国人的做法，那叫“工作总结”。工作总结的套路就是：让各部门把自己的工作情况、存在的问题和不足、需要改进的地方讲出来，也需要有个综合部门把特定阶段的产品质量和其他有关数据向最高层进行报告，这些报告最好是书面的，如果有些不是书面的话，需要有会议记录把口头叙述记录下来，这样就能让高层核对一下自己当初的目标是不是实现了，他的企业存在的主要问题是什么，他应该采取哪些措施去解决这些问题，这是很自然的事情。在工作总结会上肯定会就某些问题的解决方案进行商讨并达成一致，而且需要最高层做出决断。解决方案就是一种管理评审的输出，只需要把这些改进要求和具体的落实方法写成书面报告，就形成了管理评审报告。应该鼓励企业以这种方式改进自己的质量管理和食品危害控制体系，问题不在大小，发现了有改进措施就应该鼓励。但管理评审提出的改进措施并不是所谓的“纠正措施”，而是一种资源改进、政策和程序调整、技术改进的方案，除非改进的迫切性非常紧迫，否则并不需要限定严格的时间去实施并完成（如比较大的设施改造），有的甚至可以转化为下年度的工作计划或企业的长期工作计划，但管理层适时检查改进的进度还是必要的。管理评审和后续的改进方案决断和发动是管理承诺的一种体现，如果一个管理者连管理评审都不发动，以后的措施也不知道，那他就无法全面了解企业的实际状况，管理承诺就打折扣了。

文件管理和记录控制：这个模块的工作是如何管理体系文件和日常工作中积累的记录。对企业来讲，文件的作用是一种约定做法的书面化表达方式、工作的指导材料和责任区分的依据。如果每个部门对自己的要做些什么工作、有什么要求、怎么去做和技术操作过程怎么去做、记录怎么去做都清楚了，那文件的作用就起到了。写各类的管理体系文件、搜集各类标准和操作规程的目的也在于指导各部门如何去有效实施工作。因此要强调任何文件都尽可能是可操作的，写的东西能让人家看得懂，能做到的。不仅管理文件是这样，HACCP计划书也是如此。既然有了这些文件，就应该去实施有效的管理，这是所谓的“受控管理”，也就是“受发放和更改控制的文件管理”。文件控制的目的就是为了保证相关部门获得工作中可以参照的书面材料，而且当要求和做法改变时，这些书面材料也随时能被更新。具体的做法是实施前的充分性和可操作性确认、发放前的登记和发放路径记载、更新和重新发放的管理，就这么简单。换句话说：如果一个负责文件管理的部门知道整个企业有多少体系文件在使用、这些文件发到哪里去了，当文件修改时能及时把这些文件收回来并更新时，文件管理的作用也就起到了。建立这样的管理机制其实用
一、二张清单就能解决问题，并不需要太复杂的程序。

记录管理的实质是建立一套记录设计、填制、收缴和保存程序。只要有办法保证记录设计合理可行、填制证实完整、收缴和保存按部就班、废弃的记录妥善处理就行了。

四、建立工作模块之间的相互接口关系

在识别上述的工作模块，并且理解了其中的工作内容和要求之后，接下去要做的事情是把他们之间的相互关系搞清楚。相互关系就是所谓的接口。体系。体系就是系统，是各个工作模块相互接口和联合运行的有机整体。从上面的模块讲解中应该意识到，每个模块的运行都和其他模块有或多或少的联系，而不是自管自孤立运行。

比如说采购工作。设备采购结束以后，接下去的事情可能是纳入设施设备的维护管理和校准管理，和基础设施工作环境模块、设备校准模块有关了；原料采购结束后，产品追溯就开始启动了；包装材料采购后SSOP的相应管理就启动了。

又比如说纠正和预防措施模块，纠正预防措施模块不会无缘无故启动的，是因为产品不合格或召回、过程监视中发现不合格因素、信息沟通中获得提示、内部审核中发现不符合项等才会启动。那么启动纠正和预防措施后，也许产品设计更新模块、人力资源、文件控制、基础设施和设备改进就会开始动作。

因此在设计整个管理体系的时候，不仅要把各模块的工作内容、要求和程序明确了，还要把一个模块和其他模块的交接关系理清楚，就象递砖头一样，让工作做下去一直到完成。如果有两条线路可以选择，就应该把走哪条线路的条件说清楚。对于执行部门或人员来说，他只要知道：他的工作做到什么程度，应该与什么部门进行交接或通报；或者说，当他收到信息或别人移交的事件，他接下去应该干什么。

管理体系中，各模块的接口关系是比较复杂的，理解并建立这种接口关系也是体系策划中最难、最重要的工作之一。但也不要害怕这种工作，因为很多接口关系是自然发生的交接，只要有足够的耐心去思维和布局，这种关系是理得清的。

电台小妖

当然可以了！不过你为什么同时做这2个认证呢？如果你是食品行业，只需要做ISO22000就可以了，如果你不是食品行业，那你也不能做ISO22000.