In difesa della ISO/DIS 45001 e del Risk Based Thinking

Un contributo per continuare l’approfondimento sulla futura norma ISO 45001 sui sistemi di gestione e per rispondere alle perplessità espresse dalle recenti posizioni sindacali sull’attuale versione della norma. A cura di Alessandro Mazzeranghi.
 
Una norma di sistema
Prima di tutto si dovrebbe considerare cosa sia una norma, e a maggior ragione una norma relativa a un qualunque sistema di gestione.
Una norma è un documento di applicazione volontaria che fornisce dei requisiti che possono essere applicati da una organizzazione, per garantirsi un funzionamento ordinato, e che prevede anche la possibilità che l’organizzazione ottenga una certificazione da parte di un soggetto terzo che attesta che quella organizzazione opera in conformità alla norma dichiarata.
Quindi una norma non può in nessun modo sostituirsi alle leggi applicabili; al contrario, una organizzazione che non applica le leggi pertinenti è automaticamente non conforme ai requisiti della norma.
Se qualcuno, avendone l’autorità, scrivesse un documento sulla organizzazione aziendale “migliore”, ai fini della corretta applicazione del D.Lgs. 81/2008, ovviamente farebbe riferimento in modo diretto ai requisiti ivi previsti, fra cui alla previsione della esistenza di una rappresentanza dei lavoratori per la sicurezza. Ma una norma internazionale che si propone come valida in tutto il mondo non può, evidentemente, entrare in questi dettagli caratteristici di un paese (o di un gruppo di paesi come potrebbe essere la Unione Europea). Quindi è impensabile trovarvi determinate indicazioni, che però già sono nella legge e che pertanto DEVONO fare parte del sistema.
Le novità della norma
Chiaramente una norma che definisce un sistema di gestione deve darsi un certo tipo di logica interna. Logica interna che dipende anche dal grado di specifica competenza degli interlocutori a cui la norma è destinata.
La storia di queste norme ci insegna che l’evoluzione è passata almeno tramite tre fasi; ci riferiamo alle norme della serie ISO 9000 che sono quelle che hanno una storia più lunga temporalmente (la ISO 14001 e la OHSAS 18001 sono state sviluppate, sostanzialmente in linea con l’approccio della ISO 9001 allora vigente, in momenti successivi, e poi sono rimaste ragionevolmente allineate):
1. PRIMA FASE “PRESCRITTIVA” La serie 9000 si rivolgeva ad aziende piuttosto digiune in materia di qualità, e quindi adottava un approccio impositivo / prescrittivo riguardo ai requisiti minimi (di gestione e controllo della qualità) che riteneva necessari per tutte le organizzazioni. Quindi la norma si concentrava e imponeva attività e registrazioni predeterminate.
2. SECONDA FASE “PER PROCESSI” Quando gli enti di certificazione e i soggetti normatori ritennero che la prima fase della 9000 fosse stata metabolizzata dalle organizzazioni, nell’ottica del miglioramento continuo, venne introdotto un nuovo elemento fondamentale: l’approccio per processi. In sostanza, considerando la complessità del funzionamento delle aziende, ci si è resi conto che affrontare i temi della gestione considerando le situazioni critiche in modo avulso dal contesto operativo aziendale portava a lasciare non presidiate diverse criticità potenziali. E se l’azienda deve essere intesa come un insieme di processi fra loro correlati, per gestire un qualunque aspetto importante, bisogna prima conoscere bene il modo di funzionare della azienda (i processi appunto) all’interno della quale si vuole controllare una criticità. Vero è che l’approccio per processi all’epoca definito veniva svilito da due fattori inclusi / non inclusi nella norma:
a. Il primo: la volontà del normatore di essere lui il soggetto capace di individuare, in maniera ancora una volta prescrittiva, alcuni processi “critici” che dovevano obbligatoriamente essere regolamentati all’interno di (blandi) vincoli stabiliti dalla norma stessa.
b. Il normatore di immaginare una valutazione dei rischi insiti nei processi, valutazione quindi non suggerita dalla norma.
A proposito della valutazione dei rischi dei processi, almeno in materia di sicurezza e salute, questa ha preso piede indipendentemente dalla norma in virtù dell’articolo 25 septies introdotto nel 2007 nel D.lgs. 231/2001 e di quanto ulteriormente ben specificato nell’articolo 30 del D.lgs. 81/2008. Classico evento da cui si riconosce il predominio della legge sulla norma, anche sotto il profilo pratico. Io faccio più e meglio di quello che dice la norma perché un requisito di legge mi impone di ragionare sulla idoneità (legale, in termini esimenti) del mio sistema di gestione.
3. TERZA FASE BASATA SUL “RISK BASED THINKING” Con questo arriviamo al 2015 – 2016 e alle tre norme speculari su qualità, ambiente e salute & sicurezza che introducono tale concetto (e con esso tante novità che ne derivano). In questo piccolo excursus storico diciamo che “Risk Based Thinking” è un “nuovo” modo di valutare la gestione aziendale degli aspetti potenzialmente critici, che non si concentra solo sui rischi tradizionali, ma chiede di valutare anche tutti i rischi che potrebbero derivare dal modo di funzionare della azienda, e dalle relazioni che la azienda intrattiene con soggetti esterni. Mi fermo qui rimandando a tanta letteratura già esistente in merito.
Il Risk Based Thinking applicato nella realtà aziendale alle tematiche di salute & sicurezza
Vedete bene che passo spesso dal termine organizzazione al termine azienda. Da qui in poi voglio parlare di aziende, anzi di aziende industriali e assimilabili, considerando tale ambito produttivo uno fra i più esposti a problemi di salute e sicurezza sul lavoro.
I punti che ci interessa discutere sono quelli che possono qualificare le norme basate sul Risk Based Thinking (in particolare la ISO/DIS 45001) come migliori o peggiori delle precedenti; il tema meriterebbe una trattazione molto ampia, ma rischierebbe di diventare eccessivamente teorica; io mi limiterò ad elencare alcuni concetti, a mio avviso rilevanti:
1.Coerentemente col fatto che deve essere l’organizzazione a identificare, tramite il risk assesment dei processi, quali sono i processi critici per salute & sicurezza che devono essere regolamentati per evitare che si generino situazioni pericolose, la norma non fornisce più il tradizionale elenco di processi che dovevano essere regolamentati obbligatoriamente. Questa scelta è molto apprezzata dallo scrivente, perché costringe l’azienda a fare una analisi dei propri processi, da una parte evidenziando quelli critici, dall’altra motivando perché gli altri, quelli non evidenziati, non sono critici. Naturalmente questo funziona per una azienda che decide di applicare seriamente la norma per quello che è, un supporto al miglioramento delle condizioni aziendali in materia di salute & sicurezza. Se al contrario si mira al “bollino” può rappresentare la scusa per fare ancora di meno. In questo secondo scenario mi rassicura che chi “tira al meno” si può facilmente colpire già sul mancato rispetto dei requisiti di legge, ben prima di arrivare a discutere di norme e certificazioni di sistema!
2.Il risk assesment dei processi in materia di salute & sicurezza è qualcosa di ancora molto “fluido”. Qualche esperienza pilota fatta ha portato chi scrive ad alcune conclusioni pratiche:
– “FASE 0” il Risk Assesment deve partire dalla completa elencazione dei processi tramite i quali l’azienda funziona, anche quelli che apparentemente non hanno alcuna relazione con i temi di interesse (in questo caso sicurezza & salute); raccomandiamo di considerare davvero i processi, ovvero quegli insiemi di attività fra loro correlate, eseguite da soggetti anche diversi, che partendo da alcuni input perseguono un obiettivo e producono un output coerente agli input e all’obiettivo;
– “FASE 1” è la fase di Assesment preliminare, che rivolgendosi a un numero elevato di processi, deve necessariamente svolgersi ad un livello elevato (ovvero con bassa complessità), altrimenti rischia di essere un lavoro dispersivo, estremamente lungo e di scarso valore aggiunto. In teoria conoscendo input, output e obiettivi dei processi, ed avendo una buona conoscenza in materia di salute & sicurezza, già dalla descrizione sommaria del processo si dovrebbe capire se ha relazioni o meno con salute & sicurezza.
Faccio un esempio: considerate il processo di acquisti tramite il quale l’ente preposto, l’ufficio acquisti, riceve richieste di acquisto e poi procede all’acquisto avendo l’obiettivo di spuntare il minor prezzo. Ma cosa può acquistare l’ufficio acquisti? Di tutto, dalla cancelleria, ai DPI, a nuovi impianti produttivi … quindi anche elementi nella cui scelta hanno peso determinate considerazioni di salute & sicurezza. Quindi il processo in oggetto, non si sa in quale forma precisa, è comunque fra i processi da considerare e regolamentare per salute & sicurezza. Se provate a fare lo stesso esercizio scoprirete che il processo di formazione del bilancio aziendale non ha relazioni con salute & sicurezza, mentre un altro processo tipico dell’area amministrativa come la definizione del budget è invece fondamentale per salute & sicurezza.
– “FASI 2 & 3” metto insieme la fase di Assesment di dettaglio dei processi, dove si devono identificare le attività che concretamente possono influire su salute & sicurezza, e quella di regolamentazione dei processi, dove l’Assesment diventa procedura, indicando le attività critiche, chi se ne occupa e quando.
– In aggiunta al Risk Assement dei processi, il risk Based Thinking richiede di identificare precisamente il quadro “circostante” all’interno del quale opera l’azienda: si tratta del contesto e delle parti interessate, ovvero tutti quei soggetti che in qualche modo influenzano o sono toccati dagli aspetti di sicurezza & salute gestiti dalla azienda. È un bell’approccio, sia sotto il profilo concreto (si evitano pericolose dimenticanze), sia da quello morale: l’azienda è responsabile di tutte le conseguenze delle sue azioni, quindi oltre i limiti previsti (giustamente) dal D.lgs. 81/2008.
Anche questo è un invito a pensare a mente aperta che deve essere accolto con serietà, e non per “fare contento il certificatore”. Però è un bel valore aggiunto.
Alla fine delle mie considerazioni potrebbe emergere una macro obiezione: i titolari e i manager delle aziende italiane non hanno il grado di visione di insieme per applicare un approccio così “autonomo e responsabilizzante”, ma lo useranno al meno cercando in questa norma solo una opportunità di risparmio sui temi della sicurezza e della salute.
Qui è una questione di percentuali, che probabilmente io percepisco in un certo modo (positivo) in virtù della mia particolare esperienza lavorativa. Quindi ribatto male a chi la vede in maniera opposta, ma dico una cosa: gli strumenti (le norme, quindi, che sono strumenti per rispettare le persone & la legge) devono essere fatti per chi onestamente si impegna a fare il proprio dovere (di industriale, di manager o di lavoratore), per i furbi e per i disonesti le leggi esistenti se fatte rispettare sono già sufficienti a correggere le storture.
Alessandro Mazzeranghi
 
 
Fonte: puntosicuro.it
By |2016-04-20T15:52:55+00:00aprile 20th, 2016|Tutela Ambientale|