Negli ultimi 25 anni la gestione della salute e sicurezza sul lavoro in Italia ha vissuto un’evoluzione profonda: da modelli eterogenei ed estemporanei a standard internazionali armonizzati e largamente diffusi.
Ben poche erano le aziende che nel 1999 avviavano il processo di certificazione di questa nuova norma (che già era difficile spiegare perché si chiamasse in questo modo strano, “OHSAS”…); ho avuto la fortuna di seguire come consulente alcune di queste, un paio nella produzione di energia, altre nella chimica, poi ne seguirono molte ma devo ringraziare quei dirigenti lungimiranti che mi permisero di acquisire preziose competenze.
Preziose furono anche le prime esperienze come auditor; molte tra le aziende che chiesero la certificazione nei primi anni non sapevano bene come dimostrare di “valere” la certificazione ; quando, in quanto auditor terza parte, chiedevo delle evidenze legate ai requisiti della norma alcuni mi rispondevano “lo facciamo come prescrive la legge”, non prendendo in considerazione il fatto che la norma imponeva di migliorarsi e non solo di rispettare la legge (in effetti quella frase dovrebbe poter essere pronunciata da tutte le aziende, anche da chi non pensa neppure di avviare un processo di certificazione), oppure “guardi, qui c’è il nostro DVR, vedrà che troverà tutto lì”, tralasciando il fatto che è importante scrivere ma ancora di più mettere in pratica, come metterà in chiaro qualche anno dopo il D. Lgs. 231/01.
Spesso il compito di realizzare il sistema di gestione della sicurezza era affidato al RSPP che era molto competente in materia ma a digiuno dei principi base di un sistema di gestione, con conseguenti discussioni frustranti da ambo le parti e, talvolta, risultati negativi che erano letti come una violazione normativa quando invece il problema risiedeva nell’inadeguatezza dell’impianto sistemico.
Anche gli auditor (io, perlomeno) però avevano molti dubbi su come interpretare quello che vedevano sul campo e come dare un valore aggiunto a quelle aziende: vedere un dipendente che non portava i DPI comportava una non-conformità maggiore? o minore? o solo un’osservazione? Dipende dal contesto? O piuttosto dipende dal fatto che il sistema di gestione mi dimostri di poterla individuare e gestire per evitare situazioni pericolose? (quest’ultima è la mia risposta).
L’auditor deve sempre porsi in un’ottica di sistema, non sta valutando la conformità legale dell’azienda ma se questa è organizzata; chiarissimo in teoria, talvolta meno nella pratica.
Oggi, dopo che circa 40’000 organizzazioni italiane hanno deciso di certificarsi ISO 45001 esistono risposte ad alcune delle domande che ci ponevamo 25 anni fa?
- come conciliare la conformità legale con la conformità alla norma?
- quanto incide nella certificazione dimostrare l’impegno al miglioramento e, specularmente, una certificazione migliora effettivamente le performances dell’azienda?
- Come supportare le aziende nel fare in modo che la certificazione si riveli un vantaggio competitivo?
Proviamo ad analizzare l’evoluzione e le evidenze.
Breve cronistoria
Alla fine degli anni ’90 molte aziende strutturate avevano già introdotto modelli interni di gestione della sicurezza, spesso ispirati alla ISO 9001 (qualità) ed alla ISO 14001 (ambiente) ; in quanto responsabile qualità di una grande azienda (certificata ISO 9001), io stesso avevo esteso il nostro sistema qualità all’ambiente ed alla sicurezza sul lavoro tramite specifiche procedure; tuttavia, mancava uno standard internazionale certificabile specifico per la salute e sicurezza e il mercato dei “sistemi di gestione della sicurezza sul lavoro” era caratterizzato da una forte eterogeneità: coesistevano prassi interne aziendali, linee guida settoriali e schemi sviluppati o “interpretati” da singoli enti. (es. ISA 2000, SafetyCert, BS 8800, ecc.).
Proprio in quegli anni, anche a livello europeo e internazionale si affermava l’idea che la sicurezza non potesse essere gestita solo come adempimento tecnico-documentale, ma dovesse essere “governata” come processo manageriale: politica, obiettivi, responsabilità, controllo operativo, verifiche, riesami e miglioramento continuo (ciclo PDCA).
La pluralità di standard (che standard, quindi, non erano…) comportava però due grossi limiti:
- scarsa comparabilità tra organizzazioni (schemi e audit non omogenei);
- difficile spendibilità internazionale (catene di fornitura e gruppi multinazionali chiedevano riferimenti comuni).
La svolta arriva con la pubblicazione della OHSAS 18001:1999, il primo riferimento globale certificabile per i SGSL. Perché la OHSAS 18001 ha avuto successo?
- Struttura PDCA chiara
- Integrabilità con ISO 9001 e 14001
- Spendibilità internazionale
- Audit accreditati
OHSAS 18001, poi consolidata nella revisione 2007, divenne in pochi anni lo standard più usato per la certificazione dei SGSL tanto che nel 2011 si registravano in Italia quasi 5000 siti certificati OHSAS 18001.
Nei primi anni 2000, parallelamente alla OHSAS 18001, in Italia ha avuto un ruolo importante anche l’elaborazione delle Linee guida UNI-INAIL per un SGSL (2001), nate con un’impostazione esplicitamente orientata anche alle PMI e al contesto nazionale.
Queste linee guida (e, più in generale, la politica INAIL di promozione dei sistemi di gestione) hanno inciso sia su un piano culturale-metodologico (portare la sicurezza nel perimetro della “gestione”, oggi diremmo della governance) sia su un piano più “terreno” (meccanismi di riduzione del tasso/premio, bandi per progetti di prevenzione).
Nel marzo 2018 viene pubblicata la norma ISO 45001 che successivamente diventa UNI EN ISO 45001:2023 con il recepimento CEN; la OHSAS 18001 viene così ritirata definitivamente a fine settembre 2021 (scadenza del periodo di migrazione).
ISO 45001 adotta la High Level Structure (Annex SL) comune ai sistemi ISO moderni, rendendo molto più naturale l’integrazione con ISO 9001/14001 (terminologia, struttura, capitoli, requisiti comuni).
Le innovazioni più impattanti rispetto alla OHSAS 18001 sono:
- L’analisi del contesto e parti interessate: la sicurezza sul lavoro viene letta dentro un contesto più ampio (fattori esterni e interni; stakeholder rilevanti).
- La Leadership e accountability: maggiore responsabilità dell’Alta Direzione (non delegabile “solo” a HSE/RSPP).
- La consultazione e partecipazione dei lavoratori: la partecipazione dei lavoratori diventa un requisito centrale (coinvolgimento operativo, segnalazioni, consultazione).
- L’approccio risk-based esteso: non solo valutazione dei rischi tradizionale, ma integrazione tra rischio/opportunità, cambiamenti organizzativi, processi esternalizzati, appalti e supply chain (un punto critico soprattutto nei cantieri e nei servizi in appalto).
Rapporto tra SGSL e obblighi di legge
Gli obblighi di legge sono da sempre intrinsecamente legati ai sistemi di gestione della sicurezza, molto più dei sistemi qualità e anche dei sistemi ambientali in quanto gli obblighi di legge in materia di sicurezza riguardano la totalità dei dipendenti, a tutti i livelli gerarchici, mentre gli adempimenti ambientali sono spesso gestiti da un numero ridotto di persone in azienda. Peraltro, storicamente, proprio questo legame ha impedito la creazione di una norma sui sistemi di gestione della sicurezza per molti anni.
Nello sviluppo delle certificazioni SGSL, è importante il forte aggancio al quadro normativo derivante dall’entrata in vigore del D.Lgs. 81/2008 il cui art. 30 richiama i modelli organizzativi e gestionali quali i SGSL.
Sul piano della compliance, ISO 45001 prosegue e rinforza il modello già avviato con la OHSAS 18001 di prevedere requisiti normativi volontari che esplicitamente richiedono la verifica degli obblighi di legge:
- identificazione sistematica di tutti gli obblighi di conformità (“legal and others requirements”),
- pianificazione e registrazione della valutazione della conformità,
- evidenze oggettive (monitoraggi, audit, indicatori),
- gestione degli infortuni, malattie professionali e quasi incidenti (“near-miss”) secondo la logica delle non conformità (trattamento, analisi delle cause, azioni correttive).
Il legame tra D.lgs. 81/2008 e la ISO 45001 è ulteriormente rafforzato da un altro testo legislativo, il Decreto Legislativo 231/2001che nel 2007 introduce la responsabilità amministrativa dell’ente per determinati reati commessi nel suo interesse o vantaggi, tra cui l’omicidio colposo e le lesioni personali colpose gravi o gravissime commessi con violazione della normativa antinfortunistica (art. 25-septies).
Questo cambia radicalmente il quadro perché la sicurezza sul lavoro diventa un tema di responsabilità penale dell’impresa.
Sebbene non esplicitamente citata, la ISO 45001 è ”naturalmente” idonea a essere parte di un Modello 231 tuttavia essere certificati ISO 45001, come esplicitato da numerose sentenze, non costituisce di per sé un esimente ai sensi del D.lgs. 231/01 ovvero non è uno “scudo automatico”: la sua validità sta nella capacità di dimostrare un’attuazione efficace, nonché una gestione puntuale e precisa del monitoraggio che deve essere visto non solo dal punto di vista delle performances e del miglioramento ma anche come sistema disciplinare strutturato ed efficace.
In sintesi, anche se l’auditore deve valutare il “sistema” e, se del caso, circoscrivere il senso delle non-conformità al perimetro dei requisiti della norma, la “certificabilità” del sistema non può prescindere dalla conformità legale che è vista anzi come un prerequisito necessario e deve essere oggetto di audit.
Dotarsi quindi di strumenti idonei per conoscere l’evoluzione normativa, interpretare gli adempimenti che ne scaturiscono, diffondere tali informazioni e dimostrare di verificare periodicamente di rispettarli sono aspetti imprescindibili senza i quali una certificazione non dovrebbe, a mio parere, essere concessa.
Ma quindi, la certificazione ISO 45001 migliora davvero le performance di sicurezza?
Lo studio più importante (al quale rimando volentieri) è l’indagine Accredia-INAIL del 2024; l’indagine è particolarmente utile perché confronta imprese certificate e non certificate, usa indicatori INAIL (indici di frequenza e gravità) ed evidenzia variabilità per settore. Da un punto di vista meramente statistico si evince che nelle imprese certificate si constata una riduzione sia dell’indice di frequenza (tra -14% e -41%) sia dell’indice di gravità (tra -13% e -39%, in funzione del tipo di attività economica).
Questi dati vanno interpretati con attenzione poiché, ad esempio, è evidente che la platea di aziende che investono in una certificazione ISO 45001 sono già alla base probabilmente più propense ad investire nella sicurezza e quindi potranno avere più facilmente risultati migliori indipendentemente dalla certificazione.
Altra critica “forte”: siamo sicuri che esiste un nesso diretto tra organizzazione nella sicurezza e, ad esempio, giorni di assenza dei dipendenti, soprattutto in un contesto nel quale le assenze per motivi di salute mentale e, per esempio, per infortuni in itinere sono sempre più in aumento?
E, ultimo punto dolente (per un auditor come me): quanto sono serie e fondate su un vero sistema di prevenzione efficace le certificazioni attualmente rilasciate?
È tuttavia innegabile che la certificazione ISO 45001 attesta come minimo una maggiore attenzione alla gestione dell’impresa, un maggiore controllo della propria conformità legislativa, una predisposizione ad apportare miglioramenti operativi che rasserena i rapporti con i lavoratori e migliora il loro comportamento sul lavoro.
A tutto ciò vanno aggiunti gli importantissimi effetti esimenti a favore dell‘azienda, dei datori di lavoro e dei dirigenti in caso di procedimenti giudiziari.
Nel complesso, possiamo quindi dire che tutti i dati confermano il valore aggiunto in termini risultati concreti nell’aderire all’approccio organizzativo dei sistemi di gestione certificati ISO 45001 (purché accreditati, aggiungo io).
La certificazione: un vantaggio competitivo anche domani
La certificazione è un acceleratore, non un sostituto della conformità: aiuta a strutturare, misurare e dimostrare, ma non “copre” automaticamente lacune legali. La certificazione tuttavia é un incentivo a dotarsi di strumenti di compliance evoluti che permettono alle aziende di governare efficacemente le continue evoluzioni normative.
La certificazione è anche “documentazione” ma oggi deve essere principalmente dati, informazioni che corrono veloci ad arrivano tempestivamente alla persona giusta.
Per le aziende, dotarsi di un sistema ERP non è più un’opzione, ma una leva essenziale di efficienza e controllo, un presupposto organizzativo fondamentale per garantire controllo, tracciabilità e integrazione dei processi aziendali, incluso quindi i sistemi di gestione.
La certificazione della sicurezza non può restare un adempimento formale: deve essere vissuta dai lavoratori e trasformarsi in un modello organizzativo che favorisca benessere, coinvolgimento e qualità del lavoro. Questo è tanto più vero oggi, in un contesto in cui le imprese devono intercettare le nuove esigenze della Generazione Z e, prossimamente, Alpha.
La futura ISO 45001 metterà l’accento sul benessere mentale dei lavoratori, intesi come tutti coloro che lavorano per conto dell’azienda e non solo i dipendenti, sulle tecnologie digitali, sia in termini positivi che negativi, sulla gestione sempre più ampliata della supply chain con i relativi rischi inclusi quelli climatici, sulla resilienza aziendale a fronte dei continui cambiamenti politici, tecnologici, di costume. In questo contesto sempre più la certificazione significa governance.
Approfittiamo quindi di questi elementi per dare valore aggiunto alla certificazione del futuro e fare in modo che ci aiuti nelle sfide di domani: come? Provo a tracciare alcuni assi di sviluppo che mi sembrano pertinenti:
- Estendiamo il perimetro della metodologia della valutazione dei rischi ISO 45001 ai nuovi rischi (psicosociali, rischi climatici, rischi di genere, smart working, interazione uomo–macchina avanzata ecc.); in molte aziende italiane, questi domini sono ancora gestiti in modo disomogeneo;
- Creiamo un processo di compliance e dotiamoci di strumenti software evoluti per governare questo processo in quanto il quadro legislativo subisce continue modifiche per adattarsi alle richieste dei mercati domestico e internazionale;
- Colleghiamo in un circolo virtuoso PDCA, i risultati del monitoraggio con la valutazione dei rischi tramite strumenti evoluti di analisi dei dati (anche grazie all’AI)
- Modernizziamo il processo di auditing, facendo evolvere le check list per la registrazione delle evidenze verso strumenti informatici flessibili e intelligenti.
La mia visione è sempre stata quella di rendere disponibile a tutte le imprese strumenti evoluti, spesso a disposizione solo delle grandi aziende internazionali, adattandone le modalità di fruizione e riducendone i costi per renderli accessibili; per questo motivo sono molto interessato a dare il mio piccolo contributo nel fornire risposte a queste sfide.