Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
La norma UNI ISO 31000: gestione del rischio, principi e linee guida
Prendiamo spunto dalla ISO 9001 che attendiamo nella imminente pubblicazione in revisione 2015 per approfondire un aspetto innovativo e particolare qual è la valutazione del rischio finalizzata alla gestione dello stesso.
La nuova ISO 9001 introduce infatti come requisito “cogente” il risk assessment introducendo in modo rivoluzionario un concetto al quale si era abituati, in linea di principio, in ottica di valutazione dei rischi per la salute e la sicurezza sul lavoro, ma non in modo esteso a tutto quanto possa in qualche modo minare o comunque limitare la capacità dell’azienda di produrre beni o servizi. Con la nuova ISO 9001 il concetto di valutazione del rischio spazia senza misura lasciando la possibilità, ma in realtà pretendendo, che l’azienda affronti e prenda in considerazione tutto quello che impatta sulla continuità dei processi aziendali.
Lo strumento con il quale affrontare la gestione del rischio, però, è offerto da un’altra norma di riferimento, già presente da tempo, ma ancora poco utilizzata: la norma UNI ISO 31000 del 2010 dal titolo “Gestione del rischio – Principi e linee guida”. Questo schema offre infatti al risk manager la possibilità di inquadrare tale valutazione globale in un contesto sistemico che sia in grado di dialogare con le metodologie tipiche dei sistemi di gestione rappresentate per esempio dalle norma ISO 9001, 14001, 27000, BS OHSAS 18001, etc..
Se allora è sufficientemente chiaro il concetto della relazione tra risk management ed ISO 9001 dove si colloca però la tradizionale valutazione dei rischi per la salute e la sicurezza sul lavoro? È qualcosa di nuovo? E un modo diverso di affrontare lo stesso argomento?
L’approccio “all risk”, nel quale si prendono in considerazione tutti gli aspetti che impattano sul processo produttivo è qualcosa di concettualmente più ampio ed esteso di quello che rappresenta la valutazione per come siamo abituati a considerarla con riferimento al’art. 28 del d.lgs 81/08.
Per farsi però meglio un’idea è utile dare un’occhiata alla norma stessa ISO 31000 prendendo in considerazione alcuni passaggi chiave anche in relazione con la collegata norma ISO IEC 31010:2009 – dal titolo “Risk management – Risk assessment techniques.”
Innanzi tutto è bene chiarire a chi si rivolge e qual è lo scopo di questa norma internazionale.
I destinatari per l’utilizzo sono rappresentati dai gestori degli aspetti di rischio di qualsiasi attività, sia pubblica che privata, che abbiano bisogno di gestire tutti gli eventi che possano in qualche modo limitare o impattare sulla sua capacità di creare prodotti o erogare servizi in modo continuativo, senza blocchi od interruzioni dovuti ad eventi accidentali o imprevisti. Scopo di questa norma è quello di offrire uno strumento, una sorta di quadro di riferimento o di schema orientativo, che permetta di definire ed adottare una modalità completa ed efficace di valutazione dei rischi che possono impattare sui processi aziendali e di definire i corrispondenti interventi volti a prevenire o mitigare gli effetti di tutti gli eventi potenziali ed indesiderati.
Se è sufficientemente chiaro a questo punto a chi si rivolge ed a cosa concretamente serve, allora può essere utile capire anche alcuni concetti chiave di riferimento trattati dalla norma stessa.
Iniziamo con qualche considerazione sulle definizioni e poi rivolgiamo l’attenzione ad alcuni principi, quanto basti per rendersi conto della portata e delle grandi ambizioni di questa norma.
Interessante è l’attuale definizione di rischio come “l’effetto dell’incertezza sugli obiettivi”. Così adesso la valutazione del rischio diventa il “processo complessivo di identificazione del rischio, analisi del rischio e ponderazione del rischio”. Abbiamo perso la distinzione tra identificazione dei pericoli e valutazione dei rischi correlati. La parola pericolo è stata superata dalla parola rischio in tutte le espressioni. Interessante è anche la definizione di quello che per gli uomini della sicurezza è il datore di lavoro: “la persona con responsabilità e l’autorità per gestire un rischio”. Sicuramente completa ed esauriente, comprende anche il caso in cui il titolare coincide con il consiglio di amministrazione dell’impresa.
La valutazione del rischio poggia sul concetto di ponderazione, che viene associato al concetto di accettabilità o meno di un rischio. Concetto, anche questo, che nella normativa cogente è accettato per settori alterni in modo un po’ ipocrita. Nel decreto legislativo 81 del 2008, infatti, per alcuni rischi si definisce in modo quantitativo la soglia di attenzione (per esempio rumore e vibrazioni) mentre per altri ci deve essere un continuo monitoraggio e tensione al miglioramento perché non è definita per legge una soglia di accettabilità (si pensi per esempio al rischio di tipo infortunistico).
Se queste sono le definizioni, altrettanto interessanti sono i principi descritti nella prima parte della norma. Ne vediamo alcuni solo per farci un’idea.
Con l’affermazione che “la gestione del rischio crea e protegge il valore” si esprime un alto concetto di gestione del rischio finalizzato a fare in modo che l’azienda continui a persistere e svilupparsi nel tempo. È come dire che la gestione del rischio efficace e strutturata è imprescindibile da una gestione d’impresa che si prefigga la continuità nel tempo. Questo principio è poi completato con il secondo: “la gestione del rischio è parte integrante di tutti i processi dell’organizzazione”, come per dire che la sicurezza non è solo una questione di interesse del responsabile SPP, ma pervade tutti i processi ed i relativi responsabili. È normalmente è solo questione di rendersene conto.
Ed infine chiunque persegua una gestione aziendale adeguata virtuosa non può che condividere il concetto secondo cui “la gestione del rischio è e deve essere sistematica, strutturata e tempestiva”. Come per dire che la gestione del rischio non è condizionata da umori o priorità, ma è attività continua, che non va improvvisata, ma pensata su solide basi ed è tanto più efficace quanto più la gestione è efficiente anche in termini di tempi di risposta.
Come collochiamo quindi la valutazione dei rischi per la salute e sicurezza sul lavoro con la quale siamo abituati a lavorare utilizzando la nuova ottica proposta dalla ISO 31000?
Se la metafora è accettabile potremmo considerare la valutazione dei rischi della sicurezza come una fetta di una torta più ampia e completa quale quella rappresentata dal risk assessment. Si tenga presente che la norma ISO 31010 dal punto di vista delle tecniche di valutazione è assolutamente esaustiva.
A titolo informativo si riporta di seguito l’elenco delle metodologie (tecniche) considerate valide e riportate nella norma:
1. Brainstorming
2. Interviste strutturata o semi strutturata
3. Metodo Delphi
4. Metodo con le Checklist
5. Analisi preliminare dei rischi (PHA)
6. Hazard and operability study (HAZOP)
7. Hazard analysis and critical control points (HACCP)
8. Valutazione della tossicità
9. Tecnica strutturata “What If”
10. Analisi degli scenari
11. Analisi dell’impatto di business
12. Analisi della radice delle cause
13. Failure mode and effects analysis (FMEA)
14. Analisi dell’albero degli errori
15. Analisi dell’albero degli eventi
16. Analisi causa e conseguenze
17. Analisi causa ed effetto
18. Analisi degli strati di protezione (LOPA)
19. Albero delle decisioni
20. Analisi dell’affidabilità umana (HRA)
21. Analisi della cravatta a farfalla
22. Manuntenzione dell’affidabilità centrata
23. Analisi dei circuiti nascosti
24. Analisi di Markov
L’obiettivo del risk management è infatti quello di capire cosa e come prevenire in relazione ai possibili eventi dannosi, ma anche cosa e come attenuare in termini di conseguenze e cosa eventualmente trasferire ad altri soggetti mediante, per esempio, idonee coperture assicurative. Si pensi ad esempio alla valutazione dei rischio inondazione per uno stabilimento che si trovi nelle vicinanze di un grande corso d’acqua che sistematicamente, nel periodo più piovoso, minaccia esondazioni che potenzialmente potrebbero danneggiare anche lo stabilimento. In questo caso un attento ed accurato risk assessment porterebbe a valutare con la giusta attenzione le conseguenze di un accadimento di questo tipo sia in termini di probabilità dell’evento che di entità del danno. Ed una delle possibilità di risk management sicuramente è quella rappresentata dalla sottoscrizione di un’adeguata polizza assicurativa che permetta di contenere l’eventuale fermo lavorativo entro tempi accettabili.
Stessa cosa per uno stabilimento che si sia inaspettatamente scoperto essere in zona sismica come quello che è successo qualche anno fa in Emilia Romagna. A questo punto la valutazione di convenienza è pesantemente condizionata dal premio assicurativo da pagare annualmente, ma anche dall’accuratezza con la quale il rischio è valutato e gestito.
Quanto appena descritto ha solo lo scopo di illustrare quanto il risk assessment richiamato dalla ISO 9001 e preso in gestione dalla ISO 31000 possa essere esteso, diversificato ed articolato. E tutto ciò in un’ottica di business continuity cioè di continuità del processo produttivo o di erogazione dei servizi. E proprio la business continuity è la chiave per cogliere e valutare con una nuova ottica la Valutazione dei Rischi per la Salute e Sicurezza dei Lavoratori.
In questa accezione la VdR non è tanto adempimento formale per dare attuazione ad un articolato e fastidioso obbligo di legge, quanto scelta strategica e ponderata di gestione degli eventi che, non solo possono avere conseguenze drammatiche per la salute e la sicurezza dei lavoratori, ma possono anche limitare pesantemente la capacità ed i flussi produttivi con tutte le conseguenti ulteriori conseguenze negative.
Se accolta in quest’ottica, la valutazione dei rischi diventa l’origine di un continuum che nasce da un atto di consapevolezza formale delle condizioni di lavoro e definisce poi tutta una serie di interventi di adeguamento e miglioramento volti ad aumentare il livello di sicurezza attesa nei confronti dei lavoratori, ma contemporaneamente limitare e contenere il più possibile tutte le situazioni di interruzione dei processi produttivi. Si potrebbe anche pensare ad un concetto di “efficientamento” dei processi stessi. E’ un po’ come si fa per la manutenzione programmata in cui si vanno a sostituire dei componenti o dei pezzi che ancora risultano in buono stato o comunque funzionanti in modo soddisfacente. Considerato infatti il periodo di vita del pezzo, in relazione a quanto ha lavorato od alla velocità con cui si è usurato, allora probabilmente è più conveniente un fermo manutentivo gestito e programmato nel quale si rinnova la componentistica piuttosto che gestire un fermo improvviso, indesiderato che, a volte, per la legge di Murphy, avrebbe un’alta probabilità di accadere proprio nel momento in cui le conseguenze sarebbero particolarmente dannose.
Secondo la norma UNI ISO 31000 ad un processo di risk assessment, eseguito considerando il contesto adeguatamente descritto, fa seguito la gestione (management) che prevede specifici gradi di strutturazione .
Potremmo dire che un’insufficiente applicazione delle metodologie di risk management costringe di fatto l’azienda ad avere un’alta capacità di resilienza. Il patrimonio di un’azienda "resiliente" può essere considerato come la capacità non tanto di resistere alle deformazioni, quanto di capire come possano essere ripristinate le condizioni di attività, scoprendo una modalità che renda possibile la continuità del progetto imprenditoriale. Vi sono infatti processi economici e sociali che, in conseguenza del trauma costituito da una catastrofe, cessano di svilupparsi restando in una continua instabilità e, alle volte, addirittura collassano, estinguendosi. In altri casi, al contrario, sopravvivono e, anzi, proprio in conseguenza del trauma, trovano la forza e le risorse per una nuova fase di crescita e di affermazione
Il problema in tutto questo è che questa capacità, non è definibile a priori e l’azienda comprende la sua capacità di resilienza solo nel momento del bisogno. E se dovesse essere insufficiente sarebbe troppo tardi per rendersene conto.
Ecco quindi che il concetto di risk assessment, non nuovo nella sostanza, ma rinnovato nell’approccio, rappresenta un necessario passaggio per la crescita e lo sviluppo di qualsiasi azienda.
Davide Biasco
Questo articolo è pubblicato sotto una Licenza Creative Commons.
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.
Pubblica un commento
Rispondi Autore: Carlo Parducci - likes: 0 | 20/05/2015 (08:13:12) |
Interessante per gli spunti di riflessione indotti, tra i quali: sulla base di quanto già affrontato per valutare il rischio d'impresa a fronte del DLgs. 231/01, sarebbe ora di standardizzare,con l'integrazione di una serie di fattori, un metodo di misura ponderale, della soglia di accettabilità del rischio infortunistico (capacità di resilienza) aziendale. |