Le aziende certificate, o che aspirano a certificarsi, secondo gli standard UNI EN ISO 45001:2023 o UNI EN ISO 14001:2015, devono dimostrare la conoscenza e il rispetto dei requisiti di conformità legislativa, e non solo.
Vediamo cosa significa e come si realizza.
Passo 1: l’elenco dei requisiti
ATTENZIONE: NON A CASO, QUESTO PUNTO SI TROVA ALL’INTERNO DEL PUNTO 6 PIANIFICAZIONE. I REQUISITI LEGALI ENTRANO NEI PROCESSI DI PIANIFICAZIONE DEL SISTEMA E DEL SUO MIGLIORAMENTO
Il punto 6.1.3 delle due norme prevede:
L’organizzazione deve stabilire, attuare e mantenere uno o più processi per:
a) determinare e avere accesso a requisiti legali aggiornati e ad altri requisiti applicabili ai suoi pericoli, ai rischi per la SSL e al sistema di gestione per la SSL;
Il primo passo è quello di individuare quelli che sono i requisiti applicabili in base alla tipologia di attività svolta, caratteristiche dell’azienda e non solo. I requisiti possono essere:
1. requisiti legali: sono quelli imposti dalla normativa a prescindere dalla fonte (internazionale, nazionale, locale). Si noti come il richiamo non sia alla “norma” ma al requisito. Quello che davvero interessa non è conoscere l’elenco delle norme applicabili ma quelli che sono i requisiti che l’organizzazione deve rispettare. L’ELENCO DEI REQUISITI NON DEVE ESSERE UN ELENCO DI NORME;
2. requisiti aggiuntivi: sono quelli non derivati direttamente da normative vigenti ma che l’organizzazione deve comunque rispettare a fronte di: forniture a clienti che richiedono dei requisiti particolari, adesione ad organizzazioni, adesione a protocolli opzionali ecc. Questi diventano, per l’organizzazione, obblighi di conformità che vanno comunque verificati. Si pensi, ad esempio, ai Contratti Collettivi ai quali l’azienda ha deciso di aderire, associazioni di categoria con loro requisiti ecc.
b) determinare in che modo questi requisiti legali e altri requisiti si applicano all’organizzazione e cosa necessita di essere comunicato;
Individuati i requisiti, per ognuno di essi, l’organizzazione deve determinare come questi impattano sulla propria organizzazione. Questo processo è essenziale per trasformare una prescrizione in un’azione da adottare o pianificare. Pensiamo, ad esempio, alla formazione: una volta individuato il requisito della formazione per chi usa il carrello elevatore, devo trasmettere all’ufficio acquisti i requisiti del soggetto al quale affidare questa formazione tenendo conto dei requisiti del soggetto organizzatore secondo l’Accordo del 22/02/2012, devo chiedere all’ufficio personale l’elenco delle persone che utilizzano carrelli elevatori, chiedere al responsabile di sede se vi è uno spazio adatto per la prova pratica o meno ecc. E’ evidente come la mancata attuazione di questo processo, ma la mera acquisizione del requisito possa determinare una serie di problemi che potrebbero esporre l’organizzazione ad una inadempienza.
Analogamente, diventa essenziale trasferire all’ufficio gare o commerciale, la consapevolezza di come, alcuni capitolati d’appalto o di gara, possono contenere requisiti anche in ambito sicurezza e ambiente che vanno considerati nella predisposizione dell’offerta, per evitare di non considerare dei costi aggiuntivi legati a requisiti fissati dal cliente.
c) tenere conto di questi requisiti legali e altri requisiti nell’istituzione, attuazione, mantenimento e miglioramento continuo del proprio sistema di gestione per la SSL.
Molti requisiti impattano sul sistema di gestione:
procedure: alcuni requisiti possono rendere necessario modificare o integrare o creare ex novo procedure per intercettare e gestire correttamente questi requisiti. Ad esempio: azienda che svolge attività in appalto presso un committente; questi richiede che tutti gli infortuni che avvengono presso la propria sede vengano comunicati. Dovrò integrare la mia procedura di gestione eventi indicando che questi devono anche essere comunicati alla committenza. Facendo questo, potrei anche decidere di estenderlo anche agli altri clienti che non me lo hanno mai chiesto e, così facendo, dimostrare un’ulteriore attenzione al tema;
obiettivi: nel determinare gli obiettivi di miglioramento e le azioni da mettere in campo, non possono non considerare gli obblighi di conformità che, inevitabilmente, dreneranno alcune risorse economiche e di tempo che potrebbero rendere altre azioni non più sostenibili e, quindi, da dilazionare. Pensate, ad esempio, un’organizzazione che, a fine 2011 decide di mettere in campo un’attività di sensibilizzazione nel 2012 dedicata allo spandimento di agenti chimici sul luogo di lavoro, poi arriva l’Accordo che gli impone 16 ore a tutti i neoassunti. A questo punto, l’organizzazione deve rivedere i propri piani e capire se, a fronte di questo nuovo requisito, rimangono le risorse per andare avanti con il proprio piano o no.
contesto e parti interessate: i requisiti, soprattutto quelli aggiuntivi da parte dei clienti, possono delineare sviluppo di una certa propensione del mercato su temi quali la sicurezza e l’ambiente. Intercettarli e farsene carico potrebbe essere un’interessante miglioramento nel posizionamento dell’organizzazione.
analisi dei rischi e delle opportunità: nuovi requisiti possono essere dei rischi da gestire con risorse ma possono anche essere opportunità (ho una struttura che mi permette di gestire bene questo requisito mentre i competitor so che andranno in difficoltà). I requisiti possono anche essere delle opportunità per nuovi business o essere dei rischi di andare fuori mercato su commesse in essere da tanto tempo. In ogni caso, la gestione corretta di questi permette all’organizzazione di massimizzare le opportunità e minimizzare i rischi.
L’organizzazione deve mantenere e conservare le informazioni documentate sui propri requisiti legali e altri requisiti e deve assicurarsi che siano aggiornate per recepire gli eventuali cambiamenti.
Questo è il punto più burocratico. Come attuare questo? Ad esempio con un elenco dei requisiti legali e aggiuntivi su foglio di calcolo, testo, piattaforma online ecc.
Importantissima è la fase di aggiornamento che diventa il fulcro del processo anche nell’ottica della prevenzione dei rischi (vedasi Nota al punto 6.1.3).
Passo 2: la verifica di conformità
Se al punto 6 delle norme troviamo l’istituzione e aggiornamento dell’elenco dei requisiti, all’interno del punto 9 (valutazione delle prestazioni) troviamo la c.d. valutazione della conformità.
A questo punto, quindi, dobbiamo verificare se, rispetto ai requisiti individuati, l’organizzazione è conforme o meno e a che livello di conformità è.
L’organizzazione deve stabilire, attuare e mantenere uno o più processi per valutare la conformità ai requisiti legali e altri requisiti (vedere punto 6.1.3).
All’interno dei processi di sorveglianza e misurazione dell’efficacia del sistema, l’organizzazione deve dimostrare di tenere sotto controllo il proprio grado di conformità ai requisiti. Facendo parte del punto 9, questo processo va a finire nell’alveo di processi legati agli indicatori e agli audit interni. Spesso, la verifica di conformità si svolge contestualmente agli audit interni ma è opportuno che il processo, almeno sulle parti operative, si integri nei processi di monitoraggio periodico (9.1.1) se necessario, determinando una frequenza di verifica maggiore rispetto allo svolgimento degli audit.
L’organizzazione deve:
a) determinare la frequenza e i metodi per la valutazione della conformità;
Come per gli indicatori (punto 9.1.1) anche per i requisiti di conformità devo determinare:
cosa monitorare: in questo caso il monitoraggio deve riguardare tutti i requisiti;
metodi per il monitoraggio: a campione o a tappeto, mediante acquisizione di documenti o tramite estrazione di report, verticale od orizzontale ecc. Questo va descritto nell’ambito della procedura o processo;
criteri di valutazione: potremmo dire che questo punto è semplice: conforme o non conforme. Potremmo, però, avere requisiti ad entrata in vigore ritardata che vorremmo misurare nel senso di raggiungere la conformità X mesi prima dell’entrata in vigore. In questo caso, il criterio è proprio il tempo. In caso di mancata conformità, potremmo voler conoscere l’estensione del mancato rispetto del requisito (es. persone alle quali è scaduta la formazione antincendio).
quando: devo determinare quando fare questa verifica e la frequenza. Come detto sopra, spesso viene svolta nell’ambito degli audit interni.
quando analizzare i risultati: una volta fatta la verifica, i risultati di questa andranno analizzati dall’organizzazione per comprendere come reagire. Questa analisi può essere fatta nell’ambito del riesame della direzione o in momenti diversi.
b) valutare la conformità e intraprendere azioni, se necessario (vedere punto 10.2);
Chiaramente, dalla valutazione della conformità, possono emergere dei requisiti non rispettati:
se si tratta di requisiti in corso di entrata in vigore, si deve provvedere a prevedere le azioni volte al loro rispetto entro i termini di entrata in vigore;
se si tratta di requisiti già applicabili, si tratta di aprire una non conformità volta a comprendere come è potuto accadere di non rispettare un requisito. La funzione della non conformità è anche quella di indagare le cause profonde (vedasi l’articolo https://www.linkedin.com/pulse/cei-en-627402015-analisi-delle-cause-profonde-radice-aimsafe/?originalSubdomain=it).
c) mantenere la conoscenza e la comprensione del proprio stato di conformità ai requisiti legali e altri requisiti;
Tutto questo processo è volto a comprendere il livello di conformità ai requisiti dell’organizzazione per individuare i punti di debolezza e le opportunità di miglioramento. Sebbene questo discorso possa sembrare poco applicabile ad un obbligo di conformità (o lo rispetto o sono in una condizione di irregolarità), avere contezza del proprio livello di rispetto normativa evita di incorrere in situazioni inattese e permette di indirizzare le risorse privilegiando la messa a norma. Non a caso, si fa la GAP analysis e le Due diligence.
d) conservare informazioni documentate dei risultati della valutazione della conformità.
La norma impone che la verifica di conformità venga in qualche modo documentata per dare evidenza della sua effettuazione e dei risultati della stessa. Gli stessi risultati li troviamo tra gli elementi di ingresso del riesame della direzione al punto 9.3
ATTENZIONE: NON A CASO, QUESTO PUNTO SI TROVA ALL’INTERNO DEL PUNTO 6 PIANIFICAZIONE. I REQUISITI LEGALI ENTRANO NEI PROCESSI DI PIANIFICAZIONE DEL SISTEMA E DEL SUO MIGLIORAMENTO
Il punto 6.1.3 delle due norme prevede:
L’organizzazione deve stabilire, attuare e mantenere uno o più processi per:
a) determinare e avere accesso a requisiti legali aggiornati e ad altri requisiti applicabili ai suoi pericoli, ai rischi per la SSL e al sistema di gestione per la SSL;
Il primo passo è quello di individuare quelli che sono i requisiti applicabili in base alla tipologia di attività svolta, caratteristiche dell’azienda e non solo. I requisiti possono essere:
1. requisiti legali: sono quelli imposti dalla normativa a prescindere dalla fonte (internazionale, nazionale, locale). Si noti come il richiamo non sia alla “norma” ma al requisito. Quello che davvero interessa non è conoscere l’elenco delle norme applicabili ma quelli che sono i requisiti che l’organizzazione deve rispettare. L’ELENCO DEI REQUISITI NON DEVE ESSERE UN ELENCO DI NORME;
2. requisiti aggiuntivi: sono quelli non derivati direttamente da normative vigenti ma che l’organizzazione deve comunque rispettare a fronte di: forniture a clienti che richiedono dei requisiti particolari, adesione ad organizzazioni, adesione a protocolli opzionali ecc. Questi diventano, per l’organizzazione, obblighi di conformità che vanno comunque verificati. Si pensi, ad esempio, ai Contratti Collettivi ai quali l’azienda ha deciso di aderire, associazioni di categoria con loro requisiti ecc.
b) determinare in che modo questi requisiti legali e altri requisiti si applicano all’organizzazione e cosa necessita di essere comunicato;
Individuati i requisiti, per ognuno di essi, l’organizzazione deve determinare come questi impattano sulla propria organizzazione. Questo processo è essenziale per trasformare una prescrizione in un’azione da adottare o pianificare. Pensiamo, ad esempio, alla formazione: una volta individuato il requisito della formazione per chi usa il carrello elevatore, devo trasmettere all’ufficio acquisti i requisiti del soggetto al quale affidare questa formazione tenendo conto dei requisiti del soggetto organizzatore secondo l’Accordo del 22/02/2012, devo chiedere all’ufficio personale l’elenco delle persone che utilizzano carrelli elevatori, chiedere al responsabile di sede se vi è uno spazio adatto per la prova pratica o meno ecc. E’ evidente come la mancata attuazione di questo processo, ma la mera acquisizione del requisito possa determinare una serie di problemi che potrebbero esporre l’organizzazione ad una inadempienza.
Analogamente, diventa essenziale trasferire all’ufficio gare o commerciale, la consapevolezza di come, alcuni capitolati d’appalto o di gara, possono contenere requisiti anche in ambito sicurezza e ambiente che vanno considerati nella predisposizione dell’offerta, per evitare di non considerare dei costi aggiuntivi legati a requisiti fissati dal cliente.
c) tenere conto di questi requisiti legali e altri requisiti nell’istituzione, attuazione, mantenimento e miglioramento continuo del proprio sistema di gestione per la SSL.
Molti requisiti impattano sul sistema di gestione:
procedure: alcuni requisiti possono rendere necessario modificare o integrare o creare ex novo procedure per intercettare e gestire correttamente questi requisiti. Ad esempio: azienda che svolge attività in appalto presso un committente; questi richiede che tutti gli infortuni che avvengono presso la propria sede vengano comunicati. Dovrò integrare la mia procedura di gestione eventi indicando che questi devono anche essere comunicati alla committenza. Facendo questo, potrei anche decidere di estenderlo anche agli altri clienti che non me lo hanno mai chiesto e, così facendo, dimostrare un’ulteriore attenzione al tema;
obiettivi: nel determinare gli obiettivi di miglioramento e le azioni da mettere in campo, non possono non considerare gli obblighi di conformità che, inevitabilmente, dreneranno alcune risorse economiche e di tempo che potrebbero rendere altre azioni non più sostenibili e, quindi, da dilazionare. Pensate, ad esempio, un’organizzazione che, a fine 2011 decide di mettere in campo un’attività di sensibilizzazione nel 2012 dedicata allo spandimento di agenti chimici sul luogo di lavoro, poi arriva l’Accordo che gli impone 16 ore a tutti i neoassunti. A questo punto, l’organizzazione deve rivedere i propri piani e capire se, a fronte di questo nuovo requisito, rimangono le risorse per andare avanti con il proprio piano o no.
contesto e parti interessate: i requisiti, soprattutto quelli aggiuntivi da parte dei clienti, possono delineare sviluppo di una certa propensione del mercato su temi quali la sicurezza e l’ambiente. Intercettarli e farsene carico potrebbe essere un’interessante miglioramento nel posizionamento dell’organizzazione.
analisi dei rischi e delle opportunità: nuovi requisiti possono essere dei rischi da gestire con risorse ma possono anche essere opportunità (ho una struttura che mi permette di gestire bene questo requisito mentre i competitor so che andranno in difficoltà). I requisiti possono anche essere delle opportunità per nuovi business o essere dei rischi di andare fuori mercato su commesse in essere da tanto tempo. In ogni caso, la gestione corretta di questi permette all’organizzazione di massimizzare le opportunità e minimizzare i rischi.
L’organizzazione deve mantenere e conservare le informazioni documentate sui propri requisiti legali e altri requisiti e deve assicurarsi che siano aggiornate per recepire gli eventuali cambiamenti.
Questo è il punto più burocratico. Come attuare questo? Ad esempio con un elenco dei requisiti legali e aggiuntivi su foglio di calcolo, testo, piattaforma online ecc.
Importantissima è la fase di aggiornamento che diventa il fulcro del processo anche nell’ottica della prevenzione dei rischi (vedasi Nota al punto 6.1.3).
Passo 2: la verifica di conformità
Se al punto 6 delle norme troviamo l’istituzione e aggiornamento dell’elenco dei requisiti, all’interno del punto 9 (valutazione delle prestazioni) troviamo la c.d. valutazione della conformità.
A questo punto, quindi, dobbiamo verificare se, rispetto ai requisiti individuati, l’organizzazione è conforme o meno e a che livello di conformità è.
L’organizzazione deve stabilire, attuare e mantenere uno o più processi per valutare la conformità ai requisiti legali e altri requisiti (vedere punto 6.1.3).
All’interno dei processi di sorveglianza e misurazione dell’efficacia del sistema, l’organizzazione deve dimostrare di tenere sotto controllo il proprio grado di conformità ai requisiti. Facendo parte del punto 9, questo processo va a finire nell’alveo di processi legati agli indicatori e agli audit interni. Spesso, la verifica di conformità si svolge contestualmente agli audit interni ma è opportuno che il processo, almeno sulle parti operative, si integri nei processi di monitoraggio periodico (9.1.1) se necessario, determinando una frequenza di verifica maggiore rispetto allo svolgimento degli audit.
L’organizzazione deve:
a) determinare la frequenza e i metodi per la valutazione della conformità;
Come per gli indicatori (punto 9.1.1) anche per i requisiti di conformità devo determinare:
cosa monitorare: in questo caso il monitoraggio deve riguardare tutti i requisiti;
metodi per il monitoraggio: a campione o a tappeto, mediante acquisizione di documenti o tramite estrazione di report, verticale od orizzontale ecc. Questo va descritto nell’ambito della procedura o processo;
criteri di valutazione: potremmo dire che questo punto è semplice: conforme o non conforme. Potremmo, però, avere requisiti ad entrata in vigore ritardata che vorremmo misurare nel senso di raggiungere la conformità X mesi prima dell’entrata in vigore. In questo caso, il criterio è proprio il tempo. In caso di mancata conformità, potremmo voler conoscere l’estensione del mancato rispetto del requisito (es. persone alle quali è scaduta la formazione antincendio).
quando: devo determinare quando fare questa verifica e la frequenza. Come detto sopra, spesso viene svolta nell’ambito degli audit interni.
quando analizzare i risultati: una volta fatta la verifica, i risultati di questa andranno analizzati dall’organizzazione per comprendere come reagire. Questa analisi può essere fatta nell’ambito del riesame della direzione o in momenti diversi.
b) valutare la conformità e intraprendere azioni, se necessario (vedere punto 10.2);
Chiaramente, dalla valutazione della conformità, possono emergere dei requisiti non rispettati:
se si tratta di requisiti in corso di entrata in vigore, si deve provvedere a prevedere le azioni volte al loro rispetto entro i termini di entrata in vigore;
se si tratta di requisiti già applicabili, si tratta di aprire una non conformità volta a comprendere come è potuto accadere di non rispettare un requisito. La funzione della non conformità è anche quella di indagare le cause profonde (vedasi l’articolo https://www.linkedin.com/pulse/cei-en-627402015-analisi-delle-cause-profonde-radice-aimsafe/?originalSubdomain=it).
c) mantenere la conoscenza e la comprensione del proprio stato di conformità ai requisiti legali e altri requisiti;
Tutto questo processo è volto a comprendere il livello di conformità ai requisiti dell’organizzazione per individuare i punti di debolezza e le opportunità di miglioramento. Sebbene questo discorso possa sembrare poco applicabile ad un obbligo di conformità (o lo rispetto o sono in una condizione di irregolarità), avere contezza del proprio livello di rispetto normativa evita di incorrere in situazioni inattese e permette di indirizzare le risorse privilegiando la messa a norma. Non a caso, si fa la GAP analysis e le Due diligence.
d) conservare informazioni documentate dei risultati della valutazione della conformità.
La norma impone che la verifica di conformità venga in qualche modo documentata per dare evidenza della sua effettuazione e dei risultati della stessa. Gli stessi risultati li troviamo tra gli elementi di ingresso del riesame della direzione al punto 9.3