Cos'è la ISO 45001?

di Stefania Cordiani

"La ISO 45001 è un accordo globale su cosa significa prendersi cura di chi lavora"
(QualitiAmo)

"Chi crea il rischio è responsabile di gestirlo"
(QualitiAmo)

"Gli incidenti non capitano: si costruiscono pezzo per pezzo e pezzo per pezzo si possono prevenire"
(QualitiAmo)

Cos'è esattamente la ISO 45001?

La ISO 45001 è uno standard internazionale che definisce i requisiti per un sistema di gestione per la salute e sicurezza sul lavoro (SSL). È stata sviluppata dall'International Organization for Standardization (ISO) con l'obiettivo di fornire alle organizzazioni di qualsiasi dimensione e settore un modello riconosciuto a livello mondiale per prevenire infortuni e malattie professionali.

Lo standard segue la struttura armonizzata (Harmonized Structure) comune ad altre norme ISO come la 9001 (qualità) e la 14001 (ambiente), facilitando così l'integrazione tra diversi sistemi di gestione.

Una metafora per capire meglio

Immaginate un'azienda come una casa in cui vivono molte persone. Ogni giorno queste persone si muovono, lavorano, usano strumenti e interagiscono tra loro. La casa può essere sicura oppure piena di pericoli nascosti: scale senza corrimano, impianti elettrici difettosi, pavimenti scivolosi, uscite di emergenza bloccate.

In altre parole, il regolamento edilizio vi dà una lista di requisiti mentre la ISO 45001 vi dà un sistema per gestire la sicurezza come processo continuo, non come adempimento una tantum.

La struttura armonizzata: un linguaggio comune

Ora immaginate che nella stessa casa voi dobbiate gestire non solo la sicurezza degli abitanti ma anche la qualità dei servizi offerti (pensiamo a una casa dove si affittano stanze) e l'impatto ambientale (consumi energetici, rifiuti, emissioni).

Potreste usare tre metodi completamente diversi, con tre linguaggi diversi, tre archivi separati, tre calendari di controlli che non si parlano tra loro e il risultato sarebbe confusione, duplicazioni e sprechi.

La struttura armonizzata (HS) risolve questo problema. È come se l'ISO avesse detto: tutte le norme di gestione devono seguire la stessa mappa. I capitoli sono gli stessi, la logica è la stessa, i termini chiave sono gli stessi. Tornando alla metafora della casa:

• Capitolo 4 - Contesto: capire di che tipo di casa si tratta, chi ci abita, cosa si aspettano i vicini.
• Capitolo 5 - Leadership: chi è il capofamiglia, quali sono le regole della casa.
• Capitolo 6 - Pianificazione: identificare i rischi e decidere le priorità.
• Capitolo 7 - Supporto: avere gli strumenti giusti e formare chi abita nella casa.
• Capitolo 8 - Attività operative: fare concretamente i lavori e prepararsi alle emergenze.
• Capitolo 9 - Valutazione: controllare che tutto funzioni e fare le verifiche periodiche.
• Capitolo 10 - Miglioramento: capire perché qualcosa non va e fare in modo che non succeda più.

Molte aziende si approcciano alla ISO 45001 pensando: "Quali documenti devo preparare per passare l'audit?". È come se il proprietario della casa pensasse: "Quali carte devo mostrare all'ispettore?".

Lo scopo reale è un altro: creare un ambiente dove le persone stiano bene e non si facciano male. I documenti sono una conseguenza, non il fine. Il sistema funziona quando gli abitanti si sentono sicuri, sanno a chi rivolgersi se notano un problema, vedono che le loro segnalazioni vengono prese sul serio e percepiscono un miglioramento nel tempo.

Una casa sicura non è quella che ha superato un'ispezione tre anni fa. È quella dove ogni giorno qualcuno si preoccupa che le cose funzionino e dove tutti contribuiscono a mantenerla tale.

La struttura del concetto: quale forma ha la ISO 45001?

La ISO 45001 non ha una sola forma. Strutturalmente si può definire come un ibrido perché presenta allo stesso tempo caratteristiche lineari e circolari, gerarchiche e rizomatiche, centripete e centrifughe. Questa complessità riflette la natura stessa del problema che cerca di risolvere.

Ma se dovessi scegliere una metafora dominante, direi che la ISO 45001 è un ciclo governato che tenta di contenere un rizoma.

1. La circolarità del PDCA

La forma più evidente è il cerchio. Il ciclo Plan-Do-Check-Act è rappresentato graficamente come una ruota che gira all'infinito, senza un inizio né una fine. Ogni "Act" diventa il "Plan" del ciclo successivo. Questa circolarità esprime un'idea: la sicurezza non è uno stato da raggiungere ma un processo da mantenere. Non si arriva mai. Si continua a girare.

Però. Il cerchio è una semplificazione. In realtà il ciclo non torna mai esattamente al punto di partenza. Ogni giro dovrebbe portare più in alto. La forma più accurata non è un cerchio ma una spirale ascendente.

Ogni ciclo costruisce su quello precedente. L'organizzazione impara, migliora, alza l'asticella. La spirale sale. Ma attenzione: la spirale può anche scendere: se l'organizzazione dimentica, se la Direzione si disimpegna, se le risorse vengono tagliate, il ciclo continua a girare ma scende verso il basso.

2. La gerarchia dei capitoli

Quando si apre la norma si vede una struttura gerarchica netta che è data dal nome dei capitoli. Questa struttura ad albero suggerisce un ordine: prima il contesto, poi la leadership, poi la pianificazione, e così via., facendo capire che alcuni elementi vengano prima di altri e che ci sia una sequenza logica.

Questa gerarchia, però, è in parte illusoria. I capitoli non sono realmente sequenziali perché il contesto influenza la pianificazione, ma la pianificazione può rivelare aspetti del contesto che non si erano visti prima, la leadership permea tutto, non solo il capitolo 5, ecc.

La struttura gerarchica della norma è un artificio editoriale, un modo per organizzare il testo. Non riflette la struttura reale del sistema, che è molto più interconnessa.

3. La gerarchia dei controlli

C'è anche una gerarchia genuina nella norma: è quella dei controlli.

Questa gerarchia è reale e prescrittiva perché dice: preferisci sempre i controlli in alto. Scendi solo quando quelli sopra non sono praticabili. Si tratta di un ordine di preferenza.

La forma piramidale esprime un'idea: l'efficacia decresce scendendo. Eliminare il pericolo è meglio che proteggersi da esso. La gerarchia incorpora una teoria causale: agire alla fonte è più efficace che agire sugli effetti.

4. Il centro e la periferia: la struttura centripeta della leadership

La ISO 45001 ha un centro gravitazionale: la leadership. Tutto ruota intorno ad essa. La leadership non è un capitolo tra gli altri. È il sole intorno a cui orbitano i pianeti. Senza di essa, il sistema si disgrega.

Questa struttura centripeta esprime una teoria del potere: il cambiamento parte dall'alto. La cultura viene plasmata dal vertice. Le risorse vengono allocate da chi ha autorità. La direzione strategica viene definita da chi guida.

La stessa norma, però, contiene un elemento che contraddice questa centralità: la partecipazione dei lavoratori. I lavoratori non sono solo oggetti della gestione della sicurezza, ma soggetti attivi e questo, ovviamente, introduce una tensione strutturale.

5. La rete delle interconnessioni

Se si mappano tutte le relazioni tra i requisiti della norma, non emerge un albero né un cerchio, ma una rete.

In questa rete, tutto è connesso a tutto. Le competenze influenzano i controlli. I controlli producono dati per il monitoraggio. Il monitoraggio alimenta il riesame. Il riesame modifica la politica. La politica ridefinisce le competenze necessarie.

Non c'è un flusso unidirezionale. Ci sono feedback loop ovunque. La struttura è reticolare, non lineare.

6. Il rizoma sottostante: i pericoli reali

Sotto la struttura ordinata della norma c'è qualcosa di molto diverso: la realtà dei pericoli in un'organizzazione.

I pericoli non rispettano organigrammi, non seguono procedure, non stanno nei capitoli dove li abbiamo messi. Emergono dalle interazioni impreviste, dalle combinazioni inattese, dai punti ciechi del sistema.

I pericoli formano una sorta di rizoma: una struttura senza centro, senza gerarchia, dove ogni punto può connettersi con ogni altro punto. Il rizoma cresce in direzioni imprevedibili, emerge dove non te lo aspetti, resiste ai tentativi di mappatura completa.

Il sistema di gestione (strutturato, gerarchico, proceduralizzato) cerca di contenere e controllare questo rizoma (caotico, emergente, imprevedibile) e questa è una tensione fondamentale.

La struttura della ISO 45001 è un tentativo di imporre ordine al disordine, di rendere gestibile l'ingestibile.

Le tensioni strutturali

La coesistenza di forme diverse crea tensioni.

Tensione 1: circolarità contro linearità del tempo

Il ciclo PDCA è circolare ma il tempo è lineare. Ogni giorno che passa è un giorno in meno. Le risorse si consumano. Le persone invecchiano. Le macchine si usurano.

La circolarità del ciclo suggerisce che si può sempre tornare, ripetere, migliorare. Ma nella realtà alcuni errori sono irreversibili. Un incidente mortale non si cancella nel ciclo successivo.

La tensione: il modello promette un eterno ritorno, ma la realtà è irreversibile.

Tensione 2: gerarchia contro partecipazione

La norma è fortemente centrata sulla leadership (struttura gerarchica) ma richiede anche una partecipazione autentica da parte dei lavoratori (struttura partecipativa).

Queste due strutture possono coesistere ma non senza frizione. La Direzione decide ma deve consultare i lavoratori. I lavoratori partecipano ma non decidono. Chi prevale quando c'è disaccordo?

La tensione: il potere sta in alto, ma la conoscenza sta in basso. La struttura deve mediare tra autorità e competenza.

Tensione 3: standardizzazione contro adattamento

La norma è uno standard internazionale, uguale per tutti ma ogni organizzazione è diversa e ogni contesto è unico.

La struttura della norma è rigida (dieci capitoli, requisiti specifici, una terminologia definita), ma pretende flessibilità nell'applicazione. "Adattare al contesto" è un mantra, ma la struttura stessa oppone una certa resistenza all'adattamento.

La tensione: la forma è universale, ma il contenuto deve essere particolare.

Tensione 4: controllo contro emergenza

Il sistema di gestione cerca di controllare, prevedere, proceduralizzare. Ma i pericoli emergono, si combinano, sorprendono.

La struttura del sistema è quella del controllo cibernetico: sensori, comparatori, attuatori. Ma la realtà dei pericoli è quella dei sistemi complessi adattativi: non lineari, emergenti, imprevedibili.

La tensione: La mappa non è il territorio. Il sistema di gestione è una mappa. I pericoli sono il territorio.

La forma profonda: il frattale

Se si guarda la ISO 45001 abbastanza a fondo, emerge una struttura frattale: lo stesso modello si ripete, infatti, a scale diverse.

A livello dell'intera organizzazione c'è un ciclo PDCA ma dentro ogni processo c'è un altro ciclo PDCA. Dentro ogni attività, un altro ancora. La stessa struttura si replica all'infinito verso il basso. Questa struttura frattale ha implicazioni profonde. Significa che la stessa logica si applica ovunque. Ma significa anche che la complessità esplode: cicli dentro cicli dentro cicli.

La forma come vincolo e come risorsa

La struttura della ISO 45001 non è neutra: rende alcune cose possibili e altre difficili.

Cosa facilita:

• sistematicità - la struttura obbliga a considerare tutti gli elementi, a non dimenticarne nessuno
• verificabilità - la struttura gerarchica permette di verificare la conformità requisito per requisito
• integrazione - la struttura HS condivisa con le altre norme ISO facilita l'integrazione dei sistemi di gestione
• comunicazione - la struttura comune crea un linguaggio condiviso tra organizzazioni, settori e paesi

Cosa ostacola:

• flessibilità radicale - la struttura presuppone un certo tipo di organizzazione. Forme organizzative molto diverse (network, piattaforme, comunità) potrebbero adattarsi male
• emergenza - la struttura è progettata per il controllo, non per l'emergenza. Fatica a catturare ciò che non era previsto
• semplicità - la struttura è complessa. Piccole organizzazioni possono trovarla sproporzionata
• autenticità - la struttura può essere rispettata formalmente senza essere vissuta autenticamente. La forma non garantisce la sostanza.

In sintesi: qual è la forma della ISO 45001?

Non c'è una sola forma, ma un insieme di forme in tensione:

            

              
Forma
              
Dove si trova
              
Cosa esprime
            
          

            
Cerchio/spirale
            
Ciclo PDCA
            
Miglioramento continuo, non c'è fine
          

            
Albero/gerarchia
            
Struttura dei capitoli, organigramma
Ordine, sequenza, responsabilità
Piramide
Gerarchia dei controlli
Preferenza, efficacia decrescente

              
Stella/centro
              
Ruolo della leadership
Potere, direzione, energia
Rete
              
Interconnessioni tra i requisiti
              
Interdipendenza, feedback
Rizoma
Pericoli reali sottostanti
Complessità, emergenza, imprevedibilità
Frattale
PDCA a tutte le scale
              
Ricorsività
          

La norma non è altro che il tentativo di usare strutture ordinate (cerchi, gerarchie, reti governate) per contenere una realtà che è fondamentalmente complessa.

Quando funziona, è perché le strutture ordinate riescono a incanalare l'energia organizzativa verso la prevenzione. Quando fallisce, è perché la realtà rizomatica sfugge alle maglie della rete, emerge dove non era attesa, colpisce dove le barriere non c'erano.

La forma della ISO 45001 è, in ultima analisi, la forma di un tentativo: il tentativo umano di portare ordine nel caos, prevedibilità nell'incertezza, controllo nell'emergenza. È un tentativo nobile e spesso efficace ma resta un tentativo. La forma non garantisce il risultato. Il territorio continua a sorprendere la mappa.

I predecessori intellettuali: a chi dobbiamo cosa

Ogni norma internazionale è il frutto di un'eredità di idee. La ISO 45001 non nasce dal nulla ma condensa decenni di riflessioni, errori, tragedie e intuizioni. Ecco una mappa delle influenze che hanno plasmato il modo in cui oggi pensiamo alla sicurezza sul lavoro.

Sidney e Beatrice Webb e la democrazia industriale (1897)

Ancora prima, alla fine del XIX secolo, i riformatori britannici Sidney e Beatrice Webb avevano coniato il termine "democrazia industriale" nel loro libro omonimo del 1897. Sostenevano che i lavoratori dovessero avere voce in capitolo nelle condizioni del proprio lavoro, non solo attraverso la contrattazione collettiva ma attraverso la partecipazione diretta alle decisioni.

Cosa dobbiamo ai Webb: l'idea che la democrazia non si fermi alle porte della fabbrica. Che i lavoratori siano cittadini anche quando lavorano, con diritti che vanno oltre il salario.

L'ILO e il lavoro come diritto (1919)

L'Organizzazione Internazionale del Lavoro nacque nel 1919 come parte del Trattato di Versailles, con la convinzione che la pace duratura richiede una giustizia sociale. Fin dalla sua costituzione, la protezione dei lavoratori da malattie e infortuni è stata una priorità.

Nel corso di un secolo, l'ILO ha sviluppato un corpus impressionante di convenzioni e raccomandazioni sulla sicurezza. La Convenzione 155 del 1981 sulla sicurezza e salute sul lavoro e la Convenzione 187 del 2006 sul quadro promozionale per la sicurezza sono state riconosciute come convenzioni fondamentali nel 2022, elevando la sicurezza sul lavoro al rango di diritto umano fondamentale.

Nel 2001 l'ILO pubblicò le "Linee guida sui sistemi di gestione della sicurezza e salute sul lavoro" (ILO-OSH 2001), che hanno fortemente influenzato lo sviluppo della ISO 45001.

Cosa dobbiamo all'ILO: la visione della sicurezza come diritto fondamentale, non come concessione. Il modello tripartito (governi, datori di lavoro, lavoratori) che ritroviamo nella ISO 45001 nell'enfasi sulla consultazione e partecipazione. L'idea che la sicurezza debba essere integrata nelle politiche nazionali e aziendali, non trattata come una questione separata.

Walter Shewhart e il ciclo PDCA (anni '20-'30)

Prima ancora che esistessero gli standard sulla sicurezza, un fisico dei Bell Laboratories stava gettando le basi di tutto il pensiero moderno sui sistemi di gestione. Walter Shewhart, negli anni '20, introdusse il concetto di controllo statistico dei processi e sviluppò quello che sarebbe diventato il ciclo Plan-Do-Check-Act.

L'idea era semplice ma rivoluzionaria: i processi non vanno solo eseguiti, ma pianificati, verificati e migliorati in modo continuo. Non si trattava di raggiungere uno stato finale perfetto, ma di instaurare un ciclo virtuoso senza fine.

Cosa dobbiamo a Shewhart: la struttura stessa della ISO 45001, organizzata secondo il ciclo PDCA, discende direttamente dal suo lavoro. Ogni capitolo della norma corrisponde a una fase del ciclo. La pianificazione (capitolo 6), l'operatività (capitolo 8), la valutazione (capitolo 9) e il miglioramento (capitolo 10) sono puro Shewhart tradotto nel linguaggio dei sistemi di gestione.

Herbert William Heinrich e la piramide degli infortuni (1931)

Nel 1931, un ispettore della Travelers Insurance Company pubblicò "Industrial Accident Prevention: A Scientific Approach". Heinrich aveva analizzato oltre 75.000 rapporti di infortunio e ne aveva tratto una conclusione che avrebbe influenzato generazioni di professionisti della sicurezza: esiste una proporzione costante tra incidenti gravi, incidenti minori e quasi-incidenti.

La famosa piramide di Heinrich (un incidente grave ogni 29 minori e 300 senza conseguenze) suggeriva che riducendo la base della piramide si sarebbe ridotto anche il vertice. L'altra sua grande intuizione fu la teoria del domino: un incidente è il risultato di una catena di eventi e interrompere la catena in qualsiasi punto può prevenire l'esito finale.

Cosa dobbiamo a Heinrich: l'attenzione ai near miss come indicatori predittivi. L'idea che gli incidenti abbiano cause identificabili e prevenibili. Il fondamento teorico per giustificare investimenti in prevenzione anche quando non ci sono stati incidenti gravi. La ISO 45001 richiede esplicitamente di investigare non solo gli incidenti, ma anche i quasi-incidenti.

W. Edwards Deming e la qualità come sistema (anni '50)

Allievo di Shewhart, Deming portò queste idee in Giappone nel dopoguerra, dove contribuì alla rinascita industriale del paese. Deming preferiva parlare di PDSA (Plan-Do-Study-Act), sottolineando che "Check" era troppo passivo: non basta verificare, bisogna studiare, comprendere, imparare.

Il grande esperto insisteva sul fatto che la qualità non è responsabilità di un reparto ma di tutto il sistema. I problemi non nascono quasi mai dalla negligenza individuale, ma da difetti sistemici. Punire il singolo lavoratore per un errore che il sistema ha reso inevitabile non è solo ingiusto, ma controproducente.

Cosa dobbiamo a Deming: l'idea che la sicurezza sia responsabilità del sistema, non solo dell'individuo. L'enfasi sul miglioramento continuo come processo senza fine. La convinzione che misurare e studiare i dati sia fondamentale per migliorare. E soprattutto, il rifiuto della cultura della colpa come strumento di gestione.

Il modello scandinavo di democrazia industriale (anni '60-'70)

Negli anni '60 e '70, i paesi scandinavi, in particolare Svezia e Norvegia, svilupparono modelli innovativi di partecipazione dei lavoratori alle decisioni aziendali. Non si trattava solo di negoziare salari e condizioni, ma di coinvolgere i lavoratori nella progettazione del lavoro stesso.

I "progetti di democrazia industriale" scandinavi partivano dall'idea che i lavoratori possiedono una conoscenza del proprio lavoro che nessun esperto esterno può eguagliare. Coinvolgerli non era un atto di generosità ma una necessità per prendere decisioni migliori.

La legge svedese sulla codeterminazione (MBL) del 1976 rese obbligatoria la consultazione dei lavoratori su una vasta gamma di questioni, inclusa la sicurezza. I rappresentanti dei lavoratori ottennero il diritto di essere informati e consultati prima che venissero prese decisioni rilevanti.

Cosa dobbiamo al modello scandinavo: il punto 5.4 della ISO 45001 che distingue tra consultazione e partecipazione e le rende entrambe requisiti espliciti. L'idea che gli ostacoli alla partecipazione debbano essere attivamente identificati e rimossi. La convinzione che la sicurezza non possa essere imposta dall'alto ma debba essere costruita insieme.

Frank Bird e l'evoluzione della piramide (1966)

Tre decenni dopo Heinrich, Frank Bird analizzò 1,7 milioni di incidenti da quasi 300 aziende e aggiornò le proporzioni della piramide. Ma il suo contributo più significativo fu ampliare la base includendo i "damage-causing incidents" – eventi che non feriscono le persone ma danneggiano le cose. Questo estendeva la logica della prevenzione oltre gli infortuni personali.

Cosa dobbiamo a Bird: l'idea che la sicurezza delle persone e la protezione degli asset siano interconnesse. Un incidente che oggi danneggia solo una macchina domani potrebbe ferire una persona.

Il Rapporto Robens e l'autoregolamentazione (1972)

Nel 1972, nel Regno Unito, Lord Alfred Robens pubblicò un rapporto che avrebbe trasformato l'approccio alla regolamentazione della sicurezza. Il report concludeva che la frammentazione normativa e l'eccesso di prescrizioni dettagliate stavano, paradossalmente, favorendo l'apatia: datori di lavoro e i lavoratori delegavano la responsabilità allo Stato invece di assumersela.

Robens propose un sistema di "autoregolamentazione": invece di dire alle aziende esattamente cosa fare, lo Stato avrebbe dovuto stabilire obiettivi generali e lasciare alle aziende la responsabilità di trovare i modi migliori per raggiungerli. Il risultato fu l'Health and Safety at Work Act del 1974, che influenzò la legislazione di molti altri paesi.

Cosa dobbiamo a Robens: l'approccio basato su obiettivi piuttosto che su prescrizioni dettagliate. L'idea che la responsabilità primaria della sicurezza spetti a chi crea i rischi e a chi ci lavora. Il principio dell'autoregolamentazione responsabile che caratterizza la ISO 45001: la norma non dice come fare le cose, ma richiede di dimostrare che si raggiungono risultati.

R. Edward Freeman e la teoria degli stakeholder (1984)

Nel 1984, il filosofo e teorico del management Edward Freeman pubblicò "Strategic Management: A Stakeholder Approach", un libro che ridefinì il modo di pensare alle responsabilità aziendali. Freeman sosteneva che le imprese non esistono solo per generare profitti per gli azionisti, ma devono considerare gli interessi di tutti coloro che sono influenzati dalle loro attività: dipendenti, fornitori, comunità locale, clienti, ambiente.

Questa visione ribaltava decenni di ortodossia economica che vedeva la massimizzazione del valore per gli azionisti come unico scopo legittimo dell'impresa.

Cosa dobbiamo a Freeman: il punto 4.2 della ISO 45001 richiede di identificare le parti interessate rilevanti e comprenderne le aspettative. L'idea che la sicurezza non riguardi solo i lavoratori diretti ma anche appaltatori, visitatori, comunità circostante. La convinzione che un'impresa responsabile debba bilanciare interessi molteplici.

Chernobyl e la nascita del concetto (1986)

Il 26 aprile 1986, il reattore 4 della centrale nucleare di Chernobyl esplose. L'incidente, il più grave nella storia dell'energia nucleare civile, costò la vita a decine di persone nell'immediato e causò conseguenze sanitarie e ambientali su scala continentale.

L'analisi post-incidente dell'International Atomic Energy Agency (IAEA) introdusse per la prima volta il concetto di "cultura della sicurezza". Gli investigatori conclusero che la catastrofe non era stata causata solo da difetti tecnici o errori operativi, ma da una carenza sistemica di cultura della sicurezza a tutti i livelli: progettisti, costruttori, operatori, regolatori, dirigenti.

Il rapporto INSAG-4 del 1991 definì formalmente il concetto, sottolineando sia le dimensioni psicologiche (atteggiamenti individuali, valori condivisi) sia quelle manageriali (politiche, procedure, strutture organizzative).

Cosa dobbiamo a Chernobyl: l'idea stessa che la sicurezza sia prima di tutto una questione culturale. La consapevolezza che barriere tecniche sofisticate sono inutili se la cultura organizzativa le mina. L'enfasi della ISO 45001 sul ruolo della leadership nel creare e mantenere una cultura della sicurezza (punto 5.1).

James Reason e il modello del formaggio svizzero (anni '90)

Il professor James Reason dell'Università di Manchester, scomparso nel 2025, ha trasformato il modo in cui comprendiamo gli incidenti nei sistemi complessi. Il suo modello del "formaggio svizzero", sviluppato a partire dal 1990, rappresenta le difese di un'organizzazione come fette di formaggio con buchi. Un incidente si verifica quando i buchi in più fette si allineano, permettendo a un pericolo di attraversare tutte le barriere.

L'intuizione geniale di Reason è la distinzione tra errori attivi (commessi da chi opera in prima linea) e fallimenti latenti (difetti nel sistema che aspettano solo le condizioni giuste per manifestarsi). I fallimenti latenti possono rimanere dormienti per anni, creati da decisioni manageriali, carenze nella formazione, procedure inadeguate.

Reason scrisse che l'incidente di Chernobyl fu il catalizzatore che lo spinse a sviluppare queste idee sulla cultura della sicurezza organizzativa.

Cosa dobbiamo a Reason: l'approccio sistemico alla prevenzione che permea la ISO 45001. L'idea che le barriere debbano essere multiple e ridondanti. La consapevolezza che gli errori individuali sono spesso sintomi di problemi organizzativi più profondi. Il concetto stesso di "cultura della sicurezza" come fattore determinante.

Peter Senge e l'organizzazione che apprende (1990)

Nel 1990, Peter Senge pubblicò "La quinta disciplina", un libro che portò il pensiero sistemico nel mainstream manageriale. Senge sosteneva che le organizzazioni di successo sono quelle che apprendono continuamente, che sanno vedere le interconnessioni tra le parti anziché isolare i problemi, che costruiscono visioni condivise e lavorano in squadra.

Il pensiero sistemico, la "quinta disciplina" del titolo, è la capacità di vedere l'insieme piuttosto che le parti, i processi inveced degli eventi isolati, i circoli di causalità piuttosto che le catene lineari causa-effetto. È l'antidoto al riduzionismo che porta a trattare i sintomi invece delle cause.

Cosa dobbiamo a Senge: l'approccio sistemico che permea la ISO 45001. L'idea che la sicurezza non sia un problema da risolvere una volta per tutte ma un processo di apprendimento continuo. La consapevolezza che le soluzioni "ovvie" spesso peggiorano i problemi nel lungo termine. L'importanza della visione condivisa come motore del cambiamento.

Lo standard australiano AS/NZS 4360 e l'ISO 31000 (1995-2009)

Nel 1995, Australia e Nuova Zelanda pubblicarono il primo standard nazionale sulla gestione del rischio (AS/NZS 4360). Fu un passo pionieristico: per la prima volta, la gestione del rischio veniva codificata in modo applicabile a qualsiasi organizzazione, non solo a settori specifici.

Questo lavoro fu ripreso dall'ISO, che nel 2009 pubblicò la ISO 31000, lo standard internazionale sulla gestione del rischio. La ISO 31000 introdusse una definizione di rischio che sarebbe diventata centrale per la ISO 45001: "effetto dell'incertezza sugli obiettivi". Questa definizione includeva sia gli effetti negativi sia quelli positivi, aprendo la strada al concetto di "opportunità".

Cosa dobbiamo alla ISO 31000: il framework di gestione del rischio che la ISO 45001 adotta per l'identificazione dei pericoli e la valutazione dei rischi. L'idea che il rischio vada gestito nel contesto degli obiettivi organizzativi. Il concetto che esistano anche "rischi positivi" – opportunità che la gestione proattiva può cogliere.

OHSAS 18001 (1999-2007)

La OHSAS 18001, pubblicata nel 1999 e rivista nel 2007, fu il predecessore diretto della ISO 45001. Sviluppata dal British Standards Institution in collaborazione con altri enti, non era uno standard ISO ma divenne di fatto lo standard di riferimento mondiale per i sistemi di gestione della sicurezza.

La OHSAS 18001 dimostrò che era possibile applicare l'approccio dei sistemi di gestione alla sicurezza sul lavoro. Milioni di organizzazioni nel mondo la adottarono, creando la massa critica di esperienza pratica necessaria per sviluppare uno standard ISO vero e proprio.

Cosa dobbiamo alla OHSAS 18001: la dimostrazione che un sistema di gestione della sicurezza certificabile era realizzabile e utile. L'esperienza pratica di implementazione che ha supportato lo sviluppo della ISO 45001. La comunità di professionisti, auditor, consulenti che hanno poi contribuito alla nuova norma.

ANSI Z10 e CSA Z1000

Negli Stati Uniti, lo standard ANSI Z10 (2005) pose particolare enfasi sul miglioramento continuo e sul coinvolgimento dei lavoratori nella sicurezza. In Canada, lo standard CSA Z1000 allargò il focus oltre la sicurezza fisica per includere la salute mentale e il benessere complessivo dei lavoratori.

Cosa dobbiamo a questi standard: l'enfasi della ISO 45001 sulla gestione proattiva anziché reattiva. L'attenzione al benessere psicologico oltre alla sicurezza fisica. L'idea che la partecipazione dei lavoratori non sia opzionale ma essenziale.

Sintesi delle eredità

Idea	Origine	Espressione nella ISO 45001
Miglioramento continuo	Shewhart, Deming	Struttura PDCA, Capitolo 10
Analisi causale incidenti	Heinrich, Bird	Requisiti su near miss
Barriere multiple	Reason	Approccio sistemico
Sicurezza come diritto	ILO	Premessa e principi
Partecipazione lavoratori	Modello scandinavo	Punto 5.4
Cultura della sicurezza	Post-Chernobyl (IAEA)	Punti 5.1 e 7.3
Gestione del rischio	ISO 31000	Punto 6.1

Le frizioni nascoste: cosa ci irrita davvero

Ogni cambiamento incontra resistenze: alcune sono dichiarate, altre restano sottotraccia. Esplorare le frizioni più profonde che la ISO 45001 genera a ogni livello dell'organizzazione può aiutarci a capire meglio cosa lo standard ci chiede davvero e perché è così difficile farlo nostro.

L'imprenditore e la Direzione

"Devo rispondere io di tutto, anche di quello che non posso controllare"

La ISO 45001 pone la responsabilità della sicurezza saldamente sulle spalle della direzione; non come firma su un documento, ma come impegno dimostrabile. Questo irrita profondamente chi è abituato a delegare: "Ho assunto un RSPP competente, ho un consulente, ho investito in formazione. Perché devo essere io a rispondere se qualcosa va storto?"

La norma risponde: "Perché sei tu a decidere le priorità, le risorse, la cultura. Se la sicurezza è sempre l'ultima voce del budget, se le riunioni sul tema vengono rinviate, se i segnali di allarme vengono ignorati, la responsabilità è tua" e questo è scomodo da accettare.

"Mi stanno dicendo come devo gestire la mia azienda"

L'imprenditore che ha costruito un'impresa con le proprie mani vive spesso la norma come un'intrusione: "Ho sempre fatto così e non è mai successo niente di grave. Chi sono questi auditor per dirmi come devo lavorare?"

La frizione nasce dal fatto che la ISO 45001 chiede di rendere esplicito e verificabile ciò che prima era implicito e discrezionale. Non basta più sapere che si fa attenzione, bisogna dimostrarlo e questo significa accettare uno sguardo esterno sul proprio modo di fare impresa.

"La sicurezza è un costo, non un investimento"

Questa convinzione resiste nonostante tutte le evidenze contrarie. Nel profondo, molti imprenditori continuano a vedere la sicurezza come denaro sottratto alla produzione. La ISO 45001 chiede di ribaltare questa visione, ma i numeri del bilancio parlano un linguaggio diverso: le voci di costo sono certe e immediate, i benefici della prevenzione sono probabilistici e differiti.

Il responsabile della sicurezza (RSPP)

"Prima ero l'esperto, ora devo coinvolgere tutti"

Per anni il RSPP è stato il custode della sicurezza. Sapeva tutto, decideva tutto, rispondeva di tutto. La ISO 45001 gli chiede di diventare un facilitatore: deve far emergere la conoscenza diffusa, coinvolgere i lavoratori, rendere la Direzione protagonista.

Questo può essere vissuto come una perdita di status: se tutti partecipano, qual è il mio valore aggiunto? Se i lavoratori sanno cose che io non so, che esperto sono?

"Devo ammettere che il mio sistema non bastava"

Chi ha costruito un sistema di gestione della sicurezza negli anni, magari basato sulla OHSAS 18001, può vivere la transizione alla ISO 45001 come una critica implicita al lavoro svolto. Devo rifare l'analisi del contesto, rivedere la valutazione dei rischi, ristrutturare la documentazione. Significa che prima sbagliavo?

La risposta è no, ma la domanda brucia comunque.

"Devo trasformarmi in un burocrate"

Molti RSPP hanno scelto questo lavoro per passione, per la sicurezza delle persone, non per compilare moduli. La ISO 45001, con i suoi requisiti di informazioni documentate, audit, riesami, può sembrare un tradimento di quella vocazione originaria. Passo più tempo a scrivere procedure che a girare per i reparti.

Il preposto e il capo reparto

"Ho sempre la colpa io"

Il preposto si trova schiacciato tra le richieste della Direzione e la realtà del reparto. La ISO 45001 rafforza la sua responsabilità di vigilanza ma spesso senza dargli strumenti e autorità reali. "Se succede qualcosa, sono io che non ho vigilato. Se fermo la produzione per un rischio, sono io che creo problemi".

Questa posizione impossibile genera rancore verso un sistema che sembra scaricare responsabilità verso il basso senza distribuire il potere.

"Devo fare il poliziotto con i miei colleghi"

Segnalare comportamenti scorretti, riprendere chi non usa i DPI, documentare le violazioni. La ISO 45001 richiede una vigilanza attiva ma il preposto lavora fianco a fianco con le persone che deve controllare e questo crea un conflitto tra il ruolo formale e le relazioni umane.

Nessuno vuole essere quello che fa la spia. Nessuno vuole rovinare il clima con i colleghi per rispettare una procedura.

"Mi chiedono cose impossibili nei tempi che mi danno"

"La produzione ha le sue urgenze. I clienti non aspettano. Gli obiettivi sono quelli. E io dovrei fermare tutto perché manca un documento, perché un'attrezzatura non è stata controllata, perché la procedura dice così?"

La frizione tra sicurezza e produttività si vive con particolare intensità a questo livello. La ISO 45001 dice che la sicurezza viene prima, ma i premi di produzione raccontano un'altra storia.

Il lavoratore

"Un'altra cosa che devo fare io"

La partecipazione dei lavoratori è un pilastro della ISO 45001. Ma per molti lavoratori questo significa: altre riunioni, altri moduli da firmare, "Altre cose di cui devo occuparmi oltre al mio lavoro". Mi pagano per produrre, non per partecipare a gruppi di lavoro sulla sicurezza.

Il coinvolgimento richiesto dalla norma può essere vissuto come un carico aggiuntivo, non come un'opportunità.

"Tanto non cambia mai niente"

Questa è forse la frizione più dolorosa: anni di segnalazioni ignorate, di promesse non mantenute, di problemi noti e mai risolti hanno generato cinismo. La ISO 45001 chiede di segnalare i pericoli, proporre miglioramenti, partecipare attivamente ma a che serve, se poi le cose restano come sono?

Questo scetticismo è il prodotto di esperienze reali. Superarlo richiede che l'azienda dimostri con i fatti, non con le parole, che questa volta è diverso.

"Mi trattano come se fossi stupido"

"La formazione obbligatoria, le procedure dettagliate, i cartelli ovunque. Dopo vent'anni che faccio questo lavoro, mi spiegano come devo tenere in mano un cacciavite". La ISO 45001 richiede di documentare competenze e consapevolezza, ma questo può essere vissuto come mancanza di fiducia nelle capacità dei lavoratori.

L'irritazione nasce quando il sistema tratta tutti allo stesso modo, ignorando l'esperienza e il buon senso di chi lavora da anni.

"Se segnalo un problema, poi il problema divento io"

La norma richiede di eliminare gli ostacoli alla partecipazione, incluso il timore di ritorsioni ma, se questa paura è radicata, non è per niente facile. Chi ha visto colleghi penalizzati dopo aver sollevato problemi non si fida di un sistema che promette protezione.

La ISO 45001 non può cambiare questa cultura con una procedura. Serve tempo, coerenza, esempi concreti di segnalazioni accolte e valorizzate.

Il modello mentale

Il modello mentale che sta alla base della ISO 45001 è quello del sistema adattivo governato: un organismo che percepisce il proprio ambiente, risponde ai cambiamenti, impara dai propri errori e migliora continuamente sotto la guida di una leadership consapevole.

Non si tratta di una macchina che esegue istruzioni, né di un insieme di regole da rispettare. È un sistema vivente che si auto-corregge.

Il fallimento del modello prescrittivo

Per decenni, la sicurezza sul lavoro è stata governata da un modello mentale diverso: quello della conformità a prescrizioni. Lo Stato stabilisce regole dettagliate, l'azienda le applica, l'ispettore verifica, chi non rispetta ciò che è stato deciso viene sanzionato.

Questo modello ha due difetti fondamentali.

Il primo è che non può tenere il passo con la realtà. I luoghi di lavoro cambiano più velocemente di quanto le leggi possano essere aggiornate. Nuove tecnologie, nuovi processi, nuove sostanze, nuove forme di organizzazione del lavoro emergono continuamente. Una norma che prescrive esattamente cosa fare diventa obsoleta nel momento in cui viene pubblicata.

Il secondo difetto è più sottile ma più grave. Il modello prescrittivo deresponsabilizza. Se la mia unica preoccupazione è rispettare la regola, smetto di pensare. Ho fatto il corso di formazione delle ore previste? Sì. Allora sono a posto. Il fatto che nessuno abbia capito niente del corso diventa irrilevante. Ho rispettato la prescrizione.

Il rapporto Robens del 1972 identificò questo problema con precisione: l'eccesso di prescrizioni stava generando apatia. Le aziende delegavano la responsabilità della sicurezza allo Stato invece di assumersela.

L'alternativa: il sistema che si governa

La ISO 45001 adotta un modello mentale radicalmente diverso. Non dice: "Fai questo" ma: "Dimostra che il tuo sistema funziona".

La differenza è enorme. Nel primo caso, l'intelligenza sta nella norma e l'azienda esegue. Nel secondo caso, l'intelligenza deve stare nell'azienda e la norma fornisce solo il framework.

Questo modello mentale ha un nome nella teoria dei sistemi: cibernetica. La parola viene dal greco kybernetes, il timoniere. Un sistema cibernetico è un sistema che si governa, che percepisce la differenza tra dove si trova e dove vuole andare e agisce per ridurre quella differenza.

Il termostato è l'esempio più semplice. Percepisce la temperatura attuale, la confronta con quella desiderata, attiva il riscaldamento o il raffreddamento di conseguenza. Non ha bisogno di istruzioni dettagliate su quando accendersi. Ha un obiettivo e un meccanismo di feedback.

La ISO 45001 chiede alle organizzazioni di diventare termostati della sicurezza.

Le componenti del modello

1. Sensori: percepire la realtà

Un sistema che si governa deve prima di tutto percepire. La ISO 45001 richiede molteplici meccanismi di percezione:

• analisi del contesto (punto 4): capire l'ambiente in cui si opera, i fattori interni ed esterni che influenzano la sicurezza
• identificazione dei pericoli (punto 6.1.2.1): riconoscere cosa può causare danni
• identificazione dei requisiti legali (punto 6.1.3): sapere quali obblighi si applicano
• monitoraggio e misurazione (punto 9.1): raccogliere dati sulle prestazioni
• audit interni (punto 9.2): verificare periodicamente il funzionamento del sistema
• segnalazioni dei lavoratori (punto 5.4): ascoltare chi vive la realtà operativa ogni giorno

Un'organizzazione senza sensori è cieca. Può rispettare tutte le regole e non vedere il camion che sta arrivando.

2. Obiettivi: sapere dove andare

Un termostato senza temperatura di riferimento non serve a nulla. La ISO 45001 richiede che l'organizzazione definisca:

• una politica per la sicurezza (punto 5.2): la dichiarazione di intenti, i valori, la direzione
• obiettivi misurabili (punto 6.2): traguardi concreti verso cui tendere

Gli obiettivi sono il riferimento rispetto al quale il sistema valuta le proprie prestazioni. Senza obiettivi chiari, il feedback non ha senso: feedback rispetto a cosa?

3. Comparatore: misurare lo scarto

Il cuore di un sistema cibernetico è il confronto tra stato attuale e stato desiderato. La ISO 45001 lo realizza attraverso:

• valutazione della conformità (punto 9.1.2): siamo conformi ai requisiti?
• valutazione delle prestazioni (punto 9.1.1): stiamo raggiungendo gli obiettivi?
• riesame della direzione (punto 9.3): il sistema nel suo insieme sta funzionando?

Questo confronto deve essere onesto. Un sistema che si racconta che tutto va bene quando non è vero ha disattivato il proprio termostato.

4. Attuatori: agire per correggere

Percepire e confrontare non bastano. Bisogna agire. La ISO 45001 prevede:

• azioni per affrontare rischi e opportunità (punto 6.1.4): interventi pianificati
• controlli operativi (punto 8.1): misure quotidiane di prevenzione
• preparazione alle emergenze (punto 8.2): capacità di rispondere quando qualcosa va storto
• azioni correttive (punto 10.2): interventi quando si rilevano non conformità o incidenti

Un sistema che percepisce ma non agisce è paralizzato. Molte organizzazioni sanno esattamente quali sono i loro problemi di sicurezza ma non fanno nulla per risolverli.

5. Memoria: imparare dall'esperienza

A differenza di un termostato semplice, un'organizzazione può imparare. La ISO 45001 richiede:

• indagine sugli incidenti (punto 10.2): capire cosa è andato storto e perché
• informazioni documentate (punto 7.5): conservare le conoscenze acquisite
• miglioramento continuo (punto 10.3): usare l'esperienza per fare meglio

Un sistema che non impara ripete gli stessi errori. La memoria organizzativa è ciò che permette di trasformare le tragedie in lezioni.

6. Guida: la leadership che tiene insieme il sistema

Ecco il punto cruciale che distingue la ISO 45001 dai suoi predecessori. Un sistema cibernetico ha bisogno di qualcuno che lo governi: che definisca gli obiettivi, che assicuri risorse ai sensori e agli attuatori, che mantenga il sistema coerente nel tempo.

La ISO 45001 pone questa responsabilità inequivocabilmente sulla Direzione (punto 5.1 che deve:

• assumersi la responsabilità complessiva
• assicurare che politica e obiettivi siano definiti e compatibili con la strategia
• integrare i requisiti del sistema nei processi di business
• assicurare le risorse necessarie
• comunicare l'importanza di una gestione efficace
• assicurare che il sistema raggiunga i risultati attesi
• guidare e supportare le persone
• promuovere il miglioramento continuo
• supportare gli altri ruoli manageriali
• sviluppare e promuovere una cultura della sicurezza

Senza la leadership, iI sensori smettono di funzionare perché nessuno li ascolta, gli obiettivi diventano vuoti slogan, le azioni correttive non vengono implementate e la memoria si perde.

In sintesi

La ISO 45001 non chiede di eseguire istruzioni ma di costruire un organismo capace di:

• percepire il proprio ambiente e i propri rischi
• definire dove vuole arrivare
• misurare quanto è lontano dall'obiettivo
• agire per ridurre la distanza
• imparare dall'esperienza
• essere governato da una leadership che tiene insieme il tutto

Questo modello mentale spiega perché la norma è fatta come è fatta, perché la leadership ha un ruolo così centrale, perché la partecipazione dei lavoratori è essenziale (sono sensori insostituibili) e perché il miglioramento continuo non è opzionale (un sistema che non impara è destinato a fallire).

L'albero delle dipendenze della ISO 45001

Ogni concetto della ISO 45001 poggia su altri concetti. Mappare queste dipendenze rivela dove il sistema può reggere e dove può cedere.

La ISO 45001 si presenta come un insieme di requisiti ma sotto quei requisiti ci sono dei presupposti e sotto i presupposti ci sono delle assunzioni. Sotto le assunzioni, infine, ci sono credenze fondamentali sul mondo, sulle persone, sulle organizzazioni.

Livello 0: il concetto centrale

"È possibile gestire sistematicamente la sicurezza sul lavoro"

Questo è il presupposto fondante. Se non fosse vero, l'intera norma sarebbe inutile. La sicurezza sarebbe questione di fortuna, destino, caso.

Solidità: alta. Decenni di evidenze dimostrano che le organizzazioni che gestiscono sistematicamente la sicurezza hanno meno incidenti di quelle che non lo fanno. Non è una garanzia assoluta, ma la correlazione è robusta.

Livello 1: i pilastri

Il concetto centrale poggia su quattro pilastri.

1.1 I pericoli sono identificabili

Presupposto: è possibile riconoscere in anticipo cosa può causare danni.

Dipendenze:

• esiste una relazione causa-effetto tra condizioni/azioni e danni
• questa relazione è conoscibile prima che il danno si verifichi
• le persone possono essere formate a riconoscere i pericoli

Solidità: medio-alta. Per i pericoli fisici tradizionali (cadute, schiacciamenti, sostanze tossiche note), l'identificazione è consolidata. Per i pericoli emergenti (nanomateriali, rischi psicosociali, interferenze in sistemi complessi), la capacità di identificazione è più incerta. Per i "cigni neri" – eventi rari e imprevedibili – l'identificazione preventiva è strutturalmente impossibile.

Fragilità: la norma assume che ciò che può far male sia riconoscibile ma la storia degli infortuni è piena di pericoli che nessuno aveva identificato finché non hanno ucciso qualcuno.

1.2 I rischi sono valutabili

Presupposto: è possibile stimare la probabilità e la gravità dei danni potenziali.

Dipendenze:

• la probabilità di eventi futuri può essere stimata
• la gravità delle conseguenze può essere prevista
• queste stime sono sufficientemente accurate da guidare le decisioni

Solidità: media. Per rischi frequenti e ben documentati, la valutazione può basarsi su dati storici. Per rischi rari o nuovi, la valutazione diventa speculativa. Le matrici probabilità-gravità danno un'apparenza di precisione a giudizi che sono spesso soggettivi.

Fragilità: la valutazione dei rischi assume che il passato sia una guida per il futuro. Ma i sistemi complessi possono comportarsi in modi non lineari. Un rischio "basso" può materializzarsi domani; un rischio "alto" può non verificarsi mai.

1.3 I rischi sono controllabili

Presupposto: esistono azioni che possono eliminare i pericoli o ridurre i rischi a livelli accettabili.

Dipendenze:

• le cause dei danni possono essere rimosse o mitigate
• le misure di controllo sono efficaci
• l'efficacia è verificabile

Solidità: medio-alta per i controlli tecnici, medio-bassa per i controlli comportamentali. Eliminare un pericolo alla fonte (sostituzione di una sostanza, automazione di un'attività pericolosa) è generalmente efficace. Affidarsi al comportamento corretto delle persone è più incerto.

Fragilità: la gerarchia dei controlli della norma mette i DPI all'ultimo posto proprio perché sono i meno affidabili ma in molte situazioni reali, i controlli più efficaci non sono economicamente o tecnicamente praticabili, e ci si affida a quelli meno affidabili.

1.4 Le organizzazioni possono apprendere

Presupposto: le organizzazioni possono modificare il proprio comportamento sulla base dell'esperienza.

Dipendenze:

• l'esperienza può essere catturata e conservata
• le lezioni apprese possono essere trasferite nel tempo e nello spazio
• il cambiamento organizzativo è possibile

Solidità: variabile. Alcune organizzazioni apprendono efficacemente. Molte no. L'apprendimento organizzativo richiede condizioni specifiche: apertura agli errori, memoria istituzionale, capacità di tradurre le lezioni in azioni.

Fragilità: le organizzazioni dimenticano. Le persone cambiano, i documenti si perdono, le priorità si spostano. La "memoria organizzativa" è più fragile di quanto si creda. Inoltre, le organizzazioni spesso apprendono le lezioni sbagliate, o apprendono a nascondere i problemi invece di risolverli.

Livello 2: le assunzioni sulla natura umana

Sotto i pilastri ci sono le assunzioni su come "funzionano" le persone.

2.1 Le persone rispondono agli incentivi

Presupposto: se si creano le condizioni giuste, le persone si comporteranno in modo sicuro.

Dipendenze:

• il comportamento umano è influenzabile
• gli incentivi (positivi e negativi) funzionano
• le persone agiscono razionalmente in risposta agli incentivi

Solidità: parziale. Gli incentivi influenzano il comportamento, ma non in modo semplice o prevedibile. Le persone rispondono a incentivi multipli e spesso contraddittori. La pressione produttiva può prevalere sugli incentivi alla sicurezza. Gli incentivi perversi (premi per "zero infortuni" che portano a non segnalarli) sono comuni.

Fragilità: la norma assume implicitamente un modello di razionalità che la psicologia comportamentale ha ampiamente smentito. Le persone prendono scorciatoie cognitive, sottovalutano i rischi familiari, sopravvalutano la propria capacità di controllo.

2.2 Le persone possono essere formate

Presupposto: la formazione modifica i comportamenti.

Dipendenze:

• la conoscenza si traduce in comportamento
• le competenze acquisite in aula si trasferiscono al lavoro
• la formazione ha effetti duraturi

Solidità: Bassa-media. La ricerca sulla formazione alla sicurezza mostra risultati misti. La formazione può aumentare la conoscenza, ma il trasferimento al comportamento è incerto. Gli effetti tendono a decadere nel tempo. La formazione è necessaria ma non sufficiente.

Fragilità: molte organizzazioni trattano la formazione come soluzione universale. Ore di corso, attestati, registri firmati. Ma la formazione da sola raramente cambia i comportamenti in modo duraturo, specialmente se l'ambiente di lavoro contraddice ciò che viene insegnato.

2.3 Le persone segnalano i problemi

Presupposto: se si creano canali adeguati, i lavoratori comunicheranno pericoli e near-miss.

Dipendenze:

• le persone riconoscono i problemi
• le persone sono disposte a segnalarli
• non ci sono barriere (paura, sfiducia, fatica) che impediscono la segnalazione

Solidità: condizionata. la segnalazione avviene solo se le persone credono che serva a qualcosa e che non ci saranno conseguenze negative per loro. Queste condizioni non sono automatiche; devono essere costruite attivamente.

Fragilità: questa è una delle radici più fragili. La paura di ritorsioni, la sfiducia nel sistema, la normalizzazione dei rischi, la fatica di compilare moduli: tutto congiura contro la segnalazione. La norma richiede di rimuovere gli ostacoli, ma non può garantire che vengano rimossi davvero.

2.4 Le persone partecipano se coinvolte

Presupposto: i lavoratori contribuiranno attivamente alla sicurezza se consultati e coinvolti.

Dipendenze:

• le persone vogliono partecipare
• hanno conoscenze utili da condividere
• la partecipazione produce risultati migliori delle decisioni top-down

Solidità: alta sul piano teorico, variabile sul piano pratico. Le evidenze supportano l'idea che la partecipazione migliori la sicurezza. Ma la partecipazione autentica richiede tempo, risorse e una cultura che la sostenga. La partecipazione di facciata può essere peggio di niente.

Fragilità: la partecipazione può essere simulata. Riunioni in cui nessuno parla, consultazioni a cose già decise, suggerimenti ignorati. La norma richiede partecipazione, ma non può garantirne l'autenticità.

Livello 3: Le assunzioni sulle organizzazioni

3.1 La leadership può influenzare la cultura

Presupposto: i comportamenti e le priorità della Direzione plasmano la cultura aziendale.

Dipendenze:

• esiste una cosa chiamata "cultura organizzativa"
• questa cultura influenza i comportamenti
• la leadership può modificarla intenzionalmente

Solidità: media. La cultura esiste ed è influente ma è anche resistente al cambiamento. I leader possono influenzarla, ma non controllarla completamente. La cultura emerge da migliaia di interazioni quotidiane, non dalle dichiarazioni tipiche delle policy.

Fragilità: la norma pone grande enfasi sulla leadership ma cosa succede se la leadership è debole, distratta, in malafede? Il sistema formale può esistere, ma senza energia dal vertice si svuota.

3.2 I processi possono essere standardizzati

Presupposto: è possibile definire procedure che, se seguite, producono risultati sicuri.

Dipendenze:

• il lavoro è sufficientemente prevedibile da essere proceduralizzato
• le procedure possono catturare la complessità del lavoro reale
• le persone seguono le procedure

Solidità: dipende dal contesto. Per lavori ripetitivi e prevedibili, la standardizzazione funziona. Per lavori complessi, variabili, che richiedono giudizio, le procedure possono essere inadeguate o addirittura pericolose (quando la realtà richiede deviazioni che la procedura non prevede).

Fragilità: c'è spesso un divario tra "lavoro come viene immaginato" (nelle procedure) e "lavoro come viene fatto" (nella realtà). La norma assume che questo divario possa essere gestito, ma non sempre è così.

3.3 La misurazione migliora le prestazioni

Presupposto: ciò che viene misurato viene gestito meglio.

Dipendenze:

• è possibile misurare la sicurezza
• le misure disponibili sono indicatori validi della sicurezza reale
• la misurazione induce comportamenti virtuosi

Solidità: controversa. La misurazione può migliorare le prestazioni ma può anche distorcerle. Se si misura solo il numero di infortuni, si può essere incentivati a non segnalarli. Se si misurano le ore di formazione, si può fare formazione inutile. La legge di Goodhart: quando una misura diventa un obiettivo, cessa di essere una buona misura.

Fragilità: gli indicatori di sicurezza più comuni (indici di frequenza e gravità) sono indicatori ritardati che dicono cosa è già successo, non cosa sta per succedere. Gli indicatori anticipatori (leading indicators) sono più utili ma più difficili da definire e raccogliere (qui trovate un articolo sugli indicatori leading e sugli indicatori lagging).

3.4 L'audit verifica l'efficacia

Presupposto: verifiche periodiche possono accertare se il sistema funziona.

Dipendenze:

• gli auditor possono vedere la realtà in un tempo limitato
• la conformità ai requisiti si correla con la sicurezza reale
• l'audit non viene "preparato" in modo da nascondere i problemi

Solidità: limitata. Gli audit vedono ciò che viene loro mostrato. Possono verificare la conformità formale ma l'efficacia sostanziale resta più sfuggente. Un sistema può superare brillantemente un audit ed essere comunque inefficace.

Fragilità: l'audit tende a diventare un rituale. Le organizzazioni imparano cosa gli auditor cercano e si preparano di conseguenza. Il giorno dell'audit tutto è in ordine. Il giorno dopo si torna alla normalità.

PER SAPERNE DI PIÙ:

Tutti gli articoli sulla ISO 45001