salta al contenuto

POLITICA SSL: COME RENDERLA UNO STRUMENTO DI GOVERNANCE

Guida operativa per trasformare il punto 5.2 della ISO 45001 in leva strategica

Politica SSL: come renderla uno strumento di governance

Eccoci qui. Avete implementato la ISO 45001. La vostra politica per la salute e sicurezza sul lavoro è lì, bella incorniciata nell'atrio; forse anche caricata sulla intranet; approvata dalla direzione, firmata, datata. Tutto perfetto.

Ora fatevi questa domanda: quando è stata l'ultima volta che qualcuno - chiunque - ha preso una decisione basandosi su quel documento?

La politica SSL, nella maggior parte delle organizzazioni, è un documento morto. Esiste perché il punto 5.2 della ISO 45001 lo richiede. Ma non serve a nulla, non cambia i comportamenti, non guida le decisioni e non protegge le persone.

Auto-diagnosi rapida: la vostra politica è viva o morta?

Prima di aggiustare qualcosa, dobbiamo capire cosa non funziona. Rispondete a queste domande con totale onestà.

ESISTENZA e ACCESSIBILITÀ

  1. ☐ La politica SSL è disponibile in formato fisico in almeno 3 luoghi nell'azienda?
  2. ☐ È disponibile digitalmente con massimo 2 click dalla homepage intranet?
  3. ☐ Ogni nuovo assunto la riceve il primo giorno di lavoro?

COMPRENSIONE

  1. ☐ Se fermate 5 lavoratori a caso ora, almeno 3 sanno citare un impegno della politica?
  2. ☐ Il documento usa un linguaggio comprensibile a un quindicenne?
  3. ☐ La lunghezza totale è inferiore alle 500 parole? (una pagina)

LEADERSHIP

  1. ☐ La direzione ha parlato pubblicamente della politica SSL negli ultimi 90 giorni?
  2. ☐ Nelle ultime 3 decisioni strategiche aziendali, la politica SSL è stata esplicitamente considerata?

INTEGRAZIONE

  1. ☐ Gli obiettivi SSL annuali sono CHIARAMENTE derivati dalla politica?
  2. ☐ Quando assumete manager/dirigenti, la politica SSL è parte del processo di inserimento nei primi 7 giorni?

VITALITÀ

  1. ☐ La politica è stata rivista/aggiornata negli ultimi 18 mesi?
  2. ☐ Esiste un processo documentato per raccogliere feedback sulla politica dai lavoratori?

PUNTEGGIO:

  • 10-12 sì: la vostra politica è viva. Continuate così e usate questo articolo per rifinirla.
  • 7-9 sì: la vostra politica respira, ma non è in salute. Avete le fondamenta, ma serve del lavoro. Questo articolo è per voi.
  • 4-6 sì: la vostra politica non sta per niente bene. Iniziate subito a lavorarci.
  • 0-3 sì: la vostra politica è morta. Non perdete tempo a rianimarla. Ricominciate da zero

GLI ERRORI PIÙ COMUNI E LE SOLUZIONI

La politica "copia-incolla"

La vostra politica SSL inizia con: "La nostra organizzazione si impegna a fornire un ambiente di lavoro sicuro..."? Se sì, avete un problema. Quella frase l'hanno copiata già migliaia di aziende. È talmente generica che potrebbe essere usata da chiunque, da una raffineria petrolifera a uno studio di grafica.

Aprite Google. Cercate "politica SSL esempio". Leggete le prime 10 politiche che trovate. Se la vostra politica sembra una di quelle (con qualche parola cambiata), non state comunicando nulla di significativo.

Il problema della politica generica è che non dimostra che abbiate compreso i VOSTRI rischi specifici. Non mostra che abbiate analizzato il VOSTRO contesto. Non riflette le VOSTRE priorità strategiche.

Una politica efficace deve essere così specifica alla vostra realtà che, togliendo il vostro logo, un esperto del settore dovrebbe comunque riconoscere la vostra azienda dal contenuto.

SOLUZIONE: il questionario di personalizzazione

Prima di scrivere una sola parola della politica, rispondete a queste domande:

I VOSTRI RISCHI

  1. Quali sono i 3 rischi SSL più significativi nella vostra organizzazione? (non "cadute" o "incendi" ma specifici: "caduta da ponteggi oltre 2m durante manutenzione turbine eoliche")
  2. Quale infortunio temete di più? (siate specifici)
  3. Quali attività/processi sono intrinsecamente pericolosi nel vostro business?

IL VOSTRO CONTESTO

  1. Dimensione: numero dipendenti, siti, complessità
  2. Quali stakeholder esterni condizionano la vostra SSL? (clienti, enti, comunità locale)
  3. Ci sono vincoli specifici del vostro settore?

LA VOSTRA STRATEGIA

  1. Dove vuole andare l'azienda nei prossimi 3 anni? (crescita, nuovi mercati, tecnologie)
  2. Come la salute e sicurezza sul lavoro abilita o limita questa strategia?

LE VOSTRE PERSONE

  1. Qual è il livello medio della scolarizzazione dei lavoratori?
  2. Il turnover è alto o basso? (influenza formazione e cultura)
  3. Avete lavoratori temporanei o stagionali? Quanti? (rischio specifico)

LE VOSTRE RISORSE

  1. Avete un servizio HSE interno o consulenti esterni?
  2. Qual è la percentuale del fatturato dedicata al budget annuale SSL?
  3. Quali sono le tecnologie/innovazioni SSL che vi caratterizzano?

Ora riscrivete la politica incorporando le risposte.

ESEMPIO: MANIFATTURIERO METALMECCANICO

PRIMA (generico):

"La nostra azienda si impegna a fornire condizioni di lavoro sicure e salubri, prevenendo infortuni e malattie professionali attraverso l'identificazione e il controllo dei rischi"

DOPO (personalizzato):

"Come leader nella produzione di componenti automotive stampati, ci impegniamo a eliminare i rischi specifici delle nostre 12 presse industriali (50-800 ton) e dei nostri processi di saldatura robotizzata. Obiettivo zero incidenti da schiacciamento e zero esposizioni a fumi metallici sopra i limiti TLV. Investiamo annualmente il 2.3% del fatturato in sistemi di protezione attiva e formazione specialistica per i nostri 47 operatori macchina"

Coinvolgimento della direzione solo sulla carta

La vostra politica dice: "La direzione si impegna..."

Fantastico. Ora diteci: qual è l'ultima cosa CONCRETA che la direzione ha fatto che dimostra questo impegno? Il problema non è che il top management sia in malafede. Il problema è che l'impegno rimane astratto. Non si traduce in azioni visibili.

I 5 SEGNALI CHE IL TOP MANAGEMENT NON È REALMENTE COINVOLTO:

SEGNALE #1: la delega totale

  • la direzione ha firmato la politica, poi ha passato tutto all'HSE manager
  • non partecipa alle riunioni SSL (o partecipa ma, intanto, risponde alle email)
  • la sua ultima formazione SSL?

SEGNALE #2: le priorità

  • nelle riunioni strategiche dedica 3 ore al budget, 2 al commerciale e solo 15 minuti alla salute e sicurezza sul lavoro
  • quando c'è un conflitto tra costi e sicurezza, vince sempre l'attenzione al budget
  • per quanto riguarda le decisioni di investimento: il nuovo macchinario viene approvato in due giorni mentre per il sistema di aspirazione non c'è mai tempo

SEGNALE #3: l'assenza fisica

  • la direzione non si vede mai in produzione
  • quando c'è un infortunio, manda l'HSE manager
  • non conosce i nomi dei lavoratori (oppure conosce solo quelli "storici")

SEGNALE #4: la comunicazione inesistente

  • quando è stato l'ultimo messaggio della direzione sulla sicurezza?
  • nella newsletter aziendale quanti articoli ci sono sulla sicurezza?

SEGNALE #5: la scarsa responsabilizzazione

  • per valutare le persone ed erogare i bonus si guarda al PIL, al fatturato, ai margini, alla soddisfazione del cliente, ecc. ma mai alla sicurezza che è importante ma non per gli indicatori di riferimento
  • non ci sono conseguenze quando un manager ignora le procedure di sicurezza
  • l'atteggiamento della direzione è: "La sicurezza è importante... ma non esageriamo"

Gli auditor ISO 45001, se sono in gamba, non si faranno bastare le belle parole ma chiederanno alla direzione:

  • "Mi racconti l'ultimo safety walk che ha fatto. Dove è andato? Cosa ha visto? Quali azioni ne sono scaturite?"
  • "Come integra le considerazioni SSL nelle decisioni strategiche? Mi faccia un esempio recente"
  • "Quanto tempo dedica personalmente alla SSL? Come lo documenta?"
La safety walk della direzione

e ai lavoratori:

  • "Quando è stata l'ultima volta che ha visto il direttore qui in reparto?"
  • "Secondo lei, quanto è importante la sicurezza per la direzione? Perché lo dice?"
  • "Se segnalasse una situazione pericolosa, cosa succederebbe? Sa di qualcuno che lo ha fatto?"

E se state pensando che come responsabili dell'applicazione della ISO 45001 voi siete molto competenti e vi viene delegato tutto, il punto 5.1 della norma è chiarissimo: la responsabilità e l'impegno devono essere della direzione e non sono delegabili.

La soluzione è rendere visibile e sistematico il commitment del management attraverso le azioni:

  • è la direzione che deve mandare le email sulle priorità della SSL
  • la direzione, con il responsabile SSL, fa periodicamente delle safety walk nelle aree più critiche
  • la direzione incontra regolarmente RLS e responsabile SSL
  • i dirigenti fanno regolarmente un refresh sulla formazione in materia di salute e sicurezza sul lavoro
  • c'è un budget dedicato alla SSL che viene regolarmente utilizzato per le necessarie migliorie
  • agli indicatori per la valutazione dei manager vanno aggiunti quelli relativi alla SSL
  • nei processi decisionali va integrata la SSL
  • in ogni riunione aziendale c'è un breve momento dedicato alla sicurezza
  • i lavoratori che si distinguono nell'ambito della sicurezza ricevono un riconoscimento

Continuiamo a esaminare insieme gli errori più comuni che le organizzazioni compiono nel redigere la loro politica SSL

Mancata consultazione dei lavoratori

Il punto 5.4 della ISO 45001 è chiaro: i lavoratori DEVONO essere consultati nella definizione della politica SSL. Eppure, nella maggior parte delle aziende, ecco cosa succede:

  1. l'RSPP scrive la bozza della politica
  2. la direzione la legge (forse) e la firma
  3. la politica viene appesa/pubblicata
  4. i lavoratori la vedono per la prima volta già stampata

Fine della storia.

Risultato? Una non-conformità MAGGIORE durante l'audit e, cosa peggiore, una politica che i lavoratori non sentono propria.

Quando i lavoratori non partecipano alla creazione della politica:

  • potrebbero non comprenderla al meglio (perché non l'hanno discussa)
  • non la sentono propria (perché non hanno contribuito)
  • non la difendono (perché non rappresenta anche la loro voce)
  • a volte la ignorano
  • la percepiscono come "l'ennesima cosa del management"
  • potrebbero non applicarla

I lavoratori sanno cose che voi potreste non conoscere nel dettaglio. Ad esempio:

  • quali rischi sono VERAMENTE critici
  • quali procedure sono inapplicabili (e perché vengono aggirate)
  • quali impegni della politica hanno un senso e quali suonano vuoti

Senza consultarli, scriverete una politica basata su pure assunzioni. E le assunzioni sono pericolose. Ah, giusto per capirci bene, non ci può essere una consultazione retroattiva. Se pensate di cavarvela con: "Abbiamo mostrato la politica già scritta e chiesto se andava bene", sappiate che questa non è una consultazione ma una ratifica e che si tratta di due cose diverse. Non vale nemmeno la riunione di 30 minuti dove l'HSE manager legge la bozza e chiede "Domande? No? Bene" dato che i lavoratori annuiscono solo perché tanto "è già tutto deciso".

Convocate i lavoratori a una riunione e iniziate a spiegare cosa volete fare insieme a loro, sottolineando che tutte le idee sono le benvenute e che non ci sono idee stupide, né gerarchie all'interno di quella stanza. Chiedete cosa preoccupa veramente i vostri colleghi su base quotidiana, le cose che ritengono pericolose. Scrivete i rischi individuati e raggruppateli per categorie.

Politica SSL disconnessa dagli obiettivi

Aprite la vostra politica SSL e leggete gli impegni presi. Ora aprite il documento degli obiettivi SSL annuali e domandatevi se siete in grado di tracciare una linea diretta tra ogni impegno della politica e almeno un obiettivo specifico.

Il punto 5.2(b) della ISO 45001 spiega che la politica deve fornire un modello per stabilire gli obiettivi. Facciamo qualche esempio: se la politica dice: "Ci impegniamo per il miglioramento continuo" e uno dei vostri obiettivi è formulato in questo modo: "Ridurre gli infortuni del 10%", le domande che verrebbe spontaneo farsi è perché il 10%, perché gli infortuni e non i near miss e come questo obiettivo discenda dalla politica.

Il problema è che, quando la politica è così generica, va bene qualsiasi obiettivo perché non guida nulla.

Una politica SSL che non si relaziona con gli obiettivi:

  • non li guida
  • non fornisce un orientamento chiaro per generarli
  • non è una garanzia del loro raggiungimento (gli obiettivi diventano puri desideri se non c'è una presa di responsabilità chiara a monte da parte della direzione)

La soluzione è di avere almeno un obiettivo per ogni impegno preso nella politica e fare in modo che ogni obiettivo faccia capo a un aspetto della politica SSL. Ovviamente, ogni obiettivo dovrà avere un indicatore di riferimento e un responsabile con delle tempistiche ben determinate.

Facendo un esempio pratico:

POLITICA: "Ci impegniamo al miglioramento continuo"

PROBLEMA: Troppo vago. Miglioramento di cosa? Come?

DOMANDE:

  1. Quale aspetto SSL vogliamo migliorare nel prossimo anno?
  2. Di quanto (percentuale) vogliamo migliorarlo?
  3. Come lo misureremo?

OBIETTIVO DERIVATO: "Ridurre il tasso di frequenza degli infortuni da 18.5 a ≤15 entro 31/12/2025, attraverso l'implementazione di tre iniziative: (1) programma near-miss, (2) formazione sicurezza per supervisori, (3) upgrade DPI ergonomici"

REGOLA AUREA:

Se non riuscite a scrivere un obiettivo da un impegno della politica, avete 2 opzioni:

OPZIONE A: l'impegno è troppo vago → riscrivere l'impegno in modo più specifico

OPZIONE B: l'impegno è una mera aspirazione → servono obiettivi intermedi misurabili

Linguaggio incomprensibile

Prendete la vostra politica SSL Chiamate un lavoratore a caso - il primo che passa. Dategli la politica e fategli leggere un paragrafo qualsiasi. Poi chiedete: "Cosa significa questa frase? Con parole tue".

Se esita più di 5 secondi, o se dice qualcosa tipo "Boh, roba della sicurezza?", la vostra politica non è scritta bene.

I 5 problemi principali che si possono riscontrare nella politica SSL a livello di scrittura sono:

  • sigle e acronimi non spiegati
  • frasi troppo lunghe
  • uso del passivo impersonale: "Verranno implementate misure...". Non si capisce chi è responsabile. Il passivo nasconde il soggetto, non rendendo chiara la responsabilità
  • termini tecnici non spiegati
  • linguaggio vuoto: "Promuoveremo una cultura della sicurezza attraverso il coinvolgimento proattivo di tutti gli stakeholder". Suona bene ma non significa nulla. Cosa faccio IO domani diversamente dopo aver letto questa frase? Niente!

Una politica che nessuno capisce non guida i comportamenti e non contribuisce a creare una cultura. Non genera nemmeno responsabilizzazione.

Cercate di:

  • trattare un solo concetto in ogni frase
  • formulare frasi brevi
  • usare la forma attiva
  • spiegare le sigle al loro primo utilizzo
  • usare gli elenchi puntati, se necessario, per rendere le cose più chiare
  • usare esempi concreti

Politica comunicata male

Un altro problema relativo alla politica SSL al quale si pensa troppo poco è che, anche quando viene progettata e scritta bene, potrebbe essere comunicata male.

Una politica disponibile si ha quando:

  • le persone sanno che esiste
  • sanno dove trovarla
  • l'hanno letta
  • ne ricordano i punti chiave

La soluzione è un piano di comunicazione multicanale con azioni ripetute nel tempo.

Si dice che una persona deve vedere un messaggio almeno 7 volte prima di ricordarlo. Questo significa che la politica SSL dovrà:

  • essere comunicata una volta pronta: email della direzione "Una promessa che ci facciamo" più link alla politica o file allegato
  • essere riportata su poster posizionati in punti strategici dell'azienda
  • essere presentata nel dettaglio in una riunione dopo 2-3 giorni dalla pubblicazione "Perché è importante"
  • essere ricordata dopo 30 giorni
  • essere nuovamente ricordata dopo 60 giorni, ad esempio all'inizio delle riunioni per verificare se è tutto chiaro e se si usa il documento per impostare obiettivi e comportamenti
  • di nuovo dopo 90 giorni, ad esempio con un articolo nella newsletter aziendale "I 5 impegni della nostra politica SSL spiegati dalla direzione e dalla sicurezza"
  • un test finale sulla comprensione della politica con un piccolo premio finale

Nessuna misurazione dell'efficacia

Siete in grado di rispondere a questa domanda: la vostra politica SSL funziona?

Se applichiamo il ciclo PDCA alla politica SSL, abbiamo:

  • Plan: scrivere la politica
  • Do: implementarla
  • Check: ← QUI STA IL PROBLEMA
  • Act: spazio per il miglioramento

Se non fate "Check", il ciclo si arresta. Come migliorate una politica se non sapete se è efficace?

Come fare a sapere se una politica SSL funziona? Iniziamo con gli indicatori della sua efficacia: ci sono?

  1. CONSAPEVOLEZZA - La conoscono?
  2. COMPRENSIONE - La capiscono?
  3. APPLICAZIONE - La usano?
  4. RISULTATI - Produce effetti?

La seconda domanda da farsi è se la politica venga o meno aggiornata con regolarità.

PER SAPERNE DI PIÙ:
Tutti gli articoli sulla ISO 45001