La norma UNI ISO 31000:2018 “Gestione del rischio – Linee guida” fornisce, appunto, le linee guida per la gestione del rischio che si basa su alcuni principi ben definiti. I tre elementi costituenti il risk management che vengono descritti nella ISO 31000 sono: creazione e protezione di valore; leadership e impegno; valutazione dei rischi.
La ISO 31000 è in qualche modo collegata a campi di attività specifici alla norma ISO 45001 quali salute e sicurezza sul lavoro. Alla ISO 31000 è collegata inoltre la UNI CEI EN IEC 31010:2019, riguardante le tecniche di valutazione dei rischi, che è ancor più vicina al campo della sicurezza.
Secondo la norma ISO 31000, chi rappresenta la direzione e la supervisione ha il dovere di assicurare che la gestione del rischio sia integrata in tutte le attività dell’organizzazione. La “struttura di riferimento” (la leadership è un punto centrale) nella ISO 31000 raggruppa gli aspetti che assistono l’organizzazione nell’integrare la gestione del rischio nelle altre attività e funzioni, e si basa su azioni di integrazione, progettazione, attuazione, valutazione e miglioramento.
Nella ISO 45001 la leadership è direttamente collegata alla partecipazione dei lavoratori e anche qui l’alta direzione deve stabilire, attuare e mantenere una politica, specifica per la sicurezza e salute. In questa norma come anche nella ISO 31000 è sottolineata l’importanza della comunicazione e della consultazione, in quanto tutte le informazioni raccolte e analizzate devono essere recepite tempestivamente, devono fornire risposte e realizzare miglioramenti.
Comprendere il contesto è importante per gestire i rischi in quanto la loro gestione si svolge nel contesto degli obiettivi e delle attività dell’organizzazione, perché le finalità e il campo di applicazione della gestione dei rischi possono essere interconnessi con gli obiettivi organizzativi. L’analisi del contesto esterno comprende ad esempio i fattori sociali, culturali, politici, i fattori chiave che influenzano gli obiettivi dell’organizzazione, le relazioni e aspettative delle parti interessate; mentre il contesto interno comprende ad esempio la governance, la strategia, la cultura, le capacità, le relazioni e gli impegni contrattuali.
La ISO 45001 dedica l’intero punto 4 al “Contesto dell’organizzazione”, dicendo che l’organizzazione deve determinare i fattori esterni e interni pertinenti alle sue finalità e che influenzano le sue capacità di conseguire i risultati attesi per il proprio sistema di gestione per la salute e sicurezza. In questa norma, la comprensione del contesto è esplicitamente collegata alle esigenze e aspettative delle parti interessate.
La ISO 31000 definisce il rischio come l’effetto dell’incertezza in relazione agli obiettivi. Il rischio può essere positivo, negativo o di entrambi i segni e può essere espresso in termini di fonti di rischio, eventi potenziali, loro conseguenze e loro probabilità. Le fonti di rischio sono gli elementi che da soli o in combinazione hanno il potenziale di dare origine al rischio; gli eventi sono il verificarsi o modificarsi di un insieme particolare di circostanze; le conseguenze sono gli esiti degli eventi, che influenzano gli obiettivi mentre la probabilità è la plausibilità di un accadimento ipotizzabile.
La ISO 45001 definisce il rischio come effetto dell’incertezza. Il rischio è uno scostamento positivo o negativo da quanto atteso, collegato alla carenza di informazioni circa gli eventi, le loro conseguenze o probabilità. Questa norma definisce anche sia il rischio che l’opportunità per la salute e sicurezza sul lavoro.
Il processo di gestione del rischio nella ISO 31000 implica l’applicazione sistematica di politiche, procedure e prassi alle attività per comunicare e consultare, stabilire il contesto e valutare, trattare, monitorare, riesaminare, registrare e relazionare in merito al rischio. Tale processo è parte integrante della gestione e del processo decisionale, è iterativo, nonostante sia rappresentato in modo sequenziale. I criteri per valutare la significatività dei rischi dovrebbero essere personalizzati in base all’attività da considerare. Per stabilire i criteri di rischio andrebbero tenuti in considerazione diversi aspetti fra cui la natura e le tipologie di incertezza che possono influenzare gli obiettivi, le conseguenze, i fattori temporali, la coerenza nell’uso delle misure, come si deve determinare il livello di rischio, come si terrà conto delle combinazioni e delle sequenze di rischi multipli, e la capacità dell’organizzazione. La norma entra poi nella descrizione dettagliata della valutazione del rischio definendolo come il processo complessivo di identificazione, analisi e ponderazione del rischio, che dovrebbe essere svolta in modo sistematico, iterativo e collaborativo. L’identificazione del rischio ha lo scopo di trovare, riconoscere e descrivere i rischi che possano aiutare o ostacolare nel conseguire gli obiettivi.
La fase di analisi del rischio ha lo scopo di comprendere la natura del rischio e le sue caratteristiche.
La fase di ponderazione del rischio ha lo scopo di essere di supporto nelle decisioni e implica il confronto tra risultati dell’analisi del rischio e i criteri di rischio stabiliti per determinare dove siano richieste ulteriori azioni.
La fase di trattamento del rischio ha lo scopo di selezionare e attuare le opzioni per affrontare il rischio, in un processo iterativo che include formulare e selezionare opzioni di trattamento del rischio; pianificare e attuare le opzioni scelte di trattamento; valutare l’efficacia del trattamento; decidere l’accettabilità del rischio residuo; intraprendere un ulteriore trattamento, se non accettabile quello in essere.
Il processo di identificazione dei pericoli comprende l’organizzazione del lavoro, fattori sociali, leadership e cultura organizzativa; attività e situazioni di routine e non; incidenti rilevanti accaduti, interni o esterni, incluse le emergenze; potenziali emergenze; altri fattori.
Le metodologie e i criteri per la valutazione devono essere definiti in relazione al tipo di situazione, garantendo che siano proattivi e non reattivi e utilizzati in modo sistematico. Peraltro, la norma collegata IEC 31010 specifica e descrive molte tecniche di valutazione del rischio. È al punto 8.1.2 “Eliminazione dei pericoli e riduzione dei rischi per la SSL” che viene specificato che l’organizzazione deve procedere all’eliminazione dei pericoli o alla riduzione dei rischi, secondo una gerarchia delle misure che prevede:
- eliminazione dei pericoli;
- sostituzione con fattori meno pericolosi;
- utilizzo di misure tecnico-progettuali e riorganizzazione del lavoro;
- utilizzo di misure di tipo amministrativo, inclusa la formazione;
- utilizzo di adeguati dispositivi di protezione individuale.
Il massimo del valore dall’applicazione della ISO 45001 può essere colto attraverso i concetti e le prassi indicati nella ISO 31000. Le due norme, quindi, si compensano al fine di garantire una sufficiente flessibilità di un sistema di gestione (non si dimentichi che la ISO 31000 non è certificabile, mentre la ISO 45001 delinea un sistema di gestione certificabile). In particolare, è sul tema della valutazione dei rischi che nella ISO 45001 viene lasciato molto spazio alla definizione di metodologie e criteri, mentre nella ISO 31000 vengono forniti elementi più specifici, completati poi in altre norme (il riferimento è alla IEC 31010).