Antonio Pedna, TechIOSH, AIEMA, AICW, architetto, consulente di direzione esperto in sostenibilità, qualità, sicurezza e ambiente

La valutazione dei rischi, prevista dallo standard ISO 45001, è un processo per identificare, analizzare e valutare i rischi legati alle attività aziendali, con particolare attenzione alla salute e sicurezza sul lavoro. Questo metodo consente di stabilire le priorità di intervento, focalizzandosi sulle aree con maggiore probabilità di incidenti o impatti rilevanti. La metodologia generalmente comprende l’identificazione dei rischi, la loro analisi e la valutazione per determinare l’importanza di ciascun rischio, definendo così le priorità di intervento.

Il rischio strategico

Il rischio strategico riguarda le decisioni e le azioni che possono influenzare la capacità dell’azienda di raggiungere i propri obiettivi a lungo termine. Questi possono derivare non solo dalle conseguenze delle violazioni delle leggi, ma anche da prestazioni e da comportamenti che deludono le esigenze e le aspettative delle varie parti interessate rilevanti. La gestione di questi rischi richiede una pianificazione attenta e una visione a lungo termine, per assicurare che l’azienda sia preparata a gestire gli imprevisti e a mantenere la continuità operativa.

Eseguire la valutazione dei rischi a livello strategico è fondamentale perché consente di allineare le politiche con gli obiettivi aziendali, gestendo i rischi in modo proattivo e ottimizzando le risorse. Questo approccio rende l’azienda più adattabile ai cambiamenti, coinvolgendo tutte le parti interessate per una gestione trasparente e collaborativa. Inoltre, promuove il miglioramento continuo attraverso il monitoraggio e l’implementazione di azioni correttive. In questo modo, le pratiche di sicurezza non sono isolate ma integrate nella visione aziendale, contribuendo a un ambiente di lavoro più sicuro e sostenibile.

I rischi strategici comprendono la probabilità e le conseguenze di una violazione di un requisito, che non si limita solo alle norme di legge ma include anche gli standard di settore, le esigenze aziendali e le aspettative delle parti interessate. Ad esempio, nello standard ISO 45001, i requisiti possono includere normative legali sulla sicurezza sul lavoro, standard internazionali sulla salute e sicurezza, requisiti specifici dei clienti e le aspettative di dipendenti e comunità locali. La mancata conformità a questi requisiti può avere gravi conseguenze per l’azienda, come sanzioni legali, perdita di reputazione e riduzione della fiducia delle parti interessate.

Un prerequisito fondamentale per un corretto processo di valutazione dei rischi è assicurarsi che l’azienda soddisfi tutti i requisiti legali. La conformità normativa rappresenta il punto di partenza imprescindibile, poiché la valutazione dei rischi non può mai servire come giustificazione per violare la legge. Una volta assicurata la conformità normativa, la valutazione dei rischi può essere effettuata per misurare il rischio residuo, cioè il rischio che rimane dopo aver implementato tutte le misure di conformità legale. La valutazione dei rischi analizza la probabilità e l’impatto dei rischi residui, permettendo all’azienda di definire le priorità di intervento e implementare ulteriori misure preventive o mitigative.

Questo processo consente di determinare quali processi richiedono un’attenzione immediata e quali possono essere gestiti con interventi meno urgenti, e le priorità vengono stabilite in base alla combinazione di probabilità e conseguenze di ciascun rischio. Se un processo ha un’alta probabilità di causare un incidente grave, sarà trattato con maggiore urgenza rispetto a un processo con basse probabilità di incidenti e conseguenze minori. Ad esempio, se un’azienda identifica che una determinata attività comporta un alto rischio di infortuni per i lavoratori, questo rischio sarà valutato come prioritario, richiedendo misure immediate per affrontarlo.

La valutazione dei rischi nei processi aziendali

L’attitudine al rischio rappresenta la propensione dell’organizzazione ad accettare o evitare i rischi, che influenza naturalmente le decisioni su come gestire i rischi identificati. Ci sono vari gradi di attitudine al rischio, che vanno dall’avversione, con un’attenzione rigorosa alla prevenzione, alla propensione, con una maggiore tolleranza ai rischi in cambio di opportunità potenzialmente maggiori. L’atteggiamento di un’azienda verso il rischio influenzerà le misure adottate per garantire la conformità allo standard.

Si faccia il caso che, nonostante la conformità normativa di macchinari e processi, un’azienda rilevi un alto rischio di incidenti sul lavoro, con gravi conseguenze come infortuni seri o decessi, in relazione ad un particolare processo produttivo. In questo scenario, l’azienda dovrà gestire questo rischio residuo, e la sua risposta sarà influenzata dall’attitudine al rischio:

• Avversità al rischio: l’azienda, desiderosa di minimizzare qualsiasi possibilità di incidenti, potrebbe decidere di rinunciare completamente all’esecuzione dei processi pericolosi. Invece di mantenere i processi in loco, potrebbe esternalizzarli a fornitori specializzati, acquistando sul mercato i prodotti finiti di cui ha necessità. Questa scelta elimina quasi totalmente il rischio residuo legato ai processi pericolosi, garantendo la massima protezione per i lavoratori.
• Neutralità al rischio: un’azienda con un atteggiamento neutrale verso il rischio potrebbe adottare un approccio graduale. Invece di esternalizzare tutte le attività pericolose immediatamente, potrebbe decidere di farlo in modo incrementale, iniziando da quelle a rischio più elevato. Questo metodo bilancerebbe la sicurezza con considerazioni economiche e operative.
• Propensione al rischio: se l’azienda fosse propensa al rischio, potrebbe optare per mantenere i processi attuali, concentrandosi solo sull’implementazione di rigorose misure di controllo e ulteriori procedure di sicurezza. Pur accettando un livello di rischio più alto, l’azienda, in questo caso cercherebbe di mitigarlo attraverso ispezioni frequenti, formazione continua del personale e procedure di sicurezza ben definite.

In ogni caso, l’obiettivo rimane quello di ridurre il più possibile il rischio residuo, garantendo comunque la conformità alle normative e la sicurezza dei lavoratori. Uno degli input fondamentali per la valutazione del rischio strategico – e non il fine, quindi – è l’esito della valutazione del rischio infortunistico. Questo perché la sicurezza dei lavoratori e la gestione efficace dei rischi operativi sono componenti fondamentali della strategia aziendale complessiva.

Le tecniche della valutazione dei rischi

La norma ISO/IEC 31010, intitolata “Gestione del rischio – Tecniche di valutazione del rischio”, offre una panoramica dettagliata di queste, supportando le organizzazioni nella scelta dei metodi più appropriati per gestire i rischi. Tra quelle descritte, l’analisi SWOT aiuta a identificare punti di forza e debolezza interni; il diagramma a rete visualizza interdipendenze nei progetti; l’Event Tree Analysis prevede le conseguenze degli eventi, utile per la sicurezza; il metodo HAZOP identifica pericoli nei processi industriali, e la FMEA analizza i guasti nei sistemi ingegneristici.

ISO 45001 non prescrive una metodologia specifica per la valutazione dei rischi, ma offre flessibilità alle organizzazioni per scegliere gli strumenti più adatti al loro contesto. Tuttavia, una di quelle più utilizzate è la matrice del rischio, che permette di valutare i rischi considerando sia la probabilità di un evento che la gravità delle sue conseguenze. La valutazione deve avvenire in due fasi separate: inizialmente dopo la verifica della conformità normativa, ma prima di definire i controlli del rischio supplementari, e successivamente per valutare il rischio residuo, ossia il rischio rimanente dopo l’applicazione delle misure di controllo. Questo approccio consente di misurare l’efficacia dei controlli e di garantire che i rischi siano effettivamente ridotti a livelli accettabili.

Il concetto di miglioramento continuo impone una circolarità nella valutazione del rischio nei sistemi di gestione. Se gli obiettivi del ciclo vengono raggiunti, è necessario fissare obiettivi più sfidanti per il ciclo successivo; se non vengono raggiunti, è fondamentale indagare le cause come fossero non conformità, analizzare i motivi del fallimento e adottare misure correttive.

In entrambi i casi, la valutazione dei rischi deve essere aggiornata per individuare nuove opportunità di miglioramento. L’implementazione di un ciclo di miglioramento continuo, basato sul modello Plan-Do-Check-Act, aiuta a garantire che le pratiche di gestione dei rischi siano sempre aggiornate e rilevanti.