FAQ sulla norma ISO 45001:2018

D: In una realtà multisito (magari in più continenti) è improbabile che sia l'Alta Direzione, senza rappresentanti, a svolgere le attività. Possono esistere deleghe in tal senso? (Vedi D.Lgs 81)

R: La nota 2 della definizione 3.12 chiarisce il concetto, definendo Alta Direzione chi guida e tiene sotto controllo la parte dell'organizazione a cui si applica il sistema.

D: Qual è l’iter di certificazione del professionista in termini di corsi abilitanti alla qualifica di Auditor?

R: Sarà richiesta evidenza di avere frequentato con esito positivo corsi di formazione specifici per auditor ISO 45001. Per i nuovi auditor questi corsi hanno di solito una durata minima di 40 ore. Per gli auditor già qualificati OHSAS 18001 basterà aver frequentato corsi di aggiornamento di durata inferiore, sui requisiti della ISO 45001 e dei documenti IAF MD22 e MD21.

D: In quale requisito è inglobata la verifica della conformità legislativa?

R: All'interno del Requisito 9.1.2, lettera C.

D: Documentare la consultazione dei lavoratori mediante verbali di riunione può essere una soluzione corretta? 

R: Sì, è una delle modalità previste (vedi Par. 5.4 dell'appendice NA della norma UNI ISO 45001).

D: Per aziende che hanno già sistemi integrati, l'analisi del contesto potrà quindi essere integrata con focus specifici sulle varie norme?

R: Certamente sì, lo scopo di una Struttura di Alto Livello comune è proprio la facilitazione dell'integrazione fra i diversi sistemi.

D: Il DVR (Documento di Valutazione dei Rischi) e il POS (Piano Operativo di Sicurezza) sono documenti sufficienti a gestire gli aspetti del controllo operativo?

R: No, la norma richiede che i processi - in generale - vengano mantenuti sotto controllo, non solo quelli relativi alle attività produttive.

D: Dove posso trovare informazioni sui corsi per Auditor ISO 45001?

R: I corsi per aggiornamento e per nuovi Auditor sono disponibili. Per saperne di più, visita la sezione dedicata.

D: La validità della norma ISO 45001 sarà paritetica alla norma OHSAS 18001 come esimente all'applicazione del D.Lgs 231?

R: Il D.lgs 231 per il momento richiama solo la BS OHSAS 18001:07, quindi non è possibile affermare che anche la ISO 45001 abbia valore esimente.  

D: L'analisi dei rischi e delle opportunità secondo la ISO 45001 è di fatto la valutazione dei rischi secondo il D.Lgs 81/08? Oppure la valutazione dei rischi per il personale è parte integrante dell'analisi del rischio del sistema, visto che anche i dipendenti dell'organizzazione sono parte interessata?

R: L'analisi dei rischi e delle opportunità si apre ad un contesto più ampio di quello considerato nel DVR, che considera i soli rischi e pericoli inerenti la Salute e Sicurezza dei lavoratori. 
La valutazione dei rischi per la ISO 45001 deve partire dal Risk Management: la valutazione dei rischi per la ISO 45001 è quindi un documento redatto da un punto di vista diverso e più ampio (ad es.: la valutazione dei rischi della UNI ISO 45001 chiede di identificare i pericoli e valutare i rischi dei visitatori e di coloro che possono essere in qualche modo influenzati dalle attività dell'organizzazione, andando oltre quanto richiesto per i soli lavoratori ai sensi del D.lgs 81/08. Oppure di valutare in maniera preventiva gli eventuali rischi legati al proprio business, ad es.: l'apertura ad un nuovo mercato in una zona di incertezza sociopolitica. Oppure, ad es.: di valutare le richieste in tema di SSL di un cliente che possono influenzare sui processi produttivi). 
Il DVR è da considerarsi un documento di cui verranno verificati i contenuti, in quanto fa parte di quei "requisiti legali" che la norma chiede di identificare e rispettare.

D: L'analisi dei rischi quindi è da considerarsi a livello di business in linea con la ISO 9001? Il DVR è una cogenza a parte, corretto?

R: Sì, l'analisi dei rischi per la ISO 45001 deve considerare il sistema di gestione per la SSL e il suo collegamento con il business aziendale.

D: Bureau Veritas ha già iniziato a svolgere Gap Analysis sui SGSS dei clienti? 

R: Sì, contattaci per ricevere informazioni più dettagliate e un programma di certificazione del tuo sistema di gestione.

D: Qual è la differenza tra informazioni documentate da mantenere e da conservare?

R: La ISO 45001 usa il termine "conservare informazioni documentate" per indicare le registrazioni e "mantenere informazioni documentate" per indicare i documenti, incluse le procedure.

D: La OHSAS 18001 chiedeva che fossero presenti specifiche procedure obbligatorie (non specificamente citate nella ISO 9001 e 14001). Sono previste anche nella ISO 45001?

R: La ISO 45001 non richiede esplicitamente procedure documentate, chiede solo di mantenere e conservare alcune informazioni documentate. La necessità di tali procedure è decisione dell'azienda, in base a un'analisi dei rischi legati alla mancanza o meno di tali procedure.

D: I lavoratori devono essere formati per l'identificazione dei rischi?

R: Sì, la norma al Req. 7.2 richiede che l'organizzazione assicuri che i lavoratori siano competenti (compresa la capacità di identificare i pericoli) sulla base del livello di istruzione, della formazione e dell'esperienza adeguate.

D: Come si può dare evidenza della partecipazione della Leadership?

R: Evidenze di partecipazione dell'Alta Direzione si possono trovare elencate nel Req. 5.1 (ad es.: disponibilità delle risorse, sostegno alle funzioni aziendali, etc...).

D: Per la ISO 45001 è necessario un manuale Qualità & Sicurezza?

R: No, la ISO 45001 non richiede un manuale.

D: È disponibile una copia della norma o parte di essa ad uso didattico?

R: La norma UNI ISO 45001 è protetta da copyright e deve quindi essere acquistata, è disponibile qui.

D: Le parti interessate rilevanti nel contesto, lo sono per il raggiungimento degli obiettivi relativi alla SSL o al business? Quali sarebbero le evenuali priorità?

R: Nell'appendice A della ISO 45001 è presente un elenco di eventuali parti interessate rilevanti per il proprio sistema di gestione della salute e sicurezza sul lavoro.

D: In che modo si cercherà di comprendere i bisogni e le aspettative dei lavoratori, e quale sarà il peso di questo nuovo punto 4.2 nel contesto dell'organizzazione?

R: I bisogni e le aspettative dei lavoratori saranno argomento di colloquio.

D: La definizione dei requisiti di legge deve essere un'informazione documentata?

R: La ISO 45001, al Req. 1.3, richiede che l'organizzazione mantenga e conservi informazioni documentate sui propri requisiti legali.

D: Ad ogni rischio deve corrispondere un'opportunità?

R: No, non si tratta di una richiesta esplicita della norma ISO 45001.

D: È possibile certificare ISO 45001 solo uno o più siti ma non tutti i propri siti?

R: È consentita anche la certificazione di alcuni siti dell'organizzazione, posto che la scelta non sia fatta con una logica di "cherry picking", ossia rivolta a certificare solo le parti migliori dell'organizzazione o quelle che sono in modo evidente meno critiche dal punto di vista della sicurezza dei lavoratori.

D: Alcuni consigli per le aziende che vogliono ottenere la certificazione 45001?

R: Innanzitutto approfondire la conoscenza della norma. Questo può essere fatto attraverso gli eventi e i corsi di formazione proposti da Bureau Veritas. Ve ne sono di diversa durata e livello di approfondimento, in funzione dei ruoli e delle responsabilità assunti nella propria organizzazione rispetto al tema della sicurezza e del sistema di gestione a questa dedicato.

D: Esiste la possibilità di riduzioni INAIL per aziende certificate ISO 45001?

R: Sì, l'INAIL nel nuovo OT23 fra gli interventi di carattere generale ha indicato la norma ISO 45001.

D: Il coinvolgimento dei lavoratori può essere limitato al RLS, in qualità di loro rappresentante?

R: La norma, in generale, quando parla di consultazione e partecipazione scrive “dei lavoratori, e, ove istituiti, dei rappresentanti dei lavoratori”, indicando quindi che il focus sono i lavoratori stessi.

D: Quali sono le parti interessate? Come è possibile raccoglierne i bisogni e le aspettative?

R: La norma, nell’annex A 4.2: “Comprendere le esigenze e le aspettative dei lavoratori e di altre parti interessate” elenca le possibili parti interessate da considerare, se pertinenti. Non viene indicata una metodologia per raccoglierne i bisogni e le aspettative, quindi ciascuna organizzazione può scegliere il metodo che ritiene più appropriato. E' necessario però ricordare che alcune esigenze e aspettative sono obbligatorie; per esempio, in ragione del fatto che sono state incorporate in leggi e regolamenti.

D: Per la vostra conoscenza attuale di aziende già certificate ISO 45001, il documento di valutazione dei rischi è stato lasciato come documento a sè, separato dal documento di pianificazione o è stato unificato? E' un documento che farebbe parte del riesame della direzione e deve essere aggiornato? Se si, ogni quanto va aggiornato? Solo quando ci sono i cambiamenti o periodicamente con una cadenza fissa? 

R: La norma ISO 45001 non definisce quale deve essere la forma del documento di valutazione dei rischi, spetta alle organizzazioni definire il modello a loro più consono. I contenuti della valutazione dei rischi, tuttavia, devono essere registrati su un documento facilmente aggiornabile e modificabile, in quanto tale valutazione sarà oggetto di analisi di adeguatezza e di aggiornamento (se necessario). Ad esempio, qualora il contesto o le parti interessate mutino, prima dell’introduzione di modifiche al sistema di gestione o ai processi.

D: Come si possono documentare le opportunità?

R: Le opportunità possono essere documentate all’interno di un qualsiasi documento di sistema (es. riesame direzionale, valutazione dei rischi e delle opportunità,  documento programmatico di miglioramento, obiettivi).

D: Siete d'accordo a integrare la ISO 9001 piuttosto che tenere la certificazione separata?

R: L’integrazione dei sistemi di gestione è sicuramente una grande opporunità in termini di efficacia ed efficienza ed è comunque la strada tracciata dal normatore che, a tal fine, ha voluto che tutte le norme sui sistemi di gestione seguissero la “struttura ad alto livello”.

D: Le aziende già certificate ISO 9001 o ISO 45001 possono usare lo stesso campo di applicazione?

R: Molto probabilmente potrà utilizzarlo senza alcuna modifica, sempre che dall’analisi del contesto, dei bisogni e delle aspettative delle parti interessate e dall’analisi dei rischi e delle opportunità non emerga la necessità di ampliare i confini del proprio sistema di gestione.

D: È possibile illustrare un esempio di "opportunità" per il sistema di gestione della sicurezza?

R: Un esempio è l’invecchiamento del personale, con la conseguente necessità di nuove assunzioni per sostituire le persone che vanno in pensione. L’opportunità che si presenta è quella di “sradicare” i comportamenti non sicuri che il tempo aveva fatto nascere in azienda, legati a personale refrattarie all’argomento SSL.

D: Al punto 8.2, “Preparazione e risposta alle emergenze” si possono inserire link a un sistema della sicurezza gestito da un portale?

R: Se il portale permette di “stabilire, attuare e mantenere uno o più processi necessari per prepararsi e rispondere alle potenziali situazioni di emergenza” e di rispondere in toto al requisito normativo, la norma non vieta di “appoggiarsi” a gestionali.

D: Qual è la differenza tra gli accreditamenti UKAS e Accredia?

R: Accredia ed UKAS sono due differenti enti di accreditamento, che applicano comunque le regole IAF. Questo significa che i sistemi di gestione sono stati verificati secondo le medesime regole, anche se i certificati sono emessi sotto i due differenti accreditamenti, salvo circolari particolari pubblicate dai singoli enti di accreditamento, di contenuto più tecnico che sistemico.

D: Quali opportunità possono derivare dai rischi?

R: Il concetto di rischio, secondo la ISO 45001, è neutro in quanto significa “mancanza di informazioni”. Con questa chiave di lettura, dai rischi possono scaturire sia pericoli - prendendo una decisione “sbagliata” - che opportunità - prendendo una decisione “giusta” che porta a un miglioramento delle condizioni di SSL.

D: Il D.LGS 81/08 cita espressamente la OHSAS 18001 (e le linee guida INAIL) come "esimente". La ISO 45001 è ufficialmente "esimente" per il legislatore?

R: Ad oggi no, la legislazione di cui sopra cita solo la norma OHSAS 18001.

D: È possibile chiarire il punto riguardo i requisiti legislativi applicabili?

R: Il normatore parla di “requisiti legali ed altri requisiti” e nel relativo punto dell’allegato propone un elenco di quali possano essere tali requisiti:
“a) I requisiti legali possono includere:
1) legislazione (nazionale, regionale o internazionale), compresi statuti e regolamenti;
2) decreti e direttive;
3) ordinanze emesse da enti regolatori;
4) permessi, licenze o altre forme di autorizzazione;
5) sentenze di corti o tribunali amministrativi;
6) trattati, convenzioni, protocolli;
7) accordi collettivi di contrattazione.

b) Altri requisiti possono includere:
1) requisiti dell'organizzazione;
2) condizioni contrattuali.
3) accordi di lavoro;
4) accordi con le parti interessate;
5) accordi con le autorità della sanità;
6) le norme volontarie, le norme basate sul consenso e le linee guida;
7) principi volontari, codici di condotta, specifiche tecniche, atti costitutivi;
8) impegni pubblici dell'organizzazione o della organizzazione madre“.

D: Quando (al requisito 8.1) si parla del processo di coordinamento tra più datori di lavoro, si fa riferimento al PSC, al DUVRI, o si devono includere altre proposte migliorative?

R: PSC e DUVRI possono essere sicuramente una possibilità di coordinamento, ma tale coordinamento può essere attuato anche attraverso altre modalità (contratti, riunioni, .....)

D: Quali sono all’incirca i tempi "standard" del processo di certificazione?

R: Il numero dei giorni di audit, secondo quanto definito nei documenti IAF, viene calcolato sulla base del numero di lavoratori, della classe di rischio delle attività svolte e applicando dei fattori di aumento/diminuzione. Per questo motivo, pur partendo da valori indicati nei suddetti documenti, non si può indicare un tempo “standard”.

D: Per il riesame della direzione c'è un elenco di punti da poter seguire per evitare di omettere qualcosa?

R: Il requisito 9.3 della ISO 45001 e il relativo capitolo dell’Annex A identificano gli input e gli output minimi di un riesame direzionale.

D: Dove posso trovare l'Annex A "Linee Guida"?

R: L’Annex A è contenuto nella norma ISO 45001, dopo i capitoli relativi ai requisiti di certificazione.

D: Riguardo la partecipazione dei lavoratori, gli RLS sono sufficienti?

R: Il requisito 5.4 recita: “.... dei lavoratori a tutti i livelli e funzioni applicabili e, ove istituiti, dei rappresentanti dei lavoratori ....” e la nota 1 “La rappresentanza dei lavoratori può essere una modalità per la consultazione e la partecipazione...”. È l’organizzazione, quindi, che decide quali livelli e funzioni sono applicabili ai fini della partecipazione (e quindi se gli RLS possano bastare o meno).

D: Chi sostituisce il rappresentante della Direzione?

R: La direzione stessa che - secondo la nuova struttura ad alto livello delle norme - torna ad essere responsabile del sistema

D: Esiste l'obbligo di utilizzo di un manuale? E delle procedure?

R: La ISO 45001 non richiede obbligatoriamente un manuale né le procedure scritte che venivano richieste dalla OHSAS 18001, lasciando all’organizzazione la decisione in merito a quali regole scrivere e quali no, in funzione dell’analisi dei rischi condotta dall’organizzazione stessa. Va comunque ricordato che nella norma troviamo alcuni riferimenti a informazioni che devono essere “documentate”, ovvero scritte.

D: La norma ISO 45001 ha la flessibilità necessaria alla certificazione del SGSS di aziede con siti in varie nazioni, quindi con normative applicabili diverse, e magari "livelli" di sicurezza diversi?

R: Si, ci sono già aziende multinazionali certificate ISO 45001 con Bureau Veritas.