L’implementazione di un Sistema di gestione costituisce un processo di miglioramento e crescita per le Aziende; la corretta adesione del Sistema ai principi della norma cui fa riferimento viene riconosciuta dall’ottenimento di un Certificato emanato da un Ente di Certificazione che viene identificato come un importante biglietto da visita sul mercato di riferimento.
Spesso, tuttavia, un’errata o non completa interpretazione della norma o delle norme applicabili, porta l’Azienda a commettere errori che possono dare adito a Non Conformità maggiori, in grado di ostacolare il rilascio del Certificato.
Gli errori più comuni e come evitarli
Vediamo quali sono gli errori più comuni da evitare:
1. Mancata condivisione della Politica con le parti interessate: la maggior parte delle norme di Sistema, tra cui la ISO 9001:2015, la ISO 14001:2015, la ISO 45001:2018, etc. richiedono che la Politica venga condivisa con le parti interessate; molto spesso tale punto viene disatteso, dimenticato su una pagina della norma. E’ fondamentale che la Politica venga comunicata, non solamente ai propri lavoratori, ma a tutti gli stakeholders che ruotano attorno all’Organizzazione, tra cui clienti, fornitori, Enti, istituzioni, etc. Il modo più veloce e semplice per farlo è pubblicare la Politica sul proprio sito internet in modo che sia accessibile a chiunque visiti il sito aziendale.
2. Confusione tra analisi dei rischi e Documento di Valutazione dei Rischi (D.V.R.): la norma ISO 45001:2018 prevede che l’Organizzazione analizzi il proprio contesto, inteso come l’ambito in cui la stessa opera, ed i fattori, sia interni che esterni, che possono influenzare l’attività svolta in termini di Salute e Sicurezza sul lavoro, nonché le relative parti interessate. Solamente attraverso l’analisi del proprio contesto generale l’Organizzazione è in grado di individuare, analizzare e valutare tutti i rischi e le opportunità potenziali che si possono presentare nei vari ambiti della vita dell’Organizzazione stessa, mentre si fronteggiano gli effetti indesiderati. All’interno del D.V.R., ad esempio, non vengono, di norma, analizzati e valutati i rischi specifici connessi alle parti interessate che caratterizzano l’Azienda, come possono essere gli Enti di controllo, la Proprietà della sede presso cui l’Organizzazione opera, i visitatori, etc. né vengono individuati i rischi connessi ai fattori interni ed esterni che possono influenzare l’attività, come gli adempimenti normativi applicabili, particolari esigenze o richieste dei clienti, etc. E’ necessario, pertanto, fare uno sforzo in più e ampliare l’analisi dei rischi a 360°.
3. Non corretta valutazione della normativa applicabile e conseguente disattesa dei requisiti di legge: molte norme hanno come pre-requisito il rispetto della normativa, che sia in ambito di S&SL, ambiente, etc. Una mancata o incompleta conoscenza delle disposizioni legislative vigenti può comportare, durante l’audit, spiacevoli situazioni, quando l’auditor, chiedendo ad esempio il verbale di verifica periodica della messa a terra, si ritrova davanti l’espressione spiazzata e terrorizzata del Responsabile del Sistema di Gestione.
4. Mancata qualifica dei fornitori: sembra un dettaglio di poco conto, ma si tratta di un aspetto su cui si focalizzano molti auditor ISO 9001 e non solo. Vediamo la situazione: l’auditor nel campionare una commessa e verificare il processo di approvvigionamento chiede all’Organizzazione l’evidenza di un contratto stipulato con un fornitore, che, ops, non risulta qualificato né valutato…semplice dimenticanza, sicuramente, ma attenzione a prendere sempre in considerazione tutti i fornitori “critici”.
5. Definizione delle responsabilità e autorità: la maggior parte degli organigrammi e dei mansionari riportano la descrizione delle funzioni ricoperte dalle risorse dell’Organizzazione e i relativi compiti ma non contemplano le responsabilità assunte e le autorità definite (ad esempio, in relazione alla facoltà di spesa entro determinati limiti, al blocco della merce non conforme, etc.).
6. Mantenimento del Sistema durante tutto l’anno: uno degli errori più comuni e che interessa il 95% delle Aziende è dimenticarsi l’esistenza del Sistema di Gestione dal giorno dopo dell’audit fino a un periodo che varia da un mese ad una settimana prima della visita ispettiva successiva con tutte le conseguenze del caso: corse folli nella compilazione di registri e moduli, crisi isteriche nella ricerca di documenti fino alle crisi di panico durante la giornata di audit nel timore dell’errore dietro l’angolo…evitiamo tutto ciò pianificando le attività durante tutto l’anno per arrivare tranquilli all’incontro con l’auditor.
7. Non corretta tracciabilità dei lotti: nei settori dell’alimentare e della cosmesi, in particolare, ma in generale in tutti i settori produttivi, si tratta di un aspetto di fondamentale importanza, soprattutto, in quei casi in cui il richiamo del prodotto è un requisito richiesto da norme e leggi. E’ caldamente consigliato cadenziare nell’anno delle prove di tracciabilità, sia partendo dal prodotto finito, sia viceversa, partendo dal fornitore e dalla materia prima.
8. Mancata tracciabilità degli asset e dei relativi accessi: un errore fatale nelle Certificazioni ISO 27001 ma che sicuramente può dare problemi anche nelle più basilari Certificazioni ISO 9001. Tutti gli asset, intesi come licenze, PC portatili e fissi, telefoni cellulari e fissi, dispositivi di memoria USB, hard disk, NAS, server, etc. devono essere individuati, identificati e registrati. Non solo, devono essere identificati i ruoli, le funzioni e le risorse che hanno accesso o che sono autorizzati all’accesso agli asset individuati.
9. Matrice delle competenze e definizione dei backup: la gestione del rischio aziendale prevede che l’Organizzazione individui, attraverso la definizione di una matrice delle competenze, delle figure di backup in grado di ricoprire, in caso di necessità, le funzioni e i ruoli di responsabilità.
10. Definizione dei KPI: un altro punto critico è senz’altro l’identificazione di indicatori (Key Performance Indicator o KPI) oggettivi in grado di monitorare i processi e valutarne l’andamento nel tempo. Ciascun processo deve essere monitorato attraverso un indicatore in grado di rappresentarne lo stato nel tempo al fine di verificarne l’effettivo trend in (sperabile) miglioramento. Gli esempi, in riferimento ai processi, sono molti e diversi, dal rapporto tra le offerte inviate e le offerte sottoscritte, al numero di Non Conformità rilevate nell’anno, dal consumo energetico in relazione alle ore lavorate, al numero di near misses segnalati nell’anno. Si tratta, quindi, di individuare l’indicatore più idoneo a rappresentare il processo e di tenerlo monitorato nel corso dell’anno.
Una conoscenza approfondita delle norme e una buona esperienza in ambito Certificazioni sicuramente aiutano a non cadere in errori che si possono pagare con il mancato rilascio del tanto sospirato Certificato.