- Ottieni link
- X
- Altre app
Nel 1935 un giornale di New York riportò la notizia: alcuni ragazzi avevano avvistato un alligatore nelle fogne della città. Da quel momento la leggenda non è più morta. Qualcuno aggiunge che sono bianchi, albini, vissuti per generazioni nell'oscurità. Qualcuno giura di averli sentiti. Nessuno è mai andato davvero a controllare.
Le certificazioni aziendali hanno le loro fogne. E nelle loro fogne vivono alligatori bianchi: miti tenaci, trasmessi di consulente in cliente, di commerciale in imprenditore, di collega in collega. Sopravvivono perché nessuno ha tempo di verificare, perché qualcuno ci guadagna a non smentirli, e perché, diciamolo, alcune comode bugie fanno meno paura della scomoda verità.
Questo articolo è una torcia elettrica puntata nelle fogne. Nessun alligatore è stato maltrattato nella stesura di questo pezzo. Alcuni miti, invece, sì.
La ISO 9001 certifica il sistema di gestione per la qualità, non la qualità del prodotto. Sono due cose radicalmente diverse, confonderle è come credere che avere un manuale di istruzioni significhi saper montare i mobili.
Un'azienda può avere una ISO 9001 impeccabile e produrre viti che si spezzano, software che crasha, servizi che deludono. Il certificato attesta che i processi sono stati definiti, monitorati e migliorati in modo sistematico, non che il risultato finale sia eccellente. La qualità del prodotto dipende da decine di variabili che la norma non presidia direttamente: materie prime, competenze, tecnologia, investimenti.
La differenza è sottile ma cruciale: la norma chiede di definire i requisiti del prodotto e verificarne la conformità (§8.6), ma chi stabilisce quei requisiti? L'organizzazione stessa, di concerto con il cliente. Nessun ente terzo giudica se quel livello qualitativo sia "buono" in assoluto.
Negli anni '90, quando le certificazioni ISO 9001 cominciarono a diffondersi in Italia, alcuni organismi di certificazione le commercializzarono esplicitamente come "marchio di qualità". Le brochure promozionali usavano frasi come "dimostra ai tuoi clienti che sei un'azienda di qualità". Il messaggio era efficace, vendeva certificazioni, e si è cristallizzato nell'immaginario collettivo. Aggiungici la parola "qualità" nel nome stesso della norma, e il gioco è fatto.
ISO 9001:2015 §1 - Scopo e campo di applicazione: la norma specifica i requisiti per il sistema di gestione per la qualità quando un'organizzazione "vuole dimostrare la propria capacità di fornire con regolarità prodotti e servizi conformi ai requisiti del cliente." La parola chiave è capacità - non garanzia assoluta. §8.6 disciplina il rilascio di prodotti e servizi, ma i criteri di accettazione li stabilisce l'organizzazione stessa.
L'audit non è un esame di documentazione. È una raccolta di evidenze oggettive per verificare se il sistema di gestione funziona davvero. Un auditor esperto passa meno tempo a leggere procedure e più tempo a guardare cosa succede in officina, in magazzino, in sala riunioni.
Avere una procedura scritta per tutto è necessario dove richiesto, ma non sufficiente. L'audit tecnico - fatto bene - intercetta la distanza tra il "diciamo di fare" e il "facciamo davvero". Quella distanza si chiama non conformità, e non scompare perché hai un bel manuale rilegato sul tavolo della sala riunioni.
Il paradosso: più documentazione hai, più l'auditor ha elementi per verificare se la realtà corrisponde. Una procedura molto dettagliata su come gestire i reclami diventa un boomerang se i reclami degli ultimi sei mesi risultano non registrati.
La ISO 9001:1994 richiedeva esplicitamente venti procedure documentate. La cultura di quella generazione di consulenti e responsabili qualità si è formata sull'equazione procedure = conformità. Quando nel 2000 la norma cambiò impostazione, la mentalità rimase. Ancora oggi si incontrano aziende con scaffali interi di procedure aggiornate all'ultimo millimetro e processi reali che non ci assomigliano per nulla.
ISO 9001:2015 §9.2 - Audit interno: gli audit devono verificare "se il sistema di gestione per la qualità è conforme ai requisiti... ed è efficacemente attuato e mantenuto." L'efficace attuazione non si verifica leggendo. ISO 19011:2018 §6.4: il processo di audit si basa su raccolta di evidenze attraverso interviste, osservazione delle attività e revisione di documenti - in quest'ordine: prima le persone e i processi, poi i documenti.
Le certificazioni ISO (9001, 14001, 45001, 37001...) sono strumenti volontari. Nessuna legge italiana o europea obbliga un'azienda a certificarsi. Non esiste sanzione diretta per la mancanza di un certificato ISO.
Ma attenzione: volontario per legge non significa volontario nella pratica. Molte grandi aziende, enti pubblici e bandi di gara inseriscono la certificazione come requisito di qualificazione o come criterio di punteggio. In quel contesto, senza certificazione non si partecipa. Non è una sanzione legale - è un'esclusione commerciale, che ha effetti pratici spesso peggiori.
Il D.Lgs. 36/2023 (Codice dei Contratti Pubblici) prevede espressamente che le stazioni appaltanti possano richiedere certificazioni di sistema come requisito di capacità tecnica e organizzativa. Molti bandi PNRR, in ambito ambiente e sicurezza, si stanno muovendo in questa direzione. La UNI/PdR 125:2022 sulla parità di genere è formalmente volontaria ma diventa nei fatti obbligatoria per chi vuole accedere a certi incentivi.
La confusione nasce dal mescolare due concetti: "requisito di legge" e "requisito di mercato". Quando un commerciale di un organismo di certificazione - o un consulente poco scrupoloso - presenta la certificazione come "quasi obbligatoria", non sta mentendo del tutto: sta mischiando i due piani. Il risultato è un'affermazione che suona come un obbligo legale ma in realtà descrive una pressione commerciale. Il cliente firma, il mito si rafforza.
D.Lgs. 36/2023 - art. 100 e All. II.12: le stazioni appaltanti possono richiedere certificazioni di sistemi di qualità come prova dei requisiti di capacità tecnica. UNI/PdR 125:2022: formalmente volontaria, ma collegata all'accesso alla certificazione della parità di genere che può essere richiesta nei bandi pubblici. Per le certificazioni di prodotto (es. marcatura CE) la situazione è diversa: alcune sono obbligatorie per legge, ma non vanno confuse con le certificazioni di sistema.
Il certificato ha una validità triennale. Ma la sorveglianza è annuale. Entro 12 mesi dall'ottenimento del certificato, e ogni anno successivo fino alla ricertificazione, l'organismo torna a fare un audit di sorveglianza. Se emergono non conformità significative non risolte, il certificato può essere sospeso o ritirato.
E non è solo una questione di audit esterni. La norma richiede un sistema mantenuto e migliorato in modo continuo. Il riesame della direzione, gli audit interni, il monitoraggio degli indicatori, la gestione delle non conformità - sono attività che non si fanno "ogni tre anni" ma con una regolarità che l'organizzazione deve definire e dimostrare.
La certificazione non è un trofeo da appendere in reception. È un'istantanea della situazione al momento dell'audit, e come tutte le istantanee, invecchia rapidamente se smetti di lavorare.
La colpa è in parte tipografica. Sul certificato fisico c'è scritto, grande e chiaro: "valido fino al [data a tre anni]". Quella scritta attiva il pilota automatico mentale: valido = non devo pensarci. È lo stesso meccanismo per cui alcune persone smettono di fare manutenzione all'auto finché non scade il bollo. Nelle certificazioni, la sorpresa arriva durante il primo audit di sorveglianza - di solito undici mesi dopo.
ISO 9001:2015 §10: l'organizzazione deve migliorare in modo continuo l'adeguatezza, l'idoneità e l'efficacia del sistema. ISO 17021-1:2015 §9.4: gli organismi di certificazione devono condurre attività di sorveglianza almeno una volta all'anno nel ciclo triennale, con la prima sorveglianza entro 12 mesi dalla certificazione iniziale. La sospensione o il ritiro del certificato sono previsti esplicitamente in caso di non conformità maggiori non risolte.
Nessun consulente onesto può garantire il superamento di un audit, per una ragione strutturale semplice: il consulente non fa l'audit. Lo fa l'organismo di certificazione, con i suoi auditor, in modo indipendente. La separazione tra la consulenza che prepara e l'audit che valuta è un principio fondamentale dell'intero sistema di accreditamento.
Un consulente serio può garantire di aver fatto il proprio lavoro al meglio: gap analysis approfondita, sistema costruito correttamente, formazione del personale, simulazione di audit. Può avere un ottimo track record. Ma la garanzia assoluta ha due possibili interpretazioni, entrambe problematiche: o il consulente sta vendendo aria fritta, o qualcosa nel rapporto tra consulente e organismo di certificazione non è come dovrebbe essere.
Quando senti "ti garantisco il superamento", la domanda giusta da fare è: chi lo garantisce e come? La risposta rivela molto di più di quanto il venditore intenda mostrare.
Nasce dalla pressione commerciale incrociata: il cliente vuole la certezza di un investimento, il consulente vuole il contratto. "Ti aiuto a prepararti" non vende come "ti garantisco il risultato". Negli anni '90 e 2000, quando le prime certificazioni si diffusero come requisito di accesso a certi mercati, la domanda era altissima e la concorrenza spingeva alcune strutture a promettere ciò che non era nel loro potere mantenere. La promessa si è trasformata in aspettativa diffusa, e oggi molti clienti la usano come criterio di selezione del consulente.
ISO 17021-1:2015 §5 - Imparzialità: gli organismi di certificazione devono identificare e gestire i rischi per la propria imparzialità. La norma elenca esplicitamente la "consulenza alla certificazione" tra le attività che possono minacciarla. ISO 19011:2018 §5: i principi dell'audit includono l'indipendenza come base per l'imparzialità. Un auditor che sa già come va a finire non è indipendente.
La ISO 45001 non elimina gli infortuni. Gestisce i rischi in modo sistematico per ridurne la probabilità e l'impatto. È una differenza che non è solo semantica: un'azienda certificata ISO 45001 può, e statisticamente prima o poi lo farà, avere un infortunio.
Zero infortuni è un obiettivo ambizioso e lodevole, non un prerequisito della certificazione. La norma richiede di identificare i pericoli, valutare i rischi, definire misure di controllo, formare il personale, monitorare gli indicatori. Un sistema fatto bene riduce significativamente la probabilità di accadimento - ma non la azzera. Il fattore umano, gli eventi imprevisti, le condizioni al contorno non sono completamente controllabili da nessun sistema di gestione.
Il pericolo reale di questo mito: se un'azienda si certifica credendo di aver "risolto" la sicurezza, abbasserà la guardia proprio nel momento in cui il sistema richiederebbe la massima vigilanza e il miglioramento continuo.
Il nome della norma, "Salute e sicurezza sul lavoro", suona come una promessa assoluta. Le comunicazioni aziendali post-certificazione amplificano spesso questo equivoco: "abbiamo ottenuto la certificazione per la sicurezza dei nostri lavoratori" è un messaggio che implica un traguardo raggiunto, non un percorso intrapreso. Aggiungici la pressione culturale a voler vedere un "prima e dopo" tangibile dopo un investimento, e il mito si autoalimenta.
ISO 45001:2018 §0.1: "Lo scopo di un sistema di gestione per la salute e sicurezza sul lavoro è di fornire un quadro di riferimento per la gestione dei rischi e delle opportunità per la SSL." La norma parla esplicitamente di gestione, non di eliminazione. §6.1.2.3: la valutazione dei rischi SSL serve a determinare le misure di controllo, che per definizione riducono ma non azzerano la probabilità degli eventi avversi.
Prima la distinzione necessaria: un certificato emesso da un organismo non accreditato ACCREDIA (o da un ente di accreditamento membro del circuito IAF MLA) non vale legalmente nulla ai fini degli appalti pubblici o del riconoscimento normativo. Su questo non ci sono sfumature.
Detto questo, all'interno degli organismi accreditati le differenze esistono e sono rilevanti: competenza settoriale degli auditor, profondità degli audit, capacità di dare valore aggiunto durante il processo, solidità nell'interpretare i requisiti. Un audit che dura due ore in un'azienda manifatturiera complessa e non trova nulla non è necessariamente un buon segnale, potrebbe significare che l'auditor non ha cercato abbastanza.
Il certificato da solo non dice niente sul percorso che l'ha prodotto. Due aziende con lo stesso certificato possono aver vissuto esperienze di audit completamente diverse, con esiti pratici per i loro sistemi altrettanto diversi.
Il logo IAF MLA - presente sul certificato di ogni organismo accreditato aderente al circuito internazionale di mutuo riconoscimento, crea visivamente l'impressione di totale equivalenza. Se tutti hanno lo stesso logo, perché spendere di più? La logica è comprensibile. Il problema è che il logo garantisce il rispetto di requisiti minimi, non la qualità dell'esperienza di audit. La commodity perception nasce dalla comunicazione stessa del sistema di accreditamento, che per forza di cose evidenzia l'uniformità piuttosto che le differenze interne.
Reg. CE 765/2008: istituisce il quadro europeo per l'accreditamento, con ACCREDIA come unico organismo nazionale italiano. ISO 17021-1:2015: definisce i requisiti che gli organismi devono soddisfare per essere accreditati. Un certificato emesso da organismo non accreditato ACCREDIA o IAF non ha riconoscimento nelle procedure di evidenza pubblica e, in molti casi, nemmeno contrattuale.
La SA8000 si applica a qualsiasi organizzazione, in qualsiasi paese, di qualsiasi settore. Il campo di applicazione della norma non contiene eccezioni geografiche, merceologiche o dimensionali. Non esistono. Sono state cercate da molti e non trovate da nessuno.
E la domanda da porsi è: le aziende italiane rispettano sempre tutti i requisiti SA8000? Lavoro infantile, formalmente sì, con zone grigie che vale la pena non ignorare del tutto. Lavoro forzato, meno ovvio di quanto si pensi in certi settori con manodopera vulnerabile. Orario di lavoro, il limite delle 48 ore settimanali è violato sistematicamente in molte PMI italiane senza che nessuno lo chiami con il suo nome. Retribuzione dignitosa: materia aperta.
La SA8000 in Italia ha senso, e in alcuni settori (logistica, manifattura labour-intensive, subfornitura) ha senso eccome. Liquidarla come "roba da paesi in via di sviluppo" è comodo, ma non regge all'analisi.
La SA8000 nacque nel 1997 come risposta diretta agli scandali internazionali che coinvolgevano multinazionali con filiere produttive in Asia e America Latina. Nike, Gap, Levi's, i casi che finirono sui giornali erano tutti legati a fabbriche lontane. Social Accountability International progettò la norma pensando a quei contesti. Il messaggio mediatico si è inciso nell'immaginario: SA8000 = Asia = non mi riguarda. Peccato che la norma stessa non contenga questa limitazione, e che nel frattempo i problemi di lavoro etico si siano avvicinati geograficamente molto più di quanto ci piaccia ammettere.
SA8000:2014 §II - Scope: "SA8000 applies to companies of any size and in any industry or geographic location." Non esistono eccezioni geografiche. I requisiti coprono: lavoro infantile, lavoro forzato, salute e sicurezza, libertà di associazione, discriminazione, pratiche disciplinari, orario di lavoro, remunerazione. Molti di questi requisiti hanno piena rilevanza anche in contesti produttivi italiani, in particolare per le PMI con alta intensità di manodopera.
Il D.Lgs. 231/2001 prevede che il Modello Organizzativo e Gestionale possa esimere l'ente dalla responsabilità amministrativa dipendente da reato, ma a una condizione fondamentale che viene sistematicamente dimenticata: il modello deve essere efficacemente attuato.
Un modello che esiste ma non viene vissuto - protocolli non applicati, OdV inerte, flussi informativi bloccati, formazione fatta una volta sola cinque anni fa, non costituisce esimente. Anzi: nei procedimenti giudiziari, un modello mal attuato può essere usato contro l'azienda come prova che la struttura era consapevole dei rischi e non li ha gestiti adeguatamente. Il documento senza la sostanza non è uno scudo, è un bersaglio.
E c'è un secondo punto spesso ignorato: l'efficacia del modello, anche se perfettamente attuato, la valuta il giudice, non il consulente che lo ha redatto, non l'OdV che lo supervisiona, non il management che lo ha approvato. La giurisprudenza ha elaborato criteri precisi, e i tribunali hanno condannato enti dotati di modello 231 ritenuto non adeguato ai rischi specifici dell'organizzazione.
La lezione è una sola: il modello non è un prodotto da acquistare. È un sistema da costruire, mantenere e far vivere quotidianamente.
L'art. 6 D.Lgs. 231/2001 usa la parola "esimere", esonera l'ente dalla responsabilità se adotta ed efficacemente attua un modello idoneo. La parola "esimere" ha fatto brillare gli occhi di molti in fase commerciale. La clausola dell'"efficace attuazione" è finita in secondo piano perché è scomoda: richiede impegno continuo, costi di mantenimento, un OdV che funzioni davvero. Vendere uno "scudo" è più semplice che vendere un "percorso". Il mito si è diffuso soprattutto negli anni 2000-2010, quando la 231 era nuova e l'enforcement giudiziale era limitato. Con il moltiplicarsi delle sentenze, la realtà si è fatta più chiara - ma il mito resiste.
D.Lgs. 231/2001 art. 6: l'ente non risponde se "l'organo dirigente ha adottato ed efficacemente attuato... un modello di organizzazione e di gestione idoneo a prevenire reati della specie di quello verificatosi." La parola chiave è efficacemente attuato. Art. 7: disciplina i reati commessi da soggetti sottoposti a direzione o vigilanza, richiedendo che il modello abbia "efficacemente" previsto misure di vigilanza. Cass. Pen. Sez. IV n. 4677/2014: l'idoneità del modello si valuta ex ante rispetto al reato, con criteri di specificità e concretezza rispetto ai rischi dell'organizzazione - non sulla base della sola esistenza del documento.
L'alligatore sopravvive perché serve a qualcuno
Torniamo a New York, 1935. La leggenda del coccodrillo bianco nelle fogne non è sopravvissuta per novant'anni perché è vera. È sopravvissuta perché è utile: ai giornali che vendono copie, ai genitori che vogliono tenere i bambini lontano dai tombini, a chi vuole rendere la città più misteriosa di quello che è.
I miti delle certificazioni sopravvivono per le stesse ragioni strutturali. Il cliente che crede che "documentare tutto" lo metta al riparo dall'auditor risparmia tempo e fatica reale. Il consulente che vende garanzie prende più contratti di quello che vende rigore. L'imprenditore che pensa di aver "risolto la sicurezza" dorme meglio la notte. L'organismo che fa audit veloci ha costi inferiori e prezzi più competitivi.
Il problema non è la stupidità di chi ci crede, è la struttura di incentivi che li alimenta. E la cura non è la derisione, ma la torcia elettrica: portare luce dove conviene tenere buio.
"Nelle fogne di New York non ci sono alligatori bianchi.
Nelle certificazioni italiane ci sono però un bel po' di miti bianchi.
La differenza: i secondi si smentiscono con una norma in mano.
E adesso l'avete."
© Diritti e citazioni - I personaggi e le opere citati in questo articolo appartengono ai rispettivi autori e titolari dei diritti. Il loro utilizzo ha finalità esclusivamente divulgativa e di commento critico, ai sensi dell'art. 70 L. 633/1941. Nessuna affiliazione o sponsorizzazione è implicita o sottintesa.
© mauriziomicucci.it - La riproduzione è consentita con citazione della fonte
- Ottieni link
- X
- Altre app
Commenti
Posta un commento