Un lost time injury (LTI) è in genere gestito come una statistica di salute e sicurezza nell’ambito delle Risorse Umane. Per i CISO e i professionisti della compliance, tuttavia, questa visione è incompleta. Un LTI è un segnale critico di rischio operativo — un guasto tangibile nell’ambiente di controllo che ha implicazioni dirette per audit e conformità normativa.
Perché un Lost Time Injury riguarda un CISO

All’interno di framework normativi come DORA e NIS2, un lost time injury è più di un incidente sfortunato; è un dato che indica un potenziale cedimento della resilienza operativa. Per un CISO, un LTI rappresenta una prova verificabile che un controllo specifico è fallito.
Fornisce una prova oggettiva che un processo, un protocollo di sicurezza o un controllo ambientale non ha funzionato come previsto. Questo è esattamente il tipo di evidenza che gli auditor sono addestrati a cercare.
Un aumento degli LTI non è solo un problema di sicurezza; è un campanello d’allarme per l’intero ambiente di controllo. Segnala all’auditor che è necessaria un’indagine più approfondita sui sistemi destinati a proteggere il personale e garantire la continuità operativa.
Definire il Lost Time Injury ai fini della governance
Per gestire efficacemente questo rischio, è essenziale una definizione precisa di LTI. Definizioni ambigue portano a dati incoerenti, che sono inefficaci nel dimostrare l’efficacia dei controlli durante un audit.
Le distinzioni sono le seguenti:
- Lost Time Injury (LTI): Un infortunio correlato al lavoro che impedisce a un dipendente di svolgere il successivo turno pieno o la successiva giornata lavorativa programmata. Il criterio centrale è il tempo di lavoro perso successivo al giorno dell’incidente.
- Near Miss: Un evento non pianificato che avrebbe potuto causare un infortunio o un danno ma non lo ha fatto. Tracciare i near miss dimostra una cultura di gestione del rischio proattiva e matura.
- First Aid Case: Un infortunio lieve che richiede solo un trattamento una tantum e non comporta perdita di tempo di lavoro.
Inquadrare un LTI come un fallimento di governance sposta l’attenzione dal semplice conteggio degli incidenti all’analisi del perché un controllo è fallito. Le conseguenze legali e finanziarie, in particolare per quanto riguarda le richieste di Workers' Compensation, sono significative. Per le organizzazioni che costruiscono questo livello di supervisione, adottare un formale risk-based approach è un primo passo necessario.
Un LTI non è solo un incidente; è il risultato di un sistema carente. Per un auditor, è la prova che un controllo ha fallito. L’indagine, la documentazione e la risposta sono un test diretto della maturità di governance dell’organizzazione.
Stabilire definizioni chiare è fondamentale per costruire un sistema di reporting che produca evidenze auditabili, e non semplici statistiche. L’obiettivo è creare un record tracciabile che dimostri un impegno verso il miglioramento continuo, basato su evidenze.
Calcolare il Lost Time Injury Frequency Rate

Un controllo efficace richiede misurazione. Per un lost time injury, ciò significa andare oltre il conteggio grezzo degli incidenti e adottare una metrica standardizzata che fornisca insight utili all’azione.
Lo standard di settore è il Lost Time Injury Frequency Rate (LTIFR). Questa metrica normalizza il numero di infortuni rispetto al totale delle ore lavorate, trasformando un semplice conteggio in uno strumento diagnostico per confrontare le prestazioni nel tempo e rispetto ai benchmark di settore.
La formula del LTIFR
Il calcolo è progettato per standardizzare il reporting delle performance di sicurezza, creando una metrica comune indipendentemente dalle dimensioni dell’organizzazione. Calcola il numero di lost time injuries per un milione di ore lavorate.
(Numero di LTI ÷ Ore totali lavorate) x 1.000.000 = LTIFR
L’integrità di questa formula dipende interamente dall’accuratezza dei dati in input. Il "Numero di LTI" deve includere solo gli incidenti che rientrano nella definizione rigorosa di infortunio correlato al lavoro che provoca almeno un’intera giornata di lavoro persa. Le "Ore totali lavorate" devono essere un dato completo e verificabile. Input inaccurati rendono la metrica risultante inaffidabile per la valutazione del rischio.
Un esempio pratico di calcolo
Si consideri un’azienda tecnologica di medie dimensioni che calcola il proprio LTIFR su un periodo di un anno.
| Metrica | Valore | Descrizione |
|---|---|---|
| Numero di Lost Time Injuries | 3 | Tre incidenti distinti hanno causato l’assenza di dipendenti per uno o più giorni lavorativi programmati. |
| Numero totale di dipendenti | 250 | Include tutto il personale full-time e part-time. |
| Ore annue medie per dipendente | 1.920 | Basato su una settimana standard di 40 ore, considerando festività e assenze medie. |
| Ore totali lavorate | 480.000 | Calcolate come 250 dipendenti × 1.920 ore. |
| Calcolo LTIFR | (3 ÷ 480.000) x 1.000.000 | Applicazione della formula standard ai dati dell’azienda. |
| LTIFR finale | 6,25 | L’azienda ha registrato 6,25 lost time injuries per milione di ore lavorate. |
Il LTIFR risultante di 6,25 funge da indicatore chiave di performance. È un segnale da monitorare nel tempo e da confrontare con organizzazioni simili nel settore tecnologico.
La criticità dell’integrità dei dati
La sfida principale nel calcolo del LTIFR non è la matematica, ma la corretta rilevazione delle "Ore totali lavorate". Per un’organizzazione moderna, questo va oltre i semplici timesheet del personale full-time in sede.
Un sistema credibile, pronto per l’audit, deve considerare tutte le ore di lavoro che contribuiscono alle operazioni, incluse quelle di:
- Dipendenti full-time e part-time (in sede e da remoto).
- Contractor e freelancer coinvolti in progetti aziendali.
- Personale temporaneo fornito tramite agenzie.
La mancata inclusione di tutte le ore applicabili gonfierà artificialmente il LTIFR, mentre un reporting incoerente degli LTI lo ridurrà artificialmente. Entrambi gli errori producono una visione distorta del profilo di rischio reale. L’integrità dei dati è quindi un requisito fondamentale.
Anche negli ambienti d’ufficio, il rischio di un lost time injury è presente. I dati Eurostat indicano che si sono verificati 2,97 milioni di incidenti non mortali nell’UE in un singolo anno recente, con conseguenti significative perdite di produttività. Per le aziende tecnologiche, assenze dovute a stiramenti, scivolamenti o problemi ergonomici contribuiscono sia ai rischi operativi sia a quelli di compliance.
Il LTIFR è uno strumento diagnostico, non un punteggio da manipolare. È un segnale che avvisa la leadership di tendenze negative, fornendo un trigger oggettivo per indagare sui guasti di controllo prima che si aggravino. Se analizzato insieme ad altre metriche di assenza, come il Bradford Factor Score, offre una visione più completa della salute organizzativa.
Collegare i dati LTI agli esiti di audit
Per un auditor, un Lost Time Injury (LTI) è un dato, e un Lost Time Injury Frequency Rate (LTIFR) elevato o in crescita è un indicatore di un sistema sotto stress.
Un auditor non vede un singolo evento sfortunato; vede evidenze che mettono in discussione l’integrità del framework di rischio operativo. Un LTIFR elevato è un trigger immediato per un’indagine più approfondita che va oltre l’incidente stesso. Suggerisce un potenziale fallimento in una o più aree fondamentali della governance, spingendo a una revisione accurata dei processi correlati.
La traccia di audit di un singolo Lost Time Injury
L’attenzione dell’auditor è meno sull’infortunio e più sulla risposta del sistema. Un singolo lost time injury può trasformarsi in una finding di audit importante se la risposta manca di rigore. La chiave è dimostrare un processo controllato, documentato e tracciabile.
Gli auditor richiederanno evidenze per:
- Procedure di risposta all’incidente: La risposta è stata eseguita secondo un piano predefinito e documentato?
- Integrità dell’indagine: È possibile produrre un record immutabile dell’analisi delle cause root, inclusi chi l’ha condotta e quando?
- Azioni correttive: Esiste un collegamento chiaro e documentato tra i risultati dell’indagine e le azioni correttive implementate?
- Supervisione del management: Dove si trova l’evidenza della revisione e approvazione del management nelle fasi critiche del processo?
La mancata produzione di evidenze verificabili per questi punti è spesso considerata una finding più grave dell’LTI stesso, poiché indica una debolezza sistemica nella governance.
Per un auditor, un lost time injury è un test di stress per il framework di governance. L’incidente è il punto di partenza; l’audit valuta la capacità del sistema di rispondere, apprendere e migliorare con evidenze verificabili.
Questa prospettiva eleva la gestione degli LTI da funzione di sicurezza a esercizio critico di dimostrazione dell’efficacia dei controlli e di mantenimento di uno stato di compliance continua e dimostrabile.
In che modo i dati LTI possono influire sulla compliance DORA
Framework come il Digital Operational Resilience Act (DORA) rendono esplicito il legame tra incidenti fisici e resilienza digitale. Un lost time injury che coinvolge personale IT è ora un red flag di audit che può incidere direttamente sulla valutazione di conformità DORA.
I dati di Eurostat mostrano 2,82 milioni di incidenti non mortali nell’UE in un singolo anno, con ferite, distorsioni e commozioni che costituiscono il 76,2% di questi eventi. Il report completo sulle accidents at work statistics fornisce ulteriori dettagli. Per CISOs e responsabili della compliance, questi dati sottolineano la necessità di una robusta versioning delle evidenze e di log sicuri degli incidenti per prepararsi a un audit.
Le domande dell’auditor sono prevedibili. Dopo un LTI, esaminerà il sistema che lo ha gestito per validare il processo, non solo l’esito. La capacità di fornire un record completo, tracciabile e resistente alle manomissioni è ciò che distingue una semplice osservazione da una non conformità rilevante.
Costruire un sistema di evidenze LTI pronto per l’audit
Tracciare un lost time injury (LTI) non è sufficiente ai fini della compliance. Il sistema utilizzato deve produrre evidenze tracciabili, immutabili e in grado di resistere al controllo di audit.
Andare oltre fogli di calcolo o documenti sparsi è un requisito fondamentale per dimostrare che i controlli sono efficaci.
Un sistema pronto per l’audit inizia con un reporting strutturato. Quando si verifica un LTI, il report iniziale deve essere registrato in un formato standardizzato. I campi obbligatori non sono burocrazia inutile; sono controlli per evitare dati ambigui o incompleti che renderebbero inaffidabile l’analisi successiva.
Questo report iniziale è il primo anello di una catena di evidenze. Un sistema efficace deve fungere da single source of truth per tutte le evidenze correlate.

Il diagramma di flusso illustra una causalità diretta: un infortunio attiva il controllo del sistema progettato per gestirlo. La risposta deve quindi essere sistematica.
Componenti fondamentali di un sistema verificabile
Per essere difendibile in un audit, un sistema di evidenze deve essere costruito su integrità e tracciabilità. I fogli di calcolo non hanno i controlli intrinseci per dimostrare che le evidenze non siano state alterate successivamente.
Un sistema moderno richiede:
- Un repository centralizzato delle evidenze: Tutti i documenti relativi a un LTI — report di indagine, dichiarazioni dei testimoni, documentazione medica, piani di azione correttiva — devono essere archiviati in un’unica posizione sicura per evitare la frammentazione delle evidenze tra email o unità locali.
- Audit trail immutabili: Ogni azione eseguita su un record — chi vi ha avuto accesso, cosa è stato modificato e quando — deve essere registrata automaticamente e in modo permanente. Questo log non modificabile è una componente non negoziabile per dimostrare a un auditor l’integrità della timeline del processo.
- Controllo di versione sistematico: Quando i report vengono aggiornati o vengono aggiunte nuove evidenze, il sistema deve conservare tutte le versioni precedenti. Ciò consente all’auditor di ricostruire l’intera storia di un’indagine, dimostrando un processo trasparente e controllato.
L’obiettivo non è semplicemente raccogliere documenti, ma costruire una narrazione del controllo. Un auditor deve poter vedere una catena di evidenze ininterrotta dal report iniziale del LTI alla chiusura delle azioni correttive, con ogni passaggio validato da un log con timestamp.
Mappare gli incidenti LTI ai framework di governance
Tracciare semplicemente un lost time injury è reattivo. Un sistema maturo e pronto per l’audit integra questo processo in una funzione di governance proattiva. Ciò si ottiene mappando ogni incidente ai controlli specifici del framework di governance che erano stati progettati per prevenirlo.
Ad esempio, un LTI causato da un guasto di un’apparecchiatura deve essere collegato direttamente ai controlli di manutenzione e sicurezza delle attrezzature dell’organizzazione. Questa mappatura ha due scopi:
- Impone un’analisi delle cause root che esamini l’efficacia del controllo stesso, non solo dell’incidente.
- Fornisce agli auditor evidenze chiare che i dati sugli incidenti vengono utilizzati per migliorare l’ambiente di controllo.
Questo processo dimostra che l’organizzazione non si limita a tracciare i fallimenti, ma impara da essi in modo strutturato e verificabile. Mostra che un lost time injury è trattato come feedback critico per rafforzare la resilienza operativa. Comprendere i principi di una solida audit evidence è essenziale per formalizzare questo processo. Collegando gli incidenti ai controlli, un LTI si trasforma da problema isolato in un dato che rafforza l’intero sistema di governance.
Implementare controlli preventivi per il rischio LTI

Tracciare un lost time injury (LTI) è una misura reattiva. Una postura di governance matura richiede controlli proattivi. Lo scopo principale della raccolta dei dati LTI non è solo contare i fallimenti, ma informare la progettazione di controlli specifici e mirati per prevenire incidenti futuri.
Ciò comporta il passaggio dalla documentazione di ciò che è andato storto alla progettazione di un ambiente operativo in cui tali fallimenti siano meno probabili. Per CISO e IT manager, questi rischi fisici spesso esistono al di fuori dell’immagine tradizionale di un incidente industriale.
L’assunto che gli ambienti tecnologici siano intrinsecamente sicuri è errato. Nel 2023, il settore ICT in Francia ha registrato 41,38 infortuni mortali sul lavoro, un dato che contrasta nettamente con i 10,34 riportati insieme da Italia e Regno Unito.
Queste statistiche da sector-specific workplace accidents from ReportLinker presentano una realtà chiara per i responsabili dell’audit: il settore tecnologico non è immune. I rischi vanno dai guasti ergonomici che causano stiramenti — che hanno rappresentato il 25,5% di tutti gli incidenti non mortali nell’UE — fino a incidenti meno frequenti ma gravi che coinvolgono l’elettricità o le cadute.
Tradurre il rischio in controlli azionabili
Usare dati provenienti da indicatori lagging come gli LTI per rafforzare gli indicatori leading — i controlli — è il segno distintivo di un sistema resiliente. Dimostra a un auditor che l’organizzazione sta gestendo attivamente il rischio, non solo registrando eventi. In un ambiente IT moderno, ciò richiede di affrontare rischi fisici specifici che spesso vengono trascurati.
I principali controlli preventivi includono:
- Valutazioni ergonomiche: Obbligatorie per tutti gli ambienti di lavoro, inclusi uffici aziendali e configurazioni di lavoro da remoto. Il controllo è il processo di valutazione; l’evidenza è la checklist datata e i record di eventuali azioni correttive.
- Protocolli di sicurezza elettrica: I data center e le server room richiedono procedure rigorose e documentate per la gestione di apparecchiature ad alta tensione, inclusa la formazione obbligatoria e chiari processi di lockout/tagout.
- Procedure di movimentazione manuale: Processi formali e applicati per sollevare e spostare apparecchiature pesanti come server o batterie UPS sono fondamentali per mitigare una delle principali fonti di infortuni fisici.
L’esistenza di questi controlli non è sufficiente. Devono essere collegati esplicitamente al framework di governance per essere significativi.
Costruire un sistema di prevenzione basato su evidenze
La preoccupazione di un auditor non è se esista una policy, ma se sia possibile dimostrare che è stata implementata ed è efficace. Ciò richiede la costruzione di un sistema di evidenze attorno ai controlli preventivi.
Un controllo senza evidenze è un suggerimento. Per un auditor, una misura preventiva esiste solo se c’è prova tracciabile della sua implementazione, ownership ed efficacia.
Per ogni controllo, è necessario definire e raccogliere prove verificabili per trasformare una policy astratta in un fatto concreto, pronto per l’audit.
Mappare i rischi LTI ai controlli preventivi
La tabella seguente mappa i rischi LTI più comuni in un ambiente IT ai corrispondenti controlli preventivi e alle evidenze necessarie per dimostrarne l’efficacia a un auditor.
| Area di rischio | Potenziale Lost Time Injury | Controllo preventivo | Evidenza dell’efficacia del controllo |
|---|---|---|---|
| Configurazione della postazione di lavoro | Disturbo muscolo-scheletrico da sforzo ripetitivo (RSI), dolore alla schiena | Valutazioni ergonomiche obbligatorie per tutto il personale (da remoto e in ufficio) | Checklist di valutazione firmate e datate, record degli adeguamenti alle attrezzature |
| Operazioni del Data Centre | Folgorazione, ustioni | Procedure documentate di sicurezza elettrica e lockout/tagout | Record di completamento della formazione con date, conferme firmate delle policy |
| Spostamento di apparecchiature | Distorsioni, strappi muscolari, schiacciamenti | Formazione formale sulla movimentazione manuale e policy sull’uso delle attrezzature | Record delle sessioni di formazione completate, log di manutenzione per le attrezzature di sollevamento |
Ogni pezzo di evidenza — un modulo firmato, un log di formazione, una checklist completata — deve avere un chiaro owner e un timestamp. Questo dimostra una postura di gestione del rischio matura e difendibile.
Strutturare questi processi può essere semplificato con strumenti come maintenance management software. Collegando sistematicamente i dati LTI ai controlli, le organizzazioni possono ridurre il rischio operativo fornendo agli auditor una chiara narrazione di governance proattiva.
Rispondere alle domande chiave di governance
Quando si verifica un lost time injury, esso genera domande specifiche per CISO e leader della compliance riguardo a rischio, responsabilità e readiness per l’audit. Quanto segue fornisce risposte alle richieste più comuni.
In che modo il lost time injury di un fornitore influisce sulla nostra compliance?
Un lost time injury nella supply chain non è un problema remoto; è un indicatore diretto di rischio di terze parti. Regolamenti come DORA stabiliscono una chiara responsabilità per la resilienza operativa dei fornitori critici. Un LTI presso un fornitore chiave è un significativo campanello d’allarme, che segnala una debolezza nei loro controlli operativi che potrebbe propagarsi fino a un’interruzione del servizio.
Gli auditor non limiteranno la revisione ai processi interni. Si aspetteranno evidenze di una robusta gestione del rischio di terze parti, inclusi diritti contrattuali di audit sui vendor o, più comunemente, la richiesta di evidenze dei loro controlli di sicurezza e dei piani di gestione degli incidenti. Un programma di compliance maturo gestisce attivamente queste evidenze per verificare che i controlli del fornitore rispettino gli standard organizzativi e non introducano rischi downstream inaccettabili.
Qual è la differenza tra un controllo e un audit?
Confondere questi due termini indebolisce un framework di governance. Essi svolgono funzioni fondamentalmente diverse.
-
Un controllo è una componente proattiva del sistema progettata per prevenire un LTI. Esempi includono la formazione ergonomica obbligatoria, un piano documentato di risposta agli incidenti o protocolli di sicurezza elettrica in un data center.
-
Un audit è un processo di verifica. Il suo scopo è testare se i controlli sono progettati correttamente e se operano efficacemente nel tempo.
La funzione di un auditor non è ispezionare la sicurezza. È ispezionare le evidenze che dimostrano che i vostri controlli di sicurezza sono efficaci. Il controllo è un componente; l’audit convalida il sistema.
I near miss fanno parte del reporting dei Lost Time Injury?
No, i near miss non sono inclusi nei calcoli del lost time injury. Tuttavia, non tracciarli è una grave omissione.
I near miss sono indicatori leading — segnali di un difetto in un sistema che potrebbe portare a un LTI. Un robusto sistema di gestione delle evidenze deve acquisire e analizzare i dati dei near miss per guidare correzioni proattive prima che un problema minore diventi un incidente importante. Per un auditor, un programma di near miss ben documentato è segno di alta maturità organizzativa. Dimostra che l’organizzazione non sta solo reagendo ai fallimenti, ma sta imparando dai segnali deboli per prevenirli.