Close

Humanizando la auditoría

Por Javier Cassini Gómez de Cádiz – Socio Director de PREVYCONTROL Entidad Auditora de Sistemas de Gestión en Prevención de Riesgos Laborales

 Abreviaturas:

PRL: Prevención de riesgos laborales

SGPRL: Sistema general de prevención de riesgos laborales

SPA: Servicio de prevención ajeno

LPRL: Ley 31/1995 de prevención de riesgos laborales

RSP: Reglamento 39/1997 de los servicios de prevención

RAE: Real Academia Española

  1. Introducción. Objetivos.

Cuando empiezo a escribir sobre la auditoría y la consultoría desde la perspectiva de la PRL, soy plenamente consciente de que me encuentro ante un asunto muy controvertido del que, en general, se ha escrito mucho.

Para llegar a discutir unas líneas de aproximación a la frontera entre Consultoría y Auditoría, así como para adaptar estas ideas a la prevención de riesgos laborales, es necesario acercarse con claridad a lo que es la Auditoría de SGPRL y a lo que se entiende por Consultoría-Asesoramiento en PRL ajustándolo a la legalidad vigente.

La frontera entre Consultoría y Auditoría siempre ha sido algo difusa y no resulta fácil responder a cuestiones como ¿Hasta dónde responder o implicarse un auditor?, ¿Se debe limitar a evidenciar lo que cumple o no un sistema de gestión?, ¿Puede un auditor aportar solución o vías de solución a deficiencias en los sistemas de la empresa auditada?, etc, etc.

 Por ello, estoy seguro, o así lo espero, que estas reflexiones generen un debate, especialmente en el sector de la PRL, tanto por la juventud de su desarrollo como por los factores éticos y humanos que la deben caracterizar.

Dicho de otro modo, el objetivo de estas líneas es quizás ése, generar debate y poner encima de la mesa ciertas características que deben o deberían hacer de la Auditoría de SGPRL una disciplina especial dentro del mundo auditor. Me entenderán si digo, sin quitar importancia a ningún campo auditor, que el profesional de la auditoría no se puede comportar igual si está implicado en la aplicación de una norma de Calidad, que si está participando en el control de un sistema que gestiona la salud de las personas en su entorno laboral. Y, obviamente, este comentario alcanzaría tanto si estamos realizando una Auditoría Legal del SGPRL como si lo que estamos auditando es un Sistema para la obtención de un Certificado bajo OHSAS 18001.

Pero trataré de centrarme en mayor medida en la Auditoría Legal de SGPRL. El motivo, en síntesis, es que me parece de mayor importancia el cumplimiento de una normativa legal y el ajuste del sistema de una empresa a la misma que el ajuste a los requisitos de una norma o especificación en materia de prevención de riesgos laborales, la cual puede incluso hacerse casi coincidir con los requisitos legales que deba tener un Sistema en prevención. 

  1. Definiciones básicas de Auditoría y Consultoría.

Según la RAE la definición de Consultor más adecuada a nuestros efectos es la de persona experta en una materia sobre la que asesora profesionalmente.

Siempre he entendido, de modo muy básico, que un Consultor en materia de PRL debe ayudar a una empresa a ponerla en situación de responder de modo adecuado a tres cuestiones:

¿Qué haces en materia de prevención de riesgos laborales?

¿Lo que dices que haces se ajusta a la normativa?

¿Eres capaz de demostrar que haces lo que dices que haces?

 Y el Auditor, debe constatar que las respuestas de la empresa auditada a estas tres cuestiones son veraces y se ajustan a la norma o normas (sean legales o no) que sirvan de referencia al proceso de auditoría.

Con respecto a la Auditoría, la RAE la define como la revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse.

Por tanto, y como ya se ha dicho, el auditor es la persona que debe valorar la idoneidad del sistema que ampara las respuestas facilitadas por la empresa auditada.

Así que la diferencia clara, y que prácticamente todos conocemos, es que el Consultor asesora y el Auditor valora y evalúa. Existirá, de este modo, una primera fase de preparación de la empresa donde interviene el Consultor y, si la empresa así lo decide, una segunda fase de certificación o auditoría legal donde interviene el Auditor, en el caso de la PRL.

Parece claro por lo expuesto que la Consultoría es una actividad muy amplia en la que caben muchas cosas,  mientras que la Auditoría es mucho más concreta y sujeta a criterios objetivos según el caso.

Para concretar algo más, podríamos analizar lo que define como Auditoría de Sistemas de Gestión la Norma UNE EN ISO 19001:2011 editada en Marzo de 2012 y que proviene de la anterior edición de la misma norma en el año 2.002.

Del análisis de la expresada Norma, y sin ánimo de desgranarla profusamente, se extraen unas características importantes que nos ayudan a definir lo que es la Auditoría. Entre otras:

  1. Es un proceso con una metodología y estructura claras.
  1. Debe disponer, igualmente, de unos objetivos claros.
  1. Debe basarse en la existencia de unos registros que evidencien el funcionamiento de un sistema de gestión.
  1. Debe ser independiente y no verse influenciada por los intereses de la empresa auditada.
  1. Las características de la persona que ejecuta la auditoría están definidas, tanto en cuanto a conocimientos y capacitación como, incluso, a características personales.
  1. El tratamiento de los hallazgos encontrados en el proceso de auditoría está perfectamente definido y no admite modificaciones que no estén descritas en el proceso.

Por tanto, vemos algunas diferencias claras entre la Auditoría y Consultoría.

Por ejemplo, las características de la persona que ejecuta funciones de consultor no están claramente definidas, ni en formación ni en experiencia. En el Auditor este aspecto se encuentra bastante bien definido; concretamente, en el campo de la prevención de riesgos laborales, se exige una formación en Auditoría del SGPRL para uno de los miembros de la entidad Auditora,  aunque sin especificar duración ni contenidos de la formación, lo que puede parecer un tanto laxo.

Otra diferencia clara es la independencia. El Consultor siempre va a estar identificado con los intereses de la empresa que le ha contratado, mientras que el Auditor será, o debe ser, totalmente independiente.

El objetivo de las dos actividades es también distinto. La Consultoría suele tener un objetivo, en ocasiones, más disperso y puede entremezclarse con otros objetivos de la Empresa, mientras que en la Auditoría el objetivo es muy concreto y queda definido siempre en el alcance de la misma. Lo anterior nos lleva a que la metodología es mucho más definida en el proceso de Auditoría que en el Consultoría, en parte motivado también por la duración de ambos procesos; los trabajos de Consultoría se dilatan bastante en el tiempo mientras que los de Auditoría son puntuales y rara vez se extienden más de tres jornadas, en el trabajo de campo, y siempre en función de tamaño, dispersión y actividad de la empresa auditada.

No obstante todo lo anterior, resulta interesante señalar la conveniencia de que el consultor conozca bien las técnicas auditoras con el fin de lograr una comunicación fluida con el auditor; pero suele ser más fácil que el auditor esté capacitado para realizar tareas de consultor que al revés.

En este momento, nos acercaremos de modo concreto a la Auditoría del SGPRL como actividad y, posteriormente, a la Consultoría que se está desarrollando en materia de PRL. 

3. Que es la Auditoría SGPRL según la normativa. Aspectos fundamentales.

  • Definición

Tal y como define el Art.30 de RSP, el concepto y objetivos de la auditoría del sistema de gestión de prevención de riesgos laborales son los siguientes:

  1. Comprobar cómo se ha realizado la evaluación inicial y periódica de los riesgos, analizar sus resultados y verificarlos, en caso de duda.
  2. Comprobar que el tipo y planificación de las actividades preventivas se ajusta a lo dispuesto en la normativa general, así como a la normativa sobre riesgos específicos que sea de aplicación, teniendo en cuenta los resultados de la evaluación.
  3. Analizar la adecuación entre los procedimientos y medios requeridos para realizar las actividades preventivas mencionadas en el párrafo anterior y los recursos de que dispone el empresario, propios o concertados, teniendo en cuenta, además, el modo en que están organizados o coordinados, en su caso.
  4. En función de todo lo anterior, valorar la integración de la prevención en el sistema general de gestión de la empresa, tanto en el conjunto de sus actividades como en todos los niveles jerárquicos de ésta, mediante la implantación y aplicación del Plan de Prevención de riesgos laborales, y valorar la eficacia del sistema de prevención para prevenir, identificar, evaluar, corregir y controlar los riesgos laborales en todas las fases de actividad de la empresa.

A estos efectos y como parte inicial del proceso de Auditoría, se hace necesario hacer notar lo establecido en el Art.31 del RSP (modificado por el RD 604/2006), el cual dice textualmente:

“Artículo 31. Documentación: Los resultados de la auditoría deberán quedar reflejados en un informe que la empresa auditada deberá mantener a disposición de la autoridad laboral competente y de los representantes de los trabajadores”.

 Obligatoriedad y Periodicidad

Tras los distintos cambios normativos acaecidos desde la promulgación de la LPRL, la situación actual de obligatoriedad y periodicidad de las Auditorías del SGPRL viene marcada por la publicación del RD 604/2006 y, posteriormente, del RD 337/2010, en el que se disminuye el espacio temporal definido inicialmente para la realización de auditorías a cuatro años y a dos en empresas cuya actividad esté incluida en el Anexo I del RSP, aunque estos plazos se podrán ampliar dos años más si la modalidad organizativa en esta materia ha sido acordada con la representación legal de los trabajadores. Además, se indica que la primera Auditoría ha de realizarse en el plazo de 12 meses desde que se disponga de la primera planificación de la actividad preventiva.

Empresas con obligación de someter su sistema a Auditoría SGPRL

             De la definición de las tipologías de empresas obligadas a Auditorías Legales del SGPRL y de la experiencia acumulada en estos años, los clientes objeto de estos servicios son:

  • Empresas que dispongan de más de 500 trabajadores o más de 250 pero encuadradas en actividades de riesgo alto según el RSP. Estas empresas estás obligadas a constituir su Servicio de Prevención Propio.
  • Empresas de menos de dichos trabajadores pero que dispongan de recursos técnicos internos, nombrados como trabajadores designados para la actividad preventiva (Art.12 RSP). Estos casos no son muy frecuentes pues normalmente se ha recurrido a Servicios de Prevención Ajenos.
  • Empresas que se han integrado en un Servicio de Prevención Mancomunado (tiene carácter de Servicio de Prevención Propio y, por tanto, se entiende que asumen la actividad preventiva con recursos internos). Esta circunstancia suele darse en grupos de empresas, pues la mayoría del resto tienen menos de 50 trabajadores y, por ello, están exentas de Auditoría SGPRL.
  • Empresas en las que haya decidido Inspección de Trabajo y Seguridad Social o Autoridad Laboral competente que deben someterse a dicho proceso.                                                                                      Tipos de Auditorías en PRL

Evidentemente, las situaciones que sufren las empresas son altamente variables y ello exige, desde una perspectiva operativa en la empresa, que la realización de una auditoría en sistemas de gestión en prevención de riesgos laborales no tenga que circunscribirse solamente a lo que defina la normativa, sino que su utilidad y realización debiera adaptarse a las circunstancias concretas que atraviese la empresa a auditar. 

            En este sentido y de modo no exhaustivo, se pueden realizar los siguientes tipos de Auditorías en materia preventiva, incluyendo la Auditoría legal:

  • Auditoría Legal

Es la que se realiza con el fin de cumplir con la normativa vigente en PRL. Puede ser completa – si se revisa todo el sistema de gestión – o de comprobación-seguimiento – si se ejecuta con anterioridad al plazo máximo exigido por la normativa como continuación de una Auditoría completa. Aborda tanto el ajuste del sistema a la normativa legal como el ajuste de las actividades preventivas reales de la empresa a lo establecido en el sistema.

  • Auditoría Inicial o de conocimiento

Es la que se realiza a empresas con un sistema de gestión incipiente e, incluso, inexistente con la intención de aportar herramientas de gestión que permitan la creación de un sistema             de base sólida.

  • Auditoría de coordinación de actividades

Es importante, y aún más en determinados sectores como el de construcción, el control de las actividades preventivas de empresas contratistas y subcontratistas por motivos claros de responsabilidades solidarias o subsidiarias. En este sentido, la Auditoría de coordinación de actividades aporta seguridad técnica y jurídica a la empresa principal.

  • Auditorías de revisión limitada y de incidente

Consisten en la revisión parcial de determinados aspectos de la empresa. Se puede referir a un proceso concreto de la actividad de la empresa, a un centro de trabajo concreto, tras la ocurrencia de un accidente de trabajo, etc.

  • Auditoría por Requerimiento

Es la que se realiza ante un requerimiento de la Autoridad Laboral o Inspección de Trabajo y Seguridad Social, según normativa vigente.

  • Auditoría de empresas

Se ejecuta para comprobar la situación en materia de prevención de riesgos laborales de una empresa ante fusiones, adquisiciones o absorciones entre empresas.

  1. La Consultoría y Asesoramiento en PRL.

Actualmente, uno de los conceptos que genera no pocas dudas y debates  es el de “asesoramiento en materia de prevención de riesgos laborales”.

Porque además, si nos atenemos a la definición de la RAE expuesta anteriormente, se puede asimilar el concepto consultoría al de asesoramiento.

Sin embargo, en principio, la definición de asesoramiento genera dudas por su ambigüedad, y al amparo de la misma en el sector de la prevención de riesgos laborales existe cierta confusión sobre quién puede prestar asesoramiento o consultoría en PRL y para qué. Por tanto, parece necesario acotar el concepto de “asesoramiento en materia de prevención de riesgos laborales” así como quién o quiénes pueden asesorar en esta materia con el respaldo de la normativa actual.

Concretamente, se debe definir si el asesoramiento y apoyo al empresario en alguna de las acciones listadas en el artículo 31.3 de la LPRL, puede ser desarrollado por entidades sin el preceptivo control (acreditación como SPA) de la autoridad laboral, si el empresario que asume la actividad preventiva en la empresa, como modalidad válida, ha de cumplir con los criterios establecidos en el artículo 30.5 de la LPRL y 11 del RSP, en cuanto a la capacidad y conocimiento suficiente así como disponibilidad y presencia en la empresa y, por último, si puede el empresario que se dote de una organización preventiva propia (el propio empresario o trabajadores designados y cuando esta organización no cuente con la capacidad suficiente en cuanto a la formación necesaria  de sus recursos humanos) recibir el asesoramiento y apoyo externo -para la realización de aquellas actividades preventivas para las que no está capacitado- por empresas o profesionales distintos a los servicios de prevención ajenos.

Teniendo respuesta a estas cuestiones se habrá clarificado completamente qué se considera asesoramiento en materia de prevención de riesgos laborales y quién está legalmente facultado para ejercerlo.

Pues bien, a este respecto, la Subdirección General de Ordenación Normativa de la Dirección General de Empleo, perteneciente al Ministerio de Empleo y Seguridad Social se ha pronunciado como órgano administrativo al que corresponde la elaboración de informes y consultas en relación a la interpretación y aplicación de la normativa laboral.

En el Informe realizado por el citado organismo, se hace un repaso a la normativa legal vigente en materia de organización de la actividad preventiva, llegando a la clara conclusión de que el recurso a profesionales externos de la empresa, o a una entidad no acreditada, no pueden considerarse ajustados a alguna de las modalidades que el artículo 10 del RD 39/97 Reglamento de los Servicios de Prevención establece para la organización de los recursos necesarios para el desarrollo de las actividades preventivas por parte del empresario. Por tanto, se impide que las actividades preventivas puedan ser ejecutadas por personas (aunque tengan formación en prevención de riesgos laborales) con encargo mediante un arrendamiento de servicios, o por una empresa si ésta no es una entidad acreditada por la autoridad laboral competente.

Concretamente, el apartado 3 del Art.31 de la LPRL indica y establece que  “los servicios de prevención deberán estar en condiciones de proporcionar a la empresa el asesoramiento y apoyo que precise en función de los tipos de riesgo en ella existentes y en lo referente a:

  1. El diseño, implantación y aplicación de un plan de prevención de riesgos laborales que permita la integración de la prevención en la empresa.
  2. La evaluación de los factores de riesgo que puedan afectar a la seguridad y la salud de los trabajadores en los términos previstos en el artículo 16 de esta Ley.
  3. La planificación de la actividad preventiva y la determinación de las prioridades en la adopción de las medidas preventivas y la vigilancia de su eficacia.
  4. La información y formación de los trabajadores, en los términos previstos en los artículos 18 y 19 de esta Ley.
  5. La prestación de los primeros auxilios y planes de emergencia.
  6. La vigilancia de la salud de los trabajadores en relación con los riesgos derivados del trabajo.”

Por tanto y según el Centro Directivo, la actividad de un profesional independiente o de una empresa que no sea entidad acreditada como servicio de prevención ajeno, no podrá comprender ni la prestación de servicios de asesoramiento y apoyo en las materias establecidas en el artículo 31 de la LPRL, que corresponde a los servicios de prevención, ni la propia ejecución de las actividades preventivas que pueda corresponder a la empresa, en los términos legalmente establecidos.  Además, resulta evidente que, fuera de las actividades expuestas en el citado Art.31 de la LPRL, no se encuentran tareas para las que precise asesoramiento y apoyo un empresario que asuma personalmente su actividad preventiva, salvo en lo que se expone a continuación.

Según el Informe del Órgano de la Administración citado, la única participación de otros profesionales -es decir, no integrados en una entidad especializada- en materia de organización de la actividad preventiva, es la posible subcontratación, por las entidades especializadas que actúen como servicios de prevención, de los servicios de otros profesionales o entidades cuando sea necesario para la realización de actividades que requieran conocimientos especiales o instalaciones de gran complejidad. 

Por otro lado, según el Informe del Centro Directivo redactante, el empresario que asume la actividad preventiva en la empresa debe cumplir con lo establecido en el artículo 30.5 de la LPRL que señala que “en las empresas de hasta diez trabajadores, (aunque actualmente se ha modificado ese límite para plantillas de 25 trabajadores),  el empresario podrá asumir personalmente las funciones señaladas en el apartado 1, siempre que desarrolle de forma habitual su actividad en el centro de trabajo y tenga la capacidad necesaria, en función de los riesgos a que estén expuestos los trabajadores y la peligrosidad de las actividades, con el alcance que se determine en las disposiciones a que se refiere el artículo 6.1.e de esta Ley.”  Ello, queda completado con lo señalado en el artículo 11 del RSP cuando específica las circunstancias en las que el empresario puede desarrollar personalmente la actividad de prevención.

            Obviamente, el empresario que asumiera personalmente la prevención podría hacer uso de las herramientas diseñadas específicamente para prestarle apoyo y asesoramiento en materia de prevención de riesgos laborales por la Administración, como por ejemplo las plataformas prevención10 o prevención25, sin perjuicio de que el responsable legal de gestionar esta materia es siempre el empresario que lo asume personalmente para lo que se requiere la  identificación del mismo como usuario mediante DNI electrónico o certificado digital, en la medida que son los únicos documentos que demuestran fehacientemente la identidad del usuario y garantizan que nadie más que el empresario pueda acceder a los datos.

Todo ello sin entrar en las consecuencias que pudiera tener para un empresario y su sistema de prevención asumir su actividad preventiva con un apoyo no ajustado estrictamente a la norma. Consecuencias como las derivadas de responsabilidades jurídicas, ausencia de garantías económicas por las actividades profesionales en los asesores en prevención, no ajuste del nivel formativo en prevención de riesgos laborales a las funciones realizadas o la posible pérdida de calidad en el nivel de la actividad preventiva, entre otras.

  1. Aplicación Práctica de la Auditoría SGPRL.

Hemos analizado ya las diferencias, a nivel general, que existen o pueden existir entre la Auditoría y Consultoría, lo que es la Auditoría de SGPRL así como la figura de Consultoría aplicada a la prevención de riesgos laborales y quién debería realizarla.

Una vez llegados a este punto, deberíamos integrar todos estos conceptos en  la aplicación real de la Auditoría de Sistemas de Gestión en Prevención de Riesgos Laborales pues, como suele suceder en todos los campos profesionales, una cosa es la realidad y otra –a veces muy distinta- lo que define una normativa o la intención de un legislador.

En un primer momento, parece que lo razonable y legal es que la Consultoría, si se considerase necesaria, sea realizada por un SPA contratado para esta tarea y el proceso de Auditoría, obviamente, por una Entidad acreditada a tal efecto por la Autoridad Laboral competente.

En la realización de la Auditoría del SGPRL hay que tener en cuenta varias cosas, de modo no exhaustivo:

  1. Lo que hay que auditar es el Sistema de Gestión en su conjunto; por ejemplo, no hay que auditar si la Evaluación de Riesgos es técnicamente correcta salvo que se observen indicios de graves irregularidades. Quiero decir que, en lo referido a la Evaluación de Riesgos, y en general, debe responder a preguntas como: ¿La Evaluación de Riesgos cumple con los requisitos que define la normativa para este documento? ¿Su contenido se ajusta a la realidad de la Empresa? ¿Ha sido realizada con medios adecuados y por personal competente en base a la norma? ¿Es un proceso vivo y se revisa períodicamente? ¿Qué uso se hace de este documento y por quién y hasta qué punto es conocido?, etc, etc.
  1. La Auditoría debe interferir lo menos posible con la actividad de la empresa auditada. Con dos objetivos principales: no perjudicar a la productividad normal en la empresa y observar la situación en el entorno más real posible pues, de este modo, las conclusiones serán más fiables.
  1. La Auditoría debe generar valor añadido para la empresa auditada. Nunca debe convertirse en un proceso de fiscalización legal en un momento puntual y en el que la empresa tenga la única intención de superar una auditoría por exigencia legal. El proceso de Auditoría debe formar parte del SGPRL y aportar a su mejora.
  1. El momento de desarrollo de la aplicación de la PRL en nuestro país, aún es temprano. Esto suele conllevar que la empresa auditada consulte numerosos aspectos en el transcurso de la Auditoría. Y aquí es donde surge la disquisición para el Auditor de hasta dónde implicarse.
  1. La PRL y su aplicación no puede abstraerse de que hay factores éticos y humanos que se encuentran dentro de la misma y que no se pueden olvidar en ningún momento, pues el fin de esta norma –y, por tanto, de todos los que participamos en su aplicación ya seamos técnicos, empresarios, trabajadores, delegados de prevención, inspectores de trabajo, etc, etc- es evitar daños para la salud de los trabajadores, como beneficio a la sociedad y al interés común, pero también reitero, por factores éticos y humanos. Como escribió una persona con la que me inicié en la PRL hace ya unos años: La prevención de riesgos laborales es una obligación del hombre para con el hombre.

Para finalizar y como conclusión de lo anterior, con el intento de promover el debate, creo que nos podemos hacer preguntas como:

¿Puede el auditor aportar soluciones –propias de la consultoría- a problemas que detecte en la empresa auditada?  

¿Podría incorporar alguna de estas aportaciones de consultoría a su Informe de Auditoría? 

O lo que es parecido o consecuencia, ¿debe el auditor hacer prevalecer su obligación humana de velar en todo momento por la salud de los trabajadores sobre su obligación formal como auditor? 

¿Dónde está el límite de lo anterior? Pues se podría llegar al límite –excesivo o no- de que los asuntos detectados deben ser puestos inmediatamente en conocimiento de la Autoridad Laboral. 

¿Es razonable disminuir el tiempo entre Auditorías, incluso convirtiéndolas en parciales, con el fin de aportar más a la gestión preventiva de la empresa auditada?

       Espero vuestros comentarios a estas disquisiciones personales.