Auditoría Legal del Sistema de Gestión en Prevención de Riesgos Laborales y Auditoría de Certificación bajo ISO 45001. Diferencias conceptuales
- OBJETO
Es objeto de estas breves líneas marcar y definir las diferencias de concepto básicas entre lo que supone una Auditoría Legal en Prevención de Riesgos Laborales, en base a normativa vigente, y una Auditoría de Certificación bajo la Norma ISO 45001. Por lo anterior, no se pretende realizar un profundo análisis comparativo entre ambos tipos de Auditoría, sino –como se ha dicho- diferenciarlas conceptualmente sino ayudar a eliminar ciertas confusiones que de modo intencionado o no se han generado especialmente en el mercado de las Certificaciones.
El antecedente de la ISO 45001 es, en cuanto a Certificación, la Estipulación OHSAS 18001 bajo la cual se han estado certificando Sistemas de Gestión en materia de Seguridad y Salud en los últimos años en nuestro país.
- DIFERENCIAS CONCEPTUALES
De entrada y desde un punto de vista conceptual, es claro que nos encontramos ante dos tipos de Auditoría totalmente distintas, con objetivos diferentes, referencias dispares, etc; una aborda el ajuste a la normativa y la otra el ajuste a un modo de gestionar la prevención de riesgos laborales, lo que las convierte en muy distintas conceptualmente.
Tras analizar los objetos, ámbitos de aplicación, contenidos básicos, plazos, aspectos metodológicos, etc, podemos definir –de modo no exhaustivo- diferencias como:
- Quizás la diferencia más significativa es el carácter de obligatoriedad normativa, aunque se permita la voluntariedad cuando no se alcancen los requisitos reglamentarios, de la Auditoría Legal frente a la voluntariedaden todo caso de la Certificación bajo cualquier Norma ISO, como lo es la ISO 45001. Evidentemente, de esta característica se deriva la posibilidad de sanción en un caso y la no pertinencia alguna en el otro.
- Otra diferencia significativa es el camino que autoriza a las personas, físicas o jurídicas, a auditar los sistemas de prevención de riesgos laborales. En el caso de Auditorías Legales, la persona física o jurídica debe disponer de acreditación definitiva otorgada por la Autoridad Laboral de la Comunidad Autónoma donde se encuentren las instalaciones principales de dicha persona. Por el contrario, el proceso de autorización para poder emitir certificados de cumplimiento de un sistema de seguridad y salud depende de ENAC (Entidad Nacional de Acreditación, organismo perteneciente al Gobierno del país).
- En la Auditoría Legal, el alcance de la Auditoría vendrá dado por la actividad preventiva que haya asumido directamente la empresa auditada y esto marcará ciertas características en el equipo auditor, por ejemplo, para las Auditorías Legales será necesario, como principal diferencia, un Auditor Médico si hay que abordar la disciplina de Medicina del Trabajo. En el caso de la Auditoría de Certificación bajo ISO 45001, será indiferente la actividad preventiva asumida por la empresa directamente, se audita el sistema de gestión en seguridad y salud en el trabajo independientemente de lo anterior. Esto nos lleva a pensar en que la profundidad de análisis es distinta.
- En cierto modo vinculado al punto anterior, la cualificación de que debe disponer un Auditor para realizar Auditorías Legales tampoco es la misma que para realizar Auditorías de Certificación. Para las primeras no hay más requerimiento que estar capacitado para desempeñar las funciones de Técnico Superior en Prevención de Riesgos Laborales (y que en la empresa auditora exista una persona con una formación auditora, sin que se especifique nada más en el texto legal) y para las segundas los requisitos no son tan laxos y gozan de mayor claridad como es la realización de un curso IRCA (International Register of Certificated Auditors) y una cualificación sectorial. Además, si analizamos los contenidos requeridos no podemos concluir que son lo suficientemente diferenciados como para considerar que se incluyen entre sí o que cualquiera de los dos incluye al otro.
- Otro aspecto diferencial es el asunto de los plazos y exenciones para realizar las Auditorías. Para realizar las Auditorías Legales los plazos dependen del tamaño de la empresa y como haya organizado la actividad preventiva y, además, nos encontramos con que hay numerosas empresas que se encuentran exentas derivado de los mismos criterios. Los plazos van desde los 2 a los 6 años en virtud de los criterios citados y de los acuerdos con la representación legal de los trabajadores en materia preventiva. Por el contrario, las Auditorías de Certificación se realizan cada 3 años con una revisión anual, luego el Certificado emitido tiene una validez de 3 años; obviamente, al ser voluntario someterse a la Certificación, no existen exenciones.
- Otras diferencias significativas vienen dadas por los contenidos, metodología y la definición del informe de auditoría. Con respecto a los contenidos, las Auditorías Legales se centran en el ajuste de los resultados del Sistema de Gestión de Prevención de Riesgos Laborales a la normativa del país, mientras que las Auditorías de Certificación bajo ISO 45001 lo harán sobre lo explicitado en dicha norma aunque deba tener en cuenta la normativa legal de aplicación del país en el que se desarrolle la Auditoría de Certificación. En el aspecto metodológico, las Auditorías Legales tendrán en cuenta solamente las normas técnicas que se elaboran al efecto en nuestro país (caso del Instituto Nacional de Seguridad e Higiene en el Trabajo) mientras que la metodología para la realización de Auditorías de Certificación son comunes a los distintos tipos de sistemas y carácter internacional. Algo similar sucede con el contenido del Informe de Auditoría, en el caso de la Auditoría Legal los contenidos del mismo vienen claramente expuestos en el Art.31 del RD 39/97 Reglamento de los Servicios de Prevención (normativa nacional) mientras que los contenidos del Informe de cualquier Auditoría de Certificación viene dado por documentos de carácter internacional y válidos, se insiste, para cualquier tipo de sistema certificable.
- Un aspecto claramente diferencial es la restricción legal que impide, en virtud del Art.32 del RD 39/97 ya citado, al Auditor Legal mantener con la empresa auditada cualquier vinculación comercial, financiera o de cualquier otro tipo distinta de su actividad como auditor y que pueda afectar a su independencia o influir en el resultado de sus actividades. Esta restricción legal no existe en las Auditorías de Certificación al no ser sistemas sujetos a normativa legal de ningún país; no obstante, sí existe la restricción, definida por ENAC, por la que un auditor o Entidad Certificadora no puede realizar tareas de consultoría y auditoría simultáneamente y mucho menos para una misma empresa.
- Una característica común a las distintas Auditorías de Certificación, que también se da en ISO 45001, es la existencia de Objetivos e Indicadores que garanticen la mejora del sistema y la medición de la misma. Este aspecto no aparece en las Auditorías Legales.
- Otra diferencia conceptual básica es la correlación con responsabilidades jurídicas de diversa índole en materia de prevención de riesgos laborales. En las Auditorías de Certificación en base a ISO 45001 en sí –no por aspectos legales que se encuentren relacionados- no existen responsabilidades jurídicas derivadas de incumplimientos debido al carácter de voluntariedad y no ser normativa legal. Por el contrario, si la empresa obligada a Auditoría Legal no se somete a la misma puede ser sancionada a tenor de la LISOS (Ley de Infracciones y Sanciones en el Orden Social) y, además, en caso de siniestralidad poder relacionarse con procesos civiles o penales, según el caso.
Con ánimo simplificador e intentando relacionarlas, la Norma ISO 45001 es un medio que ayudará a disponer de un sistema de gestión que posibilitará un mejor cumplimiento de la normativa en PRL, es decir, un instrumento, mientras que la Auditoría Legal pretende comprobar el ajuste de lo que la empresa hace a lo estipulado normativamente definido y si la empresa “hace lo que dice que hace” en este ámbito, llegando incluso a detectar riesgos jurídicos, es decir, un análisis de resultados sin tener tanto en cuenta los medios con los que se obtiene el mayor o menor ajuste a la normativa de aplicación, concluyendo, “hágalo como Vd.quiera pero el resultado debe ajustarse a la norma legal”.