Close

Implicaciones jurídicas en las diferencias entre la Auditoría Legal y de Certificación en PRL

Autor: Javier Cassini Gómez de Cádiz-Auditor Jefe PREVYCONTROL

Medio: www.legaltoday.com

1.      OBJETO

Es objeto de estas breves líneas marcar y definir las diferencias de concepto básicas entre lo que supone una Auditoría Legal en Prevención de Riesgos Laborales, en base a normativa vigente, y una Auditoría de Certificación bajo la, aún en fase de Proyecto, futura Norma ISO 45001.

El antecedente de la futura Norma ISO 45001 es, en su última versión, la Estipulación OHSAS 18001 bajo la cual se están certificando, hasta el momento, los  Sistemas de Gestión en materia de Seguridad y Salud.

Igualmente, es importante analizar lo que desarrolla nuestro vigente cuerpo legal  sobre las vinculaciones a que están sometidas las entidades que realicen las Auditorias Legales en prevención de riesgos laborales.

Antes de comenzar el cuerpo de estas líneas, es necesario hacer mención a que la ISO 45001 se encuentra en este momento en fase de Proyecto y que, por tanto, el texto que se ha utilizado es susceptible de cambios en lo que resta para finalizar el proceso de validación de este Norma, la cual tendrá -en caso de publicarse- carácter Internacional.

2.      DIFERENCIAS CONCEPTUALES  

De entrada y desde un punto de vista conceptual, es claro que nos encontramos ante dos tipos de Auditoría totalmente distintas, con objetivos diferentes, referencias dispares, etc; una aborda el ajuste a la normativa y la otra el ajuste a un modo de gestionar la prevención de riesgos laborales.

Tras analizar los objetos, ámbitos de aplicación, contenidos básicos, plazos, aspectos metodológicos, etc, podemos definir -de modo no exhaustivo- diferencias como:

a)      Quizás la diferencia más significativa es el carácter de obligatoriedad normativa, aunque se permita la voluntariedad cuando no se alcancen los requisitos reglamentarios, de la Auditoría Legal frente a la voluntariedad en todo caso de la Certificación bajo cualquier Norma ISO, como lo será con la ISO 45001. Evidentemente, de esta característica se deriva la posibilidad de sanción en un caso y la no pertinencia alguna en el otro.

b)      Otra diferencia significativa es el camino que autoriza a las personas, físicas o jurídicas, a auditar los sistemas de prevención de riesgos laborales. En el caso de Auditorías Legales, la persona física o jurídica debe disponer de acreditación definitiva otorgada por la Autoridad Laboral de la Comunidad Autónoma donde se encuentren las instalaciones principales de dicha persona. Por el contrario, el proceso de autorización para poder emitir certificados de cumplimiento de un sistema de seguridad y salud depende de ENAC (Entidad Nacional de Acreditación, organismo perteneciente al Gobierno del país).

c)      En la Auditoría Legal, el alcance de la Auditoría vendrá dado por la actividad preventiva que haya asumido directamente la empresa auditada y esto marcará ciertas características en el equipo auditor, por ejemplo, para las Auditorías Legales será necesario, como principal diferencia, un Auditor Médico si hay que abordar la disciplina de Medicina del Trabajo. En el caso de la Auditoría de Certificación bajo la futura ISO 45001 y hoy bajo OHSAS 18001, será indiferente la actividad preventiva asumida por la empresa directamente, se audita el sistema de gestión en seguridad y salud en el trabajo independientemente de lo anterior. Esto nos lleva a pensar en que la profundidad de análisis es distinta.

d)     En cierto modo vinculado al punto anterior, la cualificación de que debe disponer un Auditor para realizar Auditorías Legales tampoco es la misma que para realizar Auditorías de Certificación. Para las primeras no hay más requerimiento que estar capacitado para desempeñar las funciones de Técnico Superior en Prevención de Riesgos Laborales (y que en la empresa auditora exista una persona con una formación auditora, sin que se especifique nada más en el texto legal) y para las segundas los requisitos no son tan laxos y gozan de mayor claridad como es la realización de un curso IRCA (International Register of Certificated Auditors) y una cualificación sectorial. Además, si analizamos los contenidos requeridos no podemos concluir que son lo suficientemente diferenciados como para considerar que se incluyen entre sí o que cualquiera de los dos incluye al otro.

e)      Otro aspecto diferencial es el asunto de los plazos y exenciones para realizar las Auditorías. Para realizar las Auditorías Legales los plazos dependen del sector -referido a peligrosidad- de la empresa y como haya organizado la actividad preventiva y, además, nos encontramos con que hay numerosas empresas que se encuentran exentas derivado de los mismos criterios. Los plazos van desde los 2 a los 6 años en virtud de los criterios citados y de los acuerdos con la representación legal de los trabajadores en materia preventiva (ver artículo Raquel Vida/Javier Cassini en www.legaltoday.com al respecto). Por el contrario, las Auditorías de Certificación se realizan cada 3 años con una revisión anual, luego el Certificado emitido tiene una validez -generalmente- de 3 años; obviamente, al ser voluntario someterse a la Certificación, no existen exenciones.

f)       Otras diferencias significativas vienen dadas por los contenidos, metodología y la definición del informe de auditoría. Con respecto a los contenidos, las Auditorías Legales se centran en el ajuste de los resultados del Sistema de Gestión de Prevención de Riesgos Laborales a la normativa del país, mientras que las futuras Auditorías de Certificación bajo ISO 45001, hoy bajo OHSAS 18001, lo harán sobre lo explicitado en dicha norma aunque deba tener en cuenta la normativa legal de aplicación del país en el que se desarrolle la Auditoría de Certificación. En el aspecto metodológico, las Auditorías Legales tendrán en cuenta solamente, además de lo expuesto en la normativa legal, las normas técnicas que se elaboran al efecto en nuestro país (caso del Instituto Nacional de Seguridad e Higiene en el Trabajo) mientras que la metodología para la realización de Auditorías de Certificación son comunes a los distintos tipos de sistemas y carácter internacional. Algo similar sucede con el contenido del Informe de Auditoría, en el caso de la Auditoría Legal los contenidos del mismo vienen claramente expuestos en el Art.31 del RD 39/97 Reglamento de los Servicios de Prevención (normativa nacional) mientras que los contenidos del Informe de cualquier Auditoría de Certificación viene dado por documentos de carácter internacional y válidos, se insiste, para cualquier tipo de sistema certificable.

g)      Un aspecto claramente diferencial es la restricción legal que impide, en virtud del Art.32 del RD 39/97 ya citado, al Auditor Legal mantener con la empresa auditada cualquier vinculacióncomercial, financiera o de cualquier otro tipo distinta de su actividad como auditor y que pueda afectar a su independencia o influir en el resultado de sus actividades. Esta restricción legal no existe en las Auditorías de Certificación al no ser sistemas sujetos a normativa legal de ningún país; no obstante, sí existe la restricción, definida por ENAC, por la que un auditor o Entidad Certificadora no puede realizar tareas de consultoría y auditoría simultáneamente y mucho menos para una misma empresa.

h)      Una característica común a las distintas Auditorías de Certificación, que también se da en la futura ISO 45001, es la existencia de Objetivos e Indicadores que garanticen la mejora del sistema y la medición de la misma. Este aspecto no aparece en las Auditorías Legales.

i)        Otra diferencia conceptual básica es la correlación con responsabilidades jurídicas de diversa índole en materia de prevención de riesgos laborales. En las Auditorías de Certificación en base a la futura ISO 45001 en sí -no por aspectos legales que se encuentren relacionados- no existen responsabilidades jurídicas derivadas de incumplimientos debido al carácter de voluntariedad y no ser normativa legal. Por el contrario, si la empresa obligada a Auditoría Legal no se somete a la misma puede ser sancionada a tenor de la LISOS (Ley de Infracciones y Sanciones en el Orden Social) y, además, en caso de siniestralidad poder relacionarse con procesos civiles o penales, según el caso.

3.      VINCULACIONES EN EL CASO DE LAS AUDITORÍAS LEGALES

Lo que no parece estar muy claro, a priori, es si la entidad que realice la Auditoría Legal en materia de prevención de riesgos laborales puede también realizar otro tipo de trabajos para la misma empresa. Analicemos lo que expone la normativa vigente en esta materia. El Art.32.2 del RD 39/97 expone literalmente:

2. Las personas físicas o jurídicas que realicen la auditoría del sistema de prevención de una empresa no podrán mantener con la misma vinculaciones comerciales, financieras o de cualquier otro tipo, distintas a las propias de su actuación como auditoras, que puedan afectar a su independencia o influir en el resultado de sus actividades.

Del mismo modo, tales personas no podrán realizar para la misma o distinta empresa actividades en calidad de entidad especializada para actuar como servicio de prevención, ni mantener con estas últimas vinculaciones comerciales, financieras o de cualquier otro tipo distintas de las que concierte la propia auditora como empresa para desarrollar las actividades de prevención en el seno de la misma.

Si lo interpretamos de forma amplia, al decir no podrán mantener con la misma vinculaciones comerciales, financieras o de cualquier otro tipo, distintas a las propias de su actuación como auditoras podemos pensar que cabe cualquier tipo de auditoría y que deja fuera de la vinculación realizar otro tipo de auditorías simultáneamente…justo lo que con frecuencia ocurre en el mercado.

Pero si nos vamos al contenido de la Ley de Infracciones y Sanciones en el Orden Social (LISOS) en su Art.13.12, lo que expone al respecto es:

12. Mantener las entidades especializadas que actúen como servicios de prevención ajenos a las empresas o las personas o entidades que desarrollen la actividad de auditoría del sistema de prevención de las empresas, vinculaciones comerciales, financieras o de cualquier otro tipo, con las empresas auditadas o concertadas, distintas a las propias de su actuación como tales, así como certificar, las entidades que desarrollen o certifiquen la formación preventiva, actividades no desarrolladas en su totalidad.

Es decir, nos encontramos con una sanción MUY GRAVE para la entidad auditora del sistema de prevención de las empresas (dice literalmente) si mantiene vinculaciones de cualquier tipo con las empresas auditadas. Como se ve, el enfoque es mucho más restrictivo y solamente podríamos dudar, con una interpretación laxa, si incluimos aquí a las auditorías OHSAS como no vinculadas.

La interpretación que las patronales del sector de prevención hacen a este respecto es coincidente con el anterior párrafo cuando plantean que las entidades auditoras pueden realizar consultoría u otro tipo de auditorías, siempre que no sea para la empresa auditada a tenor de la Ley de Prevención y posterior reglamentación.

4.      CONCLUSIONES

Con ánimo simplificador e intentando relacionarlas, la futura ISO 45001 es un medio que ayudará a disponer de un sistema de gestión que posibilitará un mejor cumplimiento de la normativa en PRL como hoy hace la especificación OHSAS 18001, es decir, un instrumento, mientras que la Auditoría Legal pretende comprobar el ajuste de lo que la empresa hace a lo estipulado normativamente definido y si la empresa «hace lo que dice que hace» en este ámbito, llegando incluso a detectar riesgos jurídicos, es decir, un análisis de resultados sin tener tanto en cuenta los medios con los que se obtiene el mayor o menor ajuste a la normativa de aplicación, concluyendo, «hágalo como Vd.quiera pero el resultado debe ajustarse a la norma legal».

Además, en base al breve análisis de las vinculaciones realizado, es aconsejable no correr el riesgo de que la Auditoría Legal pueda ser puesta en tela de juicio ante un accidente o una inspección por considerar que se mantienen vinculaciones por realizar más de una auditoría o cualquier otra actividad en la misma empresa; es decir, se debería reflexionar acerca de dejar al margen de los paquetes de Auditoría de Certificación la Auditoría Legal del SGPRL. Una práctica habitual en el mercado es justamente la de incluir la Auditoría Legal en el paquete de ofertas de Certificación, llegando a realizar ambas simultáneamente con el ahorro de jornadas, y las realice una misma entidad y, en ocasiones, hasta incluyendo el Informe de Auditoría Legal en el de Certificación del Sistema de Gestión de Seguridad y Salud conforme a OHSAS 18002, en el futuro bajo la ISO 45001.

Es conveniente finalizar con un párrafo de los Criterios del Instituto Nacional de Seguridad e Higiene en el Trabajo para la realización de las Auditorías del Sistema de Prevención de Riesgos Laborales reguladas en el Capítulo V del Reglamento de los Servicios de Prevención (RD 39/97). Este párrafo distingue claramente los dos tipos de Auditorías y define que la visión del auditor en cada caso es distinta:

En todo caso, es necesario evitar cualquier confusión entre el ámbito de lo voluntario y el de lo legalmente exigible. Al auditor «legal», es decir, al que realiza la auditoría contemplada en el Capítulo V del RSP, no deberá importarle si el sistema de la empresa está explícitamente definido y se ajusta o no al preconizado por una determinada norma de cumplimiento voluntario; lo único que debe comprobar es si el sistema de prevención efectivamente implantado (sea del tipo que sea) cumple los requisitos legales establecidos en la normativa de prevención de riesgos laborales.