Aún hoy existe cierta confusión cuando se habla de Auditoria Reglamentaria Prevencion Riesgos Laborales. En este artículo desarrollaremos las diez principales diferencias entre las Auditorías Reglamentarias (exceptuando aquellas que son reglamentarias voluntarias) y las Auditorías de Certificación conforme a la especificación técnica OHSAS 18001.
Obligatoriedad vs voluntariedad
El primer aspecto por el que deben diferenciarse las auditorías reglamentarias de las auditorías de Certificación ISO 45001 es la obligatoriedad de las primeras frente a las segundas.
Las auditorías reglamentarias tienen carácter obligatorio para aquellas empresas que no hubieran concertado el Servicio de Prevención con una entidad especializada ajena a la empresa (art. 30.6 de la Ley 31/95, Ley de Prevención de Riesgos Laborales y art. 29.2 RD 39/97 Reglamento de los Servicios de Prevención) y para aquellas empresas que desarrollan actividades preventivas con recursos propios y ajenos (art. 29.2 y 31 bis del RD 39/97 Reglamento de los Servicios de Prevención).
De hecho, este aspecto es de gran importancia puesto que no someter el sistema de prevención al control de una auditoría externa cuando no se ha concertado el servicio de prevención con entidad especializada ajena a la empresa constituye infracción administrativa en el orden social de carácter grave (art. 12.20 del RD Leg 5/2000, Texto Refundido de Ley sobre Infracciones y Sanciones en el Orden Social).
La auditoría de Certificación ISO 45001 es voluntaria, esto es, no existe obligación para la empresa de realizar auditoría de certificación de su sistema de gestión de la prevención basado en esta norma salvo que éste sea requisito de cliente.
Concepto y objeto de la auditoría
Este aspecto diferencial viene determinado por el propio concepto y objeto de la auditoría. En el caso de las auditorías reglamentarias la auditoría se constituye como un instrumento de gestión con el objetivo de reflejar la imagen real y fiel del Sistema de Gestión de la PRL, valorando su eficacia y detectando las posibles deficiencias que den lugar a incumplimientos de la normativa vigente (art. 30.1 del RD 39/97 Reglamento de los Servicios de Prevención).
En el caso de las auditorías de Certificación ISO 45001, se trata de un proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas objetivamente para determinar si se cumplen los criterios de auditoría. La ISO 45001 es una especificación técnica que establece los requisitos para la implantación de un Sistema de Gestión de la PRL como forma de habilitar a una organización para controlar sus riesgos de SST y mejorar su desempeño. La auditoría de ISO 45001 tiene por objeto determinar si se han seguido los requisitos establecidos en dicha norma.
Tipo de análisis
A destacar es también el tipo de análisis que incluye la auditoría reglamentaria frente a la auditoría de Certificación ISO 45001. En el caso de las primeras, las auditorías reglamentarias, no sólo se realiza un análisis del cumplimiento de la legislación sino que incluye un análisis de la adecuación entre los procedimientos y los medios requeridos para realizar las actividades preventivas (propios, ajenos…) teniendo en cuenta su organización y coordinación (en su caso) e incluye además la valoración de la integración de la PRL en el sistema de gestión general de la empresa así como de su eficacia (para prevenir, identificar, evaluar y corregir y controlar los riesgos en todas las fases de la empresa).
La Auditoria de Certificación OHSAS 18001 basa su análisis en asegurar que la organización ha implementado un sistema para la gestión de los aspectos de SST pertinentes de sus actividades (en línea con su política) y en asegurar la mejora de su desempeño en esta área.
Alcance de la auditoría
En las auditorías reglamentarias el alcance viene determinado fundamentalmente por la actividad preventiva que la organización asume con medios propios, sin embargo, en la auditoría de Certificación ISO 45001 el alcance de la auditoría viene determinada por acuerdo entre el auditado y la entidad que realiza la auditoría, pudiendo definir los límites y su extensión en función de diversos criterios (unidades de la organización, procesos…).
El criterio de auditoría
Otra gran diferencia a destacar es el criterio de auditoría. Cuando hablamos de auditorías reglamentarias éstas basan su criterio en la normativa de PRL tanto general como específica que sea de aplicación a la organización en función de la actividad, riesgos…En el caso de auditorías de certificación de la antigua OHSAS 18001 el criterio principal que se empleaba era la propia especificación técnica.
El informe de auditoría
El informe de auditoría es otra de las grandes diferencias entre auditoría reglamentaria y auditoría Certificación ISO 45001. En la auditoría reglamentaria el informe de auditoría ha de permanecer a disposición de la autoridad laboral y de la representación de los trabajadores, sin embargo, en las auditorías de ISO 45001 esta cuestión pese a ser conveniente no es requisito obligatorio.
La periodicidad
La periodicidad de la auditoría es otra cuestión a diferenciar cuando hablamos de auditorías reglamentarias y auditorías conforme a ISO 45001. La periodicidad de la auditoría en el caso de la auditoría reglamentaria está regulada en el art. 30.4 del RD 39/97, Reglamento de los Servicios de Prevención estableciéndose una periodicidad de 4 años a excepción de aquellas organizaciones con actividades incluidas en el Anexo I, en cuyo caso será de 2 años. Inclusive prevé la norma que la auditoría debe repetirse cuando lo requiera la autoridad laboral (previo informe de la Inspección de Trabajo y Seguridad Social) a la vista de los datos de siniestralidad u otras circunstancias que pongan de manifiesto la necesidad de revisar sus resultados.
Las auditorías de certificación según ISO 45001 se realizan con una validez para tres años siempre y cuando se realicen las auditorías de seguimiento que son anuales.
Personas físicas/jurídicas que pueden realizar las auditorías
En el caso de las auditorías reglamentarias las personas o entidades especializadas han de contar con la autorización de la autoridad laboral competente. En el caso de las auditorías de Certificación ISO 45001, las entidades que certifican Sistemas de Gestión de PRL basados en esa especificación no requieren de autorización de la autoridad laboral, aunque deben cumplir con los criterios establecidos por ENAC (Entidad Nacional de Acreditación) en esta materia (p.e. UNE-EN ISO/IEC 17021 Requisitos de los organismos que realizan la auditoría y la certificación de sistemas de gestión).
Formación y cualificación de los auditores
Esta diferencia está relacionada con el apartado anterior. En el caso de las auditorías reglamentarias la formación y cualificación de auditores está regulada en el art. 8.2 de la ORDEN TIN 2504/2010 donde se exige que, en el caso de ser una persona física, ésta debe ser Técnico de Nivel Superior en cualquiera de las cuatro disciplinas preventivas reguladas en el art. 34 del RD 39/97 y disponer de una formación o experiencia probada en gestión y realización de auditorías y en técnicas auditoras.
En el caso de las entidades especializadas y acreditadas como entidades auditoras, deben contar con al menos un técnico que cumpla estas condiciones.
En las auditorías Certificación ISO 45001 los requisitos de formación y cualificación de los de formación y cualificación de los auditores vienen establecidas por los organismos de certificación y con carácter general suelen especificar no sólo el tipo de educación y experiencia laboral, sino también la formación y experiencia en auditorías.
Auditorías de Certificación
Diferencia destacable entre estos tipos de auditoría en PRL, es que ISO 45001 es certificable, esto es, se obtiene por la organización un certificado emitido por una entidad externa (certificación de tercera parte independiente, imparcial y objetiva) lo que puede ser una garantía de calidad para mostrar a la propia organización y a otros (clientes, proveedores, etc.) el compromiso con la SST.
Las auditorías reglamentarias no son certificables, si bien es cierto que muchas de las entidades especializadas (autorizadas por la autoridad laboral competente) facilitan a las organizaciones un documento donde consta que la organización ha realizado la auditoría reglamentaria de su Sistema de Gestión, o bien se han superado los requisitos establecidos en la normativa aplicable.
Estas son a mi juicio las diferencias más significativas entre las auditorías reglamentarias y las auditorías conforme a ISO 45001. Os animamos a completar este artículo con vuestros comentarios y experiencia. Si os ha parecido interesante, os invitamos a compartirlo en las redes sociales.
Dolores Rico García
Técnico Superior en PRL