Facultad de Ciencias sociales

Máster Universitario en Prevención de Riesgos

Laborales y Cumplimiento Normativo.

TEMA 1: INTRODUCCIÓN A LAS AUDITORÍAS

César Augusto Giner Alegría

Índice/ Tabla de contenidos

ÍNDICE/ TABLA DE CONTENIDOS 2

1. INTRODUCCIÓN 3

2. CONCEPTO DE AUDITORÍA 4

3. AUDITORÍA DE LOS SISTEMAS DE GESTIÓN DE LA PREVENCIÓN 14

3.1 LA LPRL Y LA NORMA UNE 81900 EX PUNTOS EN CÓMUN 16

4. OBJETO Y ALCANCE DE AUDITORIA DEL SGPRL 17

4.1. OBJETIVOS DE LA AUDITORIA 17

4.2. ALCANCE DE AUDITORÍA 24

4.3. PROBLEMÁTICA DE LA AUDITORÍA 29

5. BIBLIOGRAFÍA 33

Introducción a las auditorías [2]

1. INTRODUCCIÓN

La auditoría, término que se nos muestra a veces como de invención

moderna, no lo es en absoluto. Históricamente, el concepto de auditoría está
ligado al control monetario de las cuentas y estados contables. Existe la
evidencia de que alguna especie de auditoría se practicó en tiempos remotos. El
hecho de que los soberanos en la Edad Media exigieran el mantenimiento de las
cuentas de su residencia por dos escribanos independientes pone de manifiesto
que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas.
A medida que se desarrolló el comercio, surgió la necesidad de las
revisiones independientes para asegurarse de la adecuación y finalidad de los
registros mantenidos en varias empresas comerciales. La auditoría como
profesión fue reconocida por primera vez bajo la Ley Británica de Sociedades
Anónimas de 1862 y el reconocimiento general tuvo lugar durante el período de
mandato de la Ley "Un sistema metódico y normalizado de contabilidad era
deseable para una adecuada información y para la prevención del fraude".
También reconocía “una aceptación general de la necesidad de efectuar
una versión independiente de las cuentas de las pequeñas y grandes empresas".
Desde 1862 hasta 1905, la profesión de la auditoría creció y floreció en Inglaterra,
y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se siguió haciendo
hincapié en cuanto a la detección del fraude como objetivo primordial de la
auditoría.
La utilización de un funcionario o persona ajena a quien realizaba una
actividad para asegurar el resultado o cumplimiento de una determinada
actuación dio origen al concepto de auditoría que conocemos en la actualidad.
Pero a partir de los años 50 del Siglo XX se empieza a ampliar el concepto y uso
de la auditoría. Así se empieza a generalizar su uso a través de métodos de
auditoría contable aplicados a la calidad. Si analizamos etimológicamente la
palabra auditoria, vemos que viene del latín audito «sentido del oído» o audire
«oír», por tanto, está relacionada con un concepto auditivo, al igual que la palabra
«auditor» del latín auditor, - toris, «el que escucha». En los últimos tiempos, la
auditoria se ha relacionado fundamentalmente con los procedimientos
administrativos: los "Auditores de Cuentas", término que a veces se confunde
con "Censor de Cuentas", son los más populares de entre los que reciben tal
apelativo. La percepción común sobre su objetivo y metodología es la de
constatar, de forma exhaustiva, que los procesos económicos-administrativos
se han realizado conforme a lo establecido por la ley o las reglas de buenas
prácticas.

Introducción a las auditorías [3]

 No se diferencian entonces demasiado de las Auditorias que aquí nos
ocupan. Quizás, en la práctica lo que más las puede distinguir, aparte del objetivo
perseguido, es la diferente profundidad en lo que se refiere al análisis de los
requisitos: en las auditorias "administrativas" se comprueban casi
exclusivamente hechos (registros), mientras que en las de Prevención de
Riesgos Laborales, Calidad y Medioambiente los métodos (procedimientos) son
también uno de los principales objetivos a estudiar por el auditor.

Por tanto, el origen histórico de la auditoria fue exclusivamente contable,

pero a partir de los años cincuenta se empieza a ampliar su uso a través de la
aplicación de métodos de auditoría contable a la Calidad. Siendo posteriormente
en los años sesenta y setenta cuando las auditorias de Calidad pasan a ser
comúnmente aceptadas aunque fundamentalmente relacionas con la
aceptación y control e los subcontratistas y proveedores, Encontrándonos a
partir de 1979, con la popularización de la norma BS 5750 (origen de la ISO 9000),
con el actual concepto de auditoría de sistemas de gestión, que posteriormente
será transportado a la gestión Medioambiental y en la actualidad a la gestión de
la Prevención de Riesgos Laborales.

2. CONCEPTO DE AUDITORÍA

Para establecer claramente el concepto de auditoría existen multitud de

definiciones, en general relacionamos las más significativas, que podemos
considerar completamente validadas en relación con la prevención, pero que nos
encontramos en la obligación de contrastarlas y transformarlas en su caso con
la definición legal que marca el RSP (REAL DECRETO 39/1997, de 17 de enero,
por el que se aprueba el Reglamento de los Servicios de Prevención. BOE nº 27
31/01/1997).

Definición incluida en ISO 10011 para auditorías de calidad:

“Un examen sistemático e independiente para determinar si las actividades

de calidad y los resultados de la misma cumplen con las provisiones planteadas,
y si éstas se implantan en forma eficaz y son idóneas para alcanzar los objetivos
fijados”

. Definición incluida en la norma 81901 EX 1 publicada por AENOR:

Introducción a las auditorías [4]

 “Evaluación sistemática, documentada, periódica y objetiva que evalúa la
eficacia, efectividad y fiabilidad del sistema de gestión para la prevención de
riesgos laborales, así como si el sistema es adecuado para alcanzar la política y
los objetivos de la organización en esta materia”.

La UNE 81900 EX fue anulada por la Resolución de 26 de julio de 2004, de

la Dirección General de Desarrollo Industrial, por la que se publica la relación de
normas UNE anuladas durante el mes de junio de 2004.

Por otro lado, la Norma OHSAS 18001:2007, la define como:

“un proceso sistemático, independiente y documentado para obtener

evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar
el grado en que se cumple con los criterios de auditoría”.

Definición incluida en OHSAS 18002:2008 para auditorías aplicadas a los

sistemas de la salud y seguridad ocupacional:

“Examen sistemático, para determinar si las actividades y los resultaos

relacionados con ellas, son conformes con las disposiciones planificadas y si
éstas se implantan efectivamente y son aptas para cumplir la política y objetivos
de la organización.”

Vemos la correspondencia entre todas las definiciones, conceptualmente

similares, y a continuación la podemos comparar con la definición establecida
en el artículo 30 del RSP, modificado por el R.D. 604/2006:

“Instrumento de gestión que persigue reflejar la imagen fiel del sistema de

prevención de riesgos laborales de la empresa, valorando su eficacia y detectando
las deficiencias..., la auditoria llevará a cabo un análisis sistemático, documentado
y objetivo del sistema de prevención, deberá ser realizada de acuerdo a las normas
técnicas establecidas o que puedan establecerse y teniendo en cuenta la
información recibida de los trabajadores”.

La única diferencia que se encuentra entre todas las definiciones, es que

la aportada por el RSP únicamente se refiere a aquellas auditorias en las cuales
los auditores son personal ajeno a la empresa y autorizados por la autoridad
laboral, mientras el resto de definiciones abarca por igual las auditorías externas
e internas. Pero independientemente de la definición utiliza podemos extraer de
ellas una serie de conceptos básicos de auditoria:

Introducción a las auditorías [5]

 No es una Normas técnicas
Es objetiva
inspección establecidas

Información
Es sistemática Es periódica recibida de los
trabajadores

No busca
Es documentada Es independiente
culpables

Fuente; Creación Propia

Primero. No es una inspección:

La auditoría analiza el funcionamiento del sistema, sus puntos

fuertes y débiles. No se hace de forma puntual, no se busca el acierto fallo en un
determinado momento, sino que buscamos los posibles aciertos y fallos a lo
largo del tiempo. Una inspección es más limitada que la auditoria, pero más fácil
de realizar, ya que un hecho puntual es menos interpretable que el
funcionamiento de un sistema. Nos paramos un momento en este concepto por
la trascendencia del mismo. Un aspecto clave a considerar es la diferencia
existente entre una inspección y una auditoría y, en este sentido, el auditor no
debería confundir ambos términos.

Una inspección del sistema de prevención verificará, en el instante

en que se realiza, el cumplimiento de una reglamentación aplicable, contestando
a las diferentes cuestiones planteadas con un escueto «cumple» o «no cumple».
El resultado final de la inspección será un informe con el número de
incumplimientos de la norma de referencia. Las inspecciones reglamentarias
realizadas por los Organismos de Control Autorizados en el campo de la
seguridad industrial son un claro ejemplo.

Una auditoria del sistema de prevención, por el contrario, va mucho

más allá. Evalúa prácticas, formas de hacer de la empresa, y en este sentido, los
pactos de «cumple / no cumple» sólo constituyen evidencias de que algo no
funciona correctamente en la gestión de la actividad preventiva. La detección de

Introducción a las auditorías [6]

estas disfunciones, plasmadas en un informe, es el verdadero fin que persigue la
auditoria con objeto de que la empresa pueda implantar las acciones necesarias
para corregir estas desviaciones y evitar la aparición de otras nuevas.

Segundo. Es sistemática:

Que se ajusta a un sistema o método, en definitiva, a un conjunto de reglas

que son, ni más ni menos, lo que el RSP denomina las normas técnicas
establecidas o que puedan establecerse.

El procedimiento de auditoría, no es un conjunto de actuaciones

aleatorias, los resultados de la auditoria no se basan en el azar, son debidos a un
análisis, ordenado y planificado par parte del auditor, que está sujeto a un
procedimiento secuencial que permita su identificación como un procedimiento
sistemático y con los contenidos correspondientes a cada fase secuencial del
proceso.

Significa:

- El carácter sistemático de la evaluación es un requisito expreso

reglamentario.

- Exige el establecimiento de una metodología concreta en la realización

de la auditoria.

- La realización práctica debe sujetarse a esa metodología.

- La modificación del art. 30 del RSP, indica que cualquiera que sea el
procedimiento utilizado, la metodología o procedimiento mínimo de referencia
deberá incluir, al menos:

o Un análisis de la documentación del Plan de Prevención, de la

evaluación de riesgos, planificación de la actividad preventiva y
cualquier otra necesaria para el ejercicio de la actividad auditora.

o Un análisis de campo dirigido que la documentación refleja con

exactitud y precisión la realidad preventiva de la empresa. Dicho
análisis debe incluir la visita a los puestos de trabajo. o Una
evaluación de la adecuación del sistema de prevención de la
empresa a la normativa de PRL.

o Unas conclusiones sobre la eficacia del SPRL de la empresa.

Introducción a las auditorías [7]

 Tercera. Es documentada:

Acompañada de los documentos necesarios, y en este sentido, el RSP, en

su art. 31, exige que los resultados de la auditoria queden reflejados en un
informe; se precisa pues, que la empresa deba mantener a disposición de la
autoridad laboral competente y de los representantes de los trabajadores los
resultados formales de la auditoria.

Ello significa que la constatación de hallazgos, las incidencias, las

reuniones del equipo auditor, con el cliente y las conclusiones instrumentales
sobre el proceso de verificación de los requisitos materiales de la auditoria del
SGPRL deben asimismo estar documentados y deben establecerse en el ámbito
de la formalización del plan de auditoría y de los criterios de la auditoria.

El informe de auditoría deberá reflejar los siguientes aspectos:

- Identificación de la persona o entidad auditora y del equipo auditor.

- Identificación de la empresa auditada.

- Objeto y alcance de la auditoria.

- Fecha de emisión del informe de auditoría.

- Documentación que ha servido de base a la auditoria, incluyendo la

información recibida de los representantes de los trabajadores.

- Descripción sintetizada de la metodología empleada para realizar la

auditoria y, en su caso, identificación de las normas técnicas utilizadas.

- Descripción de los distintos elementos auditados y resultado de la

auditoria en relación con cada uno de ellos.

- Conclusiones sobre la eficacia del sistema de prevención y sobre el

cumplimiento por el empresario de las obligaciones establecidas en la normativa
de prevención de riesgos laborales.

- Firma del responsable de la persona o entidad auditora.

El contenido del informe de auditoría deberá reflejar fielmente la realidad

verificada en la empresa, estando prohibido toda alteración o falseamiento del
mismo. En consecuencia, la documentación de la auditoria debe estar

Introducción a las auditorías [8]

adecuadamente registrada, archivada y procesada a los efectos de esta
finalidad.

El carácter periódico de la auditoria legal significa que la empresa está

obligada aunque no haya una expresa indicación en ese ámbito- a mantener
adecuadamente ordenada y disponible la auditoria del artículo 30.6 de la LPR
durante dos o cuatro años (dependiendo que la empresa realice o no actividades
consideradas como peligrosas), al menos, como documentación imprescindible
para la auditoria siguiente.

Cuarta. Es objetiva:

Es imparcial, desprovista de todo tipo de subjetivismo; ello queda

garantizado por la independencia de los auditores. El resultado de la auditoria se
basa en las denominadas «evidencias objetivas», a través de las cuales el auditor
avala sus conclusiones, no pudiendo avalarlas, en ningún caso, en apreciaciones.

Ello quiere decir que, en el proceso de auditoría, los hallazgos y las

conclusiones de no conformidad son objetivas.

Quinto. Es periódica.

EI RSP establece a las empresas una obligación de repetición periódica o

aleatoria inicial del sistema de prevención. Asi señala que: La primera auditoria
del sistema de prevención deberá llevarse a cabo dentro de los doce meses al
momento en que se disponga de la planificación de la actividad preventiva. Dicha
auditoria deberá ser repetida:

• Cada cuatro años, o

• Cada dos años cuando se realicen actividades incluidas en el anexo I del

RSP,

• Cuando así lo requiera la autoridad laboral.

• Previo informe de la Inspección de Trabajo y Seguridad Social y, en

su caso, de los órganos técnicos en materia de prevención de las
Comunidades Autónomas.

Introducción a las auditorías [9]

 • A la vista de:

• Los datos de siniestralidad,

• o de otras circunstancias que pongan de manifiesto la necesidad
de revisar los resultados de la única auditoría.

Respecto a otras circunstancias que pongan de manifiesto la necesidad

de revisar los resultados de la última auditoría, la realidad es que esta facultad
de la administración pública laboral se ha utilizado muy escasamente. La prueba
se encuentra en la misma Comisión Nacional de Seguridad y Salud, que ha
extendido a todo el territorio del estado el llamado Plan Aragón.

Sexto. Es independiente.

Desde el originen la auditoria se ha basado en la independencia del auditor

y de los auditados, ya que sería muy difícil que alguien involucrado en el
cumplimiento de la totalidad o parte del sistema se pueda evaluar así mismo de
forma objetiva. El auditor debe predicar esa independencia, sobre todo a la hora
de realizar una evaluación objetiva de la situación del SGPRL de la empresa. No
puede dejarse influir por las consecuencias que pueda tener un incumplimiento
para las empresas, tanto económicas como personales, por los efectos que
pueda ejercer los resultados de la auditoria, motivado por unos costes
importantes a la hora de subsanar la deficiencia detectada en el SGPRL.

Esto se deja de manifiesto en el art. 32.2. del RSP:

“Las personas físicas o jurídicas que realicen la auditoria del sistema de

prevención de una empresa no podrán mantener con la misma vinculaciones
comerciales, financieras o de cualquier otro tipo, distintas a las propias de su
actuación como auditoras, que puedan afectar a su independencia o influir en el
resultado de sus actividades”.

A este respecto el Comité Técnico Mixto del Ministerio de Trabajo y

Asuntos Sociales y Comunidades Autónomas, mediante un grupo de trabajo
interpreta al respecto lo siguiente:

“Se considera que hay incompatibilidad total y absoluta con los Servicios
de Prevención Ajenos tanto por las entidades como por sus componentes de
forma individualizada, es decir, un técnico que forme parte de un Servicio de

Introducción a las auditorías [10] 2018/2019

Prevención Ajeno no puede formar parte de una auditoria, ya sea una persona
física o jurídica”.

“También hay incompatibilidad para realizar auditorías en aquellas

empresas con las que la entidad auditora o sus componentes tenga relaciones
de carácter comercial, financiero o de cualquier otro tipo. No obstante, se acepta
que una entidad auditora en otras materias (calidad, medio ambiente, cuentas,
etc.) pueda ejercer en las mismas empresas también como entidad auditora en
prevención de riesgos laborales siempre que la actividad no afecte a su
independencia”.

No existiendo ninguna norma en tan extensa descripción procedimental

que permitiera concluir la existencia de una incompatibilidad en los términos
radicales que se establece en los criterios del Comité Técnico Mixto, hasta la
entrada en vigor de la modificación que R.D. 604/2006 realiza del art. 32.2 del
RSP, donde indica que las personas que realizan auditorias “no podrán realizar
para o distinta empresa actividades de coordinación de actividades preventivas,
ni actividades en calidad de entidad especializada para actuar como servicio de
prevención, ni mantener con estas últimas vinculaciones comerciales,
financieras o de cualquier otro tipo, con excepción de las siguientes:

- El concierto de la persona o entidad auditora con uno o más servicios de

prevención ajenos para la realización de actividades preventivas en su propia
empresa.

– El contrato para realizar la auditoria del sistema de prevención de un

empresario dedicado a la actividad de servicio de prevención ajeno”.

Es muy difícil mantener una independencia total, cuando estamos

poniendo en juego otros interés comerciales, podemos vernos supeditados a los
resultados del informe, disponiendo de una presión añadida, ya que podía verse
afectado otros contratos de auditoría. Del mismo modo, el empresario cliente
puede tener la percepción que si no firma con las entidades auditoras podría
suponer una mayor rigurosidad en las otras áreas de auditoría (cuentas, etc.).

Séptimo. Las normas técnicas establecidas o que puedan establecerse:

Los criterios del Instituto Nacional de Seguridad e Higiene en el Trabajo

(INSHT) para la realización de las auditorias del sistema de prevención de
riesgos laborales, en una publicación destacaban la ausencia de una
metodología específica respecto del procedimiento de auditoría.

Introducción a las auditorías [11]

 Por ello, el INSHT ha considerado conveniente elaborar unos Criterios para
la realización de las auditorias, para que pueda ser utilizado por el INSHT, como
auditor de la Administración General del Estado, y por cualquier auditor que lo
desee, como criterios orientadores de carácter general.

El INSHT construye sus Criterios en dirección a la auditoria de los

requisitos del SGPRL y no entra en los requisitos del propio proceso auditor, que,
efectivamente, carece de norma técnica de procedimiento en vigor o
normalizado, cuando manifiesta "que los procedimientos para realizar la
auditoria pueden ser muy diversos y únicamente cabe exigirles que cumplan las
condiciones mínimas necesarias para asegurar la validez del resultado”. A
continuación se expone el índice de los contenidos de dicho documento, que se
compone de tres partes:

PRIMERA PARTE

INTRODUCCIÓN

SEGUNDA PARTE

REQUISITOS LEGALES

TERCERA PARTE

PROCEDIMIENTO DE LA AUDITORIA

Fuente; Creación Propia

La primera parte es introductoria. Trata de la base legal de la auditoría, de

su alcance (es decir, de lo que es y de lo que no es una auditoría) y de la
problemática con la que deberá enfrentarse el auditor.

En la segunda parte es la más importante se fijan los requisitos legales

cuyo cumplimiento debe verificarse (es decir, se establece qué es lo que tiene
que comprobar el auditor). En concreto se establece 45, requisitos, ordenados
en cuatro grupos: “evaluación de riesgo”, “medidas y actividades preventivas”,
“planificación de la prevención” y “organización de la prevención”. Evidentemente,

Introducción a las auditorías [12]

el número (y ordenación) de estos requisitos es arbitrario: se ha optado por una
de las diferentes posibilidades existentes de resumir y concatenar las principales
obligaciones preventivas del empresario, en particular, en relación con la
planificación y organización de la prevención.

Por último, la tercera parte trata del procedimiento de la auditoría (es decir,
del cómo debe desarrollarse) se distinguen en tres fases: preparación de la
auditoría, realización de la auditoria e informe de auditoría.

Las tres partes del documento, son analizadas a lo largo del presente
trabajo, intentando aclarar y exponer con la mayor claridad y profundidad todos
los aspectos que se engloban en dichos Criterios, elaborados por el INSHT. La
reforma del Capitulo V del RSP, introducida por el R.D. 604/2006 de 19 de mayo,
y comentada en los apartados anteriores, desarrolla el concepto, el contenido, la
metodología y los plazos de realización de la auditoria.

Octavo. La información recibida de los trabajadores:

Si en el proceso de auditoría no se ha tenido en cuenta la información de

los trabajadores, a diferencia de otros conceptos de la auditoria, este constituye
un requisito legal que, en caso de incumplimiento de la obligación que subyace
en el, determinarán la nulidad del proceso y de la consideración de cumplimiento
de la obligación de auditoría por la empresa, por validas que puedan resultar sus
conclusiones y por acertados que sean sus resultados.

La expresión "tener en cuenta" es característica del leguaje del derecho

administrativo relacionado con el procedimiento administrativo común, recogido
esencialmente, en el art. 35 de la Ley de Régimen Jurídico de las
Administraciones Publicas y del Procedimiento Administrativo Común al
considerar como un derecho ciudadano la presentación de alegaciones en los
procedimientos y la obligación de la administración pública actuante de tenerlas
en cuenta.

Tener en cuenta una alegación información, en el caso del art. 30 del

Reglamento de los Servicios de Prevención no significa que la alegación o
información tenga que ser aceptada por el actuario; significa que debe ser
considerada y que su rechazo debe motivarse y que no se puede adoptar "de
plano" una decisión que desconozca la información aportada al procedimiento
administrativo común.

Introducción a las auditorías [13]

 Trasladado el concepto al ámbito del requisito que exige el art. 30,
significa que los auditores deberán hacer expresa mención de la información que
han obtenido de los trabajadores en el procedimiento. Están obligados a valorar
cualitativamente esa información aceptando, si existen las que les parezcan
atinentes al proceso objetivo de evaluación del sistema, y rechazando expresa y
motivadamente las que entiendan que no son pertinentes o no reúnen las
condiciones de objetividad propias del proceso de evaluación.

Noveno. No busca culpables:

La auditoría busca, a través del análisis del pasado, soluciones para el

futuro. Analizando los fallos del sistema, no de las personas que los cometieron.

Este concepto, en las fechas en las que nos encontramos no lo tiene claro
mucha gente, y sobre todo los empresarios, directivos y trabajadores. Un SGPRL
no se sustenta sobre un Departamento o una persona, de hecho el concepto que
se tiene en la actualidad del Servicio de Prevención, es que sus funciones son las
de asesorar en la identificación de riesgos y proponer soluciones técnicas y
organizativas apoyando las decisiones de la Dirección, llegando al extremo de
ejecutar directamente por dicho Servicio de Prevención esas medidas
propuestas.

Por tanto, una de las primeras actuaciones que hará el auditor será aclarar
este concepto, recalcando que los resultados obtenidos en la auditoria vienen
motivados por las actuaciones realizadas por toda la organización, no por una
persona o un departamento concreto.

3. AUDITORÍA DE LOS SISTEMAS DE GESTIÓN DE LA

PREVENCIÓN

Una vez expuestos todos conceptos básicos que nos pueden ayudar a
entender tanto la finalidad como el proceso de auditoría, aplicarlos a la gestión
de la prevención genera una cierta discusión al diferenciar entre el concepto de
auditoría de prevención y auditoria del SGPRL y su relación con la auditoria desde
el punto de vista legal.

En un principio, podríamos definir la auditoria de prevención como:

“examen sistemático de las actuaciones y decisiones con respecto a la

prevención de riesgos laborales con el objeto de evaluar o verificar de forma

Introducción a las auditorías [14]

independiente el cumplimiento de los requisitos operativos del plan de
prevención”.

Es decir, durante la auditoria nos podemos centrar en una o varias

actividades o procesos de la acción preventiva, con el fin de evaluar si el proceso
objeto de la auditoria se ajusta a los niveles de calidad requeridos, identificando
las posibles diferencias que se están generando de la actividad. Por otra parte,
las auditorias del SGPRL las podemos definir como:

“toda actividad sistemática para verificar, mediante examen y evaluación

de evidencias objetivas que los elementos del plan de prevención son apropiados
y han sido desarrollados, documentados e implantados de acuerdo con los
requisitos especificados”;

es decir, evaluamos el conjunto del sistema de prevención de la empresa

auditada, mientras que en las auditorias de prevención solo evaluamos parte o
procesos específicos.

Es la auditoria del SGPRL mucho más completa que la auditoria de prevención.

Es importante analizar si la auditoria establecida en la Ley de PRL, es una
auditoria de Prevención o del SGPRL, para lo cual debemos recurrir al análisis del
Cap. V del RSP, donde se establece que:

- «la auditoría llevará a cabo un análisis sistemático, documentado y

objetivo del sistema de prevención», por tanto, es un análisis del sistema
que, no solo busca la comprobación del cumplimiento estricto de la
legislación, sino la eficacia obtenida con su cumplimiento.

- debe «comprobar que el tipo y planificación de las actividades

preventivas se ajusta a lo dispuesto en la normativa general, así como a la
normativa sobre riesgos específicos que sea de aplicación,...», es decir,
que los elementos del plan han sido desarrollados de acuerdo con los
requisitos especificados, en este caso la legislación.

Si, además, tenemos en cuenta los elementos del plan de prevención

indicados en el art. 2.2 del RSP: estructura organizativa, definición de funciones,
practicas, procedimientos, los procesos y los recursos necesarios para llevar a
cabo dicha acción, la política, los objetivos y metas que en materia preventiva
pretende alcanzar la empresa; podemos concluir que la auditoría establecida en
la Ley de PRL es una auditoría del SGPRL.

Este paralelismo entre la auditoría del SGPRL y la auditoría legal, viene

como consecuencia de la propia estructura de la Ley de PRL ya que esta puede

Introducción a las auditorías [15]

ser definida, bien como una norma de gestión de la prevención con forma de ley
o una ley con contenidos de una norma de gestión de la prevención.

3.1 LA LPRL Y LA NORMA UNE 81900 EX PUNTOS EN CÓMUN

- Estructura organizativa (Cap. IV y V de la LPRL)

- Responsabilidades (Cap. V de la LPRL)

- Prácticas, procedimientos y recursos (Cap. III de la LPRL y art. 8 y 9 del

RSP)

- La Política, los objetivos y metas (Art. 2 y Cap. V del RSP)

En resumen, entendemos que la auditoría legal señalada en el art. 30.6 de

la Ley de PRL y desarrollada en los términos del Cap. V del RSP:

- No es una inspección reglamentaria de cumplimiento de una norma.

- No es exclusivamente una auditoría de cumplimiento reglamentario de la

legislación aplicable a la empresa.

- Si es una auditoria de verificación del funcionamiento y eficacia del

SGPRL implantado en la empresa y, entre sus actividades auditoras,
incluirá la determinación de la capacidad del propio sistema para
garantizar el cumplimiento con la legislación aplicable a la empresa.

Entendiendo así la auditoría legal se convierte en una herramienta de

gestión que utiliza la empresa para comprobar si, en materia de PRL, está
haciendo realmente lo que dice que se hace. Por tanto, le permitirá evaluar la
adecuación del SGPRL, la conformidad de las actuaciones del personal de la
organización y la eficacia de las actividades llevadas a cabo para la consecución
de los objetivos que, en materia de prevención, previamente se fijo, todo ello
basado en hechos no en hipótesis. En pocas palabras, se trata de una
herramienta de mejora y de competitividad empresarial.

Teniendo en cuenta que la función del SGPRL es fundamentalmente

preventiva, debemos hacer hincapié en la capacidad del sistema para detectar
los problemas, conocer la profundidad de los mismos y descubrir sus causas.

CARACTERISTICAS ESENCIALES

Introducción a las auditorías [16]

 - Realizada por un órgano independiente del sistema auditado.

- Tiene lugar, a posteriori de la aplicación de un plan establecido

documentalmente.

- Debe caracterizarse por la máxima objetividad e imparcialidad de las

valoraciones efectuadas por los auditores.

- Los datos reflejados en la auditoría han de ser veraces, reflejando

fielmente la realidad de los elementos analizados.

- Realizada por expertos, en la actividad auditada y en la ejecución de

auditorías.

- Ha de ser completa en cuanto se extiende a todos los componentes del

sistema y se analizan todos los aspectos que interesan para el objetivo de
la auditoría.

- La información manejada y el contenido y resultados de la auditoria son

confidenciales.

- El informe de la auditoria debe contener la expresión precisa de la

información efectuando aclaraciones pertinentes para su fiel
interpretación en documentos adicionales.

- Ejecutada lo más breve posible, aunque utilizando el necesario para que

la auditoria se corresponda con la situación existente.

- Solicitada por un organismo directivo, con plena asunción de las

implicaciones que comporta.

4. OBJETO Y ALCANCE DE AUDITORIA DEL SGPRL

4.1. OBJETIVOS DE LA AUDITORIA

La obligación de auditar el SGPRL de la empresa nace de la Ley. Por tanto
la causalidad de la obligación debe conectarse con los objetivos que se imponen,
también por la Ley, al cumplimiento de la obligación legal. Las exigencias
establecidas en el RSP y más concretamente el Plan de Prevención coincide
enteramente con el concepto de SGPRL definido en la familia de Normas UNE
81900 EX sobre Gestión de la Prevención de Riesgos Laborales, con lo que se

Introducción a las auditorías [17]

podría decir que el objeto a auditar en las organizaciones es el Plan de
Prevención o SGPRL.

La auditoría del SGPRL de una empresa es definida por el RSP como un

instrumento de gestión preventiva y caracterizada como una evaluación del
cumplimiento de la legalidad y eficacia. En ese marco general, finalista como
instrumento de gestión, los objetivos que causalmente pretende el cumplimiento
de la obligación de auditar que se impone al empresario, se describen en el
artículo 30 del RSP, que bajo el epígrafe de Concepto, contenido, metodología y
plazo, establece que:

“la auditoría llevará a cabo un análisis sistemático, documentado y objetivo

del sistema de prevención, que incluirá:

- Comprobar cómo se ha realizado la evaluación inicial y periódica de los

riesgos, analizar sus resultados y verificarlos en caso de duda.

- Comprobar que el tipo y planificación de las actividades preventivas se

ajusta a lo dispuesto en la normativa general, así como a la normativa sobre
los riesgos específicos que sea de aplicación, teniendo en cuenta los
resultados de la evaluación.

- Analizar la adecuación entre los procedimientos y medios requeridos para

realizar las actividades preventivas necesarias y los recursos de que
dispone el empresario, propios o concertados, teniendo en cuenta, además,
el modo en que están organizados o coordinados en su caso.

- Valorar la integración de la prevención en el sistema general de gestión de

la empresa, tanto en el conjunto de sus actividades como en todos los
niveles jerárquicos de esta, mediante la implantación y aplicación del Plan
de prevención de riesgos laborales, y valorar la eficacia del sistema de
prevención para prevenir, identificar, evaluar, corregir y controlar los riesgos
laborales en todas las fases de actividad de la empresa”.

Otro objetivo que se puede establecer es:

- Determinar la eficacia del SGPRL implantado para alcanzar los objetivos

especificados. La organización puede querer que la auditoría cubra
nuevos objetivos y acordar con la entidad auditora otros adicionales a
estos "mínimos legales".

Lo cierto y seguro es que:

Introducción a las auditorías [18]

 - La metodología debe atender a los objetivos propios de la auditoria
establecidos en el artículo 30 del RSP. Sin esta causalidad e identificación
finalista, evidentemente, la auditoria no cumple sus fines, y, en
consecuencia, se sima al margen de lo previsto en la Ley de PRL.

- En el marco básico de cada objetivo que debe alcanzar la auditoria existe

un conjunto de requerimientos legales y reglamentarios que constituyen la
estructura esencial de la prevención que como actividad empresarial
organizada debe verificarse y que se pueden identificar como las
especificaciones propias del SGPRL de la empresa.

- Cualquier metodología que la auditoria utilice en su realización deberá

dar una respuesta visible y determinante de los aspectos relacionados con
los objetivos y con las disposiciones legales que forman de las
especificaciones del sistema e incluir como mínimo:

• Un análisis de la documentación relativa al plan de prevención, a la

evaluación de riesgos, a la planificación de la actividad preventiva y
cualquier otra documentación necesaria.

• Un análisis de campo dirigido a verificar que la documentación

preventiva refleja con exactitud la realidad preventiva de la empresa.

• Una evaluación de la adecuación del sistema de prevención de la

empresa a la normativa de prevención de riesgos laborales.

• Unas conclusiones sobre la eficacia del sistema de prevención de la

empresa. La Política de Prevención de la empresa Junto con los
objetivos explícitos en el RSP, es usual que las metodologías
describan un objetivo inicial de la auditoria.

La comprobación del establecimiento en la empresa de una política de

PRL. Los criterios del INSHT destacan que: una de las más importantes
obligaciones empresariales cuyo cumplimiento debe comprobar el auditor es la
de la integración de la prevención en la estructura organizativa de la empresa.
Solo un sistema de prevención integrado en la organización general de la
empresa es plenamente compatible con la propia definición de prevención
(artículo 4 de la Ley de PRL)

"el conjunto de medidas o actividades preventivas en todas las fases de

actividad de la empresa con el fin de evitar o disminuir los riesgos derivados del
trabajo".

Introducción a las auditorías [19]

 En esa dirección, todos los SGPRL incluyen como una primera
especificación de la Norma, la existencia concreta y establecida de un plan,
derivado de un estudio, que defina la "política de PRL en la empresa". Así se
encuentra en la Ley 54/2003, de 12 de diciembre, de reforma del marco
normativo de la prevención de riesgos laborales, en las Directrices de la OIT, en
la Directiva Marco de la Unión Europea, en las OHSAS 18002, etc.

La Dirección General de la Inspección de Trabajo y Seguridad Social

señala que esa política debería plasmarse por escrito y debería contener el
compromiso de la empresa para llevar a cabo las medidas de prevención y
protección. La política de prevención en la empresa era identificada con el plan
de prevención de riesgos laborales o SGPRL, pasando a ser tras la modificación
del art. 2 del RSP uno de los elementos de dicho Plan de Prevención. Plan de
prevención que no es, cabalmente, ni equivale a "planificación de la actividad
preventiva" que se establece en los artículos 8 y 9 del RSP. Por tanto, mientras
que el Plan de prevención es el primer paso del establecimiento de sistema de
gestión de la empresa, la planificación preventiva es el paso posterior a la
evaluación de riesgos.

Todas estas conclusiones han sido recogidas en las modificaciones de la

Ley de PRL, donde en el capítulo I, modifica diversos artículos de la Ley de PRL
para resaltar la importancia de la integración de la prevención de riesgos
laborales en la empresa. La necesaria integración de la prevención en el proceso
productivo y en la línea jerárquica de la empresa.

Esta integración de la prevención que se detalla en el artículo 16 de la Ley

de PRL (Modificado por la Ley 54/2003) y artículos 1 y 2 del RSP, se enuncia
ahora como la primera obligación de la empresa. Con esa finalidad, se modifica
el artículo 14.2 de la Ley 31/1995 para destacar que, en el marco de sus
responsabilidades, el empresario realizará la prevención de riesgos laborales
mediante la integración de la actividad preventiva en la empresa que se
concretara en la implantación y aplicación de un plan de prevención de riesgos
laborales.

Asimismo se modifica el artículo 16 subrayando el deber de integrar la

prevención en el sistema de gestión de la empresa, tanto en el conjunto de sus
actividades como en todos los niveles jerárquicos de la misma, precisamente a
través de la implantación y aplicación de un plan de prevención de riesgos
laborales cuyo contenido se determinará.

Introducción a las auditorías [20]

 Evaluación de los riesgos

La evaluación de riesgos laborales no es el objetivo fundamental, pero sí

es, en cambio, el elemento esencial de arranque de la auditoria. Sin evaluación
de riesgos laborales, la obligación de auditar el sistema de la empresa carece de
sentido, entendiéndose como una circunstancia crítica del sistema que nos
llevaría a paralizar el proceso de auditoría. Ya que el objetivo de la auditoria es
comprobar cómo se ha realizado la evaluación de riesgos, analizar sus
resultados, y verificarlos, pero sólo en caso de duda.

Por tanto, verificamos la extensión y forma de realizar la evaluación, de

suerte que la comprobación de sus resultados sólo debe verificarse en caso de
duda. Como señalan los Criterios del INSHT:

“la veracidad o corrección de los datos que aporte el empresario sólo deben
ser verificados si existen razones objetivas para ella: la veracidad sólo será
procedente cuando se aprecie manifiesta contradicción entre dichos datos e
informaciones (o su omisión) y:

- Las observaciones efectuadas durante la visita a la empresa.

- Las informaciones recibidas de los trabajadores o sus representantes.

- Los accidentes ocurridos y los daños para la salud que se hayan puesto de
manifiesto como resultado de la vigilancia de la salud de los trabajadores”.

Por tanto, el auditor no tiene que efectuar una repetición de la evaluación

de riesgos de la empresa auditada, sino la comprobación de la metodología
seguida y el cumplimiento de las obligaciones inherentes al proceso de
evaluación, tanto para la empresa como para los trabajadores.

Las medidas y actividades preventivas

La verificación de la idoneidad de las medidas y actividades preventivas

previstas y planificadas por la empresa es un objetivo de la auditoria. Se trata de
comprobar la adecuación efectiva de esas medidas con los resultados de la
evaluación y al desarrollo de las propuestas que de la evaluación de los riesgos
se mantengan una vez eliminados los riesgos que la evaluación haya permitido
eliminar y la conformidad normativa de cada medida.

Con independencia de los resultados de la evaluación de riesgos laborales,

existe en la Ley de PRL un conjunto de obligaciones específicas, distintas de la

Introducción a las auditorías [21]

obligación de evaluar, como son las obligaciones de formación, participación,
información, medidas de emergencia, vigilancia de la salud, así como la derivada
de la normativa específica que sea de aplicación, etc., cuyo tratamiento en las
actividades de la empresa tienen identidad propia y deben ser objeto de la
auditoria y claramente identificadas en el informe de la misma.

La organización y coordinación de la prevención de riesgos laborales

Este objetivo es fundamental en la auditoria, especialmente cuando el

sistema auditado es importante en cuanto a riesgos y a número de trabajadores
susceptibles de sufrir daños en el trabajo. Se trata de comprobar que el
empresario ha puesto los procedimientos y los medios suficientes para
desplegar de manera efectiva una actividad de prevención.

- la organización general del SGPRL.

- la planificación de actividades preventivas.

- los procedimientos y registros.

- las prioridades y la confección de programas.

- las modalidades específicas de servicios de prevención utilizados u

obligatorios parte de la empresa.

- la coordinación de actividades concurrentes en el mismo centro de

trabajo.

Objetivos definidos por la dirección de la empresa

Ejemplo de objetivos, independientemente de los establecidos en el RSP,

que se puede marcar la dirección de la empresa, bien a la entidad auditora o a
los Departamentos implicados que vayan a realizar auditorías, tanto para
auditorías internas como externas, podrían ser los siguientes, siendo divididos
en dos grupos:

Introducción a las auditorías [22]

 Objetivos
directos

Objetivos
definidos por
la dirección de
la empresa
Objetivos
sustancial
es

Fuente; Creación Propia

Objetivos directos

- Detectar e identificar puntos fuertes y débiles del SGPRL y proceder a su

mejora.

- Comprobar que todas las actividades relativas al Sistema de gestión

cumplen la Legislación nacional, autonómica, local y normativa interna de
la empresa (programas, procedimientos, etc.).

- Evaluar la eficacia del sistema de gestión en el cumplimiento de la

política y objetivos definidos por la empresa.

- Verificar la eficacia de la implantación de acciones correctoras

establecidas para subsanar deficiencias.

- Proteger a la organización de responsabilidades potenciales. - Aumentar

el nivel general de concienciación y sensibilización de los recursos
humanos de la empresa en materia de P.R.L.

Objetivos sustanciales

• Mejorar el grado de cumplimiento del estándar de seguridad.

• Mejorar, como consecuencia del punto anterior, la organización y

medios.

• Empleo en negociaciones y contratos:

Introducción a las auditorías [23]

 - Convenios colectivos laborales

- Seguros - Relaciones con organismos públicos

- Compra-venta de empresas.

• Uso como catalizador para sensibilización de los implicados en la

auditoria.

• Difundir una buena imagen corporativa, interna y externa.

4.2. ALCANCE DE AUDITORÍA

¿Qué empresas están obligadas a auditar su SGPRL?

El principio fundamental es el consignado en el artículo 30.6 de la Ley de

PRL, al decir que el empresario que no hubiera concertado el Servicio de
Prevención con una entidad especializada ajena a la empresa deberá someter su
sistema de prevención al control de una auditoria o evaluación externa, en los
términos que reglamentariamente se determinen.

El tan repetido artículo 29 del RSP señala que:

Artículo 29: Ámbito de aplicación

1. Las auditorías o evaluaciones externas serán obligatorias en los términos

establecidos en el presente Capítulo cuando, como consecuencia de la evaluación
de los riesgos, las empresas tengan que desarrollar actividades preventivas para
evitar o disminuir los riesgos derivados del trabajo.

2. Las empresas que no hubieran concertado el servicio de prevención con

una entidad especializada deberán someter su sistema de prevención al control
de una auditoría o evaluación externa. Asimismo, las empresas que desarrollen las
actividades preventivas con recursos propios y ajenos deberán someter su
sistema de prevención al control de una auditoría o evaluación externa en los
términos previstos en el artículo 31 bis de este real decreto.

3. A los efectos previstos en el apartado anterior, las empresas de hasta 50

trabajadores cuyas actividades no estén incluidas en el anexo I que desarrollen las
actividades preventivas con recursos propios y en las que la eficacia del sistema
preventivo resulte evidente sin necesidad de recurrir a una auditoría por el limitado
número de trabajadores y la escasa complejidad de las actividades preventivas, se
considerará que han cumplido la obligación de la auditoría cuando cumplimenten
y remitan a la autoridad laboral una notificación sobre la concurrencia de las

Introducción a las auditorías [24]

condiciones que no hacen necesario recurrir a la misma según modelo establecido
en el anexo II, siempre que la autoridad laboral no haya aplicado lo previsto en el
apartado 4 de este artículo. La autoridad laboral registrará y ordenará según las
actividades de las empresas sus notificaciones y facilitará una información
globalizada sobre las empresas afectadas a los órganos de participación
institucional en materia de seguridad y salud.

4. Teniendo en cuenta la notificación prevista en el apartado anterior, la

documentación establecida en el artículo 7 y la situación individualizada de la
empresa, a la vista de los datos de siniestralidad de la empresa o del sector, de
informaciones o de otras circunstancias que pongan de manifiesto la peligrosidad
de las actividades desarrolladas o la inadecuación del sistema de prevención, la
Autoridad laboral, previo informe de la Inspección de Trabajo y Seguridad Social y,
en su caso, de los órganos técnicos en materia preventiva de las Comunidades
Autónomas, podrá requerir la realización de una auditoría a las empresas referidas
en el citado apartado, de conformidad con lo dispuesto en el apartado 2.

Por su parte, el apartado 2 de este artículo" señala como también

establece la Ley de PRL, que:

“Las empresas que no hubieran concertado el servicio de prevención con

una entidad especializada deberán someter su sistema de prevención al control
de una auditoria o evaluación externa...”

La redacción es confusa. Sin duda, no es lo mismo un servicio de

prevención que un sistema de prevención. Por tanto, vamos a analizar las
distintas modalidades de organización preventiva, que dan lugar a la obligación
de auditar.

• Por un lado, el empresario que asume directamente la actividad

preventiva o la designación de trabajadores para ocuparse de tal actividad.

• En segundo lugar, las empresas que hayan constituido un servicio de

prevención propio (obligatorio en empresas de 500 trabajadores, plazo de
constitución 1 de enero de 1999; empresas incluidas en el Anexo I del
R.S.P. a partir de 250 trabajadores, plazo de constitución 1 de enero de
1998, o a solicitud de la Autoridad Laboral en función de la peligrosidad,
frecuencia o gravedad de la siniestralidad de la empresa).

Una cuestión particular, es la constitución de los Servicios de prevención

mancomunados conforme a lo establecido en el artículo 21 del RSP. En este caso
tiene la consideración para cada una de las empresas adheridas a dichos

Introducción a las auditorías [25]

servicios, carácter de servicios de prevención propio, debiendo reunir los mismos
requisitos y obligaciones.

En este caso, el alcance de la auditoria de un servicio de prevención

mancomunado, tenga o no personalidad jurídica propia e independiente de las
empresas mancomunadas que lo constituyeron, se extiende al sistema de
prevención de cada una de las empresas, del cual el servicio de prevención
mancomunado es un instrumento, formando un elemento más de dichos
sistemas.

Otra cuestión particular la podemos encontrar en los servicios de

prevención mixtos. Aquellas empresas que se encuentran entre lo interno y lo
externo, realizan actividades preventivas con recursos preventivos propios y
ajenos que en virtud del art. 29.2 del RSP, modificado por el R.D. 604/2006,
deberán someter su sistema de prevención al control de una auditoria o
evaluación externa en los términos previstos en el art. 31 bis del RSP, en estos
casos la auditoria tendrá como objeto la actividad preventiva desarrollada de la
empresa, teniendo en cuenta la incidencia en dicho sistema de su forma mixta
de organización, así como el modo en que están coordinados los recursos
propios y ajenos en el marco del plan de prevención de riesgos laborales.

En estos casos, lo que se excluye de la auditoria, es la actividad preventiva

que desarrolla cada una de las entidades especializadas para desarrollar
actividades preventivas en el marco de su concierto con la empresa pero no el
sistema de prevención de la empresa. Por tanto y de forma genérica, la excepción
de la auditoria del SGPRL sólo opera cuando todo el sistema de prevención está
concertado en su totalidad con un servicio de prevención ajeno.

La mejor manera para analizar el alcance de la auditoria, en el caso que la

empresa haya contratado o concertado con un servicio de prevención ajeno una
parte de las actividades preventivas que deben realizar, es determinar dichas
actividades concertadas; para ello, tendremos que analizar el contenido del
contrato o concierto correspondiente, con el fin delimitar los límites de la
auditoria. La Ley de PRL, en su artículo 31.3, (incluido las modificaciones de la
Ley. 54/2003, en dicho apartado tres), establece una calificación limitada de las
funciones de los servicios de prevención ajenos, y señala que deberán:
«Proporcionar a la empresa el asesoramiento y apoyo que precise en función de
los tipos de riesgo en ella existentes y en lo referente a:

a) El diseño, implantación y aplicación de un plan de prevención de riesgos

laborales que permita la integración de la prevención en la empresa.

Introducción a las auditorías [26]

 b) La evaluación de los factores de riesgo que puedan afectar a la
seguridad y salud de los trabajadores, en los términos previstos en el
artículo 16 de esta ley.

c) La planificación de la actividad preventiva y la determinación de las

prioridades en la adopción de las medidas preventivas y la vigilancia de su
eficacia.

d) La información y formación de los trabajadores.

e) La prestación de los primeros auxilios y planes de emergencia. . .

f) La vigilancia de la salud de los trabajadores en relación con los riesgos

derivados del trabajo.

“Las funciones correspondientes a los servicios de prevención ajenos, y

podrán desarrollar todas aquellas para las que les habilite la pertinente
acreditación, y en especial, las siguientes:

- Evaluación de los riesgos laborales y verificación de la eficacia de la

acción preventiva en la empresa, incluyendo las mediciones, toma de
muestras y análisis necesario para ello.

- Elaboración e implantación de planes y programas de prevención.

- Asistencia técnica para la adopción de medidas preventivas.

- Elaboración e implantación de planes de emergencia.

- Elaboración de planes y programas de formación.

- Impartición de la formación a los trabajadores.

- Aplicación de medidas concretas establecidas en las reglamentaciones

específicas.

- Vigilancia de la salud de los trabajadores que corresponda realizar en

virtud de la aplicación de la Ley de PRL y de la reglamentación especifica
que les afecten”.

Esta última, nos puede servir como delimitación descriptiva de las

actividades materiales que integran el SGPRL, manteniendo la obligación de
auditar si existen actividades preventivas no incluidas en el objeto del concierto.
Cuando la auditoria no puede entrar en los análisis del funcionamiento de los
servicios de prevención ajenos; sí puede y debe entrar en el análisis de:

Introducción a las auditorías [27]

 - Los resultados de dichas actividades concertadas, en cuanto tengan
relación con las restantes actividades preventivas de la empresa, que si
están sujetas a la auditoria.

- También el régimen de conciertos que se utilice en el sistema de

prevención de la empresa es objeto de la auditoria, en cuanto a la
suficiencia de los medios, propios y concertados, y también respecto de la
adecuada organización y coordinación.

Profundidad de las auditorias

Si recordamos lo expuesto en la definición de auditoría legal y en concreto,

respecto a la conclusión “la auditoría no es una inspección", nos va a ser de
utilidad para en tender el alcance o profundidad que se nos exige a la hora de
realizar las auditorias de los SGPRL. El auditor evaluará el SGPRL de la empresa
frente al criterio de auditoría, realizando dos actividades básicas:

Revisión de la
documentación del
SGPRL

Verificación de la
implantación y
eficacia de las
actividades
preventivas

Fuente; Creación Propia

- Revisión de la documentación del SGPRL. En esta primera actividad, el

auditor revisa la documentación que desarrolla el sistema (Manual,
procedimientos, instrucciones) y verifica que las actividades
documentadas son adecuadas para cumplir con los requisitos del SGPRL.
El auditor evalúa los documentos del sistema en los cuales la empresa
«DICE LO QUE HACE», verificando si con las actividades que «DICE QUE
HACE» es capaz de garantizar los requisitos reglamentarios aplicables.

- Verificación de la implantación y eficacia de las actividades preventivas.

En esta segunda actividad, el auditor verifica que la empresa «HACE LO
QUE DICE», es decir evalúa el grado de implantación de las actividades
preventivas definidas en la documentación del sistema.

Introducción a las auditorías [28]

 De lo expuesto, queda claro y así lo deja de manifiesto los Criterios del
INSHT, que la auditoria no puede ser una simple evaluación de documentos, y de
hecho se ha detectado en muchos casos, como auditorías realizadas y sean
basado únicamente en la documentación analizada, sin llevar a cabo las
necesarias visitas a las instalaciones de la empresa, así como la información
recibida de los trabajadores y sus representantes. No obstante, tampoco implica
que se conlleve una verificación exhaustiva de la información aportada por el
empresario (lo que supondría, entre otras cosas, la total repetición de la
evaluación de riesgos laborales). El justo equilibrio entre ambos extremos deberá
alcanzarse por aplicación del principio de objetividad, que debe presidir la
actuación e todo auditor.

Esto es muy importante, ya que la auditoria constituye un muestreo, es

decir, se selecciona una muestra del objeto auditable (el sistema de prevención)
y se obtienen conclusiones sobre todo el sistema. Esto quiere decir que pueden
existir desviaciones con respecto al criterio de auditoría que el auditor no ha
podido identificar en el proceso.

4.3. PROBLEMÁTICA DE LA AUDITORÍA

Según se describe en los Criterios del INSHT, destaca varios problemas
motivados por la complejidad del trabajo del auditor:

1.- La capacidad de un auditor depende, evidentemente, de su formación y

experiencia. "en caso de ser una persona física deberá ser experto de nivel
superior en cualquiera de las cuatro especialidades... que disponga, además, de
una formación o experiencia probada en gestión y realización de auditorías y en
técnicas auditoras". Por razones obvias, sería conveniente que el auditor
dispusiera, en particular, de una amplia experiencia en la problemática existente
(en materia de seguridad y salud en el trabajo) en el tipo concreto de empresa
que va a auditar. En un momento en el que las auditorias de prevención están en
una fase de desarrollo incipiente, es lógico que no resulte fácil encontrar
auditores que dispongan de dicha experiencia; lo que agrava la dificultad que de
por sí ya tiene la realización de este tipo de auditorías: la complejidad de la
normativa que tiene que conocer el auditor para poder desarrollar su trabajo
correctamente.

2.- El auditor debe estar en condiciones de analizar, por ejemplo, si las

actividades preventivas realizadas o planificadas son las legalmente exigibles,
teniendo en cuenta la evaluación de los riesgos y la normativa aplicable. La

Introducción a las auditorías [29]

diversidad de esta normativa, tanto en cuanto a su ámbito (por sector, por equipo
o agente, por riesgo, etc.), como en cuanto a su origen (laboral, industrial,
sanitario, etc.), hace que la identificación de todas las "actividades preventivas
exigibles" pueda ser considerablemente difícil. A menudo, además, las
disposiciones legales requieren de interpretación técnica y hacen referencia a
Guías o normas (Guías del INSHT, Protocolos del Ministerio de Sanidad o normas
UNE) que deben ser conocidas por el auditor, aunque no tengan carácter
vinculante. Para hacer frente a esta problemática es imprescindible que el
auditor disponga de una síntesis estructurada de las principales obligaciones
preventivas del empresario, que le permita desempeñar su labor con una mínima
agilidad de forma que sepa, en cada situación, que mirar y que preguntar sin tener
que consultar sistemáticamente la "bibliografía normativa". Cualquier síntesis de
este tipo debe basarse necesariamente en una clasificación de las obligaciones
empresariales.

A continuación, describimos otros factores que debemos de tener en

cuenta antes de comenzar a realizar una auditoría, que afectan tanto a la entidad
auditora como al auditor, considerándose básicos para que la auditoria se lleve
a cabo sin problemas:

Adhesión y buena voluntad de

la dirección de la empresa

El equipo auditor debe inspirar

confianza

Calidad de las auditorias

Fuente; Creación Propia

Adhesión y buena voluntad de la dirección de la empresa. Este punto, que

en principio puede parecer de poca importancia, tenemos que analizarlo con
prudencia, porque puede afectar a la buena marcha del proceso de auditoría. La

Introducción a las auditorías [30] 2018/2019

dirección de la empresa no debe considerar la auditoria de los SGPRL como una
obligación y una forma de evitar sanciones, multas o retirada de licencias. Ha de
tener otras finalidades, entre ellas la de una correcta gestión de la prevención de
riesgos laborales, que beneficiará a su personal, a la sociedad y a la propia
empresa. Por otra parte, si la dirección de la empresa no está convencida de la
necesidad de la realización de la auditoria, no comunicará a sus colaboradores
directos que se den facilidades al equipo auditor y, a su vez, éstos no informarán
a sus subordinados de que se va a llevar a cabo la auditoria; difícil será, si no
imposible, que se tenga a disposición de los auditores la documentación
necesaria así como las personas que deber dar la información pertinente para
desarrollar correctamente el trabajo de auditoría y conducirlo a buen fin.

El equipo auditor debe inspirar confianza. Para ello ha de tener la

preparación y experiencia suficiente, así como haber elaborado una propuesta y
un programa con la debida extensión que abarque los puntos señalados en la
oferta de auditoría previamente preparada. Independencia y objetividad del
equipo auditor. Este punto es esencial, ya que se pretende que el informe de
auditoría indique claramente la situación real (no debe dejarse influir por el
impacto sobre menores beneficios para la empresa), así como las
recomendaciones a llevar a cabo para la minoración de riesgos.

Calidad de las auditorias. Es necesario:

CONTROL POSTERIOR
DE LA AUDITORIA

CONTROL DE GESTIÓN
Y CALIDAD

BUENA
ORGANIZACIÓN

Fuente; Creación Propia

Introducción a las auditorías [31]

 1.- Una buena organización, que ha de tener en cuenta:

- Número de auditores suficientes, con la debida preparación técnica y

jurídica.

- Recursos económicos suficientes, es decir, empleo del número de días

necesarios para llevar a cabo la realización del programa de auditoría, con
las pruebas necesarias y análisis necesarios.

- Buena organización del trabajo a través de una planificación adecuada y

adaptada a las necesidades de cada empresa auditada.

2.- Control de gestión y calidad de la auditoria, a través de:

- Existencia de un programa detallado que permita observar un desarrollo

para poder predecir si se pueden obtener buenos resultados.

- Control de calidad de las actividades llevadas a cabo por cada auditor; a

través de los papeles de trabajo el auditor jefe puede observar cómo se
realizan las distintas fases encargadas y si se exponen los resultados de
cada una de ellas con coherencia.

- Control del programa de la auditoria. Esta labor debe llevarse a cabo a

intervalos regulares para si las circunstancias lo aconsejan, efectuar
ampliaciones o modificaciones al mismo.

3.- Control posterior de la auditoria. El control post-auditoria garantiza, en

última instancia, el éxito de la misma, siendo necesaria la existencia de una
persona nominada por la dirección de la empresa para supervisar el
cumplimiento de las no conformidades y observaciones emanadas de la
auditoria.

Por último, otro problema y no pequeño, es el derivado del coste de

realización de la auditoria y sus consecuencias, que afecta tanto a la entidad
auditora como a la empresa auditada.

Como hemos dicho anteriormente, en estos momentos el empresario ve

esta herramienta más como un impuesto que como una herramienta de mejora,
lo que le lleva a entender las auditorías como un trámite más de carácter formal,
que no aporta nada a la empresa y sólo acarrea problemas, por lo que buscará
en el mercado aquellas entidades auditoras que tenga el coste más barato, que
ponga la menores pegas posibles a su sistema de prevención y que este el menor
tiempo posible en sus instalaciones.

Introducción a las auditorías [32]

 Este problema, se encuentra vigente en la actualidad, y de difícil solución
a corto plazo. Las entidades auditoras y auditores, en el momento de reunirse
para exponer los problemas que este subsector de la prevención de riesgos
laborales tiene en estos momentos, intentan desde el asociacionismo tratar
todos los puntos necesarios para reconducir la buena marcha de esta profesión.

Introducción a las auditorías [33]

5. BIBLIOGRAFÍA

• Alexandra Maldonado, B., & Jorge Fernández, R. (2007). Auditoría de

Gestión como herramienta para evaluar los procesos administrativos,
financieros y operativos de las Empresas Industriales Grandes.

• Arens, A. A., Loebbecke, J. K., Muñoz Razo, C., Ohmae, K., Cornejo, M.
A., Zenger, J. H., ... & Greenleaf, R. K. (1996). Auditoría un enfoque
integral. Congreso Nacional, Tegucigalpa (Honduras).

• Cañibano Calvo, L. (1999). La independencia de los auditores: un nuevo

enfoque. Actualidad Financiera, 3(GRÁFICO), 21-39.

• Carrera, M. N., Gutiérrez, I., & Carmona, S. (2005). Concentración en el

mercado de auditoría en España: Análisis empírico del periodo 1990 –

Introducción a las auditorías [34]

 2000. Spanish Journal of Finance and Accounting/Revista Española De
Financiación Y Contabilidad, 34(125), 423-457.

• Caso Pardo, C., García Díez, J., López Díaz, A., & Martínez Arias, A.
(2003). Estudio de la incidencia de ciertos factores en el informe de
auditoría. Revista de Contabilidad, 6(11), 57-86.

• Correa, J. A. A. (2000). La reforma del sistema de gestión y auditoría

medioambiental de la UE. Boletín económico de ICE, Información
Comercial Española, (2670), 29-44.

• de Almeida, J. E. F., & de Almeida, J. C. G. (2009). Auditoria e earnings

management: estudo empírico nas empresas abertas auditadas pelas
big four e demais firmas de auditoria. Revista Contabilidade & Finanças,
20(50), 62-74.

• García-Ayuso Covarsí, M., & Sánchez Segura, A. (1999). Un análisis

descriptivo del mercado de la auditoría y de los informes emitidos por
las grandes empresas españolas. Actualidad Financiera, 3(GRÁFICO),
41-52.

• Gómez-Guillamón, A. D. (2006). Comprensión y relevancia del informe

de auditoría: Un análisis empírico realizado con auditores, empresas y
usuarios. Spanish Journal of Finance and Accounting/Revista Española
de Financiación y Contabilidad, 35(128), 31-55.

• i Aumatell, C. S. (2003). Auditoría de la información: análisis de la

información generada en la empresa. Editorial UOC.

• Martínez, M. C. P., & de Fuentes Barberá, C. (2008). Determinantes de

la formación voluntaria de Comités de Auditorías entre las empresas
cotizadas. Moneda y crédito, (227), 83-115.

• Pardo, C. C., Fernández, M. J. R., & Arias, A. M. M. (2005). Las

sociedades cotizadas y la concentración del mercado de auditoría.
Partida doble, (170), 84-97.

Introducción a las auditorías [35]

 • Rodríguez, M. C. (2007). Tamaño del auditor y calidad de auditoría en
las empresas españolas no cotizadas. Spanish Journal of Finance and
Accounting/Revista Española de Financiación y Contabilidad, 36(135),
481-507.

Introducción a las auditorías [36]