6.

SERGIO CAROL LLOPARTDr. Ingeniero Industrial

ÍNDICE

1.- El Informe COSO

2.- Las auditorías de prevención

3.- Adaptación del Informe COSO a las auditorías de prevención de riesgos laborales

4.- Ejemplos

5.- Ventajas e inconvenientes

6.- Bibliografía

Los criterios delInforme COSO

aplicados a las auditoríasde prevención de riesgos laborales

¿Se ha preguntado alguna vez si su método de auditoría del sistema degestión de prevención de riesgos laborales cumple su función? ¿Hadebido en alguna ocasión priorizar sus acciones de evaluación y con-trol y no ha sabido por dónde empezar o qué partes no supervisar?

La adaptación de los criterios desarrollados en el "Informe COSO"para auditorías internas, al ámbito de la prevención de riesgos labora-les, permite dar respuesta a estas y otras preguntas similares. En laspáginas siguientes se describe someramente el referido informe, sedetalla la aplicabilidad de esta metodología al ámbito de la preven-ción laboral, se presentan herramientas aptas para su aplicación en laspequeñas y medianas empresas que desean priorizar sus acciones deauditoría interna, y se valoran sus ventajas e inconvenientes.

7.

Info

rme

CO

SO

Info

rme

CO

SO

1.- El Informe COSOEl Informe COSO es el resulta-

do de un trabajo desarrollado porCoopers & Lybrand, S.A. entre1985 y 1992 a iniciativa delInstitute of Internal Auditors (IIA)estadounidense y otras entidadesdel sector, con la participación, encalidad de asesores, de ejecuti-vos de empresas como IBM,Shell, DuPont, Arthur Andersen yotros. El acrónimo COSO respon-de a los términos: Committee ofSponsoring Organizations of theTreatway Commission.

Su objetivo principal era desa-rrollar un nuevo marco concep-tual en el que integrar las distin-tas variables relevantes en elámbito del control interno de lasempresas, siempre desde elpunto de vista contable-financie-ro. Se entiende por control inter-no el proceso llevado a cabo porla Dirección para proporcionar ungrado de seguridad razonablesobre la consecución de los obje-tivos de eficacia y eficiencia delas operaciones, fiabilidad de lainformación financiera y cumpli-miento de las leyes y normas.

En la práctica una de lasaportaciones fundamentales delinforme es la de permitir priorizarlas acciones de auditoría enaquellos ámbitos especialmentesensibles de la organización. Loscinco elementos que el informedestaca como básicos para dis-poner de un control interno efec-tivo son:

Entorno de control: Va-lora especialmente el factorhumano, el grado de disciplina,fidelidad, compromiso e integri-dad de la plantilla, los valoreséticos, los principios de gestióny el desarrollo de sus emplea-dos.

Identificación y evalua-ción de los riesgos: Valora elgrado de conocimientos y expe-riencia acumulada por la empre-sa en el ámbito que se analiza.

Actividades de control:Disponibilidad o no de herra-mientas de control y alarma,automatismos de seguimientodel proceso, etc.

Información y comunica-ción: Facilidad o nivel de fun-

cionalidad de los mecanismosinternos de comunicación de laempresa (comunicación verticalascendente y descendente, co-municación horizontal, comuni-cación formal o informal). Gradoen el que el personal de la enti-dad conoce y comparte la infor-mación necesaria para desarro-llar, gestionar y controlar sutarea.

Supervisión: Niveles ycalidad de la supervisión de quedispone el proceso analizado. Amayor calidad en la supervisiónmás se reduce el riesgo de noconformidad con los criteriosestablecidos.

En la medida en la que secombinen cada uno de estos fac-tores, la actividad analizada seráconsiderada de mayor o menorriesgo para la entidad y serámerecedora de mayor o menorinterés a la hora de controlarla.

En el ámbito de aplicación ori-ginal del informe se identificanvarias categorías de riesgos: ope-rativos, financieros, de informa-ción, de recursos humanos, deintegridad, etc.

8.

ABRIL - JUNIO 2005 PREVENCIÓN Nº 172

de p

reve

nció

n de

rie

sgos

labo

rale

s

aplic

ados

a la

s au

dito

rías

Los

crite

rios

del I

nfor

me

COSO

La metodología propuesta en

el Informe COSO es una herra-

mienta que permite identificar

qué ámbitos de la empresa

implican factores de riesgo re-

levantes, sobre los que es con-

veniente priorizar la actividad

de control.

LOS CRITERIOS DEL INFORME COSO

2.- Las auditorías de prevención

El artículo 30 de la Ley dePrevención de Riesgos Laboralesestablece que el empresario queno hubiera contratado el serviciode prevención con una entidadajena debe someter su sistemade prevención al control de unaauditoría o evaluación externa.Por su parte, el capítulo 5 delReglamento de los Servicios dePrevención desarrolla el ámbitode aplicación de estas auditorías,sus objetivos, los informes y losrequisitos de los auditores. A suvez, el artículo 30 del citado regla-mento indica que deberán reali-zarse de acuerdo con las normastécnicas establecidas o que pue-dan establecerse.

Hasta la fecha no han sidodesarrolladas legalmente estasnormas técnicas y ha sido elInstituto Nacional de Seguridad eHigiene en el Trabajo el que hadesarrollado unos "Criterios parala realización de auditorías". Eneste documento el INSHT esta-blece como objetivos de las audi-torías externas:

Comprobar cómo se harealizado la evaluación inicial yperiódica de los riesgos, anali-zar sus resultados y verificarlos,en caso de duda.

Comprobar que el tipo yplanificación de las actividadespreventivas se ajustan a lo dis-puesto en la normativa general,así como en la normativa sobreriesgos específicos que sea deaplicación, teniendo en cuentalos resultados de la evaluación.

Analizar la adecuaciónentre los procedimientos y me-dios requeridos para realizar las

actividades preventivas mencio-nadas en el párrafo anterior ylos recursos de que dispone elempresario, propios o concerta-dos, teniendo en cuenta, ade-más, el modo en que estánorganizados o coordinados, ensu caso.

Paralelamente a estas audito-rías externas cuya realizaciónresponde a un requisito legal, y demanera totalmente análoga a loque sucede con las auditoríascontables o financieras, irán de-sarrollándose en el futuro audito-rías internas que permitan evaluarde manera continua la adecua-ción y correcto funcionamiento delsistema de gestión de la preven-ción. En definitiva será un sínto-ma de madurez de la actividadpreventiva de la entidad.

Para llevar a cabo este controlinterno sobre la adecuación del sis-

tema de gestión de la prevenciónserá necesario muy frecuentemen-te priorizar los aspectos a analizary los ámbitos en los que centrar elestudio ya que los recursos de con-trol y seguimiento suelen ser esca-sos en todas las organizaciones.

Es en este sentido que laadaptación de la metodología pro-puesta en el Informe COSO puedeayudar notablemente al prevencio-nista a identificar aquellos ámbitosde la empresa que implican facto-res de riesgo relevantes y sobrelos que es conveniente priorizar laactividad de control.

9.

No es un método de identifica-

ción y evaluación de riesgos

(para los que ya existen innu-

merables sistemas) sino un me-

canismo para identificar los

ámbitos en los que la organiza-

ción es especialmente sensible.

aplicados a las auditorías de prevención de riesgos laborales

3.- Adaptación del Informe COSO

a las auditorías de preven-

ción de riesgos laborales

OBJETIVO: Disponer de unaherramienta que permita identifi-car en qué ámbitos de la empre-sa se incurre en mayores riesgos.Esta valoración nada tiene quever con la severidad de los ries-gos derivada de una evaluaciónde los mismos, como más ade-lante se verá.

APLICACIÓN: El análisis pro-puesto a continuación debe ha-cerse en la fase de planificaciónde la auditoría, antes del inicio deltrabajo de campo. La ponderaciónde los distintos parámetros con-viene que sea realizada en sesio-nes de trabajo conjuntas (cinco oseis personas, en ausencia desus responsables) en las que losparticipantes evalúan las fortale-zas y debilidades de sus procesosde trabajo y comunicación, me-diante unas plantillas muy detalla-das que posteriormente son con-trastadas y ponderadas.

Sin embargo, en ocasiones selleva a cabo por el responsable dela Unidad analizada, con la ayuday supervisión de su superior y ladel propio auditor. Esta opciónrequiere un especial cuidado enno minusvalorar determinadosriesgos.

METODOLOGÍA: La metodo-logía que se presenta se describegráficamente en la Figura 1 y sedetalla a continuación:

1. Identificar el ámbito de apli-cación de la auditoría e identificarlas distintas secciones sobre lasque se va a aplicar.

2. Para cada una de estas sec-ciones, identificar los puestos detrabajo a considerar y las tareasque se desarrollan en cada unade ellas.

3. Para cada tarea, valorar lasvariables que se detallan a conti-nuación en una escala de 1 (muypositivo) a 5 (muy negativo). Ladefinición de estas variables estotalmente análoga a la realizadaen el Informe COSO original.

3.1. Entorno de control: gradode compromiso de la plantilla conlos objetivos de la empresa, expe-riencia y formación, años de per-manencia, nivel de rotación.

3.2. Nivel de conocimiento or-ganizacional: Grado en el que laempresa tiene conocimiento de laactividad que se esté evaluando.¿Se trata de una actividad experi-mental o de un nuevo desarrollo?¿Es una actividad integrada en elproceso productivo desde hacetiempo? ¿Ha tenido modificacio-nes o ampliaciones recientes?

3.3. Actividades de control:Valora la existencia o no de meca-

10.

ABRIL - JUNIO 2005 PREVENCIÓN Nº 172

Identificar ámbito de análisis, secciones y puestos de trabajo

Identificar tareas de cada puesto de trabajo

Valorar de 1 (mucho) a 5 (poco)los siguientes parámetros:

1. Entorno de control2. Nivel de conocimiento organizacional3. Actividades de control4. Comunicación einformación

A: Suma de las puntuacionesobtenidas

B: Valorar el nivel de riesgo

Calcular TOTAL= AxB

Figura 1.- Proceso de ponderacióndel control del riesgo.

nismos automáticos que permitanel control del proceso. Nivel desofisticación de los controles. Gradode redundancia en los mismos.

3.4. Información y comunica-ción: Disponibilidad de acceso ala información de la empresa porparte de la plantilla afectada tantoen sentido ascendente como des-cendente. ¿Existen mecanismosfiables y consistentes para quelos trabajadores comuniquen inci-dencias, mejoras o quejas, yéstos se usan de forma frecuentey uniforme?

3.5. Supervisión: Grado desupervisión al que está sometidala tarea evaluada.

4. Sumar las puntuacionesobtenidas. El sumatorio tomaráun valor entre 5 y 25.

5. Valorar el nivel de riesgo dela tarea evaluada. Basta conhomologar los resultados de la

evaluación de riesgos a unacategorización de cinco nivelesde 1 (muy bajo riesgo) a 5 (ries-go muy elevado). Obviamentecon este parámetro se valora laprobabilidad de ocurrencia yexposición, la severidad de lasconsecuencias y el número deposibles afectados.

6. Calcular el TOTAL comoproducto de los resultados obteni-dos en los puntos 4 y 5 anteriores.

7. Categorizar el resultado to-mando como referencia la tablade la figura 2.

Es preciso insistir en que no seestá valorando el riesgo sino lamedida en la que es posible que

ese riesgo esté fuera de control ennuestra organización y la conve-niencia o no de revisar la ejecuciónde esta tarea. Es por tanto una per-sonalización de una evaluación deriesgos convencional, a la realidadde la empresa analizada.

4.- Ejemplos

Supóngase una entidad en laque, en un puesto concreto, sedesarrolla una reacción de nitra-ción o de halogenación (ambosprocesos químicos son altamentepeligrosos).

En el primero de los casossupondremos que se trata de unaempresa de reciente creación, sin

antecedentes en el sector, creadaespecíficamente para llevar acabo el proceso que se analiza yexperimentar las formas en lasque se puede optimizar la reac-ción. La plantilla es de recienteincorporación, con formación muybásica en la materia. No existeuna definición clara de la políticade empresa o ésta no es compar-tida por toda la organización. No

11.

La aplicación de este método

permite optimizar los recursos

de control y seguimiento de

los procesos de prevención de

riesgos laborales, con un cos-

te relativamente bajo y garan-

tizando que tales recursos se

centran en los puntos más

sensibles de la organización.

Figura 2.- Categorización del resultado

TOTAL OBTENIDO RIESGO

De 5 a 25

De 26 a 50

De 51 a 75

De 76 a 100

De 101 a 125

Muy bajo

Bajo

Medio

Alto

Muy alto

LOS CRITERIOS DEL INFORME COSO aplicados a las auditorías de prevención de riesgos laborales

hay un sistema de comunicaciónformal consolidado y el nivel desupervisión de los trabajos no esadecuado. Dado que los recur-sos económicos disponibles sonreducidos, no se dispone de sis-temas de control del procesoindustrial muy sofisticados.

Evidentemente, en esta situa-ción, los parámetros citadosanteriormente (del 3.1. al 3.5.)serían todos ellos valorados muynegativamente (con un 5 porejemplo). La suma de todos ellosarroja un subtotal de 25.

La valoración del riesgo es degrave, dado que el peligro poten-cial es evidente, sus consecuen-cias severas y puede afectar aun número significativo de perso-nas. Se puntúa con un 4.

El producto de ambos resulta-dos es de 100 por lo que catego-rizaríamos el nivel de riesgo enalto o muy alto.

En el segundo de los casos seconsidera una situación opuesta,es decir una plantilla consolidadaen la empresa desde hacemucho tiempo, con experiencia yformación, integrada en unaempresa con amplia experienciaen el sector y que lleva a cabo elmismo proceso de forma total-mente automatizada y a diario,

con sistemas de comunicacióneficaces y niveles de supervisiónmuy operativos.

En este caso la suma de lavaloración de los puntos 3.1. a3.5. sería probablemente de 5.La valoración del riesgo seguiríasiendo la misma (4) pero el pro-ducto de ambos factores sería20. En este segundo caso elnivel de riesgo para la entidadderivado de esta actividad esmuy bajo.

Nótese que la metodologíapropuesta no es un sistema deidentificación y evaluación deriesgos (para los que ya existeninnumerables sistemas cuantitati-vos o semicuantitativos) sino unmecanismo para identificar losámbitos en los que la entidad esespecialmente sensible. Obsér-vese que un mismo riesgo gravepuede ser priorizado de formastotalmente distintas en función delgrado de implicación o formaciónde los empleados, del grado deconocimiento de la actividad porparte de la empresa o de la facili-dad o dificultad existente para lasupervisión de esta actividad.

5.- Ventajas e inconvenientes

La aplicación de este métodopermite optimizar los recursos decontrol y seguimiento de los pro-cesos de prevención de riesgoslaborales, con un coste relativa-mente bajo y garantizando que secentran estos recursos en aque-llos puntos más sensibles de laorganización.

Cabe argumentar que ciertosriesgos muy relevantes puedenquedar fuera del ciclo de controlque supone la auditoría. Acep-tando que este ciclo de control nopuede ser exhaustivo y que debenecesariamente centrarse enalgunos puntos del conjunto,mejor hacerlo en aquéllos querevisten una especial peligrosi-dad, no ya a nivel general, por lacategoría del riesgo, sino a nivelconcreto de la organización anali-zada, con sus características yparticularidades específicas.

La forma en la que se ponde-ran los distintos factores está enprincipio poco detallada y dejamucho margen a la discrecionali-dad. Para evitarlo se han desarro-

12.

ABRIL - JUNIO 2005 PREVENCIÓN Nº 172

Ciertos riesgos muy relevantes

pueden quedar fuera del ciclo

de control que supone la audi-

toría. Aceptando que este ci-

clo no puede ser exhaustivo y

que debe necesariamente cen-

trarse en algunos puntos del

conjunto, mejor hacerlo en a-

quéllos que revisten una espe-

cial peligrosidad.

llado hojas de cálculo bastantedetalladas que permiten evaluarcada factor partiendo del conoci-miento de un sinfín de variablesobjetivas (más de 20 para factor)que convenientemente pondera-das permiten asignar un valor alparámetro analizado. Se evita deesta forma emplear una escala deponderación directa de 1 a 5 en laque suele tenderse a la medidacentral.

La implantación paulatina deauditorías de prevención laboralmás allá del mero requisito legales una realidad y una evidenciade que, aunque sea muy lenta-mente, la PREVENCIÓN, con ma-yúsculas, se va integrando en eldía a día de muchas empresas.Aplicar una metodología como ladescrita permite ahorrar costes eneste ciclo de control y supervisióny centrar esfuerzos en aquellospuntos más críticos de la organi-zación.

Hay que considerar, además,que si bien es una metodología dereciente "diseño", no se hace másque trasladar al ámbito de la pre-vención laboral unas técnicas yaconsolidadas desde hace muchotiempo en el entorno contable-financiero.

6.- Bibliografía

Coopers&Lybrand S.A.(1997), Los nuevos conceptosdel control interno (InformeCoso), Ed. Diaz de Santos,España.

Instituto Nacional de Segu-ridad e Higiene en el Trabajo(INSHT), Criterios del InstitutoNacional de Seguridad e Higieneen el Trabajo para la realizaciónde las auditorías del sistema deprevención de riesgos laboralesreguladas en el Capítulo V delReglamento de los Servicios dePrevención, España.

Jensen M.C., (1997) Éxitoy fracaso de los sistemas decontrol interno, Harvard-DeustoBusiness review, España.

13.

La implantación paulatina de

auditorías de prevención labo-

ral más allá del mero requisito

legal, es una realidad y una

evidencia de que, aunque sea

muy lentamente, la PREVEN-

CIÓN, con mayúsculas, se va

integrando en el día a día de

muchas empresas.

LOS CRITERIOS DEL INFORME COSO aplicados a las auditorías de prevención de riesgos laborales