Los criterios del

Informe COSO
aplicados a las auditoras
de prevencin de riesgos laborales

SERGIO CAROL LLOPART

Dr. Ingeniero Industrial

NDICE
1.- El Informe COSO

2.- Las auditoras de prevencin

3.- Adaptacin del Informe COSO a las auditoras de prevencin de riesgos laborales
4.- Ejemplos

5.- Ventajas e inconvenientes

6.- Bibliografa

Se ha preguntado alguna vez si su mtodo de auditora del sistema de

gestin de prevencin de riesgos laborales cumple su funcin? Ha
debido en alguna ocasin priorizar sus acciones de evaluacin y control y no ha sabido por dnde empezar o qu partes no supervisar?
La adaptacin de los criterios desarrollados en el "Informe COSO"
para auditoras internas, al mbito de la prevencin de riesgos laborales, permite dar respuesta a estas y otras preguntas similares. En las
pginas siguientes se describe someramente el referido informe, se
detalla la aplicabilidad de esta metodologa al mbito de la prevencin laboral, se presentan herramientas aptas para su aplicacin en las
pequeas y medianas empresas que desean priorizar sus acciones de
auditora interna, y se valoran sus ventajas e inconvenientes.
6.

7.

Informe COSO

de prevencin de riesgos laborales

aplicados a las auditoras

Los criterios del Informe COSO

ABRIL - JUNIO 2005

PREVENCIN N 172

1.- El Informe COSO

El Informe COSO es el resultado de un trabajo desarrollado por
Coopers & Lybrand, S.A. entre
1985 y 1992 a iniciativa del
Institute of Internal Auditors (IIA)
estadounidense y otras entidades
del sector, con la participacin, en
calidad de asesores, de ejecutivos de empresas como IBM,
Shell, DuPont, Arthur Andersen y
otros. El acrnimo COSO responde a los trminos: Committee of
Sponsoring Organizations of the
Treatway Commission.
La metodologa propuesta en
el Informe COSO es una herramienta que permite identificar
qu mbitos de la empresa
implican factores de riesgo relevantes, sobre los que es conveniente priorizar la actividad
de control.
Su objetivo principal era desarrollar un nuevo marco conceptual en el que integrar las distintas variables relevantes en el
mbito del control interno de las
empresas, siempre desde el
punto de vista contable-financiero. Se entiende por control interno el proceso llevado a cabo por
la Direccin para proporcionar un
grado de seguridad razonable
sobre la consecucin de los objetivos de eficacia y eficiencia de
las operaciones, fiabilidad de la
informacin financiera y cumplimiento de las leyes y normas.
8.

En la prctica una de las

aportaciones fundamentales del
informe es la de permitir priorizar
las acciones de auditora en
aquellos mbitos especialmente
sensibles de la organizacin. Los
cinco elementos que el informe
destaca como bsicos para disponer de un control interno efectivo son:
Entorno de control: Valora especialmente el factor
humano, el grado de disciplina,
fidelidad, compromiso e integridad de la plantilla, los valores
ticos, los principios de gestin
y el desarrollo de sus empleados.
Identificacin y evaluacin de los riesgos: Valora el
grado de conocimientos y experiencia acumulada por la empresa en el mbito que se analiza.
Actividades de control:
Disponibilidad o no de herramientas de control y alarma,
automatismos de seguimiento
del proceso, etc.
Informacin y comunicacin: Facilidad o nivel de fun-

cionalidad de los mecanismos

internos de comunicacin de la
empresa (comunicacin vertical
ascendente y descendente, comunicacin horizontal, comunicacin formal o informal). Grado
en el que el personal de la entidad conoce y comparte la informacin necesaria para desarrollar, gestionar y controlar su
tarea.
Supervisin: Niveles y
calidad de la supervisin de que
dispone el proceso analizado. A
mayor calidad en la supervisin
ms se reduce el riesgo de no
conformidad con los criterios
establecidos.
En la medida en la que se
combinen cada uno de estos factores, la actividad analizada ser
considerada de mayor o menor
riesgo para la entidad y ser
merecedora de mayor o menor
inters a la hora de controlarla.
En el mbito de aplicacin original del informe se identifican
varias categoras de riesgos: operativos, financieros, de informacin, de recursos humanos, de
integridad, etc.

LOS CRITERIOS DEL INFORME COSO aplicados a las auditoras de prevencin de riesgos laborales

2.- Las auditoras de prevencin

El artculo 30 de la Ley de
Prevencin de Riesgos Laborales
establece que el empresario que
no hubiera contratado el servicio
de prevencin con una entidad
ajena debe someter su sistema
de prevencin al control de una
auditora o evaluacin externa.
Por su parte, el captulo 5 del
Reglamento de los Servicios de
Prevencin desarrolla el mbito
de aplicacin de estas auditoras,
sus objetivos, los informes y los
requisitos de los auditores. A su
vez, el artculo 30 del citado reglamento indica que debern realizarse de acuerdo con las normas
tcnicas establecidas o que puedan establecerse.
Hasta la fecha no han sido
desarrolladas legalmente estas
normas tcnicas y ha sido el
Instituto Nacional de Seguridad e
Higiene en el Trabajo el que ha
desarrollado unos "Criterios para
la realizacin de auditoras". En
este documento el INSHT establece como objetivos de las auditoras externas:
Comprobar cmo se ha
realizado la evaluacin inicial y
peridica de los riesgos, analizar sus resultados y verificarlos,
en caso de duda.
Comprobar que el tipo y
planificacin de las actividades
preventivas se ajustan a lo dispuesto en la normativa general,
as como en la normativa sobre
riesgos especficos que sea de
aplicacin, teniendo en cuenta
los resultados de la evaluacin.
Analizar la adecuacin
entre los procedimientos y medios requeridos para realizar las

actividades preventivas mencionadas en el prrafo anterior y

los recursos de que dispone el
empresario, propios o concertados, teniendo en cuenta, adems, el modo en que estn
organizados o coordinados, en
su caso.
Paralelamente a estas auditoras externas cuya realizacin
responde a un requisito legal, y de
manera totalmente anloga a lo
que sucede con las auditoras
contables o financieras, irn desarrollndose en el futuro auditoras internas que permitan evaluar
de manera continua la adecuacin y correcto funcionamiento del
sistema de gestin de la prevencin. En definitiva ser un sntoma de madurez de la actividad
preventiva de la entidad.
Para llevar a cabo este control
interno sobre la adecuacin del sis-

tema de gestin de la prevencin

ser necesario muy frecuentemente priorizar los aspectos a analizar
y los mbitos en los que centrar el
estudio ya que los recursos de control y seguimiento suelen ser escasos en todas las organizaciones.
No es un mtodo de identificacin y evaluacin de riesgos
(para los que ya existen innumerables sistemas) sino un mecanismo para identificar los
mbitos en los que la organizacin es especialmente sensible.
Es en este sentido que la
adaptacin de la metodologa propuesta en el Informe COSO puede
ayudar notablemente al prevencionista a identificar aquellos mbitos
de la empresa que implican factores de riesgo relevantes y sobre
los que es conveniente priorizar la
actividad de control.
9.

ABRIL - JUNIO 2005

PREVENCIN N 172

3.1. Entorno de control: grado

de compromiso de la plantilla con
los objetivos de la empresa, experiencia y formacin, aos de permanencia, nivel de rotacin.
3.2. Nivel de conocimiento organizacional: Grado en el que la
empresa tiene conocimiento de la
actividad que se est evaluando.
Se trata de una actividad experimental o de un nuevo desarrollo?
Es una actividad integrada en el
proceso productivo desde hace
tiempo? Ha tenido modificaciones o ampliaciones recientes?

3.- Adaptacin del Informe COSO

a las auditoras de prevencin de riesgos laborales

OBJETIVO: Disponer de una

herramienta que permita identificar en qu mbitos de la empresa se incurre en mayores riesgos.
Esta valoracin nada tiene que
ver con la severidad de los riesgos derivada de una evaluacin
de los mismos, como ms adelante se ver.
APLICACIN: El anlisis propuesto a continuacin debe hacerse en la fase de planificacin
de la auditora, antes del inicio del
trabajo de campo. La ponderacin
de los distintos parmetros conviene que sea realizada en sesiones de trabajo conjuntas (cinco o
seis personas, en ausencia de
sus responsables) en las que los
participantes evalan las fortalezas y debilidades de sus procesos
de trabajo y comunicacin, mediante unas plantillas muy detalladas que posteriormente son contrastadas y ponderadas.
10.

3.3. Actividades de control:

Valora la existencia o no de mecaSin embargo, en ocasiones se
lleva a cabo por el responsable de
la Unidad analizada, con la ayuda
y supervisin de su superior y la
del propio auditor. Esta opcin
requiere un especial cuidado en
no minusvalorar determinados
riesgos.
METODOLOGA: La metodologa que se presenta se describe
grficamente en la Figura 1 y se
detalla a continuacin:
1. Identificar el mbito de aplicacin de la auditora e identificar
las distintas secciones sobre las
que se va a aplicar.
2. Para cada una de estas secciones, identificar los puestos de
trabajo a considerar y las tareas
que se desarrollan en cada una
de ellas.
3. Para cada tarea, valorar las
variables que se detallan a continuacin en una escala de 1 (muy
positivo) a 5 (muy negativo). La
definicin de estas variables es
totalmente anloga a la realizada
en el Informe COSO original.

Identificar mbito de anlisis,

secciones y puestos de trabajo
Identificar tareas de cada
puesto de trabajo
Valorar de 1 (mucho) a 5 (poco)
los siguientes parmetros:
1. Entorno de control
2. Nivel de conocimiento
organizacional
3. Actividades de control
4. Comunicacin e
informacin

A: Suma de las puntuaciones

obtenidas
B: Valorar el nivel de riesgo
Calcular TOTAL= AxB
Figura 1.- Proceso de ponderacin
del control del riesgo.

LOS CRITERIOS DEL INFORME COSO aplicados a las auditoras de prevencin de riesgos laborales

La aplicacin de este mtodo

permite optimizar los recursos
de control y seguimiento de
los procesos de prevencin de
riesgos laborales, con un coste relativamente bajo y garantizando que tales recursos se
centran en los puntos ms
sensibles de la organizacin.
nismos automticos que permitan
el control del proceso. Nivel de
sofisticacin de los controles. Grado
de redundancia en los mismos.
3.4. Informacin y comunicacin: Disponibilidad de acceso a
la informacin de la empresa por
parte de la plantilla afectada tanto
en sentido ascendente como descendente. Existen mecanismos
fiables y consistentes para que
los trabajadores comuniquen incidencias, mejoras o quejas, y
stos se usan de forma frecuente
y uniforme?

evaluacin de riesgos a una

categorizacin de cinco niveles
de 1 (muy bajo riesgo) a 5 (riesgo muy elevado). Obviamente
con este parmetro se valora la
probabilidad de ocurrencia y
exposicin, la severidad de las
consecuencias y el nmero de
posibles afectados.
6. Calcular el TOTAL como
producto de los resultados obtenidos en los puntos 4 y 5 anteriores.

ese riesgo est fuera de control en

nuestra organizacin y la conveniencia o no de revisar la ejecucin
de esta tarea. Es por tanto una personalizacin de una evaluacin de
riesgos convencional, a la realidad
de la empresa analizada.

4.- Ejemplos

7. Categorizar el resultado tomando como referencia la tabla

de la figura 2.

Supngase una entidad en la

que, en un puesto concreto, se
desarrolla una reaccin de nitracin o de halogenacin (ambos
procesos qumicos son altamente
peligrosos).

Es preciso insistir en que no se

est valorando el riesgo sino la
medida en la que es posible que

En el primero de los casos

supondremos que se trata de una
empresa de reciente creacin, sin

3.5. Supervisin: Grado de

supervisin al que est sometida
la tarea evaluada.
4. Sumar las puntuaciones
obtenidas. El sumatorio tomar
un valor entre 5 y 25.
5. Valorar el nivel de riesgo de
la tarea evaluada. Basta con
homologar los resultados de la

De 5 a 25

TOTAL OBTENIDO

De 26 a 50
De 51 a 75

De 76 a 100

De 101 a 125

RIESGO

Muy bajo
Bajo

Medio
Alto

Muy alto
Figura 2.- Categorizacin del resultado

antecedentes en el sector, creada

especficamente para llevar a
cabo el proceso que se analiza y
experimentar las formas en las
que se puede optimizar la reaccin. La plantilla es de reciente
incorporacin, con formacin muy
bsica en la materia. No existe
una definicin clara de la poltica
de empresa o sta no es compartida por toda la organizacin. No
11.

ABRIL - JUNIO 2005

PREVENCIN N 172

Ciertos riesgos muy relevantes

pueden quedar fuera del ciclo
de control que supone la auditora. Aceptando que este ciclo no puede ser exhaustivo y
que debe necesariamente centrarse en algunos puntos del
conjunto, mejor hacerlo en aqullos que revisten una especial peligrosidad.
hay un sistema de comunicacin
formal consolidado y el nivel de
supervisin de los trabajos no es
adecuado. Dado que los recursos econmicos disponibles son
reducidos, no se dispone de sistemas de control del proceso
industrial muy sofisticados.
Evidentemente, en esta situacin, los parmetros citados
anteriormente (del 3.1. al 3.5.)
seran todos ellos valorados muy
negativamente (con un 5 por
ejemplo). La suma de todos ellos
arroja un subtotal de 25.
La valoracin del riesgo es de
grave, dado que el peligro potencial es evidente, sus consecuencias severas y puede afectar a
un nmero significativo de personas. Se punta con un 4.
El producto de ambos resultados es de 100 por lo que categorizaramos el nivel de riesgo en
alto o muy alto.
En el segundo de los casos se
considera una situacin opuesta,
es decir una plantilla consolidada
en la empresa desde hace
mucho tiempo, con experiencia y
formacin, integrada en una
empresa con amplia experiencia
en el sector y que lleva a cabo el
mismo proceso de forma totalmente automatizada y a diario,
12.

con sistemas de comunicacin

eficaces y niveles de supervisin
muy operativos.
En este caso la suma de la
valoracin de los puntos 3.1. a
3.5. sera probablemente de 5.
La valoracin del riesgo seguira
siendo la misma (4) pero el producto de ambos factores sera
20. En este segundo caso el
nivel de riesgo para la entidad
derivado de esta actividad es
muy bajo.
Ntese que la metodologa
propuesta no es un sistema de
identificacin y evaluacin de
riesgos (para los que ya existen
innumerables sistemas cuantitativos o semicuantitativos) sino un
mecanismo para identificar los
mbitos en los que la entidad es
especialmente sensible. Obsrvese que un mismo riesgo grave
puede ser priorizado de formas
totalmente distintas en funcin del
grado de implicacin o formacin
de los empleados, del grado de
conocimiento de la actividad por
parte de la empresa o de la facilidad o dificultad existente para la
supervisin de esta actividad.

5.- Ventajas e inconvenientes

La aplicacin de este mtodo
permite optimizar los recursos de
control y seguimiento de los procesos de prevencin de riesgos
laborales, con un coste relativamente bajo y garantizando que se
centran estos recursos en aquellos puntos ms sensibles de la
organizacin.
Cabe argumentar que ciertos
riesgos muy relevantes pueden
quedar fuera del ciclo de control
que supone la auditora. Aceptando que este ciclo de control no
puede ser exhaustivo y que debe
necesariamente centrarse en
algunos puntos del conjunto,
mejor hacerlo en aqullos que
revisten una especial peligrosidad, no ya a nivel general, por la
categora del riesgo, sino a nivel
concreto de la organizacin analizada, con sus caractersticas y
particularidades especficas.
La forma en la que se ponderan los distintos factores est en
principio poco detallada y deja
mucho margen a la discrecionalidad. Para evitarlo se han desarro-

LOS CRITERIOS DEL INFORME COSO aplicados a las auditoras de prevencin de riesgos laborales

La implantacin paulatina de
auditoras de prevencin laboral ms all del mero requisito
legal, es una realidad y una
evidencia de que, aunque sea
muy lentamente, la PREVENCIN, con maysculas, se va
integrando en el da a da de
muchas empresas.
llado hojas de clculo bastante
detalladas que permiten evaluar
cada factor partiendo del conocimiento de un sinfn de variables
objetivas (ms de 20 para factor)
que convenientemente ponderadas permiten asignar un valor al
parmetro analizado. Se evita de
esta forma emplear una escala de
ponderacin directa de 1 a 5 en la
que suele tenderse a la medida
central.

La implantacin paulatina de
auditoras de prevencin laboral
ms all del mero requisito legal
es una realidad y una evidencia
de que, aunque sea muy lentamente, la PREVENCIN, con maysculas, se va integrando en el
da a da de muchas empresas.
Aplicar una metodologa como la
descrita permite ahorrar costes en
este ciclo de control y supervisin
y centrar esfuerzos en aquellos
puntos ms crticos de la organizacin.
Hay que considerar, adems,
que si bien es una metodologa de
reciente "diseo", no se hace ms
que trasladar al mbito de la prevencin laboral unas tcnicas ya
consolidadas desde hace mucho
tiempo en el entorno contablefinanciero.

6.- Bibliografa
Coopers&Lybrand S.A.
(1997), Los nuevos conceptos
del control interno (Informe
Coso), Ed. Diaz de Santos,
Espaa.
Instituto Nacional de Seguridad e Higiene en el Trabajo
(INSHT), Criterios del Instituto
Nacional de Seguridad e Higiene
en el Trabajo para la realizacin
de las auditoras del sistema de
prevencin de riesgos laborales
reguladas en el Captulo V del
Reglamento de los Servicios de
Prevencin, Espaa.
Jensen M.C., (1997) xito
y fracaso de los sistemas de
control interno, Harvard-Deusto
Business review, Espaa.

13.