Guía LRQA para la implementación de un SGSyS

IMG Cabecera - Cómo implementar su SGSyS

Aspectos a tener en cuenta para la Implantación

La seguridad y salud de las personas, la necesidad de mantener una buena reputación de negocio y de cumplir con sus requisitos legales y de otra índole, son algunas de las razones por las que las organizaciones están dando importancia e implantando medidas para la gestión de la seguridad y la salud. 

La publicidad adversa y posterior pérdida de reputación derivada de incidentes, dan sentido comercial a la implantación de Sistemas de Gestión de Seguridad y Salud en el Trabajo para protegerse frente a estas pérdidas, y optar por organismos de certificación independiente acreditado para la implantación de OHSAS 18001. 

Al valorar el desarrollo e implementación de un sistema de gestión de seguridad y salud, muchas organizaciones se sorprenden al comprobar como ya tienen implantados muchos de los componentes que conformarán el sistema. 

Desde su publicación en 1999, LRQA ha ayudado a las organizaciones a lograr la certificación en esta especificación de seguridad y salud. Hemos sido decisivos en su desarrollo, además de los primeros y en la actualidad los únicos en lograr la acreditación en todo el mundo de United Kingdom Accreditation Service (UKAS) para todos los sectores industriales. El contenido de este artículo proviene de la experiencia práctica de aquellos que han luchado por implementar OHSAS 18001. 

Este artículo de “Implementación de un Sistema de Gestión de Seguridad y Salud en el Trabajo desde el punto de vista del auditor” puede servir de guía práctica y de asesoramiento para los responsables de la certificación OHSAS en su organización. Si su  organización está iniciando la implementación de su sistema de gestión, le aconsejamos que la lectura de este artículo junto con la norma OHSAS 18002:2008 de Sistemas de Gestión de Seguridad y Salud en el Trabajo para tener una visión global del proceso. 

Esta guía ha sido redactada por Mick Fredricks y Judith Turner, LRQA Technical Managers, en colaboración con Ged Farmer, LRQA Senior Management Systems Assessor.

Que debe hacer antes de implementar su Sistema

Las cuestiones sobre seguridad y salud afectan a todas las organizaciones, ya que existen riesgos y peligros potenciales en cada actividad realizada. Tradicionalmente, la Administración de Seguridad y Salud en el Trabajo (OHS) en Europa y EE.UU, se ha basado en gran medida en el cumplimiento de los requisitos legales preceptivos. Es decir, en los controles definidos en base a riesgos específicos, de obligado cumplimiento por la legislación o Directrices reguladoras. Actualmente, la gestión de la seguridad se basa en el principio de gestión de la seguridad basada en el riesgo (basándose en el objetivo de Reino Unido y de la legislación de riesgos) atribuye mayor responsabilidad a la organización para determinar qué hacer para controlar adecuadamente los riesgos dadas sus circunstancias particulares.

Como una solución basada en sistemas de gestión, OHSAS 18001 refleja este último principio . La norma que se publicó en 1999 y fue revisada en 2007, es la única norma de  gestión de la seguridad y la salud en el trabajo con aplicabilidad universal. OHSAS 18002:2008 proporciona una orientación sobre la implementación de la norma OHSAS 18001:2007.

El objetivo de este artículo es proporcionar una guía práctica sobre la implantación de un Sistema de gestión de Seguridad en línea con los requisitos de la norma OHSAS 18001, desde la perspectiva de un organismo de certificación. El documento se basa en la experiencia adquirida por LRQA de las auditorías de certificación realizadas desde 1998, fecha en que comenzó el programa piloto de auditorías respecto a la norma BS8800, precursora de OHSAS 18001. Aconsejamos la lectura de este artículo conjuntamente con el artículo “Sistemas de Gestión de Seguridad” elaborado por Messam y Rider Ltd, disponible en su página web. La perspectiva del Organismo de Certificación unida a la del Auditor, proporciona una visión de conjunto más completa  sobre las implicaciones prácticas de la implementación de un Sistema de Gestión de Seguridad y Salud en el Trabajo.

Qué debe hacer antes de implementar su Sistema

Sea global. Forme un equipo con trabajadores experimentados y personas con profundo conocimiento sobre seguridad y salud en el trabajo, para que juntos identifiquen: 

  • todas las localizaciones desde donde opera su negocio 
  • las personas que tengan o puedan tener control sobre éstas
  • las actividades de cada uno de ellos 
  • que es un riesgo aceptable en términos de frecuencia y gravedad de las lesiones que su organización está dispuesta a identificar como aceptables frente a los legisladores 
  • el nivel aceptable de enfermedad sobre la salud causado por su actividad 
Si identifica actividades o condiciones que no ofrecen  niveles aceptables en los daños y lesiones causados por su actividad, su organización está incumpliendo con sus compromisos políticos y está en situación de obtener la certificación BS OHSAS 18001:2007.  En LRQA, no certificamos: 
  • con intención de cómo hacer las cosas – en LRQA tan sólo hacemos recomendaciones basadas en las evidencias de una sólida rutina en la implementación de Sistema de Gestión de Seguridad y salud, para que una vez implantado sea compatible con la norma BS OHSAS 18001:2007. 
  • No concedemos ni retiramos la certificación en base a estadísticas de lesiones, sino en base a la capacidad de identificar y controlar los peligros significativos, que serán la base de cualquier recomendación.

Estructura de OHSAS 18001

Estructura de OHSAS 18001

Si considera el Proceso de Auditorias basado en Riesgos como centro de su Sistema de Gestión de Seguridad y Salud en el Trabajo - incluyendo la identificación de peligros, y la evaluación y control de riesgos - las medidas para el control de los riesgos significativos van a servir a su organización para especificar los requisitos de las otras cláusulas. Esto también ayuda a mantener un sistema de gestión eficaz y eficiente gracias a la identificación de los requisitos necesarios al tiempo que rechaza los superfluos. 

Como sistema de gestión , OHSAS 18001 es compatible y similar en muchos aspectos a las normas ISO 9001 e ISO 14001, de calidad y medio ambiente, respectivamente . Es necesaria la aplicación del Modelo "Plan - Do - Check – Act” basado en el principio de mejora continua. Una evaluación previa de forma aislada, no es suficiente para implementar correctamente cada una de las cláusulas de la norma, deben estar conectadas entre sí. Por ejemplo, no tiene sentido identificar que controles son necesarios para gestionar peligros específicos, si a continuación dichos controles no se definen e implementan de manera adecuada y efectiva. Si se determina que los controles son necesarios, entonces el sistema debe introducir medidas para comprobar que los controles son adecuados y eficaces, así como definir acciones correctivas y su adecuación. 

La estructura de OHSAS 18001 consta de cinco secciones distintas, a saber: 

  • Política y Requisitos Generales (4.1 y 4.2) 
  • Planificación (4.3) Implementación y Operaciones (4.4) 
  • Verificación (4.5) 
  • Revisión por parte de la Dirección (4.6) 
En este artículo, desarrollamos cada uno de ellos y aportamos consejos prácticos sobre  el contenido de los requisitos de la norma, así como asesoramiento para su implantación y ejemplos sobre las deficiencias más frecuentes en las auditorías de certificación.

Requisitos Generales (Cláusula 4.1) y Política (Cláusula 4.2)

Requisitos generales (Cláusula 4.1)

La organización debe establecer, documentar, implementar, mantener y mejorar continuamente un sistema de gestión de SyS de acuerdo con los requisitos de la norma OHSAS y definir cómo cumplirá con ellos. También debe definir y documentar el alcance de su sistema de gestión.

BS OHSAS 18001:2007. Cláusula 4.1. 

Este requisito general está expresado muy simplemente, por lo que requiere que todas las cláusulas de la se implementen y mantengan para alcanzar la mejora continua. El sistema debe documentarse como y donde indica la norma. La norma no prevé la exclusión de ninguna de las cláusulas o requisitos, y es importante tener en cuenta que el alcance de 18001 no incluye la seguridad de los productos, salvo en la medida en que pueda afectar a las personas en el trabajo. Debe documentarse el alcance del sistema, normalmente mediante una descripción mucho más detallada que el alcance de un certificado acreditado.

El objetivo del alcance es permitir a todos entender la cobertura de las actividades de la organización a través de Sistema de Gestión de Seguridad y Salud.

Política (Cláusula 4.2)

Es la presentación del Sistema y debe ser definida por la Alta Dirección para que todos los implicados en la consecución de los objetivos entiendan su función dentro de la Política y la importancia de su apoyo. Son necesarios ciertos compromisos específicos que deben figurar en la política y ser implementadas y  demostrados en el proceso de auditoría para alcanzar la certificación OHSAS 18001.

La copia maestra de la Política debe ser firmada personalmente como evidencia del compromiso de la Alta Dirección.

El diseño de la Política debe implicar la participación de los empleados y que su publicación sea comunicada a todas las personas bajo el control de la organización (por ejemplo, empleados y contratistas pertinentes) que puedan verse afectados por el mismo, para que comprendan su responsabilidad dentro del sistema. El objetivo no es que todos conozcan íntegramente la política, sino que sepan en qué medida les afecta y su nivel de responsabilidad en su cumplimiento.

Se puede combinar con otras políticas existentes, tales como Medio Ambiente o Calidad.

Requisitos de OHSAS 18001

  • Autoridad:
    • Definida y autorizada por la Alta Dirección.
    • Apropiada a los riesgos de seguridad y salud.
  • Compromisos:
    • Prevención de lesiones y enfermedades.
    • Mejora continua de la gestión de la seguridad y salud en el trabajo, y del rendimiento.
    • Cumplimiento con la Legislación y otros requerimientos suscritos por la organización relacionados con sus riesgos de seguridad y salud.
    • Establecer y revisar los objetivos de seguridad y salud.
  • Implementación:
    • Documentar, implementar y mantener.
    • Comunicar a todas las personas bajo el control de la organización, tales como trabajadores, contratistas y visitas que puedan verse afectados por su actividad.
    • Disponibilidad de las partes interesadas.
    • Revisiones periódicas para asegurar que sigue siendo relevante y adecuado.

Deficiencias en la Auditoría

Con demasiada frecuencia, la Política, objetivos y compromisos adquiridos no resultan realistas por ser inespecíficos, inalcanzables o indemostrables, o por la escasez de recursos disponibles. 

Como clave para el desarrollo del sistema, debe haber una relación transparente dentro y fuera del sistema, por ejemplo, las auditorías de riesgo. Cuando estos vínculos se pierden, la Política se convierte en un documento independiente con poco efecto y beneficio. 

Durante la auditoría de certificación, se hace referencia a los compromisos y a los objetivos generales plasmados en la Política. La incapacidad de una organización de proporcionar evidencias de su implementación, impide la recomendación para la certificación.

Planificación (Cláusula 4.3)

Planificación para la identificación de peligros, Auditoría de riesgos y Control de riesgos (Cláusula 4.3.1)

El proceso de auditoría de riesgos debe ser la herramienta por la cual la organización identifique y valore la adecuación de los medios para el control de sus riesgos. Debe ser un ejercicio completo para revisar y comprobar los controles de las actividades existentes, y la identificación proactiva de los riesgos potenciales para las actividades propuestas. 

Requisitos de OHSAS 18001 

Cláusula 4.3.1 de BS OHSAS 18001:2007. La norma requiere: “La organización debe establecer, implementar y mantener un procedimiento/s para la constante identificación de peligros, evaluación de riesgos y determinación de las medidas de control necesarias" para alcanzar un nivel de riesgo aceptable. 

No es intención de la norma OHSAS 18001 imponer una compleja identificación de peligros, evaluación de riesgos y controles de riesgos, que lo han inaplicables. Adecuado y suficiente, son las palabras clave. 

Los procesos deben tener en cuenta: 

  • tamaño de la organización. 
  • actividades del lugar de trabajo (rutinarias y no rutinarias).
  • naturaleza, complejidad e importancia de los riesgos no controlados. 
  • coste y tiempo necesarios para la realización y el mantenimiento de los procesos para disponer de datos fiables. 
La cláusula 4.3.1 tiene una lista (a - j) de los elementos específicos que deben incluirse en el proceso de auditoría del riesgo cuando sea pertinente, y debe ser demostrable.  La metodología para la identificación de peligros y la auditoría de riesgos deberá: 
  • definirse en referencia al alcance, naturaleza y plazos. 
  • ser pro-activo en lugar de reactivo. 
  • prever la identificación, priorización y documentación de riesgos. 
  • prever la aplicación de controles. 
  • incluir la gestión de los aspectos de cambio. 
  • riesgos en consonancia con la jerarquía de la reducción de riesgos. 
  • ser documentado y actualizado. 
  • riesgos y sus controles asociados son los elementos que definen los requisitos necesarios para el desarrollo y mantenimiento continuo del sistema de gestión.

Deficiencias en la Auditoría 

La identificación de peligros y la evaluación de riesgos no debe ser un mero trámite basándose en la suposición de que los controles existentes son adecuados y están efectivamente implementados. Tampoco debe percibirse como un ejercicio independiente a otras partes del sistema. En esta cláusula, la norma exige que todas las acciones correctivas y preventivas propuestas que involucren riesgos o controles nuevos o modificados, sean revisadas ​​por el proceso de auditoría de riesgos antes de su implementación.  

Puede basarse en los controles existentes, siempre y cuando éstos estén claramente identificados, ya sea dentro de la auditoría de riesgo o con referencias cruzadas. Además, es probable que las referencias aisladas de “uso de PPE” como forma de control, sean insuficientes para asegurar que si la situación cambia, las medidas de control pueden ser revisadas ​​adecuadamente.  

Las organizaciones fallan en la comprensión y definición del riesgo aceptable. Unido a este fallo, está la necesidad de centrarse en la determinación de cuáles son los peligros significativos, para así poder excluir los riesgos no significativos.   

El proceso de auditoría de riesgos debe tener en cuenta los efectos de la Seguridad y de la Salud. Muchos métodos ignoran esta última, y consideran sólo las consecuencias a corto plazo de un accidente, por ejemplo muertes y lesiones. 

Los registros de las auditorías de riesgos son la prueba que poseen las organizaciones de haber realizado una auditoría adecuada y suficiente. Por lo tanto, deben ser introducidos en los controles operativos y en el material de formación los resultados de la auditoría de riesgos en lugar de los registros de la auditoría de riesgo, ya que suele ser demasiado voluminoso como para transportar de manera eficiente los controles requeridos.  

Es importante que esta cláusula y su guía asociada se lean con cuidado y sea claramente entendida antes de implementar el sistema. Si esta cláusula no se cumple correctamente, es probable que no puedan implementarse otras cláusulas correctamente. 

Requisitos Legales y otros requisitos (Cláusula 4.3.2)

Para que una organización implemente OHSAS 18001 tiene que asegurarse de que conoce todas las leyes y requisitos regulatorios aplicables a su actividad. Además de los requisitos legales, la organización puede suscribirse a códigos de práctica o a medidas de actuación impuestas por un Organismo Corporativo o como consecuencia de su pertenencia a determinada asociación industrial. Se pretende que una vez implementados, los procesos permitan a la organización conocer y promover sus responsabilidades legales. No es necesario de establecer grandes archivos jurídicos que tan sólo se utilizaran en raras ocasiones.

Implementación y Operaciones (Cláusula 4.4)

Implementación y Operaciones (Cláusula 4.4)

Recursos, Funciones, Responsabilidades, Contabilidad y Autoridad

Requisitos de OHSAS 18001

La norma requiere que los roles, responsabilidades, contabilidad y autoridad estén definidos, documentados y comunicados para facilitar una gestión eficaz de la seguridad y salud en el trabajo. 

La Alta Dirección debe asegurar que los recursos necesarios estén disponibles y que son utilizados para implementar y mantener el Sistema. Esto incluye recursos humanos y habilidades especializadas, infraestructura de la organización,  tecnología y recursos financieros. 

Debe nombrarse a un miembro de la Alta Dirección como responsable de la Seguridad y la Salud,  de la implementación y mantenimiento del Sistema, y de la presentación de informes de resultados. Esta persona puede ser la misma que firme la Política de SyS, y su identidad debe estar disponible para todas las personas pertinentes. 

Durante el proceso de auditoría, es importante que todos aquellos con responsabilidades en la gestión, sean capaces de demostrar su compromiso con la mejora continua del Sistemas de Gestión de Seguridad y Salud en el Trabajo. 

Deficiencias en la Auditoría 

Los roles, funciones, contabilidad y autoridad raramente están adecuadamente definidos  y documentados. Es posible documentar los principales roles y funciones en la documentación de nivel superior, mientras que las responsabilidades y autoridades para la gestión del riesgo pueden mostrarse en los procedimientos operativos y en las instrucciones de trabajo. La contabilidad también debe ser definida, y la persona responsable puede serlo tanto a nivel interno de la organización, como externo frente a la legislación y las organizaciones de control.

Competencia, Formación y Concienciación (Cláusula 4.4.2) 

Requisitos de OHSAS 18001 

La organización debe asegurarse de que toda persona bajo su control que realice tareas que puedan repercutir en la SyS son competentes sobre la base de la educación, formación o experiencia, y mantener un registro de esas competencias otorgadas. 

El requisito para definir la competencia es un componente clave de la norma OHSAS 18001. Puede haber requisitos legales específicos u otros derivados de las necesidades y experiencia de la organización. 

Las tareas que pueden implicar la implementación de un SGSyS en el lugar de trabajo, deberán tener las competencias pertinentes definidas en términos de: 

  • educación. 
  • formación. 
  • experiencia.  

Los Acuerdos deben estar disponibles para su conocimiento, así como cualquier desviación entre el nivel actual de competencias y la competencia requerida y definida. Los procedimientos deben estar disponibles en el lugar de trabajo para que los empleados sean conscientes de la repercusión de sus actividades sobre la SyS, y para asegurarse de que sólo trabajadores competentes están realizando tareas clave.   Los procedimientos de formación deben tener en cuenta los diferentes niveles de: 

  • responsabilidad.
  • capacidad.
  • lenguaje / alfabetización.
  • riesgo.

También deben realizarse auditorías a los trabajadores para asegurar no sólo que han logrado sino que también mantienen el conocimiento y la competencia requerida. Cualquier formación impartida debe ser auditada para garantizar su eficacia, y mantener los registros correspondientes para demostrarlo.  Durante la auditoría, se analizan los siguientes puntos: 

  • Proceso para definir los requisitos de competencia. 
  • Requisitos de competencia documentados para funciones individuales. 
  • Acceso al conocimiento sobre cómo garantizar contratistas competentes. 
  • Análisis de las necesidades de formación para los empleados. 
  • Programas de formación / Planes individuales para empleados. 
  • Catálogo de Cursos de Formación y productos disponibles para uso interno de la organización. 
  • Registros de Formación y de Evaluación sobre la eficacia de la Formación.

Deficiencias en la Auditoría 

Todos los trabajadores cuyas actividades puedan implicar riesgos de seguridad y salud en el trabajo deben recibir una formación adecuada y la conexión con el proceso de auditoría de riesgo suele estar a menudo ausente. Del mismo modo, si las competencias no están claramente definidas como parte de las medidas de control necesarias, resulta difícil identificar las deficiencias o necesidades de formación.

El requisito de disponer de procedimientos para asegurar que los trabajadores son conscientes, a menudo se interpreta como una única sesión de concienciación impartida a los trabajadores. Esto suele resultar insuficiente, ya que los procedimientos deben asegurar que se mantiene la concienciación entre los trabajadores y que el sistema evoluciona y cambia acorde con la organización y sus actividades. De ahí que el sistema también deba ser controlado y realizar actualizaciones de los registros de formación. 

Comunicación, Participación y Consulta (Cláusula ) 

Requisitos de OHSAS 18001 

Hay un requisito dentro de la norma que establece el procedimiento para definir la participación de los empleados: 

  • identificación de peligros. 
  • auditoría de riesgo 
  • determinación de controles 
  • investigación de incidentes
  • desarrollo y revisión de Políticas y objetivos 
  • mecanismos de consulta 
  • representación. 

Los trabajadores deben ser informados acerca de las modalidades de participación y de quienes son sus representantes. La consulta también puede ser necesaria con contratistas cuya actividad pueda afectar al SGSyS.  Los procedimientos deben ser demostrables para garantizar que la información pertinente sobre SyS se comunica a y entre los trabajadores y otras partes interesadas, como pueden ser contratistas o visitantes. En los procedimientos deben recogerse las formas de "comunicación desde" y de "consulta con" las partes externas, que han de ser documentados y respondidos. 

Deficiencias en la Auditoría 

Aunque la participación, consulta y comunicación son a menudo demostrables, los procedimientos documentados sobre cómo ha sido y será, su logro, y persona responsable, suelen omitirse en el Sistema. 

Control Operacional (Cláusula 4.4.6) y Preparación ante Emergencias (Cláusula 4.4.7) 

Requisitos de OHSAS 18001

La organización debe identificar las operaciones y actividades asociadas a los riesgos definidos. Este elemento del sistema refuerza la cláusula 4.3.1 en relación con la identificación de peligros y el proceso de auditoría de riesgos.

Sin embargo, el uso de las palabras: "Aquellas operaciones y actividades que están asociadas con el/los riesgo/s identificado/s...” amplía el proceso hacia actividades que pueden no tener en sí mismas peligros directos, como por ejemplo la compra.  

El control de estas actividades, que deben incluir mantenimiento, debe lograrse bajo "criterios operativos estipulados”. 

Este requisito sólo exige ser documentado donde la ausencia de un procedimiento documentado pueda poner en peligro los compromisos políticos o la consecución de los objetivos marcados por la organización.  

Las condiciones alternativas se pueden especificar a través de, por ejemplo, la formación, comunicación o competencia del personal.  

Es importante mantener el control operativo de los contratistas, ya que a menudo realizan actividades de alto riesgo que la organización no puede asumir ya que carece de las competencias necesarias. Éstos incluso pueden tener un impacto negativo sobre la seguridad y salud en el trabajo, incluyendo sobre los trabajadores.  

Las situaciones de emergencia pueden surgir en cualquier organización. Incluso en el entorno de riesgo más bajo, pueden producirse incendios o caerse personas, lo cual justifica definir acciones a tomar para responder a los incidentes. Por lo tanto, conviene prever un procedimiento en el lugar de trabajo para identificar incidentes y emergencias potenciales. Esto puede realizarse durante el proceso de identificación de peligros y de auditoría de riesgos. Por ejemplo, identificar riesgos significativos no controlados como punto de partida para identificar los procedimientos de emergencia apropiados. Resumiendo, la respuesta ante emergencias debe planificarse para una amplia variedad de actividades, desde las más simples hasta las más complicadas. Una emergencia es meramente un acontecimiento imprevisto que se traduce en implicaciones para la seguridad y la salud en el trabajo.

Debe proporcionarse un equipo de emergencia apropiado y su capacidad de respuesta debe ser probada regularmente.  

Es importante informar a los contratistas sobre sus responsabilidades durante todo el tiempo que dure su contrato, especialmente sobre la forma de responder a situaciones de emergencia. Por lo tanto, éstos deben participar en la prueba de los planes, al igual que los servicios de emergencia externos en casos en los que su organización no puede dar respuesta, así como los visitantes y otras partes interesadas que pudieran participar en la prueba. 

Deficiencias en la Auditoría 

La implementación de un control operativo efectivo se audita en profundidad. Las debilidades pueden ser causadas por una amplia variedad de razones, muy a menudo atribuibles a fallos en otras cláusulas de la norma. Si el resto de las cláusulas se aplican efectivamente, entonces se reducirán las debilidades en los controles operacionales.  

Los puntos débiles con respecto a la preparación ante emergencias suele deberse a que las situaciones de emergencia no están identificadas. Además, suele suceder que una vez se identifican estas situaciones,  no se recogen en las pruebas planificadas y periódicas. La prueba de los procedimientos de emergencia puede realizarse a través de una serie de mecanismos, como por ejemplo la auditoría, representación de escenarios, o recreaciones en vivo. Cuando las respuestas a los Planes de emergencia no se revisan, suele perderse información muy valiosa de los incidentes reales.

Verificación (Cláusula 4.5)

Verificación (Cláusula 4.5)

Medición del rendimiento y Seguimiento (Cláusula 4.5.1)

Requisitos de OHSAS 18001

Los procedimientos deben implantarse para controlar y medir el desempeño de la SyS sobre una base regular. Esto deber ser algo proactivo, reactivo e integrador de medidas cualitativas y cuantitativas, según proceda. Las organizaciones tienen que decidir cómo realizar el seguimiento y la frecuencia del seguimiento en base al nivel de riesgo. Han de tenerse también en cuenta los requisitos legales aplicables. 

Si se utiliza un equipo de seguimiento, deben definirse y mantenerse los procedimientos para su calibración y mantenimiento, incluyendo los registros resultantes.

Deficiencias en la Auditoría

La mayoría de las organizaciones demostrar tener un seguimiento reactivo sólido para accidentes, enfermedades, incidentes e históricos de datos sobre el deficiente desempeño de SyS. Sin embargo, no se incluyen evidencias en términos de seguimiento proactivo del control operacional, incluyendo los requisitos legales. El enfoque debe estar sobre indicadores principales así como indicadores de apoyo o secundarios. 

Evaluación de la Conformidad (Cláusula 4.5.2) 

Requisitos de OHSAS 18001 

Un procedimiento debe implementarse para evaluar el grado de cumplimiento contra todos y cada uno de los requisitos (legal y de otro índole) identificados a través de los procesos definidos en la cláusula 4.3.2, es decir, aquellos que son significativos y que se haya apreciado la posibilidad de un daño significativo si no se aplican de manera rutinaria y con firmeza los controles adecuados. Los registros de estas evaluaciones deben mantenerse. 

Deficiencias en la Auditoría 

Muchas organizaciones utilizan el sistema de auditoría para ayudar a satisfacer los requisitos de esta cláusula. Aunque las auditorías toman muestras de alto grado, no suelen tener la profundidad suficiente y no evalúan el cumplimiento de todos y cada uno de los requisitos aplicables. El certificado tiene una validez de tres años, y cada requisito debe ser evaluado al menos una vez dentro de este período para conseguir el cumplimiento, basado en el riesgo. Es decir, la probabilidad de que las cosas salgan mal a causa de los controles, es amplia y/o compleja, y la posibilidad de daños graves es muy evidente. A menudo, tan sólo se auditan los requisitos legales aplicables, mientras "otros" requisitos se obvian. 

Aun cuando se realiza la auditoría de cumplimiento, muchas organizaciones no gestionan ni realizan un seguimiento eficaz sobre qué y cuándo se ha auditado, por lo que no pueden demostrar un cumplimiento rutinario sólido durante un período determinado de tiempo. 

Investigación de incidentes, No conformidad, Acción correctiva, y Acción preventiva (Cláusula 4.5.3 - 4.5.3.1 y 4.5.3.2) 

Requisitos de OHSAS 18001 

Conviene establecer procedimientos eficaces para la presentación de informes, para las auditorías/ investigación, y para la adopción de medidas que mitiguen las consecuencias de accidentes, incidentes y no conformidades. El objetivo principal de este procedimiento es prevenir la ocurrencia de la situación, mediante la identificación y el tratamiento de la causa de origen y la comunicación de las acciones pertinentes. Las investigaciones deben documentarse. 

Los procedimientos deben exigir que todas las acciones correctivas y preventivas propuestas sean auditadas en riesgo, donde se han identificado peligros y/o los controles variables, y que esos controles implementados se graven en el registro de auditoría de riesgos. Un Informe de incidentes robusto, que incluye también los casi accidentes y no se restringe tan sólo a la notificación de accidentes, es una potente herramienta en el logro de la mejora continua. 

La cláusula 4.5.3.2 no es distinta a los requisitos de las normas ISO 14001 e ISO 9001 en cuanto a los fundamentos de la No conformidad, Acción correctiva y Acción preventiva, por lo que los procedimientos existentes podrían adaptarse. 

Deficiencias en la Auditoría 

En la mayoría de organizaciones se producen accidentes, en lugar de incidentes y no conformidades, informes y procedimientos de investigación. Sin embargo, a menudo éstos no se aplican eficazmente. Además, antes de adoptar cualquier acción correctiva, la norma exige que debe haber evidencias demostrables de que se ha seguido el proceso de auditoría de riesgos para garantizar que no se introducen riesgos adicionales donde se han identificado peligros y/o controles variables. 

Registro (Cláusula 4.5.4) 

Requisitos de OHSAS 18001 

Debe mantenerse un registro para demostrar que el Sistema de Gestión de Seguridad y  Salud funciona de manera eficaz, y que los procesos han sido y están siendo realizados en condiciones de seguridad. 

Consideraciones que deben tomarse: 

  • La identificación, almacenamiento, recuperación, y eliminación de registros. 
  • La confidencialidad de los registros. 
  • Los requisitos legales y de otro tipo sobre contenido y duración del registro. 
  • Cuestiones relacionadas con el uso de documentos electrónicos, en concreto sobre cambio de formato del medio de almacenamiento, cambio de software para la lectura de registros electrónicos.  

Deficiencias en la Auditoría 

Los requisitos para la gestión de registros en OHSAS 18001 son muy similares a los de la norma ISO 14001 e ISO 9001. Aunque los sistemas existentes se han ampliado para incluir los registros de OHSAS, es habitual ver que no todos los registros son identificados y de fácil acceso. A menudo suele olvidarse la definición de la responsabilidad de mantener los registros. Ahora en Reino Unido, muchos de los registros respecto a la exposición a químicos, se conservarán durante al menos cuarenta años.

Auditorías Internas (Cláusula 4.5.5)

Requisitos de OHSAS 18001

El objetivo de la auditoría interna es determinar si el Sistema de Gestión de Seguridad y Salud de la organización está cumpliendo  eficazmente con los compromisos de la política, específicamente, que la implementación se hace según los planes previstos, y que el propio sistema se ajusta a los requisitos de la norma OHSAS 18001. También proporciona información a la Dirección sobre los parámetros, para que estos determinen su idoneidad para satisfacer las necesidades y permitir el despliegue eficaz de los objetivos para la mejora continua.  

El programa de auditoría debe fijar un calendario y asignar la responsabilidad de la realización de las auditorías. Estos programas requieren la autorización y el control dentro del sistema, y debe realizarse un seguimiento de su progreso a fin de evitar desviaciones respecto al plan establecido.  Debe detallarse adecuadamente el/los procedimiento/s de auditoría para cubrir el alcance de la auditoría, las competencias del auditor, finalización y presentación de los informes de las auditorías. Los auditores deben ser objetivos e imparciales. 

Deficiencias en la Auditoría 

Debe definirse el alcance de la auditoría para asegurar que se comprende la amplitud y profundidad de la auditoría. Si la auditoría interna está siendo utilizada como una herramienta de seguimiento proactivo sobre el cumplimiento de los controles operativos y/o de los requisitos legales aplicables, normalmente carece de la suficiente profundidad. 

En principio, es mejor proporcionar detalles en exceso que en defecto. La auditoría debe probar no sólo la existencia de una medida de control, pero aún de ser así: ser implementado, de forma sólida y rutinaria, con controles eficaces y que se mantienen y aportar pruebas de que la organización está cumpliendo con sus compromisos y objetivos de la política de seguridad y salud.  

Los requisitos de competencia del auditor deben ser definidos y documentados. Estos deben entender la norma, el sistema de gestión, los peligros y los riesgos identificados, la legislación aplicable, los procesos de la organización, y tener las habilidades de auditoría correspondientes según las actividades que se van a auditar. La asistencia a un curso de auditoría por sí solo, es un trámite insuficiente para disponer de un auditor competente. 

En las auditorías de certificación,  LRQA espera la realización del suficiente número de auditorías, como para confiar en su eficacia.

Revisión de la Alta Dirección (Cláusula 4.6)

Revisión de la Dirección (Cláusula 4.6)

Requisitos de OHSAS 18001

"La Alta Dirección debe revisar el sistema de gestión de Seguridad y Salud implantado en la organización, a intervalos planificados previamente definidos, para asegurarse de su conveniencia, adecuación y eficacia''. 

La revisión por parte de la Dirección proporciona a una organización la oportunidad de reafirmar su compromiso con la mejora continua. El proceso de revisión debe garantizar que se recoge la información necesaria para permitir la evaluación por parte de la Dirección. La Alta Dirección puede definirse en este sentido como aquellos con la autoridad suficiente para iniciar y gestionar los cambios en el negocio y en el sistema de gestión de SyS, que también puede implicar una autoridad financiera. 

No es necesario que todos los elementos de la norma y del sistema sean cubiertos a la vez, el proceso de revisión puede prolongarse en el tiempo. La revisión debe tener un mínimo de las entradas y salidas definidas, y no requiere que sea documentado.

Deficiencias en la Auditoría

Este apartado de la norma persigue que la organización de un paso atrás en el sistema para determinar si es adecuado, correcto y efectivo...no sólo si ha sido implementado! 

La revisión de la Dirección, sobre todo en Sistemas no maduros, puede ser visto como un proceso de discusión para determinar qué elementos del sistema que aún no se han implementado plenamente, lo cual indica que la organización aún no está preparada para la certificación. 

Es crucial la demostración de entradas y salidas definidas, y su revisión desde una perspectiva de negocio. A menudo, es el Representante de la Dirección el que realiza la revisión, mientras que la norma lo que pretende es la participación de los máximos directivos y el establecimiento de los objetivos de cara al futuro. 

Conclusión 

OHSAS 18001 proporciona un enfoque del Sistema de Gestión de Seguridad y Salud en el Trabajo. LRQA ha estado involucrado en la certificación de esta norma desde que se introdujo por primera vez en 1999. Este artículo debería proporcionar una visión de los principales elementos de la norma, de las condiciones requeridas para su implementación a fin de obtener la certificación, y de algunos de los puntos débiles que se han encontrado durante los procesos de auditoría. 

Para mayor información sobre cómo conseguir la certificación OHSAS 18001 con LRQA, visite nuestro apartado de información de Seguridad y Salud. En LRQA también ofrecemos una serie de cursos de formación en la norma OHSAS. Visite nuestro apartado de Formación para más información.