/ Seguridad & Prevención / Cómo transicionar de OHSAS 18001 a ISO 45001 sin perder la certificación
Publicado el mayo 10, 2024

La transición a ISO 45001 no consiste en actualizar documentos, sino en construir un sistema de «defensa auditable» para demostrar la eficacia de su gestión de la Seguridad y Salud en el Trabajo (SST).

  • El éxito de la auditoría depende de su capacidad para evidenciar la participación genuina de los trabajadores y un análisis de riesgos que vaya más allá de lo obvio.
  • Los auditores buscan fallos sistémicos, no errores aislados. Una no conformidad mayor, a menudo vinculada a incumplimientos legales en España, puede costarle el certificado.

Recomendación: Adopte la mentalidad de un auditor desde el inicio del proceso. En lugar de preguntarse «¿cumplo el requisito?», pregúntese «¿cómo puedo demostrar que lo cumplo de forma sólida y sistemática?».

Para un Responsable de Calidad y Medio Ambiente (QHSE), la migración de OHSAS 18001 a ISO 45001 representa un desafío que va más allá de la simple actualización de procedimientos. El temor a una «no conformidad mayor» que ponga en jaque la certificación es una preocupación legítima, especialmente cuando la continuidad del negocio y la homologación como proveedor dependen de ello. Muchos manuales y guías se centran en comparar cláusulas y ofrecer consejos genéricos como «implicar a la dirección» o «formar a los empleados». Si bien son necesarios, estos consejos no abordan el núcleo del problema que enfrenta un profesional experimentado.

La clave no reside únicamente en qué ha cambiado, sino en cómo se audita ese cambio. La ISO 45001 introduce un cambio de paradigma: pasa de un enfoque basado en procedimientos a uno centrado en el liderazgo, el contexto y la participación real. El verdadero reto no es tener un procedimiento para cada riesgo, sino demostrar que el Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST) está vivo, es eficaz y se integra en la cultura de la organización de una manera verificable.

Este artículo no es una simple lista de equivalencias. Es una guía estratégica pensada desde la perspectiva de un auditor. En lugar de repetir lo que ya sabe, nos centraremos en los puntos críticos que suelen generar las no conformidades más graves. Analizaremos cómo transformar los requisitos de la norma en evidencias sólidas y auditables, con un enfoque práctico y adaptado al marco legal y empresarial español. El objetivo es claro: que no solo consiga la certificación, sino que construya un sistema robusto que realmente proteja a sus trabajadores y blinde a su empresa.

A lo largo de este análisis, desglosaremos los aspectos más desafiantes de la norma, desde el análisis de las partes interesadas hasta la integración de la prevención en los mandos intermedios. Este recorrido le proporcionará las herramientas para afrontar la auditoría con confianza y solvencia.

Índice: Claves para una transición exitosa a ISO 45001

¿Por qué la ISO exige analizar a las «partes interesadas» más allá de los empleados?

Uno de los cambios conceptuales más significativos de ISO 45001 frente a OHSAS 18001 es la obligación de determinar las «partes interesadas pertinentes» y sus necesidades y expectativas. Mientras OHSAS se centraba casi exclusivamente en el personal interno, ISO 45001 obliga a levantar la vista y analizar todo el ecosistema que interactúa con la organización. Este requisito no es un ejercicio burocrático; es una herramienta estratégica de gestión de riesgos.

El auditor no se conformará con una lista genérica. Buscará evidencias de un análisis sistemático. Esto implica identificar a todos los actores que pueden afectar o verse afectados por el SG-SST. En el contexto español, esto incluye, además de los empleados, a clientes, proveedores, subcontratistas, visitantes, servicios de prevención ajenos, mutuas, la Inspección de Trabajo, e incluso los vecinos de las instalaciones. Cada uno de estos grupos tiene requisitos que pueden ser legales, contractuales o simplemente expectativas que, de no cumplirse, generan un riesgo reputacional o de negocio.

Diagrama visual mostrando la red de partes interesadas alrededor de una empresa industrial española

Por ejemplo, un cliente importante puede exigir contractualmente ciertos estándares de seguridad en la fabricación de su producto. Los vecinos pueden tener expectativas sobre el ruido o las emisiones. La Inspección de Trabajo tiene requisitos legales claros. Demostrar que ha identificado estas partes, ha comprendido sus requisitos (por ejemplo, mediante talleres, análisis contractuales o seguimiento de la legislación) y los ha integrado en su sistema de gestión es una prueba de madurez y de un enfoque proactivo. Es la diferencia entre un sistema que solo mira hacia dentro y uno que gestiona su impacto en el entorno.

¿Cómo demostrar al auditor que los trabajadores participan realmente en la toma de decisiones?

La «consulta y participación de los trabajadores» es el corazón de la ISO 45001, y uno de los puntos donde los auditores son más incisivos. Ya no es suficiente con «informar» a través de un tablón de anuncios o una charla. La norma exige demostrar que los trabajadores, a todos los niveles, participan activamente en la toma de decisiones del SG-SST. El desafío es generar evidencias auditables de una participación genuina, no de una mera comunicación unidireccional.

El auditor buscará pruebas de que los mecanismos de participación son eficaces y bidireccionales. No quiere ver solo el acta de una reunión, sino la prueba de que las propuestas de los trabajadores se han considerado, implementado o, en caso de rechazo, se ha justificado la decisión. Una evidencia sólida puede incluir:

  • Actas de reuniones del Comité de Seguridad y Salud que no solo listan los temas tratados, sino que documentan debates, propuestas de los representantes de los trabajadores e incluso desacuerdos y cómo se han resuelto.
  • Registros de «Safety Walks» o paseos de seguridad donde los operarios y mandos intermedios participan juntos en la identificación de riesgos y oportunidades de mejora directamente en el puesto de trabajo.
  • Matrices de participación que definen claramente quién participa, en qué procesos de SST (identificación de peligros, investigación de incidentes, definición de objetivos) y de qué manera (consulta, toma de decisión, etc.).
  • Sistemas de comunicación de incidencias y sugerencias que no solo registran la entrada, sino que tienen KPIs de seguimiento, como el tiempo medio de respuesta o la tasa de implementación de las mejoras propuestas.

Demostrar que se eliminan las barreras a la participación, como el miedo a represalias o la falta de tiempo, y que se promueve activamente la consulta, es crucial. Los trabajadores son los verdaderos expertos en los riesgos de su propio puesto; probar que su voz es escuchada y valorada es la mejor defensa ante un auditor escéptico.

No conformidad mayor vs menor: ¿qué hallazgo pone en riesgo tu certificado?

Durante una auditoría de certificación, no todos los hallazgos tienen el mismo peso. La diferencia entre una no conformidad «menor» y una «mayor» es crítica: la primera requiere un plan de acción, pero la segunda puede implicar la suspensión o denegación del certificado hasta que se demuestre una corrección eficaz. Como responsable del sistema, es imperativo entender qué tipo de fallo enciende las alarmas del auditor.

Una no conformidad menor suele ser un incumplimiento puntual, un error aislado que no indica un fallo generalizado del sistema. Sin embargo, una no conformidad mayor se declara cuando se detecta un fallo sistémico que pone en duda la capacidad del SG-SST para alcanzar sus objetivos. En el contexto español, los criterios que un auditor suele aplicar para escalar un hallazgo a «mayor» incluyen:

  • Incumplimiento de un requisito legal: Cualquier desviación relacionada con la Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) o sus Reales Decretos de desarrollo (p. ej., el RD 171/2004 sobre Coordinación de Actividades Empresariales) es un candidato directo a no conformidad mayor.
  • Fallo sistémico evidente: Cuando el mismo tipo de error se detecta repetidamente en diferentes áreas o procesos, deja de ser un fallo puntual para convertirse en un problema de base del sistema.
  • Ausencia de un requisito de la norma: Si una cláusula entera de la ISO 45001 no ha sido abordada (por ejemplo, no hay evidencia de un análisis de partes interesadas), es una no conformidad mayor.
  • Riesgo grave e inminente no controlado: La detección de un peligro que podría causar un accidente grave de forma inmediata y que no está siendo gestionado adecuadamente.

Ejemplo práctico: De menor a mayor

Un auditor detecta un extintor con la revisión caducada. Inicialmente, podría clasificarlo como una no conformidad menor. Sin embargo, si durante el resto de la auditoría encuentra otros dos extintores caducados en áreas distintas, el problema cambia. Ya no es un descuido, sino la evidencia de que el proceso de inspección y mantenimiento de los equipos de extinción está fallando sistemáticamente. Como demuestra este análisis de casos reales, el auditor convierte el hallazgo en una no conformidad mayor porque pone en duda la fiabilidad de todo el control operacional.

El error de crear procedimientos que nadie lee para cumplir la norma

Uno de los legados de los sistemas de gestión más antiguos es la creencia de que «más documentación es mejor». Esto conduce a la creación de procedimientos extensos, densos y complejos que acaban guardados en un servidor, sin que los operarios que realmente enfrentan los riesgos los lean o entiendan. Para la ISO 45001, un procedimiento que no se aplica en la práctica no es un control, es un desperdicio y una falsa sensación de seguridad.

El enfoque moderno, y lo que un auditor valorará, es la documentación eficaz y accesible. El objetivo no es tener un manual de 500 páginas, sino asegurar que la información crítica llega a la persona adecuada, en el momento adecuado y en el formato adecuado. La «información documentada» no tiene por qué ser un texto. Puede y debe ser mucho más dinámica.

Trabajador consultando instrucciones visuales con pictogramas en área de producción

En lugar de procedimientos de 20 páginas para el bloqueo y etiquetado (LOTO), una instrucción visual de una sola hoja con pictogramas claros, colocada junto a la máquina, es infinitamente más efectiva y auditable. El auditor comprobará si el trabajador en su puesto conoce el procedimiento, y es más probable que recuerde una guía visual que un documento de texto. La clave es la usabilidad.

Plan de acción: Cómo crear documentación de SST que sí se utiliza

  1. Simplifique y visualice: Sustituya procedimientos largos por Instrucciones Visuales de Trabajo (IVTs) de una sola página, usando pictogramas, diagramas de flujo y fotografías.
  2. Integre la tecnología: Incluya códigos QR en los equipos o en las instrucciones en papel que enlacen a vídeos cortos (1-2 minutos) demostrando la operación segura o el procedimiento de emergencia.
  3. Aplique la «Mínima Documentación Viable»: Cuestione la necesidad de cada documento. Centre sus esfuerzos en documentar solo los procesos críticos donde la ausencia de información podría generar un riesgo inaceptable.
  4. Valide en el terreno: Antes de oficializar cualquier instrucción, pruébela con los propios operarios. Si ellos no la entienden o no la ven práctica, no funcionará. Su feedback es la mejor auditoría interna.
  5. Haga partícipe al equipo: Incluya en los documentos un apartado de «revisado y validado por», con los nombres de los propios trabajadores del área. Esto genera apropiación y es una excelente evidencia de participación para el auditor.

¿Cuándo programar la auditoría interna para tener tiempo de corregir antes de la externa?

La auditoría interna no es un mero trámite para cumplir un requisito de la norma; es la herramienta más poderosa para asegurar el éxito de la auditoría de certificación. Una auditoría interna bien planificada y ejecutada con suficiente antelación es su «ensayo general». Le permite identificar y corregir las no conformidades antes de que el auditor externo las encuentre, ahorrando tiempo, costes y estrés.

El error más común es realizar la auditoría interna demasiado cerca de la fecha de certificación. Esto deja un margen de maniobra insuficiente para implementar acciones correctivas eficaces, especialmente si se detectan no conformidades mayores que requieren cambios significativos en procesos o infraestructuras. Un calendario estratégico es fundamental. El objetivo es disponer de tiempo no solo para «tapar el agujero», sino para verificar que la solución implementada funciona y es sostenible.

Un enfoque profesional, basado en la experiencia de las principales entidades de certificación, sugiere un cronograma por fases. No se trata de una única auditoría, sino de un proceso de verificación continua que culmina en una revisión final completa. Este método permite una corrección progresiva y reduce la presión en las semanas previas a la visita del certificador.

Para estructurar este proceso, es útil seguir un calendario que asigne objetivos y plazos claros a cada fase, como detalla este calendario estratégico recomendado por BSI Group para una transición exitosa.

Calendario estratégico de auditorías para transición ISO 45001
Tipo de Auditoría Tiempo antes de Externa Objetivo Plazo Corrección
Auditoría Interna Completa (Fase 1) 3-4 meses Detectar no conformidades mayores y fallos sistémicos. 8-12 semanas
Auditoría de Seguimiento (Fase 2) 1 mes Verificar la eficacia de las acciones correctivas implementadas. 2-4 semanas
Mini-auditorías de proceso Continuas/mensuales Revisión focalizada por áreas o procesos críticos. Inmediata
Revisión documental final 2 semanas Asegurar la coherencia y pulir detalles formales. 1 semana

¿Por qué las grandes empresas exigen ISO 45001 a sus subcontratas para homologarlas?

Aunque la certificación ISO 45001 no es una obligación legal en España, se ha convertido en un requisito de facto para cualquier empresa que aspire a trabajar con grandes clientes o en proyectos de envergadura. Esta exigencia no es un capricho; responde a dos factores clave: la gestión del riesgo legal y la eficiencia operativa en la cadena de suministro.

En primer lugar, el marco legal español establece un principio de responsabilidad compartida. La Coordinación de Actividades Empresariales (CAE), regulada por el RD 171/2004, y la propia LPRL, implican que la empresa principal puede ser considerada responsable en caso de accidente de un trabajador subcontratado si no ha ejercido la «debida diligencia» en la vigilancia y control. Ante un panorama de siniestralidad laboral que, solo en 2023, sumó un total de 647.495 accidentes de trabajo con baja registrados en España, las grandes corporaciones utilizan la ISO 45001 como un filtro de confianza.

Estudio de caso: ISO 45001 como «seguro» de responsabilidad

En España, las empresas principales enfrentan una posible responsabilidad solidaria o subsidiaria si un trabajador de una subcontrata sufre un accidente. Exigir la certificación ISO 45001 a sus proveedores actúa como un mecanismo de defensa. Demuestra que la empresa principal ha tomado medidas proactivas para asegurarse de que sus socios comerciales tienen un sistema de gestión de la SST robusto y verificado por un tercero independiente. Según expertos en la materia, esto simplifica enormemente la gestión de la CAE y sirve como una poderosa evidencia de debida diligencia ante una posible inspección o procedimiento judicial.

En segundo lugar, desde un punto de vista operativo, trabajar con subcontratas certificadas estandariza y simplifica la gestión. Reduce la carga administrativa de las auditorías de segunda parte (cliente a proveedor), agiliza los procesos de homologación y asegura un nivel mínimo de cultura preventiva en toda la cadena de valor. Para una pyme, obtener la ISO 45001 no es un gasto, es una inversión estratégica que abre las puertas a contratos más grandes y demuestra un nivel de profesionalidad y seriedad que la diferencia de su competencia.

¿Por qué los accidentes se repiten aunque hayas aplicado las medidas correctivas?

Una de las mayores frustraciones para un responsable de SST es ver cómo un accidente o incidente se repite, a pesar de haber realizado una investigación y aplicado las acciones correctivas correspondientes. Esto suele ser un síntoma de un problema profundo: la investigación se ha quedado en las causas inmediatas y no ha llegado a las causas raíz. La ISO 45001, con su énfasis en la mejora continua, exige un análisis más profundo para romper este ciclo de repetición.

La tendencia natural es culpar al «acto inseguro» del trabajador (causa inmediata), como no usar los guantes de protección. La medida correctiva obvia es «reforzar la formación» o «poner un cartel». Sin embargo, esto rara vez soluciona el problema de fondo. ¿Por qué el trabajador no usaba los guantes? Quizás los guantes proporcionados eran incómodos y reducían su destreza, afectando a su productividad. O quizás no había de su talla disponibles. O tal vez existía una presión implícita por parte de su mando para terminar el trabajo más rápido. Estas son las condiciones latentes y los factores organizacionales que constituyen las verdaderas causas raíz.

Análisis de caso: El Modelo del Queso Suizo en la industria

El Modelo del Queso Suizo de James Reason es perfecto para visualizar este problema. Cada capa de defensa (procedimientos, formación, equipos de protección) tiene «agujeros» o debilidades. Un accidente ocurre cuando los agujeros de todas las capas se alinean. Las medidas correctivas que solo tapan un agujero en una capa (la del «acto inseguro») son inútiles si persisten fallos en las otras capas, como una cultura productivista, falta de recursos o una supervisión deficiente. Atacar solo la causa inmediata es como tratar el síntoma sin curar la enfermedad.

Además, es un error centrarse únicamente en los riesgos físicos evidentes. Un dato revelador es que, según un informe sobre siniestralidad, el 43,7% de los 616 fallecimientos laborales en jornada de trabajo en España durante 2023 se debieron a infartos y derrames cerebrales. Esto pone de manifiesto la enorme importancia de los factores de riesgo psicosocial (estrés, carga de trabajo, etc.) como causas raíz sistémicas que un SG-SST maduro debe identificar y gestionar.

Puntos clave a recordar

  • La transición a ISO 45001 exige un cambio de mentalidad: de la burocracia documental a la generación de evidencias de eficacia.
  • Un auditor buscará fallos sistémicos. Un error aislado es una oportunidad de mejora; un patrón de errores es una no conformidad mayor.
  • La participación de los trabajadores y el análisis de todas las partes interesadas no son formalismos, sino herramientas estratégicas para una gestión de riesgos robusta.

¿Cómo integrar la prevención en la descripción de puestos de cada mando intermedio?

El liderazgo y el compromiso de la dirección son un pilar de la ISO 45001, pero el éxito o el fracaso de la cultura preventiva se juega en el día a día, en la línea de supervisión. Los mandos intermedios son la correa de transmisión entre la estrategia de la dirección y la realidad del taller. Si ellos no asumen la SST como una parte intrínseca de su función, cualquier esfuerzo será en vano. Por ello, es fundamental que sus responsabilidades en esta materia dejen de ser algo abstracto para convertirse en algo concreto, medible y evaluable.

La forma más eficaz de lograrlo es integrar la prevención directamente en la descripción de sus puestos de trabajo (DPT). Esto no significa añadir una línea genérica como «cumplir y hacer cumplir las normas de seguridad». Significa definir responsabilidades activas y vincularlas a indicadores de desempeño (KPIs) y, si es posible, a la retribución variable. Un mando intermedio no solo debe «supervisar», debe «liderar» la prevención en su área.

La integración de responsabilidades de SST en las descripciones de puestos facilita la defensa de la empresa ante un posible ‘recargo de prestaciones’ de la Seguridad Social tras un accidente.

– Expertos en derecho laboral español, Análisis de la Ley 31/1995 de Prevención de Riesgos Laborales

Esta formalización tiene un doble valor. Internamente, clarifica las expectativas y dota al mando de la autoridad necesaria. Externamente, y esto es crucial en España, sirve como una potente evidencia de la debida diligencia de la organización. Ante un accidente grave, poder demostrar que el supervisor directo tenía responsabilidades de SST explícitamente definidas, medibles y evaluadas, es un argumento de peso para defenderse de un posible «recargo de prestaciones» por parte de la Seguridad Social. Un modelo eficaz para esta integración incluye:

  • Vincular responsabilidades a KPIs: Por ejemplo, «Realizar y registrar el 100% de las charlas de seguridad semanales planificadas» o «Lograr una tasa de cierre del 90% de las acciones correctivas de su área en menos de 30 días».
  • Conectar con la evaluación del desempeño: El cumplimiento de los objetivos de SST debe tener un peso específico en la evaluación anual del mando.
  • Asociar a la retribución variable: Un bonus podría estar parcialmente ligado a la reducción del índice de frecuencia de incidentes en su equipo.
  • Definir responsabilidades activas: En lugar de «asegurar el orden», definir «liderar la implementación semanal de las 5S» o «participar activamente en la investigación de todos los incidentes de su sección».

Esta integración convierte a los mandos en verdaderos propietarios de la seguridad en sus áreas. Para asegurar una transición cultural efectiva, es vital comprender cómo formalizar e integrar estas responsabilidades de manera auditable.

Para garantizar una transición exitosa, el siguiente paso es realizar un diagnóstico interno con la perspectiva de un auditor. Evalúe sus procesos actuales contra estos criterios para identificar y corregir las brechas antes de la auditoría de certificación.

Escrito por Carlos Navarro Gil, Ingeniero Industrial y Técnico Superior en PRL con especialidad en Seguridad en el Trabajo. Auditor Jefe de sistemas ISO 45001 con 18 años de experiencia en el sector metalúrgico y construcción. Experto en defensa jurídica ante la Inspección de Trabajo.
¿Cómo identificar los riesgos ocultos en puestos de oficina aparentemente inofensivos?
Nuestras últimas publicaciones
¿Cómo valorar si un cuadro médico es suficiente para una plantilla distribuida por toda España?
Cómo renegociar la renovación del seguro colectivo cuando la aseguradora sube la prima un 20%
¿Cómo reducir la tasa de absentismo un 15% actuando sobre las causas organizativas?
¿Cómo convertir tu política de salud y bienestar en tu mejor argumento de reclutamiento?
¿Cómo agilizar pruebas diagnósticas con la Mutua y evitar las listas de espera de la Seguridad Social?
Publicaciones similares
¿Cómo implantar un sistema de permisos de trabajo (LOTO) que los operarios respeten?
Guía de gestión de EPIs para responsables de compras: de la selección a la responsabilidad penal
¿Cómo investigar un accidente grave para evitar responsabilidades penales del empresario?
¿Cómo priorizar las inversiones en seguridad cuando el presupuesto es limitado?