ISO 45001 vs OHSAS 18001: qué cambió y por qué importa

Academia ISO · 11 de julio de 2026 · Seguridad y salud en el trabajo

Si trabajas en prevención o en sistemas de gestión, seguro que todavía escuchas a alguien decir que su empresa "tiene la OHSAS". Es comprensible: durante casi dos décadas, OHSAS 18001 fue la referencia mundial para certificar la gestión de la seguridad y salud en el trabajo. Pero OHSAS 18001 ya no existe: fue retirada oficialmente y las empresas certificadas tuvieron que migrar a ISO 45001 antes de septiembre de 2021. Quien hoy presume de OHSAS tiene, literalmente, un certificado de algo que ya no se puede certificar.

¿Por qué desapareció OHSAS 18001?

OHSAS 18001 nunca fue una norma ISO. Era un estándar británico (BSI) creado en 1999 para llenar un vacío: no existía una norma internacional de gestión de la seguridad y salud. Funcionó bien, pero creció desconectada de las demás normas de sistemas de gestión. Cuando ISO adoptó la estructura de alto nivel común para todas sus normas (la misma secuencia de cláusulas 4 a 10 que hoy comparten ISO 9001 e ISO 14001), quedó claro que hacía falta una norma ISO de SST construida sobre esa base. En marzo de 2018 se publicó ISO 45001 y se abrió un periodo de migración de tres años, ampliado seis meses por la pandemia, que terminó el 30 de septiembre de 2021.

Los cambios que importan de verdad

1. El liderazgo ya no se delega

En OHSAS bastaba con nombrar un "representante de la dirección" —normalmente el técnico de prevención— y la dirección podía desentenderse. ISO 45001 elimina esa figura: la cláusula 5 exige que la alta dirección asuma personalmente la rendición de cuentas del sistema. En auditoría, esto se traduce en que el auditor quiere entrevistar a gerencia, no solo al técnico. Es, probablemente, el cambio con más impacto real.

2. Participación de los trabajadores, no solo consulta

ISO 45001 dedica un requisito completo (5.4) a la consulta y participación de los trabajadores en todos los niveles, incluidos los no directivos, y exige eliminar las barreras que la dificulten. En España esto encaja de forma natural con los delegados de prevención y el comité de seguridad y salud de la LPRL, pero la norma va más allá del mínimo legal: pide evidencias de que los trabajadores participan en la identificación de peligros, la investigación de incidentes y la definición de controles.

3. Contexto, riesgos y oportunidades

Como todas las normas con estructura de alto nivel, ISO 45001 obliga a analizar el contexto de la organización y las necesidades de las partes interesadas, y a gestionar no solo los riesgos para la seguridad y salud, sino también los riesgos y oportunidades del propio sistema. OHSAS se centraba casi exclusivamente en el riesgo laboral; ISO 45001 añade la pregunta de qué puede hacer que el sistema falle o mejore: cambios organizativos, subcontratación, envejecimiento de plantilla, nuevas tecnologías.

4. Jerarquía de controles explícita

ISO 45001 fija una jerarquía de controles de cinco niveles: eliminar el peligro, sustituir, controles de ingeniería y reorganización del trabajo, controles administrativos y, en último lugar, equipos de protección individual. OHSAS la mencionaba; ISO 45001 exige aplicarla y poder demostrarlo. Un plan de acción que salta directamente al EPI sin justificar por qué no se pudo eliminar o sustituir el peligro es una no conformidad clásica.

5. Compras, contratistas y externalización

La cláusula 8.1.4 trata de forma explícita las compras, los contratistas y la externalización: la organización debe coordinar los peligros que sus contratistas introducen y los que ella les genera. Para el mercado español no es una novedad conceptual —la coordinación de actividades empresariales existe desde el RD 171/2004—, pero la norma la integra en el sistema en lugar de dejarla como trámite documental paralelo.

¿Y si mi empresa venía de OHSAS?

La migración formal terminó en 2021, así que la pregunta hoy es otra: ¿el sistema migró de verdad o solo cambió las portadas de los documentos? Un test rápido y honesto: ¿la dirección puede explicar el sistema sin llamar al técnico? ¿Hay evidencias de participación real de los trabajadores? ¿La evaluación de riesgos aplica la jerarquía de controles o va directa al EPI? Si alguna respuesta es "no", el certificado quizá esté en la pared, pero el sistema sigue siendo OHSAS con otro nombre.

Por qué el cambio fue a mejor

ISO 45001 convirtió la gestión de la SST en algo integrable con calidad y medio ambiente sobre una estructura común, sacó la responsabilidad del despacho del técnico y la puso en la mesa de dirección, y alineó la norma con cómo funcionan las empresas reales: contratas, cambios constantes y decisiones que se toman arriba. Para los profesionales de la prevención, dominar ISO 45001 dejó de ser un extra y pasó a ser parte del oficio.

¿Quieres implantar ISO 45001 de verdad, no solo entenderla? En el curso Gestor ISO 45001 — De Cero a Implementador recorres las cláusulas 4 a 10 con el marco legal español (LPRL, RD 39/1997), investigación de incidentes, gestión de contratistas y un proyecto final donde documentas tu propio SGSST. También disponible adaptado al mercado brasileño.