ISO 45001 vs NOM-STPS vs SG-SST: qué auditar

Compara ISO 45001, NOM-STPS y SG-SST para diseñar auditorías regionales de SST en LatAm sin confundir cumplimiento local con control real operativo.

Por Andreza Araujo 17 de junio de 2026 8 min de lectura

professional scene illustrating iso 45001 vs nom stps vs sg sst que auditar — ISO 45001 vs NOM-STPS vs SG-SST: qué auditar

Puntos clave

01Compare ISO 45001, NOM-STPS y SG-SST según 6 criterios antes de definir una auditoría regional de SST para LatAm.
02Use ISO 45001 como columna vertebral regional, pero mantenga anexos legales por país para no borrar obligaciones fiscalizables.
03Audite NOM-STPS como evidencia mexicana verificable, conectando cada requisito con riesgos críticos y controles operacionales.
04Integre SG-SST cuando necesite trazabilidad colombiana de responsabilidades, planes, recursos y cierre de acciones correctivas.
05Revise su matriz regional con Andreza Araujo para separar cumplimiento, cultura y control antes de la próxima auditoría ejecutiva.

Una auditoría regional de SST falla cuando intenta tratar ISO 45001, NOM-STPS y SG-SST como si fueran tres nombres para la misma exigencia. Este artículo compara los tres marcos para que una dirección regional decida qué auditar, con qué profundidad y dónde poner el listón común sin borrar los mínimos legales de cada país.

1. ¿Por qué una auditoría regional no puede copiar un solo país?

Una auditoría regional de SST necesita distinguir entre el piso legal local y el estándar corporativo común, porque ISO 45001:2018 define requisitos de sistema de gestión, mientras que las NOM-STPS mexicanas y el SG-SST colombiano convierten obligaciones nacionales en evidencias fiscalizables. Cuando una matriz regional copia solo un país, deja zonas ciegas en países con reguladores distintos.

ISO explica que ISO 45001:2018 especifica requisitos para un sistema de gestión de seguridad y salud en el trabajo, lo cual sirve para ordenar política, planificación, operación, evaluación y mejora. La norma no reemplaza la ley local; la integra en una estructura que permite gobernar riesgos en varias jurisdicciones.

En más de 250 proyectos de transformación cultural, Andreza Araujo observa que el error regional más caro ocurre cuando la empresa confunde certificación con control real. Esa confusión aparece en tableros bien presentados, auditorías internas cerradas a tiempo y planes de acción sin prueba de eficacia en campo.

El criterio práctico es simple de aplicar en una operación con 5 países: ISO 45001 ordena la arquitectura, cada regulador define el mínimo legal y la auditoría corporativa verifica si el control crítico funciona en el turno real. Cuando estas tres capas se mezclan, la auditoría produce cumplimiento documental y poco aprendizaje operativo.

2. ¿Qué criterios deben pesar antes de elegir el marco principal?

La elección entre ISO 45001, NOM-STPS y SG-SST debe evaluarse con 6 criterios: cobertura legal, trazabilidad documental, lectura de riesgo crítico, participación de trabajadores, facilidad de comparación regional y capacidad de generar acciones correctivas verificables. Sin esos criterios, la auditoría favorece el formulario más familiar, no el sistema que mejor protege la operación.

La primera pregunta no es cuál marco parece más completo, sino cuál evidencia permite tomar una decisión de riesgo antes de que el daño ocurra. Una dirección regional que solo compara cantidad de hallazgos termina premiando al país que documenta más, aunque otro país tenga mejor control operacional sobre energía peligrosa, contratistas o exposición química.

Andreza Araujo sostiene en *A Ilusão da Conformidade* que el cumplimiento puede crear una ilusión peligrosa cuando el procedimiento existe, pero la práctica no responde ante presión, cambio o urgencia. Esa tesis encaja con auditorías regionales, donde el papel común suele tapar diferencias reales entre plantas.

La matriz de decisión debe incluir al menos una prueba de campo por proceso crítico, una entrevista con supervisores, una revisión de acciones vencidas y una verificación de eficacia. Esta lógica conecta con la necesidad de verificar acciones correctivas después de cada hallazgo, no solo cerrarlas en el sistema.

3. ISO 45001 sirve mejor como columna vertebral regional

ISO 45001 funciona mejor como columna vertebral regional porque permite auditar liderazgo, participación, planificación, operación y mejora bajo una lógica común desde 2018. Su valor aparece cuando la empresa necesita comparar plantas de México, Colombia, Chile, Argentina y Perú sin reducir la auditoría a una lista legal nacional.

La fortaleza de ISO 45001 está en su capacidad de conectar contexto, riesgos, objetivos, controles y evaluación de desempeño. En una auditoría regional, esa estructura permite preguntar si un hallazgo de México y otro de Chile revelan el mismo patrón de liderazgo, aunque surjan de obligaciones locales distintas.

El límite también importa. ISO 45001 no debe usarse como escudo para ignorar requisitos específicos, porque la cláusula de requisitos legales y otros requisitos exige identificar, acceder y mantener actualizadas las obligaciones aplicables. Una empresa con certificación puede seguir expuesta si su matriz legal no aterriza en permisos, capacitación, comités o reportes obligatorios.

Como Andreza Araujo plantea en *Sorte ou Capacidade*, depender de la suerte exige prepararse para el día en que la suerte falte. En auditoría regional, esa preparación exige probar si la arquitectura de ISO 45001 llega al supervisor, al contratista y al mantenimiento no rutinario.

4. NOM-STPS funciona mejor para evidencias mexicanas verificables

Las NOM-STPS funcionan mejor cuando la auditoría necesita comprobar evidencias obligatorias en centros de trabajo mexicanos, porque traducen riesgos específicos en requisitos concretos sobre servicios preventivos, condiciones de seguridad, capacitación, equipos, espacios confinados, construcción o factores psicosociales. Su ventaja es fiscalizable; su riesgo es volver fragmentada la lectura regional.

La STPS publica guías de seguridad y salud en el trabajo que ayudan a interpretar obligaciones por tema, desde edificios hasta incendios, altura y equipo de protección. Para una planta mexicana, esa granularidad permite revisar evidencia con precisión y anticipar preguntas de inspección.

El problema aparece cuando la oficina regional convierte cada NOM en una casilla aislada y pierde la pregunta de sistema. Un expediente completo de capacitación no prueba que el control opere durante una liberación de energía, del mismo modo que una política firmada no prueba participación real de trabajadores.

La mejor aplicación es usar NOM-STPS como capa legal mexicana dentro de una matriz regional. El auditor revisa cumplimiento específico, pero conecta hallazgos con registro de riesgos operativo, controles críticos y decisiones de liderazgo que puedan compararse con otros países.

6 criterios sostienen la comparación regional cuando la empresa separa marco común, evidencia legal y prueba de campo, porque cada capa responde una pregunta distinta.

5. SG-SST funciona mejor para trazabilidad colombiana de estándares mínimos

El SG-SST colombiano funciona mejor cuando la auditoría debe demostrar estándares mínimos, responsabilidades, planes, recursos y seguimiento bajo una lógica nacional explícita. La Resolución 0312 de 2019 hizo que muchas empresas colombianas estructuraran evidencias con una disciplina que puede enriquecer la auditoría regional si no se copia sin adaptación.

El Ministerio del Trabajo de Colombia define en la Resolución 0312 de 2019 los estándares mínimos del SG-SST, y esa referencia ayuda a revisar asignación de responsabilidades, rendición de cuentas y evidencia de ejecución. Para una auditoría regional, su mayor aporte es la trazabilidad.

La trampa es convertir el SG-SST en el modelo para todos los países, porque una estructura nacional muy ordenada puede ocultar diferencias legales y operativas fuera de Colombia. Una planta peruana o argentina no se vuelve mejor auditada por parecer colombiana; se vuelve mejor auditada cuando sus obligaciones locales dialogan con un estándar común.

La dirección regional debería usar SG-SST como fuente de disciplina documental y seguimiento, especialmente en planes anuales, responsabilidades y cierre de acciones. Luego debe contrastar esa disciplina con evidencias de campo y con la calidad del dato, tal como se discute en validación de datos de seguridad al cierre del turno.

6. Matriz de decisión: qué gana cada marco

La matriz de decisión muestra que ISO 45001 gana como idioma regional, NOM-STPS gana como prueba legal mexicana y SG-SST gana como trazabilidad colombiana de ejecución. Ninguno de los 3 debería operar solo cuando una organización dirige operaciones en varios países de LatAm.

Criterio	ISO 45001	NOM-STPS	SG-SST
Mejor uso	Columna vertebral corporativa	Auditoría legal mexicana	Trazabilidad colombiana
Fuerza principal	Comparabilidad regional desde 2018	Evidencia específica por riesgo	Seguimiento de estándares mínimos
Riesgo si se usa sola	Generalidad sin detalle legal	Fragmentación por norma	Copia nacional fuera de contexto
Pregunta crítica	¿El sistema gobierna el riesgo?	¿La evidencia cumple la obligación?	¿La ejecución quedó trazada?
Puntuación orientativa	4.6 de 5 para gobierno regional	4.4 de 5 para México	4.3 de 5 para Colombia

El puntaje no mide superioridad absoluta; mide adecuación al propósito de auditoría. En una revisión de 12 plantas, por ejemplo, ISO 45001 puede fijar el mapa común, mientras la NOM aplicable decide si una planta mexicana cumple una obligación específica y SG-SST decide si la planta colombiana puede demostrar ejecución suficiente.

3 capas reducen la canibalización entre cumplimiento y control: marco regional, requisito local y prueba operativa. Si una capa falta, la auditoría queda incompleta aunque el informe parezca consistente.

7. ¿Qué recomendación aplica según el contexto regional?

Una empresa con operaciones en 2 o más países debería usar ISO 45001 como eje, agregar anexos legales por país y cerrar cada auditoría con pruebas de control crítico en campo. Esa combinación evita que la región imponga un formulario único donde la ley exige matices y donde el riesgo operativo pide observación directa.

Para México, el anexo debe mapear NOM-STPS aplicables por proceso, no por área administrativa. Para Colombia, debe mapear estándares mínimos y responsabilidades del SG-SST. Para Chile, la auditoría debe incorporar obligaciones del DS 40 y el rol preventivo formal, ya que SUSESO mantiene el Decreto Supremo N° 40 sobre prevención de riesgos profesionales.

Para Argentina y Perú, el equipo regional debe añadir la Ley 19.587, SRT y Ley 29783 como referencias locales dentro de la misma matriz. La recomendación no es crear 5 auditorías distintas, sino una auditoría regional con 5 anexos legales y una misma prueba de eficacia para controles críticos.

La experiencia ejecutiva de Andreza Araujo en Unilever LATAM, con 19 países y 34 fábricas, refuerza esta lógica: la gobernanza regional necesita idioma común, pero pierde fuerza cuando no respeta la evidencia local. Este punto conversa con el caso de gobernanza SHE en Unilever LATAM.

8. Conclusión: el mejor marco es una arquitectura de decisión

ISO 45001 vs NOM-STPS vs SG-SST no debería resolverse como una competencia, sino como una arquitectura de auditoría donde ISO 45001 gobierna el sistema, cada regulador LatAm define mínimos locales y la prueba de campo confirma si el control reduce el riesgo. Esa arquitectura permite comparar países sin borrar sus obligaciones.

Si su organización necesita revisar auditorías regionales, priorizar controles críticos o transformar hallazgos en decisiones ejecutivas, el trabajo de Andreza Araujo ofrece una base práctica desde la cultura, el cumplimiento y la gestión de riesgos. Empiece por revisar dónde su auditoría actual mide documentos y dónde realmente verifica capacidad operacional.

Temas iso-45001 nom-stps sg-sst auditoria-interna reguladores-latam ehs-manager

Preguntas frecuentes

¿Cuál es la diferencia entre ISO 45001, NOM-STPS y SG-SST?

ISO 45001 es una norma internacional de sistema de gestión de SST, mientras que NOM-STPS reúne obligaciones mexicanas por tema y SG-SST organiza requisitos colombianos de gestión y estándares mínimos. En una auditoría regional, ISO 45001 sirve como idioma común, NOM-STPS como verificación legal mexicana y SG-SST como trazabilidad colombiana de responsabilidades, planes y evidencias.

¿Qué marco conviene usar para una auditoría regional de SST en LatAm?

Conviene usar ISO 45001 como eje regional y anexar requisitos por país, como NOM-STPS en México, Resolución 0312 en Colombia, DS 40 en Chile, Ley 19.587 y SRT en Argentina, y Ley 29783 en Perú. Esa combinación permite comparar plantas sin ignorar obligaciones locales ni reducir la auditoría a documentos.

¿Una empresa certificada en ISO 45001 cumple automáticamente las NOM-STPS?

No. La certificación ISO 45001 ayuda a ordenar el sistema, pero no sustituye las obligaciones legales mexicanas. Una planta certificada todavía debe demostrar cumplimiento de las NOM-STPS aplicables a sus riesgos, procesos, equipos y trabajadores. Andreza Araujo advierte en *A Ilusão da Conformidade* que confundir sistema certificado con control real puede crear una ilusión de seguridad.

¿Cómo conectar una auditoría regional con controles críticos?

La conexión ocurre cuando cada hallazgo se vincula con un riesgo crítico, una barrera, un responsable, una fecha y una prueba de eficacia. Si el auditor solo registra documentos, el hallazgo puede cerrarse sin reducir exposición. Este tema se amplía en el artículo sobre verificación de eficacia de acciones correctivas.

¿Qué indicador muestra si una auditoría regional funciona?

El mejor indicador no es la cantidad de hallazgos, sino el porcentaje de acciones verificadas en campo y conectadas con reducción de riesgo crítico. También conviene mirar reincidencia, vencimiento de acciones, calidad del dato y severidad potencial. El artículo sobre validación de datos de seguridad al cierre del turno profundiza ese punto.

Sobre la autora

Andreza Araujo

Especialista Global en Cultura de Seguridad

Andreza Araujo es una referencia internacional en EHS, cultura de seguridad y comportamiento seguro, con más de 25 años liderando programas de transformación cultural en empresas multinacionales e impactando a trabajadores en más de 30 países. Reconocida como LinkedIn Top Voice, contribuye a la conversación pública sobre liderazgo, cultura de seguridad y prevención para una audiencia profesional global. Ingeniera civil e ingeniera de seguridad laboral por la Unicamp, con una maestría en Diplomacia Ambiental por la Universidad de Ginebra. Autora de 16 libros sobre cultura de seguridad, liderazgo y prevención de SIF, y conductora del Headline Podcast.

Ingeniera Civil (Unicamp)
Ingeniera de Seguridad Laboral (Unicamp)
Maestría en Diplomacia Ambiental (Universidad de Ginebra)

Seguir a Andreza

Documentales

Mira los documentales de Andreza

Tres producciones sobre cultura de seguridad, fallas organizacionales y las lecciones humanas detrás de grandes desastres.

Um Dia Para Não Esquecer

73 Segundos — O Desastre Anunciado

TITANIC — O Silêncio Que Ainda Ouvimos

Podcasts

Escucha los podcasts de Andreza

Conduce tres programas sobre liderazgo en seguridad, EHS y cultura organizacional, en inglés y portugués.

Headline Podcast en inglés

Headline Podcast en portugués

O Conselho de Segurança

Matriz 5x5 vs LOPA vs tolerabilidad del riesgo: 6 criterios para priorizar riesgos mayores

Comparativo F3 para decidir cuándo usar matriz 5x5, LOPA o criterios de tolerabilidad al priorizar riesgos mayores bajo ISO 45001 y reguladores LatAm.

Andreza Araujo 16 de junio de 2026 10 min

gestion-de-riesgos

Cómo validar un cambio temporal en operación vespertina con 8 comprobaciones

Guía F2 para que supervisores y EHS validen cambios temporales en operación vespertina bajo ISO 45001 y reguladores LatAm, sin convertir la excepción en rutina.

Andreza Araujo 16 de junio de 2026 9 min

gestion-de-riesgos

Riesgo residual aceptado: 5 trampas que vuelven frágil el control

Un diagnóstico F1 sobre 5 trampas que convierten el riesgo residual aceptado en tolerancia informal, con base en ISO 45001 y reguladores LatAm.

Andreza Araujo 15 de junio de 2026 8 min