Se a sua empresa lida com gestão de Saúde e Segurança do Trabalho (SST), duas siglas aparecem cada vez mais nas conversas sobre conformidade, contratos e auditorias: ISO 45001 e ISO 45003. Elas tratam do mesmo assunto, mas têm papéis diferentes.
Este guia explica, de forma direta, o que é cada uma, como surgiram, o que abrangem e por que a certificação faz diferença, principalmente para empresas médias e grandes com grau de risco elevado.
O que é a ISO 45001
A ISO 45001 é a norma internacional para Sistemas de Gestão de Saúde e Segurança Ocupacional (SGSSO). Publicada em 2018, ela define os requisitos para uma empresa criar um ambiente de trabalho seguro, prevenir lesões e doenças ocupacionais e melhorar continuamente seu desempenho em segurança.
Em outras palavras: a ISO 45001 é o “manual de gestão” que organiza como a empresa identifica perigos, controla riscos e responde a incidentes, de maneira sistemática e auditável.
Ela é aplicável a qualquer organização, independentemente de tamanho ou setor, da indústria pesada à empresa de tecnologia. E vai além do cumprimento da lei: posiciona a segurança como parte da estratégia do negócio.
O que é a ISO 45003
A ISO 45003, publicada em 2021, é a primeira norma global voltada especificamente para a gestão de riscos psicossociais, ou seja, os fatores do trabalho que afetam a saúde mental: sobrecarga, metas inviáveis, assédio, falta de autonomia, lideranças tóxicas, entre outros.
Há uma diferença importante: a ISO 45003 é uma norma de diretrizes (guideline), não uma norma certificável de forma independente. Ela foi desenhada para funcionar dentro de um sistema de gestão já estruturado pela ISO 45001, ampliando o olhar para os riscos que não aparecem nos medidores físicos tradicionais.
O ponto central da ISO 45003 é uma mudança de lógica: o adoecimento mental no trabalho não é tratado como “fragilidade individual” do colaborador, e sim como uma falha na organização do trabalho. Estresse e burnout passam a ser, na prática, um problema de gestão e de engenharia de processos, não uma questão pessoal do funcionário.
| Critério | ISO 45001 | ISO 45003 |
|---|---|---|
| Publicação | 2018 | 2021 |
| Tipo de norma | Certificável (requisitos) | Diretriz (guideline) |
| Foco principal | Sistema de gestão de SST (riscos físicos, químicos, biológicos, ergonômicos) | Riscos psicossociais e saúde mental no trabalho |
| Aplicação | Norma principal, aplicada de forma independente | Complementar à ISO 45001, não é certificável isoladamente |
| Substituiu | OHSAS 18001 | — |
| Relação com NR-1 | Base do sistema de GRO/PGR | Metodologia reconhecida para o mapeamento de riscos psicossociais exigido pela NR-1 |
A evolução das normas de SST
Entender de onde essas normas vieram ajuda a enxergar para onde a gestão de SST está indo.
Durante décadas, a proteção ao trabalhador esteve concentrada em riscos visíveis e imediatos: físicos, químicos, biológicos e ergonômicos. O objetivo era evitar acidentes traumáticos e doenças ocupacionais de causa fisiológica direta, como a perda auditiva por ruído.
A transição da OHSAS para a ISO 45001 não foi só troca de nome. Foi a passagem de um modelo que “apagava incêndios” para um modelo que antecipa riscos e os integra à gestão do negócio.
O que cada norma abrange na prática
Estrutura da ISO 45001
A ISO 45001 segue a chamada Estrutura de Alto Nível (HLS), a mesma espinha dorsal de normas como ISO 9001 (qualidade) e ISO 14001 (meio ambiente). Isso facilita integrar tudo em um único Sistema de Gestão Integrado, com auditorias unificadas e menos retrabalho.
A norma é organizada em dez cláusulas. As principais, do ponto de vista prático, são:
- Contexto da organização: entender os fatores internos e externos e as partes interessadas (trabalhadores, sindicatos, órgãos reguladores).
- Liderança e participação dos trabalhadores: a alta direção assume a responsabilidade; a execução técnica pode ser delegada, mas a prestação de contas não.
- Planejamento: identificação proativa de perigos e avaliação de riscos e oportunidades.
- Suporte: recursos, competência, comunicação e controle de informação documentada.
- Operação: controles do dia a dia, gestão de mudanças e controle de terceirizados.
- Avaliação de desempenho: monitoramento, auditorias internas e análise crítica pela direção.
- Melhoria: tratamento de incidentes e não conformidades com foco na causa-raiz.
Tudo isso é estruturado pelo ciclo PDCA (Planejar, Fazer, Verificar, Agir), o que transforma a segurança em um processo contínuo, e não em uma pilha de documentos parados na gaveta.
Hierarquia de controles
Tanto a ISO 45001 quanto a ISO 45003 trabalham com a hierarquia de controles, do mais eficaz para o menos eficaz:
Na saúde mental: app de meditação e palestras são medidas de nível 4 e 5. Sem corrigir carga de trabalho e metas (nível 3), o efeito é mínimo.
Aplicada à saúde mental, essa lógica deixa claro um ponto que a ISO 45003 reforça: oferecer apenas app de meditação ou palestra motivacional (medidas no fim da hierarquia) é ineficaz se a empresa não corrigir as causas estruturais, como carga de trabalho e metas, na origem.
A ponte com a NR-1: por que isso virou obrigação no Brasil
No Brasil, esse movimento internacional encontrou força de lei. A Portaria MTE nº 1.419/2024 alterou o capítulo 1.5 da NR-1 e tornou obrigatória a inclusão dos fatores de risco psicossociais no Gerenciamento de Riscos Ocupacionais (GRO) e no Programa de Gerenciamento de Riscos (PGR).
A fiscalização punitiva sobre esses riscos teve início em 26 de maio de 2026 (prazo definido pela Portaria MTE nº 765/2025), encerrando a fase educativa. Na prática, a partir dessa data, empresas sem o mapeamento e a gestão documentada de riscos psicossociais no PGR ficam sujeitas a autuação pela Inspeção do Trabalho.
A relação é direta: a NR-1 cria a obrigação legal, e a ISO 45003 fornece a metodologia reconhecida para cumpri-la com base técnica. Uma avaliação genérica de “clima organizacional” não sustenta uma fiscalização; um processo estruturado, com instrumento validado, sim.
Por que a certificação importa (especialmente para risco elevado)
Para empresas médias e grandes, e em especial para as de grau de risco elevado (indústria, mineração, construção, trabalho em altura, espaços confinados), a adoção dessas normas deixou de ser diferencial e passou a ser questão de sobrevivência operacional e jurídica. Os principais ganhos:
Quanto maior o porte e o risco, maior o volume de dados a gerenciar: múltiplas unidades, milhares de trabalhadores, avaliações recorrentes, rastreabilidade de planos de ação e comprovação em tempo real para auditorias. Esse volume torna a gestão manual, baseada em planilhas soltas, inviável e arriscada.
Como a tecnologia sustenta a conformidade
É aqui que um sistema especializado em SST faz a diferença. A conformidade com ISO 45001, ISO 45003 e NR-1 exige operacionalizar várias etapas que, somadas, não cabem mais em planilhas:
- Aplicar avaliações de risco psicossocial a toda a força de trabalho, com sigilo e em conformidade com a LGPD.
- Classificar automaticamente os níveis de risco na matriz do PGR.
- Vincular cada risco identificado a um plano de ação, com responsáveis, prazos e acompanhamento.
- Gerar a documentação rastreável que comprova, em uma fiscalização, todo o ciclo: identificação, avaliação, ação e verificação.
O SGG foi construído exatamente para isso: centralizar a gestão de riscos ocupacionais, integrar a avaliação psicossocial ao PGR e produzir a trilha de evidências que a fiscalização exige, com integração ao eSocial e às demais obrigações de SST.
Conclusão
A ISO 45001 estabelece a base de um sistema de gestão de segurança maduro e proativo. A ISO 45003 amplia esse sistema para a saúde mental, hoje um dos maiores desafios da SST. E, no Brasil, a NR-1 transformou esse tema em obrigação legal já fiscalizável.
Para empresas de médio e grande porte, e principalmente as de risco elevado, a pergunta deixou de ser “vale a pena se estruturar?” e passou a ser “quanto custa não estar em conformidade?”.
Se a sua operação precisa estruturar a gestão de riscos ocupacionais e psicossociais com base técnica e rastreável, o SGG pode te ajudar.