Marco regulatorio CSRD y requisitos de aseguramiento

Cronología de aplicación y niveles de aseguramiento


La Directiva CSRD (2022/2464/EU) establece un régimen de aseguramiento progresivo para los informes de sostenibilidad bajo ESRS. Las entidades de interés público que superen dos de los tres umbrales (€40 millones de facturación neta, €20 millones en balance, 250 empleados promedio) deben incluir aseguramiento limitado en sus informes ESRS desde los ejercicios que comiencen a partir del 1 de enero de 2025.
El artículo 34 de la Directiva establece que el aseguramiento debe realizarse "de conformidad con las normas de aseguramiento adoptadas por la Comisión o, en su ausencia, con normas internacionales de aseguramiento". En la práctica, esto significa aplicar ISAE 3000 (Revised) como marco general o ISAE 3410 para emisiones específicas de gases de efecto invernadero.
La transición a aseguramiento razonable está prevista para ejercicios que comiencen a partir del 1 de enero de 2028, pendiente de evaluación de la Comisión Europea sobre la disponibilidad de proveedores de aseguramiento cualificados.

Aplicabilidad por ondas de aplicación


Primera onda (2025): Entidades ya sujetas a NFRD más entidades de interés público grandes
Segunda onda (2026): Entidades de interés público no sujetas previamente a NFRD
Tercera onda (2027): PYMES cotizadas (con simplificaciones disponibles)
Cada onda mantiene el mismo requisito: aseguramiento limitado de la información ESRS, con opción de aseguramiento voluntario razonable para entidades que deseen mayor nivel de credibilidad.

Diferencias centrales entre ISAE 3000 e ISAE 3410

Alcance de aplicación


ISAE 3000 (Revised) es el marco general para encargos de aseguramiento sobre información no financiera. Cubre cualquier tema de sostenibilidad: medioambientales (ESRS E1-E5), sociales (ESRS S1-S4) y de gobernanza (ESRS G1). Permite aseguramiento limitado y razonable sobre información prospectiva y retrospectiva.
ISAE 3410 se centra exclusivamente en información cuantificada de gases de efecto invernadero. Cubre emisiones de Alcance 1, 2 y 3 según el GHG Protocol, pero no aborda otros aspectos medioambientales como biodiversidad, economía circular o contaminación. Su aplicación en CSRD se limita a ESRS E1 (cambio climático) cuando el encargo se centra específicamente en datos de emisiones.

Criterios de medición y evaluación


Bajo ISAE 3000, los criterios deben establecerse caso por caso. Para CSRD, los criterios son los requisitos de divulgación ESRS correspondientes, complementados por metodologías específicas que la entidad haya adoptado para cuantificar impactos, riesgos y oportunidades.
ISAE 3410 usa criterios estandarizados: principalmente el GHG Protocol Corporate Standard y ISO 14064. Estos criterios están establecidos y probados, lo que simplifica la evaluación de idoneidad bajo ISAE 3410.16.

Estructura de evidencia y procedimientos


ISAE 3000 requiere que el profesional diseñe procedimientos para obtener evidencia suficiente y apropiada sobre todas las aseveraciones del objeto del encargo. Para informes ESRS integrales, esto incluye procedimientos sobre políticas, targets cuantitativos, planes de acción y métricas de desempeño.
ISAE 3410 se estructura alrededor de procedimientos específicos para datos de emisiones: verificación de límites organizacionales, factores de emisión, cálculos de Alcance 1-2-3, y controles sobre sistemas de información de GEI. Los procedimientos están más estandarizados pero con menor flexibilidad.

Marco de decisión: cuándo aplicar cada norma

Usar ISAE 3000 cuando:


El informe ESRS abarca múltiples temas de sostenibilidad más allá del cambio climático. Si la entidad reporta bajo ESRS E2 (contaminación), ESRS E4 (biodiversidad), cualquier ESRS social (S1-S4) o de gobernanza (G1), ISAE 3000 es el único marco aplicable.
El encargo incluye aseguramiento sobre información cualitativa o prospectiva. ESRS exige divulgación de políticas, targets y planes de acción que no son datos cuantificados históricos. ISAE 3410 no cubre este tipo de información.
La entidad usa metodologías propias para cuantificar impactos de sostenibilidad que van más allá del GHG Protocol. Muchas organizaciones desarrollan métricas específicas para biodiversidad, impacto social o economía circular que requieren evaluación bajo criterios particulares.
El encargo requiere evaluar los procesos de recopilación de datos de sostenibilidad conforme a ISAE 3000.49, por ejemplo cuando una entidad consolida datos ESG de filiales con sistemas heterogéneos y el auditor necesita probar la fiabilidad de las interfaces de datos.

Usar ISAE 3410 cuando:


El encargo se limita específicamente a datos de emisiones de GEI bajo ESRS E1.8 a E1.12. Si el cliente necesita aseguramiento solo sobre huella de carbono corporativa, intensidades de emisión y targets de reducción cuantificados, ISAE 3410 ofrece procedimientos más detallados.
La entidad ya tiene sistemas de medición de GEI establecidos bajo GHG Protocol. ISAE 3410 se integra directamente con estos sistemas sin requerir mapeo adicional de criterios.
Se busca comparabilidad con otros encargos de verificación de GEI fuera del contexto CSRD. ISAE 3410 es el estándar predominante para verificación independiente de emisiones a nivel internacional.
El auditor necesita aplicar procedimientos específicos de ISAE 3410.30-35 para verificar límites organizacionales de emisiones en estructuras corporativas con joint ventures o participaciones parciales en instalaciones industriales.

Ejemplo práctico: aplicación en un encargo real

Entidad: Logística Valenciana S.A.
Sector: Transporte y almacenamiento
Facturación 2024: €73 millones
Empleados promedio: 420
Primer informe ESRS: Ejercicio 2025

Evaluación de materialidad y alcance


La evaluación de doble materialidad identificó cinco temas significativos:

Decisión de marco de aseguramiento


Dado que el informe ESRS cubre cinco estándares diferentes (E1, E5, S1, S4, G1), el encargo requiere ISAE 3000 (Revised). El uso de ISAE 3410 cubriría únicamente los datos de emisiones bajo E1, dejando fuera 80% del contenido material del informe.

Planificación del trabajo bajo ISAE 3000


Fase 1: Comprensión y aceptación:
Documentación: Carta de encargo especificando alcance sobre informe ESRS integral, nivel de aseguramiento limitado, criterios ESRS aplicables
Fase 2: Evaluación de criterios:
Documentación: Evaluación de idoneidad de criterios bajo ISAE 3000.17, identificación de limitaciones metodológicas
Fase 3: Procedimientos de aseguramiento:
Documentación: Resultados de procedimientos, hallazgos identificados, evaluación de evidencia por aseveración
Fase 4: Conclusión y dictamen:
Opinión de aseguramiento limitado sobre el conjunto del informe ESRS, con párrafos específicos sobre limitaciones metodológicas en métricas de impacto social.
Documentación: Borrador de dictamen, revisión de control de calidad, archivo final

Comparación hipotética con ISAE 3410


Si el encargo se hubiera limitado a emisiones de GEI (solo ESRS E1.8-E1.12):
Procedimientos específicos ISAE 3410:
Resultado: Dictamen más técnico y específico sobre datos de GEI, pero alcance limitado al 20% del contenido material del informe ESRS.

Conclusión del caso


Para Logística Valenciana S.A., ISAE 3000 era la elección correcta porque permitió aseguramiento integral del informe ESRS. El trabajo adicional sobre temas no climáticos incrementó el coste del encargo en aproximadamente 40%, pero proporcionó la credibilidad necesaria para el informe completo.

  • E1 (Cambio climático): Material por impacto (emisiones directas del transporte) y financiero (regulación de combustibles, carbon pricing)
  • E5 (Uso de recursos): Material por impacto (consumo de combustible, packaging)
  • S1 (Mano de obra propia): Material por impacto (seguridad en conducción) y financiero (costes laborales, atracción de talento)
  • S4 (Comunidades afectadas): Material por impacto (ruido, congestión urbana)
  • G1 (Conducta empresarial): Material por impacto (ética en relaciones con subcontratistas)
  • ESRS E1: GHG Protocol Corporate Standard para datos de emisiones
  • ESRS E5: Metodología interna basada en registros de consumo y ratios sectoriales
  • ESRS S1-S4: KPIs definidos internamente alineados con GRI Standards
  • ESRS G1: Políticas documentadas evaluadas contra mejores prácticas
  • Indagaciones con responsables de sostenibilidad, recursos humanos, compliance
  • Inspección de registros de combustible, facturas energéticas, informes de siniestralidad
  • Procedimientos analíticos sobre evolución de KPIs periodo anterior
  • Re-cálculo de factores de emisión aplicando GHG Protocol
  • Verificación de límites organizacionales (entidades consolidadas, instalaciones incluidas)
  • Pruebas sobre factores de emisión aplicados (fuentes oficiales, actualización anual)
  • Re-ejecución de cálculos de Alcance 1 (combustión directa en vehículos)
  • Verificación de datos de actividad (kilometraje, consumos) con registros subyacentes
  • Evaluación de estimaciones para Alcance 3 (upstream fuel, employee commuting)

Lista de verificación práctica

  • Identificar el alcance real del encargo
  • ¿Se limita a datos de GEI o incluye otros temas ESRS?
  • ¿Abarca información cualitativa (políticas, planes) o solo cuantitativa?
  • Evaluar las metodologías de la entidad
  • ¿Usa exclusivamente GHG Protocol o combina múltiples marcos?
  • ¿Tiene sistemas de información integrados o datos dispersos?
  • Considerar las expectativas del usuario
  • ¿Busca comparabilidad con verificaciones GEI existentes?
  • ¿Necesita credibilidad sobre el informe ESRS integral?
  • Verificar recursos del equipo
  • ¿Tiene experiencia específica en verificación GEI (ISAE 3410)?
  • ¿Dispone de especialistas para temas sociales/gobernanza (ISAE 3000)?
  • Planificar la transición a aseguramiento razonable
  • ¿El marco elegido permitirá la evolución en 2028?
  • ¿Los sistemas de control interno soportarán mayor nivel de aseguramiento?
  • Documentar la decisión
  • Incluir en papeles de trabajo la justificación del marco aplicado
  • Referencias específicas a párrafos ISAE 3000.12-13 o ISAE 3410.16 sobre idoneidad de criterios

Errores frecuentes en la selección de marcos

  • Asumir que ISAE 3410 es siempre más específico: ISAE 3410 es más específico para GEI pero inadecuado para encargos ESRS integrales
  • Mezclar ambos marcos en un solo encargo: Usar ISAE 3000 para temas generales e ISAE 3410 para GEI crea complejidad innecesaria en la mayoría de casos

Contenido relacionado

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.