Lo que falla en la práctica antes de hablar de normas
El error frecuente en los encargos CSRD del primer ciclo no es técnico, es de expectativa. El cliente cree que nos contrata para "validar sus datos de sostenibilidad". Lo que la norma nos exige es emitir una opinión sobre si el informe ESRS está preparado, en todos los aspectos significativos, de conformidad con los criterios aplicables (ISAE 3000.12). Son cosas distintas. La diferencia la descubrimos habitualmente cuando llegamos a los papeles de trabajo del cliente y nos encontramos una hoja de cálculo con las emisiones de 2023 sin documentación sobre el origen de los factores.
Fuentes Gallego lo llamaría una bomba de relojería. El informe sale con limited assurance, la opinión dice lo que tiene que decir, y dentro de dos años viene el ICAC a revisar los papeles de trabajo. Lo que encuentre allí decidirá si el primer ciclo CSRD fue una campaña normal o un episodio de sanciones generalizadas.
Marco regulador: lo que dice la Directiva y lo que permite el ICAC
La Directiva (UE) 2022/2464 (CSRD) exige aseguramiento limitado de los informes ESRS para entidades que cumplan los umbrales (€40M de facturación neta, €20M de activo, 250 empleados promedio, dos de tres) desde los ejercicios iniciados a partir del 1 de enero de 2024 para la primera onda. El artículo 34 establece que el aseguramiento debe hacerse "de conformidad con las normas de aseguramiento adoptadas por la Comisión o, en su ausencia, con normas internacionales de aseguramiento."
En la práctica, y hasta que la Comisión adopte el estándar europeo de aseguramiento limitado (en consulta desde 2024), el ICAC ha aceptado la aplicación de ISAE 3000 (Revised) como marco general o ISAE 3410 cuando el encargo se centra específicamente en emisiones de GEI. La transición a aseguramiento razonable está prevista para ejercicios iniciados a partir de 2028, pendiente de informe de la Comisión Europea sobre disponibilidad de proveedores cualificados.
El dato que pocos comentan: el ICAC tiene alrededor de 8 inspectores para supervisar 21.500+ auditores registrados. 302 acciones supervisoras en 2022. Los encargos CSRD se añaden a ese perímetro sin aumento proporcional de recursos inspectores. Lo que eso significa en la práctica: el regulador no va a revisar los papeles del primer ciclo antes de 2027.
Ondas de aplicación
La primera onda (ejercicios 2024, informes emitidos en 2025) cubre entidades ya sujetas a la NFRD y grandes entidades de interés público. La segunda onda (ejercicios 2025, informes 2026) incorpora grandes entidades no cotizadas que superan los umbrales. La tercera onda (ejercicios 2026, informes 2027) añade PYMES cotizadas, con simplificaciones.
Cada onda comparte el mismo requisito: aseguramiento limitado sobre la información ESRS. La opción de aseguramiento razonable voluntario existe, pero por lo que conozco ningún cliente del primer ciclo la ha pedido. El coste marginal es alto y el beneficio reputacional todavía no está claro.
Cómo suena en la práctica: ISAE 3000 frente a ISAE 3410
ISAE 3000 (Revised) es el marco general para encargos de aseguramiento sobre información no financiera. Cubre cualquier tema de sostenibilidad: ambiental (ESRS E1-E5), social (ESRS S1-S4) y de gobernanza (ESRS G1). Permite aseguramiento limitado y razonable, información prospectiva y retrospectiva.
ISAE 3410 se aplica exclusivamente a información cuantificada de gases de efecto invernadero. Cubre alcances 1, 2 y 3 bajo el GHG Protocol, pero no biodiversidad, economía circular, contaminación, ni aspectos sociales. En el contexto CSRD se limita a ESRS E1 cuando el encargo se centra en datos de emisiones.
La pregunta no es cuál de las dos normas es "más técnica". Las dos exigen evidencia suficiente y apropiada. La pregunta es con cuál de las dos puede usted construir un archivo que aguante una revisión del ICAC en 2027.
Criterios de medición
Bajo ISAE 3000, los criterios deben establecerse caso por caso. Para CSRD los criterios son los requisitos de divulgación ESRS, complementados por las metodologías internas que la entidad haya adoptado para cuantificar impactos, riesgos y oportunidades. ISAE 3000.17 exige que el auditor evalúe la idoneidad de esos criterios. Aquí es donde empieza el trabajo real.
ISAE 3410 usa criterios estandarizados: GHG Protocol Corporate Standard e ISO 14064. Probados, documentados, con orientación internacional abundante. Por eso es más sencillo justificar la idoneidad bajo ISAE 3410.16 que bajo ISAE 3000.17: el estándar ya viene resuelto.
Evidencia y procedimientos
En el ejercicio, bajo ISAE 3000 diseñamos procedimientos para cada aseveración material del informe ESRS: políticas, targets, planes de acción, métricas de desempeño. Para limited assurance el nivel de trabajo es sustancialmente menor que en reasonable assurance (indagaciones, procedimientos analíticos, evaluación de consistencia; poca o ninguna reejecución de cálculos ni pruebas de controles). ISAE 3000.49 describe la diferencia.
ISAE 3410 ya viene estructurada. Verificación de límites organizacionales, factores de emisión, cálculos de alcance 1-2-3, controles sobre sistemas de información de GEI. Procedimientos más tasados, menos flexibilidad, pero una ruta de evidencia que usted puede defender ante un inspector sin inventar nada.
Marco de decisión
Cuándo aplicar ISAE 3000
El informe cubre varios ESRS más allá del cambio climático. Si la entidad reporta bajo E2 (contaminación), E4 (biodiversidad), cualquier S1-S4 o G1, ISAE 3000 es la única opción.
El encargo incluye información cualitativa o prospectiva. ESRS exige divulgar políticas, targets y planes de acción que no son datos cuantificados históricos. ISAE 3410 no cubre este tipo de información.
La entidad usa metodologías propias para cuantificar impactos que van más allá del GHG Protocol. Muchas organizaciones desarrollan métricas específicas para biodiversidad, impacto social o economía circular que requieren evaluación bajo criterios particulares.
Cuándo aplicar ISAE 3410
El encargo se limita a datos de emisiones GEI bajo ESRS E1.8-E1.12. Si el cliente necesita aseguramiento solo sobre huella corporativa, intensidades y targets de reducción cuantificados, ISAE 3410 ofrece procedimientos más detallados y un archivo más defendible.
La entidad tiene sistemas de medición GEI establecidos bajo GHG Protocol. ISAE 3410 se integra directamente con esos sistemas sin mapeo adicional.
Se busca comparabilidad con otros encargos de verificación GEI fuera del contexto CSRD. ISAE 3410 es el estándar predominante para verificación de emisiones a escala internacional.
Donde vive el juicio profesional: aceptar o no aceptar
No recomendamos aceptar un encargo CSRD sin una reunión previa con el equipo de sostenibilidad del cliente, porque en todos los encargos que hemos llevado el cliente asume que el auditor va a validar datos, no a emitir opinión sobre el proceso, y la diferencia la descubrimos demasiado tarde.
Aquí es donde los socios discrepan. Llamemos a dos posiciones que he visto defender con argumentos sólidos en la misma firma:
Socio A (aceptar con salvaguardas): el primer año es un brindis al sol, todo el mundo lo sabe, el ICAC lo sabe. La limited assurance está diseñada para aceptar sistemas inmaduros. Se aceptan encargos con letra de encargo muy explícita sobre las limitaciones del sistema de información del cliente, se documenta cada debilidad en los PT, y si el trabajo no permite concluir se emite opinión con salvedad por limitación al alcance. El razonamiento: si los Big 4 aceptan estos encargos y nosotros no, perdemos el cliente para siempre y renunciamos a formar al equipo antes de que llegue 2028 con reasonable assurance.
Socio B (declinar): el fee pressure en CSRD es extremo porque los clientes lo viven como coste regulatorio, no como valor. Con honorarios típicos del 15-25% del fee de auditoría financiera, no hay forma de hacer el trabajo sustantivo que exige ISAE 3000 cuando el cliente no tiene sistema de recolección trazable. El razonamiento: aceptar un encargo donde desde el inicio sabes que los papeles van a estar flojos es aceptar la sanción futura. Prefiere declinar y esperar al ciclo 2, cuando los sistemas del cliente estén algo más maduros.
Los dos tienen razón en sus premisas. La elección depende del tamaño de la firma, del apetito al riesgo regulador, y de la calidad del MOI que le respalde cuando el inspector le pregunte por qué aceptó un encargo sin sistema de control interno sobre datos de sostenibilidad.
El caso del IBEX-35 con Scope 3 en 2021
Industrias Mediterráneas S.A. (IBEX-35, facturación consolidada €3.240M, empleados promedio 14.200, ejercicio 2024) publica su primer informe ESRS bajo la primera onda CSRD. La evaluación de doble materialidad identifica seis temas significativos: E1 (clima), E5 (recursos), S1 (mano de obra propia), S2 (cadena de valor), S4 (comunidades), G1 (conducta empresarial).
El punto crítico del encargo: Scope 3 Categoría 11 (uso de productos vendidos) representa el 78% de la huella total. El cliente ha usado factores de emisión del Ecoinvent 2021 para los cálculos de 2024. El responsable de sostenibilidad admite, en la reunión previa, que el equipo no ha actualizado los factores por falta de tiempo y porque "no sabíamos que eso se iba a revisar." Los PT del cliente sobre factores de emisión consisten en una hoja de cálculo con enlaces rotos a la base de datos Ecoinvent.
Decisión sobre el marco
ISAE 3000 es la única opción viable porque el informe cubre seis ESRS. ISAE 3410 dejaría fuera el 70% del contenido material. Esa parte es la fácil.
Decisión de aceptación
Aquí es donde el caso se complica. El fee pactado es €180.000 (18% del fee de auditoría financiera). El equipo necesario para hacer el trabajo sustantivo bajo ISAE 3000 sobre seis ESRS, con Scope 3 no trazable, son aproximadamente 480 horas senior + 120 horas manager + 40 horas socio. Al ratio estándar el fee solo cubre aproximadamente el 60% del trabajo.
La firma acepta con tres condiciones en letra de encargo: (i) limitación explícita al alcance sobre factores de emisión previos a 2024 si no se aporta documentación primaria; (ii) aplicación del principio de proporcionalidad recogido en ISAE 3000.A52 para procedimientos analíticos sobre información cualitativa; (iii) EQR obligatoria por socio de sostenibilidad externo al equipo de encargo, cargado al fee.
Resultado
El dictamen se emite con salvedad por limitación al alcance sobre los datos de Scope 3 Categoría 11 anteriores a 2024. El cliente lo acepta (a regañadientes). Los PT documentan la decisión con referencia a ISAE 3000.12-13 sobre idoneidad de criterios y a los párrafos de letra de encargo. La EQR se firma el viernes por la tarde del cierre. El archivo queda, desde nuestra experiencia, en condiciones de defenderse ante una revisión del ICAC en 2027.
Lo que no queda resuelto: si la proporcionalidad que nos permite no testar el sistema de control interno sobre datos de sostenibilidad en 2024 se va a mantener cuando el ICAC aplique sus revisiones retrospectivas. Esa es la bomba de relojería del primer ciclo.
El dato que un profesional reenvía a un colega
El auditor que firma un informe CSRD limited assurance en 2025 basándose en registros espreadsheet del cliente está firmando una opinión que presupone la existencia de un sistema de control interno sobre datos de sostenibilidad que casi ningún cliente del primer ciclo tiene, y el ICAC lo va a revisar en dos años, no en diez.
No es respetable firmar un informe sobre datos que el cliente admite no tener sistema de recolección trazable. Pero tampoco es trivial declinar un encargo que paga parte de la estructura de la firma mientras el mercado se reparte. En este terreno es donde cada firma va a demostrar qué entiende por calidad.
Lista de verificación para el socio firmante
1. Alcance real del encargo antes de firmar - ¿Se limita a GEI o incluye otros ESRS? Si hay más de un ESRS, descartar ISAE 3410. - ¿Incluye información cualitativa (políticas, planes)? ISAE 3410 no cubre.
2. Sistemas de información del cliente - ¿Hay sistema único o datos en hojas de cálculo? Si son hojas de cálculo, documentar la limitación en letra de encargo. - ¿Los factores de emisión están versionados y trazables? Si no, salvedad por limitación al alcance en el horizonte.
3. Fee y recursos - ¿El fee cubre el trabajo sustantivo que exige la norma, o solo el trabajo que el cliente imagina? Calcular el delta antes de aceptar. - ¿El equipo tiene experiencia en verificación GEI (ISAE 3410) y en temas sociales/gobernanza (ISAE 3000)? Si no, externalizar la EQR.
4. Ruta hacia 2028 - ¿El marco elegido permite la transición a reasonable assurance sin rehacer todo el enfoque? - ¿Los sistemas de control interno del cliente soportarán mayor nivel de aseguramiento en tres años?
5. Documentación defensiva - Incluir en PT la justificación del marco aplicado con referencia a ISAE 3000.12-13 o ISAE 3410.16 sobre idoneidad de criterios. - Letra de encargo explícita sobre limitaciones del sistema del cliente.
6. EQR - En encargos del primer ciclo, la EQR no es opcional en la práctica aunque la norma no la exija expresamente. El archivo debe tener huella de revisión independiente.
Errores frecuentes en la selección del marco
- Asumir que ISAE 3410 es "más fácil" porque el alcance es menor. Los procedimientos son más tasados y menos flexibles. Con un sistema GEI inmaduro puede ser peor opción que ISAE 3000. - Mezclar ambos marcos en un solo encargo. Técnicamente posible, operativamente un laberinto. - Aplicar ISAE 3000 sin haber evaluado primero si los criterios ESRS son idóneos para el sector específico del cliente. Los PT del ICAC van a buscar esa evaluación. - Aceptar un encargo sin reunión previa con el equipo de sostenibilidad. Quien esté pensando que la reunión "es formalidad" está marcando la casilla.
Contenido relacionado
- Glosario: Doble materialidad ESRS — Cómo la evaluación de materialidad determina el alcance del aseguramiento - Herramienta: Planificador de encargos ISAE 3000 — Estructura el trabajo de aseguramiento sobre información de sostenibilidad - Artículo: Transición CSRD en España — Marco regulador específico y cronología de aplicación