Lo que aprenderá
> - Qué nivel de aseguramiento exige la CSRD por tipo de entidad y cuándo aplica > - Cómo estructurar un encargo de aseguramiento limitado conforme a ISSA 5000 > - Qué cambia, en la práctica, entre limitado y razonable (procedimientos, papeles, dictamen) > - Qué referencias normativas citar y por qué párrafo concreto se sostienen
Qué falla antes de hablar de la norma
Lo digo claro: el problema de los primeros encargos CSRD no es la norma de aseguramiento. Es la información subyacente. La empresa lleva diez años calculando la huella de carbono con una hoja Excel que mantiene una persona del departamento de calidad, los datos de alcance 3 vienen de un proveedor que estima por sector, y la evaluación de doble materialidad se encargó a una consultora que entregó el informe dos semanas antes del cierre. Y ahí aparece el revisor a pedir evidencia.
En la práctica, eso significa que el primer mes del encargo se va en discutir si lo que el cliente llama "sistema de información de sostenibilidad" cumple mínimamente con lo que la ISSA 5000 entiende por sistema. Lo que realmente ocurre es que muchos de estos encargos se cierran con el matiz de "marcar la casilla": el dictamen sale, la conclusión negativa se expresa con la fórmula prevista, y nadie quiere ser el primero en decir en voz alta que los papeles están flojos.
Lo que dice la norma (y dónde vive el juicio profesional)
La estructura de la CSRD y el calendario real en España
El Reglamento (UE) 2022/2464 (Directiva CSRD) sustituye a la NFRD y escalona la entrada por tamaño y carácter de interés público (EIP). Las grandes EIP que ya reportaban bajo NFRD entraron en el ejercicio 2024 (informes en 2025). Las otras grandes empresas que cumplan dos de tres umbrales (más de 250 empleados, cifra de negocios superior a 50 millones de euros, balance superior a 25 millones de euros) entran en el ejercicio 2025 (informes en 2026). Las PYME cotizadas tienen hasta 2027, con cláusula de aplazamiento opcional hasta 2028.
Aquí conviene un matiz local. La transposición española se ha movido con retraso, y la asignación competencial entre ICAC y CNMV para la supervisión del aseguramiento de sostenibilidad sigue generando preguntas en las firmas medianas. Por lo que conozco, los inspectores del ICAC ya están haciendo preguntas sobre cómo se piensa documentar el primer encargo, antes incluso de que llegue el momento de revisarlo.
El artículo 19 bis, apartado 6, es taxativo: el aseguramiento lo presta el auditor estatutario o un proveedor independiente de servicios de aseguramiento. No hay opción de autorrevisión.
Aseguramiento limitado: el punto de partida
El apartado 1 del artículo 19 bis exige que el informe de sostenibilidad se someta a aseguramiento con un nivel limitado. Para los encargos a partir del ejercicio 2024, la norma técnica de referencia es la ISSA 5000 ("General Requirements for Sustainability Assurance Engagements"), aprobada por el IAASB en 2024 y prevista para encargos con periodos que comiencen a partir del 15 de diciembre de 2026, aunque su aplicación anticipada está animada por la Comisión Europea como base armonizadora.
Mientras la ISSA 5000 se asienta y se incorpora a la red NIA-ES, la práctica española se apoya en la ISAE 3000 (Revisada) como puente. Esto, en mi experiencia, genera más de un dolor de cabeza al tener que justificar al cliente por qué los papeles cambiarán de un año a otro sin que cambie nada en su informe.
La transición al razonable
El considerando 73 lo dice sin rodeos: el nivel de aseguramiento debe pasar gradualmente de limitado a razonable. La Comisión presentará un informe en octubre de 2028 sobre la disponibilidad de prestadores y la madurez del mercado (artículo 19 bis, apartado 4). En la práctica, eso significa que las firmas que quieran retener al cliente de auditoría estatutaria tendrán que estar listas para el razonable antes de que la fecha sea oficial, porque el cliente no querrá cambiar de proveedor a mitad de camino.
Marco técnico: dónde se sostiene cada nivel
Aseguramiento limitado bajo ISSA 5000
La ISSA 5000 fija los procedimientos del trabajo limitado en una lógica parecida a la del antiguo ISAE 3000 A47: procedimientos diseñados para detectar si algo está mal, no para confirmar que todo está bien. Indagación y análisis pesan más que recálculo y confirmación externa. La diferencia frente al razonable no es de catálogo de técnicas, es de profundidad y de cobertura.
Para los componentes climáticos del informe (ESRS E1), conviene mirar la ISAE 3410, que sigue siendo la referencia más asentada para emisiones de gases de efecto invernadero y que la propia ISSA 5000 acepta como complementaria.
Aseguramiento razonable: lo que viene
El razonable mantiene la base normativa de la ISSA 5000, pero exige obtener evidencia suficiente y apropiada para reducir el riesgo de encargo a un nivel aceptablemente bajo. Esto, traducido a horas y a perfiles, significa equipos con especialista ambiental dentro, no contratado por horas, y un sistema de control interno de sostenibilidad evaluado al estilo COSO. Lo que realmente ocurre es que la mayoría de empresas medianas españolas no tienen ese sistema. Aún.
Ejemplo práctico: Mediterránea Energías Renovables S.L.
Imaginemos que asume el encargo. Mediterránea Energías Renovables S.L., con sede en Valencia, desarrolla y opera parques eólicos y solares. Tiene 340 empleados, 78 millones de euros de cifra de negocios en 2024 y un balance de 185 millones. Como gran empresa no cotizada que cumple los tres umbrales, debe reportar bajo CSRD a partir del ejercicio 2026, con aseguramiento limitado.
La empresa ha cerrado la evaluación de doble materialidad conforme al ESRS 1 párrafo 41. Ha determinado materiales:
- ESRS E1 (cambio climático): emisiones de alcance 1, 2 y parte del 3 - ESRS E4 (biodiversidad): impacto de instalaciones en ecosistemas locales - ESRS S1 (trabajadores propios): salud y seguridad laboral en obra - ESRS G1 (conducta empresarial): gestión de riesgos climáticos y ambientales
planificación del encargo limitado
Memorando de planificación CSRD: procedimientos de aseguramiento limitado conforme a ISSA 5000, diseñados para obtener evidencia suficiente y apropiada en línea con la naturaleza limitada del encargo, con cobertura sustantiva inferior a la prevista para un encargo razonable.
Aquí aparece la primera complicación práctica. La empresa no tenía un coordinador interno de CSRD hasta enero. Lo nombran tres semanas antes de la planificación. El equipo de aseguramiento decide ampliar la fase de conocimiento del sistema en quince horas adicionales sin cargo. ¿Por qué? Porque sin ese conocimiento, el resto del encargo no se sostiene, y el socio sabe que el cliente lo necesita el año que viene también.
conocimiento y evaluación de riesgos
Para ESRS E1 (emisiones), el equipo realiza:
- Indagación con la directora de sostenibilidad sobre metodologías de cálculo - Revisión del 15 % de facturas de electricidad para emisiones de alcance 2 - Análisis comparativo de intensidad de emisiones frente a empresas similares
Documentación: indagación con [nombre y cargo]. Muestra de facturas revisada: 18 sobre 120 (15 %). Resultado: sin inconsistencias en factores de emisión.
procedimientos sustantivos limitados sobre datos cuantitativos
Para verificar las emisiones de alcance 1 reportadas (2.450 toneladas CO2e):
- Recálculo de una muestra de combustibles fósiles usados en maquinaria de obra - Confirmación externa con el proveedor principal de combustible (60 % del total) - Análisis de variación interanual
Documentación: recálculo realizado para 3 sobre 12 tipos de maquinaria. Confirmación recibida de Suministros Industriales Levante S.L., 1,8 millones de litros suministrados. Variación interanual: +12 %, explicada por dos proyectos nuevos.
información cualitativa ESRS
Para ESRS S1 (trabajadores), procedimientos limitados:
- Indagación sobre políticas de salud y seguridad - Inspección de una muestra de certificaciones de formación - Revisión de estadísticas de accidentalidad reportadas
Documentación: política de seguridad revisada, fechada en marzo de 2024. Muestra de 25 certificados sobre 340 empleados. Estadística reportada: 0,8 accidentes por 100.000 horas trabajadas, dentro del rango sectorial 0,6-1,2.
conclusión limitada
El dictamen expresa una conclusión negativa: "Basados en nuestro trabajo descrito en este informe, no hemos identificado nada que nos haga creer que el informe de sostenibilidad de Mediterránea Energías Renovables S.L. para el ejercicio terminado el 31 de diciembre de 2026 no ha sido preparado, en todos los aspectos materiales, de conformidad con los estándares ESRS aplicables."
Yo creo que esa fórmula, leída por un consejo de administración, transmite una seguridad mayor que la que el encargo realmente sustenta. Y esa brecha entre lo que el dictamen sugiere y lo que el papel de trabajo aguanta es, hoy, el principal riesgo profesional del aseguramiento CSRD.
Diferencias prácticas entre limitado y razonable
Alcance de procedimientos
Aseguramiento limitado CSRD:
- Indagación y análisis como base (ISSA 5000, principio de procedimientos diseñados para detectar) - Muestreo reducido: típicamente 10-20 % de poblaciones de datos - Confirmaciones externas opcionales, basadas en evaluación de riesgos - Inspección física limitada a elementos de mayor riesgo
Aseguramiento razonable CSRD (futuro):
- Procedimientos de mayor sustancia: confirmación, recálculo, observación directa - Muestreo estadísticamente representativo: 60-90 % según materialidad - Confirmaciones externas para elementos materiales por defecto - Inspección física de instalaciones y procesos materiales
Estructura del dictamen
Dictamen limitado:
- Conclusión negativa: "No hemos identificado nada que nos haga creer que..." - Párrafo de limitación, explícito sobre el alcance menor que el razonable - Base para la conclusión: procedimientos realizados y limitaciones inherentes
Dictamen razonable (futuro):
- Opinión positiva: "En nuestra opinión, el informe de sostenibilidad presenta fielmente..." - Sin párrafo de limitación - Base para la opinión: evidencia suficiente y apropiada obtenida
Documentación
Para el limitado, ISSA 5000 exige documentar los procedimientos realizados y la evidencia obtenida, las inconsistencias detectadas y cómo se resolvieron, y la base de cualquier conclusión modificada. Para el razonable, : evaluación detallada del sistema de control interno de sostenibilidad, análisis de riesgos por aseveración y procedimientos adicionales diseñados para responder a esos riesgos.
Tiempo y recursos
Estimación para Mediterránea Energías Renovables S.L.:
- Aseguramiento limitado: 120-150 horas (socio, gerente, sénior) - Aseguramiento razonable: 280-350 horas (equipo ampliado con especialista ambiental)
La diferencia no es solo cuantitativa. El razonable exige especialización técnica más profunda, sobre todo para evaluar metodologías de medición de emisiones y validar supuestos de proyecciones climáticas.
Donde dos socios honestos discrepan
He visto esta conversación en varias firmas medianas españolas, casi con las mismas palabras.
Socia A: "Limitado de doble materialidad en año uno es perfectamente alcanzable. Ampliamos la prueba del proceso de la dirección, dejamos por escrito las limitaciones, y la conclusión negativa cubre el riesgo. Si rechazamos cada encargo donde el cliente no tiene un sistema maduro, no firmamos ninguno."
Socio B: "Yo creo que sin controles ESG de base y con vacíos de datos a mitad de año, ni el limitado se sostiene. Si lo firmas, estás emitiendo una opinión cuyo respaldo documental no aguantaría una revisión del ICAC. Prefiero rechazar el encargo y perder la cuota antes que defender ese papel de trabajo en una inspección dentro de tres años."
Las dos posturas tienen lógica. La de la socia A protege la cartera y construye experiencia para el razonable que viene; la del socio B protege el sello del despacho. Lo que no he visto a nadie defender con seriedad es la postura intermedia de "firmamos, pero metemos un párrafo de énfasis muy gordo": eso, técnicamente, no resuelve el fondo del problema.
El segundo plano que casi nadie pone por escrito
Y aquí va la parte incómoda. La combinación de presión de honorarios en el primer año del encargo, escasez real de auditores formados en sostenibilidad, y clientes que exigen una conclusión sin matices para enseñársela a su banco va a producir, en los primeros dos o tres ciclos CSRD, un volumen apreciable de conclusiones limpias que en una inspección posterior no se sostendrían. No es una hipótesis pesimista, es la matemática del incentivo. Por eso conviene dejar el papel de trabajo blindado desde el primer encargo, aunque el cliente proteste.
Lista de comprobación
1. Determine qué clientes entran en cada fase CSRD: grandes EIP (2024), otras grandes empresas (2025), PYME cotizadas (2027). Use los tres umbrales: empleados, cifra de negocios, balance.
2. Establezca alianzas con especialistas en sostenibilidad para los aspectos técnicos de ESRS E1-E5. El auditor financiero puede sostener la estructura del encargo, pero necesitará apoyo técnico para validar metodologías de emisiones.
3. Desarrolle plantillas de papeles de trabajo específicas CSRD bajo ISSA 5000. Los papeles financieros tradicionales no capturan los elementos cualitativos de sostenibilidad.
4. Planifique la transición al razonable ahora. Aunque la fecha firme se conozca tras el informe de la Comisión de octubre de 2028, algunos clientes lo pedirán antes por presión del banco financiador.
5. Forme al equipo en ISSA 5000 y en la articulación con NIA-ES. Los procedimientos de aseguramiento no financiero requieren un enfoque adaptado, especialmente para distinguir conclusiones negativas de opiniones positivas.
6. Identifique qué ESRS aplican típicamente a sus clientes por sector. Manufactureras: ESRS E1, E3, S1. Servicios financieros: ESRS E1, S4, G1. Inmobiliarias: ESRS E1, E4, S1.
Errores frecuentes
Contenido relacionado
- Calculadora de materialidad ESRS: herramienta para evaluar qué ESRS aplican según la doble materialidad del cliente. - Guía de ISAE 3000 para auditores financieros: diferencias principales entre auditoría financiera y trabajos de aseguramiento no financiero. - Cronograma de aplicación CSRD por país: fechas de transposición nacional y autoridades competentes por Estado miembro.