Qué falla en los primeros encargos CSRD

El error más repetido que he visto en revisiones internas no es técnico. Es de encuadre. El equipo abre el papel de planificación y trata la información de sostenibilidad como si fuera una partida más de las cuentas anuales (CCAA). Lista los ESRS materiales, fija una "materialidad de sostenibilidad" por analogía con la importancia relativa, y planifica indagaciones más procedimientos analíticos al estilo de un encargo de revisión limitada de estados financieros intermedios.

No funciona. Y no funciona por una razón estructural que la ISSA 5000 hace explícita.

El supuesto roto: control interno sobre datos ESG

La revisión limitada al estilo NIA-ES 2410 funciona porque asume un sistema contable maduro. El asiento contable se ha registrado, se ha cuadrado, se ha conciliado bancariamente. Las indagaciones y los procedimientos analíticos sirven para confirmar que ese sistema sigue operando. La evidencia subyacente existe.

En un primer ejercicio CSRD, ese supuesto se cae. Los datos de Alcance 3 se reúnen por correo electrónico desde una fábrica en Tánger en una hoja Excel sin control de versiones. El consumo eléctrico de la sede de Bilbao se mete a mano desde una factura escaneada. El indicador de rotación de plantilla bajo ESRS S1 lo calcula la directora de RR. HH. con una macro que escribió ella misma en 2022. No hay control interno en el sentido NIA-ES 315.A55. Hay datos.

Por lo que conozco, esto es lo que realmente ocurre en las primeras oleadas: el equipo de aseguramiento descubre la ausencia de controles a mitad de campo, ya con el presupuesto de horas medio consumido, y tiene que pivotar a un trabajo mucho más sustantivo del que había planificado. Y entonces el socio empieza a hacer cuentas.

Qué exige realmente la ISSA 5000

La ISSA 5000 no es una traducción literal de la Norma Internacional de Encargos de Revisión 2410 al mundo de la sostenibilidad. Es un estándar nuevo con su propia lógica, y conviene leer los párrafos uno por uno antes de planificar el primer encargo.

Evaluación del riesgo: ISSA 5000.95-99

El párrafo 95 exige que el profesional obtenga comprensión suficiente de la entidad, su entorno y el marco de información aplicable (en CSRD, los Estándares Europeos de Información de Sostenibilidad o ESRS) para identificar dónde la información de sostenibilidad puede contener incorrecciones materiales. Hasta aquí suena familiar.

La diferencia aparece en el párrafo 97: la evaluación del riesgo debe considerar la materialidad doble. No solo qué información puede afectar al valor de la entidad (perspectiva financiera), sino qué información sobre los impactos de la entidad sobre personas y medio ambiente puede ser materialmente incorrecta (perspectiva de impacto). Esto duplica el campo de juego del riesgo. La NIA-ES 315 no contempla la perspectiva de impacto, porque el lector financiero no la pide.

El párrafo 99 añade el remate: el profesional debe identificar los procesos por los cuales la entidad recopila, agrega, procesa e informa los datos de sostenibilidad, e identificar dónde esos procesos son inmaduros o están fragmentados. Si están inmaduros, hay que extender el trabajo. No es opcional.

Trabajo de aseguramiento limitado: ISSA 5000.115-118

Aquí es donde casi todo el mundo se equivoca. El párrafo 115 dice que el trabajo de aseguramiento limitado consiste en procedimientos diseñados para reducir el riesgo de aseguramiento a un nivel aceptable, pero superior al de un encargo de aseguramiento razonable. La trampa está en el "diseñados". El nivel de aseguramiento es menor; los procedimientos no se eligen del menú de NIA-ES 2410.

En la práctica, eso significa que la limited assurance bajo ISSA 5000 puede exigir inspección de documentación, recálculo de muestras de cálculos de emisiones, y observación física de procesos cuando la indagación y los procedimientos analíticos no producen evidencia suficiente. El párrafo 117 lo dice expresamente: cuando el profesional considera que las respuestas a indagaciones no son consistentes con otra información obtenida, debe diseñar y aplicar procedimientos adicionales para resolver la inconsistencia. Eso no es revisión; es trabajo sustantivo con etiqueta de aseguramiento limitado.

Documentación: ISSA 5000.A89

La A89 obliga a documentar el sistema de control interno sobre la información de sostenibilidad incluso cuando ese sistema sea rudimentario. Lo que realmente ocurre: el papel de trabajo dice "el cliente carece de sistema formalizado" y se queda ahí. El ICAC, cuando empiece a inspeccionar estos encargos en 2027, va a pedir la evaluación que justifica esa frase. Si no está, los papeles están flojos.

La zona gris: dónde la limited assurance se queda corta

Vamos a la parte que las firmas todavía no han resuelto. La conclusión de aseguramiento limitado se expresa en forma negativa: "no hemos identificado nada que nos haga creer que la información no está preparada de conformidad con los ESRS". Esa fórmula presupone que el profesional ha mirado lo suficiente para que el "no hemos identificado nada" tenga peso informativo.

Para una entidad financiera con sistemas de información financiera maduros y una NIIF estable, la fórmula funciona. Para una entidad de la primera oleada CSRD, con datos de Alcance 3 estimados al 80%, controles internos ESG inmaduros, y una matriz de doble materialidad recién estrenada, la pregunta honesta es: ¿qué nivel de trabajo justifica la conclusión negativa? La ISSA 5000 da el principio (suficiencia y adecuación de la evidencia) pero no la respuesta operativa. Ahí vive el juicio profesional, y ahí van a aparecer las salvedades cuando un encargo se revise dos años después.

Desde mi punto de vista, la limited assurance preserva la imagen fiel del informe de gestión solo si el auditor calibra el trabajo al riesgo real, no a la analogía con NIA-ES 2410. La diferencia es la línea entre un encargo defendible y uno con bombas de relojería listas para estallar cuando alguien revise los papeles en 2028.

Desacuerdo legítimo: cómo modelar el trabajo de aseguramiento limitado

Aquí hay una discusión real entre socios que llevan los primeros encargos CSRD en España, y conviene exponerla porque ambas posiciones tienen base.

El socio A sostiene que la limited assurance bajo ISSA 5000 debe modelarse procedimentalmente sobre los encargos de revisión, al estilo NIA-ES 2410: indagaciones, procedimientos analíticos, y trabajo sustantivo solo cuando aparezcan inconsistencias. Su razón: la ISSA 5000 distingue conceptualmente entre limited y reasonable assurance precisamente para que el coste y el alcance del primero sean menores. Si el profesional aplica trabajo sustantivo extenso por defecto, la distinción regulatoria entre los dos niveles desaparece y el cliente acaba pagando por un aseguramiento razonable disfrazado.

El socio B sostiene lo contrario. Su razón: el modelo de revisión NIA-ES 2410 asume un entorno de control que no existe en los primeros reportes CSRD. La indagación a la dirección sobre la metodología de cálculo de emisiones de Alcance 3 no produce evidencia de aseguramiento si la dirección misma carece de sistema formalizado para validar esa metodología. En ausencia de control interno fiable, el trabajo sustantivo no es lujo: es lo único que reduce el riesgo de aseguramiento al nivel exigido por la ISSA 5000.95-99.

Ambos tienen razón en su lógica interna. La diferencia operativa va a aparecer en los primeros expedientes que abra el ICAC. Lo más probable es que el regulador le dé la razón al socio B en los primeros años de la CSRD, hasta que los sistemas de información de sostenibilidad maduren lo suficiente para que el modelo del socio A vuelva a ser defendible.

Marco regulatorio: el calendario que importa

La Directiva sobre Informes de Sostenibilidad Corporativa (CSRD) establece en su artículo 34 que el auditor estatutario debe emitir conclusión de aseguramiento limitado sobre la información de sostenibilidad incluida en el informe de gestión. La información se prepara conforme a los ESRS adoptados por la Comisión Europea.

Calendario de aplicación

Primera oleada (ejercicios desde el 1 de enero de 2025): - Entidades de Interés Público (EIP) ya sujetas a la antigua Directiva de Informes No Financieros (NFRD) - Más de 500 empleados, y al menos uno de: facturación neta superior a 40 millones de euros o balance superior a 20 millones de euros - En torno a 11.700 entidades en la Unión Europea (UE)

Segunda oleada (ejercicios desde el 1 de enero de 2026): - Entidades grandes no sujetas a la NFRD - Más de 250 empleados, y al menos dos de: facturación neta superior a 50 millones de euros, balance superior a 25 millones de euros, plantilla superior a 250 personas - En torno a 49.000 entidades adicionales

Tercera oleada (ejercicios desde el 1 de enero de 2027): - Entidades cotizadas pequeñas y medianas (excepto microentidades) en mercados regulados de la UE

El paso a aseguramiento razonable

El considerando 76 indica que la Comisión evaluará la conveniencia de exigir aseguramiento razonable a más tardar el 31 de octubre de 2028, basándose en un estudio de costes y beneficios. Para una firma que entra ahora en CSRD, esto significa que el modelo procedimental que adopte para limited assurance condiciona el coste de migrar a reasonable assurance dentro de tres ejercicios. Si la limited se ha hecho con indagación-y-analítico al estilo NIA-ES 2410, el salto a reasonable va a ser brutal en horas.

Caso práctico complicado: Manufacturas Ibéricas, S. A.

Contexto del cliente: - Sociedad cotizada en Madrid con sede en Zaragoza - Facturación 2024: 180 millones de euros - 1.200 empleados en España y Portugal - Actividad: fabricación de componentes industriales metálicos - Sujeta a CSRD primera oleada (ejercicio 2025)

evaluación de aplicabilidad ESRS y materialidad doble

Bajo ESRS 1.40-1.41, Manufacturas Ibéricas debe evaluar la materialidad de todos los ESRS aplicables a su modelo de negocio y cadena de valor. La matriz de doble materialidad identifica como materiales: ESRS E1 (cambio climático), E2 (contaminación), E3 (agua), S1 (fuerza laboral propia), S2 (trabajadores en cadena de valor) y G1 (conducta empresarial).

Documentación esperada: matriz de doble materialidad con análisis de impacto cuantificado donde sea posible y cualitativo donde no, con referencia a las consultas a partes afectadas.

comprensión del control interno sobre información de sostenibilidad

Conforme a ISSA 5000.A89, el equipo de aseguramiento evalúa los controles internos sobre la recopilación y procesamiento de datos ESG.

Y aquí viene la complicación. A las tres semanas de campo, el equipo descubre que el dato de emisiones de Alcance 3 (categoría 1: bienes y servicios comprados) que el cliente había declarado como "calculado a partir del sistema ERP" en realidad lo ha estimado el departamento de sostenibilidad usando factores de emisión sectoriales del Greenhouse Gas Protocol y un porcentaje de cobertura del 62% sobre el gasto total en compras. El otro 38% es estimación pura.

¿Qué hacer? La indagación a la dirección no resuelve nada: la dirección confirma que la metodología es la que es. Los procedimientos analíticos no resuelven nada: no hay datos del año anterior con los que comparar. Bajo ISSA 5000.117, el equipo está obligado a aplicar procedimientos adicionales para resolver la inconsistencia entre la declaración inicial y la realidad descubierta.

El equipo opta por: (1) recálculo independiente de una muestra de los factores de emisión usados, contrastando contra la base de datos DEFRA 2024 y la base ADEME francesa; (2) inspección de la documentación interna del 38% estimado para evaluar si la base de la estimación es razonable; (3) memorando de juicio profesional documentando por qué se concluye (o no) que la estimación es razonable a efectos de aseguramiento limitado.

Documentación esperada: papel de trabajo de juicio profesional firmado por el socio del encargo, con referencia cruzada a las cédulas de recálculo y a la inspección de documentación interna.

procedimientos para ESRS E1 material

- Indagaciones a la dirección sobre la metodología de cálculo de emisiones Alcance 1, 2 y 3 - Procedimientos analíticos sobre el consumo energético contrastado con volúmenes de producción - Inspección de documentación de facturas eléctricas y certificados de energía renovable - Recálculo de una muestra de cálculos de emisiones bajo el GHG Protocol - Procedimiento adicional bajo ISSA 5000.117 cuando aparezcan inconsistencias entre indagación y documentación

Documentación esperada: papel de trabajo que detalla los procedimientos aplicados por cada punto de divulgación material bajo ESRS E1, con referencia cruzada a las cédulas de verificación.

formación de la conclusión

El equipo evalúa si la información de sostenibilidad está preparada, en todos los aspectos materiales, de conformidad con los ESRS aplicables. La conclusión se redacta en forma negativa siguiendo la ISSA 5000:

> "Basándonos en el trabajo descrito en este informe, no hemos identificado nada que nos haga creer que la información de sostenibilidad incluida en el informe de gestión de Manufacturas Ibéricas, S. A. correspondiente al ejercicio 2025 no está preparada, en todos los aspectos materiales, de conformidad con los Estándares Europeos de Información de Sostenibilidad aplicables."

Si el trabajo sobre Alcance 3 no resolvió la incertidumbre del 38% estimado, la conclusión debe modificarse. Esa salvedad va a doler comercialmente. Pero la imagen fiel del informe de gestión exige decirlo.

Lista de verificación práctica

Aceptación y continuidad

- Verificar el umbral CSRD aplicable (tamaño y fecha de aplicación) - Confirmar competencia del equipo en ESRS e ISSA 5000 (no es opcional bajo ISSA 5000.32) - Evaluar independencia respecto a servicios de consultoría ESG previos al cliente - Documentar el acuerdo de términos con referencia específica a CSRD y ESRS, no a "criterios aplicables"

Planificación

- Comprensión del marco ESRS y de la matriz de doble materialidad de la entidad - Identificación de los ESRS materiales y los puntos de divulgación bajo cada uno - Evaluación realista del control interno sobre información de sostenibilidad (no presumir madurez) - Estrategia de aseguramiento basada en la naturaleza, momento y extensión de los procedimientos

Ejecución

- Aplicar procedimientos para cada ESRS material identificado - Documentar indagaciones, procedimientos analíticos e inspección de evidencia de soporte - Evaluar la razonabilidad de las estimaciones de sostenibilidad (Alcance 3, factores de emisión) - Aplicar procedimientos adicionales bajo ISSA 5000.117 cuando surjan inconsistencias

Conclusión y dictamen

- Evaluar si las incorrecciones identificadas son materiales para la información tomada en conjunto - Preparar el informe conforme al formato ISSA 5000 - Incluir párrafo de responsabilidades de la dirección específico para información de sostenibilidad - Referirse específicamente a la conformidad con ESRS, no a "criterios aplicables" genéricos

Errores frecuentes que van a salir en las primeras inspecciones

Materialidad mal aplicada. Equiparar la importancia relativa financiera con la materialidad doble ESRS. La perspectiva de impacto considera efectos sobre partes afectadas externas, no solo el efecto sobre la entidad informante. El ICAC va a buscar esto.

Control interno asumido pero no evaluado. Los reguladores europeos van a pedir documentación específica sobre los controles de la entidad para la recopilación y validación de datos de sostenibilidad. Decir que "el cliente carece de sistema formalizado" sin más no es evaluación; es renuncia.

Conclusión mal redactada. Expresar conclusión sobre "información ESG" en lugar de "información de sostenibilidad preparada de conformidad con los ESRS aplicables". La terminología precisa no es estética; es requisito regulatorio.

Confusión computar horas con formación real en CSRD. El equipo que ha hecho un curso de cuatro horas sobre ISSA 5000 para sumar créditos de formación continuada no está cualificado para llevar el encargo. ISSA 5000.32 exige competencia real, no asistencia.

Por qué calibrar el esfuerzo de aseguramiento ESG es estructuralmente más difícil

Una sentencia que suelo decir cuando explico esto a equipos jóvenes: la incertidumbre de estimación en datos ESG es estructuralmente mayor que en datos financieros, los entornos de control sobre métricas ESG son inmaduros porque las métricas son recientes, y la doble materialidad obliga a evaluar impacto, no solo riesgo, lo que duplica el campo de trabajo sin duplicar las horas presupuestadas.

Contenido relacionado

- Glosario: materialidad doble ESRS — definición técnica y aplicación práctica del concepto en informes CSRD - Herramienta: calculadora de umbral CSRD — determinación de si una entidad está sujeta a requisitos CSRD según tamaño y cronograma - Artículo: ESRS 1 requisitos generales — guía sobre el estándar base que gobierna los informes CSRD

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.