Por dónde falla el encargo antes de empezar
Empecemos por el final, que es donde se ve el problema. Después de tres encargos consecutivos en mi equipo, el patrón de fracaso se repite. La dirección entrega un informe de sostenibilidad con un apartado G1 cosmético, el auditor pide la documentación soporte, y aparece un vacío. No hay actas del comité de ética porque el comité no se reunió. No hay registros de formación anticorrupción con listado de asistencia. No hay matriz de materialidad doble, o la hay pero sin criterios cuantitativos reproducibles.
Lo que ocurre en realidad es que ESRS G1 llega a muchas empresas medianas españolas sin una infraestructura ética previa sobre la que apoyarse. La norma asume gobernanza y documenta lo que ya existe. El cliente asume que la norma define qué implantar. El auditor queda en medio. Y el socio necesita el cliente, así que la tentación de sacar adelante con lo que hay es real.
Ese es el contradicción estructural de este estándar. ESRS G1 exige evidencia de una cultura de cumplimiento que, en muchas entidades del segundo rango empresarial español, nunca se documentó formalmente porque hasta ahora nadie la pedía. Reportar sobre lo que no existe documentalmente no se resuelve con redacción hábil.
Marco regulatorio y requisitos de aseguramiento
Aplicación de CSRD y ESRS G1
La Directiva de Informes de Sostenibilidad Corporativa (CSRD) establece en su artículo 19a que las grandes empresas que cumplan dos de tres umbrales de tamaño deben reportar bajo todos los estándares ESRS aplicables para ejercicios fiscales que comiencen el 1 de enero de 2025 o después. En España, la transposición se canaliza a través del anteproyecto de ley de información corporativa sobre sostenibilidad, con supervisión sobre el emisor cotizado a cargo de la CNMV y control de la calidad del aseguramiento a cargo del ICAC.
ESRS G1 "Conducta empresarial" cubre cinco subtemas obligatorios de evaluación de materialidad: - ESRS G1.1: cultura empresarial - ESRS G1.2: protección de denunciantes - ESRS G1.3: corrupción y soborno - ESRS G1.4: pagos a gobiernos - ESRS G1.5: actividades de lobby político
El cronograma de aplicación es escalonado: - 2025: grandes empresas sujetas a NFRD existente (aprox. 12.000 entidades en la UE) - 2026: grandes empresas no sujetas previamente a NFRD (aprox. 37.000 entidades adicionales) - 2027: PYME cotizadas, aseguradoras y entidades de crédito pequeñas y medianas - 2028: empresas no europeas con filiales significativas en la UE
Nivel de aseguramiento y responsabilidades del auditor
La CSRD exige aseguramiento limitado de todos los informes de sostenibilidad, incluyendo las divulgaciones bajo ESRS G1. Los Estados miembros pueden requerir que el auditor estatutario proporcione este aseguramiento, o permitir un proveedor de aseguramiento independiente. Por lo que conozco, en España la vía dominante será el auditor estatutario, con inspección posterior del ICAC sobre una muestra de trabajos.
Para auditores estatutarios que proporcionan aseguramiento CSRD: - Aplicar ISAE 3000 (Revisada) como marco principal - Obtener comprensión suficiente de los controles internos sobre informes de sostenibilidad según ISAE 3000.46 - Evaluar la materialidad doble aplicada por la dirección según ESRS 1.50-1.53 - Verificar que las divulgaciones obligatorias están completas según ESRS 1.30
En teoría, el aseguramiento limitado permite un alcance de pruebas inferior al razonable. En la práctica, y esto se ha visto en los primeros informes de inspección cruzados con el resto de Europa, los reguladores esperan que el auditor documente el escepticismo sobre la completitud. Lo he dicho en sala: aseguramiento limitado no significa aceptación limitada.
Evaluación de materialidad doble para ESRS G1
Marco de materialidad doble
ESRS 1.50 establece que la materialidad doble considera tanto el impacto (perspectiva inside-out) como la dependencia financiera (perspectiva outside-in). Para ESRS G1 esto significa evaluar dos dimensiones.
Materialidad de impacto: ¿las prácticas de conducta empresarial de la entidad generan impactos significativos en personas, medio ambiente o economía?
Materialidad financiera: ¿los riesgos de conducta empresarial (multas regulatorias, daño reputacional, pérdida de licencias) podrían generar efectos financieros significativos?
Aquí aparece la primera zona gris seria. La norma exige scoring. El estándar no impone metodología. El cliente pide plantilla. Y la plantilla, cuando existe, acaba arrastrada a un tick-box sin criterio defendible. Sostengo que no se puede firmar un aseguramiento limitado sobre una matriz de materialidad doble sin trazabilidad cuantitativa, porque sin escala reproducible la materialidad deja de ser una evaluación y pasa a ser una opinión. Y una opinión no se audita, se respeta o se discute.
Aplicación práctica por subtema
ESRS G1.1 - Cultura empresarial: material de impacto si la cultura organizacional afecta de forma notable el bienestar de empleados, comunidades o stakeholders. Material financieramente si una cultura tóxica puede generar rotación alta, litigios o pérdida de talento.
ESRS G1.2 - Protección de denunciantes: casi siempre material de impacto para empresas con más de 50 empleados (requisito legal EU Whistleblower Directive). Material financieramente si sectores regulados o con exposición regulatoria alta.
ESRS G1.3 - Corrupción y soborno: material de impacto para empresas en sectores de alto riesgo (construcción, energía, gobierno). Material financieramente para todas las empresas por riesgos de multas, exclusión de contratos públicos y daño reputacional.
ESRS G1.4 - Pagos a gobiernos: material principalmente para industrias extractivas, energía y grandes contratistas públicos según ESRS G1.77.
ESRS G1.5 - Lobby político: material para empresas con gastos significativos en actividades de lobby o membresías en asociaciones que ejercen lobby según ESRS G1.83.
Divulgaciones obligatorias bajo ESRS G1
Estructura de divulgación por subtema
Para cada subtema material, ESRS G1 requiere divulgaciones en tres categorías: gobernanza (procesos, controles y responsabilidades de supervisión), estrategia (políticas, compromisos y acciones) y métricas e indicadores (KPIs cuantitativos y cualitativos).
ESRS G1.1 - Cultura empresarial
Divulgaciones obligatorias según ESRS G1.2: - Descripción de la cultura empresarial y cómo se monitorea su efectividad - Políticas relacionadas con la cultura (códigos de conducta, valores corporativos) - Acciones tomadas para desarrollar, mantener y mejorar la cultura empresarial - Métricas para evaluar la cultura, incluyendo encuestas a empleados, tasas de rotación por categoría, y incidentes éticos reportados
Fuentes de evidencia para aseguramiento: - Documentación de políticas y procedimientos de recursos humanos - Resultados de encuestas de clima laboral con tasas de respuesta - Actas de comités de ética o cultura - Registros de formación en valores corporativos con asistencia documentada - Reportes de auditoría interna sobre cultura y ética
La norma dice que la cultura se evalúa. Lo que ocurre en realidad es que la evidencia disponible se reduce a tres cosas: la encuesta de clima (muchas veces externalizada y sin control sobre la muestra), la rotación (que mide salidas, no cultura) y las actas del comité de ética (que en medianas españolas se reúne dos veces al año y sin orden del día detallada). El auditor acaba triangulando con entrevistas a RRHH y con lectura transversal de actas del consejo. No es bonito, pero es lo que hay.
ESRS G1.2 - Protección de denunciantes
Divulgaciones obligatorias según ESRS G1.12: - Políticas sobre protección de denunciantes conforme a EU Whistleblower Directive - Canales de denuncia disponibles (internos, externos, anónimos) - Número de reportes recibidos por categoría durante el periodo - Medidas tomadas como resultado de investigaciones
Procedimientos de aseguramiento principal: - Verificar que los canales de denuncia cumplen requisitos de la EU Whistleblower Directive 2019/1937 - Comprobar independencia de la función de gestión de denuncias - Revisar registros de denuncias recibidas y su seguimiento - Evaluar efectividad de medidas de protección contra represalias
En nuestro equipo hemos visto un patrón que no aparece en la norma. Muchas denuncias entran por canales informales (email al director de RRHH, WhatsApp al jefe de planta) y nunca llegan al sistema formal. Reportar "12 denuncias recibidas en 2024" sin considerar ese caudal paralelo es técnicamente correcto y materialmente engañoso. Aquí el auditor tiene que decidir qué alcance dar a su escepticismo, y mi opinión es que hay que incluir al menos una consulta de existencia a la línea jurídica interna porque si no el dato de denuncias se convierte en un número sin significado.
ESRS G1.3 - Corrupción y soborno
Divulgaciones obligatorias según ESRS G1.21: - Políticas anticorrupción incluyendo debida diligencia en terceros - Formación proporcionada a empleados sobre riesgos de corrupción - Casos confirmados de corrupción durante el periodo de reporte - Multas o sanciones por corrupción y medidas correctivas tomadas
Consideraciones de aseguramiento: - Obtener carta de representación de la dirección sobre completitud de casos reportados - Revisar correspondencia con reguladores y autoridades judiciales - Verificar que las políticas cubren regalos, hospitalidad y contribuciones políticas según sector - Evaluar due diligence en socios comerciales de alto riesgo
ESRS G1.4 - Pagos a gobiernos
Aplicable principalmente a industrias extractivas. Requiere divulgación de: - Pagos por país y por proyecto cuando excedan 100.000 euros anuales - Tipos de pago (impuestos, regalías, bonos de firma, tasas de licencia) - Base legal de los pagos
ESRS G1.5 - Lobby político
Divulgaciones obligatorias según ESRS G1.83: - Principales temas objeto de actividades de lobby - Gastos en lobby directo e indirecto (a través de asociaciones) - Posiciones sobre regulaciones o políticas públicas que afectan la estrategia empresarial
Aquí hay un punto donde profesionales razonables discrepamos. Un sector de colegas sostiene que la membresía pasiva en una asociación sectorial (SEOPAN, CEOE) no constituye "lobby material" y basta con divulgar la cuota. Otro sector, del que yo formo parte, sostiene que si la asociación emite posicionamientos públicos sobre regulación que afecta al cliente, la pertenencia sí es material porque el cliente delega voz política en la asociación. No hay jurisprudencia ESRS todavía. Quien diga que esto está claro no ha leído el texto.
Ejemplo práctico: evaluación integral de ESRS G1
Escenario: Mediterráneo Industrial S.A.
Perfil de la empresa: - Sociedad anónima española, Barcelona - Sector: construcción e ingeniería civil - Empleados: 850 (supera umbral CSRD) - Ingresos 2024: 145 millones de euros - Contratos públicos: 65% de facturación - Primera aplicación CSRD: ejercicio 2025
evaluación de materialidad doble
ESRS G1.1 (cultura): material por impacto (850 empleados, sector con riesgos laborales altos) y financiero (retención de talento técnico, certificaciones ISO requeridas para contratos).
Documentación: matriz de materialidad doble con scoring cuantitativo para impacto (escala 1-5) y riesgo financiero (probabilidad × impacto financiero). Cultura empresarial: impacto 4, financiero 4, total 16.
ESRS G1.2 (denunciantes): material obligatoriamente por EU Whistleblower Directive (>50 empleados) y financiero por contratos públicos.
Documentación: canal de denuncias implementado en Q3 2023 según Ley 2/2023 de protección de denunciantes. Sistema gestionado por proveedor externo independiente.
ESRS G1.3 (anticorrupción): material por sector construcción e impacto financiero (exclusión de contratos públicos, multas CNMC).
Documentación: sector construcción catalogado como "alto riesgo" por Transparency International. 65% ingresos de contratos públicos aumenta exposición regulatoria.
ESRS G1.4 (pagos gobierno): no material. Construcción civil no es industria extractiva según ESRS G1.77.
ESRS G1.5 (lobby): material limitado. Membresía en asociación sectorial (SEOPAN) con actividad de lobby.
Complicación real del encargo: a mitad del trabajo de campo aparece en prensa local una denuncia por un subcontratista que habría pagado una comisión irregular a un técnico municipal. La dirección de Mediterráneo sostiene que el subcontratista no está bajo su perímetro de reporte porque no hay control accionarial. Aquí no hay respuesta de manual. ESRS G1 exige informar sobre prácticas de cadena de valor cuando son materiales, y la pregunta es si un subcontratista que representa el 4% del coste de obra entra en el perímetro material. La decisión que tomamos (y defenderé en la revisión del ICAC si hace falta) fue incluir el incidente en la divulgación G1.3 como "evento de cadena de valor relevante" y documentar el reasoning en papeles de trabajo, porque no informar de lo que estaba en El Periódico era insostenible.
divulgaciones requeridas
Gobernanza: - Comité de Ética reporta trimestralmente al Consejo de Administración - Director de Cumplimiento con reporte directo al CEO - Auditoría interna incluye revisión anual de riesgos éticos
Documentación: actas del consejo Q4 2024 muestran reporte del Comité de Ética. Organigrama actualizado febrero 2025 refleja posición de Director de Cumplimiento.
Estrategia y políticas: - Código de Conducta actualizado enero 2025 con módulos específicos ESRS G1 - Política anticorrupción revisada incluyendo due diligence en subcontratistas - Manual de denuncias según Ley 2/2023
Documentación: políticas aprobadas por consejo con fechas de entrada en vigor. Formación obligatoria a empleados con registro de completitud 96% (832/850 empleados).
métricas y KPIs
ESRS G1.1 - cultura: - Encuesta clima laboral 2024: 78% satisfacción general (78% tasa respuesta) - Rotación voluntaria: 8,2% (sector benchmark: 12%) - Horas formación ética por empleado: 4,5h anuales
Documentación: informe de consultora externa sobre encuesta. Cálculo rotación basado en empleados que salieron por decisión propia dividido por plantilla media.
ESRS G1.2 - denunciantes: - Denuncias recibidas 2024: 12 (7 laborales, 3 éticas, 2 medioambientales) - Tiempo medio investigación: 23 días - Medidas correctivas implementadas: 8 casos
Documentación: registro del sistema externo de denuncias con categorización. Tracking de investigaciones con fechas inicio/cierre.
ESRS G1.3 - anticorrupción: - Casos confirmados corrupción: 0 - Empleados formados anticorrupción: 100% directivos, 85% resto plantilla - Due diligence subcontratistas: 45 evaluaciones (100% contratos >100.000€)
Documentación: certificación del abogado externo sobre ausencia de casos. Registro formación con certificados. Base de datos due diligence con scoring de riesgos.
procedimientos de aseguramiento aplicados
Comprensión del sistema de control interno: - Walkthrough del proceso de identificación y gestión de denuncias - Pruebas sobre segregación de funciones entre recepción e investigación - Evaluación de independencia del proveedor externo del canal
Pruebas sustantivas: - Muestra de 8 denuncias: verificación de investigación completa y medidas correctivas - Confirmación externa con proveedor del sistema sobre integridad de reportes recibidos - Revisión analítica: comparación rotación por departamentos vs. benchmark sector
Verificación de completitud: - Carta de representación de la dirección sobre divulgación completa de casos éticos - Consulta a auditoría interna sobre hallazgos no divulgados - Revisión de actas del Comité de Ética y consejo sobre temas no reportados
Documentación: alcance de verificación cubre 95% de métricas cuantitativas. Conclusión: información presentada es coherente con evidencia obtenida.
Lista de verificación práctica para ESRS G1
1. Completar evaluación de materialidad doble para los cinco subtemas de ESRS G1, documentando tanto impacto como riesgos financieros según ESRS 1.50 2. Verificar que el canal de denuncias cumple EU Whistleblower Directive si la entidad tiene más de 50 empleados, incluyendo protecciones contra represalias 3. Obtener carta de representación específica sobre completitud de casos de corrupción, investigaciones éticas y sanciones regulatorias durante el ejercicio 4. Revisar correspondencia con reguladores (CNMC, CNMV si procede, autoridades fiscales, organismos sectoriales) para identificar investigaciones o multas no divulgadas 5. Validar métricas de cultura empresarial con fuentes independientes como encuestas de clima laboral, datos de rotación por RRHH y registros de formación 6. Documentar la evaluación de materialidad doble con criterios cuantitativos reproducibles; sin escala trazable, las divulgaciones posteriores no sostienen una inspección del ICAC
Errores frecuentes en ESRS G1
- Confundir materialidad contable con materialidad doble: ESRS 1.50 requiere evaluación separada de impactos y riesgos financieros, no solo umbral cuantitativo tradicional - Divulgar métricas sin contexto sectorial: las tasas de rotación o satisfacción laboral necesitan benchmarks sectoriales para ser interpretables por usuarios - Documentación incompleta de casos de denuncia: el seguimiento debe cubrir desde recepción hasta resolución final, incluyendo medidas correctivas implementadas
Una última observación que no se deduce del texto de la norma. La arquitectura de ESRS G1 castiga silenciosamente a las empresas que sí tienen cultura ética informal pero no la documentan, y premia a las que tienen políticas formales impresionantes aunque la cultura real sea tóxica. La divulgación es un espejo de procesos, no de comportamiento. Quien audite G1 en serio tiene que mantener esa distinción en la cabeza cada vez que lee un código de conducta nuevo recién firmado.
Contenido relacionado
- Guía de materialidad doble ESRS: marco conceptual completo para evaluar impactos y dependencias financieras según ESRS 1 - Plantilla de evaluación ESRS G1: hoja de trabajo estructurada para documentar materialidad, divulgaciones y métricas de los cinco subtemas de conducta empresarial - ISAE 3000 para sostenibilidad: aplicación práctica del estándar de aseguramiento a reportes CSRD y divulgaciones ESRS