Qué falla antes de que empiece la auditoría

Vaya por delante que el problema del ESRS S2 no es técnico. Es de acceso.

La norma exige evaluar si los trabajadores de la cadena de valor sufren impactos materiales: trabajo infantil, horarios excesivos, salario por debajo del mínimo vital, discriminación, libertad sindical restringida. Para concluir sobre eso con la evidencia que exige la NIA-ES 3000 Revisada (y la ISAE 3000 subyacente), el auditor necesita ver algo: datos del proveedor, inspecciones de terceros creíbles, entrevistas con trabajadores, registros de jornada. En una cadena de Tier 1 europea, a veces se consigue. En Tier 2 fuera de la UE, por lo que he visto en los encargos que he llevado, no se consigue casi nunca.

Lo que pasa en la práctica es que el cliente entrega lo que tiene (un código de conducta de proveedores, una certificación SA8000 o BSCI escaneada, el acta de una auditoría social encargada hace dos años) y el equipo lo apila en el legajo. El revisor lo mira y sabe que aquello no es evidencia sobre el período; es evidencia de que alguien, en algún momento, miró. Pero computar horas en discutirlo con el socio en campaña no sale a cuenta, así que el papel se queda. Cuando llega la inspección del ICAC dos cierres después, esos papeles van a ser bombas de relojería.

Desde mi punto de vista, ese es el agujero central del S2. No que la norma sea mala. Es que obliga a concluir sobre hechos ocurridos en fábricas a las que el auditor no puede entrar, y el cliente, en muchos casos, tampoco.

Qué exige la norma, línea a línea

El ESRS S2, establecido por la Directiva CSRD (2022/2464/UE) y desarrollado por EFRAG, define "trabajadores en la cadena de valor" como todas las personas que trabajan en la cadena de valor de la entidad informante, excluyendo a sus propios empleados directos. El párrafo ESRS S2.7 abarca:

- Trabajadores de proveedores directos e indirectos - Personal de subcontratistas y franquiciados - Trabajadores temporales suministrados por agencias - Empleados de socios comerciales cuando existe control o influencia significativa

Los riesgos son materiales bajo doble materialidad (ESRS 1, párrafos 43 a 53) si generan impactos financieros relevantes para la entidad o si representan impactos significativos sobre los trabajadores, con independencia de su efecto financiero. Esto último es lo que mucha gente todavía no ha interiorizado: un impacto puede ser material aunque no mueva ni un euro de la cuenta de resultados del cliente.

Las entidades que cumplen dos de tres criterios (más de 250 empleados, facturación superior a 40 millones de euros, activos totales superiores a 20 millones) informan bajo ESRS para ejercicios iniciados desde el 1 de enero de 2025. El nivel es verificación limitada bajo ISAE 3000 R (y su transposición NIA-ES 3000 R) durante los primeros tres ejercicios, con posibilidad de pasar a razonable a partir del cuarto. Verificación limitada significa concluir que "no ha llegado a nuestro conocimiento nada" que indique incorrecciones materiales. Es una conclusión negativa, pero sigue requiriendo evidencia suficiente y adecuada.

Para entidades españolas, el Real Decreto que transpone la CSRD deja la supervisión en el Instituto de Contabilidad y Auditoría de Cuentas (ICAC), en coordinación con CNMV para las cotizadas. Las firmas de auditoría pueden prestar la verificación siempre que mantengan independencia respecto al encargo de auditoría estatutaria.

Hasta aquí la teoría. Donde empieza el juicio profesional es en los párrafos S2.15 a S2.19: políticas, acciones, indicadores, compromisos temporales. Si los riesgos son materiales, esa información tiene que estar. Si no está, el auditor debe valorar si la omisión es ella misma una incorrección material, o si la entidad no tiene cómo obtener los datos y lo ha documentado adecuadamente como limitación.

Caso: el proveedor de Tier 2 que no quiere hablar

Manufacturas Levantinas S.L. (nombre ficticio, perfil real que he visto tres veces este año). Valencia, ropa deportiva, 420 empleados directos, 85 millones de facturación. Subcontrata producción a seis fábricas: tres en Portugal (Tier 1, auditadas anualmente por BSCI), dos en Marruecos y una en Vietnam.

El problema es el Tier 2 marroquí. El proveedor directo portugués subcontrata el teñido y acabado a dos talleres cerca de Casablanca. La dirección de Manufacturas Levantinas los identifica en el mapeo, les envía el cuestionario de due diligence, y la respuesta del proveedor portugués llega por correo: "nuestros subcontratistas marroquíes no autorizan la recogida de datos sobre trabajadores porque consideran que es información confidencial de su relación laboral". El contrato entre Manufacturas Levantinas y el proveedor portugués no incluye cláusulas de auditoría en cascada, así que no hay palanca contractual. El cliente no puede forzar nada.

En paralelo, una ONG publicó en 2023 un informe sobre condiciones en el sector textil marroquí de Casablanca, con estimación de un 12% de menores de 18 años y jornadas medias de 58 horas semanales. El informe no identifica los talleres concretos, pero sí el cluster geográfico donde operan los dos subcontratistas del proveedor portugués.

¿Qué hace el equipo?

Paso uno, el mapeo. La matriz de cadena de valor identifica ubicaciones, número estimado de trabajadores, productos suministrados y nivel (Tier 1, Tier 2). El Tier 2 marroquí queda marcado como alto riesgo geográfico con acceso denegado.

Paso dos, la doble materialidad. Impacto financiero: en 2024, Manufacturas Levantinas perdió 2,3 millones en pedidos cuando un cliente europeo canceló tras una noticia sobre el sector textil marroquí. Impacto sobre personas: los dos talleres emplean unos 380 trabajadores según estimación del proveedor portugués; el informe de la ONG sugiere que una parte significativa son menores. Material bajo ambos criterios.

Paso tres, procedimientos de verificación. Aquí es donde el expediente se complica. Sin acceso, el auditor aplica lo que tiene: revisión del informe de la ONG, correspondencia entre Manufacturas Levantinas y el proveedor portugués, evaluación del sistema de gestión del cliente (código de conducta, procedimientos de escalado, evidencia de que la dirección solicitó la información y la negativa fue formal).

Paso cuatro, controles de la entidad. Manufacturas Levantinas tiene código de conducta y procedimiento de escalado sobre el papel. Lo que no tiene es capacidad de ejecución: cuando el proveedor portugués dijo que no, la dirección no escaló a la comisión de sostenibilidad ni inició proceso de sustitución del proveedor. Hay código, no hay comportamiento.

Conclusión: los riesgos son materiales, la información que publica el cliente bajo ESRS S2.15-S2.19 es parcial, y el auditor tiene que decidir qué hace con eso en el informe.

Dos socios, dos lecturas

El socio A lee el expediente y su posición es la siguiente: hay limitación al alcance en Tier 2, la entidad la ha documentado, el resto de la información es coherente, emitimos conclusión limitada sin matices y describimos la limitación en un párrafo de "Responsabilidad de la dirección". El cliente ha hecho lo que razonablemente podía.

El socio B lee el mismo expediente y discrepa: no es una limitación al alcance nuestra, es una omisión de información material por parte de la entidad. El ESRS S2.15 exige declarar políticas; existen. El S2.16 exige declarar acciones; las acciones están descritas, pero no se ejecutaron cuando llegó el momento. El S2.17 exige indicadores; no hay ninguno sobre Tier 2 marroquí y la entidad no ha desplegado procedimiento alternativo. Para el socio B, la conclusión limpia es un brindis al sol; toca salvar la conclusión, o retirarse del encargo.

Ambas lecturas son defendibles dentro de la NIA-ES 3000 R. El socio A se apoya en la proporcionalidad del verificación limitada y en que el cliente no tiene control sobre el subcontratista. El socio B se apoya en que la doble materialidad hace irrelevante la excusa del acceso: si el impacto es material y el cliente no tiene cómo reportarlo, el informe de sostenibilidad está incompleto, y el auditor no puede firmar como si no lo estuviera.

En mi caso, he visto los dos enfoques aguantar inspecciones del ICAC y del FRC británico en encargos equivalentes bajo ISAE 3000. Lo que nunca aguanta es el término medio: conclusión limpia, limitación mencionada de pasada en el párrafo de otros asuntos, y ningún rastro en el expediente de que el socio se planteara la alternativa.

Por qué el agujero sigue abierto incluso con CSRD

Se podría pensar que la CSRD, al ser directiva vinculante y al poner sanciones sobre la entidad informante, cerraría el agujero. No lo cierra. Lo mueve.

La entidad informante tiene un incentivo clarísimo a reportar bajo S2, porque la ausencia de información le genera problema con CNMV, con inversores ESG y con el propio auditor. Pero la entidad informante sigue sin tener palanca sobre sus proveedores de Tier 2 fuera de la UE, porque esos proveedores no están en el perímetro de la directiva y no responden al regulador europeo. Lo que pasa entonces es lo que he visto en encargos de los últimos dos años: el cliente reporta "lo que sabe", lo que sabe es poco, y el auditor tiene que calibrar si eso es suficiente bajo el principio de proporcionalidad o si está marcando la casilla.

La segunda razón por la que el agujero persiste es de economía del encargo. La verificación limitada tiene honorarios acotados. Si el auditor quisiera hacer trabajo real sobre la cadena de valor en jurisdicciones opacas (contratar due diligence forense, viajar a Marruecos, entrevistar a trabajadores a través de una ONG local), el presupuesto no da. Y el socio necesita el cliente. Así que se acepta el perímetro que da el cliente, se documenta la limitación, y el expediente se firma.

Lo que pase en inspección depende de qué socio haya firmado, y de cuánto haya escrito en el memorando de juicio profesional.

Lista de verificación práctica para el expediente

1. Mapeo completo de la cadena de valor. Identificar ubicaciones con más de 50 trabajadores o que representen más del 5% del valor de compras. Marcar explícitamente Tier 1, Tier 2 y niveles posteriores. No dejar el Tier 2 fuera del mapa solo porque sea difícil.

2. Doble materialidad documentada por separado. El impacto financiero y el impacto sobre personas se evalúan con criterios distintos, y el archivo tiene que mostrar los dos análisis. Si uno está ausente, el juicio de materialidad es incompleto.

3. Completitud según ESRS S2.15 a S2.19. Políticas, acciones, indicadores, compromisos temporales. Cuando los riesgos son materiales y falta alguno de los cuatro, el auditor decide si es limitación del cliente, omisión material, o ambas cosas.

4. Fiabilidad de fuentes externas. SA8000, BSCI, Fair Trade son evidencia primaria solo si se verifica vigencia, alcance geográfico, y si la certificación se emitió después de auditoría en terreno (no de cuestionario remoto). Muchas certificaciones que circulan son autoevaluaciones con logo.

5. Limitaciones al alcance, redactadas con precisión. Cuando el acceso directo no es posible, documentar: qué se intentó, qué respuesta se obtuvo, qué procedimientos alternativos se aplicaron, por qué son suficientes (o por qué no lo son y eso afecta la conclusión).

6. Coherencia con otros informes. La información ESRS S2 tiene que cuadrar con el estado de información no financiera, con informes de sostenibilidad anteriores y con cualquier comunicación pública de la entidad sobre proveedores. Las inconsistencias aquí son fáciles de detectar por un revisor EQR.

Errores que veo repetirse

- Reducir el S2 a empleados directos. Es el error más frecuente y el más grave. Por lo que conozco de las inspecciones internacionales recientes, cerca de un tercio de los expedientes revisados no evalúan la cadena extendida. El ESRS S2 no va sobre la plantilla del cliente; va sobre todos los demás.

- Aplicar materialidad financiera únicamente. Los impactos sobre trabajadores pueden ser materiales sin mover la cuenta de resultados. Si el archivo solo documenta el ángulo financiero, el juicio de materialidad está cojo.

- Documentación insuficiente de procedimientos alternativos. Sin acceso a centros de trabajo, los equipos apilan certificaciones y cierran el legajo. Lo que falta es la reflexión explícita: por qué estas fuentes alternativas proporcionan (o no) evidencia suficiente bajo NIA-ES 3000 R, y qué efecto tiene eso en la conclusión.

Contenido relacionado

- Glosario: Doble materialidad ESRS: Cómo aplicar los criterios del ESRS 1 para determinar qué información es material bajo impacto y perspectiva financiera.

- Calculadora de materialidad ESRS: Herramienta para fijar umbrales cuantitativos y evaluar materialidad de impactos sociales y ambientales.

- Guía CSRD: Requisitos de verificación en España: Marco de verificación limitada y razonable bajo la transposición española de la directiva.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.