La tesis, y por qué la defiendo
Vaya por delante que el aseguramiento ESRS S3 falla por una razón antes que por ninguna otra: el equipo acepta el discurso de engagement comunitario como si fuera un hecho contable. Y no lo es. Es una afirmación de la dirección. Requiere prueba. Por lo que conozco, los despachos mid-tier todavía no tienen procedimientos establecidos para verificar qué significa "engagement significativo" con una comunidad, y ese vacío se paga caro.
Aquí va el contraargumento honesto. Algunos socios sostienen que, en aseguramiento limitado bajo ISAE 3000, basta con revisar la metodología documentada y las actas del comité de sostenibilidad. No hace falta pisar el terreno. El alcance limited no lo exige. Lo entiendo. Pero también he visto expedientes donde la metodología está impecable sobre el papel y los papeles están flojos en cuanto uno pregunta por los nombres de las comunidades realmente consultadas.
El marco regulatorio y el encargo de aseguramiento
El estándar ESRS S3 regula las divulgaciones sobre comunidades afectadas bajo el artículo 19a de la Corporate Sustainability Reporting Directive (CSRD). Las grandes empresas que superen dos de tres umbrales (50 millones de euros de balance, 100 millones de cifra de negocio, o 500 empleados) reportan desde ejercicios iniciados el 1 de enero de 2025, con aseguramiento limitado prestado por el auditor legal o por un proveedor independiente de aseguramiento.
Calendario de entrada del CSRD
El despliegue sigue tres olas con umbrales distintos:
Ola 1 (reporte 2025): grandes entidades de interés público ya sujetas a la Non-Financial Reporting Directive. Llevan reportando sostenibilidad desde 2017, pero ahora migran del marco nacional al ESRS.
Ola 2 (reporte 2026): grandes empresas que superen dos de tres criterios (25 millones de balance, 50 millones de cifra de negocio, o 250 empleados de media). Esta ola captura a la mayoría de clientes mid-tier y mete ESRS a entidades sin tradición de reporte no financiero.
Ola 3 (reporte 2027): pymes cotizadas, excluidas las microentidades, con obligaciones simplificadas bajo el ESRS específico para pymes que EFRAG (European Financial Reporting Advisory Group) tiene en desarrollo.
El aseguramiento limitado es obligatorio desde el arranque. La propuesta de la Comisión para pasar a aseguramiento razonable apunta tentativamente a 2028, pendiente de consulta.
Alcance y estructura de ESRS S3
ESRS S3 aborda cuatro categorías de comunidades bajo los párrafos 4-6: comunidades en operaciones propias y cadena de valor, comunidades afectadas, pueblos indígenas y comunidades locales. El estándar obliga a la entidad a identificar impactos materiales a través de la doble materialidad que impone el artículo 19a.2 del CSRD.
La doble materialidad determina qué requisitos de ESRS S3 aplican. Si la evaluación concluye que los impactos sobre comunidades no son materiales, la entidad puede omitir las divulgaciones detalladas, pero debe justificar esa conclusión bajo el párrafo 16 de ESRS 2 MDR-M. Y aquí viene mi opinión, porque la he visto fallar en tres encargos seguidos: si el papel de "no material" se resuelve en dos líneas, el aseguramiento se cae. El socio necesita el cliente, sí, pero el cliente también necesita no volver a firmar el mismo "no aplica" el año que viene.
Las divulgaciones se agrupan en cinco bloques: - ESRS S3.1: políticas relativas a comunidades afectadas - ESRS S3.2: procesos de engagement con comunidades afectadas - ESRS S3.3: canales para que las comunidades planteen reclamaciones - ESRS S3.4: acciones sobre impactos materiales - ESRS S3.5: objetivos relativos a la gestión de impactos, riesgos y oportunidades
Qué tiene que hacer el auditor
El artículo 34 del CSRD obliga al auditor legal a prestar aseguramiento limitado sobre el reporte de sostenibilidad. Eso abre responsabilidades nuevas para equipos acostumbrados solo al cierre financiero.
El encargo sigue ISAE 3000 (Revisada) adaptado a sostenibilidad. El equipo tiene que entender el marco de materialidad de S3, evaluar cómo ha identificado la dirección a las comunidades afectadas, y medir la completitud y exactitud de las métricas divulgadas.
Procedimientos de aseguramiento que, en nuestro despacho, consideramos mínimos: - Revisión de la metodología de doble materialidad y su evidencia soporte - Testeo de la identificación y mapeo de comunidades afectadas a lo largo de la cadena de valor - Evaluación del diseño y la implementación de los procesos de engagement - Pruebas sustantivas sobre métricas cuantitativas y objetivos - Evaluación de la suficiencia de las divulgaciones contra ESRS S3
El nivel limited exige menos procedimientos que el razonable, pero la evidencia sigue teniendo que ser suficiente y apropiada. Esto no cambia.
La inversión estructural: qué falla primero
Lo que realmente ocurre es esto. El cliente presenta un PowerPoint con tres fotos de reuniones comunitarias, una lista de "grupos de interés consultados" y un párrafo sobre el buzón de sugerencias. El equipo de aseguramiento marca la casilla. Fue un trámite. Tres meses después, cuando el ICAC (Instituto de Contabilidad y Auditoría de Cuentas) publica su primera inspección piloto sobre reportes CSRD, el expediente aparece vacío de testeo sustantivo sobre esas afirmaciones.
¿Qué exige realmente ESRS S3? Que la entidad describa cómo identificó a las comunidades, por qué esa identificación es defendible, y qué procesos tiene para oírlas. El UNGP (UN Guiding Principles on Business and Human Rights) está detrás de buena parte del fraseo. Y ahí está la zona gris: ESRS no lista procedimientos concretos de verificación para "engagement significativo". Eso queda para la profesión.
Ejemplo trabajado: Constructora Mediterránea S.A.
Perfil de la entidad: Constructora Mediterránea S.A., con sede en Valencia, obra residencial y comercial en el este peninsular. Cifra de negocio 2024: 89 millones de euros. Plantilla: 420. Balance: 156 millones.
Evaluación: cumple dos de tres umbrales de Ola 2 (cifra de negocio y balance). Sujeta a CSRD desde el ejercicio 2026.
Paso 1: doble materialidad sobre comunidades
La dirección identifica impactos potenciales en tres ejes: ruido y tráfico de obra en zonas residenciales, empleo para trabajadores locales, mejoras de infraestructura para las comunidades del entorno.
Nota de papeles: el papel incluye mapas de obras activas, registros de monitorización de ruido y libros de quejas de los últimos tres años.
Paso 2: evaluación de la materialidad de impacto
La dirección aplica los criterios del párrafo 43 de ESRS 1. Las obras afectan a unos 15.000 residentes en doce emplazamientos activos. El ruido se concentra en horario diurno y cumple ordenanzas municipales, pero las quejas promedian 3-4 al mes por obra.
Nota de papeles: hoja de cálculo de impacto con población afectada, duración y medidas mitigadoras por obra. Incluye correspondencia con ayuntamientos y asociaciones vecinales.
La complicación que cambia el encargo
Aquí es donde el caso deja de ser limpio. El cliente entrega un registro de quejas con tres entradas anuales en una obra de 380 viviendas. La dirección lo presenta como evidencia de un mecanismo de reclamación que funciona. ¿Funciona? ¿O es que las comunidades no saben que existe el canal? Por lo que conozco, un buzón con tres entradas en año y pico puede significar dos cosas opuestas: impacto muy bajo, o canal inalcanzable. Y la conclusión del auditor depende enteramente de cuál de las dos se documente.
En nuestro despacho, en este caso concreto, pedimos prueba de cómo se comunica la existencia del canal a los vecinos. Carteles en la obra. Folleto en el buzón. Aviso en la web municipal. Dos de las tres cosas no existían. El canal no estaba inalcanzable, pero estaba flojo. Eso cambia la redacción de la divulgación S3.3.
Paso 3: evaluación de la materialidad financiera
Los riesgos financieros incluyen retrasos por oposición vecinal, sobrecoste de mitigación reforzada, y deterioro reputacional que afecta licitaciones futuras. La dirección estima una exposición máxima de 2,3 millones sobre la cartera actual.
Nota de papeles: cálculo de impacto financiero con datos históricos de retrasos, coste de mitigación añadida y siniestros de responsabilidad civil relacionados con vecinos.
Paso 4: determinación de divulgación
A partir de la doble materialidad, la dirección concluye que los impactos sobre comunidades son materiales. Se activan S3.1 hasta S3.5.
Nota de papeles: memorándum de conclusión de materialidad con referencia a los párrafos de ESRS 1 y firma del comité de sostenibilidad y del proveedor externo de aseguramiento.
Cierre del caso: Constructora Mediterránea divulga S3 completo, incluidas políticas, procesos, métricas y objetivos. El equipo de aseguramiento puede trazar cada divulgación hasta la materialidad y el soporte documental.
La discusión de sala: Socio A frente a Socio B
En una revisión reciente, dos socios discutieron sobre cómo testear la divulgación S3.2 (procesos de engagement).
El Socio A sostenía que, bajo limited assurance, basta con revisar la metodología documentada y una muestra de actas. ISAE 3000 no obliga a visita de campo en aseguramiento limitado. El archivo aguanta una inspección del ICAC.
El Socio B, que venía del departamento forense, no estaba de acuerdo. Su argumento: si la entidad afirma en S3.2 que consulta a comunidades indígenas de su cadena de valor en un tercer país, y el papel solo contiene actas de una reunión por videoconferencia traducida, eso no es evidencia de engagement. Es evidencia de que alguien envió un correo. Brindis al sol.
¿Quién tiene razón? Depende. Pero el desacuerdo es real y la profesión todavía no lo ha cerrado.
Checklist práctico para documentar ESRS S3
1. Mapear todos los puntos de contacto con comunidades a lo largo de la cadena de valor: operaciones propias, proveedores, clientes, fin de vida útil, como exige el párrafo 4 de ESRS S3.
2. Aplicar la doble materialidad de forma sistemática: párrafos 40-48 de ESRS 1 para evaluar materialidad de impacto (escala, alcance, carácter irremediable) y materialidad financiera.
3. Documentar la metodología de materialidad: justificación de umbrales, fuentes de datos, input de stakeholders y procesos de revisión que sostengan las conclusiones.
4. Preparar el mapa de divulgaciones aplicables: matriz que cruce S3.1 hasta S3.5 con el resultado de materialidad, y justificación de las omisiones.
5. Construir el seguimiento de métricas cuantitativas: procesos de captura que un aseguramiento pueda verificar de forma consistente.
6. El requisito que manda sobre los demás: el párrafo 6 de ESRS S3 obliga a especificar qué comunidades se consideran afectadas y explicar la metodología de identificación. Sin esa base, todo lo que venga después carece de contexto.
La observación que se suele pasar por alto
El fallo más común en ESRS S3 no está en los datos cuantitativos. Está en cómo se documenta el proceso de identificación de comunidades afectadas. Si el auditor acepta una lista entregada por el cliente sin cuestionar la metodología, el informe entero descansa sobre una afirmación no verificada. Eso convierte el resto del papel en un edificio sobre arena. Y cuando el ICAC o la CNMV empiecen a inspeccionar reportes CSRD en serio, ese es el primer sitio donde van a mirar.
Errores habituales en la implantación de ESRS S3
• Identificación genérica de comunidades: el equipo lista "comunidades locales" sin delimitar geografía, características poblacionales o relación con las operaciones. La guía de implementación de EFRAG pide una especificidad que permita a los stakeholders entender de quién se está hablando.
• Documentación de materialidad insuficiente: la dirección concluye que el impacto no es material sin evidencia detrás. El aseguramiento limitado testea la razonabilidad de los umbrales. Si el papel pesa poco, se cae.
• Confusión entre materialidad de impacto y materialidad financiera: el equipo aplica la materialidad financiera tradicional y se olvida de la dimensión de impacto. Las dos son obligatorias bajo el artículo 19a del CSRD.
Contenido relacionado
- Guía de la doble materialidad: marco imprescindible para saber qué divulgaciones ESRS aplican a su entidad - Calculadora de cronograma CSRD: plazos de reporte y requisitos de aseguramiento según el perfil de la entidad - Guía de implementación de ESRS S1 plantilla propia: el estándar social paralelo dentro del mismo marco CSRD