Lo que aprenderá
- Cómo identificar los puntos de divulgación obligatorios bajo ESRS S4 para empresas que reportan bajo CSRD - Qué procedimientos de aseguramiento limitado aplicar a las métricas de consumidores y usuarios finales - Cómo evaluar si las divulgaciones de su cliente cumplen con los requisitos de ESRS S4.46 sobre impactos materiales - Los errores de documentación más frecuentes en archivos de aseguramiento de sostenibilidad relacionados con temas sociales
Por qué el bloque de S4 sale mal antes de llegar a su mesa
Vaya por delante que el problema no es técnico, es estructural. La mayoría de evaluaciones de doble materialidad que he visto en 2025 se construyeron con un taller de tres horas, un formulario enviado a veinte "grupos de interés" preseleccionados y una matriz dibujada en PowerPoint por el departamento de sostenibilidad. Consumidores y usuarios finales aparecen marcados como "no materiales" o como un recuadro genérico de "protección del consumidor".
Cuando el cliente descubre en diciembre que sí tenía que reportar S4, ya no queda tiempo para rehacer el análisis. Se copia la estructura boilerplate de ESRS 1, se traslada la tabla de reclamaciones del sistema CRM y se añaden tres frases sobre "prácticas de marketing responsable". Marcar la casilla. Fue un trámite.
Y aquí es donde aparece usted, con un mandato de aseguramiento limitado, el informe ya maquetado y un plazo de dos semanas. El socio necesita el cliente. El encargo de sostenibilidad no cubre los honorarios reales. Y la métrica estrella del borrador es "número de quejas recibidas: 347" sin una sola línea sobre tipología, gravedad, grupos afectados o proceso de resolución.
Lo que el estándar dice y lo que se entrega
En teoría, ESRS S4 se aplica solo si la evaluación de doble materialidad bajo ESRS 2 IRO-1 identifica impactos, riesgos u oportunidades materiales vinculados a consumidores y usuarios finales. En la práctica, la evaluación se hace al revés: se decide primero qué temas materiales quiere reportar la dirección (los que tienen datos disponibles y una narrativa favorable) y la matriz se calibra para que salgan esos.
La NIA-ES 3000 (revisada), aplicable al aseguramiento limitado de información no financiera, exige que el auditor obtenga evidencia suficiente de que la información no contiene incorrecciones materiales. No exige una opinión positiva sobre la presentación fiel, pero tampoco permite firmar a ciegas un IRO-1 inverso.
Marco regulatorio y qué tiene que pedir usted en el encargo
Cronología y umbrales de CSRD
El artículo 19a de la Directiva de Contabilidad establece los umbrales: más de 250 empleados, más de 40 millones de euros en ingresos netos, o más de 20 millones de euros en activos totales. Para empresas ya sujetas a la antigua Directiva de Información No Financiera (NFRD), la transición fue inmediata en el ejercicio 2024. Para el resto de grandes empresas, la aplicación se escalona hasta 2028.
La primera oleada de informes CSRD (ejercicios 2024, publicados en 2025) requiere aseguramiento limitado. Y aquí conviene estrechar a lo que conozco: en los encargos de sostenibilidad que he revisado en España, el proveedor de aseguramiento es normalmente el propio auditor de cuentas anuales, lo que genera una tensión de alcance que nadie quiere nombrar (más sobre esto abajo).
Por qué S4 no es opcional para su minorista B2C
ESRS S4 aplica si la empresa identifica IRO materiales relacionados con consumidores. Los temas típicos que activan S4:
- Seguridad y calidad del producto (cualquier fabricante de bienes de consumo) - Privacidad y protección de datos (cualquier empresa con programa de fidelización, app o e-commerce) - Accesibilidad de productos y servicios (grupos vulnerables bajo ESRS S4.14) - Información al consumidor, incluyendo marketing responsable y prácticas comerciales
Si su cliente es una minorista con CRM, programa de fidelización y devoluciones por defectos, S4 es material. Punto. La evaluación de materialidad que diga lo contrario está mal hecha, no está bien hecha.
Puntos de divulgación obligatorios: qué debe existir en el archivo
Gobernanza, estrategia y gestión de IRO
ESRS S4 sigue la estructura estándar de los ESRS temáticos. Una vez determinada la materialidad, la empresa divulga:
Gobernanza (ESRS S4.5-6): roles de los órganos de administración y alta dirección en el monitoreo de impactos sobre consumidores, supervisión de políticas de producto, protocolos de seguridad y procesos de reclamaciones.
Estrategia (ESRS S4.7-10): cómo la estrategia comercial considera los intereses de consumidores y usuarios finales, con identificación específica de grupos vulnerables cuando sea material.
Gestión de IRO (ESRS S4.11-16): políticas, acciones y métricas. Incluye procesos de diligencia debida en la cadena de suministro cuando afecten a la seguridad o calidad del producto final.
ESRS S4.17 obliga a divulgar objetivos medibles con plazos definidos. ESRS S4.18 establece métricas obligatorias: procesos para involucrar a consumidores en el diseño, número y naturaleza de incidentes de seguridad del producto reportados, medidas para grupos vulnerables, y accesibilidad de productos y servicios. Las métricas deben desglosarse por categoría de producto, mercado geográfico o grupo de consumidores cuando sea relevante.
Lo que realmente ocurre con las métricas de S4.18
La norma dice "desglose por grupo de consumidores cuando sea relevante". Lo que ocurre es que la empresa tiene los datos en el CRM (código postal, franja de edad, canal de reclamación, producto afectado, gravedad autoasignada) pero nadie ha cruzado nunca esa información con la tipología de IRO. El dato existe. La tipología no. Y sin tipología, el número "347 reclamaciones" es un brindis al sol: suena regulatorio pero no informa de nada.
Ejemplo práctico: aseguramiento limitado sobre un borrador defectuoso
Escenario: Grupo Aragón Minorista, S.A. factura 182 millones de euros en la venta de electrodomésticos y productos para el hogar. Tres canales: 47 tiendas físicas, e-commerce propio y marketplace de terceros. Su evaluación de doble materialidad, fechada en octubre de 2025, identifica seguridad del producto como tema material bajo ESRS S4. Nada más. No identifica privacidad de datos (a pesar de tener un programa de fidelización con 1,4 millones de miembros activos), no identifica accesibilidad, no identifica grupos vulnerables.
Usted recibe el borrador del informe de sostenibilidad el 15 de enero. La presentación está prevista para el 28 de febrero. Honorarios del encargo de aseguramiento: 34.000 euros. Estimación interna de horas necesarias para hacerlo bien: entre 240 y 300.
Paso 1 — Revisión de la matriz de materialidad. Obtenga el documento de evaluación de materialidad y las actas de los talleres. En el caso de Aragón Minorista, el taller se celebró en julio de 2025 con siete participantes: cuatro del equipo interno, dos consultores externos del mismo grupo que publica el informe, y un representante de la asociación sectorial. Cero consumidores. Cero asociaciones de consumidores. Cero organizaciones de defensa de grupos vulnerables.
Nota de documentación: Los papeles están flojos. La ausencia de consulta real a grupos de interés externos vacía la base probatoria de la materialidad tal como la entiende ESRS 1.25 y la orientación EFRAG de noviembre de 2024. Documente la limitación de alcance.
Paso 2 — Complicación: privacidad de datos. Al cruzar el registro de tratamiento de datos del cliente con la evaluación de materialidad, descubre que Aragón Minorista sufrió una brecha de seguridad en marzo de 2025 que afectó a 87.400 registros del programa de fidelización. La brecha fue notificada a la AEPD. No aparece en la evaluación de materialidad ni en el borrador del informe.
Aquí se abre la zona gris. El socio de cuentas anuales le dice que no es asunto del encargo de sostenibilidad, que la brecha se trató en el ejercicio anterior y que meterse con eso abrirá un expediente que nadie quiere abrir a tres semanas del cierre. Usted piensa, con razón, que una brecha de 87.400 registros del año en curso es prima facie evidencia de un IRO material bajo ESRS S4.11 (privacidad y protección de datos) y que firmar el aseguramiento sin reflejar la discrepancia es exactamente el tipo de trámite que el ICAC lleva años señalando en sus informes de supervisión.
Paso 3 — Métricas bajo ESRS S4.18. El borrador reporta "3 incidentes de seguridad del producto en 2025, todos resueltos". Verificación contra el registro interno de calidad: se identificaron 11 incidentes registrados, de los cuales 3 tuvieron comunicación formal al cliente y 8 se resolvieron internamente sin informar. La definición de "incidente" que usa la empresa para el reporte CSRD es más estrecha que la que usa internamente para el sistema de calidad ISO 9001.
Nota de documentación: Reconcilie las definiciones. Obtenga la política interna que establece qué incidente es reportable bajo S4.18 y confronte esa política con la orientación EFRAG sobre materialidad cuantitativa. Si la definición estrecha no está soportada, pida la divulgación de los 11 o la justificación documentada de la exclusión.
Paso 4 — Grupos vulnerables. ESRS S4.14 exige consideración específica. El borrador no menciona ninguno. Pero Aragón Minorista vende electrodomésticos: lavadoras, cocinas, calentadores de agua. El perfil típico del comprador incluye personas mayores que viven solas y familias con niños pequeños. La accesibilidad de la documentación técnica, la instalación asistida y el servicio postventa telefónico son temas materiales bajo cualquier lectura razonable de S4.14.
Conclusión del ejemplo: El borrador no alcanza el umbral de aseguramiento limitado. Hay suficiente evidencia de incorrecciones materiales por omisión como para exigir correcciones o emitir un informe con salvedad. La decisión de qué hacer no es técnica, es política: el socio le dirá que salga adelante con lo que hay. Usted sabe que no puede.
Dos posiciones profesionales (y por qué esto importa)
Aquí hay legitimate desacuerdo entre profesionales experimentados.
Posición A (socio de cuentas anuales): El aseguramiento limitado es una revisión de coherencia y plausibilidad, no una auditoría. Con 34.000 euros de honorarios y una primera oleada CSRD donde la propia CNMV está aprendiendo a interpretar el estándar, exigir rehacer la matriz de materialidad es desproporcionado. La obligación profesional se cumple documentando las limitaciones de alcance en los papeles de trabajo y emitiendo un informe con "llamada de atención" o salvedad cuando proceda.
Posición B (auditor de sostenibilidad especializado): El aseguramiento limitado no es barra libre. NIA-ES 3000R exige evidencia suficiente. Una brecha de datos no reportada y una matriz de materialidad sin consulta externa no son limitaciones menores, son incorrecciones materiales. Firmar el informe porque el cliente tiene prisa rebaja el estándar para toda la profesión. Como dice Fuentes Gallego (aunque sobre otro contexto): es respetable que usted se engañe a sí mismo, pero no es respetable que quiera hacerle creer lo contrario a los demás. No hombre, no.
Yo creo, en mi caso, que la Posición B es la correcta porque el estándar de aseguramiento limitado ya es bajo (revisión, no auditoría) y rebajarlo más con la justificación de "primera oleada" convierte S4 en ornamento regulatorio. Esa es la forma en que una norma bien escrita se convierte en un brindis al sol: no porque la norma falle, sino porque cada eslabón de la cadena de aseguramiento rebaja su estándar un poco, y al sumarlos, el trámite se ha completado sin que nadie haya comprobado nada.
Lista de verificación práctica
1. Confirmar aplicabilidad con evidencia externa. La evaluación de doble materialidad debe identificar específicamente temas de consumidores y usuarios finales bajo ESRS 2 IRO-1, con pruebas de consulta a grupos de interés externos (asociaciones de consumidores, organizaciones de defensa, datos regulatorios como resoluciones de la AEPD o expedientes CNMC).
2. Cruzar el borrador con los datos internos reales. Para cada métrica de S4.18 divulgada, obtenga el dato en bruto del CRM, ISO 9001, registro de reclamaciones y AEPD. Reconcilie definiciones antes de aceptar el número reportado.
3. Identificar omisiones por exclusión. Verifique que los temas que deberían ser materiales pero no aparecen en la evaluación (privacidad de datos en empresas con CRM de más de 100.000 registros, accesibilidad en venta de bienes de uso doméstico, grupos vulnerables en B2C) están justificados con análisis documentado, no ausentes.
4. Verificar consideración de grupos vulnerables bajo S4.14. Si el cliente vende al consumidor final, hay grupos vulnerables. Si no aparecen, hay un defecto de materialidad, no una conclusión legítima de no materialidad.
5. Documentar procedimientos de aseguramiento limitado conforme a NIA-ES 3000R. Indagaciones, procedimientos analíticos, inspección de documentación soporte y, cuando proceda, recálculo de métricas a partir de datos de origen.
6. El punto central. La evaluación de doble materialidad es el cimiento. Si ese cimiento se ha construido sin evidencia externa, todo lo que viene después es decoración. No firme el aseguramiento de un informe cuya base probatoria usted no puede reconstruir.
Errores frecuentes
La idea que le reenviaría un colega
Si el equipo de sostenibilidad del cliente no ha hablado con una asociación de consumidores real antes de calificar S4 como no material, la evaluación de materialidad es autorreferencial y usted no puede apoyarse en ella. No es una cuestión de procedimiento, es una cuestión estructural: S4 exige evidencia de la perspectiva del consumidor, y esa evidencia no puede generarla la propia empresa consultándose a sí misma.
Contenido relacionado
- Glosario ESRS: doble materialidad - Cómo evaluar si los temas sociales son materiales bajo CSRD. - Calculadora de umbrales CSRD - Determine si su cliente debe reportar bajo CSRD y en qué oleada de aplicación. - Guía ESRS 2: divulgaciones generales - Los requisitos de divulgación que aplican a todos los ESRS temáticos, incluyendo ESRS S4.