Definition
Pocas firmas medianas españolas tienen hoy a alguien con formación específica en ESRS sentado en plantilla, y aun así están firmando encargos de aseguramiento de sostenibilidad. Por lo que conozco, el cuello de botella no es la norma; es el equipo. Los honorarios cotizados sobre la base de "esto una revisión limitada" no cubren las horas reales que exige una verificación seria de doble materialidad, y eso ya está generando los primeros papeles flojos en los archivos de 2025.
Cómo funciona
Lo que falla primero, en los encargos que he visto, es el reflejo de aplicar un único umbral de materialidad financiera a la cobertura de temas de sostenibilidad. El equipo coge la cifra que usaría para NIA-ES y la traslada a ESRS. No funciona así. Otro fallo recurrente es tratar el aseguramiento limitado como una versión "ligera" del trabajo financiero, cuando ISAE 3000 exige una arquitectura de procedimientos distinta.
La CSRD pide que las empresas evalúen dos cosas a la vez: los riesgos de sostenibilidad que afectan a su valor financiero (materialidad financiera) y los impactos que la empresa causa sobre personas y medio ambiente (materialidad de impacto). Esa doble perspectiva está codificada en los ESRS. Vaya por delante que esto no es un truco de presentación; es un cambio de marco que el auditor financiero clásico no tiene formación para hacer, porque su entrenamiento entero gira en torno a un solo umbral cuantitativo y a una afirmación de imagen fiel referida a estados financieros, no a impactos.
La estructura regulatoria avanza por fases. Las empresas cotizadas en bolsas de la UE a 19 de diciembre de 2022 reportaron en 2024 sobre el ejercicio 2023. Las grandes empresas que cumplen dos de tres criterios (más de 25 millones de euros en activos, más de 50 millones de euros en ingresos, o más de 250 empleados) entraron en 2025 sobre el ejercicio 2024. Las pymes cotizadas pueden acogerse a una exención temporal hasta 2026.
El componente de aseguramiento es el que más confusión genera. La directiva exige que el auditor verifique la información de sostenibilidad, primero en seguridad limitada y, en años posteriores, en seguridad razonable. La metodología base es ISAE 3000 Revisada para el conjunto y ISAE 3410 para emisiones de gases de efecto invernadero. Los ESRS aportan los criterios contra los que se evalúa la información, no los procedimientos de aseguramiento.
La directiva exige todo eso. Lo que realmente ocurre es que muchas firmas medianas aceptan el encargo sin tener un experto ESG con dedicación plena, sacan adelante con lo que hay durante el primer ciclo, y descubren a mitad de campo que el cliente no tiene la trazabilidad de cadena de valor que ESRS 2 supone como dada.
Aquí hay una zona gris real, y dos socios razonables pueden defender posturas distintas. Hay quien sostiene que los procedimientos de seguridad limitada deberían replicar, en proporción reducida, el muestreo MUS de la auditoría financiera, porque eso da continuidad metodológica al archivo y facilita la revisión EQR. Y hay quien sostiene lo contrario: que ISAE 3000 pide procedimientos analíticos sobre la población y entrevistas dirigidas, no testing transaccional escalado. La primera postura protege al socio frente al regulador; la segunda respeta la naturaleza del estándar. Desde mi punto de vista, la respuesta correcta depende de la afirmación, no del encargo entero.
Ejemplo práctico: Industrias Textiles Sostenibles S.L.
Cliente: empresa española de confección, 180 millones de euros de ingresos anuales, cotizada en Euronext. Reporta bajo NIIF y está sujeta a CSRD desde 2024 (reportando sobre ejercicio 2023, aseguramiento en 2024).
Paso 1: Identificación de materialidad doble La dirección identifica tres temas de sostenibilidad relevantes con metodología ESRS: (a) impactos laborales en la cadena de suministro asiática (materialidad de impacto alta), (b) exposición a riesgo climático en transporte (materialidad financiera media), (c) gobernanza de cumplimiento normativo (materialidad de impacto media). El auditor evalúa si la cobertura es completa según ESRS 1.
Nota de documentación: se mantiene un control de materialidad con dos dimensiones (financiero e impacto), no una sola cifra. Se documentan los temas identificados, los excluidos y la justificación para cada decisión.
Paso 2: Procedimientos de aseguramiento bajo ISAE 3000 Para las afirmaciones sobre impactos laborales, el plan original era visitar dos proveedores en Bangladesh. Uno de ellos, a tres semanas del cierre, deniega el acceso físico alegando un cambio de propiedad. Aquí toca decidir. ¿Se sustituye por procedimientos alternativos (revisión documental remota, entrevistas con responsables de compras, análisis de auditorías sociales de tercero), o se eleva a una limitación de alcance? Por lo que conozco, la respuesta defendible es procedimientos alternativos siempre que se documente que el riesgo residual queda dentro del nivel aceptable para seguridad limitada, y se deje constancia en el informe del cambio de procedimiento. Si el cliente reporta "100% de proveedores auditados", esa cifra ya no se sostiene sin matización.
Nota de documentación: se distingue entre procedimientos de seguridad limitada (entrevistas, inspección de documentación seleccionada, procedimientos analíticos al nivel de la población) e hipotéticos procedimientos de seguridad razonable (testing de transacciones individuales, confirmaciones externas detalladas). El nivel de detalle es aproximadamente 40-50% del que se usaría en auditoría financiera.
Paso 3: Evaluación de la presentación en los estados de sostenibilidad Al revisar la redacción del anexo, el auditor descubre que el "100% de proveedores auditados en cumplimiento laboral" se refiere a revisiones de escritorio sobre cuestionarios autoevaluados, no a inspecciones in situ. Esa distinción cambia la naturaleza de la afirmación. La conclusión es pedir a la dirección que matice la redacción: "100% de proveedores con cuestionario de cumplimiento laboral revisado", que sí es defendible con la evidencia disponible. Si la dirección se niega, la frase pasa a ser una posible salvedad por información engañosa de manera material bajo ISAE 3000.A7.
Nota de documentación: se documenta la evaluación de si la información de sostenibilidad es "no engañosa de manera material" bajo ISAE 3000.A7. Es menos prescriptivo que "presenta fielmente", pero requiere fijar una línea de materialidad de sostenibilidad.
Conclusión: el auditor emite informe de seguridad limitada en sostenibilidad (ISAE 3000): "Basándonos en nuestros procedimientos, no hemos identificado aspectos que nos hagan creer que la información de sostenibilidad de Industrias Textiles Sostenibles S.L. no es presentada, en todos los aspectos materiales, de acuerdo con los ESRS." Se publica en paralelo al informe de auditoría financiera NIA-ES 700. Es defensible porque documenta el nivel de confianza limitado, registra los procedimientos alternativos sobre el proveedor inaccesible, y permite a los usuarios entender el alcance real del aseguramiento.
Lo que auditores y revisores no entienden correctamente
- Materialidad de impacto y materialidad financiera son independientes. Un impacto puede ser financieramente inmaterial y aun así obligatorio de divulgar por su magnitud sobre personas o medio ambiente. Cuando el equipo arrastra al ámbito de sostenibilidad la cifra única de materialidad financiera, lo que ocurre es que omiten temas relevantes y dejan el archivo expuesto en una eventual revisión del ICAC. Esta es, en mi experiencia, la equivocación más cara del primer ciclo CSRD.
- La seguridad limitada bajo ISAE 3000 pide documentación distinta. El auditor en seguridad limitada no puede usar muestreo MUS sin más. Debe documentar por qué los procedimientos elegidos reducen el riesgo a un nivel aceptable para seguridad limitada, no para seguridad razonable. Los equipos que aplican procedimientos de seguridad razonable bajo etiqueta de "seguridad limitada" o están sobretrabajando, o están firmando un nivel de confianza más alto del que dice el informe.
- El alcance de ESRS cubre la cadena de valor. A diferencia de la auditoría financiera, donde el balance es la frontera, la información de sostenibilidad incluye impactos de proveedores, distribuidores y usuarios finales. Si se cierra el alcance al perímetro de consolidación, se pierden temas materiales que ocurren fuera de él. Y eso es exactamente lo que un revisor de calidad busca primero.
Hay una pieza que pocos directores técnicos están diciendo en voz alta. El verdadero coste de la CSRD no es el aseguramiento; es que obliga a la firma a sostener un equipo permanente con formación ESG que no facturará en busy season financiera, y cuya curva de aprendizaje exige al menos dos ciclos antes de ser rentable. Quien no asuma ese coste va a marcar la casilla durante un par de años hasta que un expediente del ICAC haga ruido.
Nadie quiere ser el primero en denegar opinión por desacuerdos con la información de sostenibilidad. Eso, por sí solo, está deformando el primer ciclo de informes en España.
Comparación: CSRD vs. Directiva de Divulgación de Información No Financiera (NFRD)
| Aspecto | NFRD (anterior) | CSRD (actual) |
|---|---|---|
| Aplicación | Empresas >500 empleados (cotizadas, bancos, seguros) | Empresas >250 empleados, todas las cotizadas, intermediarios financieros |
| Estándar de información | Marco elegido por la empresa (GRI, SASB, etc.) | ESRS obligatorio (armonizado) |
| Materialidad | Modelo único: lo material para decisiones de usuario | Doble: materialidad financiera e impacto |
| Aseguramiento | Verificación flexible o no auditada | ISAE 3000/3410 obligatorio desde 2025, evoluciona a seguridad razonable |
| Año de inicio | 2018 | 2024 (cobertura progresiva) |
La diferencia práctica más importante es que la CSRD obliga al auditor a trabajar fuera del perímetro financiero, con una metodología (ESRS) que pide capacitación específica distinta de la auditoría financiera tradicional. Quien no la tenga, o la subcontrata, o firma con los papeles flojos.
Términos relacionados
- Materialidad doble: el modelo de dos dimensiones (financiera e impacto) que define qué información debe incluirse en la divulgación de sostenibilidad. - ESRS (Estándares Europeos de Información de Sostenibilidad): los criterios contra los que se evalúa la información bajo CSRD. - ISAE 3000 (Seguridad limitada): la norma de aseguramiento usado para auditar información de sostenibilidad hasta 2026. - ISAE 3410: norma específica para asegurar información de emisiones de gases de efecto invernadero. - Reportes de sostenibilidad: el proceso general de divulgar impactos e información de sostenibilidad de la empresa. - Opinión de auditoría modificada en sostenibilidad: cómo un auditor comunica reservas o limitaciones en su conclusión de sostenibilidad.
---