Definition
La Directiva 2024/1760 (CSDDD) entró en vigor en julio de 2024 y, con la transposición ya cerrada para julio de 2028, los primeros encargos reales empiezan a partir del ejercicio 2029. Vaya por delante que, por lo que conozco, el problema gordo no es el calendario. Es que la mayoría de los expedientes que se están vendiendo hoy como "due diligence de sostenibilidad" son cuestionarios de Excel firmados por el comprador en la oficina central, sin una sola visita a planta, sin un contraste con fuentes externas, sin trazabilidad de cadena de actividades. Marcar la casilla, fue un trámite. Y los papeles, flojos.
Cómo funciona
Lo que falla primero, en el ejercicio de nuestra práctica, es confundir la conducta exigida por la CSDDD con la divulgación que pide ESRS 2 GOV-4. El equipo del cliente prepara una nota narrativa describiendo el "proceso de due diligence", la firma del cliente la inserta en el estado de sostenibilidad, y el auditor la verifica como si fuera una afirmación cualitativa más. No es lo mismo. La CSDDD impone una obligación de conducta (los artículos 6 a 16 piden actos: identificar, evaluar, prevenir, mitigar, terminar, remediar, monitorizar, comunicar). La CSRD impone una obligación de divulgación. Cumplir con la segunda sin cumplir la primera no satisface la Directiva, aunque el estado de sostenibilidad quede impecable.
La estructura de la CSDDD avanza por seis pasos interrelacionados. El artículo 7 exige integrar la due diligence en políticas y gestión de riesgos. Los artículos 8 y 9 piden identificar y priorizar impactos adversos reales y potenciales, ponderados por gravedad y probabilidad. Los artículos 10 y 11 imponen medidas apropiadas de prevención y mitigación (y la terminación de impactos reales). El artículo 12 cubre remediación. El artículo 15 exige monitorizar la efectividad. El artículo 16 obliga a comunicación pública anual.
Un detalle pilla a mucho equipo: la Directiva habla de "cadena de actividades", no de "cadena de valor". Esa palabra cubre socios comerciales aguas arriba (proveedores de bienes y servicios) y actividades aguas abajo relacionadas con distribución y almacenamiento. Ómnibus I aclaró que la evaluación en profundidad se centra en Tier 1. Los niveles más profundos solo se investigan cuando información plausible apunta a impactos adversos. Ómnibus I también relajó el ciclo de revisión de la política de anual a quinquenal, salvo que haya cambios significativos.
La norma exige todo eso. Lo que realmente ocurre es otra cosa. La due diligence sin verificación in situ del proveedor es un brindis al sol: papeles que satisfacen a la CSDDD sobre el papel mientras los riesgos reales de cadena siguen sin mapear. Y el incentivo es estructural, no de mala fe. Los honorarios cotizados para aseguramiento limitado de sostenibilidad bajo ISAE 3000 no cubren el coste de visitar dos proveedores en jurisdicciones de alto riesgo. El equipo lo sabe, el socio lo sabe, el cliente lo sabe. La due diligence acaba siendo cuestionarios autoevaluados, lo cual la CSDDD precisamente no permite cuando hay indicios externos en sentido contrario.
Aquí defiendo una posición y nombro el contraargumento. La tesis: la due diligence de sostenibilidad sin verificación de campo no es due diligence; es divulgación con maquillaje técnico. El contraargumento legítimo es que la CSDDD usa un enfoque "basado en riesgo" que permite priorizar y, por tanto, no exige visita a todo proveedor. Cierto, pero la refutación está en el propio artículo 8: cuando hay información plausible (informes de ONG, decisiones de control portuario, sanciones aduaneras) que contradice los datos autoreportados, la priorización deja de ser discrecional. Pasa a ser obligación. El veredicto: en presencia de señales externas contradictorias, el papeleo sin verificación de campo no es defendible ni ante el ICAC ni ante un revisor del propio expediente CSRD.
Hay desacuerdo legítimo sobre dónde empieza Tier 2. El Socio A sostiene que la verificación de Tier 2 solo procede cuando el cliente controla más del 25% del proveedor de Tier 1, basándose en una lectura literal del artículo 8 y de los considerandos 27-29 que sitúan la cadena de actividades en función del control empresarial. El Socio B sostiene lo contrario: la verificación de Tier 2 se activa por riesgo sectorial (textil en Asia, minería en África subsahariana, cacao en África Occidental) con independencia de la participación accionarial, apoyándose en ESRS S2 párrafos 11-15 sobre trabajadores en la cadena de valor y en el artículo 8.2 de la Directiva sobre información plausible. Ambas posturas tienen base normativa. Desde mi punto de vista, la postura B encaja mejor con la lógica del régimen, pero la postura A es defendible si el papel de trabajo documenta la decisión y la justificación del nivel de riesgo evaluado.
Ejemplo práctico: Henriksen Shipping A/S
Cliente: empresa danesa de logística marítima, ejercicio 2029, ingresos 140 millones de euros, 5.200 empleados, reporta bajo NIIF. Henriksen supera los umbrales de Ómnibus I y entra en ámbito CSDDD desde el 26 de julio de 2029. La aplicabilidad para España es directa: Henriksen tiene una filial española, Henriksen Iberia S.L., que canaliza la operación mediterránea, y el aseguramiento de sostenibilidad lo realiza una firma española con el cliente consolidado a nivel grupo. El ICAC y la CNMV vigilan el lado español.
Paso 1. de due diligence en política El consejo de Henriksen adopta una política de derechos humanos y due diligence ambiental que cubre operación de flota, abastecimiento de combustible, servicios portuarios y gestión de tripulación. La política identifica los riesgos relevantes: condiciones laborales en buques fletados, contaminación atmosférica por fueloil pesado, vertidos en instalaciones portuarias y condiciones inseguras durante manipulación de carga.
Nota de documentación: registrar el acuerdo del consejo y el proceso de identificación de riesgos relevantes. Cruzar con el sistema de gestión ambiental existente. Referencia: artículo 7 de la Directiva 2024/1760.
Paso 2. Identificación y priorización de impactos adversos Henriksen mapea sus socios comerciales de Tier 1: 47 operadores de buques fletados, 12 proveedores de combustible, 8 prestadores de servicios portuarios, 4 contratistas de gestión de residuos. El equipo de sostenibilidad puntúa cada socio contra criterios de gravedad y probabilidad. Tres operadores de buques fletados quedan marcados por posibles violaciones de derechos laborales basándose en historiales de detención por control portuario (port state control). Dos proveedores de combustible quedan marcados por emisiones de azufre que exceden los límites IMO 2020.
Aquí entra la complicación que en mi caso ha aparecido en dos encargos similares. Uno de los proveedores de Tier 2 (un astillero subcontratado por uno de los operadores de buques) opera en una jurisdicción de alto riesgo. Sus datos autoreportados sobre condiciones laborales son impecables: cero incidentes, cero quejas, cero sanciones. Pero un informe de una ONG creíble (Human Rights at Sea, marzo 2029) documenta retenciones de pasaportes y horarios de 90 horas semanales en ese mismo astillero. ¿Qué hacemos? La cuestión no se resuelve con fórmula. La postura defendible es escalar: pedir al cliente acceso al astillero a través del operador de buques (con cláusula contractual de cooperación), aceptar que la gravedad y probabilidad indicadas por el informe externo activan la obligación del artículo 8.2, y dejar constancia escrita del análisis. Si el cliente se niega, el aseguramiento limitado bajo ISAE 3000 contempla salvedad por limitación al alcance.
Nota de documentación: registrar la matriz gravedad x probabilidad, las fuentes externas consultadas (port state control, IMO, informes ONG nominados), y la traza de decisión cuando información plausible contradice datos autoreportados. Referencia: artículos 8 y 9.
Paso 3. Prevenir y mitigar Para los tres operadores marcados, Henriksen exige planes de acción correctiva en 90 días y programa auditorías independientes de bienestar de tripulación. Para los dos proveedores de combustible, Henriksen cambia el aprovisionamiento a proveedores verificados de bajo azufre e incluye cláusulas contractuales de cumplimiento. Coste total de las medidas: 420.000 euros.
Nota de documentación: registrar cada acción correctiva, las cláusulas contractuales añadidas, el calendario de cumplimiento y la imputación del coste. Referencia: artículos 10 y 11.
Paso 4. Monitorizar y comunicar Henriksen programa revisiones semestrales del progreso de las acciones correctivas. La declaración anual de due diligence de sostenibilidad (obligatoria para ejercicios iniciados a partir del 1 de enero de 2030) divulgará el proceso seguido, los impactos identificados, las medidas preventivas y los resultados observados. El proveedor de aseguramiento de sostenibilidad evaluará las divulgaciones bajo ESRS 2 GOV-4 contra el proceso documentado.
Nota de documentación: registrar el calendario de monitorización y los KPI seguidos (tasa de auditorías completadas, tasa de cumplimiento de proveedores). Cruzar cada KPI con la divulgación ESRS 2 GOV-4 prevista. Referencia: artículos 15 y 16.
El expediente de Henriksen aguanta porque cada paso sigue el marco de seis pasos de la CSDDD, los impactos adversos están priorizados por gravedad y probabilidad en Tier 1, y la traza documental conecta la evaluación de riesgo con las medidas preventivas. Por lo que he visto en los encargos que he llevado, los expedientes que se caen son aquellos en los que el equipo de sostenibilidad sacó adelante con lo que hay durante el primer ciclo: produjo una política, no mapeó Tier 1, no costeó las acciones correctivas, y dejó el aseguramiento al final sin trazabilidad. El revisor del ICAC, si llega, lo detecta a la primera lectura.
Lo que auditores y revisores no entienden correctamente
- Cumplir ESRS 2 GOV-4 no satisface la CSDDD. La divulgación narrativa del proceso de due diligence en el estado de sostenibilidad cubre la obligación de información, no la obligación de conducta. Los artículos 6 a 16 de la Directiva 2024/1760 piden actos: identificar, evaluar, prevenir, mitigar, terminar, remediar, monitorizar, comunicar. Una nota descriptiva en el estado de sostenibilidad no sustituye nada de eso. En la práctica, lo que ocurre es que el equipo de sostenibilidad escribe la nota en abstracto y el archivo no contiene los papeles que documentan la conducta. Y eso es exactamente lo que un inspector del ICAC busca primero cuando revisa un expediente CSRD-CSDDD.
- El estrechamiento a Tier 1 no es exención de Tiers profundos. Ómnibus I limitó la evaluación en profundidad a Tier 1, pero el artículo 8.2 (modificado) sigue obligando a investigar Tier 2 y siguientes cuando información plausible apunta a impactos adversos. Tratar la limitación a Tier 1 como exención general es leer mal el régimen basado en riesgo que la Directiva preserva. Lo que falta con frecuencia en los archivos es justamente la traza de cómo la firma evaluó (y desestimó, si procede) las señales externas sobre Tiers profundos.
- El honorario de aseguramiento limitado no cubre verificación de campo. Y eso, no la mala fe, es lo que produce due diligence de cuestionario. Por lo que conozco, el honorario medio cotizado en España para aseguramiento limitado ESRS de un cliente mid-cap está entre 60.000 y 120.000 euros, y eso da para entrevistas, procedimientos analíticos sobre la población y revisión documental. No da para visita a dos proveedores en Bangladesh ni a un astillero en África Occidental. El socio necesita el cliente, el equipo saca adelante con lo que hay, y el archivo se cierra con la traza que se puede pagar. Esa es la incongruencia estructural: la CSDDD pide verificación, la CSRD presupone verificación, y el ISAE 3000 limitado no remunera verificación. Quien no nombre esa incongruencia en el papel de planificación está dejando el archivo expuesto.
Hay una pieza que pocos directores técnicos están diciendo en voz alta. La razón por la que el enfoque "basado en riesgo" de la CSDDD reproduce la misma brecha que la CSRD pretendía cerrar es que la estructura de honorarios incentiva due diligence de escritorio. La norma autoriza la priorización; el mercado convierte la priorización en exención fáctica. Así, lo que en el texto de la Directiva es un instrumento técnico para focalizar recursos pasa a ser, en la práctica del primer ciclo, una vía para no salir del despacho. No es respetable que nos quieran hacer creer lo contrario. No hombre, no.
Comparación: due diligence (CSDDD) vs. doble materialidad (ESRS)
| Aspecto | Due diligence (CSDDD) | Doble materialidad (ESRS) |
|---|---|---|
| Finalidad | Identificar, prevenir, mitigar y remediar impactos adversos sobre derechos humanos y medio ambiente | Determinar qué temas de sostenibilidad requieren divulgación en el estado de sostenibilidad |
| Base legal | Directiva 2024/1760 artículos 6-16 | ESRS 1 párrafos 37-58 |
| Naturaleza de la obligación | Obligación de conducta: la empresa actúa sobre los impactos identificados | Obligación de divulgación: la empresa informa de la información material |
| Alcance | Cadena de actividades (socios aguas arriba, operación propia, filiales, distribución aguas abajo) | Cadena de valor completa según relevancia para materialidad de impacto y financiera |
| Resultado | Medidas preventivas y correctivas, remediación, monitorización, comunicación pública | Estado de sostenibilidad con divulgaciones organizadas por temas ESRS materiales |
Esta distinción importa porque una empresa puede realizar una evaluación de doble materialidad que identifique los derechos humanos como tema material y, aun así, no ejecutar la acción preventiva que la CSDDD exige. La divulgación ESRS no satisface la obligación CSDDD. Los auditores que firmen aseguramiento sobre el estado de sostenibilidad de una entidad sujeta a ambos regímenes deben verificar que el cliente no haya confundido los dos.
Términos relacionados
- CSRD: la directiva europea de divulgación de sostenibilidad cuyo régimen de aseguramiento intersecta con la conducta CSDDD. - Doble materialidad: el modelo de dos dimensiones (financiera e impacto) de los ESRS, distinto de la priorización por gravedad y probabilidad de la CSDDD. - Salvaguardias mínimas: las exigencias mínimas de derechos humanos y gobernanza que conectan el régimen de Taxonomía con la CSDDD. - Aseguramiento de sostenibilidad: la metodología bajo ISAE 3000 (limitado) e ISAE 3410 (GEI) aplicable al estado de sostenibilidad CSRD. - Evaluación IRO: el ejercicio de identificar impactos, riesgos y oportunidades que precede tanto al ámbito CSDDD como a la materialidad ESRS.
---