ISSA 5000

Cómo funciona

ISSA 5000 es la hermana de ISAE 3000 (Revised), pero más restrictiva. Mientras ISAE 3000 cubre cualquier aseveración no financiera (RSC genérico, datos de cadena de suministro, gobernanza), ISSA 5000 se aplica cuando el objeto del encargo es información de sostenibilidad propiamente dicha.

El auditor bajo ISSA 5000 obtiene evidencia de auditoría suficiente y apropiada sobre si las aseveraciones de sostenibilidad de la entidad están libres de incorrección material, ya sea por sesgo o por error. A diferencia de una auditoría de cuentas anuales bajo NIA-ES 200, el párrafo 42 exige al auditor comprender el contexto de sostenibilidad de la entidad, incluidas sus obligaciones bajo CSRD o equivalentes internacionales. Esto no es opcional. Sin esa comprensión, la evaluación de riesgo no se sostiene.

El alcance es donde casi todos los equipos novatos resbalan. ISSA 5000 párrafo 38 requiere que el auditor determine si la aseveración cubre todos los aspectos de sostenibilidad que los usuarios previstos considerarían importantes para tomar decisiones. La trampa: muchos auditores asumen que si la entidad ha divulgado todo lo que la regulación le exige, el alcance está cubierto. No es así. ISSA 5000 párrafo 38(a) habla de información que los usuarios considerarían importante, no de información que la regulación exige. La doble materialidad (financiera más de impacto) añade una capa que no existe en la auditoría financiera tradicional.

La competencia técnica es obligatoria. ISSA 5000 párrafo 22 establece que el equipo de auditoría debe poseer competencia en los marcos aplicables. Un auditor de NIA-ES 320 que nunca ha leído un ESRS no puede aceptar este tipo de encargo sin formación significativa y supervisión de un experto. En la práctica, esto significa que el primer encargo ISSA 5000 de un despacho normalmente cuesta dinero al despacho, no le hace ganarlo.

Lo que realmente ocurre

La norma dice una cosa y los despachos hacen otra. La presión comercial empuja a aceptar encargos que técnicamente convendría rechazar. El cliente que el despacho ya audita en cuentas anuales necesita un proveedor de aseguramiento ESRS, y si su auditor histórico no se lo da, lo dará otro. El socio necesita el cliente. He visto despachos contratar a un consultor ESRS externo y declarar la competencia satisfecha por el párrafo 22; otros se han negado y han perdido el cliente. Ambas decisiones tienen consecuencias.

En mi caso, la pregunta que separa el encargo defensible del que no lo es no es "¿tenemos formación ESRS?", sino "¿cómo vamos a documentar la evaluación de doble materialidad cuando el ICAC venga a mirar?". Si la respuesta es "tenemos un memo del consultor externo", los papeles están flojos. Si la respuesta es "el equipo ha revisado las matrices de la entidad, ha entrevistado al responsable de sostenibilidad y ha contrastado con los puntos de datos materiales del sector", el archivo aguanta.

Ejemplo práctico: Soluciones Sostenibles Ibéricas, S.A.

Cliente: Fabricante de componentes para energías renovables, Madrid, ingresos de 185 millones de euros, reportador ESRS Tier 1, FY2024.

Paso 1: Aceptación del encargo y evaluación de competencia La dirección solicita aseguramiento de su declaración ESRS, con doble materialidad ya identificada (riesgos laborales, emisiones Scope 2, cadena de suministro). El auditor verifica conforme al párrafo 22 que al menos un miembro senior del equipo tiene formación certificada en ESRS y acceso a un experto en sostenibilidad. Documentación: resumen de calificaciones en el archivo de aceptación; contrato con consultor ESRS externo si procede.

Paso 2: Evaluación de la aseveración y límite del alcance La declaración ESRS cubre 47 puntos de datos. El auditor aplica el párrafo 38 para identificar cuáles son materiales: cinco aspectos de riesgo laboral, dos de emisiones, tres de cadena de suministro. Los otros 37 puntos, aunque divulgados, no son materiales según la doble materialidad de la entidad. La evaluación se documenta con referencia a las matrices de materialidad de la entidad. Documentación: tabla de alcance con justificación para cada exclusión.

Paso 3: Planificación de procedimientos Para emisiones Scope 2 (material): materialidad de planificación fijada en 2,8 millones de toneladas CO₂e (3% de Scope 1 + Scope 2 combinadas). Para riesgos laborales (material): materialidad cuantitativa (cero lesiones graves) y cualitativa (conformidad con estándares ILO en cadena de suministro). El equipo obtiene evidencia conforme a ISSA 5000 párrafos 59–78 mediante inspección de registros de proveedores, procedimientos analíticos sobre tendencias históricas y observación física de plantas. Documentación: programa de procedimientos con referencia a párrafos de ISSA 5000; matriz de evaluación de riesgos.

Paso 4: Evaluación de la evidencia (donde aparece la complicación) A mitad del encargo, el equipo identifica algo que no estaba en el plan: las emisiones divulgadas de un proveedor principal (Energía Global Portugal, Lda.) no se han recalculado para reflejar una ampliación de planta de noviembre de 2024. El impacto es una sobreestimación de Scope 3 de 1,1 millones de toneladas CO₂e. Está por debajo de la materialidad de planificación, pero por encima del rendimiento de 0,8 millones. Y ahora viene la pregunta de juicio: ¿es una corrección que basta con que la dirección haga, o justifica una salvedad?

El socio del encargo y el revisor de calidad no coincidieron al principio. El socio defendía corrección sin más; el revisor argumentaba que el patrón (proveedor que no recalcula tras un evento conocido) sugería un fallo de control sobre el dato Scope 3 que merecía mención en la opinión. Se aplicó el párrafo 92 para evaluar tanto el efecto cuantitativo como la causa raíz. La dirección corrigió, el equipo amplió procedimientos sobre el resto de proveedores Scope 3, y se documentó el desacuerdo resuelto entre socio y revisor antes de emitir. Documentación: comunicación de desacuerdo con la dirección; nota de divergencia interna entre socio y revisor; evidencia de corrección post-datos.

Conclusión: Opinión sin salvedades. Los factores defensibles fueron la competencia demostrada en ESRS, el rigor en la evaluación de doble materialidad y el acceso a un experto técnico en emisiones. Sin esos tres, el riesgo de aceptación habría sido inaceptable.

Donde discrepan dos socios experimentados

Tomemos el párrafo 22 sobre competencia. El Socio A acepta el encargo y subcontrata un consultor ESRS externo: su lectura es que "acceso a un experto" satisface la competencia exigida y permite al despacho ofrecer el servicio sin formar a todo el equipo. El Socio B se niega: para él, la competencia tiene que estar en el equipo del encargo, no subcontratada, porque el experto externo no firma el informe y el ICAC le sancionará a él si las cosas se tuercen. Ambas lecturas son defendibles. La del Socio A es más práctica para despachos sin equipo de sostenibilidad propio y permite construir capacidad gradualmente. La del Socio B es más segura cuando el regulador venga a mirar, porque la responsabilidad firmada no se subcontrata.

Mi posición personal: en el primer encargo ISSA 5000 de un despacho, el socio que firma debería pasar al menos dos semanas leyendo ESRS antes de la aceptación. El experto externo es necesario pero no suficiente. Vaya por delante que esto es opinión, no obligación normativa.

Por qué la práctica diverge de la norma

La directiva CSRD ha creado demanda que excede la capacidad técnica del mercado. ISSA 5000 entró en vigor antes de que los despachos medianos hubieran formado a sus equipos. El resultado predecible: aceptaciones que sobre el papel cumplen el párrafo 22 pero que en la práctica dependen de un único consultor externo que firma un memo de competencia. Esto no es desidia profesional, es economía. Cuando el cliente principal del despacho pide aseguramiento ESRS y el competidor lo va a dar, rechazar es perder el cliente. El socio necesita el cliente.

La consecuencia que pocos están viendo: ISSA 5000 no compite con ISAE 3000, la sustituye en su ámbito. Los encargos ISAE 3000 que históricamente cubrían información de sostenibilidad migrarán a ISSA 5000 obligatoriamente cuando el usuario previsto sea un regulador. El mercado todavía no ha digerido que un encargo bien hecho bajo ISAE 3000 puede no satisfacer ISSA 5000 si la entidad pasa a estar dentro del perímetro CSRD. Eso son cartas de aseguramiento que vencen y no son renovables sin replantear el alcance.

Qué revisores y profesionales confunden

ISSA 5000 tratada como ISAE 3000 con datos verdes. Es el error más común. ISSA 5000 párrafo 42 exige comprensión de la regulación de sostenibilidad (CSRD, leyes de debida diligencia); ISAE 3000 no lo hace. Una aseguramiento bajo ISAE 3000 sobre datos de sostenibilidad no satisface ISSA 5000 si el usuario previsto es una autoridad reguladora. Los papeles que sirvieron para ISAE 3000 no sirven aquí.

Aseveración completa confundida con aseveración divulgada. ISSA 5000 párrafo 38 es donde la mayoría de los equipos novatos fallan. El argumento "hemos auditado todos los puntos de datos que la entidad divulgó, por tanto el alcance está cubierto" no se sostiene. El párrafo 38(a) exige que la aseveración incluya información que los usuarios considerarían importante para tomar decisiones económicas. Si la entidad omite un aspecto material, la aseveración está incompleta, independientemente de que la divulgación sea conforme a GRI o ESRS. El auditor tiene responsabilidad de completitud, no solo de precisión. Es un cambio de mentalidad respecto a la auditoría financiera.

Riesgo de aceptación subvalorado. Un auditor financiero experimentado asume con frecuencia que puede aceptar este tipo de encargo porque ya hace ISAE 3000 o porque ya audita las cuentas anuales del cliente. El párrafo 22 es categórico. Sin competencia específica en marcos de sostenibilidad, el riesgo aumenta de forma material y la primera inspección que llegue lo va a evidenciar.

Relación con normas relacionadas

ISSA 5000 vs. ISAE 3000 (Revised): ISSA 5000 es más específica y restrictiva. Se aplica cuando la aseveración está completamente dedicada a información de sostenibilidad. ISAE 3000 sigue siendo el marco para cualquier otra aseveración no financiera (RSC genérica, datos de cadena de suministro no sostenibilidad, gobernanza no integrada en informe ESG).

Relación con NIA-ES 200: Un auditor puede aceptar tanto auditoría de cuentas anuales (NIA-ES) como aseguramiento ISSA 5000 sobre la misma entidad. Son encargos independientes con alcances, riesgos y requisitos de evidencia distintos. ISSA 5000 párrafo 41 prohíbe consolidar la materialidad entre ambos.

Relación con CSRD: ISSA 5000 es la norma de aseguramiento. La CSRD es el requisito legal de divulgación en la UE. ISSA 5000 es cómo se asegura la conformidad con la CSRD; no la reemplaza.

Términos relacionados

- Doble materialidad: Marco para evaluar qué información es importante bajo ISSA 5000. - ESRS: Estándares europeos de divulgación de sostenibilidad asegurados bajo ISSA 5000. - GRI: Estándares globales de divulgación de sostenibilidad alternativos a ESRS. - TCFD: Marco de riesgo climático integrado con frecuencia en aseveraciones aseguradas bajo ISSA 5000. - ISAE 3000 (Revised): La norma hermana para aseveraciones no financieras que no son sostenibilidad pura. - Aseguramiento limitado: Nivel de aseguramiento alternativo bajo ISSA 5000 para entidades que aún no asumen aseguramiento razonable.