Definition
La directiva CSRD obliga a empresas grandes a reportar información de sostenibilidad bajo un encargo de aseguramiento limitado a partir del ejercicio 2024 y, antes de 2028, a migrar a aseguramiento razonable. Casi nadie en el mercado ibérico tiene los sistemas listos para esa segunda fase, y eso es lo que está moviendo el debate técnico ahora mismo. Gobernado por: ISAE 3000 párrafo 29 (Revisado 2023) y la NICC 1 sobre el sistema de calidad aplicable al encargo.
Cómo funciona
Lo que diferencia al aseguramiento razonable del limitado no es la conclusión bonita del informe, sino el trabajo que hay detrás. Bajo aseguramiento limitado el auditor puede sostener su conclusión con procedimientos analíticos y consultas a la dirección. Bajo aseguramiento razonable eso no llega: el ISAE 3000.29R pide reducir el riesgo del encargo a un nivel aceptablemente bajo mediante pruebas sustantivas detalladas, validación con fuente original, y, en muchos casos, prueba de campo.
En la práctica, eso significa pisar la planta. Si el reporte ESRS afirma que las emisiones de alcance 1 fueron de 12.400 toneladas de CO₂ equivalente, el auditor de aseguramiento razonable reconstruye el cálculo: cuántos litros de gasóleo se quemaron en cada centro, qué factor de emisión se aplicó, de dónde sale ese factor (DEFRA, IPCC, fuente nacional), y si la integridad del dato está soportada por facturas y albaranes. Con aseguramiento limitado bastaría con un análisis de razonabilidad respecto al ejercicio anterior y una conversación con el responsable de medio ambiente. La diferencia, en horas y honorarios, es de un factor tres a cinco.
Lo que dice la norma frente a lo que pasa
El ISAE 3000 no improvisa: pide diseño de procedimientos a nivel de aseveración (integridad, exactitud, presentación), evaluación de los controles internos sobre la información de sostenibilidad, y obtención de evidencia de terceros para afirmaciones críticas. En la realidad, la mayoría de entidades que migran a aseguramiento razonable lo hacen sin haber montado un control interno comparable al de la información financiera. El dato de consumo de agua se introduce a mano en una hoja de cálculo, lo revisa el director de operaciones, y nunca pasa por una segunda firma. Eso, bajo aseguramiento razonable, es papel flojo. Vaya por delante que esto no es un problema solo de las pymes ESRS-bound: lo describen las consultas técnicas del ICAC y los hallazgos preliminares de IFIAR sobre los primeros encargos CSRD.
Ejemplo práctico: Grupo Textil Ibérico S.A.
Cliente: empresa de confección con sede en Barcelona. Facturación 28,5 M€ en 2024. Reporta bajo ESRS por estar dentro del alcance CSRD (segundo ola, ejercicio iniciado el 1 de enero de 2024). Auditor: socio firmante con equipo mixto (financiero más especialista en GEI).
Paso 1. Materialidad y alcance La dirección identifica como asuntos materiales: emisiones de alcance 1 y 2, consumo de agua, seguridad laboral, y cumplimiento de derechos humanos en la cadena de suministro (proveedores marroquíes). El equipo del auditor revisa la matriz de materialidad y la valida: la metodología cubre tanto perspectiva financiera como de impacto, conforme a ESRS 1 párrafo 25.
Nota de documentación: PT 3.2. Matriz de materialidad y acta de validación. Se incluyen las plantas españolas y los proveedores marroquíes de nivel 1 en el alcance. Se documenta la decisión de excluir el alcance 3 financiero (categoría 15) por inmaterialidad para 2024, a revisar en 2025.
Paso 2. Pruebas sobre emisiones de alcance 1 El auditor reconstruye el cálculo: 45 facturas de combustible del periodo, factor de emisión DEFRA 2024 aplicado a litros consumidos, agregación por centro. Selecciona 38 facturas para verificar contra recibos originales y contra albaranes de entrega.
Nota de documentación: PT 5.1. Pruebas sustantivas: 38 de 45 facturas verificadas. Se identifica una desviación en julio (proveedor cobró 150 litros no entregados según albarán). Ajuste registrado. Recálculo de emisiones de julio: 1.040 toneladas de CO₂e en lugar de 1.058. Restatement aceptado.
Paso 3. Pruebas sobre el control interno La captura de datos de consumo de agua se hace con entrada manual en hoja de cálculo, reconciliación mensual por el gerente de planta, y revisión trimestral por el director de operaciones. El auditor evalúa diseño y operación del control: presencia el día de la entrada, contraste con lecturas de medidores y certificados de la compañía de abastecimiento.
Nota de documentación: PT 4.3. Observación del control en tres fechas (enero, abril, octubre 2024). Documentos fuente reconciliados con valores ingresados. Sin excepciones. Control evaluado como operativo. Limitación documentada: el control depende críticamente del gerente de planta; no hay segregación de funciones.
Paso 4. Donde se complica: derechos humanos en cadena de suministro La dirección afirma en el borrador del reporte que "el 100% de nuestros proveedores de nivel 1 en Marruecos han completado auditorías de cumplimiento conforme a SA8000." El auditor pide la lista (28 proveedores), verifica que 26 cuentan con certificado SA8000 vigente, y obtiene copia de los informes más recientes de 8 proveedores seleccionados por volumen de compra. Aparece una excepción: el proveedor de hilos no tiene certificación SA8000, pero sí una auditoría privada contratada por Textil Ibérico en septiembre 2024. El equipo del auditor analiza si la auditoría privada cubre los mismos criterios que SA8000 (no del todo: faltan tres requisitos de horas extras y libertad sindical) y propone matizar la afirmación.
Nota de documentación: PT 6.2. Verificación DDHH cadena de suministro. La dirección modifica el borrador para reflejar: "el 96,4% de los proveedores de nivel 1 cuentan con certificación SA8000; los dos restantes están en plan correctivo de 90 días." El restatement se registra. Se discute con el comité de auditoría la cobertura parcial de la auditoría privada.
Conclusión Opinión afirmativa sin salvedades emitida en marzo 2025: "En nuestra opinión, la información de sostenibilidad de Grupo Textil Ibérico S.A. relativa al ejercicio terminado el 31 de diciembre de 2024 es fiel en todos los aspectos significativos de acuerdo con la Norma Europea de Informes de Sostenibilidad (ESRS)." La opinión se sostiene porque las dos desviaciones identificadas (alcance 1 julio, cadena de suministro) se corrigieron antes de la emisión y quedaron documentadas. Lo que el auditor sí reconoce internamente es que el control interno de Textil Ibérico está, hoy, en el límite mínimo de lo que ISAE 3000 admite para aseguramiento razonable: si el gerente de planta deja la empresa, el control de captura de agua se cae.
Lo que se les escapa a revisores y profesionales
Confundir aseguramiento razonable con aseguramiento limitado en el alcance del trabajo. El ISAE 3000.45 obliga a evaluar el riesgo de incorrecciones materiales a nivel de aseveración y responder con pruebas sustantivas. Buena parte de los hallazgos preliminares de IFIAR sobre encargos CSRD describen el patrón opuesto: el equipo aplica el toolkit del aseguramiento limitado (analíticos más consulta) y firma como si fuera razonable. Es la misma confusión que en la auditoría financiera entre revisión limitada y auditoría completa, pero en un terreno donde la diferencia de honorarios es mucho más visible para el cliente, así que la presión comercial empuja hacia abajo.
Aceptar afirmaciones de la dirección sin evidencia independiente o directa. Cuando la entidad afirma que cumple un estándar (SA8000, ISO 14001, certificación de cadena de custodia), el auditor de aseguramiento razonable necesita ver el certificado vigente, el informe de auditoría más reciente, y, en casos críticos, contraste de campo. La indagación aislada no llega bajo el ISAE 3000.42(a). Lo que ocurre realmente es que muchos equipos confunden "documento aportado por la dirección" con "evidencia de tercero independiente"; un informe de auditoría privada contratada y pagada por la entidad no es exactamente lo segundo.
Verificar la integridad de la fuente y olvidar la precisión del cálculo. El error más sutil. El auditor puede confirmar que la entidad midió el consumo de agua y que el medidor está calibrado, pero no contrastar que el cálculo de emisiones derivado de ese consumo (intensidad por unidad producida, factor aplicado, agregación) sea matemáticamente correcto. ISAE 3000.42(b) pide cubrir las dos: precisión de los datos brutos y precisión de los cálculos derivados. En CSRD esto importa especialmente porque los factores de emisión cambian de año a año y la entidad puede aplicar el factor del ejercicio anterior por inercia.
Aseguramiento razonable vs. aseguramiento limitado
| Dimensión | Aseguramiento razonable | Aseguramiento limitado |
|---|---|---|
| Objetivo | Reducir el riesgo del encargo a un nivel aceptablemente bajo | Reducir el riesgo a un nivel moderado, no bajo |
| Naturaleza de las pruebas | Sustantivas detalladas, controles internos, prueba de campo cuando aplica | Procedimientos analíticos e indagaciones, principalmente |
| Conclusión del informe | "Es fiel en todos los aspectos significativos" (positiva) | "Nada ha llegado a nuestra atención que indique que la información no sea fiel" (negativa) |
| Evaluación de riesgo | A nivel de aseveración, con muestreo y verificación de procesos subyacentes | A nivel global, con procedimientos analíticos comparativos |
| Evidencia de terceros | Necesaria para afirmaciones críticas (certificaciones, cumplimiento normativo) | Indagación a la dirección admisible como prueba primaria |
| Documentación de excepciones | Obligatoria, con análisis de impacto sobre materialidad | Informativa; no necesariamente vinculante para la conclusión |
Cuándo importa la distinción en una auditoría
Una empresa española dentro del alcance CSRD que reporta bajo ESRS tiene que decidir, en algún momento entre 2025 y 2028, si reforzar sus sistemas de captura de datos para sostener un aseguramiento razonable o si va a quedarse en limitado el máximo tiempo posible. La directiva no le da margen indefinido: la migración a razonable es obligatoria antes de 2028. La trampa es que muchas entidades ven el aseguramiento limitado como destino estable, y descubren tarde que un sistema de captura manual, en hoja de cálculo, sin pistas de auditoría documentadas, no se rescata en seis meses.
El auditor tiene la obligación profesional de explicarle al cliente lo que viene. Aceptar un encargo de aseguramiento razonable cuando los sistemas de la entidad no llegan al estándar mínimo es comprometer el trabajo de los próximos doce meses con la dirección y con el comité de auditoría. La conversación de alcance, antes de firmar la carta de encargo, vale más que el rescate posterior.
Donde dos socios discrepan
El socio A diría: "yo acepto el encargo de razonable aunque los sistemas estén verdes; documento las limitaciones, ejecuto el trabajo necesario para reducir el riesgo, y si no llego, salgo con incertidumbre material. La entidad necesita el aprendizaje del primer ciclo." El socio B respondería: "yo no firmo razonable si la entidad no tiene controles internos sobre los datos de sostenibilidad comparables a los de la información financiera; lo que firmo es limitado, y le pongo plazo a la entidad para invertir en captura, trazabilidad y revisión cruzada antes de subir el listón." Los dos tienen un punto. La NICC 1 obliga a evaluar si el despacho tiene capacidad para sostener el encargo; el ISAE 3000 obliga al auditor a reducir el riesgo. El incentivo perverso es claro: quien acepta encargos de razonable hoy compite por mandato en un mercado donde los Big 4 están estableciendo precio, y rechazar el encargo se traduce en perder el cliente para la auditoría financiera del año siguiente. Por eso el debate técnico está donde está.
Términos relacionados
- Información de sostenibilidad. Información cuantitativa y narrativa que la entidad comunica sobre asuntos ambientales, sociales y de gobernanza. - ISAE 3000 (Revisado 2023). Norma internacional aplicable a encargos de aseguramiento sobre información distinta de la histórica financiera. - Marco de información de sostenibilidad. Conjunto de criterios y métricas (ESRS, GRI, SASB) frente a los que se mide la información reportada. - Doble materialidad. Evaluación de la importancia de un asunto desde la perspectiva del impacto y de la financiera. - Pruebas sustantivas de sostenibilidad. Procedimientos diseñados para obtener evidencia directa sobre precisión y completitud de los datos. - Riesgo de información de sostenibilidad. Riesgo de que la información reportada contenga incorrecciones materiales por debilidades en la captura, el cálculo o los controles.
Herramientas relacionadas
Use el calculador de aseguramiento de sostenibilidad para identificar qué nivel de aseguramiento le aplica a su entidad según el tamaño, la madurez del sistema de datos y los requisitos regulatorios de la jurisdicción.
---