Definition
Una becaria en turno introduce facturas de gasoil en una hoja de cálculo, otro compañero del departamento financiero las consolida en una cifra de toneladas de CO₂, y al final del año el director reporta esa cifra al mercado como si saliera de un sistema con la misma trazabilidad que la cuenta de pérdidas y ganancias. No sale. Sale de OneDrive, de un Excel sin control de versiones y de un factor de emisión que alguien copió de internet en 2022 y nadie ha vuelto a tocar. Y aun así, el socio firma. Por lo que conozco, así empiezan ocho de cada diez encargos de sostenibilidad en empresas medianas españolas.
Cómo funciona
Lo primero que sale mal: el auditor llega con la mentalidad de la auditoría financiera y pregunta por el libro mayor. No hay libro mayor. Hay un Excel, una carpeta de OneDrive y, con suerte, una persona que se acuerde de cómo se calculó la cifra del año pasado. Esa es la realidad de partida en una primera auditoría de sostenibilidad en una empresa de tamaño medio española, y el auditor que no la asume pierde dos semanas antes de hacer un solo procedimiento sustantivo.
El ISAE 3000.11 establece que el auditor debe obtener evidencia suficiente y apropiada para sustentar una opinión sobre si la información de sostenibilidad ha sido preparada, en todo aspecto material, de conformidad con el marco de sostenibilidad aplicable. Lo que realmente ocurre es que el auditor pasa la primera semana del encargo simplemente reconstruyendo qué dato vino de dónde. Vaya por delante que esto no es exclusivo de empresas pequeñas: he visto el mismo patrón en grupos cotizados de tamaño medio donde el reporting de sostenibilidad lo lleva una persona, sola, con una hoja de cálculo heredada.
La diferencia con una auditoría financiera es de territorio. Los datos de sostenibilidad están repartidos en múltiples sistemas. Una métrica de intensidad de carbono viene de registros de consumo de energía, quizá en otro edificio o país. Las horas trabajadas por grupo demográfico están en bases de datos de recursos humanos. Los reclamos sobre cadenas de suministro dependen de terceros que no preparan estados financieros auditados, y que muchas veces ni siquiera saben que su dato va a ir a parar a un informe firmado por un auditor.
El ISAE 3000.A2 señala que el auditor debe evaluar la integridad y la precisión de los procesos mediante los cuales la entidad recopila y genera esos datos. En la práctica, eso significa documentar cómo se calcula cada métrica, de dónde proviene, cómo se consolida, y dónde están los riesgos de error o fraude. La parte que la norma no dice: el 80% del trabajo aquí es de proceso, no de cifra. Y es precisamente la parte que el cliente menos entiende, porque para él tú estás auditando el número que aparece en la portada de la memoria, no la trastienda.
Hay una zona gris que la norma no resuelve. ¿Qué pasa cuando el cliente reporta una métrica que no es obligatoria por su marco aplicable, pero que ha decidido divulgar voluntariamente? El ISAE 3000 te obliga a opinar sobre lo que esté dentro del alcance pactado, pero no te dice qué hacer con el dato voluntario que el cliente quiere meter en el informe a última hora porque a su director financiero le parece que queda bien. En mi caso, lo dejo fuera del alcance por escrito, en el memorándum, antes de empezar. Si entra después, entra como adenda y con honorarios adicionales.
Ejemplo práctico: Manu Ibérica S.L.
Cliente: Fabricante de componentes para automoción, con sede en la región de Murcia, ingresos de 38 millones de euros, marco ESRS aplicable (por ser grupo de tamaño medio cotizado).
Paso 1: Identificación del alcance del aseguramiento Dirección solicita aseguramiento limitado sobre: emisiones alcance 1 y 2 (toneladas CO₂), accidentes de seguridad ocupacional (número de accidentes con baja), y diversidad de género en directivos (porcentaje de mujeres en puestos directivos).
Documentación de trabajo: memorándum de términos del encargo que especifica qué métricas se incluyen, el marco ESRS aplicable (artículos concretos que se auditan), y el nivel de aseguramiento (limitado vs. razonable). El cliente firma el memorándum.
Paso 2: Evaluación de los procesos de generación de datos La empresa reporta emisiones alcance 1 basadas en facturas de combustible y gas. Revisas con el gerente de operaciones dónde se almacenan esas facturas (carpeta compartida de OneDrive), quién las ingresa al sistema de reportería (becaria en turno), y cómo se valida la cifra (sin proceso formal actual). Los papeles están flojos.
Hallazgo: no hay un procedimiento documentado que verifique que cada factura corresponde a una ubicación específica antes de convertirla a CO₂.
Documentación de trabajo: matriz de riesgos identificados. Incluye: "Riesgo de clasificación errónea de emisiones por ubicación. Frecuencia: trimestral. Controles existentes: ninguno identificado. Procedimiento de auditoría: seleccionar muestra de 20 facturas del año; verificar ubicación contra documento de respaldo; reconvertir a toneladas CO₂ usando factor de emisión IPCC 2023; comparar con cifra reportada."
Paso 3: Procedimientos sustantivos sobre las métricas reportadas Manu Ibérica reporta 1.847 toneladas CO₂ alcance 1 en 2024. Seleccionas una muestra de 25 facturas mensuales de combustible (distribuidas a lo largo del año). Para cada una: - Verificas que la factura corresponda a la ubicación física (números de placa de vehículos, consumo esperado para ese tipo de operación). - Reconviertes el volumen de combustible a toneladas CO₂ usando los factores de emisión publicados por IPCC. - Comparas tu cálculo con el que la empresa reportó.
Diferencia encontrada: en marzo, la empresa usó un factor de 2,31 kg CO₂/litro de diésel cuando el factor IPCC 2023 es 2,67. Esto resultó en subreporte de 0,36 toneladas ese mes.
Documentación de trabajo: tabla de verificación de muestra con encabezados: "Mes | Factura # | Combustible ingresado (litros) | Factor CO₂ de la empresa | Mi factor CO₂ (IPCC 2023) | Diferencia | Documento de respaldo (PDF, ubicación en OneDrive)."
Complicación a mitad de encargo A las cuatro semanas, dirección comunica que ha decidido reexpresar parcialmente la cifra de emisiones alcance 2 del ejercicio anterior porque el comercializador eléctrico les ha enviado factores de emisión actualizados. La cifra del año comparativo cambia, y el equipo te pide que el cambio se refleje en tu informe sin alterar el alcance pactado. Ahí se planteó una discrepancia interna.
El socio responsable opinaba que la reexpresión, al ser parcial y voluntaria, podía mencionarse en un párrafo de énfasis sin abrir el alcance, porque no afecta la opinión sobre el ejercicio actual. El socio del segundo grupo, que había llevado el encargo del año anterior, opinaba que reexpresar el comparativo sin reabrir el alcance era una bomba de relojería: si el regulador o un usuario de la información preguntaba el año siguiente por qué la cifra había cambiado, el papel de trabajo no defendía la consistencia entre periodos. Los dos tenían razones defendibles. La salida que pactamos: reexpresión aceptada, párrafo de énfasis, y un memorándum específico que documentaba la nueva metodología del comercializador, los factores aplicados, y la diferencia cuantificada respecto a la cifra original. No es la solución más limpia. Es la solución que sostiene una pregunta del ICAC dos años después.
Paso 4: Evaluación de materialidad y preparación de conclusión La diferencia de 0,36 toneladas es 0,02% de las emisiones totales reportadas (1.847 t). Pero Manu Ibérica reporta públicamente que sus emisiones "se han calculado conforme a IPCC 2023." El incumplimiento del factor de emisión es una desconexión entre lo que la empresa dijo que haría y lo que la documentación demuestra que hizo.
Dado que ISAE 3000.12 requiere que el auditor determine si las desviaciones respecto del marco de sostenibilidad aplicable son materiales, cuantificas esta como: sí, es material cualitativamente (inconsistencia con la política declarada), aunque no lo sea cuantitativamente (0,02%).
Documentación de trabajo: memorándum de materialidad de sostenibilidad. Establece un umbral de materialidad cuantitativo (por ejemplo: 5% de emisiones totales = 92 toneladas) y cualitativo (cualquier incumplimiento de la política IPCC declarada en la declaración de sostenibilidad). Conclusión: el error de factor encontrado es cualitativo y debe ser reportado.
Paso 5: Comunicación de hallazgos Reportas el hallazgo a dirección: la metodología de factor CO₂ fue inconsistente con la política declarada. Para la opinión de aseguramiento limitado, esto se reporta como una salvedad o como un punto de énfasis (dependiendo de si la empresa reexpresa la cifra).
Si Manu Ibérica no corrige y reexpresa, tu opinión limitada incluye: "Excepto por el asunto descrito en el párrafo anterior, en nuestra opinión, la información de sostenibilidad ha sido preparada de conformidad con el marco ESRS."
Conclusión: esta es una auditoría defendible. Documentaste dónde estaban los datos, qué proceso los generó, dónde estaba el riesgo, y qué evidencia apoyaba tu conclusión de incumplimiento. Eso es ISAE 3000 cumplido.
Lo que revisores y auditores de aseguramiento se equivocan
- Confundir alcance de auditoría con cobertura de control. El ISAE 3000.A1 define el alcance como "lo que será sujeto de aseguramiento" (qué métricas, qué período, qué ubicaciones). Lo que pasa en la práctica: el memorándum se redacta enumerando métricas pero sin especificar el marco aplicable ni la definición de materialidad. Esto se descubre en la última semana, cuando el cliente ya ha publicado el borrador de su memoria y discutir el alcance se vuelve una conversación comercial, no técnica. Mi opinión: el memorándum debe incluir el marco aplicable y el umbral de materialidad porque, sin esos dos anclajes, cualquier discusión posterior sobre si una desviación es relevante se convierte en una negociación, no en un juicio profesional.
- Asumir que el marco de sostenibilidad más reciente es el que aplica al cliente. ESRS aplica a entidades de tamaño medio cotizadas a partir de 2025. GRI es voluntario pero más prevalente en pequeños fabricantes. SASB es específico por industria, no obligatorio en España ni en Latinoamérica. Lo que ocurre de verdad: el equipo de auditoría empieza a trabajar bajo el marco que el cliente "prefiere" porque es el que su consultor le ha implementado, no el que su regulador le exige. La primera pregunta debe ser siempre "¿qué marco debe aplicar tu negocio según tu regulador?", no "¿qué marco prefieres usar?". Lo digo así de directo porque, cuando el marco está mal elegido al inicio, el trabajo de seis semanas se rehace en dos.
- Documentar que "se revisó la información de sostenibilidad" sin documentar cómo. El ISAE 3000.14 exige que el auditor prepare un informe que describa el trabajo realizado y las conclusiones. En la práctica, eso significa papeles de trabajo que muestren qué métrica se auditó, cómo se obtuvo la evidencia (muestra o censo completo), qué criterios se aplicaron, y qué diferencias se encontraron. Un papel de trabajo que dice "Se auditó emisiones CO₂. Sin hallazgos" sin especificar cómo ni qué se probó es la definición de marcar la casilla. Si el ICAC pregunta dos años después y solo tienes esa frase, el archivo no te defiende. El archivo tiene que contar la historia de cómo llegaste a la conclusión.
Por qué casi todos empiezan en limitado
Hay un incentivo perverso que la norma no nombra. El aseguramiento limitado cuesta entre un 60% y un 80% menos que el razonable. Las firmas medianas, que compiten por estos encargos contra los Big 4 con honorarios ajustados, descubren rápidamente que ofrecer "razonable" desde el primer año hace que el presupuesto se desplome o que el encargo se pierda. Resultado: todo el mundo empieza con limitado, todo el mundo lo justifica diciendo que es "lo apropiado para un primer encargo", y casi nadie reabre la conversación al año siguiente. El socio necesita el cliente. El cliente quiere el sello. Y "limitado" es el punto medio en el que ambas partes pueden vivir cómodamente, aunque la opinión negativa que se emite ("nada nos llamó la atención") sea, en términos de utilidad para un usuario de la información, bastante poca cosa.
El segundo orden de la cuestión es éste: ESRS exige aseguramiento razonable a partir de 2028 para entidades grandes. Las firmas que llevan tres años emitiendo limitado sin construir el archivo de procesos y controles que un razonable exige van a llegar a 2028 con una infraestructura de papeles de trabajo que no soporta el salto. Lo que parece eficiencia hoy es deuda técnica acumulada. Por eso recomiendo, incluso en encargos limitados, documentar los procesos de generación de datos como si la opinión fuera razonable. Cuesta un 15% más en el primer año. Ahorra rehacer el archivo entero en el año del cambio.
Aseguramiento limitado vs. razonable
| Dimensión | Limitado (ISAE 3000 Tipo 2) | Razonable (ISAE 3000 Tipo 1) |
|---|---|---|
| Nivel de evidencia requerida | Suficiente que no hay cambios materiales no detectados | Suficiente para una opinión positiva sobre conformidad |
| Procedimientos típicos | Revisión analítica, consultas, observación, verificación selectiva | Todo lo anterior más procedimientos sustantivos extensos, confirmación externa |
| Opinión expresada | Negativa ("nada nos llamó la atención") | Positiva ("la información está conforme") |
| Primer encargo común | Sí; muchas entidades comienzan con limitado | No; típicamente segundo o tercer año |
| Esfuerzo de auditoría | 60–80% menos que razonable | 100% (línea base) |
La distinción importa porque ESRS requiere aseguramiento razonable desde 2028 para entidades grandes, pero permite limitado hasta entonces. Un auditor que comienza con razonable cuando el cliente solo necesita limitado desperdicia 4–6 semanas de trabajo. El error contrario, mantenerse en limitado cuando ya correspondía pasar a razonable, no se ve hasta que el ICAC pregunta y el archivo no aguanta.
Términos relacionados
- Materialidad en sostenibilidad: cómo definir qué información de sostenibilidad importa lo suficiente para auditar - ISAE 3000: la norma que rige todo aseguramiento de información no-financiera - Información de sostenibilidad ESRS: qué divulgar bajo la Directiva de Sostenibilidad Corporativa - Aseguramiento limitado: el nivel de opinión más común para sostenibilidad en primeros encargos - Fraude en datos de sostenibilidad: dónde buscar enredos en cadenas de suministro y datos medioambientales - Marcos de sostenibilidad: GRI vs ESRS vs SASB: cómo elegir cuál aplica a tu cliente
Herramienta de ciferi
El Planificador de aseguramiento de sostenibilidad ISAE 3000 automatiza la definición del alcance, la evaluación de controles de generación de datos, y la matriz de procedimientos de auditoría. Acelera 3–4 semanas del trabajo de planificación y genera los papeles de trabajo de riesgo listos para población.
---