Cómo funciona

En la práctica, el aseguramiento de sostenibilidad es similar a una auditoría financiera pero con un territorio diferente. El ISAE 3000.11 establece que el auditor debe obtener evidencia suficiente y apropiada para sustentar una opinión sobre si la información de sostenibilidad ha sido preparada, en todo aspecto material, de conformidad con el marco de sostenibilidad aplicable.
La diferencia crítica: los datos de sostenibilidad están repartidos en múltiples sistemas. Una métrica de intensidad de carbono viene de registros de consumo de energía, quizá en otro edificio o país. Las horas trabajadas por grupo demográfico están en bases de datos de recursos humanos. Los reclamos de sostenibilidad sobre cadenas de suministro dependen de terceros que no preparan estados financieros auditados.
El ISAE 3000.A2 señala que el auditor debe evaluar la integridad, la completitud y la precisión de los procesos mediante los cuales la entidad recopila y genera esos datos. Esto significa documentar cómo se calcula cada métrica, de dónde proviene, cómo se consolida, y dónde están los riesgos de error o fraude.

Ejemplo práctico: Manu Ibérica S.L.

Cliente: Fabricante de componentes para automoción, con sede en la región de Murcia, ingresos de 38 millones de euros, marco ESRS aplicable (por ser grupo de tamaño medio cotizado).
Paso 1: Identificación del alcance del aseguramiento
Dirección solicita aseguramiento limitado sobre: emisiones alcance 1 y 2 (toneladas CO₂), accidentes de seguridad ocupacional (número de accidentes perdidos), y diversidad de género en directivos (porcentaje de mujeres en puestos directivos).
Documentación de trabajo: memorándum de términos del encargo que especifica qué métricas se incluyen, el marco ESRS aplicable (artículos concretos que se auditan), y el nivel de aseguramiento (limitado vs. razonable). El cliente firma el memorándum.
Paso 2: Evaluación de los procesos de generación de datos
La empresa reporta emisiones alcance 1 basadas en facturas de combustible y gas. Revisas con el gerente de operaciones dónde se almacenan esas facturas (carpeta compartida de OneDrive), quién las ingresa al sistema de reportería (becaria en turno), y cómo se valida (sin proceso formal actual).
Descubrimiento: no hay un procedimiento documentado que verifique que cada factura corresponde a una ubicación específica antes de convertirla a CO₂.
Documentación de trabajo: matriz de riesgos identificados. Incluye: "Riesgo de clasificación errónea de emisiones por ubicación. Frecuencia: trimestral. Controles existentes: ninguno identificado. Procedimiento de auditoría: seleccionar muestra de 20 facturas del año; verificar ubicación contra documento de respaldo; reconvertir a toneladas CO₂ usando factor de emisión IPCC 2023; comparar con cifra reportada."
Paso 3: Procedimientos sustantivos sobre las métricas reportadas
Manu Ibérica reporta 1.847 toneladas CO₂ alcance 1 en 2024. Seleccionas una muestra de 25 facturas mensuales de combustible (distribuidas a lo largo del año). Para cada una:
Diferencia encontrada: en marzo, la empresa usó un factor de 2,31 kg CO₂/litro de diésel cuando el factor IPCC 2023 es 2,67. Esto resultó en subreporte de 0,36 toneladas ese mes.
Documentación de trabajo: tabla de verificación de muestra con encabezados: "Mes | Factura # | Combustible ingresado (litros) | Factor CO₂ de la empresa | Mi factor CO₂ (IPCC 2023) | Diferencia | Documento de respaldo (PDF, ubicación en OneDrive)."
Paso 4: Evaluación de materialidad y preparación de conclusión
La diferencia de 0,36 toneladas es 0,02% de las emisiones totales reportadas (1.847 t). Pero Manu Ibérica reporta públicamente que sus emisiones "se han calculado conforme a IPCC 2023." El incumplimiento del factor de emisión es una desconexión entre lo que la empresa dijo que haría y lo que documentación muestra que hizo.
Dado que ISAE 3000.12 requiere que el auditor determine si las desviaciones respecto del marco de sostenibilidad aplicable son materiales, cuantificas esta como: sí, es material cualitativamente (inconsistencia con la política declarada), aunque no lo sea cuantitativamente (0,02%).
Documentación de trabajo: memorándum de materialidad de sostenibilidad. Establece un umbral de materialidad cuantitativo (por ejemplo: 5% de emisiones totales = 92 toneladas) y cualitativo (cualquier incumplimiento de la política IPCC declarada en la declaración de sostenibilidad). Conclusión: el error de factor encontrado es cualitativo y debe ser reportado.
Paso 5: Comunicación de hallazgos
Reportas el hallazgo a dirección: la metodología de factor CO₂ fue inconsistente con la política declarada. Para la opinión de aseguramiento limitado, esto se reporta como una salvedad o como un punto de énfasis (dependiendo de si la empresa reexpresa la cifra).
Si Manu Ibérica no corrige y reexpresa, tu opinión limitada incluye: "Excepto por el asunto descrito en el párrafo anterior, en nuestra opinión, la información de sostenibilidad ha sido preparada de conformidad con el marco ESRS."
Conclusión: esta es una auditoría de sostenibilidad defendible. Documentaste dónde estaban los datos, qué proceso los generó, dónde estaba el riesgo, y qué evidencia apoyaba tu conclusión de incumplimiento. Eso es ISAE 3000 cumplido.

  • Verificas que la factura corresponda a la ubicación física (números de placa de vehículos, consumo esperado para ese tipo de operación).
  • Reconviertes el volumen de combustible a toneladas CO₂ usando los factores de emisión publicados por IPCC.
  • Comparas tu cálculo con el que la empresa reportó.

Lo que revisores y auditores de aseguramiento se equivocan

  • Confundir alcance de auditoría con cobertura de control. El ISAE 3000.A1 define el alcance como "lo que será sujeto de aseguramiento" (qué métricas, qué período, qué ubicaciones). Los auditores a veces escriben un memorándum de alcance que enumera las métricas pero no especifica cuál es el marco de sostenibilidad que aplica o cuál es la definición de materialidad. Resultado: descubrimientos de último minuto sobre qué debería haberse auditado.
  • Asumir que el marco de sostenibilidad más reciente es el que aplica al cliente. ESRS se aplica a entidades de tamaño medio cotizadas a partir de 2025. GRI es voluntario pero más prevalente en pequeños fabricantes. SASB es específico por industria pero no es obligatorio en España o Latinoamérica. Algunos auditores comienzan el trabajo bajo el marco equivocado porque no preguntaron qué regulación efectivamente aplica al cliente. La primera pregunta debe ser siempre: "¿Qué marco de sostenibilidad debe aplicar tu negocio según tu regulador?" no "¿Qué marco prefieres usar?"
  • Documentar que "se revisó la información de sostenibilidad" sin documentar cómo. El ISAE 3000.14 requiere que el auditor prepare "un informe" que describa el trabajo realizado y las conclusiones. En la práctica, esto significa papeles de trabajo que muestren: qué métrica se auditó, cómo se obtuvo la evidencia (muestra? censo completo?), qué criterios se aplicaron, y qué diferencias se encontraron. Un papel de trabajo que dice "Se auditó emisiones CO₂. Sin hallazgos" sin especificar cómo ni qué se probó es insuficiente si un regulador pregunta.

Aseguramiento limitado vs. razonable

| Dimensión | Limitado (ISAE 3000 Tipo 2) | Razonable (ISAE 3000 Tipo 1) |
|---|---|---|
| Nivel de evidencia requerida | Suficiente que no hay cambios materiales no detectados | Suficiente para una opinión positiva sobre conformidad |
| Procedimientos típicos | Revisión analítica, consultas, observación, verificación selectiva | Todo lo anterior más procedimientos sustantivos extensos, confirmación externa |
| Opinión expresada | Negativa ("nada nos llamó la atención") | Positiva ("la información está conforme") |
| Primer encargo común | Sí; muchas entidades comienzan con limitado | No; típicamente segundo o tercer año |
| Esfuerzo de auditoría | 60–80% menos que razonable | 100% (línea base) |
La distinción importa porque ESRS requiere aseguramiento razonable desde 2028 para entidades grandes, pero permite limitado hasta entonces. Un auditor que comienza con razonable cuando el cliente solo necesita limitado desperdicia 4–6 semanas de trabajo.

Términos relacionados

Herramienta de ciferi

El Planificador de aseguramiento de sostenibilidad ISAE 3000 automatiza la definición del alcance, la evaluación de controles de generación de datos, y la matriz de procedimientos de auditoría. Acelera 3–4 semanas del trabajo de planificación y genera los papeles de trabajo de riesgo listos para población.
---

Términos relacionados

Materialidad en sostenibilidadISAE 3000Información de sostenibilidad ESRSAseguramiento limitadoFraude en datos de sostenibilidadMarcos de sostenibilidad: GRI vs ESRS vs SASB

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.