Son muchas las organizaciones, que en aras de ofrecer a sus grupos de interés (accionistas, clientes, proveedores, trabajadores, etc.) una información estratégica más completa y con un mayor horizonte temporal, publican junto con la información financiera
recurrente, otra de carácter no financiero.

Entre esta información no financiera destacan los Informes de Sostenibilidad y Responsabilidad Social Corporativa (RSC). Esta información además de poseer datos de carácter estratégico en materias tales como medioambientales, condiciones sociales, laborales, etc… contendrá, de forma general, ciertos indicadores que permiten el seguimiento y medición de las políticas establecidas.

Pero para que los Informes de RSC, o de cualquier otra información no financiera, sean útiles para los usuarios en la toma de decisiones, la principal condición que se les requiere es que sean FIABLES. Es decir, que estén libres de errores que pueda suponer la toma de una decisión errónea.

Para dar la confiabilidad necesaria a los informes de RSC, tanto en su contenido, como en su presentación, existen diversas normas internacionales, y en algunos casos nacionales, que los revisores externos deben seguir con la finalidad de poder emitir su informe de revisión de la información no financiera, con la máxima seguridad. Estas normas son para los revisores externos, lo que las Normas Internacionales de Auditoría para los auditores de las cuentas anuales (información financiera).

Entre las principales normas internacionales, y de mayor uso, destacan la ISAE 3000 (International Standard on Assurance Engagements 3000) y la AA1000AS (AccountAbility).

En próximos artículos desarrollaremos la AA1000AS, así como sus similitudes y diferencias, centrándonos aquí en la ISAE 3000. Únicamente a efectos introductorios indicar que no se trata de normativas sustitutivas, sino complementarias. De hecho, habitualmente los informes de verificación se emiten bajo ambas normas de forma conjunta.

La ISAE 3000 recoge los principios y procedimientos esenciales de la auditoría no financiera, así como los requisitos que deben reunir los revisores. Principalmente, establece la forma en que se debe revisar la información, los tipos de revisiones,  así como la estructura de los informes.

No se trata de una norma para auditores, en el sentido de que solo aquellos inscritos como tal puedan aplicarla. Sino que la norma establece, entre otros, los requisitos de ética y control interno que deben cumplir los revisores, para determinar la adecuación o no de estos. Si bien es cierto que debido a que estos requisitos son principalmente los emitidos por el IFAC (Federación Internacional de Auditores), son estos los que se encuentran en mayor disposición para su cumplimiento y uso.

La versión revisada de la ISAE 3000 entrará en vigor a partir del 14 de diciembre de 2015, y las mayores diferencias con la versión anterior se centran en el énfasis en aspectos como la conveniencia de la participación de expertos independientes multidisciplinares en la revisión, o la planificación y materialidad de los trabajos.

Tal como hemos afirmado, si bien la ISAE 3000 no es una norma exclusiva para auditores, su desarrollo metodológico es muy similar al que se aplica en una auditoría financiera de cuentas anuales; con ciertas adaptaciones.

La verificación de los informes de sostenibilidad y RSC bajo la ISAE 3000

Una peculiaridad de la ISAE 3000, y que todo usuario o lector del informe debe conocer, son los dos tipos diferentes de opinión que existen, dado que afecta a la fiabilidad de la información:

  • Seguridad razonable (seguridad positiva): el revisor afirma en su informe que la información está elaborada y presentada de manera adecuada. Siendo requisito para el revisor IDENTIFICAR Y EVALUAR el riesgo de error de la información, con un conocimiento exhaustivo del control interno aplicado en la preparación de la información.
  • Seguridad limitada (seguridad negativa): el revisor afirma únicamente que no ha detectado la necesidad de efectuar correcciones en la información. Es decir, solo será suficiente un conocimiento que le permita IDENTIFICAR áreas que pudieran contener errores.

Por lo tanto el grado de fiabilidad de un informe de seguridad razonable es mucho mayor. Destacando que el alcance de la revisión no es una decisión del revisor, sino que deberá ir determinado en la carta de encargo por la Entidad a revisar.

Además la norma establece la necesidad de contar en el trabajo con una adecuada planificación, incluyendo la determinación de la materialidad en referencia al nivel de error que puede hacer que sea significativo, y por lo tanto afecte a su opinión. Una correcta planificación supone la correcta definición del alcance, naturaleza y momento en que se deben realizar las pruebas.

Pruebas que para determinados aspectos podrán ser realizadas por otros profesionales independientes ajenos al círculo rector del revisor, en la medida en que las especialidades a revisar en un informe de RSC pueden ser muy diversas. Si bien dichos expertos deberán acreditar los mismos requisitos de independencia, ética e integridad que el revisor principal.

Por último, la norma establece la estructura básica del informe, primando lo que los anglosajones denominan “long-form” (versión larga), sobre lo que se considera una versión reducida o “short-form”. El informe de revisión de forma general contendrá, entre otros aspectos:

  • Título.
  • Persona u organización a la que va dirigido.
  • Descripción del nivel de seguridad (razonable / limitada).
  • Definición de criterios y/o indicadores aplicados.
  • Descripción de limitaciones al alcance encontradas.
  • Finalidad de la información en caso de ser específica.
  • Responsabilidad en la preparación de la información.
  • Referencia a la ISAE 3000 y otras.
  • Referencia al control de calidad y requisitos éticos del revisor.
  • Resumen de los procedimientos.
  • Referencia a otros expertos participantes en la revisión.
  • Conclusiones.

Sergio González
Director