Tendencias · Sostenibilidad · Aseguramiento

ISSA 5000: el aseguramiento de sostenibilidad ya tiene norma. ¿Y tú, ya tienes plan?

Mientras la profesión discute si ESG es una moda, otros ya están firmando los encargos de aseguramiento. Esta guía explica qué exige la nueva norma, qué oportunidades abre y por dónde empezar — con lectura realista para Latinoamérica.

BLOG Auditool · Para auditores internos y externos · Tiempo de lectura: 8 minutos
La información de sostenibilidad ya se asegura con norma internacional propia. La pregunta no es si ese mercado va a crecer: es quién se lo va a quedar.

Durante años, la verificación de reportes de sostenibilidad fue territorio difuso: cada verificador con su metodología, cada informe con su alcance, y una calidad tan variable que los inversionistas aprendieron a leer esas "cartas de verificación" con una ceja levantada. Ese capítulo se cerró. El IAASB —el mismo organismo que emite las NIA con las que audita medio mundo— publicó la ISSA 5000, Requerimientos Generales para Encargos de Aseguramiento sobre Sostenibilidad: la norma global, integral y de aplicación general para asegurar información de sostenibilidad.

Y aquí viene lo importante para ti, seas socio de firma, auditor externo, CAE o auditor interno: esto no es un tema de "los de ESG". Es la línea de servicio de aseguramiento que más rápido está creciendo en el mundo, y las decisiones de quién la capitaliza se están tomando ahora.

1Qué es la ISSA 5000, en una ficha

Qué es
La norma internacional del IAASB con los requerimientos generales para encargos de aseguramiento sobre información de sostenibilidad.
Quién la emitió y cuándo
El IAASB la aprobó en septiembre de 2024 y la publicó en noviembre de 2024.
Desde cuándo aplica
Para información de sostenibilidad de periodos que comiencen el 15 de diciembre de 2026 o después (se permite aplicación anticipada). Es decir: ya.
Niveles de aseguramiento
Cubre tanto encargos de seguridad limitada como de seguridad razonable, con requisitos diferenciados para cada uno.
Agnóstica al marco de reporte
Sirve para asegurar información preparada bajo cualquier marco: NIIF S1 y S2 (ISSB), ESRS europeos, GRI o marcos regulatorios locales.
Agnóstica a la profesión
Pueden aplicarla contadores y también profesionales de otras disciplinas, siempre que cumplan requisitos equivalentes de ética, competencia y gestión de calidad.
Traducción práctica: la ISSA 5000 hace por el aseguramiento de sostenibilidad lo que las NIA hicieron por la auditoría financiera: convierte un mercado artesanal en una disciplina con reglas, calidad exigible y responsabilidad profesional. Y cuando un mercado se profesionaliza, se lo quedan los que llegaron preparados.

2Limitada vs. razonable: el matiz que define el negocio

La mayoría de los encargos de sostenibilidad en el mundo comienzan con seguridad limitada y las regulaciones más avanzadas apuntan a migrar hacia seguridad razonable. Entender la diferencia no es un tecnicismo: define el esfuerzo, el riesgo y los honorarios.

AspectoSeguridad limitadaSeguridad razonable
Conclusión que se emite "No ha llegado a nuestro conocimiento nada que indique que la información esté materialmente incorrecta" (forma negativa). "La información está preparada, en todos los aspectos materiales, de acuerdo con el marco" (forma positiva, como una auditoría).
Profundidad del trabajo Indagaciones, procedimientos analíticos y pruebas focalizadas donde hay mayor riesgo. Comprensión profunda de procesos y controles, pruebas extensas de la información y de sus sistemas de origen.
Analogía útil Cercana a una revisión de estados financieros intermedios. Cercana a una auditoría de estados financieros.
Lo que significa para ti La puerta de entrada al mercado hoy. El destino al que se mueve la regulación — y donde la experiencia del auditor vale oro.
La ventaja injusta del auditor

Evaluar materialidad, entender sistemas de información, probar controles, documentar evidencia, mantener escepticismo profesional y trabajar bajo gestión de calidad: todo lo que exige la ISSA 5000 es el terreno natural del auditor.

El competidor no auditor tiene que construir esa infraestructura desde cero. Tú ya la tienes. Lo único que te falta es el conocimiento del contenido: métricas de emisiones, marcos de reporte, cadena de valor. Y eso se estudia.

3La lectura realista para Latinoamérica

Seamos honestos: en buena parte de la región no hay (todavía) un regulador exigiendo aseguramiento de sostenibilidad con la fuerza de Europa. Pero concluir "entonces no me toca" es leer mal el tablero, por tres razones:

① La presión llega por la cadena de suministro
Las empresas latinoamericanas que exportan a Europa o venden a multinacionales ya reciben cuestionarios y exigencias de datos de sostenibilidad verificados, porque sus clientes deben reportar bajo normas europeas la huella de toda su cadena de valor. La exigencia no llega del regulador local: llega del cliente.
② Los reguladores de la región ya se movieron
Varios países de la región avanzan en la adopción de las normas del ISSB (NIIF S1 y S2) y de las normas de aseguramiento de sostenibilidad — con Brasil entre los pioneros en hacer obligatorio el reporte, y organismos profesionales como los de México y Colombia formalizando la adopción de los estándares. El mapa regulatorio es desigual, pero la dirección es una sola.
③ El financiamiento pregunta primero
Bancos, fondos y multilaterales incorporan criterios de sostenibilidad en el crédito y la inversión. Un dato verificado vale más que un dato declarado — y alguien tiene que verificarlo.
✗ Mito
"Esto es para las Big Four y las multinacionales. A mi firma mediana o a mi dirección de auditoría no le toca."
✓ Realidad
El tejido empresarial de la región es de medianas empresas exportadoras que no pueden pagar honorarios de firma global. Ese es exactamente el espacio natural de las firmas medianas y los profesionales locales que se preparen primero.

4¿Y el auditor interno? Lejos de mirar desde la tribuna

Si trabajas en auditoría interna, la ISSA 5000 también te cambia la agenda, porque cuando llegue el asegurador externo va a preguntar por cosas que hoy, en la mayoría de organizaciones, nadie ha auditado nunca:

Gobierno del dato de sostenibilidad: ¿quién es el dueño de la cifra de emisiones, de agua, de accidentalidad? ¿Con qué proceso se calcula y quién la aprueba?
Controles sobre información no financiera: el dato ESG suele vivir en hojas de cálculo, correos y proveedores externos, sin nada parecido al control interno del reporte financiero. Evaluarlo es trabajo de auditoría interna clásico aplicado a un territorio nuevo.
Preparación para el aseguramiento externo ("assurance readiness"): igual que auditoría interna prepara a la organización para la auditoría financiera, puede anticipar los hallazgos del verificador externo antes de que duelan.
Riesgo de greenwashing: afirmaciones públicas de sostenibilidad sin soporte son hoy un riesgo legal y reputacional de primer orden — y evaluarlo encaja de lleno en el plan de auditoría basado en riesgos.
Regla de coordinación: auditoría interna prepara y fortalece; el asegurador externo concluye. Una función interna que ya evaluó el gobierno del dato ESG le ahorra a su organización sorpresas, tiempo y honorarios cuando llegue el encargo bajo ISSA 5000.

5Tu plan de primeros pasos (empezando este mes)

Nada de planes a cinco años. Esto es lo que una firma o una función de auditoría interna puede hacer en los próximos 90 días:

1Designa a tu pionero. Una persona del equipo con horas protegidas para dominar la ISSA 5000 y los marcos de reporte (NIIF S1/S2, GRI, ESRS). Sin dueño, el tema muere en "interesante".
2Lee la norma y sus guías de primera mano. El IAASB publicó la ISSA 5000 con guías de aplicación y videos de soporte gratuitos. Es la fuente, no el resumen del resumen.
3Mapea tu demanda dormida. Firmas: ¿cuáles de tus clientes exportan, reportan sostenibilidad o reciben cuestionarios ESG de sus compradores? Auditoría interna: ¿qué afirma tu organización en público sobre sostenibilidad y quién soporta esas cifras?
4Haz un piloto de bajo riesgo. Un diagnóstico de "preparación para el aseguramiento" (madurez del dato, controles, trazabilidad) es el encargo perfecto para aprender: alto valor para el cliente, riesgo profesional acotado.
5Ajusta tu sistema de gestión de calidad. La ISSA 5000 opera sobre la base de la gestión de calidad (NIGC 1 / ISQM 1): incorpora la nueva línea de servicio antes de firmar el primer encargo, no después.
6Forma en contenido, no solo en norma. El estándar es la mitad del camino; la otra mitad es entender emisiones de gases de efecto invernadero, alcances 1, 2 y 3, y cadena de valor. Ahí se gana o se pierde la credibilidad técnica.

6La ventana no estará abierta para siempre

Cada vez que la profesión estrenó un territorio —la auditoría de sistemas en los 90, SOX en los 2000, ciberseguridad en la década pasada— pasó lo mismo: los primeros años pertenecen a los que se prepararon antes de que el mercado fuera obvio. Cuando la demanda explota, los que llegan tarde compiten por precio; los que llegaron temprano eligen a sus clientes.

El aseguramiento de sostenibilidad acaba de recibir su norma global, su fecha de vigencia y su impulso regulatorio. La discusión de "si ESG es moda" ya la resolvió el mercado sin pedirnos opinión. La única discusión que queda abierta es quién va a firmar esos informes en tu país: ¿tu firma y tu equipo, o el competidor que empezó a estudiar seis meses antes?

¿Tu firma o tu función ya tiene a alguien formándose en aseguramiento de sostenibilidad… o esperarán a que el cliente lo pida?
Cuéntanos en los comentarios: ¿qué tan preparada está tu organización para la ISSA 5000? ¿Ya recibieron la primera solicitud de información de sostenibilidad verificada?
Publicado en el BLOG de Auditool · Red de conocimiento en auditoría, riesgos y control interno
Basado en la ISSA 5000 del IAASB y en las tendencias globales de aseguramiento de sostenibilidad · 2026

Escribir un comentario

Enviar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado