La transformación del reporting de sostenibilidad avanza con la regulación y con la necesidad de datos sólidos, trazables y confiables. En CaixaBank, el impulso del gobierno del dato —y especialmente del dato ESG— y la labor de Auditoría Interna, se han consolidado como elementos esenciales para garantizar rigor, coherencia y transparencia en un entorno cada vez más exigente.
La CSRD y otros estándares prometían un salto en calidad y comparabilidad de la información no financiera. Los ajustes recientes —reducción del phase-in, menor número de empresas obligadas y retrasos— han moderado esas expectativas. Pese a ello, la obligación de publicar información veraz y consistente sigue intacta, mientras que la madurez y disponibilidad del dato ESG no evolucionarán al ritmo inicialmente previsto.
Este escenario obliga a las organizaciones a fortalecer sus modelos internos de información, desarrollando arquitecturas capaces de soportar nuevas métricas, responder a mayores exigencias supervisoras y garantizar trazabilidad de extremo a extremo. En este proceso, CaixaBank ha impulsado modelos avanzados de gobernanza interna, entre los que destaca el Grupo Director del Dato de Sostenibilidad, un foro transversal que reúne a áreas de negocio, sostenibilidad, riesgos, financiero y tecnología, desarrollado con una convicción compartida: el dato de sostenibilidad debía alcanzar la misma calidad y solidez que el dato financiero. Con este enfoque, su misión es alinear glosarios, estructurar modelos de datos, automatizar procesos y reforzar el entorno de control, promoviendo una visión integrada y colaborativa del dato ESG.
En este entorno, Auditoría Interna adquiere un papel especialmente estratégico. Ya no basta con revisar cifras finales, es necesario evaluar la fortaleza de todo el sistema que produce la información, desde la gobernanza del dato hasta la arquitectura tecnológica, pasando por los controles automáticos, las estimaciones aplicadas y los nuevos riesgos asociados al uso de inteligencia artificial.
Auditoría y la evaluación de la madurez del dato ESG
La auditoría de sostenibilidad ha evolucionado hacia un enfoque que trasciende el análisis documental y el uso de herramientas ofimáticas aisladas. Se busca determinar si procesos, metodologías, estructuras y herramientas son lo bastante robustos para generar información fiable en un contexto de cambio normativo constante, con datos disponibles en plazo, consistentes y útiles para decisiones corporativas y reporting regulatorio.
El primer eje es la gobernanza del dato. En el sector financiero, contar con un modelo formalizado, integrado y aprobado es indispensable. Auditoría revisa la asignación de roles, la definición de data owners y la eficacia de los órganos de coordinación. En CaixaBank, el Grupo Director del Dato de Sostenibilidad ofrece un marco que evita duplicidades, garantiza definiciones comunes y alinea criterios en toda la organización.
El segundo ámbito es la trazabilidad y la arquitectura técnica. Las métricas de sostenibilidad combinan datos propios, de terceros y estimaciones. La trazabilidad permite reconstruir cada cifra desde su origen. Auditoría verifica la integración de fuentes, la documentación de definiciones, la capacidad de los sistemas para calcular y dejar trazas reproducibles, y la existencia de registros fiables de cambios, errores o correcciones. La estructuración del dominio de sostenibilidad y la creación de data products con visión de uso refuerzan la replicabilidad del dato.
El tercer ámbito es la calidad del dato. No basta con disponer de controles: han de ser eficaces, preferentemente automatizados e integrados en los procesos. En un entorno con información externa limitada o heterogénea, contar con políticas claras sobre validez y jerarquía de datos, procedimientos de estimación cuando el dato no está disponible (proxies) y criterios metodológicos es fundamental. La revisión se centra en que dichos criterios se apliquen de manera homogénea, estén bien documentados y se revisen periódicamente.
Ciberseguridad e inteligencia artificial: nuevas dimensiones del control
La digitalización del dato ESG y la automatización traen desafíos adicionales. La ciberseguridad es un riesgo crítico y en evolución constante. Exige reforzar la protección de información sensible, en especial la vinculada a riesgos, exposiciones y estrategia corporativa. Auditoría revisa controles de integridad, autenticación y segregación de funciones, así como la seguridad de infraestructuras internas y entornos en la nube, con políticas consistentes de acceso, cifrado, monitoreo y gestión de incidentes.
La inteligencia artificial aplicada a la clasificación, agregación o estimación de datos ESG abre oportunidades de eficiencia y análisis, pero introduce riesgos: sesgos en modelos, falta de explicabilidad, dependencia de datos no verificables y cálculos no reproducibles. Aunque el despliegue es aún incipiente, la revisión de Auditoría debe anticiparse evaluando la identificación y gobernanza de riesgos, la calidad y representatividad de los datos de entrenamiento, la trazabilidad y explicabilidad de resultados, el monitoreo continuo y la presencia de controles de supervisión humana.
En definitiva, la supervisión por parte de Auditoría no está orientada únicamente a validar indicadores, sino que ayuda a fortalecer el sistema completo que sustenta la sostenibilidad corporativa, a través de sus revisiones de integridad, consistencia y fiabilidad de la información. En un contexto donde gran parte del reporting no tendrá en el corto plazo aseguramiento externo razonable, Auditoría Interna se convierte en un garante para cumplir con la exigencia de veracidad, consistencia y responsabilidad sobre la información publicada por parte de las Entidades.
Este editorial forma parte del Dosier Corresponsables: Sostenibilidad en Auditoría Interna, en alianza con el Instituto de Auditores Internos de España
