Table des matières

Cadre réglementaire et exigences d'assurance

Chronologie et seuils CSRD


L'article 19a de la directive CSRD établit trois vagues de mise en œuvre pour l'assurance limitée obligatoire. La première vague commence avec les exercices ouverts à compter du 1er janvier 2025 pour les grandes entreprises déjà soumises à la directive NFRD. Ces entités doivent publier leur premier rapport CSRD au premier semestre 2026, avec une assurance limitée requise.
La deuxième vague (exercices ouverts à partir du 1er janvier 2026) s'applique aux grandes entreprises dépassant deux des trois critères : 250 salariés, 50 M EUR de chiffre d'affaires, 25 M EUR de total du bilan. La troisième vague (1er janvier 2027) couvre les PME cotées, avec possibilité de report jusqu'en 2028.
L'assurance limitée est obligatoire dès le début. L'assurance raisonnable reste optionnelle jusqu'aux échéances définies par chaque État membre, au plus tard pour les exercices 2028.

Normes ESRS applicables et évaluation de double matérialité


ISSA 5000.15 exige que le prestataire d'assurance comprenne les critères appliqués par l'entité pour déterminer les informations de durabilité à divulguer. Pour la CSRD, cela implique l'évaluation de double matérialité selon ESRS 1.
L'entité doit évaluer chaque question de durabilité sous deux angles : l'impact (comment ses activités affectent l'environnement et la société) et la dépendance financière (comment les questions ESG affectent sa performance financière). Une question est matérielle si elle franchit l'un des deux seuils ou les deux.
Cette évaluation détermine quelles normes ESRS sectorielles s'appliquent (ESRS E1 à E5 pour l'environnement, ESRS S1 à S4 pour le social, ESRS G1 pour la gouvernance) et quels points de données doivent être divulgués dans chaque norme.

Ce qu'ISSA 5000 change pour les auditeurs

Structure de la mission et planification des risques


ISSA 5000 suit la structure familière des missions d'assurance : acceptation, planification, réponse aux risques, conclusion. Mais les risques spécifiques aux informations de durabilité diffèrent fondamentalement des risques d'audit financier.
ISSA 5000.A25 identifie quatre catégories de risques d'anomalies significatives pour les informations de durabilité : risques inhérents liés à la collecte et au traitement des données, risques de mesure et d'estimation (particulièrement pour les émissions Scope 3), risques de présentation et de divulgation, et risques de contrôle interne sur les processus de reporting extra-financier.
Contrairement à l'audit financier, où les contrôles internes suivent généralement des processus établis, beaucoup d'entités construisent encore leurs systèmes de collecte et de contrôle des données ESG. ISSA 5000.A30 exige d'évaluer la maturité de ces processus lors de la planification.

Procédures d'assurance limitée vs. raisonnable


ISSA 5000.35 établit que les procédures d'assurance limitée consistent principalement en des demandes d'informations et des procédures analytiques. Les tests de détail sont moins étendus qu'en assurance raisonnable, mais ISSA 5000.A45 précise que la nature des informations de durabilité peut nécessiter des procédures spécifiques.
Pour les données quantitatives (émissions GES, consommation d'énergie, déchets), les procédures incluent typiquement : réconciliation avec les systèmes sources, tests de calcul sur un échantillon, confirmation externe pour certaines données de tiers, visite de sites pour les mesures directes.
Pour les informations qualitatives (politiques, processus, objectifs), l'accent porte sur la cohérence avec la documentation interne, la vérification de l'approbation par les organes de gouvernance appropriés, et l'examen des éléments probants justifiant les affirmations qualitatives.

Indépendance et rotation


ISSA 5000.20 renvoie aux exigences d'indépendance du Code de déontologie IESBA. Pour les missions CSRD, cela signifie que l'auditeur légal peut également fournir l'assurance durabilité si l'indépendance est maintenue. Aucune incompatibilité inhérente n'existe.
Mais l'article 19a.7 de la directive CSRD impose des règles spécifiques de rotation pour l'assurance durabilité : après 10 ans de mission chez la même entité, le prestataire d'assurance doit observer une période de refroidissement de 4 ans. Cette rotation est indépendante de la rotation pour l'audit légal.

Exemple pratique : Mission d'assurance limitée

Contexte : Dubois Énergie S.A., producteur d'équipements éoliens basé à Lyon, réalise 85 M EUR de chiffre d'affaires avec 420 salariés. Première année de reporting CSRD (exercice 2025). L'évaluation de double matérialité a identifié comme matérielles : les émissions GES (ESRS E1), l'utilisation des ressources et économie circulaire (ESRS E5), et les conditions de travail (ESRS S1).
Étape 1 . Acceptation et compréhension des critères appliqués
Review de l'évaluation de double matérialité. Vérification que les seuils appliqués sont cohérents avec ESRS 1.27-1.30. Identification des normes ESRS applicables et des points de données requis.
Documentation : mémo d'acceptation référençant ISSA 5000.15, matrice de matérialité validée, mapping ESRS → points de données.
Étape 2 . Évaluation des risques et planification
Identification des processus de collecte des données ESG. Évaluation de la maturité des contrôles internes sur le reporting extra-financier. Classification des risques selon les catégories ISSA 5000.A25.
Documentation : mémorandum de planification, évaluation des risques par catégorie d'informations, stratégie d'assurance définie.
Étape 3 . Procédures d'assurance limitée sur les émissions GES
Réconciliation des données Scope 1 et 2 avec les factures énergétiques. Tests de calcul sur un échantillon de facteurs d'émission appliqués. Demandes d'informations sur les estimations Scope 3 (transport amont/aval).
Documentation : feuilles de travail de réconciliation, tests arithmétiques, réponses aux demandes d'informations avec références aux sources externes.
Étape 4 . Procédures sur les informations qualitatives
Review des politiques sociales et environnementales divulguées. Vérification de l'approbation par le conseil d'administration. Cohérence avec la documentation interne RH et développement durable.
Documentation : revue des procès-verbaux, comparaison politique divulguée vs. politique interne, tests de cohérence.
Étape 5 . Conclusion et rapport
Évaluation des anomalies identifiées. Formulation de la conclusion d'assurance limitée selon ISSA 5000.69. Rien n'est porté à notre attention qui nous amène à penser que les informations de durabilité ne sont pas préparées, dans tous leurs aspects significatifs, conformément aux ESRS.
Documentation : résumé des anomalies non corrigées, mémo de conclusion, brouillon du rapport d'assurance.
Cette approche produit un dossier structuré avec une piste d'audit claire, prêt pour la revue de l'associé et conforme aux exigences ISSA 5000.

Liste de contrôle pratique

  • Pré-acceptation : Vérifiez que l'entité a réalisé son évaluation de double matérialité selon ESRS 1.27-1.30. Sans cette évaluation, impossible de déterminer les normes ESRS applicables.
  • Équipe de mission : Constituez une équipe mixte audit financier/expertise ESG. ISSA 5000.25 exige une compétence suffisante en matière de durabilité. Les auditeurs financiers seuls ne suffisent pas.
  • Systèmes et processus : Mappez les flux de données ESG depuis les sources jusqu'au rapport publié. Identifiez les points de contrôle et les risques de rupture dans la chaîne de traitement.
  • Données quantitatives : Réconciliez avec les systèmes sources. Testez les calculs et facteurs de conversion. Validez les estimations par corroboration externe quand possible.
  • Informations qualitatives : Vérifiez la traçabilité vers la documentation interne. Confirmez l'approbation par les organes compétents. Testez la cohérence avec les actions réellement mises en œuvre.
  • Conclusion : Formulez la conclusion négative selon le modèle ISSA 5000.69 : "Rien n'est porté à notre attention qui nous amène à penser que..." Cette formulation est obligatoire pour l'assurance limitée.

Erreurs courantes

Approche audit financier appliquée aux données ESG : Les informations de durabilité incluent des données prospectives, des estimations complexes et des informations qualitatives. Les procédures d'audit traditionnelles ne suffisent pas.
Sous-estimation du temps de mission : Les premières missions CSRD prennent 40-50% de temps supplémentaire par rapport aux estimations initiales. Les processus de collecte des données sont souvent immatures.
Documentation insuffisante des seuils de matérialité : ISSA 5000.15 exige de comprendre et documenter comment l'entité a défini ses seuils. Beaucoup d'équipes négligent cette étape critique.

Contenu connexe

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.