Table des matières

Cadre réglementaire et exigences d'assurance

La directive CSRD et l'ESRS G1


L'article 19a de la CSRD impose aux grandes entreprises (dépassant deux des trois seuils : 250 salariés, 20 M EUR de total du bilan, 40 M EUR de chiffre d'affaires net) de déclarer selon tous les ESRS applicables pour les exercices débutant à compter du 1er janvier 2025. L'ESRS G1 fait partie des 12 normes ESRS obligatoires et couvre trois domaines de gouvernance : les pratiques anticorruption, les paiements aux gouvernements et l'engagement politique.
L'assurance limitée est obligatoire dès la première année. Contrairement aux informations environnementales où l'assurance raisonnable n'est requise qu'à partir de 2028, les informations de gouvernance restent sous assurance limitée pendant toute la période de transition. Le prestataire d'assurance peut être l'auditeur légal ou un prestataire d'assurance indépendant selon l'article 34 de la directive comptable.

Calendrier de mise en œuvre par vagues


Première vague (2025) : Grandes entreprises d'intérêt public déjà soumises à la NFRD
Deuxième vague (2026) : Toutes les grandes entreprises non encore couvertes
Troisième vague (2027) : PME cotées (avec possibilité de report à 2028)
Chaque vague déclenche l'obligation d'assurance limitée pour l'ESRS G1. Les entreprises ne peuvent pas choisir de ne pas déclarer sous prétexte de non-matérialité. L'ESRS G1.1 précise que les pratiques anticorruption sont "toujours matérielles" indépendamment de l'évaluation de double matérialité.

Niveau d'assurance et normes applicables


L'assurance limitée sur l'ESRS G1 suit les principes de l'ISAE 3000 (révisée) pour les missions d'assurance autres que l'audit ou l'examen limité d'informations financières historiques. Le niveau d'assurance limitée signifie que vous exprimez une conclusion sous forme négative : "Rien n'est porté à notre attention qui nous amène à croire que les informations ESRS G1 ne sont pas préparées, dans tous leurs aspects significatifs, conformément aux critères applicables."
L'ISAE 3000.37 exige d'obtenir une assurance limitée que l'information objet de la mission est exempte d'anomalies significatives. Pour l'ESRS G1, cela implique de vérifier l'exhaustivité des politiques déclarées, l'exactitude des métriques quantitatives et l'efficacité opérationnelle des mesures mises en place.

Architecture de l'ESRS G1 et points de données

Les trois piliers obligatoires


L'ESRS G1 structure les exigences de divulgation autour de trois piliers interconnectés. Chaque pilier contient des points de données spécifiques que l'entreprise doit déclarer et que vous devez examiner.
G1-1 : Politiques relatives aux pratiques anticorruption
L'ESRS G1.15 exige que l'entreprise divulgue ses politiques anticorruption couvrant au minimum la corruption active et passive, les facilitation payments, les cadeaux et avantages, les conflits d'intérêts et le lobbying. L'entreprise doit également décrire les modalités d'application de ces politiques aux partenaires commerciaux, fournisseurs et autres relations d'affaires selon l'ESRS G1.16.
G1-4 : Paiements aux gouvernements par pays et par projet
Cette divulgation suit les exigences de transparence extractive inspirées de la directive comptable 2013/34/UE modifiée. L'entreprise doit déclarer tous les paiements supérieurs à 100 000 EUR par année civile et par gouvernement, ventilés par type de paiement (impôts sur la production, redevances, frais de licence, paiements d'infrastructure) et par projet selon l'ESRS G1.45.
G1-5 : Engagement politique et activités de lobbying
L'ESRS G1.52 couvre les contributions politiques directes et indirectes, l'adhésion aux associations de lobbying et les dépenses de représentation d'intérêts. L'entreprise doit quantifier les montants versés et décrire les processus de supervision de ces activités.

Points de données quantitatifs vs qualitatifs


L'ESRS G1 mélange des exigences narratives (description des politiques) et des métriques quantitatives (montants des paiements gouvernementaux, contributions politiques). Cette dualité complique l'assurance car vous devez adapter vos procédures selon la nature de l'information.
Pour les données quantitatives comme les paiements gouvernementaux, vous appliquez des procédures analogues à l'audit financier : rapprochement avec les registres comptables, confirmation externe, examen des pièces justificatives. L'ESRS G1.47 exige une réconciliation avec les états financiers audités.
Pour les données qualitatives comme les descriptions de politiques, vous vérifiez la cohérence interne des déclarations, l'exactitude des références aux documents sources et l'alignement avec les pratiques observées pendant votre mission d'audit légal.

Procédures d'assurance pour les politiques anticorruption

Évaluation de l'exhaustivité des politiques


L'ESRS G1.15 liste six domaines obligatoires que les politiques anticorruption doivent couvrir. Votre travail consiste à vérifier que chaque domaine est effectivement traité dans les documents de politique interne de l'entreprise.
Commencez par obtenir tous les documents de politique pertinents : code de conduite, procédures anticorruption, politiques achats, manuel de contrôle interne, chartes d'audit interne. Mappez chaque exigence ESRS G1.15 avec les sections correspondantes des documents internes. L'absence d'une politique écrite dans un domaine obligatoire constitue une anomalie significative.
Attention aux politiques génériques qui mentionnent la "corruption" sans définir les comportements interdits. L'ESRS G1.16 exige des "politiques spécifiques" pour chaque domaine. Une clause générale "nous respectons toutes les lois applicables" ne satisfait pas cette exigence.

Test de l'efficacité opérationnelle


L'assurance limitée va au-delà de l'existence formelle des politiques. Vous devez obtenir une assurance que les mesures déclarées fonctionnent en pratique. L'ISAE 3000.A125 indique que les procédures d'assurance limitée incluent l'observation, l'inspection et les demandes de renseignements.
Examinez les formations anticorruption dispensées pendant l'exercice. Vérifiez que les employés en contact avec des tiers à risque (achats, commercial, gouvernemental) ont suivi des formations spécifiques. Testez la traçabilité : de la politique écrite aux modules de formation, des formations aux attestations individuelles.
Inspectez les évaluations de due diligence des partenaires commerciaux. L'ESRS G1.17 exige que l'entreprise décrive comment elle évalue les risques de corruption chez ses partenaires. Sélectionnez un échantillon de nouveaux partenaires significatifs et vérifiez que l'évaluation documentée correspond aux procédures déclarées.

Traitement des filiales et coentreprises


L'ESRS G1.3 précise que les divulgations couvrent l'entreprise mère et ses filiales consolidées. Pour les coentreprises et entreprises associées, l'entreprise doit décrire sa stratégie d'influence sur leurs pratiques anticorruption.
Cette exigence crée des défis d'assurance spécifiques. Vous ne pouvez pas auditer directement les contrôles internes d'une coentreprise à 50%. Concentrez-vous sur les actions que l'entreprise déclare avoir menées : clauses contractuelles anticorruption, formations proposées aux coentreprises, processus de monitoring des incidents signalés.
Documentez les limitations de votre examen. Si l'entreprise détient 30% d'une coentreprise stratégique mais déclare "influencer activement ses pratiques anticorruption", demandez les preuves concrètes de cette influence. L'absence de documentation constitue un élément probant insuffisant sous ISAE 3000.61.

Exemple pratique complet

Contexte : Dubois Énergie S.A.


Dubois Énergie S.A., groupe français d'équipements énergétiques basé à Lyon, réalise 180 M EUR de chiffre d'affaires avec 1 200 salariés. L'entreprise opère en France, Allemagne et Roumanie via trois filiales à 100%. Elle détient également 40% d'une coentreprise en Pologne spécialisée dans l'éolien offshore. Premier exercice de déclaration CSRD : 2025.
Note de documentation : Entreprise soumise aux obligations CSRD première vague, déclaration ESRS G1 obligatoire avec assurance limitée.

Étape 1 : Identification des politiques anticorruption


L'entreprise déclare appliquer un "Code de conduite groupe" de 45 pages adopté en 2022, complété par une "Procédure anticorruption" de 12 pages mise à jour en janvier 2024. Vous obtenez les deux documents et vérifiez la couverture des six domaines ESRS G1.15.
Note de documentation : Mappage ESRS G1.15 réalisé, tous les domaines couverts formellement dans les documents internes.

Étape 2 : Test de l'efficacité opérationnelle


Vous sélectionnez les cinq plus gros fournisseurs 2024 (représentant 35% des achats totaux) et vérifiez que leur évaluation anticorruption suit la procédure déclarée. Quatre sur cinq disposent d'un dossier de due diligence conforme. Le cinquième, un sous-traitant roumain à 2,4 M EUR, présente un dossier incomplet : attestation anticorruption manquante, pas de vérification des sanctions internationales.
Note de documentation : Anomalie identifiée sur 1 fournisseur sur 5 testés. Impact potentiel sur l'efficacité des procédures déclarées.

Étape 3 : Évaluation des formations


L'entreprise déclare former "tous les employés exposés aux risques de corruption" annuellement. Vous testez les formations 2024 : 98% des équipes commerciales et achats ont suivi le module e-learning obligatoire. Cependant, les équipes techniques envoyées régulièrement sur les chantiers clients (45 personnes) n'ont reçu qu'une sensibilisation générale de 30 minutes, pas le module spécialisé de 2 heures prévu par la procédure.
Note de documentation : Écart entre la procédure écrite et l'application pratique pour une population à risque identifiée.

Étape 4 : Vérification des paiements gouvernementaux


L'entreprise déclare 340 000 EUR de "paiements gouvernementaux" au titre de G1-4 : 280 000 EUR de taxes locales en Allemagne et 60 000 EUR de frais de licence environnementale en Roumanie. Vous rapprochez ces montants avec les états financiers audités 2024.
Les 280 000 EUR correspondent aux "Autres impôts et taxes" du compte de résultat allemand. Les 60 000 EUR se retrouvent dans les "Frais réglementaires" de la filiale roumaine. Cohérence confirmée.
Note de documentation : Paiements gouvernementaux réconciliés avec les comptes audités, exactitude vérifiée.

Étape 5 : Engagement politique et lobbying


L'entreprise déclare "aucune contribution politique directe" et appartient à deux associations professionnelles : Syndicat des Énergies Renouvelables (cotisation 15 000 EUR/an) et WindEurope (cotisation 8 000 EUR/an). Ces associations pratiquent le lobbying mais l'entreprise n'a pas de représentant désigné dans leurs activités de plaidoyer.
Vous vérifiez les comptes 2024 : les cotisations apparaissent en "Frais d'adhésion" et correspondent aux montants déclarés. L'entreprise a correctement appliqué l'exception de l'ESRS G1.56 pour les adhésions passives.
Note de documentation : Engagement politique limité aux adhésions professionnelles, traitement ESRS G1.56 approprié.

Conclusion de l'évaluation


Dubois Énergie présente un cadre anticorruption formellement solide avec deux lacunes opérationnelles identifiées : due diligence fournisseur incomplète (1 cas sur 5) et formation technique insuffisante (45 personnes concernées). Ces écarts ne compromettent pas la conclusion d'assurance limitée mais méritent d'être portés à l'attention de la direction comme points d'amélioration.

Liste de contrôle opérationnelle

Utilisez cette liste sur votre prochaine mission ESRS G1 :

  • Vérifiez l'exhaustivité des politiques : Mappez chaque exigence ESRS G1.15 avec les documents internes. L'absence d'une politique écrite dans un domaine obligatoire = anomalie significative.
  • Testez l'efficacité opérationnelle : Sélectionnez 3-5 nouveaux partenaires commerciaux significatifs et vérifiez que leur évaluation suit les procédures déclarées selon l'ESRS G1.17.
  • Rapprochez les paiements gouvernementaux : Tous les montants ESRS G1-4 doivent être réconciliés avec les états financiers audités selon l'ESRS G1.47. Aucune exception.
  • Évaluez la couverture des formations : Si l'entreprise déclare former "tous les employés exposés", testez par échantillonnage que les populations à risque identifiées ont reçu la formation appropriée.
  • Documentez les limitations : Pour les coentreprises et entreprises associées, précisez ce que vous avez pu examiner directement versus les déclarations non vérifiables de l'entreprise.
  • Le point le plus important : L'ESRS G1.1 rend les pratiques anticorruption "toujours matérielles". Une entreprise ne peut pas invoquer la non-matérialité pour éviter ces divulgations. Vérifiez que la déclaration couvre tous les points obligatoires.

Erreurs courantes

  • Confondre politique générale et politiques spécifiques : Un code de conduite mentionnant la "conformité légale" ne satisfait pas les exigences ESRS G1.15 de politiques spécifiques par domaine.
  • Négliger les partenaires commerciaux : L'ESRS G1.16 exige d'expliquer comment les politiques s'appliquent aux tiers. Beaucoup d'entreprises oublient cette extension dans leurs divulgations.

Ressources connexes

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.