Table des matières

Cadre réglementaire de l'ISAE 3000

Champ d'application de la norme


L'ISAE 3000 (Révisé) s'applique aux missions d'assurance autres que les audits d'états financiers historiques et les examens limités d'informations financières intermédiaires. Le paragraphe 3 exclut explicitement les missions couvertes par d'autres ISAE spécifiques (ISAE 3402, ISAE 3410, ISAE 3420).
La norme couvre deux catégories distinctes. Les missions d'assurance sur l'information financière prospective, les systèmes de contrôle interne, ou la conformité réglementaire. Les missions d'assurance sur des sujets non financiers comme les indicateurs de développement durable, les rapports de responsabilité sociale, ou les métriques de performance opérationnelle.
Le paragraphe 12 définit cinq éléments obligatoires pour qu'une mission relève de l'ISAE 3000 : une relation à trois parties (praticien, partie responsable, utilisateurs pressentis), un sujet considéré approprié, des critères appropriés, des éléments probants suffisants et appropriés, et un rapport d'assurance écrit.

Niveaux d'assurance disponibles


L'ISAE 3000.7 distingue deux niveaux d'assurance possibles. L'assurance raisonnable vise à réduire le risque de mission à un niveau faible acceptable (sans le ramener à zéro). L'assurance limitée vise à réduire le risque de mission à un niveau acceptable mais supérieur à celui d'une assurance raisonnable.
Cette différence détermine la nature, le calendrier et l'étendue des procédures. En assurance raisonnable, vous recherchez activement les anomalies significatives. Vous testez l'efficacité des contrôles internes. Vous corroborez les déclarations de la direction par des éléments probants externes. En assurance limitée, vous vous concentrez sur l'identification d'éléments qui vous amèneraient à conclure qu'une anomalie significative pourrait exister.

Types de missions d'assurance

Missions de type A : assertion directe


Dans une mission de type A (paragraphe 11a), la partie responsable mesure ou évalue le sujet considéré selon les critères et présente cette information dans une assertion. Votre conclusion porte sur cette assertion. La partie responsable assume la responsabilité tant du sujet considéré que de l'assertion qui le présente.
Exemple typique : une société publie un rapport de durabilité affirmant que ses émissions de CO2 ont diminué de 12 % par rapport à l'année précédente. Votre mission consiste à obtenir l'assurance sur cette affirmation. La société est responsable de la mesure des émissions et de la déclaration de la réduction.

Missions de type B : conclusion directe


Dans une mission de type B (paragraphe 11b), vous mesurez ou évaluez directement le sujet considéré selon les critères. Votre conclusion porte directement sur le sujet considéré, pas sur une assertion de la partie responsable. La partie responsable assume la responsabilité du sujet considéré mais pas de votre évaluation.
Exemple typique : vous évaluez directement l'efficacité du système de contrôle interne d'une société au 31 décembre. Votre conclusion indique que ce système était efficace à cette date. La société est responsable du fonctionnement de ses contrôles, mais vous êtes responsable de l'évaluation de leur efficacité.
Cette distinction affecte la formulation de votre conclusion et l'attribution des responsabilités dans le rapport.

Évaluation des critères : l'étape décisive

Critères appropriés selon les paragraphes 38-40


Le paragraphe 38 exige que les critères soient appropriés pour votre mission. Des critères appropriés présentent cinq caractéristiques cumulatives : pertinence, exhaustivité, fiabilité, neutralité et compréhensibilité. L'absence d'une seule de ces caractéristiques rend la mission impraticable.
La pertinence signifie que les critères contribuent à des conclusions qui aident à la prise de décision des utilisateurs pressentis. Des critères de mesure d'émissions de CO2 qui excluent les émissions indirectes (scope 2 et 3) peuvent ne pas être pertinents si les utilisateurs s'attendent à une évaluation complète de l'impact climatique.
L'exhaustivité signifie que les critères incluent tous les facteurs pertinents qui pourraient affecter les conclusions. L'évaluation de la satisfaction client basée uniquement sur les enquêtes post-vente peut manquer d'exhaustivité si elle ignore les retours durant le processus d'achat.
Le paragraphe 39 précise que vous devez évaluer l'adéquation des critères dans le contexte spécifique de la mission. Des critères peuvent être appropriés pour une mission mais inappropriés pour une autre selon les utilisateurs pressentis et l'objet de la mission.

Documentation de l'évaluation des critères


Le paragraphe 40 exige de documenter votre évaluation des critères. Cette documentation doit couvrir l'identification des critères utilisés, votre analyse de leurs cinq caractéristiques, et votre conclusion sur leur adéquation. Si vous identifiez des limites dans les critères, documentez comment ces limites affectent la nature et l'étendue de vos procédures.
La documentation doit permettre à un praticien expérimenté de comprendre pourquoi vous avez conclu que les critères étaient appropriés. Si les critères sont développés spécifiquement pour cette mission, documentez le processus de développement et l'implication des parties prenantes appropriées.

Exemple pratique : Mission d'assurance sur les indicateurs RSE

Client : Bertrand Énergies S.A.S., société française spécialisée dans les énergies renouvelables. Chiffre d'affaires 2024 : 85 M EUR. 340 salariés répartis sur 12 sites en France.
Mission : Assurance limitée sur les indicateurs RSE du rapport annuel 2024, comprenant les émissions de CO2, le taux d'accidents du travail, et le pourcentage d'énergie renouvelable dans la consommation interne.

Étape 1 : Évaluation des critères


Les critères utilisés par Bertrand Énergies combinent le référentiel GRI (Global Reporting Initiative) pour les indicateurs sociaux et environnementaux, et la méthodologie Bilan Carbone® de l'ADEME pour les émissions.
Note de documentation : Analyse détaillée des cinq caractéristiques des critères selon ISAE 3000.38 versée au dossier section A.2. Conclusion : critères appropriés sous réserve de la limitation sur les émissions scope 3 (exclues faute de données fiables).

Étape 2 : Planification des procédures


Pour les émissions CO2, nous avons testé les données de consommation énergétique sur un échantillon de 8 sites (67 % du total), recalculé les facteurs d'émission selon la base carbone ADEME 2024, et comparé avec les données de l'année précédente.
Pour les accidents du travail, nous avons rapproché les déclarations ATMP (Accidents du Travail et Maladies Professionnelles) avec le registre interne, testé l'exhaustivité sur trois mois sélectionnés aléatoirement, et confirmé les définitions utilisées.
Note de documentation : Matrice de risques et procédures correspondantes approuvée par l'associé responsable. Seuil de signification fixé à 5 % pour les indicateurs quantitatifs.

Étape 3 : Réalisation des travaux


Les procédures ont identifié un écart de 3,2 % sur les émissions CO2 (erreur de facteur d'émission pour le gaz naturel corrigée par le client), et une sous-déclaration de 2 accidents bénins (impact sur le taux : 0,1 %). Les corrections ont été apportées avant finalisation du rapport.
Note de documentation : Synthèse des anomalies et corrections en section C.4. Lettres de direction transmises le 15 mars. Réponses reçues et évaluées le 22 mars.

Étape 4 : Conclusion d'assurance


"Sur la base de nos procédures d'assurance limitée, nous n'avons pas relevé d'éléments qui nous amèneraient à considérer que les indicateurs RSE de Bertrand Énergies S.A.S. pour l'exercice 2024 ne sont pas préparés, dans tous leurs aspects significatifs, conformément aux critères définis."
Note de documentation : Formulation de conclusion validée par l'associé responsable selon ISAE 3000.69. Niveau d'assurance limitée clairement exprimé. Réserve sur les émissions scope 3 intégrée au paragraphe "Autres informations".
La mission a duré 18 jours sur 6 semaines. Les principales difficultés ont porté sur l'obtention des données de consommation énergétique des sites distants et la définition homogène des accidents bénins.

Checklist de réalisation

  • Acceptation de mission : Vérifiez que les cinq éléments ISAE 3000.12 sont présents (relation tripartite, sujet approprié, critères appropriés, possibilité d'obtenir des éléments probants suffisants, rapport écrit possible).
  • Évaluation des critères : Documentez l'analyse des cinq caractéristiques selon le paragraphe 38 (pertinence, exhaustivité, fiabilité, neutralité, compréhensibilité).
  • Planification des procédures : Adaptez la nature, le calendrier et l'étendue au niveau d'assurance choisi. Fixez des seuils de signification appropriés au contexte.
  • Documentation continue : Chaque procédure doit être documentée avec sa justification, ses résultats et les conclusions tirées selon ISAE 3000.79-84.
  • Formulation de la conclusion : Respectez les exigences de forme des paragraphes 69-89. La conclusion doit correspondre exactement au niveau d'assurance fourni.
  • Point de contrôle final : Le rapport final exprime-t-il clairement le niveau d'assurance, les responsabilités de chaque partie, et les limitations identifiées pendant la mission ?

Erreurs courantes

Critères inappropriés non identifiés : Accepter des critères développés par la partie responsable sans évaluation critique de leur exhaustivité et neutralité conduit à des conclusions non fiables.
Confusion entre les niveaux d'assurance : Utiliser une formulation d'assurance raisonnable ("nous sommes d'avis que") alors que les procédures correspondent à une assurance limitée fausse les attentes des utilisateurs.

Contenu connexe

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.