Comment ça fonctionne
Les missions d'assurance commencent presque toutes par un faux départ. L'entité dit "utilisez les IFRS" ou "utilisez notre politique interne", et le praticien accepte. Pas par paresse. Par habitude héritée de l'audit financier, où le référentiel est posé. Sur l'assurance ESG, ce raccourci consiste à cocher des cases sans avoir testé contre quoi on va conclure. C'est l'erreur la plus fréquente sur les dossiers ESG repris d'un confrère.
ISA 3000.13(a) exige que les critères soient adéquats. Pertinence, exhaustivité, fiabilité, neutralité, intelligibilité (ISA 3000.A18). ISA 3000.24 ajoute la condition d'accessibilité aux utilisateurs prévus. La norme ne dit pas que ces attributs sont automatiques. Elle dit que le praticien doit les évaluer formellement avant l'acceptation, et redocumenter cette évaluation si les critères évoluent en cours de mission.
En théorie, l'évaluation se fait avant signature de la lettre de mission. En pratique, sur les missions ESG que nous prenons, la première heure se passe à savoir contre quoi on va conclure. Les utilisateurs prévus n'ont jamais vu les critères et l'entité ne les a jamais publiés. La criteria letter (le document qui formalise les critères retenus, leur source, et leur évaluation) devient le seul livrable disponible avant la phase de procédures. Quand un client demande une attestation sur "des indicateurs internes", le travail d'auditeur commence par dire non. Pas non à la mission. Non à des critères qu'on ne peut pas tester.
La zone grise se trouve sur les sujets entité-spécifiques ou non codifiés. KPI internes, déclarations volontaires de carbone, mesures de satisfaction client, indicateurs CSRD adaptés au secteur. Aucun référentiel public ne couvre ces objets. ISA 3000.A20 autorise l'usage de critères entity-developed à condition qu'ils soient suitable et available. Le mot "suitable" cache toute la difficulté du jugement professionnel : il faut tester la cohérence interne des critères, leur capacité à être appliqués de manière reproductible, et leur transparence pour un lecteur extérieur.
Le test pratique de l'adéquation
À notre avis, la plus grosse erreur des missions d'assurance ESG ne se trouve pas dans les tests. Elle se trouve dans l'acceptation. Pourquoi : si les critères ne sont pas adéquats au sens d'ISAE 3000, aucune procédure ultérieure ne corrigera l'absence de fondement de la conclusion. Le rapport peut être techniquement signé. La valeur informative pour l'utilisateur reste nulle.
Le test que nous appliquons : deux praticiens indépendants arrivent-ils à la même conclusion sur les mêmes données en utilisant les critères proposés ? Si oui, les critères sont assez spécifiques. Si non, ils sont à retravailler avant les procédures. Cette question révèle plus vite que toute autre que les critères "carbon neutrality" d'une entité ne sont pas opérationnalisables. Deux collaborateurs lisent la même méthodologie Scope 3 et arrivent à des chiffres écartés de 30 %. Les critères sont à retravailler. La mission peut continuer. Mais le seuil de matérialité n'a pas de sens tant que les critères ne sont pas resserrés.
Le plaidoyer : critères comme moitié du travail
Les critères ne sont pas un préalable administratif. Ils sont la moitié du travail d'assurance. Et ce déséquilibre n'apparaît dans aucun budget temps de cabinet que nous avons vu sur les premières missions CSRD.
Le contre-argument standard est défendable. L'entité fournit les critères et le praticien les évalue. La norme prévoit cette répartition des rôles. ISA 3000.A18 indique explicitement que les critères sont prepared by management. Le rôle du praticien serait donc d'évaluer, pas de produire.
En pratique, l'évaluation est rarement faite avec la rigueur que la norme suppose. Sur les rapports CSRD que nous accompagnons depuis 2024, la criteria letter est le document le plus retravaillé du dossier. Plus que les procédures elles-mêmes. L'entité propose des critères vagues. Le praticien les fait préciser. L'entité revient avec des critères plus précis mais incompatibles avec les ESRS. Et ainsi de suite. Quatre itérations sont devenues la norme, je l'avoue, sur nos premiers mandats.
Le verdict : la responsabilité formelle reste à l'entité, mais la charge de travail intellectuelle est partagée. Un cabinet qui considère les critères comme "donnés par le client" sous-estime systématiquement le temps budgétaire de la phase d'acceptation. Sur nos premières missions CSRD, nous avons multiplié par trois le temps initialement budgété pour la criteria letter. Cette sous-estimation est structurelle. Le forfait CSRD est facturé sur une grille calquée sur l'audit financier, où la phase d'acceptation est mineure. Sur l'assurance ESG, la phase d'acceptation est la phase critique. Le modèle économique n'a pas suivi la réalité du dossier.
Le désaccord légitime : KPI internes non codifiés
Sur les KPI internes non codifiés (un indicateur de "satisfaction client" développé maison, par exemple), deux associés défendables ont des positions opposées.
Partner A : on accepte la mission avec une déclaration claire des critères dans le rapport. La transparence pour l'utilisateur est suffisante. Si le rapport explique précisément que la mesure de satisfaction repose sur la méthodologie X, le lecteur peut juger par lui-même. ISA 3000.A19 prévoit cette possibilité quand les critères sont entity-developed.
Partner B : on refuse la mission tant que les critères ne sont pas alignés sur un référentiel reconnu. Le risque réputationnel d'un rapport d'assurance sur un KPI maison dépasse le bénéfice de la mission. Si le KPI est attaqué en justice ou en presse, le cabinet est exposé même quand le rapport est techniquement irréprochable.
Les deux positions sont défendables. Le choix dépend de la politique de risque du cabinet, du profil du client, et du caractère public du rapport. Pas de réponse unique, et c'est précisément ce que la norme ne tranche pas. ISA 3000 décrit un test (l'adéquation) sans dire à quel niveau de risque réputationnel un cabinet doit refuser la mission. Cette décision relève du jugement du cabinet, pas du jugement professionnel codifié.
Exemple : ISAE 3000 sur la déclaration carbone d'une PME
Client : PME industrielle, 80 collaborateurs, chiffre d'affaires 24 M EUR, basée à Lyon. La direction demande une assurance limitée sur sa déclaration carbone Scope 1, 2 et 3 pour l'exercice 2025.
Étape 1 : critères proposés. L'entité utilise le GHG Protocol pour Scope 1 et 2 (référentiel public et reconnu). Pour Scope 3, elle a inventé sa propre méthode : moyenne sectorielle française des émissions par EUR de chiffre d'affaires fournisseurs, ajustée d'un coefficient maison de 0,85 pour "tenir compte de la sélection RSE des fournisseurs".
Étape 2 : test d'adéquation. Scope 1 et 2 sont adéquats au sens d'ISAE 3000 (référentiel reconnu, accessible, neutre). Scope 3 pose plusieurs questions : la cohérence interne (le coefficient 0,85 est-il justifiable ?), la transparence (un utilisateur extérieur peut-il reconstituer le calcul ?), la vérifiabilité (les éléments probants existent-ils pour soutenir le coefficient ?), et la neutralité (un coefficient qui réduit systématiquement les émissions estimées présente un biais directionnel). Sur ces quatre questions, le coefficient maison échoue. La justification documentée est une note interne de deux pages sans données sous-jacentes.
Étape 2 bis : la complication. Avant que nous ayons formulé notre position, la direction revient avec une révision : remplacer le 0,85 par 0,72, en s'appuyant sur une étude sectorielle 2023 d'un cabinet de conseil RSE. Le nouveau coefficient est mieux documenté. Mais il est plus avantageux pour l'entité (réduction de 28 % au lieu de 15 %). Et l'étude RSE de 2023 portait sur un échantillon de 12 entreprises, dont aucune dans le secteur du client. Le coefficient est désormais sourcé. Il n'est toujours pas opérationnalisable au sens d'ISAE 3000.A18, parce que la source ne couvre pas la population du client. Le dossier doit raconter une histoire cohérente entre la méthodologie revendiquée et les éléments probants disponibles. Ici, l'écart est trop large.
Étape 3 : décision. Nous proposons à l'entité deux options. Option 1 : retirer le coefficient et conclure sur Scope 3 brut, en signalant dans le rapport que la mesure repose sur des moyennes sectorielles non ajustées. Option 2 : commander une étude RSE des fournisseurs (10 jours de travail entité, périmètre des 30 fournisseurs principaux), ce qui rend le coefficient testable. L'entité choisit l'option 1. La criteria letter est mise à jour, signée par la direction, datée. La mission peut entrer en phase de procédures.
Conclusion. Les critères Scope 1 et 2 sont restés inchangés. Les critères Scope 3 ont été simplifiés pour devenir testables. Sans cette discussion en amont, le rapport aurait porté sur un coefficient indéfendable. Le seuil de matérialité n'aurait eu aucun sens.
Erreurs et risques sur les missions réelles
- Confusion classique entre critères et cadre de préparation. Le cadre de préparation (les IFRS, les ESRS, l'ISAE 3402) est ce que l'entité utilise pour produire l'information. Les critères sont ce contre quoi le praticien évalue. Souvent les deux coïncident, mais pas toujours. ISA 3000.18(b) impose d'évaluer leur compatibilité, et c'est un point de revue régulier.
- Approbation verbale des critères. ISA 3000.21 exige que le rapport communique les critères appliqués, ce qui implique une trace écrite signée par la direction avant la phase de procédures. Une approbation orale lors d'une réunion ne tient pas en revue qualité. Le dossier reste trop léger pour défendre la conclusion si un litige survient.
- Critères inaccessibles aux utilisateurs prévus. Si la mission utilise les ESRS comme critères mais que le rapport est lu par des parties prenantes qui ne connaissent pas les ESRS, l'assurance perd sa valeur informative. ISA 3000.A19 demande que les critères soient inclus dans le rapport ou rendus accessibles par annexe. Cette exigence est régulièrement oubliée sur les missions CSRD destinées à un public non spécialiste.
Critères vs cadre de préparation
| Aspect | Critères d'assurance | Cadre de préparation |
|---|---|---|
| Définition | Les normes contre lesquelles le praticien évalue l'information | Le cadre que l'entité applique pour préparer l'information |
| Exemple | Les exigences ESRS sur les changements climatiques | Les IFRS adoptées par l'entité |
| Rôle du praticien | Sélectionne, évalue l'adéquation, documente dans la criteria letter | Teste l'application correcte par l'entité |
| Accessibilité | Doit être accessible aux utilisateurs prévus du rapport (ISA 3000.24) | Reste interne sauf exigence légale particulière |
| Documentation | Communiquée dans le rapport ou par annexe | Document de travail interne |
Quand la distinction compte sur un mandat bancaire
Mission ISAE 3000 sur le processus de gestion des risques de crédit d'une banque belge de taille moyenne. La banque utilise Bâle III en interne pour classer ses expositions. Bâle III est une exigence prudentielle, pas un référentiel d'assurance public, et il n'est pas immédiatement accessible aux utilisateurs prévus du rapport (le conseil de surveillance, deux fonds actionnaires).
Pour que le rapport ait une valeur, nous établissons des critères explicites tirés de Bâle III mais reformulés pour la mission : "le processus est adéquat si la classification par probabilité de défaut est documentée, si les exigences en capital par classe de risque suivent les ratios Bâle III, et si les décisions d'approbation de crédit sont alignées sur cette classification". Ces critères entrent dans la criteria letter. Ils sont signés par la direction. Le rapport final les reproduit en annexe.
Sans cette étape, l'audit du processus n'a aucun ancrage. Le seuil de matérialité ne peut pas être calibré. La conclusion serait un avis sur "la conformité à Bâle III" sans définition opérationnelle de ce que cette conformité signifie sur le processus spécifique de cette banque. C'est précisément le point que les rapports H2A sur les missions ISAE soulignent en revue : citer un référentiel ne suffit pas, il faut formuler les critères dérivés que le praticien va effectivement tester.
Termes associés
- Sujet audité : l'information, le processus ou le système évalué - Évaluation des risques d'assurance : le risque que le rapport soit erroné - Rapport ISAE 3000 : le rapport final qui doit identifier les critères appliqués - Cadre de contrôle interne : un ensemble de critères courant sur les missions ISAE 3402 - Exigences du RGPD : un ensemble de critères courant sur les missions de conformité - Normes ESRS : critères de référence sur les missions CSRD
---