Definition
Depuis 2024, les cabinets mid-tier reçoivent des demandes de missions d'assurance sur des déclarations de durabilité, souvent pour la première fois. Le client attend un « audit » de ses données ESG. Le commissaire aux comptes (CAC) ou le cabinet d'audit accepte le mandat. Et le premier réflexe, chez la plupart des équipes, consiste à répliquer le programme de travail d'un audit financier en le réduisant de moitié. Le dossier qui en résulte est souvent trop léger pour résister à un contrôle qualité.
Fonctionnement
ISAE 3000 (Révisée 2022) définit deux niveaux d'assurance : raisonnable et limitée. La différence réside dans l'étendue du programme de travail, et dans le risque que la conclusion soit incorrecte.
L'assurance limitée signifie que nous avons réduit le risque d'assurance à un niveau modéré mais acceptable. Nous n'avons pas besoin de tester chaque transaction, de réconcilier chaque calcul, de valider chaque source de données, ni de reconstituer chaque flux. Nous effectuons des procédures analytiques, des entretiens avec la direction et une revue des contrôles clés. L'attention se concentre sur les zones à haut risque identifiées lors de la planification.
ISAE 3000.A77 énumère les procédures typiques : procédures analytiques pour identifier les anomalies, demandes d'informations à la direction, observation des processus de collecte de données et revue de la documentation sous-jacente pour un échantillon d'éléments. Aucune de ces procédures ne couvre l'intégralité du périmètre. Aucune n'est conçue pour détecter chaque erreur possible.
La conclusion s'exprime en termes négatifs : « Rien n'a attiré notre attention qui nous porte à croire que les données sur la durabilité ne sont pas conformes au référentiel. » Cette formulation n'est pas un choix de style. Nous ne disons pas « nous confirmons que tout est correct ». Nous disons « nous n'avons pas trouvé de preuves que quelque chose ne va pas ». C'est une distinction à la fois juridique et opérationnelle. Le lecteur doit comprendre qu'il ne s'agit pas d'un audit complet.
Exemple pratique : Société Industrielle Dupont S.A.S.
Client : fabricant français de composants électroniques, chiffre d'affaires 58 M EUR, IFRS, première déclaration de durabilité (ESRS E1, E2, S1).
Évaluation du risque
La direction a affirmé que les émissions Scope 1 s'élevaient à 2 450 tonnes CO₂ équivalent et les émissions Scope 2 à 1 680 tonnes CO₂ équivalent. Pendant la planification, nous avons identifié quatre zones à haut risque : la complétude des sources de Scope 1 (certains sites satellites peuvent être oubliés), les facteurs d'émission utilisés pour Scope 2 (variation entre les régions, mises à jour annuelles), la réconciliation entre les données de consommation d'énergie brutes et les données déclarées, et la cohérence des périmètres déclarés entre E1 et E2.
Note de documentation : registre des risques de durabilité, matrice de risques complétée, zones de test identifiées.
Procédures analytiques de haut niveau
Les émissions déclarées de l'année actuelle ont été comparées aux émissions de l'année précédente (année 1 : 2 310 tonnes Scope 1, année 2 : 2 450 tonnes, augmentation de 6 %). Les inducteurs ont été analysés : production (augmentation de 7 %), consommation de gaz naturel (augmentation de 5 %), heures machines (augmentation de 8 %) et effectifs sur site (stable). Les variations étaient raisonnables et expliquées par la croissance de la capacité.
Note de documentation : tableau d'analyse comparative des émissions par année, annotations expliquant les variations principales.
Examen des contrôles clés
Le processus de collecte des données de Scope 2 a été examiné. Les factures mensuelles d'électricité de trois fournisseurs régionaux étaient importées dans un fichier Excel. Les kWh totaux étaient multipliés par les facteurs d'émission du réseau électrique français (données 2023 de RTE), et le total était inclus dans le calcul agrégé des émissions. Le facteur d'émission utilisé était à jour et le fichier Excel contenait des vérifications de totalisation.
Note de documentation : fiche de contrôle interne d'assurance sur la durabilité, revue des trois derniers rapports de consommation d'énergie avec marques d'approbation.
Échantillonnage sur les sources Scope 1
La documentation d'inventaire des sources Scope 1 a été examinée : une chaudière au gaz naturel (principal site de Lyon), deux fours industriels (site secondaire de Grenoble). La direction a été interrogée sur l'existence d'autres installations de combustion brûlant du carburant. Réponse : non. Les relevés de comptage pour trois mois ont été observés et réconciliés avec les données déclarées. Aucune omission n'a été trouvée.
Note de documentation : lettre de confirmation de la direction concernant la complétude des sources Scope 1, trois relevés de comptage avec annotations de suivi.
Conclusion et rapport
Aucune anomalie n'a été découverte. La conclusion d'assurance limitée était : « Sur la base de nos procédures, rien n'a attiré notre attention qui nous porte à croire que la déclaration de durabilité de Société Industrielle Dupont pour la période close le 31 décembre 20X2 n'est pas conforme aux exigences pertinentes d'ESRS E1 et E2. » Le rapport a précisé qu'une assurance limitée avait été effectuée conformément à ISAE 3000 (Révisée 2022), et que le niveau de travail était inférieur à celui d'un audit complet.
Ce que les réviseurs et praticiens confondent
- L'assurance limitée n'est pas un simple examen. ISAE 3000 place l'examen à un niveau inférieur : il se contente de demander à la direction et de revoir la documentation. L'assurance limitée exige un programme structuré pour réduire le risque à un niveau modéré. Si la mission n'inclut pas au moins une procédure analytique et un examen des contrôles, c'est du tampon, pas une assurance limitée. Le rapport doit le refléter.
- Les termes « raisonnable » et « limité » ne sont pas interchangeables. ISAE 3000 (Révisée 2022) paragraphe 8 définit chaque niveau avec précision. L'assurance raisonnable réduit le risque d'assurance à un niveau acceptablement bas. L'assurance limitée le réduit à un niveau modéré mais acceptable. Cette distinction doit figurer dans le rapport et dans le dossier de mission. Chez nos clients, nous constatons régulièrement des lettres de mission qui mélangent les deux formulations.
- Le programme de travail d'assurance limitée n'est pas un programme d'audit raccourci. Les procédures analytiques ne visent pas à détecter une anomalie spécifique. Elles visent à identifier les zones où des anomalies sont probables. Traiter chaque élément analytique comme un test de détail complet produit un dossier qui sera examiné à titre critique par un réviseur interne ou par la H2A. Je l'avoue, la frontière entre « programme suffisant » et « programme insuffisant » reste inconfortable, même après plusieurs mandats de ce type.
Assurance limitée vs Assurance raisonnable
| Dimension | Assurance limitée | Assurance raisonnable |
|---|---|---|
| Risque d'assurance réduit à | Niveau modéré mais acceptable | Niveau acceptablement bas |
| Procédures typiques | Analytiques, entretiens, observation, revue documentaire | Tests de détail, entretiens approfondis, revue des contrôles, observation physique |
| Étendue du travail | Environ 40 à 60 % du travail de raisonnable | 100 % ; toutes les zones identifiées sont testées |
| Conclusion exprimée | Négativement (« rien qui attire notre attention ») | Positivement (« opinion que la déclaration est conforme ») |
| Cas d'usage courant | Première déclaration, données ESRS, rapports environnementaux | Audit complet des comptes, états financiers consolidés |
| Accès aux preuves | Accès limité mais suffisant | Accès complet supposé |
La différence matérielle : en assurance limitée, le risque résiduel (le risque que la conclusion soit incorrecte) reste modéré. Nous avons réduit ce risque, mais pas au plus bas possible. L'assurance raisonnable suppose que ce risque est très faible. Lorsqu'un client demande une opinion sur la conformité complète, l'assurance raisonnable est appropriée. Lorsqu'il demande un examen de la déclaration portant sur la bonne foi et la plausibilité, l'assurance limitée est appropriée.
Termes connexes
- Audit des comptes : type d'assurance raisonnable sur des états financiers historiques, à distinguer de l'assurance limitée qui porte sur la durabilité ou d'autres données non financières.
- ISAE 3000 : norme qui régit les missions d'assurance sur les informations non financières, dont la durabilité, et qui définit les deux niveaux (raisonnable et limité).
- Matérialité en durabilité : concept lié mais distinct. Le seuil pour les états financiers diffère de la matérialité de durabilité (ce qui importe aux parties prenantes).
- ESRS : norme européenne de reporting de durabilité. Les missions d'assurance limitée sur ESRS sont en croissance à partir de 2025.
- Référentiel applicable : l'ensemble des exigences (ESRS, GRI, TCFD) auquel l'auditeur évalue la déclaration.
- Examen : niveau inférieur d'assurance sur les informations non financières, avec moins de travail qu'une assurance limitée.
---