Introduction

La directive européenne sur le reporting de durabilité – « Corporate Sustainability Reporting Directive » (CSRD) – est entrée en vigueur en 2024, et les premiers rapports ont été publiés depuis février 2025. PwC est très investi depuis plusieurs années sur le besoin de confiance sur les sujets ESG, et cet engagement se matérialise notamment par le partenariat de longue durée avec l’Ifaci. Fin 2023, le groupe de travail PwC-Ifaci a élaboré un guide opérationnel sur le contrôle du reporting de durabilité, proposant notamment des priorités et des bonnes pratiques de mise en œuvre du contrôle interne de l’information ESG, organisé par composante du COSO et adressant chacun des 17 principes. Un an après l’entrée en vigueur de la CSRD, et donc deux ans après la création de ce guide, nous nous interrogeons sur les travaux et les avancées qui ont pu être menés par les entreprises. Nous avons donc à nouveau mobilisé les professionnels du risque et du contrôle pour travailler sur un état des lieux des pratiques en termes de contrôle interne du reporting de durabilité. Cette nouvelle publication ne formalise pas de recommandations spécifiques mais adresse des questionnements partagés par la communauté, tout en présentant de bonnes pratiques observées. Nous souhaitons ainsi apporter des éléments de réponse à trois questions clés à la suite de ce premier exercice CSRD : QUI ? Quels ont été les contributeurs mobilisés sur le contrôle interne du reporting de durabilité et comment les responsabilités ont-elles été définies ?

QUOI ? Quelles ont été les réalisations concrètes en matière de contrôle interne pour sécuriser ce premier exercice ?

TECH ? Comment intégrer les risques liés aux outils de reporting ? Comment faciliter les travaux de contrôle interne grâce à la technologie ? Pour y répondre, nous partageons dans cette publication un constat des pratiques actuelles et proposons des illustrations des meilleures, ainsi que des témoignages des sociétés mobilisées avec nous sur ce retour d’expérience.

Nos convictions

Les états de durabilité publiés au titre de 2024 font état de travaux plus ou moins aboutis. La grande majorité des entreprises, de manière prudente et réaliste, ont concentré la description de leur dispositif sur l’environnement de contrôle. En effet, 85 % des sociétés décrivent la structuration ou la documentation de leur processus de reporting ESG (n° 23). Près de la moitié – 49 % – indiquent vouloir renforcer leur dispositif. 2025 a clairement marqué le lancement des démarches de contrôle interne du reporting de durabilité, avec une dynamique importante observée. En effet, un pas significatif a été franchi, contrastant avec les années précédentes où seuls les précurseurs avaient commencé des travaux structurés. Malgré une certaine hétérogénéité dans les organisations, les ressources et les outils mobilisés, des dynamiques communes émergent : renforcement des fondations : structuration des processus, clarification des rôles et sensibilisation aux enjeux de contrôle ;

priorisation des données stratégiques et à risque : concentration des efforts là où l’impact est le plus fort ;

capitalisation sur l’existant : extension des référentiels de contrôle et questionnaires d’autoévaluation, avec une recherche d’efficacité dans le déploiement ;

intégration de la technologie : sécurisation des données intégrée dès la conception des outils, avec automatisation ou simplification des contrôles dans un environnement technologique évolutif. Cette publication a vocation à comprendre les pratiques actuelles, mais surtout à identifier les actions concrètes à mettre en place. Au-delà de l’enjeu réglementaire, la structuration du dispositif de contrôle est aujourd’hui nécessaire pour apporter de la confiance sur les informations ESG, dans le but de piloter la performance durable de l’entreprise. A noter : Selon Caroline Naït-Mérabet, un pas significatif a été franchi, contrastant avec les années précédentes où seuls les précurseurs avaient initié des travaux structurés.

1. Quelle organisation et quelles ressources pour le contrôle interne du reporting de durabilité ?

Une personne est-elle dédiée au contrôle interne de durabilité (ou ESG) ?

Pour organiser les ressources travaillant au contrôle interne du reporting de durabilité, une des pratiques observées est de disposer d’une personne dédiée au sujet. En considérant vos enjeux de culture, d’articulation actuelle de votre dispositif de contrôle, mais aussi de moyens, il est utile de s’interroger sur ce modèle. Sont développés ci-après les bénéfices et limites d’une telle option.

Témoignages des sociétés

Dassault Systèmes a fait le choix, en 2023, de renforcer son équipe de contrôle et audit internes, avec le recrutement d'un profil pour les sujets de durabilité. Ce profil dédie une partie de son temps aux missions récurrentes de contrôle et audit internes, et l'autre, sur les enjeux de durabilité. Ce volet ESG du poste a été un véritable levier d'attractivité. De plus, ce recrutement anticipé a facilité le déploiement du contrôle interne pour le reporting CSRD. La direction du groupe Solvay a été très tôt sensibilisée sur les enjeux de la CSRD. La décision a été prise en 2023 de dédier une personne au sein de l’équipe projet CSRD au chantier contrôle interne CSRD. Ce poste, pourvu début 2024, a été rattaché à la direction du contrôle interne afin d’assurer l’ancrage dans le dispositif de contrôle interne du groupe. L'objectif principal du contrôleur interne ESG est de piloter la conception, la mise en œuvre et la maintenance d'un dispositif de contrôle interne pour le reporting extra-financier, au sein d'une équipe projet CSRD, cela pour l'ensemble du groupe. Le rattachement du poste à la direction du contrôle interne permet d'assurer cohérence et vision globale des dispositifs pour les reportings financier et extra-financier. Dans le cadre de la conception des contrôles internes à partir des risques identifiés avec les différentes parties prenantes ESG, le contrôleur a lancé son approche par le design des processus (« flow charts ») : cela a été très bien accueilli et constitue une forte valeur ajoutée pour les différentes parties prenantes ESG, et plus largement pour le groupe car facilitant la communication et la compréhension des processus.

Quelle implication du réseau de correspondants « Contrôle interne » dans ce premier exercice ?

Pour ce premier exercice, globalement, le réseau de correspondants « Contrôle interne » a été peu impliqué. Cependant, le déploiement des activités de contrôle au-delà du niveau consolidé / Corporate nécessite de réfléchir à une approche plus locale, et d’élargir ainsi l’implication de l’ensemble du réseau contrôle interne. A noter : Pour déployer le dispositif de contrôle en local, il est recommandé de mobiliser un réseau existant, Contrôle interne si existant, ou dans le cas contraire RSE ou Finance. Attention, pour cela, il convient de : – définir des instructions claires sur ce qui est attendu de la part des acteurs du réseau mobilisé ; – s’assurer que cela soit compatible avec leur charge de travail ; – accompagner le développement des compétences nécessaires.

Témoignages des sociétés

Le groupe Synergie a, dès le début de son projet CSRD, décidé de s’appuyer sur un réseau de correspondants par pays. Le choix a été fait de s’appuyer sur un réseau d’« ESG ambassadors » qui préexistait à la CSRD. Celui-ci est composé de professionnels de la qualité, conformité ou autres métiers, et qui ne sont pas dédiés au sujet ESG. Ces ambassadeurs consacrent une partie de leur temps au contrôle interne CSRD, soutiennent la collecte de données, relaient la planification, mettent en place des contrôles en amont et accompagnent les audits de site. Ils ont été essentiels dans la préparation du premier état de durabilité du groupe et la sécurisation de la qualité des données publiées. En effet, par ce choix, le groupe a pu valoriser et mettre en avant un réseau déjà existant et a pu assurer plus rapidement une meilleure appropriation de ces sujets au niveau local (enjeux culturels, spécificités, etc.).

Quelle montée en compétences nécessaire de la filière contrôle interne ?

Pour disposer des compétences pertinentes dès cette première année, la grande majorité des entreprises ont organisé des programmes de formation. Parmi les formations dispensées, on constate la couverture de différents angles : les enjeux matériels – formation aux sujets de développement durable ;

la connaissance des normes appliquées – standards de reporting ;

la spécificité et les contraintes de qualité et de contrôle des données – contrôle interne du reporting de durabilité. A noter : Pour faire monter en compétence l’équipe de contrôle interne en matière de durabilité, les bonnes pratiques observées sont d’utiliser : – les formations relatives au programme développement durable portées en interne par les équipes RSE ; – les nombreux webinaires disponibles à cet effet – à titre d’exemple, la série PwC « Les rdv du reporting de durabilité » ; – des modules de formation e-learning (interne/externe) sur les standards ESRS, particulièrement pertinent pour le réseau, dispersé géographiquement ; – des formations spécifiques dispensées par des prestataires dans le cadre du projet de structuration du reporting CSRD.

Quels acteurs impliqués en pratique dans la réalisation des contrôles ?

Des organisations différentes ont été observées quant à la responsabilité de la réalisation des activités de contrôle. Ces organisations ont été définies en fonction de l’historique, de la culture et des ressources disponibles, et il n’existe pas de modèle type à appliquer. Nous observons plusieurs choix en termes de responsabilité pour effectuer les contrôles définis. Le plus souvent, ce sont les équipes métiers ou l’équipe en charge du reporting CSRD qui aujourd’hui réalisent les contrôles. Il a également été observé que des fonctions contrôle interne étaient en charge d’effectuer des activités de contrôle. Sont présentés ci-dessous les avantages et limites selon acteurs : Quelle que soit l’option retenue, la bonne pratique observée consiste à s’inscrire dans le cadre existant, tout en assurant : le bon niveau d’expertise technique ;

une approche cohérente et une vision globale du processus, ;

des compétences en matière de contrôle interne. Il conviendra de bien retranscrire les choix effectués dans les documents de référence du contrôle interne pour assurer leur bonne connaissance et appropriation par tous.

Témoignages des sociétés

Le groupe Michelin a défini une organisation claire des différentes lignes de maîtrise pour le reporting de durabilité. L’audit interne était intervenu très en amont, en 2022, avant la mise en place du programme CSRD. Cette intervention a permis de fournir des recommandations claires pour établir le chantier Contrôle Interne au sein du programme CSRD. Les responsabilités ont été définies de façon alignée avec le modèle de responsabilités historique en matière de contrôle interne, avec des activités de contrôle effectuées par la direction contrôle interne. Le choix d’avoir une personne de la direction contrôle interne dédiée au sujet ESG a également structuré l’organisation du dispositif. Un reporting régulier à la gouvernance est en place et a inclus cette année les résultats des autoévaluations menées sur les contrôles définis. Les résultats des tests seront également reportés à la gouvernance dès le prochain exercice. Le groupe a choisi un déploiement progressif du dispositif de contrôle, aligné avec les enjeux opérationnels et les contraintes de disponibilité des ressources.

e. Quelle implication de l’audit interne ?

Les enjeux ESG font généralement partie de l’univers de risques couverts par l’audit interne. Pour autant, les travaux et le rôle de l’audit interne spécifiquement sur le processus de reporting de durabilité ne sont pas encore bien définis à ce jour. Certaines entreprises ont néanmoins anticipé le sujet et intégré le reporting de durabilité aux travaux d’audit interne. A noter : 1. Pour engager des travaux d’audit interne sur le reporting de durabilité, les bonnes pratiques observées sont : – la réalisation d’audit de projet CSRD ou du processus de reporting de durabilité ; – l’intégration d’étape de travail sur les données de durabilité (sur les données ou les contrôles) aux programmes de travail d’entité ou thématiques ; – ou encore la réalisation d’audits spécifiques pour couvrir certains risques matériels ou engagements pris dans l’état de durabilité. 2. Pour une mission d’audit interne sur le processus de reporting, afin de distinguer davantage la valeur apportée par la mission des travaux de vérification externe, les objectifs d’audit peuvent être orientés sur : l’efficience du processus ; l’utilisation de la donnée ; le risque de « greenwashing » ; la mise en cohérence des risques ESG avec les risques stratégiques (ERM).

Quel reporting à la gouvernance en matière de contrôle interne de durabilité ?

Pour les groupes de la vague 1 notamment, le reporting CSRD a évidemment été un des points d’attention de la gouvernance sur l’exercice 2024. Pour autant, pour ce premier exercice, les échanges n’ont que très peu porté sur l’efficacité du dispositif de contrôle interne y afférent. La communication a porté davantage sur : le projet et son avancement, les résultats de l’évaluation de double matérialité, le processus de reporting (les rôles et responsabilités, étapes et outils), les éventuelles initiatives en termes d’activités de contrôle et autoévaluation correspondante, les plans d’action pour structurer le contrôle interne). A noter : Rappel La CSRD introduit la responsabilité de la gouvernance quant au suivi de l’efficacité des systèmes internes de contrôle qualité et de gestion des risques relatifs à l’information de durabilité. Afin que les administrateurs puissent répondre à ces nouvelles responsabilités, il est recommandé d’aborder, de façon récurrente et selon le niveau d’avancement, les sujets suivants au niveau du comité en charge du reporting de durabilité : – les principes retenus et les responsabilités en termes de contrôle interne du reporting de durabilité : organisation, extension des principes existants et éventuelles adaptations de ceux-ci ; – les outils de contrôle interne et le plan de déploiement de ceux-ci : analyse de risques, référentiels de contrôle, couverture des données ; – les résultats des exercices de pilotage de l’efficacité des outils : autoévaluation, testing, audit interne.

Quelles ont été les grandes réalisations en matière de contrôle interne CSRD cette année ?

Comment l’environnement de contrôle est-il établi ?

Travailler sur l’environnement de contrôle a été la priorité majeure en matière de contrôle interne du reporting de durabilité. Une partie des données à publier étant nouvelles, et pour les données historiques, les processus étant globalement peu matures, de nombreux travaux ont été engagés pour sécuriser la production des informations de durabilité en renforçant l’environnement de contrôle. Ces travaux consistaient principalement à documenter le processus de reporting – notamment les points suivants le périmètre de reporting le périmètre de reporting ;

les rôles & responsabilités du processus ;

les étapes du processus ;

les définitions et les règles de calcul et de consolidation des indicateurs. A noter : Pour établir l’environnement de contrôle du processus de reporting de durabilité, les bonnes pratiques observées sont : – clarifier les différentes tâches, les interactions entre les différents contributeurs du processus, les outils utilisés, etc. soit de manière globale pour le processus de reporting, soit par processus selon les groupes de données reportées – cartographie de processus, flowcharts des processus ; – définir et préciser les rôles et responsabilités selon les étapes clés du processus – RACI (« Responsible, Accountable, Consulted, Informed ») ; – créer ou compléter les protocoles / procédures / fiches indicateurs existants relatifs aux processus de reporting afin de préciser : les exigences réglementaires, les règles de calcul et d’estimation, le périmètre de reporting attendu. Un « quick win » observé pour renforcer l’environnement de contrôle est d’intégrer des contrôles génériques, applicables quelles que soient les données reportées, dans ces documents cadrant le processus. Les plus couramment observés sont : séparation des tâches, revue hiérarchique, conservation/ transmission de justificatifs, analyse de variation par rapport à une période précédente ; – intégrer à la politique de contrôle interne les responsabilités relatives au contrôle de la donnée de durabilité.

Comment l’approche par les risques est-elle abordée ?

Concernant la composante d’évaluation des risques du dispositif propre au processus de durabilité, celle-ci a été abordée sous 3 angles distincts développés ci-après.

L’évaluation de double matérialité

D’une part, l’évaluation de double matérialité implique la qualification de risques significatifs pour l’entreprise, et donc une connexion avec des travaux historiques. Il a été observé que ce sont généralement les fonctions risques qui ont été impliquées sur ce volet, lorsqu’elles existent. Un point d’attention majeur a été noté pour les sociétés devant publier un document d’enregistrement universel (DEU) : la cohérence entre la section facteurs de risques du DEU et l’état de durabilité. A noter : Pour connecter l’évaluation de double matérialité avec l’exercice de cartographie des risques, les bonnes pratiques observées sont : – intégration des univers de risques ESRS et ERM, via un mapping des enjeux de durabilité aux risques ERM ; – mise en cohérence des échelles d’évaluation des risques ; – mise en cohérence des calendriers et mobilisation conjointe des contributeurs internes ; – articulation des différentes analyses selon leur granularité (imbrication des risques selon un modèle « poupées russes »). Témoignage de Dassault Systèmes En vue de ce premier exercice de reporting CSRD, Dassault Systèmes a souhaité renforcer la structuration et la documentation relatives au processus de reporting des données. Pour ce faire, des « ID cards » ont été formalisées pour les informations quantitatives à publier. Ces dernières précisaient notamment les sources des données, les définitions et méthodologies, mais également les contrôles exigés. Pour cette 2e année de reporting, un travail de rationalisation de la documentation établie a été engagé afin d'en faciliter la mise à jour et l'appropriation par les équipes. La mise à jour de la documentation et la mise en œuvre des contrôles associés sont assurées par la fonction Finance durable et la vérification de leur application par l'équipe de contrôle et d’audit internes.

D’autre part, cette évaluation de double matérialité est la fondation de l’état de durabilité, car elle détermine les sujets dont l’entreprise doit rendre compte dans le rapport. Il s’agit donc d’un point clé pour assurer l’intégrité et la conformité de l’état de durabilité, qui nécessite d’être contrôlé. Bien que cela ait davantage reposé sur les vérificateurs de durabilité en cette première année, certaines entreprises ont aussi eu une contribution des fonctions de contrôle pour vérifier la fiabilité des analyses et la robustesse de la méthodologie déployée. A noter : Pour contrôler l’analyse de double matérialité, les points clés couverts observés sont : – exhaustivité du périmètre analysé : des enjeux considérés, prise en compte de la chaîne de valeur, périmètre du groupe (activités, filiales, activités contrôlées non consolidées) ; – conformité aux exigences méthodologiques : dimensions évaluées, prévalence de l’impact sur la probabilité le cas échéant, détermination des seuils ; – robustesse de l’analyse : justification des analyses et des sources, pertinence des contributeurs ; – cohérence des résultats : avec les éléments stratégiques internes, les pairs et les attentes des parties prenantes.

La priorisation des données à mettre sous contrôle

42 % des entreprises ont affirmé dans leur état de durabilité avoir mené une analyse de risques pour identifier les données ESG les plus risquées et déployer sur ces données des contrôles spécifiques. A noter : Pour mener cette analyse de risques, les critères les plus souvent cités sont les suivants : – selon l’utilisation de l’information : niveau de matérialité, intégration dans des mécanismes de rémunération ou covenants bancaires, engagement stratégique associé, etc. ; – selon les caractéristiques du processus de production de l’information : complexité des calculs, maturité du processus, dépendance à de l’information externe, estimations, etc.

L’identification des risques spécifiques à couvrir par des activités de contrôle

Pour les données à mettre sous contrôle, une analyse des risques relatifs au processus propre à la donnée doit être faite. Ces analyses ont dans certains cas été menées lors de la documentation des processus (par exemple lors de l’établissement des « flowcharts » évoqués précédemment) et permettent d’identifier les contrôles pertinents (développés dans la question suivante ; voir n° 18). Pour rappel, les risques à couvrir, selon les standards de reporting ESRS sont : l’exhaustivité et l’intégrité des données, l’exactitude des résultats des estimations, la disponibilité de données sur la chaîne de valeur en amont et/ou en aval et le délai de mise à disposition des informations (AR.11 ESRS 2 – GOV-5). A noter : Les risques au sein des processus les plus couramment observés sont : – non-exhaustivité des informations (périmètre erroné, indisponibilité des données en interne ou issues de la chaîne de valeur) ; – erreur de saisie ou altération des données (multitude de manipulation manuelle des données, problème dans l’intégration des données entre différents outils, manque de ressources) ; – manipulation des données (pression pour l’atteinte d’engagement ou objectifs) ; – non-respect des exigences réglementaires (mauvaise compréhension ou interprétation des normes) ; – erreur dans le calcul des indicateurs ou les méthodologies d’estimation ou d’extrapolation.

Comment les activités de contrôle sont-elles définies ?

Bien que cela ne soit pas encore généralisé, de nombreux groupes ont d’ores et déjà identifié formellement des activités de contrôle spécifiques au processus de reporting de durabilité. Cela a été formalisé de différentes façons : matrice ou référentiel de contrôles – dédiés ou avec des contrôles intégrés aux matrices / référentiels existants ; manuels de reporting ou encore book de contrôle interne. Pour définir des activités de contrôle en matière de reporting de durabilité, les enjeux suivants ont été identifiés : analyser la possibilité d’intégrer des activités de contrôle dans les référentiels/manuels de contrôles existants. Selon les situations, les processus à couvrir peuvent déjà faire l’objet d’activités de contrôle (par exemple : ressources humaines, achats, éthique et conformité, etc.). On constate alors qu’il est beaucoup plus efficace d’ajouter des activités de contrôle dédiées à l’intégrité de l’information reportée. En effet, cela en facilite grandement le déploiement. Dans ce cas, il peut être pertinent de compléter la cartographie des processus par de nouveaux (sous)-processus ;

faire du spécifique. Pour des raisons d’efficacité, des contrôles génériques – type vérification de la documentation, contrôles de cohérence, analyse de variation – ont été largement utilisés. Pour autant, les données ESG étant extrêmement diverses pour adresser effectivement leurs risques propres, il convient de définir des contrôles spécifiques aux types de données, aux processus couverts, aux outils, à l’organisation, etc. ;

couvrir le qualitatif. Bien que la priorité ait été donnée cette année aux informations quantitatives, il est également important d’apporter du confort sur la réalité des éléments présentés, ainsi que sur l’effectivité des politiques et actions sur le périmètre consolidé ;

sécuriser l’alignement entre les informations publiées dans l’état de durabilité et les autres éléments de communication du groupe. Au-delà de l’intégrité des données, des risques peuvent venir d’un manque d’alignement avec les autres éléments majeurs de communication de l’entreprise. Du point de vue des utilisateurs de l’état de durabilité, les éléments publiés doivent être cohérents avec le business plan et la stratégie de l’entreprise, les informations financières, le plan de vigilance, etc. Il est utile de mettre en place des activités de contrôle pouvant détecter ces écarts ;

sécuriser les systèmes d’information qui portent les données – voir n° 23.

Témoignages des sociétés

Accor En cette première année de préparation du rapport de durabilité du groupe Accor, la priorité en matière de contrôle interne a été de renforcer l’environnement de contrôle du processus, notamment par l’intégration, au sein du protocole de reporting du groupe, de principes clés de contrôle et d’une formalisation des rôles et responsabilités liés à la production des indicateurs quantitatifs. En complément, et faisant notamment suite aux recommandations précédentes des auditeurs de durabilité, la fonction contrôle interne a été directement mobilisée pour produire 4 référentiels de contrôles (« des books de contrôles internes ») spécifiques aux informations quantitatives des standards E1 (climat), E3 (eau et ressources marines), S1 (force de travail) et G1 (conduite des affaires). Ces référentiels, visant à cadrer les exigences de contrôle par standard ont été élaborés sous l’impulsion de la fonction contrôle interne et, grâce à une mobilisation très forte des responsables métiers, « propriétaires » de la donnée. EssilorLuxottica Dans un environnement où la transparence et la fiabilité des données extra-financières conditionnent la confiance des parties prenantes, EssilorLuxottica a renforcé son dispositif de contrôle interne de durabilité. La révision du protocole de reporting, désormais structuré autour de sous-processus documentés et de contrôles clés, marque une étape essentielle pour garantir la qualité des informations publiées. En clarifiant les rôles et responsabilités via une matrice RACI, EssilorLuxottica consolide sa gouvernance et affirme son engagement à des standards élevés de conformité et d’intégrité.

Comment diffuser les attentes du contrôle interne de reporting de durabilité ?

Compte tenu du défi que représentait l'établissement des premiers rapports de durabilité en termes de calendrier, peu de canaux de communication spécifiques ont été mis en place pour le contrôle interne du reporting de durabilité. Cependant, des initiatives marquantes ont été observées en matière de communication et d'information, notamment : la sensibilisation des contributeurs du reporting de durabilité au contrôle interne : cela est essentiel car les attentes et les enjeux en termes de documentation et de qualité de la donnée ne sont pas toujours bien connus à ce jour. En effet, les acteurs concernés sont généralement éloignés de la sphère finance, pour laquelle il a fallu plusieurs années pour monter en maturité sur le contrôle interne. Une attention particulière doit alors être portée à l’acculturation au contrôle interne ;

la facilitation de la mission des vérificateurs de durabilité : pour répondre aux nouvelles exigences de vérification, de nombreuses entreprises ont choisi de mobiliser la fonction contrôle interne comme relais de la relation avec les vérificateurs de durabilité. Cette initiative permet de faciliter la réalisation des travaux – tant pour les fonctions auditées que pour les auditeurs. Mais elle a surtout pour bénéfice de capter directement auprès des contributeurs de l’information sur le processus de durabilité et de diffuser les attentes et exigences en termes de contrôle. A noter : Pour capitaliser sur les travaux des vérificateurs de durabilité, l’équipe contrôle interne peut : – anticiper les besoins d’informations des vérificateurs, notamment en termes de documentation ; – participer aux entretiens de revue de processus, cela permet, entre autres, de faciliter les échanges entre les auditeurs et les audités ; – accompagner les audits de sites ; – participer aux sessions de restitutions clés (comités de pilotage) ou encore aux interventions auprès de la gouvernance.

Témoignages des sociétés

Sopra Steria a mis en œuvre plusieurs initiatives pour structurer le contrôle interne de son reporting de durabilité. Le groupe a élaboré un protocole détaillé et des fiches KPI (« Key Performance Indicators ») pour structurer et suivre les indicateurs clés de performance. Une approche par les risques a été adoptée pour identifier et gérer les principaux risques liés au reporting. De plus, une revue approfondie du périmètre de reporting a été effectuée pour garantir l'exhaustivité et la pertinence des informations communiquées. Par ailleurs, la direction contrôle interne a également joué un rôle actif dans le processus d’élaboration de l’analyse de double matérialité et le suivi des travaux des auditeurs de durabilité, facilitant ainsi le déroulement de ceux-ci. Enfin, les chantiers pour 2025 ont été identifiés, incluant l’intégration de contrôles extra-financiers au référentiel de contrôle interne, une mission d’audit interne, ainsi que des travaux sur les cibles et les MDR (« Minimum Disclosure Requierements ») des informations qualitatives.

Comment piloter le contrôle interne de durabilité ?

Étant donné que le contrôle interne du reporting de durabilité est encore en cours de construction, le pilotage de celui-ci est tout juste naissant. Pour autant, afin d’apporter des éléments au comité d’audit, des premières bonnes pratiques ont été observées afin d’évaluer l’efficacité des pratiques en place : autoévaluation et « testing » des contrôles définis : quelques groupes ayant anticipé la démarche ont pu dès cette année déployer des activités de contrôle et lancer une campagne d’autoévaluation de celles-ci, capitalisant sur les pratiques historiques sur d’autres domaines. De rares entreprises ont d’ores et déjà pu intégrer quelques contrôles spécifiques à la CSRD dans leur campagne de « testing » de contrôle interne. Cela est à ce jour très marginal ; audit à blanc des données reportées : lorsque le calendrier le permettait, certains groupes ont effectué un audit à blanc des données soit sur la période précédente, soit sur une partie de l’année à reporter. Cette démarche facilite l’identification en amont de potentielles non-conformités et de problèmes de disponibilité/qualité de la donnée, permettant ainsi les corrections nécessaires et anticipant les travaux de vérification par le tiers habilité. Ainsi, les conclusions de ces travaux peuvent mettre en évidence des faiblesses de processus et alimenter l’analyse de risques du processus et la construction des activités de contrôle correspondantes ; A noter : Pour effectuer un audit à blanc des données, il convient de : – procéder à une sélection des données à tester (donnée, périmètre, entité) ; – définir les règles d’échantillonnage pertinentes (proportion, sélection, documentation collectée) ; – s’assurer d’un délai suffisant de correction des anomalies détectées et de renforcement des processus, en amont de la vérification par les tiers ; – faire preuve de pédagogie auprès des responsables de donnée sur la valeur ajoutée de la démarche ; – être attentif à ne pas créer des effets de saturation ou de surcharge pour les responsables de la donnée ; – en tirer les conclusions adéquates pour renforcer les activités de contrôle spécifiques afin que l’exercice apporte de la valeur dans le temps. intégration du contrôle interne du reporting de durabilité dans les lettres d’affirmation ou d’engagement : afin de responsabiliser le management sur la mise en œuvre effective du contrôle interne, certains groupes déploient annuellement une lettre d’affirmation ou d’engagement à signer par les dirigeants des entités. Cet outil clé en matière de responsabilisation est encore très répandu aujourd’hui. Dans les environnements où cette pratique est en place, l’intégration du volet reporting de durabilité a été naturellement une question soulevée, notamment en vue d’efficacement engager le management dans le dispositif. Cependant, seuls quelques groupes ont décidé de le faire dès la première année ; A noter : Points d’attention pour étendre les lettres d’affirmation/engagement au contrôle interne du reporting de durabilité : – veiller à fournir au management le cadre et les moyens de tenir les engagements demandés ; – le faire au bon moment au regard de la feuille de route du dispositif de contrôle interne du reporting de durabilité ; – aligner le niveau d’engagement aux lettres d’affirmation existantes (entités, branches ou métiers) et respecter le calendrier en place (majoritairement annuellement).

Quels enjeux de technologie et de digitalisation du processus du reporting CSRD ?

Comment les outils de reporting ont-ils été sécurisés cette année ?

Pour beaucoup de groupes, certaines données ESG à publier sont déjà portées par des systèmes d’information. Pour les outils contribuant également au reporting financier, par exemple les SI RH, ceux-ci font généralement historiquement l’objet de travaux de contrôle, interne et/ou externe. Cependant, de nombreux autres outils peuvent contribuer au reporting de durabilité, par exemple, les outils de suivi de projet, les outils de reporting HSE ou le système de suivi des formations. Pour ces derniers, la question de leur sécurisation a pour le moment globalement été peu traitée. En revanche, c’est un sujet que l’on observe grandissant en cette deuxième année de reporting CSRD, et certains groupes l’avaient déjà abordé en intégrant certains outils dans le périmètre de leurs travaux de sécurisation IT. Il s’agit notamment d’appliquer les contrôles ITCG (« Information Technology General Controls ») utilisés pour fiabiliser les processus informatisés. Les ITGC ont pour objectif de garantir que les systèmes informatiques : fonctionnent correctement et de manière sécurisée ;

protègent l'intégrité, la confidentialité et la disponibilité des données ;

soutiennent des processus de reporting de données fiables. Au regard de la cartographie actuelle des systèmes, le contrôle de l’intégrité des interfaces est un élément essentiel pour la sécurisation du reporting, certaines entreprises mettant en place des réconciliations des données issues des différents systèmes. A noter : Focus – Présentation des enjeux associés aux outils de reporting de données ESG : – gestion de la donnée : intégrité de la donnée lors de sa saisie ; – sources de données hétérogènes et usages multiples : potentielles variations de définition selon les systèmes et les utilisateurs ; – accès et connaissance des outils : multitudes d’utilisateurs avec un niveau de maîtrise varié, enjeu de turnover ; – multitude d’interfaces entre les différents outils : de la gestion des données au reporting et à la consolidation ; – disponibilité/continuité des outils : dépendance aux outils, notamment lors des dernières étapes de préparation du rapport avec une échéance immuable.

Des contrôles automatiques sont-ils intégrés aux outils de reporting de durabilité ?

Comme évoqué précédemment, la collecte et la consolidation des données s'appuie sur des processus et outils variés. Des outils de saisie directe peuvent être mis entre les mains des contributeurs, des interfaces peuvent avoir été créées entre des systèmes, et des systèmes de requêtes peuvent être utilisés pour récupérer des éléments quantitatifs ou qualitatifs. Des contrôles ont été parfois intégrés à ces différents outils, par exemple : des contrôles à la saisie, basés sur des seuils, des valeurs anormales, des variations, nécessitant une confirmation additionnelle afin de limiter les erreurs de saisie ;

l'obligation d'attacher des documents justificatifs pour faciliter une revue a posteriori ou une approbation ;

des workflows d'approbation des données saisies ;

des contrôles spécifiques sur les interfaces ;

des limitations sur les accès garantissant que seules les personnes habilitées peuvent saisir ou approuver des données. À ce stade, ces contrôles restent relativement marginaux, plutôt centrés sur le reporting des sites industriels pour les données de consommation ou les outils de consolidation du reporting ESG. Les bénéfices de la technologie pour sécuriser le processus de reporting de durabilité et gagner en efficacité sont sans nul doute reconnus par tous. Ainsi, l’automatisation du reporting de durabilité est très largement abordée au sein des entreprises, avec des calendriers de projets assez variables selon l’ambition donnée par le management. Intégrer « by design » les besoins en matière de contrôle dans ces projets est essentiel en termes d’efficacité du contrôle de la donnée. D’autre part, ces contrôles « by design » peuvent être complétés par une réflexion sur l'automatisation des contrôles détectifs qui peuvent être facilités par les outils de type GRC (voir n° 26), par exemple en utilisant les fonctionnalités de « workflow » de réalisation de contrôle. Le schéma ci-après montre l'importance de s’appuyer sur les systèmes pour rendre le dispositif de contrôle plus agile et pertinent. A noter : Le développement de l’intelligence artificielle offre également un potentiel considérable pour automatiser la réalisation de certains contrôles, notamment pour : – l’extraction intelligente de données à partir de sources hétérogènes ; – les contrôles de cohérence et de qualité pour détecter les anomalies ou incohérences ; – la détection de comportements à risque ou de non-conformité grâce à l’analyse des tendances historiques et la comparaison à des standards normatifs.

Témoignages des sociétés

Covea Pour cette première édition du rapport CSRD, Covea a choisi de s’appuyer sur les outils utilisés notamment pour la collecte et la consolidation des données financières et la production du rapport annuel. En effet, ces outils ont paru particulièrement adaptés à l’exercice car ils ont fait leurs preuves en matière de traçabilité et d’auditabilité des informations. Utilisés depuis de nombreuses années au sein du Groupe, ces outils sont déjà connus et maîtrisés de nombreux contributeurs au rapport ou, du moins, l’équipe projet a pu capitaliser sur des supports de formation et des MOA déjà robustes. Cela a permis de sécuriser et de fiabiliser le processus de reporting extra-financier, tout en appuyant la volonté du Groupe de connecter progressivement les dimensions financières et extra-financières.

La démarche de contrôle interne de durabilité est-elle aujourd’hui digitalisée ?

La plupart des entreprises ont mis en place des outils pour supporter le processus annuel de contrôle interne, s'appuyant en général sur un outil « GRC » (« Gouvernance, Risques et Conformité »), qui permettent de diffuser des référentiels de contrôle interne, de lancer des campagnes d'autoévaluation et éventuellement de documenter des campagnes de tests ou audits pour corroborer les autoévaluations, sans oublier la gestion des plans d'action. Sur ce volet, les retours d’expérience évoquent naturellement l’extension des outils digitaux de GRC à la durabilité. Cette extension permet des gains d’efficience évidents et facilite le reporting à la gouvernance en intégrant pleinement les dimensions de durabilité dans le dispositif global de contrôle interne de l’entreprise. A noter : L’extension des outils GRC au reporting de durabilité se fait principalement par : – l’utilisation des outils GRC pour les campagnes d’autoévaluation afin de faciliter leur déploiement, leur appropriation par les contributeurs et leur pilotage ; – l’utilisation des outils d’« Enterprise Risk Management » (ERM) en connectant les risques ESG reportés dans le rapport de durabilité aux risques suivis dans l’outil ERM afin de digitaliser la phase d’évaluation ; – l’utilisation des outils de GRC pour le suivi des actions de mitigation des risques (et impacts) ESG matériels pour faciliter le suivi des actions et politiques – reportées dans le cadre de l’état de durabilité – et piloter les progrès sur les enjeux de durabilité. Cela permet un suivi optimisé des impacts et risques ESG matériels et de leur contrôle.

Témoignages des sociétés

Sonepar a mis en place un outil GRC (« Gouvernance, Risques et Conformité ») commun à tous les domaines de la maîtrise des risques. Cet outil est aujourd'hui aussi utilisé pour réaliser l'analyse de double matérialité attendue par la CSRD. Ainsi, l'équipe Risque dispose d'une vision consolidée des actions en face des risques majeurs. Grâce à son système d'attribution des responsabilités, à son « workflow » de revue dédié et à une source unique d'information, il est possible de piloter de façon fluide et efficace le suivi des plans de remédiations/actions, qui, sur le volet ESG, doivent être publiées dans le rapport de durabilité. Par ailleurs, Sonepar déploie un outil de reporting ESG. Il permet le suivi des points de donnée définis par les ESRS matériels selon l'analyse de double matérialité. Différents niveaux de collecte ont été adoptés : pays, régions et groupe, et des contrôles de cohérence ont été intégrés. L'outil intègre également les données relatives aux émissions carbone et permet la génération automatique de tableaux et rapports. Ces deux outils permettent : de simplifier les processus d’analyse et de cartographie des risques ;

de centraliser le suivi des actions ESG dans un environnement unique ;

d’aligner les reportings ESG avec les exigences de la CSRD ;

de renforcer la cohérence entre les risques majeurs et les enjeux stratégiques ESG du groupe ;

de renforcer la traçabilité des analyses et de faciliter les contrôles. A noter : Remerciements PwC France et Maghreb et l’Institut français de l’audit et du contrôle interne (Ifaci) remercient une nouvelle fois la communauté des adhérents Ifaci pour leur mobilisation sur ces travaux. En particulier, nous souhaitons remercier les 23 participants aux ateliers, issus des entreprises suivantes, sans lesquels cette publication n’aurait pu être établie : Accor, Carrefour Mangement, Carrefour Banque, Covéa, Dassault Systèmes, EssilorLuxottica, Lagardère, Michelin, Parts Holding Europe, SNCF, Solvay, Sopra Steria, Sonepar, Synergie, TDF, Veolia Environnement, Viridien Group. Contacts : Caroline Nait-Merabet Associée Sustainability Risk & Regulatory Pwc France et Maghreb caroline.nait-merabet@pwc.com Charlotte Gabet Directrice Sustainability Risk & Regulatory Pwc France et Maghreb charlotte.gabet@pwc.com Séverine Dedreux Chef de projet communauté IFACI sdedreux@ifaci.com