« Le rôle de l’audit interne sera absolument clé pour sécuriser les engagements de l’entreprise »

Caroline Nait-Merabet, Partner PWC

Avec la nouvelle directive européenne - la CSRD¹ - sur le reporting ESG, PWC a réalisé en 2022 une étude² avec la chaire Audencia auprès d’une quinzaine d’entreprises, dont 80% étaient déjà soumises à la DPEF³. Caroline Nait-Merabet, Partner PWC, est revenue pour l’IFACI sur les enseignements de cette enquête, qui soulignent les difficultés auxquelles les entreprises vont devoir faire face. Mais aussi sur quel sera le rôle, selon elle, des auditeurs et contrôleurs internes face à ces nouvelles obligations.

Comment percevez-vous les nouvelles obligations à venir en matière de reporting ESG ?

Caroline Nait-Merabet : Je dirais qu’il y a deux réponses un peu paradoxales à cette question. La première, sur le fond, c’est que ces textes font beaucoup de sens et apportent de la valeur en cherchant à transformer l’économie pour en faire une économie plus durable. C’est une démarche nécessaire et urgente. Et je la trouve très pertinente. Avoir une approche par les risques, et notamment telle qu’elle est demandée par la CSRD¹ - considérant les risques pour l’entreprise, mais aussi les risques que l’entreprise fait peser sur son environnement et sur ses parties prenantes – fait complètement sens.

Ensuite, quand on en arrive dans les faits à l’application, c’est forcément un peu plus compliqué. Et je comprends que pour les entreprises ce soit très significatif, car ces textes sont très exigeants et nécessitent des changements profonds. L’urgence de la situation nécessite ces bouleversements. Cependant, encore une fois, dans les faits et de manière opérationnelle, ces changements sont forcément très compliqués et coûteux pour les entreprises. Je comprends celles qui sont réticentes face à cette nouvelle vague réglementaire.

« La transparence de l’information est un point primordial et incontournable »

Le planning de mise en œuvre de ces mesures vous paraît-il réaliste ?

C.N-M. : Le sujet n’est pas tabou. La Commission Européenne est consciente que la barre a été placée très haut. C’est comme pour la taxonomie, où le calendrier a été adapté pour limiter la première année à l’éligibilité et ne requérir l'alignement qu'à partir de la deuxième année, parce que la marche était beaucoup trop haute. Sur la CSRD¹, il y a un étalement de la mise en œuvre en fonction du profil des entreprises. Mais je pense qu’il est tout même admis que le reporting 2025 sur l’année 2024 ne sera pas « à l’état de l’art ». Dans la dernière version du texte, il y a certains volets plus spécifiques qui ont été signalés comme faisant l’objet d’une période transitoire. Je pense à la chaîne de valeur, notamment. Il est clair que l’on ne sera pas à l’objectif en année une. 

En revanche, il y a bien un enjeu à « dire ce que l’on fait », c’est l’esprit du texte. Il sera surtout important pour les entreprises de démontrer qu’elles ont compris l’objectif, d’expliquer ce qu’elles ont fait, ce qu’elles n’ont pas encore couvert et comment elles vont le couvrir. La transparence de l’information est un point primordial et incontournable.

PWC a réalisé, avec la chaire Audencia, une étude auprès d’une quinzaine d’entreprises en 2022². La conclusion de cette étude était qu’elles sont globalement peu préparées à leurs futures obligations. Quelles sont les principales difficultés, selon vous ?

C.N-M. : L’étude se concentre sur le contrôle interne du reporting de durabilité, qui n’est que l’un des éléments requis par la CSRD. L’une des principales difficultés est justement, comme nous l’évoquions, que beaucoup de changements vont arriver dans un calendrier très court. Il va y avoir un besoin de priorisation et nos fonctions vont avoir un rôle clé à jouer pour aider à déterminer les priorités justement. Le domaine de la responsabilité sociétale des entreprises est extrêmement large et tout ne pourra pas être adressé avec le même niveau de profondeur et au même moment.

L’une des principales difficultés va être le niveau de maturité du reporting RSE au sein des entreprises. Aujourd’hui, nous avons des systèmes d’information et des données qui sont à un niveau de maturité très loin de la cible. Il y a une grande marche à franchir. C’est d’ailleurs la réaction que nous avons eue lors de la conférence de l’IFACI, avec une prise de conscience des participants sur le fait que les textes exigent d’amener l’information RSE au niveau de l’information financière, y compris en matière de contrôle interne. Et nous en sommes très loin.

Pour vous, quel va être le rôle de l’audit interne (et les nouvelles responsabilités du comité d’audit) face à ces nouvelles obligations ?

C.N-M. : Le comité d’audit a un rôle central selon la CSRD¹, puisqu’il a une nouvelle responsabilité en ce qui concerne la qualité du reporting de durabilité de demain. Les administrateurs, qui comprennent ce que cela implique, devront challenger le management sur ce processus de reporting, sur sa qualité et sur son contrôle. 

Et puisqu’il s’agit de fiabiliser le processus, les auditeurs internes vont forcément avoir un rôle clé pour s’assurer de la validité de ce qui est mis en place avant que l’audit externe n’intervienne. Il y a point important à souligner, que probablement peu d’administrateurs et sans doute pas assez de directions d’audit et de contrôle internes ont en tête : aujourd’hui, le comité d’audit, pour valider des états financiers, s’appuie grandement sur l’audit effectué par les commissaires aux comptes, qui est un audit « d’assurance raisonnable ». Pendant un laps de temps d’au moins quatre ans, de 2025 à 2029, le comité d’audit devra valider le reporting de durabilité en ne pouvant se reposer que sur une assurance modérée de la part de l’auditeur externe, ce qui représente des travaux plus limités. Par conséquent, cela implique que les autres acteurs vers qui il pourra se tourner pour avoir un peu de confort afin de valider le reporting de durabilité, seront : le management, l’audit et le contrôle internes. Durant cette période,  ils devront répondre à tout ce qui n’est pas couvert par l’audit externe. Il y aura donc d’autant plus un rôle clé à jouer par l’audit et le contrôle internes pendant les premières années. Et même avec un audit externe plus poussé (“en assurance raisonnable”), l’entreprise est censée avoir sécurisé ses données et son processus de reporting avant de les faire certifier.

« Je ne suis pas sûre qu’il n’y ait qu’un modèle pertinent d’organisation »

Quelles vont être les principales compétences qu’il va falloir développer dans l’entreprise, les nouveaux métiers ?

C.N-M. : Il y a forcément la nécessité de s’approprier toutes ces nouvelles exigences règlementaires et surtout la technicité de la matière que l’on observe. Sur la matière “extra-financière”, il existe de nombreux référentiels et cadres scientifiques pas toujours faciles à appréhender (GRI, SBTI, etc.) Pour prendre l’exemple du carbone, ce n’est pas tout à fait la même chose lorsque l’on parle d’émission et lorsque l’on parle d’euros. Cela exige des compétences spécifiques et sans doute de nouveaux métiers. Nous l’évoquons d’ailleurs dans l’étude². Il y a sûrement un sujet autour du rôle de la finance et de compétences hybrides. On voit se développer des postes de « Chief sustainable finance officer ». Delphine Gibassier, de la chaire Audencia, parle quant à elle beaucoup de « Chief value officer » au lieu de « Chief financial officer ». On voit bien qu’il y a tout un enjeu de suivi de la performance d’une entreprise, non plus seulement sur le plan financier mais sur un plan plus global. Il y aura sûrement beaucoup d’évolutions à venir mais on voit que les entreprises se cherchent encore. Je ne suis pas sûre qu’il n’y ait qu’un modèle pertinent d’organisation. Tout dépend du secteur d’activité, du profil de l’entreprise et des personnes qui sont aujourd’hui en charge dans les différentes fonctions. 

La qualité de la donnée semble devoir être la clé pour réaliser de futurs rapports de développement durable conformes. Là encore, les entreprises sont-elles prêtes et comment vont-elles devoir se préparer ?

C.N-M. : Il y a en effet un grand enjeu IT et systèmes d’information pour fiabiliser la donnée. 

Et force est de constater que les fonctions RSE qui sont majoritairement jusqu’à présent en charge du reporting RSE ne sont pas très sensibles au besoin de fiabilité. C’est une chose que nous avons constaté au cours de l’étude : il y a un véritable enjeu à leur faire prendre conscience du niveau cible de la qualité à atteindre pour ce nouveau reporting.

D’autre part, pour beaucoup d’entreprises qui initient des projets IT en lien avec leur reporting RSE, la question est non seulement celle de la fiabilité, mais aussi celle de la disponibilité. Parce que lorsque ces sujets deviennent des éléments de performance à partir desquels vous voulez piloter votre impact, il ne suffit plus de regarder en avril les données de l’année passée. Ce n’est pas la temporalité qui est attendue.

« Il y a un vrai risque de réputation au-delà du risque de conformité »

À nouvelles obligations, nouveaux risques ? 

C.N-M. : Même les auditeurs qui n’auraient pas d’appétence pour les sujets RSE vont devoir accompagner l’entreprise dans sa mise en conformité, comme pour tout autre dispositif réglementaire. Il faudra s’assurer que la bonne veille a été mise en place, avec la bonne organisation, que la conformité est bien contrôlée et bien pilotée. On parle d’un reporting qui est de plus en plus stratégique, d’engagements de plus en plus forts. Et en cela aussi, pour sécuriser ces engagements, le rôle de l’audit interne est absolument clé. Les entreprises ne peuvent pas se permettre d’afficher des résultats qui dans un an pourraient s’avérer contredits. Il y a donc un vrai risque de réputation au-delà du risque de conformité.

Et pour vous, auditeurs externes, quels sont les impacts ? Ces nouvelles missions entraînent-elles des changements d’organisation, d’intégrer de nouvelles compétences ?

C.N-M. : Cela impacte en effet notre métier d’auditeur externe également, et c’est le cas pour toute la profession. Toutes les réponses ne sont pas encore données mais on se rapprochera certainement de ce que l’on connaît aujourd’hui pour l’audit financier. En l’occurrence, la norme d’audit est en cours d’élaboration et nous avons encore beaucoup de questionnements. Il y a un vrai challenge en ce qui concerne l’audit externe sur le plan méthodologique, pour à la fois s’appuyer sur ce que l‘on connaît en matière d’audit financier, mais aussi pour l’adapter à cette matière qui est tout de même très différente. Il y a un enjeu de régulation de la profession, de normalisation et de standardisation, et évidemment en termes d’adaptation, d’équipes, d’approche… Et nous n’en sommes encore qu’au début.

¹ CSRD : Corporate Sustainability Reporting Directive, publiée en avril 2021. Elle va remplacer la Non Financial Reporting Directive (NFRD).

² À télécharger ici

³ DPEF : Déclaration de Performance Extra-Financière