Aujourd’hui, la performance des organisations ne se mesure plus seulement à l’aune de leurs résultats financiers. En effet, les parties prenantes des entreprises attendent d’elles qu’elles intègrent dans leur business model et dans l’information qu’elles publient, les critères ESG liés à l’environnement, à leur impact social et sociétal, ainsi qu’aux enjeux en matière de gouvernance.
Ces attentes sont confortées par les obligations réglementaires, qui imposent aux entreprises entrant dans le champ d’application de la loi, de produire une déclaration de performance extra-financière. Celle-ci était jusqu’à présent issue de la directive européenne sur le reporting extra-financier (NFRD, Non Financial reporting Directive). Dans le cadre de la transposition en droit français de la nouvelle directive européenne sur le reporting de durabilité (CSRD, Corporate Sustainablity reporting Directive) qui entrera en vigueur au 1er janvier 2025, les entreprises assujetties devront désormais communiquer de manière plus structurée et transparente sur leurs enjeux liés au développement durable, vers le marché et sous la responsabilité de leurs organes de gouvernance.
Ainsi, après avoir normé il y a de nombreuses années le reporting financier, le régulateur a défini un cadre normatif en matière de reporting extra-financier, lié aux enjeux environnementaux, sociaux et de gouvernance, avec un périmètre plus large et des exigences plus précises, qui constituent dès lors un nouveau défi à relever pour les entreprises.
Dans un contexte parfois caractérisé par des dérives marketing de « greenwashing », les entreprises sont particulièrement attendues « au tournant ». Plus que jamais, l’information mise à disposition dans le cadre du reporting extra-financier doit être fiable, claire et de qualité. Or, la spécificité de cette information est qu’elle s’appuie sur des données très diverses, provenant de processus et systèmes d’information disséminés dans l’entreprise, et en lien avec une communauté très large de contributeurs afin de couvrir l’ensemble des thématiques (E/S/G).
Pour relever le défi de la qualité et la fiabilité du reporting, il convient donc d’anticiper la structuration d’un dispositif de contrôle interne robuste, qui va permettre, à chaque niveau de l’entreprise et pour chaque domaine du reporting, la maîtrise de la production, de la consolidation des données ainsi que la communication du reporting.
A ce titre, il peut être intéressant de tirer les leçons du passé et de s’appuyer sur les expériences vécues dans le cadre de la structuration des dispositifs de contrôle interne liés au reporting financier (rattachés à la loi de sécurité financière ou à celle de Sarbanes-Oxley). Il n’est d’ailleurs pas rare que les dispositifs et référentiels de contrôle interne déjà existants couvrent les processus relatifs à la production de l’information extra-financière.
L’une des clés sera donc de capitaliser sur cet existant en matière de contrôle, tout en identifiant les zones de risques non couvertes et en renforçant les dispositifs de maîtrise associés, aussi bien au 1er qu’au 2nd niveau. A cette fin, il convient de mettre en œuvre une démarche structurée, visant à identifier clairement les données et leur source, et à sensibiliser l’ensemble des propriétaires de ces données, au premier rang desquels se trouvent les opérationnels, sur leur responsabilité au regard de la qualité de ces informations.
Dans un second temps, il convient d’assurer que les processus de remontée et de consolidation des indicateurs sont eux-mêmes maîtrisés, avec une identification claire des rôles et des responsabilités, associée aux outils utilisés.
Pour ce faire, le responsable de la production du reporting extra-financier et les propriétaires des données ne sont pas seuls : les directions des risques et du contrôle interne, en lien avec les fonctions RSE et conformité, sont des acteurs incontournables de l’identification des risques sous-jacents et du renforcement des contrôles clés. Ils permettent au 1er et au 2nd niveau de contribuer, d’une part, à la qualité et la fiabilité des données, et d’autre part, à l’efficacité et la maîtrise du processus de production de l’information. Au final, le contrôle interne pourra ainsi embarquer dans son référentiel les contrôles concourant à la fiabilité des informations extra-financières, tout en ayant fait bénéficier de son savoir-faire et de ses expériences acquises sur l’information financière.
Au-delà de ces acteurs internes, il convient de prendre en considération le rôle de l’OTI (Organisme Tiers Indépendant) en charge du contrôle de la Déclaration de Performance Extra-Financière. A travers ses travaux, il permet de mettre en lumière les éventuelles faiblesses de contrôle interne et d’émettre des recommandations, mais cela n’exonère par l’entreprise de mettre en œuvre son propre dispositif de contrôle. En revanche, la mise en place de ce dispositif, structuré et robuste, devra permettre à l’OTI de réaliser une revue plus pertinente du reporting, et ainsi apporter d’avantage d’assurance à l’organisation et ses parties prenantes. Enfin, en tant qu’interlocuteurs privilégiés des organes de gouvernance, les acteurs majeurs des lignes de maîtrise que sont, en interne, la gestion des risques, le contrôle interne et l’audit interne, mais également l’OTI en externe, vont jouer un rôle crucial pour permettre aux comités de gouvernance, et en particulier au comité d’audit, d’exercer leur rôle de surveillance sur le reporting extra-financier, ce qui représente l’une des évolutions majeures en termes de responsabilité, liées à la CSRD.
Pour faire face à tous ces enjeux, le département Gouvernance Risques Contrôles de Grant Thornton s’inscrit pleinement dans cette approche. Nos équipes accompagnent leurs clients pour faire face à ces évolutions, leur permettant de saisir l’opportunité de redonner du sens au contrôle interne en participant activement à l’atteinte des objectifs ESG et de contribuer, au-delà de la performance de l’entreprise, à une performance globale et durable.
