Table des matières

1. Cadre réglementaire et exigences d'assurance 2. Architecture de l'ESRS G1 et points de données 3. Procédures d'assurance pour les politiques anticorruption 4. Exemple pratique complet 5. Liste de contrôle opérationnelle 6. Erreurs courantes 7. Ressources connexes

Cadre réglementaire et exigences d'assurance

Ce qui échoue d'abord : l'ambiguïté sur le prestataire d'assurance

Dans les dossiers que nous voyons, le premier écueil n'est pas technique. Il est contractuel. Le client signe une mission CSRD avec un prestataire d'assurance distinct de l'auditeur légal, sans préciser qui assume les points G1-4 qui touchent aussi aux états financiers audités. Résultat : double travail sur les paiements gouvernementaux, et des conclusions parfois divergentes sur la même ligne de compte.

L'article 19a de la CSRD impose aux grandes entreprises (dépassant deux des trois seuils de 250 salariés, 20 M EUR de total du bilan et 40 M EUR de chiffre d'affaires net) de déclarer selon tous les ESRS applicables pour les exercices débutant à compter du 1er janvier 2025. L'ESRS G1 couvre trois domaines de gouvernance : pratiques anticorruption, paiements aux gouvernements et engagement politique.

L'assurance limitée est obligatoire dès la première année. Contrairement aux informations environnementales, où l'assurance raisonnable n'est requise qu'à partir de 2028, les informations de gouvernance restent sous assurance limitée pendant toute la période de transition. Le prestataire peut être l'auditeur légal ou un prestataire d'assurance indépendant selon l'article 34 de la directive comptable.

Ce qui se passe vraiment dans le mandat. La théorie dit que le choix du prestataire appartient à l'entreprise. En pratique, chez nos clients mid-market, le commissaire aux comptes est choisi par défaut parce que personne d'autre ne connaît les retraitements IFRS sous-jacents aux paiements gouvernementaux. L'H3C surveille cette décision de près depuis 2024 : si vous faites l'audit légal ET l'assurance CSRD, les exigences de rotation et d'indépendance s'appliquent au périmètre consolidé.

Calendrier de mise en œuvre par vagues

Première vague (2025) : grandes entreprises d'intérêt public déjà soumises à la NFRD Deuxième vague (2026) : toutes les grandes entreprises non encore couvertes Troisième vague (2027) : PME cotées (avec possibilité de report à 2028)

Chaque vague déclenche l'obligation d'assurance limitée pour l'ESRS G1. Les entreprises ne peuvent pas choisir de ne pas déclarer sous prétexte de non-matérialité. L'ESRS G1.1 précise que les pratiques anticorruption sont "toujours matérielles" indépendamment de l'évaluation de double matérialité.

Niveau d'assurance et normes applicables

L'assurance limitée sur l'ESRS G1 suit les principes de l'ISAE 3000 (révisée) pour les missions d'assurance autres que l'audit ou l'examen limité d'informations financières historiques. Le niveau d'assurance limitée signifie que vous exprimez une conclusion sous forme négative : "Rien n'est porté à notre attention qui nous amène à croire que les informations ESRS G1 ne sont pas préparées, dans tous leurs aspects significatifs, conformément aux critères applicables."

L'ISAE 3000.37 exige d'obtenir une assurance limitée que l'information objet de la mission est exempte d'anomalies significatives. Pour l'ESRS G1, cela implique trois axes de vérification : l'exhaustivité des politiques déclarées, l'exactitude des métriques quantitatives, l'efficacité opérationnelle des mesures mises en place, et la cohérence avec la documentation d'audit légal sous-jacente.

Architecture de l'ESRS G1 et points de données

Les trois piliers obligatoires

L'ESRS G1 structure les exigences de divulgation autour de trois piliers interconnectés. Chaque pilier contient des points de données spécifiques que l'entreprise doit déclarer et que vous devez examiner.

G1-1 — politiques relatives aux pratiques anticorruption. L'ESRS G1.15 exige que l'entreprise divulgue ses politiques anticorruption couvrant au minimum la corruption active et passive, les facilitation payments, les cadeaux et avantages, les conflits d'intérêts et le lobbying. L'entreprise doit également décrire les modalités d'application de ces politiques aux partenaires commerciaux, fournisseurs et autres relations d'affaires selon l'ESRS G1.16.

G1-4 — paiements aux gouvernements par pays et par projet. Cette divulgation suit les exigences de transparence extractive inspirées de la directive comptable 2013/34/UE modifiée. L'entreprise doit déclarer tous les paiements supérieurs à 100 000 EUR par année civile et par gouvernement, ventilés par type de paiement (impôts sur la production, redevances, frais de licence, paiements d'infrastructure) et par projet selon l'ESRS G1.45.

G1-5 — engagement politique et activités de lobbying. L'ESRS G1.52 couvre les contributions politiques directes et indirectes, l'adhésion aux associations de lobbying et les dépenses de représentation d'intérêts. L'entreprise doit quantifier les montants versés et décrire les processus de supervision de ces activités.

Points de données quantitatifs vs qualitatifs

L'ESRS G1 mélange des exigences narratives (description des politiques) et des métriques quantitatives (montants des paiements gouvernementaux, contributions politiques). Cette dualité complique l'assurance : vous adaptez vos procédures selon la nature de l'information.

Pour les données quantitatives comme les paiements gouvernementaux, nous appliquons des procédures analogues à l'audit financier : rapprochement avec les registres comptables, confirmation externe, examen des pièces justificatives. L'ESRS G1.47 exige une réconciliation avec les états financiers audités.

Pour les données qualitatives comme les descriptions de politiques, nous vérifions la cohérence interne des déclarations, l'exactitude des références aux documents sources et l'alignement avec les pratiques observées pendant la mission d'audit légal. C'est là que la tentation du tampon est la plus forte : un confrère obtient le PDF signé, classe la politique en "couverte" et passe à la ligne suivante. Le fichier existe, la case est cochée, personne ne lit.

Désaccord légitime entre praticiens. Sur la frontière qualitatif-quantitatif, deux positions raisonnables s'affrontent dans notre cabinet. Partenaire A soutient que le montant des cotisations à des fédérations professionnelles (G1-5) est purement quantitatif et ne nécessite qu'un rapprochement comptable. Partenaire B répond que la nature politique de l'association qualifie la donnée : verser 8 000 EUR à WindEurope n'a pas la même lecture que 8 000 EUR à la Fédération des équipementiers, parce que la première fait du lobbying actif à Bruxelles. Les deux positions se défendent, mais la seconde est plus prudente face aux attentes de l'EFRAG sur la traçabilité du lobbying indirect.

Procédures d'assurance pour les politiques anticorruption

Ce qui se passe sur le terrain avant la procédure

Commençons par l'échec typique. Le collaborateur junior demande le code de conduite, reçoit un PDF de 45 pages, coche "politique anticorruption existe" et referme le dossier. Six mois plus tard, l'H3C lors d'une revue qualité demande comment la politique traite les facilitation payments à l'export. Réponse : la section 4.2 mentionne "toute forme de corruption", sans définir les paiements de facilitation. Le dossier est trop léger, et c'est à ce moment que commence la vraie conversation avec la direction.

Évaluation de l'exhaustivité des politiques

L'ESRS G1.15 liste six domaines obligatoires que les politiques anticorruption doivent couvrir. Votre travail consiste à vérifier que chaque domaine est effectivement traité dans les documents de politique interne de l'entreprise.

Obtenez tous les documents de politique pertinents : code de conduite, procédures anticorruption, politiques achats, manuel de contrôle interne, chartes d'audit interne. Mappez chaque exigence ESRS G1.15 avec les sections correspondantes des documents internes. L'absence d'une politique écrite dans un domaine obligatoire constitue une anomalie significative.

Attention aux politiques génériques qui mentionnent la "corruption" sans définir les comportements interdits. L'ESRS G1.16 exige des politiques spécifiques pour chaque domaine. Une clause générale "nous respectons toutes les lois applicables" ne satisfait pas cette exigence.

Notre avis : une politique qui ne nomme pas les facilitation payments ne couvre pas les facilitation payments, parce que l'entreprise qui opère en Roumanie, au Maghreb ou en Afrique subsaharienne est structurellement exposée à ce risque, et une formulation générique permet aux équipes locales d'interpréter la règle comme elles l'entendent. C'est précisément la perversité structurelle de l'ESRS G1 : plus la politique est générale, plus elle est facile à rédiger, et plus elle est difficile à contester. Les entreprises qui veulent minimiser leur exposition rédigent vague.

Test de l'efficacité opérationnelle

L'assurance limitée va au-delà de l'existence formelle des politiques. Vous devez obtenir une assurance que les mesures déclarées fonctionnent en pratique. L'ISAE 3000.A125 indique que les procédures d'assurance limitée incluent l'observation, l'inspection et les demandes de renseignements.

Examinez les formations anticorruption dispensées pendant l'exercice. Vérifiez que les collaborateurs en contact avec des tiers à risque (achats, commercial, relations gouvernementales) ont suivi des formations spécifiques. Testez la traçabilité : de la politique écrite aux modules de formation, des formations aux attestations individuelles.

Inspectez les évaluations de due diligence des partenaires commerciaux. L'ESRS G1.17 exige que l'entreprise décrive comment elle évalue les risques de corruption chez ses partenaires. Sélectionnez un échantillon de nouveaux partenaires significatifs et vérifiez que l'évaluation documentée correspond aux procédures déclarées. Attention au scoring de risque fait au doigt mouillé : si le seuil de vigilance renforcée est fixé à "pays à risque élevé" sans référence à un index externe (Transparency International, Basel AML), le test d'efficacité opérationnelle tombe.

Traitement des filiales et coentreprises

L'ESRS G1.3 précise que les divulgations couvrent l'entreprise mère et ses filiales consolidées. Pour les coentreprises et entreprises associées, l'entreprise doit décrire sa stratégie d'influence sur leurs pratiques anticorruption.

Cette exigence crée des défis d'assurance spécifiques. Vous ne pouvez pas auditer directement les contrôles internes d'une coentreprise à 50 %. Concentrez-vous sur les actions que l'entreprise déclare avoir menées : clauses contractuelles anticorruption, formations proposées aux coentreprises, processus de monitoring des incidents signalés.

Documentez les limitations de votre examen. Si l'entreprise détient 30 % d'une coentreprise stratégique mais déclare "influencer activement ses pratiques anticorruption", demandez les preuves concrètes de cette influence. L'absence de documentation constitue un élément probant insuffisant sous ISAE 3000.61. Je l'avoue : sur nos premières missions CSRD, nous avons accepté des déclarations générales de "monitoring trimestriel" sans demander les comptes rendus. L'H3C ne le fera plus.

Exemple pratique complet

Contexte : Dubois Énergie S.A.

Dubois Énergie S.A., groupe français d'équipements énergétiques basé à Lyon, réalise 180 M EUR de chiffre d'affaires avec 1 200 collaborateurs. L'entreprise opère en France, Allemagne et Roumanie via trois filiales à 100 %. Elle détient également 40 % d'une coentreprise en Pologne spécialisée dans l'éolien offshore. Premier exercice de déclaration CSRD : 2025.

Note de documentation : entreprise soumise aux obligations CSRD première vague, déclaration ESRS G1 obligatoire avec assurance limitée.

identification des politiques anticorruption

L'entreprise déclare appliquer un "Code de conduite groupe" de 45 pages adopté en 2022, complété par une "Procédure anticorruption" de 12 pages mise à jour en janvier 2024. Vous obtenez les deux documents et vérifiez la couverture des six domaines ESRS G1.15.

Note de documentation : mappage ESRS G1.15 réalisé, tous les domaines couverts formellement dans les documents internes.

test de l'efficacité opérationnelle

Vous sélectionnez les cinq plus gros fournisseurs 2024 (représentant 35 % des achats totaux) et vérifiez que leur évaluation anticorruption suit la procédure déclarée. Quatre sur cinq disposent d'un dossier de due diligence conforme. Le cinquième, un sous-traitant roumain à 2,4 M EUR, présente un dossier incomplet : attestation anticorruption manquante, pas de vérification des sanctions internationales.

Note de documentation : anomalie identifiée sur 1 fournisseur sur 5 testés. Impact potentiel sur l'efficacité des procédures déclarées.

complication de l'exemple

La direction financière annonce en milieu de mission qu'elle a découvert, lors d'un audit interne post-clôture, un paiement de 85 000 EUR à un intermédiaire roumain classé en "frais de conseil stratégique" mais dont le contrat n'existe pas au dossier. Le montant est inférieur au seuil G1-4 (100 000 EUR) mais la nature du paiement et l'absence de pièce justificative déclenchent un signal rouge.

Que faire ? Le paiement n'entre pas dans le périmètre déclaratif G1-4. Mais il contredit la politique anticorruption que Dubois déclare appliquer. Notre position : l'absence d'anomalie sur G1-4 ne libère pas l'auditeur de son jugement sur G1-1. Nous avons étendu les procédures à l'examen des "frais de conseil" supérieurs à 50 000 EUR sur les 18 derniers mois. Deux autres paiements présentent les mêmes caractéristiques. La conclusion d'assurance limitée a été émise avec une observation sur la gouvernance des paiements à des tiers.

vérification des paiements gouvernementaux

L'entreprise déclare 340 000 EUR de paiements gouvernementaux au titre de G1-4 : 280 000 EUR de taxes locales en Allemagne et 60 000 EUR de frais de licence environnementale en Roumanie. Vous rapprochez ces montants avec les états financiers audités 2024.

Les 280 000 EUR correspondent aux "Autres impôts et taxes" du compte de résultat allemand. Les 60 000 EUR se retrouvent dans les "Frais réglementaires" de la filiale roumaine. Cohérence confirmée.

Note de documentation : paiements gouvernementaux réconciliés avec les comptes audités, exactitude vérifiée.

engagement politique et lobbying

L'entreprise déclare "aucune contribution politique directe" et appartient à deux associations professionnelles : Syndicat des Énergies Renouvelables (cotisation 15 000 EUR/an) et WindEurope (cotisation 8 000 EUR/an). Ces associations pratiquent le lobbying mais l'entreprise n'a pas de représentant désigné dans leurs activités de plaidoyer.

Vous vérifiez les comptes 2024 : les cotisations apparaissent en "Frais d'adhésion" et correspondent aux montants déclarés. L'entreprise a correctement appliqué l'exception de l'ESRS G1.56 pour les adhésions passives.

Note de documentation : engagement politique limité aux adhésions professionnelles, traitement ESRS G1.56 approprié.

Conclusion de l'évaluation

Dubois Énergie présente un cadre anticorruption formellement robuste avec deux lacunes opérationnelles identifiées (due diligence fournisseur incomplète sur 1 cas sur 5 et formation technique insuffisante pour 45 personnes concernées) et une observation sur la gouvernance des paiements à des tiers déclenchée par la complication de l'étape 3. Ces écarts ne compromettent pas la conclusion d'assurance limitée mais méritent d'être portés à l'attention de la direction.

Liste de contrôle opérationnelle

Utilisez cette liste sur votre prochaine mission ESRS G1 :

1. Vérifiez l'exhaustivité des politiques : mappez chaque exigence ESRS G1.15 avec les documents internes. L'absence d'une politique écrite dans un domaine obligatoire égale une anomalie significative.

2. Testez l'efficacité opérationnelle : sélectionnez 3-5 nouveaux partenaires commerciaux significatifs et vérifiez que leur évaluation suit les procédures déclarées selon l'ESRS G1.17.

3. Rapprochez les paiements gouvernementaux : tous les montants ESRS G1-4 doivent être réconciliés avec les états financiers audités selon l'ESRS G1.47. Aucune exception.

4. Évaluez la couverture des formations : si l'entreprise déclare former "tous les collaborateurs exposés", testez par échantillonnage que les populations à risque identifiées ont reçu la formation appropriée.

5. Documentez les limitations : pour les coentreprises et entreprises associées, précisez ce que vous avez pu examiner directement versus les déclarations non vérifiables de l'entreprise.

6. Le point le plus important : l'ESRS G1.1 rend les pratiques anticorruption "toujours matérielles". Une entreprise ne peut pas invoquer la non-matérialité pour éviter ces divulgations. Vérifiez que la déclaration couvre tous les points obligatoires.

Erreurs courantes

Ressources connexes

- Glossaire CSRD : Double matérialité — comment évaluer la matérialité d'impact et financière pour les questions de gouvernance - Calculateur de seuils CSRD — déterminez rapidement si votre client est soumis aux obligations de déclaration CSRD - Guide ESRS E1 : Changement climatique — structure d'assurance similaire appliquée aux informations environnementales

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.