On ne peut piloter que ce que l’on peut mesurer. Développement d’indicateurs, meilleure disponibilité et fiabilité des données, plus grande finesse d’analyse : au cœur du suivi des engagements RSE des entreprises, le besoin ne cesse de grandir de disposer d’informations extra-financières de qualité.
Le moment est bien choisi pour fiabiliser les systèmes d’information impliqués dans le reporting de durabilité. Le calendrier de mise en œuvre de la CSRD fait de 2023 une année charnière permettant aux entreprises concernées de se préparer à répondre aux nouvelles exigences. Aux côtés notamment de la direction des systèmes d’information, les équipes de contrôle interne ont un rôle à jouer pour fiabiliser les outils.
Dans leur étude conjointe sur le reporting RSE, la Chaire Performance globale multi-capitaux d’Audencia, l’Institut français de l’Audit et du Contrôle internes (IFACI) et PwC France et Maghreb invitent la fonction contrôle interne à :
cartographier les nombreux outils et systèmes utilisés dans le reporting de durabilité ;
les sécuriser afin de renforcer le niveau de contrôle interne ;
mettre en place un contrôle by design qui intègre une analyse des risques et des besoins de contrôle dès la conception des solutions.
Lire l’intégralité de l’étude : Reporting RSE, les nouvelles obligations de contrôle interne. Décryptage et bonnes pratiques pour vous préparer aux obligations de reporting extra-financier (CSRD)
En l’absence de normalisation et du fait de l’étendue du domaine extra-financier, les données du reporting de durabilité sont très hétérogènes : sources, unités de mesure, disponibilité, modes de calcul…
Par exemple, des données environnementales peuvent regrouper des mesures de consommation d’eau et d’énergie, d’émission de pollution, d’impacts sur la biodiversité ou d’accès aux ressources. Dans le champ social, les informations sont liées aux effectifs (rémunération, mobilité, accidentologie, turnover, formation) mais aussi aux parties prenantes externes, comme les fournisseurs. En termes de gouvernance enfin, les données contractuelles ou de conformité côtoient les informations sur la formation et la sensibilisation des collaborateurs, fournisseurs, etc. Peu de données se ressemblent, aucune ne vient d’une source unique.
Lire aussi : Danone et la comptabilité multi-capitaux : retour d’expérience
Développés au fur et à mesure des besoins de reporting et des demandes des utilisateurs, les outils informatiques historiques sont eux aussi très hétéroclites. Certains servent à collecter les données et indicateurs extra-financiers, d’autres à les mesurer ou à les calculer.
Sans système d’information intégré, le reporting de durabilité est même encore parfois en partie manuel, sur tableur. L’enjeu consiste à composer avec des outils plus ou moins anciens, plus ou moins complets, et à les interfacer pour automatiser l’exploitation et la remontée de l’information extra-financière.
Parmi les organisations participant à l’étude, certaines ont commencé à connecter au maximum les systèmes existants pour produire des tableaux de bord. Des projets pour déployer des solutions de mesure, visualisation, business intelligence ou big data sont à l’étude. L’objectif est d’automatiser pour réduire le temps passé à produire le reporting de durabilité, disposer d’une information précise et fiable en continu, et faciliter le pilotage et la génération de rapports.
Lire aussi : Comment identifier l'outil de reporting de durabilité le plus adapté ?
Cette complexité expose les systèmes d’information utilisés pour le reporting de durabilité à toute une série de risques : intégrité de la donnée, indisponibilité, défaut de qualité, manipulation de la donnée, et plus largement perte d’efficacité. Pour maîtriser ces risques et mettre en place les activités de contrôles adéquates qui garantissent l’efficience du dispositif, les équipes de contrôle interne doivent comprendre comment s’organise la remontée d’information et déceler où se nichent les vulnérabilités.
Il est par ailleurs nécessaire d’intégrer les systèmes d’information utilisés pour le reporting de durabilité dans le périmètre de revue des contrôles généraux informatiques, que ce soit par le contrôle interne, ou par les auditeurs internes et externes.
Lire aussi : Des solutions IT au secours de la gestion des données ESG
Le contrôle interne est bien placé pour clarifier l’organisation des systèmes complexes et les flux traitant de l’information de durabilité. Les entreprises interrogées dans le cadre de l’étude indiquent comme priorité d’identifier les systèmes et les flux de données, de connaître les paramètres d’extraction et de comprendre les règles de calcul intégrées. Cette cartographie détaillée permet de repérer les vulnérabilités et sources de risques des systèmes d’information.
Sur la base des risques identifiés, le contrôle interne doit évaluer la capacité du ou des systèmes d’information à assurer le respect du principe de séparation des tâches. Le processus de sécurisation peut alors commencer : revue des accès (règles de restriction, politiques et pratiques), gestion des changements, analyse des systèmes de sauvegarde, backup et restauration des données, gestion des incidents…
Afin de fiabiliser le reporting, et ce manière efficace, l’automatisation des activités de contrôle est un enjeu clé. Les entretiens avec les entreprises étudiées mettent en avant trois bonnes pratiques des contrôles intégrés aux systèmes d’information :
Le workflow de validation - Structurer le protocole de validation de la donnée (validation appuyée par des éléments tangibles avec possibilité d’échange autour de la donnée remontée) est essentiel pour respecter le principe de séparation des tâches. Le workflow de validation contribue ainsi à une meilleure maîtrise du risque de défaut de qualité ou de manipulation de la donnée.
L’intégration de pièces jointes - Dans certains outils, l’import de pièces jointes (factures, récipicés de livraison de carburant) accompagne la saisie des données, dont il constitue un élément de justification. Pour exploiter cette possibilité, il convient de définir clairement les cas où une justification est requise, préciser qui doit vérifier la pièce jointe et à quel moment du processus.
Enfin, l’étude recommande aux équipes de contrôle interne d’intervenir sur les projets informatiques de réorganisation ou de renforcement des outils de reporting de durabilité. Sur le modèle du privacy by design exigée par le Règlement général sur la protection des données (RGPD), le contrôle interne peut accompagner la conception des systèmes d'information afin de fiabiliser l'ensemble du processus, par exemple en partageant des recommandations quant à la maîtrise des risques clés sur la donnée, les systèmes et leur utilisation.
Cet article est extrait d’une étude réalisée par PwC France et Maghreb en collaboration avec la Chaire Performance globale multi-capitaux d’Audencia et l’Institut français de l’Audit et du Contrôle internes (IFACI). Elle constitue une prise de position partagée sur la base d’une consultation approfondie d’une quinzaine d’entreprises en 2022, ainsi que d’éléments de benchmark identifiés auprès des entreprises du CAC40 et du SBF 120.
Écouter le replay des rendez-vous du reporting de durabilité : Obligation de contrôle interne sur le reporting RSE. Par où commencer ? Animé par Caroline Naït-Mérabet, associée, PwC France et Maghreb, la table ronde a réuni Delphine Gibassier, professeure titulaire de la Chaire Performance globale multi-capitaux d’Audencia, Maud de Meynard, CSR performance & transformation manager, Bel, Tony Guilmin, Finance corporate director, Manitou, Pascal Mahier, directeur du contrôle interne, Michelin, et Lionel Yemal, directeur, PwC Société d'Avocats