Dans un contexte de mutation réglementaire accélérée – avec la directive CSRD (Corporate Sustainability Reporting Directive), la taxonomie verte européenne et les standards ESRS (European Sustainability Reporting Standards) – la pression sur les entreprises pour produire une information extra-financière fiable, complète et auditée s’intensifie. Cette transformation ne relève plus uniquement des équipes RSE ou des directions de la communication : elle mobilise l’ensemble des fonctions clés de l’entreprise. Parmi elles, le Contrôle Interne se positionne comme un levier stratégique.
Pour s’inscrire pleinement dans cette dynamique, il nous paraît intéressant de revisiter l’acronyme ESG sous l’angle opérationnel du contrôleur interne :
- E pour Engagement,
- S pour Surveillance,
- G pour Gestion des risques.
Trois piliers qui traduisent parfaitement la contribution du Contrôle Interne à la structuration, la sécurisation et la fiabilisation des processus de reporting extra-financier.
E pour Engagement : mobiliser les acteurs à tous les niveaux
L’information ESG est par essence transversale. Elle émane de nombreux services : RH (diversité, formation), Achats (fournisseurs responsables), Environnement (émissions de CO₂, consommation d’énergie), etc. Or, ces contributeurs ne sont pas toujours aux exigences de traçabilité ou de justification attendues en matière de reporting.
En effet le Contrôle Interne joue le rôle de catalyseur :
- En clarifiant les rôles et responsabilités dans la chaîne de production de l’information,
- En veillant à la compréhension et à l’appropriation des référentiels (définitions, méthodologies de calcul, périmètres, seuils),
- En diffusant une culture de la “juste donnée” extra-financière, au même titre que celle portée historiquement sur la donnée financière.
L’enjeu est double : « embarquer » les opérationnels pour qu’ils prennent conscience de leur rôle dans la fiabilité de l’information et ancrer durablement les pratiques ESG dans les routines de gestion. C’est aussi un vecteur d’alignement stratégique : faire en sorte que les ambitions RSE deviennent l’affaire de tous, au même titre que les objectifs financiers.
S pour Surveillance : fiabiliser les processus de collecte et de reporting
Les flux de données extra-financières sont souvent hétérogènes, diffus, non systématiquement digitalisés. On observe encore un recours massif à Excel, des transmissions manuelles, des preuves stockées de manière informelle et une faible automatisation des contrôles. Dans ce contexte, la mission du Contrôle Interne est structurante :
- Cartographier les processus de collecte : qui fait quoi, avec quels outils, selon quelles sources ?
- Identifier les vulnérabilités : absence de documentation, indicateurs mal définis, absence de revue qualité, etc.
- Déployer des contrôles appropriés : contrôles de cohérence (comparaison entre périodes), de complétude (données manquantes), de documentation (existence de preuves, piste d’audit).
Cette surveillance ne doit pas être considérée comme un dispositif “en bout de chaîne”, mais comme une dynamique continue, intégrée au fil des opérations. Elle peut s’appuyer sur des outils de workflow, des portails ESG intégrés ou des solutions de data governance. Le Contrôle Interne devient alors garant de la robustesse des dispositifs de reporting et de leur capacité à « répondre aux exigences » de l’audit externe.
G pour Gestion des risques : maîtriser les risques à deux niveaux
Le Contrôle Interne intervient également à un niveau plus stratégique, en lien avec la gestion des risques. Deux dimensions se détachent :
- La double matérialité, cœur de la CSRD, impose une analyse croisée entre les impacts de l’entreprise sur la société/environnement (matérialité d’impact) et les risques que les enjeux ESG font peser sur la performance de l’entreprise (matérialité financière). Cela permet d’identifier les données extra-financières sur lesquelles l’organisation devra communiquer. Cette analyse permet de concentrer les efforts de Contrôle Interne sur les indicateurs à publier, en regard des impacts, des risques et des opportunités (IRO) matériels. Cela suppose de bien documenter les arbitrages, d’impliquer les parties prenantes internes et de s’assurer que les choix sont traçables.
- Les risques liés au processus de production de l’information extra-financière lui-même : erreurs de saisie, mauvaise interprétation des indicateurs, hétérogénéité des données, non-conformité réglementaire, voire risque de greenwashing ou de fraude. En analysant ces risques à chaque étape critique du processus de production, le Contrôle Interne permet quant à lui de réduire l’exposition de l’entreprise, et de renforcer sa crédibilité vis-à-vis de ses parties prenantes : investisseurs, clients, régulateurs, société civile.
Une mission élargie et stratégique pour le Contrôle Interne
Ce détournement de l’acronyme ESG vers Engagement, Surveillance, Gestion des risques révèle à quel point la fiabilisation de l’information extra-financière est un enjeu de gouvernance et non uniquement de conformité. Le Contrôle Interne, par son approche structurée des processus, des responsabilités et des risques, devient un acteur central de la confiance.
Il s’agit désormais de sortir d’une vision “défensive” du Contrôle Interne, pour en faire une fonction proactive, capable d’anticiper les exigences futures (examen limité, assurance raisonnable, digitalisation des données ESG data) et de contribuer à la performance durable de l’organisation.
