Par Marie Hébras
En bref
Selon l’EFRAG (2025), plus de 60 % des entreprises ayant publié leur premier rapport CSRD en 2025 ont reçu des recommandations correctives lors de l’audit limité, principalement sur la double matérialité et la traçabilité des données. Cet article propose une méthode en 4 étapes pour préparer l’audit CSRD — cadrage du périmètre, double matérialité, collecte ESRS structurée, piste d’audit — avec les 5 pièges les plus fréquents et une checklist actionnable. Pour cadrer votre démarche, voyez le diagnostic ESG fletchr.
Sommaire
- Qu’est-ce que l’audit CSRD et qui est concerné
- Étape 1 — Cadrer le périmètre et la matrice de matérialité
- Étape 2 — Structurer la collecte des datapoints ESRS
- Étape 3 — Garantir la piste d’audit et la traçabilité
- Étape 4 — Préparer l’audit limité avec l’OTI
- Les 5 pièges qui font échouer un audit CSRD
- Questions fréquentes
Qu’est-ce que l’audit CSRD et qui est concerné
L’audit CSRD est la vérification externe obligatoire du rapport de durabilité produit selon les normes ESRS, par un organisme tiers indépendant (OTI) accrédité. Il est établi que cet audit constitue la première fois qu’une obligation extra-financière atteint un niveau d’exigence comparable au financier.
Niveaux d’assurance : limitée puis raisonnable
Selon la Commission européenne (2025), l’audit CSRD démarre par une assurance limitée (limited assurance) sur les premiers exercices, puis évolue vers une assurance raisonnable (reasonable assurance), comparable à l’audit financier, à compter de 2028-2029 selon les vagues.
Périmètre des entreprises soumises post-Omnibus
La directive Omnibus a relevé les seuils CSRD à 1 000 salariés et 50 M€ de chiffre d’affaires, et reporté de deux ans la 2e vague. Les entreprises concernées doivent désormais préparer leur audit selon les calendriers suivants :
| Vague | Profil | 1er exercice publié | 1er audit | Niveau d’assurance |
|---|---|---|---|---|
| Vague 1 | Grandes entreprises cotées (>500 salariés, ex-NFRD) | 2024 | 2025 | Limitée |
| Vague 2 (post-Omnibus) | Grandes entreprises >1 000 salariés / 50 M€ | 2027 | 2028 | Limitée |
| Vague 3 (post-Omnibus) | PME cotées (sauf micro) | 2028 | 2029 | Limitée |
| Évolution | Toutes vagues | Exercice 2028+ | Selon directive UE | Raisonnable (à confirmer) |
Source : Commission européenne et EFRAG (2025) — calendrier post-Omnibus
Étape 1 — Cadrer le périmètre et la matrice de matérialité
Le cadrage est l’étape qui détermine 80 % de la qualité de l’audit. Il consiste à identifier les enjeux de durabilité matériels pour l’entreprise selon la double matérialité (impact + financière) et à fixer le périmètre de consolidation.
Construire la matrice de double matérialité
La double matérialité ESRS combine deux analyses indépendantes :
- Matérialité d’impact : ce que l’entreprise produit comme impact sur la société et l’environnement (gravité × probabilité × portée)
- Matérialité financière : ce que les enjeux ESG produisent comme effet sur les flux de trésorerie, l’accès au capital, la valeur de l’entreprise
- Un enjeu est matériel s’il franchit le seuil sur l’une OU l’autre dimension
- La matrice doit être justifiée et tracée dans le rapport
Cartographier les IRO (Impacts, Risques, Opportunités)
Pour chaque enjeu retenu, l’entreprise doit cartographier ses Impacts (effets actuels ou potentiels), ses Risques (financiers liés aux enjeux ESG) et ses Opportunités. Cette cartographie est l’objet de l’ESRS 1 et conditionne tout le reste du rapport.
Cadrage CSRD : démarrer du bon pied
30 minutes avec un consultant RSE praticien fletchr pour cadrer votre périmètre, votre matrice de double matérialité et vos datapoints prioritaires.
Réserver un diagnostic →30 minutes · Gratuit · Sans engagement
Étape 2 — Structurer la collecte des datapoints ESRS
Une fois le périmètre cadré, vient la collecte structurée des datapoints. Selon l’EFRAG (2024), les ESRS comprennent 1 178 datapoints (avant simplifications post-Omnibus). Tous ne sont pas pertinents pour chaque entreprise — seuls comptent les enjeux jugés matériels.
Les 12 normes ESRS et leur architecture
| Catégorie | Normes | Périmètre |
|---|---|---|
| Transversales | ESRS 1, ESRS 2 | Méthodologie générale, IRO, gouvernance, stratégie |
| Environnement | E1 à E5 | Climat, pollution, eau, biodiversité, économie circulaire |
| Social | S1 à S4 | Salariés, chaîne de valeur, communautés, consommateurs |
| Gouvernance | G1 | Conduite des affaires |
Source : EFRAG ESRS Set 1 (2024)
Distribuer la collecte par site et par métier
Une bonne préparation à l’audit suppose que chaque contributeur saisisse directement les données dont il est responsable : RH pour le social, contrôle de gestion pour le carbone, achats pour la chaîne de valeur. Cette logique distribuée évite les goulots et rend la collecte auditable. Voir le module collecte de données RSE fletchr.
Les données scope 3 — le point critique
Selon la Base Empreinte ADEME, le scope 3 (émissions amont-aval) représente 60 à 90 % du bilan carbone selon les secteurs. La fiabilisation de ces données est la principale difficulté rencontrée lors des premiers audits CSRD.
Étape 3 — Garantir la piste d’audit et la traçabilité
La piste d’audit est l’ensemble des éléments qui permettent à l’auditeur de reconstituer l’origine, les calculs et les contrôles d’une donnée. Elle est exigée au même niveau que pour l’audit financier.
Les 4 composantes de la piste d’audit ESG
- Source documentée : facture, relevé, certificat, attestation tiers — chaque donnée doit pouvoir être rattachée à une source vérifiable.
- Méthode de calcul tracée : facteur d’émission, hypothèse retenue, version de la base de données (par exemple Base Empreinte ADEME 2026).
- Contrôles internes : revue à 4 yeux, validation du contributeur et du référent RSE, alertes automatiques sur les valeurs aberrantes.
- Horodatage et versioning : qui a saisi quoi, quand, et qui a validé — historique conservé pour l’auditeur.
« L’auditeur OTI ne peut évaluer que ce qui est prouvable. Une donnée sans source documentée est, du point de vue de l’audit, une donnée qui n’existe pas. »
— Compagnie Nationale des Commissaires aux Comptes, guide CSRD 2025
Le rôle du logiciel CSRD dans la traçabilité
Un logiciel de reporting ESG sérieux doit nativement gérer la piste d’audit (horodatage, versioning, workflow de validation, export pour OTI). Ces fonctionnalités sont au cœur du module reporting ESG fletchr, qui produit un export auditable directement consommable par l’OTI.
Étape 4 — Préparer l’audit limité avec l’OTI
L’audit limité (limited assurance) est l’audit de premier niveau imposé par la CSRD. Il consiste pour l’OTI à conclure qu’aucun élément ne le conduit à penser que le rapport ne serait pas conforme aux ESRS. C’est moins exigeant qu’un audit raisonnable, mais loin d’être anecdotique.
Le déroulé type d’un audit limité CSRD
- Lettre de mission : périmètre, calendrier, livrables (généralement 6 mois avant la publication).
- Phase d’analyse de risques : revue de la matrice de matérialité, des contrôles internes, des données les plus sensibles.
- Tests sur échantillons : revue de pièces, recalculs, entretiens avec contributeurs (carbone, RH, achats).
- Recommandations correctives : ajustements demandés avant publication finale.
- Émission du rapport d’audit : attestation publiée avec le rapport CSRD.
🌿 Préparation audit CSRD avec fletchr
Le workflow fletchr du diagnostic au reporting ESG structure les 4 étapes de la préparation à l’audit : diagnostic de matérialité, feuille de route ESRS, collecte distribuée et reporting auditable. Les exports sont nativement compatibles avec les contrôles OTI.
Les 5 pièges qui font échouer un audit CSRD
D’après notre retour d’expérience sur plus de 80 accompagnements CSRD et VSME depuis 2023, voici les cinq erreurs les plus fréquentes qui transforment une préparation d’audit en sprint de dernière minute.
- Sous-estimer la double matérialité. Une matrice non justifiée ou trop générique entraîne automatiquement des recommandations correctives. Source : retours OTI 2025.
- Oublier le scope 3 et la chaîne de valeur. Les ESRS exigent une lecture amont-aval. Limiter le bilan aux scopes 1 et 2 est rédhibitoire.
- Collecter sans piste d’audit. Une donnée correcte mais non sourcée n’est pas auditable. Il faut anticiper la documentation dès la collecte.
- Confondre conformité ESRS et communication RSE. Un rapport « commercial » sans datapoints chiffrés ne passe pas l’audit limité.
- Démarrer trop tard. Un projet CSRD bien mené prend 12 à 18 mois. Démarrer 3 mois avant la publication garantit le retard.
Audit CSRD : structurer votre préparation
Un point de 30 minutes avec un consultant RSE praticien fletchr pour évaluer votre niveau de préparation et identifier les angles morts.
Réserver mon diagnostic CSRD →30 minutes · Gratuit · Sans engagement
Questions fréquentes sur l’audit CSRD
L’audit CSRD est réalisé par un Organisme Tiers Indépendant (OTI) accrédité COFRAC ou par un commissaire aux comptes habilité sur la composante durabilité. La Compagnie Nationale des Commissaires aux Comptes publie la liste des CAC accrédités.
Comptez 12 à 18 mois pour un premier audit, dont 3 à 4 mois de cadrage de matérialité, 6 à 8 mois de collecte structurée, 2 à 3 mois de revue interne et 2 à 3 mois pour l’audit limité. Démarrer plus tard expose à des retards de publication.
L’assurance limitée conclut « qu’aucun élément ne porte à penser » que le rapport est non conforme. L’assurance raisonnable conclut activement « que le rapport est conforme ». La seconde nécessite des contrôles plus poussés et des coûts d’audit plus élevés. Source : EFRAG.
Non, l’audit CSRD ne concerne que les entreprises soumises (post-Omnibus : >1 000 salariés et 50 M€ CA). Une PME en démarche volontaire (norme VSME) n’a pas d’obligation d’audit, mais peut choisir une attestation tierce pour crédibiliser son rapport auprès de ses donneurs d’ordre.
La double matérialité doit être documentée à chaque étape : sélection des enjeux candidats, dialogue parties prenantes, scoring impact + financier, validation par la gouvernance. L’auditeur exige un dossier complet et reproductible. Le diagnostic ESG fletchr structure cette démarche.
Selon le DAF Magazine (2025), l’audit limité d’une ETI moyenne coûte entre 30 000 et 80 000 €/an, et celui d’un grand groupe consolidé entre 150 000 et 400 000 €. Ces montants peuvent doubler en assurance raisonnable.
Les trois causes principales : matrice de double matérialité non justifiée, données scope 3 absentes ou non sourcées, absence de piste d’audit (horodatage, contrôles internes, sources documentées). Voir la section 5 pièges à éviter.
