Points clés à retenir

ISSA 5000 s'applique à toute mission d'assurance sur des informations non-financières: rapports de développement durable, certifications de processus, déclarations de conformité réglementaire.
La structure de ISSA 5000 utilise une approche modulaire: un cadre commun suivi de modules thématiques spécifiques au sujet.
Les équipes doivent différencier entre assurance raisonnable et assurance limitée dès la planification; ISSA 5000 exige une documentation explicite de ce choix.
La non-conformité avec ISSA 5000 expose le cabinet à des constats d'inspection de la part des régulateurs mondiaux (PCAOB, FRC, régulateurs européens).
---

Fonctionnement

ISSA 5000 fournit un cadre unifié où chaque mission suit une architecture en trois couches. La première couche établit les exigences communes applicables à toutes les missions d'assurance: acceptation du mandat, évaluation des risques, planification de la réponse aux risques et communication des résultats. ISSA 5000.16 à ISSA 5000.45 définissent ces exigences fondamentales. La deuxième couche se compose des modules thématiques (durabilité, conformité, performance) où chaque module ajoute des exigences spécifiques au sujet testé. La troisième couche comprend les procédures détaillées d'audit adaptées au sujet et aux risques identifiés.
Contrairement à ISAE 3000 (Révisée), qui était construite autour de la distinction entre assurance raisonnable et assurance limitée, ISSA 5000 intègre cette distinction dans le cadre modulaire lui-même. Vous commencez par accepter le mandat et classer le niveau d'assurance requis (ISSA 5000.35), puis vous consultez le module correspondant. Un module durabilité avec assurance limitée, par exemple, diffère significativement du même module avec assurance raisonnable en termes d'étendue, de nature et de calendrier des procédures.
La documentation exigée par ISSA 5000.50 à ISSA 5000.65 diffère également: chaque papier de travail doit identifier clairement le module appliqué et le niveau d'assurance visé, y compris la justification du niveau choisi si le client en a demandé un autre initialement.
---

Exemple pratique: Adviso Consultants SAS (audit de durabilité, assurance limitée)

Client: Cabinet français de conseil en développement durable, FY2024, rapport ESG volontaire couvrant émissions scope 1 et 2, données environnementales et sociales, environ 50 M EUR de chiffre d'affaires, 180 salariés.
Mandat: Assurance limitée sur la déclaration ESG établie selon la norme GRI Standards. Pas de certification de conformité statutaire, mais engagement commercial d'améliorer la crédibilité auprès des investisseurs.
Étape 1: Acceptation et classification du module
Vous acceptez le mandat sous ISSA 5000 Durabilité, assurance limitée. La distinction est documentée dans le PM (papier de planification): vous indiquez explicitement pourquoi l'assurance limitée plutôt que raisonnable (coût-bénéfice du client, pas de demande réglementaire d'assurance raisonnable). ISSA 5000.35 exige cette justification écrite.
Note de documentation: Lettre de mission, point 2.1: "Niveau d'assurance: limité. Justification: À la demande du client; aucune exigence réglementaire d'assurance raisonnable n'existe pour ce sujet dans la juridiction française."
Étape 2: Évaluation des risques (cadre commun + module durabilité)
Vous evaluez les risques à trois niveaux. D'abord, les risques que la déclaration ESG soit matériellement inexacte (risque au niveau de la mission, ISSA 5000.38). Deuxièmement, les risques au niveau des assertions (exhaustivité des données, exactitude des calculs d'émissions, classification scope 1/2). ISSA 5000 Durabilité, paragraphe D15 ajoute des risques spécifiques au sujet: la non-intégrité du facteur d'émission utilisé pour le scope 2 (électricité achetée), la complétude des sites d'émission inclus (le client a-t-il inclus un petit site de transformation?), la continuité du calcul d'une année sur l'autre.
Pour chacun, vous documentez la nature du risque, sa sévérité (élevée/moyenne/faible), et comment ce risque diffère si vous fournissez une assurance limitée plutôt que raisonnable. L'assurance limitée signifie que vous acceptez un niveau de confiance plus bas et donc un détail de procédure moins approfondi.
Note de documentation: Matrice d'évaluation des risques (PT 02): trois lignes pour Adviso: (1) Exhaustivité des émissions déclarées, risque élevé, assurance limitée = procédures analytiques + échantillonnage restreint; (2) Exactitude des facteurs d'émission utilisés, risque moyen, assurance limitée = revue des sources des facteurs sans testing détaillé de chaque formule; (3) Classification scope 1/2, risque faible, assurance limitée = revue des instructions internes du client sur la classification.
Étape 3: Conception des procédures (module durabilité + niveau d'assurance)
En assurance limitée sur la durabilité, ISSA 5000 Durabilité, D25-D35 vous exige de concevoir des procédures qui vous donnent un niveau de confiance modéré (pas un haut niveau de confiance comme en assurance raisonnable). Pour chaque risque identifié, vous sélectionnez une procédure appropriée au niveau d'assurance.
Pour Adviso:
Note de documentation: Programme d'audit (PT 05): colonnes du type: (Assertion testée / Procédure / Taille d'échantillon / Nature de la conclusion / Niveau d'assurance justifié). Exemple: (Exhaustivité des émissions / Examen des registres d'installations émettant du client vs déclaration ESG / 100% / Confirmé: aucun site additionnel identifié / Limité: aucun détail complémentaire exigé).
Étape 4: Documentation des conclusions
En assurance limitée, ISSA 5000 Durabilité, D40 vous exige d'émettre un rapport concluant avec un niveau de confiance plus faible. Le rapport mentionne explicitement "assurance limitée" et note que les procédures étaient moins étendues qu'en assurance raisonnable. Adviso a confirmé que 48.2 tonnes d'équivalent CO2 (scope 1) et 28.7 tonnes (scope 2) ont été déclarées, fondées sur une source documentaire vérifiable. Aucune anomalie significative n'a été trouvée.
Note de documentation: Rapport d'audit (PT 30): résumé exécutif clarifiant le niveau d'assurance limité et listant les limites des procédures effectuées (procédures analytiques plutôt que testing détaillé, échantillonnage plutôt que couverture complète).
Conclusion: Adviso a choisi l'assurance limitée pour équilibrer les coûts et la crédibilité. ISSA 5000 exige que cette classification soit justifiée et documentée dès l'acceptation du mandat, non décidée en cours d'exécution. C'est une différence majeure par rapport à ISAE 3000 (Révisée), où le niveau d'assurance était plus souvent un choix opérationnel du cabinet qu'une décision structurelle de la mission.
---

  • Émissions scope 2: En assurance limitée, une procédure analytique suffit (variation interannuelle des kWh x facteur d'émission, comparaison aux années précédentes, enquête sur les variations significatives). En assurance raisonnable, vous testeriez les factures d'électricité directement et recalculeriez le scope 2.
  • Facteurs d'émission: En assurance limitée, vous vérifiez que le client utilise une source reconnue (ADEME pour la France, facteurs réglementaires de l'UE). Vous vérifiez que la source sélectionnée n'a pas changé depuis l'année précédente. En assurance raisonnable, vous testeriez l'applicabilité de chaque facteur au sous-secteur ou à la géographie du client.

Où les examinateurs et praticiens se trompent

---

  • Erreur Tier 1: Confusion entre ISSA 5000 et ISAE 3000 (Révisée) au moment de l'acceptation du mandat. Des cabinets européens acceptent des mandats de durabilité sous ISSA 5000 sans documenter si ISSA 5000 était effectivement le cadre prévu par le client. ISSA 5000.12 exige que le mandat inclue un accord explicite sur la norme applicable. Beaucoup de praticiens continuent à utiliser ISAE 3000 (Révisée) par habitude, ce qui est techniquement acceptable jusqu'à la date de transition finale, mais limite l'alignement avec les futures exigences réglementaires.
  • Erreur Tier 2: Classification inadéquate du niveau d'assurance et absence de justification documentée. ISSA 5000.35 exige que le choix entre assurance raisonnable et assurance limitée soit documenté avec justification. Beaucoup d'équipes commencent à exécuter la mission sans clarifier ce choix ou en le gardant implicite ("le client n'a pas demandé l'assurance raisonnable, donc ce doit être limité"). Cette absence de clarification crée des problèmes lors des revues internes et des inspections réglementaires. Les inspecteurs attendent une déclaration explicite dans le papier de planification.
  • Erreur Tier 3: Défaut de consulter le module thématique approprié pendant la planification. ISSA 5000 fournit un cadre commun suivi de modules (durabilité, conformité, performance). Certains cabinets appliquent uniquement le cadre commun, oubliant que le module thématique ajoute des exigences. Pour la durabilité, par exemple, ISSA 5000 Durabilité, D15-D20 ajoute des exigences de compréhension du contexte de durabilité et des risques de matérialité de durabilité double. Ignorer le module mène à des papiers de travail insuffisants lors des inspections.

ISSA 5000 vs ISAE 3000 (Révisée)

ISSA 5000 et ISAE 3000 (Révisée) coexistent actuellement. Le choix entre eux dépend du sujet, de la juridiction et du calendrier de la mission.
| Aspect | ISSA 5000 | ISAE 3000 (Révisée) |
|--------|-----------|-------------------|
| Champ d'application | Missions d'assurance sur sujets non-financiers: durabilité, conformité, performance, autres sujets définis | Missions d'assurance sur toute assertion fournie par la partie responsable |
| Niveau d'assurance | Raisonnable ou limité, choisi et documenté à l'acceptation | Raisonnable ou limité, traditionnellement choisi après la planification préliminaire |
| Structure | Cadre commun + modules thématiques (durabilité, conformité, performance) | Cadre unique sans modules thématiques |
| Documentatio exigences | ISSA 5000.50-65: détail complet du module appliqué, niveau d'assurance, justification | ISAE 3000.57-67: moins de détail sur le choix du niveau d'assurance |
| Date d'applicabilité | Décembre 2024, transition obligatoire à une date future (TBD par IAASB) | Toujours applicable; coexistence temporaire avec ISSA 5000 |
| Applicabilité France | Applicable pour les missions de durabilité volontaires; pas d'obligation légale à ce stade | Utilisé pour les certifications de conformité, rapports de gestion non-financiers |
Quand cela compte pour votre mission: Si votre client demande une assurance sur un rapport ESG volontaire, ISSA 5000 devient la norme par défaut. Si le client demande une certification légale de conformité avec une directive nationale (ex. directive CSRD avant 2025), ISAE 3000 (Révisée) peut s'appliquer. Les deux ne peuvent pas être mixées sur le même sujet dans le même rapport.
---

Termes connexes

Assurance raisonnable: Niveau d'assurance élevé utilisé pour les missions critiques; repose sur des procédures étendues et détaillées couvrant la majorité des transactions et contrôles clés.
Assurance limitée: Niveau d'assurance modéré où les procédures sont moins étendues qu'en assurance raisonnable; approprié pour les missions de durabilité et certaines certifications de conformité.
ISAE 3000 (Révisée): Norme précédente pour les missions d'assurance sur sujets non-financiers; coexiste avec ISSA 5000 jusqu'à une date de transition.
Conformité réglementaire: Examen des systèmes et processus d'une entité pour vérifier le respect des lois et réglementations applicables.
Matérialité de durabilité: Seuil d'importance pour les sujets de durabilité; déterminé en fonction de la pertinence pour les parties prenantes et de l'impact financier potentiel.
Module de durabilité ISSA 5000: Extension thématique de ISSA 5000 établissant les exigences spécifiques pour l'assurance sur les rapports ESG et déclarations de durabilité.
---

Outils connexes

Notre Calculateur d'approche d'assurance ISSA 5000 vous aide à classifier rapidement le niveau d'assurance (raisonnable vs limité) basé sur les caractéristiques de votre mission. Répondez à cinq questions sur le sujet, la réglementation applicable et le contexte du client. L'outil fournit une recommandation, une liste des modules ISSA 5000 applicables et un lien direct aux exigences de documentation ISSA 5000 pertinentes pour votre classification.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.