First things first : Pourquoi le modèle des trois lignes de défense ?
Les cadres de référence de contrôle interne et de management des risques définissent des principes et fournissent des approches pour la mise en œuvre des activités de management des risques et de contrôle. Ils ne renseignent cependant pas clairement sur qui fait quoi. Le modèle des trois lignes de défense prôné par l’Institute of Internal Auditors (IIA) répond donc à cette problématique en proposant une catégorisation simple et efficace des différents intervenants des processus de management des risques et une clarification du rôle de chaque acteur. Ce modèle peut permettre d’améliorer l’efficacité générale du système de management des risques au sein de l’organisation.
1. Rôle du management et des organes de gouvernance
Les organes de gouvernance et le top management ne font partie d’aucune des trois lignes de défense prévues par le modèle. Cependant, ils ont un rôle fondamental à jouer, qui concerne :
- La définition des objectifs de l’organisation
- La définition de la stratégie à mettre en œuvre pour atteindre les objectifs
- La mise en place de la structure et des processus nécessaires à une gestion efficace des risques pouvant entraver l’atteinte des objectifs.
La réussite du modèle des trois lignes de défense nécessite une forte implication des organes de gouvernance et du top management qui s’assurent de l’existence et du correct fonctionnement des trois lignes de défenses, garantissant ainsi les conditions optimales pour l’effectivité du processus de management des risques.
2. Première ligne de défense : le management opérationnel
La première ligne de défense de l’organisation en matière de gestion des risques est constituée des responsables opérationnels qui comprennent les propriétaires de risques et toutes les personnes responsables de la gestion des risques. Il s’agit en particulier des personnes ayant une responsabilité directe dans l’identification, l’évaluation, le traitement et le contrôle des risques.
Le management opérationnel constitue la première ligne de défense de l’organisation car les contrôles organisationnels sont conçus et mis en œuvre sous sa responsabilité directe. Il est donc le premier à garantir au quotidien la conformité aux normes et procédures applicables au sein de l’organisation et à identifier puis communiquer les contrôles et processus défaillants, de même que les événements inhabituels.
3. Deuxième ligne de défense : Les fonctions de supervision des risques et de conformité
La deuxième ligne de défense est constituée des fonctions support et transverses en charge de la supervision des risques et de la conformité au sein de l’organisation. Ces fonctions ont pour rôle en général de garantir que la première ligne de défense existe et fonctionne correctement et en particulier :
- de faciliter l’implémentation des activités de gestion des risques par le management opérationnel
- d’effectuer un suivi des activités de la première ligne de défense.
- d’assister les propriétaires de risques dans la mise en place d’un reporting adéquat et efficace des informations relatives aux risques.
La deuxième ligne de défense dispose d’une certaine indépendance vis-à-vis du management opérationnel mais peut intervenir directement dans la conception et la modification des activités de contrôle. Pour cette raison, elle ne peut fournir aux organes de gouvernance une analyse totalement indépendante et objective sur l’efficacité des mécanismes de contrôle interne et de gestion des risques. Elle peut notamment comprendre les fonctions suivantes :
- Risk manager
- Responsable conformité
- Contrôleur qualité
- Contrôleur financier
- Contrôleur de gestion
- etc.
4. Troisième ligne de défense : l’audit interne (AI)
La troisième et dernière ligne de défense est constituée de l’audit interne qui a pour rôle de fournir aux organes de gouvernance une assurance indépendante et objective sur les processus de management des risques et de contrôle interne. L’assurance fournie par l’AI encore appelée « contrôle périodique » couvre :
- l’existence et le fonctionnement des deux premières lignes de défense
- les différentes composantes du cadre de management des risques de l’organisation en relation avec les objectifs organisationnels.
- toutes les unités opérationnelles de l’organisation, de même que les fonctions support.
Pour atteindre cet objectif et maximiser la contribution de l’audit interne à la bonne gouvernance de l’organisation, les facteurs clés de succès suivants doivent être mis en place :
- Un positionnement adéquat : l’AI doit idéalement avoir un rattachement fonctionnel direct au Conseil d’Administration ou à l’un de ses comités afin de garantir son indépendance et son objectivité vis-à-vis du management et de lui fournir l’autorité nécessaire pour exercer ses prérogatives sans contraintes à tous les niveaux de l’organisation.
- Des ressources suffisantes : l’audit interne doit disposer de ressources humaines (compétences, expériences, effectifs) matérielles et financières suffisantes pour effectuer son travail avec le niveau de qualité et de professionnalisme le plus élevé.
- Une approche d’audit basée sur les risques : cette approche permet à l’audit interne de gagner en efficacité car elle met l’accent sur les zones de risques significatifs de l’organisation.
5. Rôle des auditeurs externes, des régulateurs et autres organismes externes
Bien qu’étant externes à l’organisation, les auditeurs externes, régulateurs et autres organes de contrôle externes ont un impact significatif sur les mécanismes de management des risques de l’organisation. Cela est particulièrement vrai pour les secteurs fortement régulés tels que la finance, les banques, les assurances, etc. où les régulateurs définissent des règles et exigences destinées à renforcer les mécanismes de contrôles internes existants ou à évaluer l’efficacité d’une ou plusieurs lignes de défense internes de l’organisation.
Les corps de contrôle externes peuvent être considérés comme des lignes de défense additionnelles fournissant une assurance aux organes de gouvernance, même si l’étendue de ladite assurance est généralement moins importante que celle de l’audit interne, compte tenu des objectifs spécifiques de leurs missions.
Les responsables de fonctions d’audit interne assurent, conformément aux normes internationale d’audit interne, une coordination optimale de leurs activités avec celles des autres fournisseurs d’assurance interne et externe, afin d’assurer une couverture adéquate et d’éviter la duplication des efforts.
En conclusion :
- Le modèle des trois lignes de défense permet de définir les rôles et responsabilités en matière de gestion des risques et de contrôle au sein de l’organisation et sa réussite dépend de l’impulsion donnée par le top management et les organes de gouvernance.
- Les trois lignes de défense devraient exister sous une forme ou une autre au sein de chaque organisation.
- La seule existence des trois lignes de défense ne garantit pas l’efficacité du management des risques au sein de l’organisation. Encore faut-il que chacune joue correctement le rôle qui est le sien et qu’une bonne coordination des activités soit organisée entre les trois lignes de défense. Cette coordination doit prendre la forme d’une collaboration intelligente et d’un travail d’équipe et doit être organisée et encouragée par le top management et les organes de gouvernance.
- Les activités des trois lignes de défense ne devraient pas être combinées d’une manière qui compromette leur efficacité. Dans les cas où une telle combinaison ne peut être évitée, les organes de gouvernance devraient en être informés ainsi que de l’impact sur l’efficacité du management des risques et sur l’atteinte des objectifs de l’organisation.
Si cet article vous a été utile, merci de me laisser un commentaire et de le partager avec vos contacts.
Inscrivez-Vous à ma newsletter ici pour recevoir mes prochains articles en exclusivité.
A bientôt! 🙂
Cet article a 4 commentaires
Excellent travail de vulgarisation; merci à vous.
Excellent travail de vulgarisation, merci à vous.
Merci à vous!:)
Merci beaucoup Eunice.
Par rapport à la deuxième ligne défense, en plus de la conformité, gestionnaire de risque , le contrôle de gestion, nous avons aussi une équipe des contrôleurs internes.