Trois lignes de défense : le risque et l’audit
Chaque organisation, dans son travail quotidien, effectue un processus d’évaluation, souvent inconsciemment, des risques auxquels elle est exposée et qui peuvent affecter négativement l’entreprise.
Dans ce cadre d’analyse, la gestion des risques d’entreprise est devenue un enjeu interne, non seulement du point de vue de la gestion et du contrôle, mais aussi lorsqu’il s’agit d’attribuer les profils les plus appropriés au sein de l’organisation. Ce processus d’allocation est devenu une tâche clé au sein des organisations, car sa bonne allocation permettra aux ressources de l’organisation d’établir un processus adéquat de gestion des risques à l’interne.
De ce fait, il est nécessaire de parler du modèle des trois lignes de défense dont les racines ont été générées dans les organisations financières, mais il a évolué pour être appliqué dans différents types d’organisations peu importe leur activité ou leur taille, puisque l’important est de gérer correctement les risques auxquels une entreprise est exposée.
Le modèle à trois lignes de défense fournit un système simple et efficace pour améliorer le processus de communication interne en matière de gestion et de contrôle des risques en définissant les rôles et les obligations connexes, assurant ainsi le succès continu des initiatives de gestion des risques.
Première ligne de défense : la gestion opérationnelle
Le modèle à trois lignes de défense prévoit une première ligne d’action qui correspond aux ressources opérationnelles et de gestion de l’organisation, telles que celles chargées d’assurer l’atteinte des objectifs de l’organisation par le biais d’un système de contrôle interne.
La direction opérationnelle est responsable de l’exécution et du maintien des contrôles internes établis par l’organisation, en veillant à ce que les activités menées dans ses unités soient compatibles avec les buts et objectifs de l’entreprise.
Par le biais d’une structure de responsabilité opérationnelle, les cadres intermédiaires de l’organisation conçoivent et mettent en œuvre des procédures qui servent de contrôles, permettant à leurs employés d’effectuer des tâches de supervision de ces procédures, sous la responsabilité directe de la haute direction.
Deuxième ligne de défense : la conformité
La deuxième ligne de défense exécute les tâches de supervision des contrôles établis et de conformité aux politiques et normes définies par l’organisation, en gérant les risques au plus haut niveau stratégique, en rendant compte de ses conclusions à la haute direction.
Les fonctions attribuées à la deuxième ligne peuvent varier en fonction de l’organisation ou du secteur, mais en termes généraux, nous pouvons souligner les suivantes :
- Supervision et contrôle des risques, en apportant un appui aux différents managers internes (1ère ligne) dans la définition du système de contrôle des risques.
- Assurer la conformité réglementaire de l’organisation , tant avec les lois et règlements applicables qu’avec les politiques et normes internes.
- S’assurer de la véracité et de la fiabilité de l’information financière générée et communiquée par l’organisation.
Troisième ligne de défense : l’audit interne
La troisième ligne de défense permet d’avoir une vision indépendante et objective du contrôle des risques par le biais du processus d’audit interne. Ce processus d’examen assure une surveillance neutre des deux premières lignes de défense, en évaluant le système de contrôle interne de l’organisation dans son ensemble afin de cerner les faiblesses et de recommander des améliorations.
Le processus d’audit interne apporte une garantie sur l’efficacité de la gestion des risques et des contrôles internes appliqués, en analysant les bonnes pratiques appliquées par la première et la deuxième ligne de défense en fonction de l’atteinte des objectifs de l’organisation. Son activité est rapportée à la Direction Générale, mais aussi directement aux niveaux supérieurs, tels que le Comité de Direction ou le Conseil d’Administration.
Parmi les fonctions associées à la troisième ligne de défense, on peut souligner :
- Il examine l’efficacité et l’efficience des contrôles mis en œuvre par les première et deuxième lignes de défense afin de mettre en place un cadre de contrôle interne adéquat.
- Vérifie l’intégrité des rapports d’information, la conformité légale et réglementaire, ainsi que les politiques et procédures organisationnelles.
Comme on peut le constater, chacune des lignes identifiées a un rôle différent au sein du cadre de gestion de l’organisation, avec un niveau d’indépendance suffisant pour ne pas compromettre l’efficacité de la gestion des risques et établir des actions d’amélioration pour renforcer son efficacité.
En ce sens, chez GlobalSuite Solutions , nous vous proposons des solutions pour répondre à la définition du modèle à trois lignes de défense, tant du point de vue du conseil que de la centralisation et de l’automatisation de ce processus dans une plateforme GRC. Grâce à la plateforme, tous les gestionnaires impliqués pourront accéder au même point d’information, avoir une gestion des risques multidisciplinaire avec la possibilité d’extraire des informations filtrées, en plus de mettre en place un système d’audit qui recueille toutes les preuves nécessaires proposées dans ce modèle.
