L’IIA – Institute of Internal Auditors – a actualisé, en juillet 2020, « Le modèle des trois lignes de défense de l’IIA » qui précédemment, dans la version de 2013, était connu sous le nom de « Les trois lignes de maitrise pour une gestion des risques et un contrôle efficaces » .
Dans cette nouvelle version du modèle, l’IIA propose une approche visant à assurer une plus grande intégration des enjeux de gouvernance dans la gestion et le contrôle des risques. Dit autrement, les entreprises doivent se doter de structures et processus optimaux pour réaliser leurs objectifs, créer de la valeur et assurer leur pérennité.
Le modèle de l’IIA se développe autour d’une analyse détaillée centrée sur les thématiques suivantes : 1. les grands principes du modèle, 2. les rôles et les responsabilités des organes et fonctions impliquées dans la gestion et le contrôle des risques, 3. les relations entre les principaux rôles : conseil d’administration, direction et audit.
Les grands principes du Modèle des trois lignes
L’IIA identifie six grands principes qui doivent être pris en compte par les organes de gouvernance dans le cadre de la gestion des risques et le développement d’une bonne gouvernance. Tels sont :
- Principe 1 – La gouvernance
La gouvernance d’une organisation doit reposer sur des structures et des processus appropriés permettant :
- à l’organe de gouvernance de fixer le cap de l’organisation – en définissant sa vision, sa mission, ses valeurs et son appétence pour les risques – et d’assumer son devoir de rendre compte vis-à-vis des parties prenantes
- à l’organe de direction de privilégier une prise de décision fondée sur les risques et de mettre en œuvre toutes actions correctives nécessaires
- à la fonction d’audit interne de fournir une assurance et des conseils visant à apporter clarté et confiance, ainsi qu’à favoriser une amélioration continue.
- Principe 2 – Les rôles de l’organe de gouvernance
L’organe de gouvernance doit s’assurer de la mise en place de structures et de processus adéquats afin de garantir une gouvernance efficace, et vérifier que les objectifs de l’organisation sont en lien avec les intérêts prioritaires des parties prenantes.
Pour y parvenir, il doit déléguer des responsabilités et allouer des ressources à l’équipe de direction pour lui permettre de mettre en œuvre les objectifs stratégiques de l’entreprise tout en veillant au respect de normes juridiques et éthiques.
Il doit également désigner et surveiller la fonction d’audit interne qui est chargée d’apporter clarté et confiance sur les progrès accomplis, mais aussi sur les mesures correctives à adopter pour améliorer la gestion et le contrôle des risques.
- Principe 3 – Le management et les rôles de première et de deuxième ligne
La responsabilité du management d’atteindre les objectifs de l’organisation englobe les rôles des deux premières lignes du modèle. Les rôles de la première ligne sont plus directement liés à la fourniture de produits ou de services aux clients de l’organisation et incluent les fonctions supports. La deuxième ligne correspond quant à elle aux activités d’appui à la gestion des risques.
L’IIA précise que la première et deuxième ligne de défense peuvent être fusionnées ou séparées. Certains rôles de la deuxième ligne peuvent être confiés à des spécialistes chargés d’apporter une expertise complémentaire, une assistance, un suivi et des critiques constructives aux acteurs de la première ligne.
D’autres rôles peuvent être orientés sur des objectifs précis dans le domaine de la gestion des risques (conformité aux lois et règlements, comportement éthique acceptable, contrôle interne, sécurité des systèmes informatiques, développement durable…) et même se voir confier de plus grandes responsabilités.
- Principe 4 – Les rôles de troisième ligne
Dans son rôle de troisième ligne, la fonction d’audit interne fournit une assurance et des conseils indépendants et objectifs sur l’adéquation et l’efficacité de la gouvernance et de la gestion des risques. Elle a la possibilité de faire appel à d’autres prestataires, internes ou externes, à l’entreprise.
- Principe 5 – L’indépendance de la troisième ligne
La fonction d’audit interne doit impérativement rester indépendante du management pour préserver son objectivité, son autorité et sa crédibilité.
- Principe 6 – La création et la protection de valeur
Ensemble, tous les rôles mentionnés contribuent à la création ainsi qu’à la protection de la valeur, dès lors qu’ils sont en phase les uns avec les autres ainsi qu’avec les intérêts prioritaires des parties prenantes. Pour cela, communication, coopération et collaboration sont essentielles.
Les rôles clés du Modèle des trois lignes
Le modèle des trois lignes de défense de l’IIA offre donc aux organisations économiques une grande flexibilité. Il n’existe pas un modèle unique valable pour tous les types d’organisations. La façon dont les entreprises appliquent les principes visés par l’IIA pour mettre en place des structures et processus adéquats et capables d’assurer la gestion des risques peut varier d’une organisation à l’autre, en fonction de leurs besoins et objectifs.
Les relations entre les différents rôles
L’IIA dédié un chapitre spécifique à l’examen des relations entre les principaux acteurs du modèle de trois lignes de défense. À ce propos, l’IIA insiste beaucoup sur l’importance de bonnes relations entre :
- L’organe de gouvernance et l’équipe de direction (première et deuxième lignes)
Le degré de séparation ou de chevauchement entre les rôles de l’organe de gouvernance et de la direction varie d’une organisation à l’autre. L’organe de gouvernance peut adopter une approche plus ou moins interventionniste dans les sujets opérationnels et stratégiques.
En tout état de cause, la direction et l’organe de gouvernance doivent établir une solide communication entre eux. Si le directeur général (DG) tient souvent le rôle d’interlocuteur principal, d’autres cadres dirigeants peuvent interagir régulièrement avec l’organe de gouvernance.
Dans certaines organisations, des acteurs de la deuxième ligne (comme les responsables de la gestion des risques et de la conformité) sont directement rattachés à l’organe de gouvernance. Pour certaines entreprises, il s’agit d’un choix volontaire justifié par le fait d’assurer la plus grande indépendance aux responsables des fonctions concernées. Pour d’autres entreprises, en revanche, il s’agit d’une obligation imposée par la règlementation.
- L’équipe de direction (première et deuxième lignes) et l’audit interne
L’indépendance de l’audit interne vis-à-vis de l’équipe de direction lui permet de planifier et d’exécuter ses tâches en toute liberté et impartialité. L’audit interne doit disposer des ressources nécessaires pour mener à bien sa mission et avoir accès à toute information dont il a besoin.
L’audit interne est directement rattaché à l’organe de gouvernance. Il doit entretenir un dialogue régulier avec l’équipe de direction afin de permettre à cette dernière de vérifier que les travaux de l’audit sont pertinents et en phase avec les objectifs stratégiques de l’entreprise.
Au travers l’exercice de sa mission, l’audit interne apprend à connaitre et comprend l’organisation en profondeur, améliorant ainsi la qualité de l’assurance et des conseils qu’il procure en tant que partenaire stratégique et conseiller de confiance.
- L’audit interne et l’organe de gouvernance.
L’audit interne rend compte à l’organe de gouvernance – dont il est parfois décrit comme « les yeux et les oreilles » – et doit l’alerter en cas d’atteintes éventuelles à son indépendance et impartialité de façon qu’il puisse prendre les mesures de protection qui s’imposent.
Conclusions
Face à un monde de plus en plus interconnecté où complexité, incertitude et instabilité sont de plus en plus présentes, le modèle de trois lignes de défense de l’IIA offre aux entreprises concernées un dispositif global de maîtrise des risques qui donne une orientation et des éléments de langage communs.
Cela ne peut que renforcer la culture du risque au sein des entreprises, faciliter la consolidation d’informations disparates, responsabiliser les acteurs impliqués et favoriser le développement d’une bonne gouvernance.
gp@giovannellapolidoro.com