Publié il y a plus de 10 ans, le Modèle des Trois Lignes de Défense avait pour objectif principal de clarifier les rôles et les responsabilités en matière de maîtrise des activités en définissant Qui, Fait Quoi dans l’entreprise :
Ce modèle avait pour mérite de définir de manière bien distincte les rôles et les responsabilités de chaque ligne dans l’échiquier du dispositif de gouvernance et de gestion des risques. Organisation, très appréciée dans les grands groupes et les secteurs très règlementés comme la banque et l’assurance -cependant, moins applicable dans les petites structures, où une certaine perméabilité entre les différentes lignes est de facto plus observée.
L’IIA a entrepris pendant plus d’un an un projet de mise à jour du Modèle des trois Lignes de Maîtrise, afin de refléter au mieux les différentes évolutions en matière de gestion des risques et de gouvernance d’entreprise.
Le modèle s’articule autour de six principes clés à intégrer dans le dispositif de maîtrise des activités, pour une plus grande communication, coopération et collaboration au sein de l’entreprise, afin d’assurer la création et la protection de la valeur. Le cadre de gouvernance de l’entreprise n’est plus établi à partir de lignes rigides et de rôles bien distincts, mais est défini au travers de 3 domaines de responsabilités à savoir :
La grande innovation du nouveau modèle réside dans le regroupement de la 1ère et de la 2ième Ligne qui sont appelées à travailler main dans la main, pour une plus grande collaboration et communication. De ce fait, le terme « Lignes » ne désigne plus des éléments structurels comme dans le précédent modèle, mais sert à définir un nouveau cadre de fonctionnement opérationnel entre elles.
Ainsi, en étant basé sur des principes et non sur une organisation structurante, le nouveau modèle offre aux entreprises de toutes tailles, tous secteurs confondus, une plus grande flexibilité dans l’application et l’adaptabilité d’une démarche standardisée. Les rôles des différentes lignes sont à définir en fonction de plusieurs critères comme les besoins, les priorités, la taille et la complexité de l’organisation tout en respectant les trois domaines principaux de responsabilités.
Pour Richard F. Chambers, Président et CEO du Global Institute of Internal Auditor (IIA), le nouveau Modèle des Trois Lignes « promet à nombre d’organisations de modifier leurs relations au risque, mais aussi aux dispositifs de contrôle, à la collaboration, à la communication, au devoir de rendre compte, à l'assurance et bien plus encore. »
La grande flexibilité du nouveau Modèle des Trois Lignes de défense permet à tout entreprise de s’inscrire plus facilement dans une démarche standardisée, simple et claire adaptée à ses propres réalités lui permettant d’en tirer les bénéfices principaux suivants :
D’une certaine manière, le contexte socio-économique actuel a forcé plus d’une entreprise à devancer le nouveau modèle en redéfinissant les frontières entre les différentes lignes pour assurer sa survie. Le nouveau Modèle des Trois Lignes n’est donc pas une révolution, mais une évolution du modèle précèdent pour une approche holistique en termes de gouvernance et de gestion des risques des entreprises afin d’assurer leur pérennité.