Mise à jour des trois lignes de Maîtrise: quels avantages pour les entreprises ?
En quoi consistait l’ancien Modèle dit des 3 Lignes de Maîtrise ?
Publié il y a plus de 10 ans, le Modèle des Trois Lignes de Défense avait pour objectif principal de clarifier les rôles et les responsabilités en matière de maîtrise des activités en définissant Qui, Fait Quoi dans l’entreprise :
- La 1ère Ligne de Maîtrise constituée principalement par les opérations, être chargé de la bonne conduite des activités (fourniture des biens & services), de la gestion des risques y compris des contrôles afférents
- La 2ᵉ Ligne de Maîtrise constituée principalement du risque management, du contrôle interne et de la conformité, vient en appui à la 1ère Ligne dans l’identification des risques, l’exécution des contrôles et la communication du niveau de maîtrise des activités auprès des instances de gouvernance
- La 3ᵉ Ligne de Maîtrise représentée par l’Audit Interne donne une évaluation indépendante et globale de l’efficacité des dispositifs de gestion des risques et de contrôle interne portés par la 1ère et la 2ᵉ Ligne
La faiblesse de l’ancien modèle des 3 lignes de défense
Ce modèle avait pour mérite de définir de manière bien distincte les rôles et les responsabilités de chaque ligne dans l’échiquier du dispositif de gouvernance et de gestion des risques. Organisation, très appréciée dans les grands groupes et les secteurs très règlementés comme la banque et l’assurance -cependant, moins applicable dans les petites structures, où une certaine perméabilité entre les différentes lignes est de facto plus observée.
Le nouveau modèle : 6 principes Clés
L’IIA a entrepris pendant plus d’un an un projet de mise à jour du Modèle des trois Lignes de Maîtrise, afin de refléter au mieux les différentes évolutions en matière de gestion des risques et de gouvernance d’entreprise.
Le modèle s’articule autour de six principes clés à intégrer dans le dispositif de maîtrise des activités, pour une plus grande communication, coopération et collaboration au sein de l’entreprise, afin d’assurer la création et la protection de la valeur. Le cadre de gouvernance de l’entreprise n’est plus établi à partir de lignes rigides et de rôles bien distincts, mais est défini au travers de 3 domaines de responsabilités à savoir :
- Le devoir de rendre compte aux parties prenantes (salariés, actionnaires, État…) par l’Organe de Gouvernance en matière de surveillance : « L’entreprise sera-t-elle pérenne dans le temps ?»
- L’identification de l’ensemble des Actions (fourniture des biens/services, gestion des risques et du contrôle interne) entreprises par le Management pour atteindre les objectifs de l’entreprise
- La garantie d’une assurance et de conseils sur l’adéquation et l’efficacité de l’organe de gouvernance et de la gestion des risques (contrôle interne y compris) fournis par une fonction d’
La grande innovation du nouveau modèle réside dans le regroupement de la 1ère et de la 2ième Ligne qui sont appelées à travailler main dans la main, pour une plus grande collaboration et communication. De ce fait, le terme « Lignes » ne désigne plus des éléments structurels comme dans le précédent modèle, mais sert à définir un nouveau cadre de fonctionnement opérationnel entre elles.
Ainsi, en étant basé sur des principes et non sur une organisation structurante, le nouveau modèle offre aux entreprises de toutes tailles, tous secteurs confondus, une plus grande flexibilité dans l’application et l’adaptabilité d’une démarche standardisée. Les rôles des différentes lignes sont à définir en fonction de plusieurs critères comme les besoins, les priorités, la taille et la complexité de l’organisation tout en respectant les trois domaines principaux de responsabilités.
Pour Richard F. Chambers, Président et CEO du Global Institute of Internal Auditor (IIA), le nouveau Modèle des Trois Lignes « promet à nombre d’organisations de modifier leurs relations au risque, mais aussi aux dispositifs de contrôle, à la collaboration, à la communication, au devoir de rendre compte, à l'assurance et bien plus encore. »
Quels bénéfices les entreprises peuvent-elles en tirer ?
La grande flexibilité du nouveau Modèle des Trois Lignes de défense permet à tout entreprise de s’inscrire plus facilement dans une démarche standardisée, simple et claire adaptée à ses propres réalités lui permettant d’en tirer les bénéfices principaux suivants :
- Favoriser l’émergence d’une véritable culture du risque grâce à une synergie plus forte entre les différentes unités organisationnelles, garantissant ainsi une approche plus proactive de la gestion des risques pour une meilleure résilience de l’entreprise
- Gagner en agilité afin d’assurer la pérennité de l’organisation dans le temps grâce à la mise en place d’une communication bidirectionnelle accrue facilitant ainsi une prise de décision éclairée à tous les niveaux
- Repositionner les fonctions d’audit, de risque management et de contrôle interne qui n’ont plus un rôle de « Gendarme » mais de « Compagnon », apportant ainsi un support aux Opérationnels dans la création et la protection de la valeur
- Ce dernier point a été beaucoup observé dans les entreprises ces derniers temps, où les auditeurs étaient dans l’incapacité d’effectuer des missions sur le terrain à cause de la pandémie ont dû se réinventer. Certains se sont intégrés aux opérations, tel que préconisé par le nouveau modèle de l’IIA, pour apporter leur expertise tout en se gardant bien de prendre des décisions opérationnelles afin de garantir leur indépendance.
D’une certaine manière, le contexte socio-économique actuel a forcé plus d’une entreprise à devancer le nouveau modèle en redéfinissant les frontières entre les différentes lignes pour assurer sa survie. Le nouveau Modèle des Trois Lignes n’est donc pas une révolution, mais une évolution du modèle précèdent pour une approche holistique en termes de gouvernance et de gestion des risques des entreprises afin d’assurer leur pérennité.
En quoi consistait l’ancien Modèle dit des 3 Lignes de Maîtrise ?
Publié il y a plus de 10 ans, le Modèle des Trois Lignes de Défense avait pour objectif principal de clarifier les rôles et les responsabilités en matière de maîtrise des activités en définissant Qui, Fait Quoi dans l’entreprise :
- La 1ère Ligne de Maîtrise constituée principalement par les opérations, être chargé de la bonne conduite des activités (fourniture des biens & services), de la gestion des risques y compris des contrôles afférents
- La 2ᵉ Ligne de Maîtrise constituée principalement du risque management, du contrôle interne et de la conformité, vient en appui à la 1ère Ligne dans l’identification des risques, l’exécution des contrôles et la communication du niveau de maîtrise des activités auprès des instances de gouvernance
- La 3ᵉ Ligne de Maîtrise représentée par l’Audit Interne donne une évaluation indépendante et globale de l’efficacité des dispositifs de gestion des risques et de contrôle interne portés par la 1ère et la 2ᵉ Ligne
La faiblesse de l’ancien modèle des 3 lignes de défense
Ce modèle avait pour mérite de définir de manière bien distincte les rôles et les responsabilités de chaque ligne dans l’échiquier du dispositif de gouvernance et de gestion des risques. Organisation, très appréciée dans les grands groupes et les secteurs très règlementés comme la banque et l’assurance -cependant, moins applicable dans les petites structures, où une certaine perméabilité entre les différentes lignes est de facto plus observée.
Le nouveau modèle : 6 principes Clés
L’IIA a entrepris pendant plus d’un an un projet de mise à jour du Modèle des trois Lignes de Maîtrise, afin de refléter au mieux les différentes évolutions en matière de gestion des risques et de gouvernance d’entreprise.
Le modèle s’articule autour de six principes clés à intégrer dans le dispositif de maîtrise des activités, pour une plus grande communication, coopération et collaboration au sein de l’entreprise, afin d’assurer la création et la protection de la valeur. Le cadre de gouvernance de l’entreprise n’est plus établi à partir de lignes rigides et de rôles bien distincts, mais est défini au travers de 3 domaines de responsabilités à savoir :
- Le devoir de rendre compte aux parties prenantes (salariés, actionnaires, État…) par l’Organe de Gouvernance en matière de surveillance : « L’entreprise sera-t-elle pérenne dans le temps ?»
- L’identification de l’ensemble des Actions (fourniture des biens/services, gestion des risques et du contrôle interne) entreprises par le Management pour atteindre les objectifs de l’entreprise
- La garantie d’une assurance et de conseils sur l’adéquation et l’efficacité de l’organe de gouvernance et de la gestion des risques (contrôle interne y compris) fournis par une fonction d’
La grande innovation du nouveau modèle réside dans le regroupement de la 1ère et de la 2ième Ligne qui sont appelées à travailler main dans la main, pour une plus grande collaboration et communication. De ce fait, le terme « Lignes » ne désigne plus des éléments structurels comme dans le précédent modèle, mais sert à définir un nouveau cadre de fonctionnement opérationnel entre elles.
Ainsi, en étant basé sur des principes et non sur une organisation structurante, le nouveau modèle offre aux entreprises de toutes tailles, tous secteurs confondus, une plus grande flexibilité dans l’application et l’adaptabilité d’une démarche standardisée. Les rôles des différentes lignes sont à définir en fonction de plusieurs critères comme les besoins, les priorités, la taille et la complexité de l’organisation tout en respectant les trois domaines principaux de responsabilités.
Pour Richard F. Chambers, Président et CEO du Global Institute of Internal Auditor (IIA), le nouveau Modèle des Trois Lignes « promet à nombre d’organisations de modifier leurs relations au risque, mais aussi aux dispositifs de contrôle, à la collaboration, à la communication, au devoir de rendre compte, à l'assurance et bien plus encore. »
Quels bénéfices les entreprises peuvent-elles en tirer ?
La grande flexibilité du nouveau Modèle des Trois Lignes de défense permet à tout entreprise de s’inscrire plus facilement dans une démarche standardisée, simple et claire adaptée à ses propres réalités lui permettant d’en tirer les bénéfices principaux suivants :
- Favoriser l’émergence d’une véritable culture du risque grâce à une synergie plus forte entre les différentes unités organisationnelles, garantissant ainsi une approche plus proactive de la gestion des risques pour une meilleure résilience de l’entreprise
- Gagner en agilité afin d’assurer la pérennité de l’organisation dans le temps grâce à la mise en place d’une communication bidirectionnelle accrue facilitant ainsi une prise de décision éclairée à tous les niveaux
- Repositionner les fonctions d’audit, de risque management et de contrôle interne qui n’ont plus un rôle de « Gendarme » mais de « Compagnon », apportant ainsi un support aux Opérationnels dans la création et la protection de la valeur
- Ce dernier point a été beaucoup observé dans les entreprises ces derniers temps, où les auditeurs étaient dans l’incapacité d’effectuer des missions sur le terrain à cause de la pandémie ont dû se réinventer. Certains se sont intégrés aux opérations, tel que préconisé par le nouveau modèle de l’IIA, pour apporter leur expertise tout en se gardant bien de prendre des décisions opérationnelles afin de garantir leur indépendance.
D’une certaine manière, le contexte socio-économique actuel a forcé plus d’une entreprise à devancer le nouveau modèle en redéfinissant les frontières entre les différentes lignes pour assurer sa survie. Le nouveau Modèle des Trois Lignes n’est donc pas une révolution, mais une évolution du modèle précèdent pour une approche holistique en termes de gouvernance et de gestion des risques des entreprises afin d’assurer leur pérennité.
