Nous avons pour l'instant surtout discuté sur Parlonsaudit.com du rôle de l'audit interne et des autres fonctions de la governance, risk and compliance dans la gestion des risques et l'assurance sur le degré de maîtrise des opérations. Ces fonctions ne sont pourtant pas les seules concernées par ces sujets dans l'organisation. *************************************************************************************************************** Est-ce que l’audit interne est la seule fonction concernée par les risques et les contrôles dans l’organisation ? Bien sûr que non : les collaborateurs, le management, les fonctions supports et même des intervenants extérieurs tels que les commissaires aux comptes jouent tous un rôle dans la gestion des risques et / ou leur suivi. Mais parmi cette multitude d’acteurs, qui fait quoi exactement ? Quelle est la répartition des rôles dans la prise en charge, la surveillance et le degré d’assurance lié aux risques ?
Le three lines of defense model développé par l'IIA ou le modèle des trois lignes de maîtrise selon la terminologie française, a justement pour objectif d'éclaircir la répartition des rôles en matière de gestion des risques et de contrôles:
Source : Prise de position de l’IIA « les 3 lignes de maîtrise : pour une gestion des risques et un contrôle efficaces », Janvier 2013
La première ligne de maîtrise représente les activités de gestion des risques et de contrôle réalisées par les collaborateurs et pilotées par le management. Ces contrôles de premier niveau sont essentiels mais il ne faut pas perdre de vue qu’ils sont effectués par les collaborateurs directement responsables de l’activité.
La deuxième ligne de maîtrise représente les activités de gestion des risques et de contrôle réalisées par les fonctions supports de l’organisation, lesquelles sont d’autres prestataires d’assurance internes : contrôle financier, conformité, santé & sécurité… on considère que cette ligne est plus indépendante que la précédente car les collaborateurs réalisant les contrôles ne sont pas directement responsables de l’activité, même si ceux-ci ont souvent d’autres responsabilités de gestion.
La troisième ligne de maîtrise est l’audit interne qui est responsable d’évaluer de façon indépendante (car n’exerce pas d’autres responsabilités de gestion) et objective le degré de maîtrise des opérations.
Enfin, les autres prestataires d’assurance externes contribuent aussi à fournir à la direction générale et au Conseil une assurance sur le degré de maîtrise des opérations.
Rien de révolutionnaire me diriez-vous ? Probablement. Mais l’idée ici est plutôt de conceptualiser la répartition des rôles en matière de gestion des risques et de contrôle afin de mieux coordonner ces activités et donc d'optimiser les travaux de chaque intervenant. Il ne suffit pas en effet que ces fonctions existent dans l’entreprise, encore faut-il qu’elles collaborent entre elles afin de s’assurer que les risques à suivre ne sont pas sur-couverts ou sous-couverts. A bientôt et n'hésitez pas à vous abonner à la newsletter (en bas de page) pour ne rien rater de l'actualité de Parlons Audit!