Quel est le point commun entre les fortifications de Carcassonne et le Contrôle interne ? Ce sont les lignes de défense qui permettent d’une part de défendre le château et d’autre part de réduire et maîtriser les risques.
Dans le cadre de la gouvernance, du contrôle interne et du management des risques, on entend souvent parler du Modèle des 3 Lignes de Défense.
Ce concept initié par l’IIA (Institute of Internal Auditors) a pour objectif principal de diminuer les risques liés aux erreurs et à la fraude en entreprise.
De quoi s’agit-il vraiment ? Quel est le rôle de chaque ligne de défense ? Découvrez cela au travers d’exemples concrets rencontrés sur le terrain.
Le rôle des Trois Lignes de Défense
L’origine « guerrière » du terme ligne de défense illustre parfaitement son rôle contre les événements néfastes et les risques. Leur survenance peut être réduite si l’organisation est bien définie et que chaque ligne joue son rôle efficacement.
La première ligne de défense représente la gestion des risques et les contrôles traités par les collaborateurs opérationnels. Ces contrôles de premier niveau sont essentiels, car ils sont directement liés à la fourniture de produits ou services aux clients.
La deuxième ligne de défense représente la gestion des risques et les contrôles réalisés par les fonctions de support telles que le Responsable du Contrôle interne, le Risk Manager ou le Responsable Compliance. Ils initient les contrôles et s’assurent de leur bonne exécution par la première ligne.
La troisième ligne de défense est l’audit interne de l’entreprise qui aura la charge de l’administration des contrôles et plus globalement la gestion de la démarche de maîtrise des risques.
Les deux premières lignes sont directement pilotées par la Direction Générale qui initie la stratégie et fixe des objectifs. Régulièrement, ces deux lignes doivent rapporter à la Direction le résultat des contrôles et des actions mises en place. La troisième ligne de défense est quant à elle plus indépendante et fournit une assurance et des conseils auprès de la Direction Générale et du Conseil d’Administration.
Voici deux exemples concrets afin d’illustrer le Modèle des Trois Lignes de Défense.
Le Modèle des Trois Lignes de Défense, exemple dans une billetterie de spectacle
Prenons un exemple qui parle à tous, une billetterie de spectacle dans laquelle il peut exister des risques d’erreurs ou de fraude. Des contrôles peuvent être mis en place à plusieurs niveaux afin de maîtriser ces risques.
Le Modèle des Trois Lignes de Défense, exemple dans une banque
Le Modèle des 3 Lignes est très répandu dans le secteur bancaire. Par exemples, lors de la création de nouveaux comptes clients, les établissements bancaires doivent réaliser des contrôles pour s’assurer que le client potentiel ne représente pas un risque pour eux.
Voici une illustration concrète de ce que pourraient être les 3 lignes de défense dans cette activité.
Contrôle permanent et contrôle périodique
Les notions de contrôle permanent et contrôle périodique sont parfois associées aux Lignes de Défense. Existe-t-il un lien entre ces deux concepts ?
Le contrôle permanent recouvre les contrôles au quotidien réalisés par les opérationnels dans le cadre du traitement des opérations (premier niveau) et par le contrôle interne, la gestion des risques et la conformité (deuxième niveau).
Le contrôle périodique permet de prendre un certain recul et recouvre les contrôles de troisième niveau réalisés par l’audit interne (troisième niveau).
Existe-t-il d’autres lignes de défense ?
Selon le secteur d’activité, il est possible de retrouver des lignes de défense supplémentaires. Cela peut être lié à la réglementation en vigueur ou tout simplement à l’organisation de l’entreprise.
La quatrième ligne de défense, même si elle n’est pas toujours formalisée, est présente dans un grand nombre d’entreprises puisqu’il s’agit des établissements externes qui seront en charge des audits.
La cinquième ligne de défense est plus spécifique à certains domaines comme le secteur bancaire. Il s’agit des organes de régulation tels que l’ACPR en France, la FINMA en Suisse ou la BaFin en Allemagne.
Le Modèle des Trois Lignes de Défense est donc un outil essentiel pour aider les entreprises à adopter une structure et des processus efficaces pour réduire les risques et réaliser leurs objectifs.
L’utilisation d’un logiciel de contrôle interne et de gestion des risques va également dans ce sens en simplifiant efficacement leur gestion.