Les trois lignes de défense / Eclairage

Les exigences de contrôle interne s’appliquent à l’ensemble des activités d’une société, qu’elle soit financière ou non. Le modèle dit des «trois lignes de défense» constitue un cadre de référence pour la gestion des risques de l’entreprise. C’est un dispositif de contrôle interne qui, dans le domaine bancaire, a été exigé par le Comité de Bâle et les régulateurs européens. Il n’en reste pas moins pertinent pour tout type d’entreprise.

Voyons brièvement ce que propose ce modèle. En première ligne figurent les opérationnels. Ils tiennent compte du risque dans une perspective d’optimisation du couple rendement/risque. Ils définissent et gèrent les processus, les personnes et la technologie. Par leurs contrôles, ils anticipent et limitent les niveaux d’exposition de risques engendrés par leurs activités et leurs impacts, financiers ou non, afin d’atteindre leurs objectifs tout en limitant la matérialisation des risques potentiels liés.

En deuxième ligne figurent les spécialistes du risque et du contrôle de conformité. Indépendants de la première ligne, il leur incombe un rôle de gardien en surveillant la gestion de la première ligne et en fournissant des conseils pour l’améliorer. Ils établissent et communiquent des méthodes d’évaluation, des normes et pratiques. Ceci afin de s’assurer que la prise de risque est conforme à l’appétit pour le risque défini par les organes de direction de l’entreprise.

La troisième ligne est constituée par la fonction d’audit interne. Elle donne, avec objectivité, de l’assurance aux organes de direction sur le degré de maîtrise de leurs opérations. Elle évalue les dispositifs de contrôle interne, en fixant notamment les règles suivant lesquelles opèrent les deux premières lignes. Cette troisième ligne aide la société à atteindre ses objectifs en évaluant ses processus de management des risques, de contrôle, de gouvernance et en proposant des recommandations pour renforcer leur efficacité.

La gouvernance interne chapeaute ces trois lignes de défense. Le conseil d’administration définit le modèle d’affaires ainsi que la stratégie en matière de risque. Il doit encourager la mise en place d’un solide dispositif de gestion des risques. La direction met en œuvre ces stratégies à travers des politiques et procédures qui définissent les processus de gestion des risques. Le conseil d’administration contrôle enfin la gestion de la direction. Le système est consolidé par les accès directs dont doivent bénéficier les responsables des lignes deux et trois vers le conseil d’administration

Adopté depuis déjà des années par des établissements bancaires de par la règlementation en vigueur, le modèle peine encore à se généraliser au sein des autres entreprises. D’un point de vue opérationnel, la mise en place de celui-ci devient une nécessité afin de s’assurer d’une bonne gouvernance des sociétés. Ne pas s’y conformer, c’est prendre le risque de voir se transformer ces lignes de défense en lignes d’attaque, ce qui n’est assurément pas l’effet escompté.

Luc Neuberg, président de l’Alrim