Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLe nouveau Modèle des Trois Lignes de l’IIA propose une évolution opportune d'un outil reconnu

​Le nouveau Modèle des Trois Lignes de l’IIA propose une évolution opportune d'un outil reconnu

Aujourd'hui, l’IIA dévoile une importante actualisation de l’un des outils de gestion des risques les plus connus et respectés. Le nouveau Modèle des Trois Lignes de l’IIA, une mise à jour du célèbre Modèle des Trois Lignes de Maîtrise, promet à nombre d’organisations de modifier leurs relations au risque mais aussi aux dispositifs de contrôle, à la collaboration, à la communication, au devoir de rendre compte, à l'assurance et bien plus encore.

J'avais publié un article il y a plus d’un an pour annoncer le projet de l’IIA d’étudier comment au mieux mettre à jour les Trois Lignes de Maîtrise. Nous voulions que le modèle reflète les évolutions s'étant opérées dans la gestion des risques et la gouvernance, tout en préservant simultanément son approche simple et claire. Je suis heureux d'annoncer que cet effort a fini par payer. Cela aura nécessité des centaines d’heure de travail et d’implication de la part de nos experts ainsi que la collecte de l’opinion des parties concernées à travers le monde.

Avant de rentrer dans les détails, je voudrais rappeler à mes lecteurs et lectrices la démarche mise en œuvre pour aboutir à ce nouveau modèle. Le projet a été mené par un groupe de travail principal constitué d’experts de la gouvernance, avec à sa tête Jenitha John, Vice-Présidente Senior de l’IIA. Ce groupe de travail a également puisé dans la vaste expérience d’un comité consultatif supplémentaire constitué de 30 membres. Le projet comprenait une revue exhaustive des approches en matière de gouvernance à travers le monde ainsi qu’une analyse de la façon dont le modèle était fondu dans la pratique et la réglementation. Nous sommes également partis à la recherche des opinions de la communauté professionnelle grâce à un processus de consultation publique formel et mondial.

Le Modèle des Trois Lignes : Une mise à jour des Trois Lignes de Maîtrise

Le modèle publié aujourd’hui constitue davantage une évolution naturelle du Modèle connu des Trois Lignes de Maîtrise qu’une véritable révolution. Pour autant, cela ne veut pas dire que les changements apportés sont minimes.

L’une des évolutions significatives est la plus grande intégration de l’instance de gouvernance dans le modèle, lequel en délimite clairement les rôles et responsabilités, ainsi que ceux de la direction générale et de l’audit interne. Ces rôles ne se limitent pas à la gestion des risques mais plutôt, ils se concentrent sur la gouvernance globale de l’organisation.

Bien qu'il ne s’agisse pas d’un modèle de gouvernance, l'attention croissante portée sur ce sujet appuie non seulement la création et la protection de la valeur, mais elle traite aussi des aspects offensifs et défensifs de la gestion des risques. Cela pallie l’une des critiques principales faite au Modèle des Trois Lignes de Maîtrise, à savoir qu’il est surtout orienté sur la défense.

Le plus grand changement réside dans l’identification de six principes clés qui sous-tendent le nouveau Modèle des Trois Lignes :

Principe no 1 : La gouvernance d’une organisation doit reposer sur des structures et des processus appropriés facilitant le devoir de rendre compte, la mise en œuvre des actions nécessaires  pour atteindre les objectifs de l’organisation, et l’obtention d’une assurance.

Principe no 2 : Les rôles des instances de gouvernance assurent que des structures et des processus adéquats sont en place pour garantir l'efficacité de la gouvernance.

Principe no 3 :  La responsabilité du management d’atteindre les objectifs de l’organisation recouvre les rôles des deux premières lignes du modèle. Ceux de la première sont plus directement liés à la fourniture de produits et/ou services aux clients de l’organisation et incluent les fonctions supports. Ceux de la deuxième recouvrent quant à eux des activités d’appui à la gestion des risques.

Principe no 4 : Dans son rôle de troisième ligne, l’audit interne fournit une assurance et des conseils indépendants et objectifs sur l’adéquation et l’efficacité de la gouvernance et de la gestion des risques. Pour ce faire, il met en œuvre, de manière adéquate des processus, une expertise et des points de vue systématiques et méthodiques. Il a la possibilité de faire appel à d’autres prestataires d’assurance, internes comme externes.

Principe no 5 : L’audit interne doit impérativement rester indépendant du management pour préserver son objectivité, son autorité et sa crédibilité.

Principe no 6 : Ensemble, tous ces rôles contribuent à la création ainsi qu'à la protection de la valeur, dès lors qu’ils sont en phase les uns avec les autres ainsi qu’avec les intérêts prioritaires des parties prenantes.

La plupart des auditeurs internes devraient être familiarisés avec ces concepts, même s’ils n’ont jamais été formulés en un modèle ou un document unique. Les organisations qui adoptent pleinement ces principes et les intègrent dans leurs dispositifs de contrôle, leurs opérations et leur culture bénéficient invariablement d’une gouvernance plus forte. Toutes les organisations devraient viser l’adhésion à ces principes et, une fois atteint, elles devraient en assurer le contrôle et l’enrichissement continus.

Le défis pour toutes les organisations résidera dans l'application et l'adaptation du Modèle des Trois Lignes à leurs propres besoins et priorités. Par exemple, le périmètre des rôles de première et de deuxième lignes diffèreront selon un certain nombre de facteurs, parmi lesquels la taille et la complexité de l’organisation, l’industrie ou le secteur d'activité dans lequel elle opère et le niveau de réglementation externe.

En fondant le nouveau modèle sur des principes, l’objectif était de fournir à ses utilisateurs une plus grande flexibilité. Les instances de gouvernance, l'équipe managériale et l'audit interne ne sont pas contraints dans des rôles et des lignes rigides. Le concept de « lignes » a été conservé par souci de familiarité. Il convient toutefois de noter que le terme ne sert pas à désigner des éléments structurels mais à distinguer les différents rôles. Les domaines de responsabilité sont généralement décrits ainsi :

  • Devoir de rendre compte de l’instance de gouvernance envers les parties prenantes en matière de surveillance.
  • Actions (comprenant la gestion des risques) entreprises par le management pour atteindre les objectifs de l’organisation.
  • Assurance et conseils obtenus par l’intermédiaire d’une fonction d'audit interne indépendante et visant à fournir des éclairages, une confiance et à encourager l’amélioration continue.

Dans un élan de prudence excessif, d'aucuns prétendent que l'audit interne devrait se limiter à la « Troisième Ligne », afin d'assurer l’indépendance et l’objectivité de son équipe. Toutefois, la version revue du modèle insiste clairement sur le fait qu’« indépendance ne signifie pas isolement ». Comme le fait remarquer cette mise à jour, « l’audit interne et le management doivent entretenir un dialogue régulier [...] Il est fondamental que les rôles de première et deuxième lignes du management et l’audit interne collaborent et communiquent ».

Je suis convaincu des améliorations que le nouveau Modèle des Trois Lignes apporte aux Trois Lignes de Maîtrise, et j’espère qu'il sera largement adopté, comme son prédécesseur. Ces changements en décevront peut-être certains qui jugeront qu’ils vont trop loin ou au contraire pas assez. Il est probable que ceux qui se montreront critiques à l’égard de ce modèle et qui argumenteront en sa défaveur seront nombreux.

J'accueillerai toutes les observations constructives et les critiques, mais ce n’est qu’avec le temps que la vraie valeur de ce modèle pourra être vérifiée, comme c’est le cas pour tous les nouveaux concepts et leurs mises à jour.

Communication: Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, écrit un article hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l’audit interne.