Le modèle des trois lignes de défense est une infrastructure réglementée conçue pour fournir une approche standardisée et complète de la gouvernance et de la gestion des risques.
Le risque opérationnel est défini comme le risque de perte résultant de processus internes inadéquats ou défaillants, d’événements externes, de personnes ou de systèmes. Il n’y a pas si longtemps, la responsabilité de la gestion du risque opérationnel au sein d’une entreprise reposait souvent entièrement sur les épaules d’experts individuels. En s’appuyant sur leurs propres expériences et sur des fonctions d’audit interne limitées, ils s’attelaient à identifier les faiblesses ou les lacunes évidentes susceptibles d’exposer l’entreprise à des risques inutiles. L’auditeur était la seule véritable ligne de défense entre l’entreprise et l’ensemble des éléments pouvant lui porter atteinte.
Aujourd’hui, le nombre et la complexité des risques commerciaux ne cessent d’augmenter. Pour faire face à ces risques et les atténuer, de nombreuses entreprises adoptent un autre modèle de gouvernance : les trois lignes de défense (3LoD).
Comme son nom l’indique, ce modèle de gestion des risques se compose de trois niveaux de protection. Ces derniers sont conçus pour fournir une assistance redondante en matière de gestion des risques et pour aider à garantir que les dangers sont identifiés et traités avant qu’ils n’aient un impact négatif sur les opérations. Parallèlement, la version la plus récente du modèle 3LoD met l’accent sur la collaboration, la responsabilité et la concentration sur les objectifs, ce qui en fait une infrastructure importante non seulement pour la défense, mais aussi pour reconnaître et saisir les occasions lorsqu’elles se présentent.
Examinons ici de plus près chacune des trois lignes de défense en matière de risque, le lien entre le modèle 3LoD et la résilience opérationnelle, et ce que nous pouvons attendre de l’approche à trois lignes dans les années à venir.
La première ligne de défense (LoD 1) est la gestion opérationnelle, qui comprend les responsables de première ligne chargés des activités quotidiennes de gestion des risques. Ces gestionnaires supervisent les employés lorsqu’ils travaillent au sein des systèmes et applications de l’entreprise, en veillant à ce que les procédures de gestion des risques appropriées soient suivies. Ils sont également responsables de la mise en œuvre de mesures correctives en cas de défaillances des processus et des contrôles.
La direction opérationnelle de l’entreprise est principalement chargée de maintenir des contrôles internes adéquats, d’exécuter des procédures de gestion des risques, d’identifier et d’évaluer les risques, de guider et de mettre en œuvre des politiques internes et de s’assurer que toutes les activités soutiennent les objectifs établis, et ce, au quotidien. L’objectif global de cette première ligne de défense est la conformité continue et la capacité à identifier rapidement les défaillances de contrôle, les processus inadéquats ou les événements qui se produisent.
Les activités quotidiennes jouent un rôle crucial dans le risque opérationnel. En tant que telle, cette première ligne de défense est fondamentale et doit être soutenue par des mécanismes internes, tels que des contrôles de gestion fiables et des mesures de contrôle interne. Ces mécanismes sont développés et mis en œuvre avec une supervision élevée de la direction opérationnelle et doivent être régulièrement testés pour vérifier leur fonctionnalité et leur efficacité.
La troisième ligne de défense (LoD 3) du modèle 3LoD est l’auditeur interne. Les auditeurs sont chargés d’examiner l’ensemble des processus, procédures et infrastructures de gestion des risques, afin de fournir une assurance complète de l’efficacité de la gouvernance et des contrôles internes. Cette ligne de défense soutient les deux lignes précédentes, mais doit être capable de fonctionner de manière totalement indépendante, en adoptant une position objective et en étant directement sous la responsabilité de la direction et de tout organe de direction, conseil ou comité d’audit supérieur.
Comme ligne de défense finale, les audits internes doivent être capables de soutenir un éventail d’objectifs liés à l’efficacité opérationnelle, à la fiabilité des rapports, à la conformité réglementaire, et plus encore.
Bien que la troisième ligne de défense soit principalement associée aux audits internes, des audits externes peuvent également être introduits pour enrichir cette ligne et ajouter une couche d’assurance supplémentaire. En effet, le recours à un auditeur externe peut, dans certains cas, s’avérer obligatoire (par exemple, en obtenant la conformité SOC1 ou SOC2, en créant un rapport PCI ou en documentant l’efficacité des contrôles SOX-404).
Les trois lignes de défense sont conçues pour soutenir et améliorer la résilience opérationnelle d’une entreprise.
La résilience opérationnelle est la capacité d’une organisation à continuer à servir ses clients, à fournir des produits et des services et à protéger son personnel face à des événements opérationnels défavorables. Pour ce faire, il faut anticiper les événements défavorables, les prévenir, s’en remettre et s’y adapter. Parmi les événements potentiels, mentionnons les pandémies, les violations de données, les incendies, les conditions météorologiques destructrices et les pannes de réseau.
Les principes de la résilience opérationnelle sont les suivants :
La gouvernance désigne les systèmes et les mécanismes sur lesquels une organisation s’appuie pour fonctionner et par lesquels elle et ses employés sont tenus responsables. La gestion des risques et la conformité relèvent toutes deux de la gouvernance. Des structures de gouvernance efficaces permettent aux organisations de créer des plans et des approches fiables en matière de résilience opérationnelle, leur donnant ainsi les moyens de mieux réagir aux événements perturbateurs et de s’en remettre.
Gestion des risques opérationnels (ORM) est un cycle continu qui comprend l’évaluation des risques, la prise de décision en matière de risques et la mise en œuvre de contrôles des risques, ce qui aboutit à l’acceptation, à l’atténuation ou à la prévention des risques.
La planification de la continuité des activités décrit la création de plans de continuité pour divers scénarios de crise, leur mise en œuvre, la formation à leur sujet et leur suivi. Elle a pour objectif de créer des stratégies fiables pour garantir l’offre en continu des opérations critiques en cas d’événements potentiellement perturbateurs.
Le mappage des interdépendances identifie et trace les connexions et interdépendances internes et externes, en indiquant clairement quelles interdépendances sont nécessaires pour les opérations critiques et la continuité des services en cas de perturbation éventuelle.
La gestion des risques liés aux tiers désigne les outils et les pratiques permettant de gérer les relations avec les tiers, en identifiant les entités tierces qui sont essentielles aux opérations critiques.
La gestion des incidents renvoie aux processus associés à la création de plans d’intervention et de reprise pour des scénarios d’incidents particuliers. Ces plans doivent être continuellement affinés et mis à jour à partir des aperçus issus de l’analyse des données et des incidents précédents.
Les technologies de l’information, de la communication et de la cybersécurité doivent être régulièrement testées et améliorées afin de soutenir la continuité des opérations critiques.
Le modèle des trois lignes de défense est une approche éprouvée de la gestion des risques. Mais tout comme les plans de continuité et de résilience doivent être régulièrement mis à jour afin de mieux tenir compte de l’évolution des situations, le modèle 3LoD a fait l’objet d’un certain nombre de révisions depuis son introduction.
Récemment, le Comité de Bâle sur le contrôle bancaire (CBCB) a publié une révision des Principes de saine gestion du risque opérationnel. Bien que ces révisions du modèle 3LoD soient expressément destinées aux banques et aux organisations connexes, elles peuvent tout aussi bien s’appliquer aux entreprises non bancaires afin d’améliorer encore leur profil de gestion des risques.
La mise à jour des 3LoD de Bâle est :
- Une importance accrue accordée au rôle de la direction dans l’exécution des activités de gestion des risques opérationnels.
- Des descriptions plus claires des autres rôles au sein du modèle des trois lignes de défense.
- Une meilleure articulation des sources de risques émergents.
- Une attention particulière accordée à la résilience opérationnelle.
À mesure que les risques se diversifient, le modèle des trois lignes de défense doit également continuer à s’adapter. Cette réalité concerne peut-être plus directement la troisième ligne : les audits internes. Les auditeurs internes et leurs processus associés doivent devenir plus agiles et plus tournés vers l’avenir, afin de promouvoir un changement positif dans l’ensemble du modèle 3LoD. À l’avenir, les auditeurs devront jouer un rôle beaucoup plus actif dans le conseil et l’anticipation, ainsi que dans la formation des parties prenantes à tous les niveaux.
Au-delà des audits internes, d’autres avancées continueront à façonner le modèle 3LoD. Les innovations, notamment l’automatisation, l’apprentissage machine et la mise en œuvre de l’IA, permettront d’identifier et de corriger plus facilement les risques. De même, les organisations se concentreront davantage sur l’élément humain des trois lignes de défense, en s’efforçant d’améliorer la coordination, la communication et les méthodologies entre les équipes et les services.
La gestion des risques opérationnels est un aspect essentiel de l’entreprise moderne. Le modèle 3LoD existe pour fournir des niveaux de protection redondants afin d’offrir une sécurité accrue contre toute une série de menaces. Mais à lui seul, le modèle 3LoD peut ne pas suffire à protéger pleinement les organisations contre des dangers en constante évolution. ServiceNow, leader du secteur de la gestion informatique, apporte la solution :
Gestion des risques opérationnels de ServiceNow permet aux organisations d’appliquer une surveillance continue, d’intégrer des aperçus pertinents provenant de l’ensemble de l’entreprise, et de hiérarchiser les risques émergents et d’y répondre plus rapidement que cela ne serait possible autrement. L’application GRC de Gestion des risques opérationnels comprend des outils d’auto-évaluation des risques, d’assurance des contrôles, de test, de capture des incidents et des pertes et de surveillance automatisée. Étayée par des analyses et des rapports avancés, une gestion améliorée des problèmes grâce à l’intelligence prédictive intégrée et bien plus encore, Gestion des risques opérationnels offre les défenses accrues nécessaires aux entreprises d’aujourd’hui pour survivre et prospérer.
Limitez les pertes opérationnelles. Construire la résilience et la fiabilité. Réduisez les coûts et améliorez la productivité. Et bénéficiez enfin d’une visibilité complète et en temps réel sur toutes les tolérances de contrôle et de risque. Gestion des risques opérationnels de ServiceNow rend tout cela possible.