Le modèle des trois lignes de défense est un cadre réglementé conçu pour fournir une approche standardisée et complète de la gouvernance et de la gestion des risques.
Le risque opérationnel est défini comme le risque de perte résultant de processus internes inadéquats ou défaillants, d’événements externes, de personnes ou de systèmes. Il n’y a pas si longtemps, la responsabilité de la gestion du risque opérationnel au sein d’une entreprise reposait souvent entièrement sur les épaules d’experts individuels. En s’appuyant sur leurs propres expériences et sur des fonctions d’audit interne limitées, ils s’attelaient à identifier les faiblesses ou les lacunes évidentes susceptibles d’exposer l’entreprise à des risques inutiles. L’auditeur était la seule véritable ligne de défense entre l’entreprise et l’ensemble des éléments pouvant lui porter atteinte.
Aujourd’hui, le nombre et la complexité des risques métiers augmentent. Pour faire face à ces risques et les atténuer, de nombreuses entreprises adoptent un autre modèle de gouvernance : les trois lignes de défense (3LoD).
Comme son nom l’indique, ce modèle de gestion des risques se compose de trois niveaux de protection. Ces derniers sont conçus pour fournir une assistance redondante en matière de gestion des risques et pour aider à garantir que les dangers sont identifiés et traités avant qu’ils n’aient un impact négatif sur les opérations. En parallèle, la version la plus récente du modèle 3LoD met l’accent sur l’alignement de la collaboration, la responsabilité et la concentration sur les objectifs. Ainsi, ce modèle offre un cadre important non seulement pour la défense, mais également pour reconnaître et saisir les opportunités à mesure qu’elles se présentent.
Nous allons examiner ci-dessous chacune des trois lignes de défense en matière de risque et voir en quoi le modèle 3LoD est lié à la résilience opérationnelle. Nous verrons aussi ce que nous pouvons attendre de l’approche à trois lignes dans les années à venir.
La première ligne de défense (LoD 1) est la gestion opérationnelle, assurée par des managers de première ligne en charge des activités quotidiennes de gestion des risques. Ces managers supervisent les employés lorsqu’ils travaillent au sein des systèmes et applications de l’entreprise, en veillant à ce que les procédures de gestion des risques appropriées soient suivies. Ils sont également responsables de la mise en œuvre de mesures correctives en cas de défaillances des processus et des contrôles.
La direction opérationnelle de l’entreprise est principalement chargée de maintenir des contrôles internes adéquats, d’exécuter des procédures de gestion des risques, d’identifier et d’évaluer les risques, de guider et de mettre en œuvre des politiques internes et de s’assurer que toutes les activités soutiennent les objectifs établis, et ce, au quotidien. L’objectif global de cette première ligne de défense est la conformité continue et la capacité à identifier rapidement les défaillances de contrôle, les processus inadéquats ou les événements qui se produisent.
Les activités quotidiennes jouent un rôle crucial dans le risque opérationnel. En tant que telle, cette première ligne de défense est fondamentale et doit être soutenue par des mécanismes internes, tels que des contrôles de gestion fiables et des mesures de contrôle interne. Ces mécanismes sont développés et mis en œuvre avec une supervision élevée de la direction opérationnelle et doivent être régulièrement testés pour vérifier leur fonctionnalité et leur efficacité.
La troisième ligne de défense (LoD 3) du modèle 3LoD est l’auditeur interne. Les auditeurs sont chargés d’examiner l’ensemble des processus, procédures et cadres de gestion des risques, afin de fournir une assurance complète de l’efficacité de la gouvernance et des contrôles internes. Cette ligne de défense soutient les deux lignes précédentes, mais doit être capable de fonctionner de manière totalement indépendante, en adoptant une position objective et en étant directement sous la responsabilité de la direction et de tout organe de direction, conseil ou comité d’audit supérieur.
En tant que ligne de défense finale, les audits internes doivent être capables de soutenir un éventail d’objectifs liés à l’efficacité opérationnelle, à la fiabilité des rapports, à la conformité réglementaire, etc.
Bien que la troisième ligne de défense soit principalement associée aux audits internes, des audits externes peuvent également être introduits pour enrichir cette ligne et ajouter une couche d’assurance supplémentaire. En effet, dans certains cas (par exemple, lors de l’obtention de la conformité SOC1 ou SOC2, de la création d’un rapport PCI ou de la documentation de l’efficacité des contrôles SOX-404), un auditeur externe peut être obligatoire.
Les trois lignes de défense sont conçues pour soutenir et améliorer la résilience opérationnelle d’une entreprise.
La résilience opérationnelle est la capacité d’une entreprise à continuer de servir ses clients, de fournir des produits et des services et de protéger son personnel face à des événements opérationnels défavorables. Pour ce faire, il est nécessaire d’anticiper et de prévenir les événements indésirables tout en ayant la capacité de s’y adapter et de s’en remettre. Parmi les événements potentiels, citons les pandémies, les violations de données, les incendies, les phénomènes météorologiques destructeurs et les pannes de réseau.
Les principes de résilience opérationnelle sont les suivants :
La gouvernance décrit les systèmes et mécanismes sur lesquels une entreprise repose pour fonctionner et par lesquels l’entreprise et ses employés sont tenus responsables. La gestion des risques et la conformité relèvent toutes deux de la gouvernance. Des structures de gouvernance efficaces permettent aux entreprises de créer des plans et des approches de résilience opérationnelle fiables. Ainsi, elles peuvent mieux répondre aux événements disruptifs et sont plus aptes à récupérer.
La gestion des risques opérationnels (ORM) est un cycle continu qui inclut l’évaluation des risques, la prise de décision en matière de risques et la mise en œuvre de contrôles des risques, ce qui entraîne l’acceptation, l’atténuation ou l’évitement des risques.
La planification de la continuité d’activité consiste à créer, mettre en œuvre, former et suivre des plans de continuité pour un large éventail de scénarios de crise. La planification de la continuité vise à créer des stratégies fiables pour assurer la continuité des opérations critiques en cas d’événements potentiellement disruptifs.
Le mappage des interdépendances identifie et trace les connexions internes et externes et les interdépendances, en établissant clairement celles qui sont nécessaires pour les opérations critiques et le maintien de la continuité des prestations de services en cas d’interruption.
La gestion des risques liés aux tiers décrit les outils et les pratiques de gestion des relations avec les tiers, en identifiant les entités tierces essentielles aux opérations critiques.
La gestion des incidents fait référence aux processus associés à la création de plans de réponse et de restauration pour des scénarios d’incident particuliers. Ces plans doivent être continuellement améliorés et actualisés à l’aide des informations issues de l’analyse des données et des incidents précédents.
Les technologies de l’information, de la communication et de la cybersécurité doivent être régulièrement testées et améliorées afin de soutenir la mise en œuvre continue des opérations critiques.
Le modèle des trois lignes de défense est une approche fiable de la gestion des risques. Mais tout comme les plans de continuité et de résilience, le modèle 3LoD doit être régulièrement mis à jour pour mieux tenir compte de l’évolution des situations. De ce fait, il a connu un certain nombre de révisions depuis son introduction.
Récemment, le Comité de Bâle sur le contrôle bancaire (BCBS) a publié des révisions des principes de gestion saine du risque opérationnel (Principles for the Sound Management of Operational Risk). Bien que ces révisions du modèle 3LoD soient spécifiquement destinées aux banques et aux entreprises associées, elles peuvent être appliquées tout aussi facilement aux sociétés non bancaires pour améliorer davantage leur profil de gestion des risques.
Les mises à jour du modèle 3LoD par le comité de Bâle comprennent :
- une importance accrue accordée au rôle de la direction dans l’exécution des activités de gestion du risque opérationnel ;
- des descriptions plus claires des autres rôles au sein du modèle des trois lignes de défense ;
- une meilleure définition des sources de risque qui se présentent ;
- une attention particulière portée à la résilience opérationnelle.
À mesure que les risques se diversifient, le modèle des trois lignes de défense doit également s’adapter. C’est particulièrement vrai pour la troisième ligne : les audits internes. Les auditeurs internes et leurs processus associés doivent devenir plus agiles et visionnaires, en encourageant les changements positifs dans l’ensemble du modèle 3LoD. À l’avenir, les auditeurs joueront un rôle beaucoup plus actif dans le conseil et l’anticipation, ainsi que dans la formation des personnes concernées à tous les niveaux.
Au-delà des audits internes, d’autres avancées continueront à façonner le modèle 3LoD. Des innovations, notamment en matière d’automatisation, d’apprentissage machine et de mise en œuvre de l’IA, permettront d’identifier et de corriger plus facilement les risques. De même, les entreprises vont se concentrer davantage sur l’élément humain des trois lignes de défense, en s’efforçant d’améliorer la coordination, la communication et les méthodologies au sein des équipes et des départements.
La gestion des risques opérationnels est un aspect essentiel de l’entreprise moderne. Le modèle 3LoD vise à fournir des couches de protection redondantes afin d’offrir une sécurité accrue contre une multitude de menaces possibles. Mais en soi, le modèle 3LoD ne suffit peut-être pas à protéger complètement les entreprises contre les dangers en constante évolution. ServiceNow, leader du secteur de la gestion IT, apporte la solution.
La gestion des risques opérationnels de ServiceNow permet aux entreprises d’appliquer une surveillance continue, d’intégrer des informations pertinentes sur les données issues de l’ensemble de l’entreprise, de hiérarchiser les risques qui se présentent et d’y répondre le plus rapidement possible. L’application GRC de gestion des risques opérationnels comprend des outils d’auto-évaluation des risques, d’assurance des contrôles, de test, de capture des incidents et des pertes et de surveillance automatisée. Étayée par des analyses et des rapports avancés, une gestion améliorée des problèmes grâce à l’intelligence prédictive intégrée et bien plus encore, la solution de gestion des risques opérationnels offre les défenses accrues nécessaires aux entreprises d’aujourd’hui pour survivre et prospérer.
Limitez les pertes opérationnelles. Renforcez la résilience et la fiabilité. Réduisez les coûts et boostez la productivité. Enfin, bénéficiez d’une visibilité complète et en temps réel sur toutes les tolérances de contrôle et de risque. Avec la gestion des risques opérationnels de ServiceNow, c’est possible.