L’organisation efficiente des 3 lignes de maîtrise du risque permet de minimiser le rapport coût/valeur ajoutée des dispositifs de contrôle interne. Un modèle à la portée des ETI qui auraient tort de s’en priver.
Si les grands groupes ont construit des fortifications solides et les PME ont moins besoin de formalisme, les ETI restent le maillon faible du contrôle interne. Lorsque la structure se développe, l’activité s’intensifie et génère des risques accrus sans la mise en place d’un cadre de gouvernance approprié pour fixer les priorités, désigner les responsables, collecter les informations et les exploiter de manière efficace.
C’est ce que propose le modèle des « trois lignes de maîtrise » basé sur trois niveaux de contrôle interne : le premier est piloté par le management opérationnel, le deuxième repose sur les services fonctionnels et le troisième s’appuie sur une fonction d’audit interne indépendante des deux premières.
Si cette organisation a largement fait ses preuves au sein des grands groupes, son adoption par les ETI tarde à se généraliser. C’est d’ailleurs l’objet d’un livre blanc publié en mars dernier par l’Institut français de l’audit et du contrôle interne (IFACI) qui tend à démystifier les contraintes liées à ce modèle et démontrer son adaptabilité à des structures encore à taille humaine.
Un modèle pragmatique
« La clé du succès repose sur l’adaptation du modèle au contexte et à la taille de l’entreprise. Mal compris, le modèle peut paraître technocratique et bureaucratique. Décliné de manière pragmatique, il permet de répondre efficacement aux attentes des dirigeants en matière de maîtrise de la performance durable », insiste l’IFACI dans ce rapport.
Concrètement, la première ligne de maîtrise des activités est constituée par les managers opérationnels et de leurs équipes. Cette première ligne permet la maîtrise des activités au jour le jour en mettant en œuvre les pratiques les plus efficaces de gestion des risques au niveau des processus dont ils ont la charge. Elle assure également la communication d‘informations appropriées à la deuxième ligne de maîtrise.
La deuxième ligne de maîtrise est constituée des services supports (ressources humaines, services informatiques, finance, etc.) et des fonctions dédiées à l’animation du dispositif global de maîtrise des risques (gestion des risques contrôle interne, assurance, conformité, compliance...). Son rôle est de structurer et maintenir le dispositif en élaborant des procédures, des contrôles, en réalisant des benchmarks…
Enfin en troisième ligne de maîtrise, on retrouve une fonction d’audit interne, indépendante et rattachée au plus haut niveau de l’organisation. Elle fournit une assurance globale de maîtrise des risques aux instances de surveillance et à la direction générale de l’organisation.
Triple verrou
Ce système de triple verrou s’avère particulièrement adapté aux entreprises ayant connu une croissance fulgurante qui ne leur a pas laissé le temps de structurer des garde-fous face à la démultiplication des risques. Lorsque l’entreprise se complexifie (développement de l’activité et des effectifs, éclatement géographique), les responsabilités sont progressivement déléguées à des personnes puis à des structures dédiées. Il faut alors allier cette séparation des tâches avec une coordination effective. Au fur et à mesure, les dispositifs de gestion des risques et de contrôle interne se formalisent et le modèle s’applique dans toutes ses composantes.
Pour développer vos compétences en matière de contrôle interne, nous vous recommandons ces formations.
Articles les plus lus
Articles les plus récents
Inscription à la newsletter
