Dernière ligne de défense - une brève appréciation de la mise à jour de l'IIA sur le modèle des trois lignes de défense
3LoD - un compagnon fidèle
3LoD est depuis longtemps un compagnon fidèle pour tous ceux qui sont impliqués dans les questions de gouvernance et de risque. En raison de sa facilité d'explication et de sa simplicité, le modèle a permis de définir et de mettre en œuvre les rôles et responsabilités des différentes unités organisationnelles dans le domaine de la gestion des risques, de la conformité et des systèmes de contrôle. Le modèle a permis aux entreprises de coordonner de manière efficace et efficiente les unités organisationnelles responsables afin d'éviter les lacunes et les doublons en matière de contrôle. Elle est fondée sur une stricte séparation organisationnelle des responsabilités et sur une pyramide de responsabilités hiérarchiques menant au conseil d'administration ou au comité d'audit. Dans de nombreuses entreprises, l'impact du modèle se retrouve donc dans les structures organisationnelles.
Trois conducteurs
Cependant, trois facteurs clés ont remis en question la validité du modèle :
- Avec le développement et l'introduction de nouvelles formes d'organisation et de méthodes de travail agiles, ainsi que l'assouplissement des hiérarchies organisationnelles qui les accompagne, il était clair que le modèle était mis sous pression et qu'il fallait trouver de nouvelles réponses. Le modèle 3LoD, plutôt statique, n'offre pas de réponses appropriées dans ce domaine.
- Un effet similaire a été provoqué par la tendance à la numérisation et à l'introduction de nouvelles technologies, ainsi que par les cycles d'innovation rapides qui y sont associés, en particulier dans les entreprises axées sur la technologie. Cela nécessite de nouvelles approches dans la coopération des entreprises avec les fournisseurs de technologie et les unités organisationnelles internes, ainsi que la création d'incubateurs d'innovation qui sont également conçus pour l'échec. En somme, cela conduit à des transferts de responsabilité qui ne sont pas reflétés dans les 3LoD.
- Enfin, la tendance observée dans la pratique professionnelle est que l'efficacité des systèmes de contrôle interne et leur importance diminuent progressivement en raison de leur orientation statique dans les entreprises. Dans certains cas, les contrôles sont exécutés pro forma, et les conclusions des examens de contrôle ont été notées plutôt que d'aboutir à des mesures et des ajustements concrets de l'environnement de conformité.
Que fait l'IIA ?
En particulier, la bunkérisation de l'audit interne derrière la troisième ligne en pièces détachées comporte le risque d'une coupure de l'audit de la réalité de l'entreprise et d'un affaiblissement de sa capacité à accompagner de manière critique et à soutenir l'entreprise dans la réalisation de ses objectifs.
Par conséquent, en 2019, l'IIA avait mis en place un groupe de travail pour examiner les ajustements nécessaires au modèle. En complément, l'année dernière, l'IIA avait lancé un appel à contributions, opinions et attentes pour un développement ultérieur du modèle.
Cachée pendant la pause estivale, l'AII a publié ses conclusions de la validation le 20 juillet. Sur une note positive, il tente de prendre en compte le principe VUCA : "Les organisations sont des entreprises humaines, opérant dans un monde de plus en plus incertain, complexe, interconnecté et volatile. Ils comptent souvent de multiples parties prenantes aux intérêts divers, changeants et parfois contradictoires. Les parties prenantes confient la supervision de l'organisation à un organe directeur, qui à son tour délègue les ressources et l'autorité à la direction pour prendre les mesures appropriées, y compris la gestion des risques". (Source : document de position de l'IIA)
Principales conclusions
L'analyse du document montre toutefois clairement que l'effet de "brouillage des pistes" décrit à l'origine par le groupe de travail ne se reflète que partiellement dans le document de résultats. On a plutôt essayé de conserver le modèle existant et de le compléter par six principes, qui sont toutefois essentiellement une répétition de faits évidents connus :
Principe 1 : Gouvernance
Principe 2 : rôles de l'organe directeur
Principe 3 : Gestion et rôles de première et deuxième ligne
Principe 4 : Rôles de troisième ligne
Principe 5 : indépendance de la troisième ligne
Principe 6 : créer et protéger la valeur
Le résumé graphique du nouveau modèle montre un peu d'impuissance à essayer de sauver le modèle au lieu de faire courageusement un pas en avant.
Conclusion
Dans tout le document, on ne trouve pas une seule référence aux causes et aux moteurs réels des changements qui rendent successivement les 3LoD obsolètes. Si vous recherchez des mots-clés tels que "numérisation", "technologie" ou "formes modernes d'organisation", vous ne trouverez rien. Au contraire, l'AII essaie de s'en tenir autant que possible aux principes existants.
À mon avis, l'IIA n'a pas compris que la perturbation technologique à laquelle sont confrontées de nombreuses entreprises dont les modèles d'affaires étaient jusqu'ici éprouvés a également un impact sur la gestion des risques, la conformité et les systèmes de contrôle. Cette perturbation ne signifie pas qu'il faille s'en tenir à un modèle éprouvé, mais qu'il faut avoir le courage de le jeter par-dessus bord et de reconnaître de nouvelles conditions cadres.
Ou pour le dire plus poétiquement avec Jean Jaurès : "La tradition est la conservation du feu et non le culte des cendres". Moi aussi, je préférerais des approches simples et directes pour aborder la complexité et l'incertitude du point de vue de la gestion des risques. Mais cela ne fonctionne pas si les moteurs essentiels du changement sont ignorés.
WireCard et les leçons apprises
L'exemple de Wirecard a clairement montré que les méthodes et instruments classiques ne parviennent pas à identifier et à rendre transparents les risques d'un groupe technologique et informatique. Le fait qu'un (seul !) auditeur financier comme Bafin ne soit pas en mesure de contrôler de manière substantielle les opérations de paiement électronique lorsque celles-ci sont basées sur des transactions transfrontalières de masse exécutées à grande vitesse dans un environnement informatique complexe. J'attends déjà avec impatience les résultats des activités d'audit d'EY pour voir quelles méthodes d'audit ont été utilisées ici pour tenter d'identifier les risques.
Avec le désastre de Wirecard en tête, on ne peut qu'espérer que les entreprises prennent à nouveau conscience de leur propre responsabilité et mettent à l'épreuve les structures de conformité en les remettant en question de manière critique. Ils ne pourront pas s'appuyer sur le soutien moderne de l'IIA, mais devront plutôt trouver leurs propres réponses quant à la manière dont ils veulent aborder les risques d'entreprise à l'avenir et protéger la direction et le conseil d'administration des risques excessifs. Le rôle de l'audit interne doit être réorienté, sinon le prochain Wirecard n'est qu'une question de temps.
Avec la mise à jour du modèle des 3 lignes de défense, on ne s'est pas rendu service, on aurait plutôt dû le laisser mourir dignement. De nouvelles idées sont nécessaires pour développer des structures de conformité contemporaines et efficaces.