« Les trois lignes de défense au sein d’une organisation : de quoi s’agit-il ? »
Le modèle des trois lignes de défense (actuellement connu sous le nom de « Three Lines Model »), élaboré par l’Institut des auditeurs internes (IIA), est un cadre de gestion des risques et de contrôle qui définit clairement les rôles et les responsabilités au sein de l’organisation.
En termes simples, le modèle des trois lignes de défense est un schéma de répartition des rôles au sein d’une organisation qui distingue la gestion courante des risques (1re ligne) de la surveillance (2e ligne) et de la vérification indépendante de l’efficacité de ces mesures (3e ligne).
Qu’est-ce que le modèle des trois lignes de défense ? Définition et principes.
Le modèle des trois lignes de défense est une structure qui garantit une gestion efficace des risques en attribuant la responsabilité :
- gestion des risques (1re ligne – opérations),
- surveillance des risques (2e ligne – contrôle interne),
- une évaluation indépendante (3e ligne – audit interne).
Le schéma de fonctionnement est illustré ci-dessous :
Source : D’après le document « The IIA’s Three Lines Model: An update of the Three Lines of Defense », juillet 2020
Le tableau ci-dessous résume le schéma des trois lignes de défense en matière de responsabilité et d’évaluation :
| Ligne de défense | Responsabilité | Que font-ils ? | Qui est responsable ? |
| une ligne | Gestion des risques | Ils gèrent les risques et effectuent des contrôles réguliers | Opérations : cadres, personnel opérationnel |
| Deuxième ligne | Gestion des risques | Ils élaborent des politiques, surveillent les risques, accompagnent et supervisent la première ligne | Fonctions de gestion des risques, de conformité et de contrôle interne |
| trois lignes | Évaluation indépendante | Évalue de manière indépendante l’efficacité des contrôles et de la gestion des risques | Audit interne |
Premier niveau : gestion opérationnelle.
La première ligne comprend les responsables et les collaborateurs opérationnels chargés de la mise en œuvre des processus métier (par exemple, la comptabilité ou le service informatique). Ce sont eux qui gèrent les risques au quotidien et qui conçoivent et mettent en œuvre les contrôles dans leurs domaines respectifs. Ils sont les responsables des risques et veillent à ce que les activités soient menées conformément aux procédures et aux objectifs de l’organisation. La caractéristique clé de cette ligne est la responsabilité directe (accountability) vis-à-vis des résultats et du contrôle.
Deuxième ligne : Surveillance et soutien (Conformité, Risques).
La deuxième ligne assure une fonction de supervision et de conseil auprès de la première ligne. Elle couvre des domaines tels que la gestion des risques, la conformité ou le contrôle interne. Sa mission consiste à élaborer des politiques, des normes, un système de contrôle interne et des méthodologies, ainsi qu’à vérifier s’ils sont correctement appliqués.
La deuxième ligne ne gère pas les opérations, mais soutient et contrôle la première ligne, garantissant ainsi la cohérence de l’approche en matière de risques à l’échelle de l’organisation.
Troisième ligne : Audit interne indépendant.
Le troisième niveau est l’audit interne, qui assure une évaluation indépendante et objective de l’ensemble du système de gestion des risques et de contrôle. L’audit ne doit en aucun cas : effectuer des opérations (tâches de la 1re ligne) ni être responsable des contrôles opérationnels (tâches de la 2e ligne) – son rôle consiste à les évaluer. Cette fonction rend généralement compte au conseil de surveillance ou au comité d’audit, ce qui garantit son indépendance. L’organisation bénéficie ainsi d’une assurance fiable quant à l’efficacité du système.
On peut comparer, de manière imagée, les risques auxquels sont confrontées les organisations à une pluie incessante, où chaque goutte symbolise un risque supplémentaire. Le rôle de chacune des lignes de défense — à l’instar de parapluies successifs — est de protéger l’organisation contre cette pluie, de manière à ce que le moins de « gouttes de risque » possible ne parviennent pas à passer. Grâce à ces trois lignes de défense, l’organisation reste aussi « au sec » que possible, et chaque parapluie retient une partie des précipitations, renforçant ainsi la protection contre les risques qui se présentent.
Le lien entre le modèle des trois lignes de défense et le COSO
Le modèle de l’Institute of Internal Auditors (modèle des trois lignes) et le référentiel du Committee of Sponsoring Organizations of the Treadway Commission (COSO) ne sont pas des modèles concurrents : ils se complètent. Le COSO (cadre) définit l’architecture du système de contrôle, son organisation, ses composantes et ses principes. Le modèle des trois lignes définit les rôles et les responsabilités, et répond aux questions suivantes : qui assure la mise en œuvre, le suivi et l’évaluation du COSO ?
Le COSO définit les éléments du système de contrôle, tandis que le modèle des trois lignes leur attribue des responsabilités.
Pourquoi un système de contrôle interne est-il indispensable ?
Le système de contrôle interne (deuxième ligne de défense) est indispensable, car il garantit que l’organisation atteint ses objectifs de manière contrôlée et sécurisée. Il aide à identifier et à limiter les risques, et prévient les erreurs et les abus. De plus, il garantit la fiabilité des rapports et la conformité réglementaire. Sans lui, la gestion repose sur l’incertitude et un risque accru de pertes.
Ni le droit de l’Union européenne ni la réglementation SOX n’imposent l’application du modèle des trois lignes de défense, mais ils exigent des processus de contrôle interne (deuxième ligne) solides, ce qui fait que ce modèle est couramment utilisé pour satisfaire aux exigences réglementaires. En revanche, dans de nombreux cas, le système de contrôle interne (deuxième ligne de défense) est requis ou indirectement exigé par la législation et la réglementation. Son champ d’application varie selon le pays, le secteur d’activité et le type d’organisation.
| Zone | Réglage | Système de contrôle interne | Audit interne | À qui s’adresse-t-il ? |
| Pologne | Loi sur la comptabilité | ✅ OUI (implicite – fiabilité des rapports) | ❌ NON (pas d’obligation) | toutes les entités tenantes de livres comptables |
| Pologne | Loi sur les finances publiques | ✅ OUI (contrôle de gestion) | ✅ OUI (pour certaines entités) | secteur public |
| Pologne | Droit bancaire | ✅ OUI | ⚠️ OUI (de facto obligatoire) | banques |
| Pologne | Loi sur les commissaires aux comptes / l’audit | ✅ OUI | ⚠️ INDIRECTEMENT (comité d’audit) | organismes d’intérêt public |
| Pologne | KNF / Recommandations (par exemple H, M) | ✅ OUI | ✅ OUI | banques, établissements financiers |
| États-Unis d’Amérique | Loi Sarbanes-Oxley (SOX) | ✅ TAK (article 404) | ❌ NON (mais prévu) | sociétés cotées aux États-Unis |
| Union européenne | Directive européenne 2006/43/CE | ✅ OUI | ⚠️ INDIRECTEMENT | organismes d’intérêt public |
| Union européenne | CRD IV / CRR | ✅ OUI | ✅ OUI | banques |
Un modèle n’est pas une structure – les erreurs d’interprétation les plus courantes.
La souplesse du modèle à trois lignes ne signifie pas que son application est facultative.
Le modèle des trois lignes de défense de l’Institute of Internal Auditors n’est pas un organigramme, mais un modèle de rôles et de responsabilités. L’une des erreurs les plus courantes consiste à le considérer comme une structure rigide de services (par exemple : « il doit y avoir des services distincts pour le risque, la conformité et l’audit »), alors que ce modèle est un principe de gouvernance et non une répartition rigide des services.
Une autre erreur consiste à supposer que les lignes doivent être totalement séparées ; dans la pratique, les première et deuxième lignes peuvent se recouper, pour autant que la clarté des rôles soit préservée. Le malentendu le plus grave concerne toutefois la troisième ligne : l’audit interne n’est pas une « troisième couche de contrôle opérationnel », mais une fonction indépendante chargée d’évaluer l’ensemble du système.
Comment coordonner les lignes de défense dans les petites organisations ?
Le modèle des trois lignes de défense (Three Lines Model) de l’Institut des auditeurs internes (IIA) ne prévoit pas la fusion des lignes comme pratique standard, mais autorise une certaine souplesse organisationnelle, pour autant que cela ne porte pas atteinte aux principes fondamentaux, notamment l’indépendance de l’audit interne.
Alignement des lignes de défense selon les normes de l’IIA :
| Connexion des lignes | Est-ce autorisé ? | Position de l’IIA | Commentaire pratique |
| 1 + 2 | Autorisé | Fréquent dans les petites structures | |
| 2 + 3 | ❌ | Inacceptable | Cela porte atteinte à l’indépendance de l’audit |
| 1 + 3 | ❌ | Inacceptable | L’audit ne peut pas effectuer d’opérations |
| 1 + 2 + 3 | ❌ | Inacceptable | Une absence totale d’indépendance |
En règle générale, il n’est pas possible de regrouper les lignes de défense en dehors des petites et moyennes organisations, où les ressources sont limitées et où les fonctions de gestion des risques et de conformité sont déjà partiellement intégrées aux opérations. Le regroupement des lignes de défense 1 et 2 peut être envisageable sous certaines conditions, présentées ci-dessous :
| Zone | Exigence |
| Répartition des rôles au sein de l’organisation | Une attribution claire des responsabilités |
| Surveillance | Comité d’audit / Conseil d’administration |
| Documentation | documentation relative aux responsabilités (RACI) / politiques |
| Test des contrôles | Vérification périodique |
| Audit interne (3e ligne) | Entièrement indépendant |
La troisième ligne de défense (fonction d’audit interne) reste pleinement indépendante et objective et ne peut être associée à aucune fonction opérationnelle ou de contrôle.
Jonction de lignes
Indépendamment de la position de l’IIA, chacune des lignes de défense ne devrait toutefois pas fonctionner en vase clos, mais coopérer entre elles en matière d’échange d’informations, d’évaluation des risques et de coordination des activités de contrôle, ainsi que d’échange systématique d’informations, de risques et de conclusions de contrôle (findings), afin de garantir un système de gestion des risques cohérent et efficace.
Mise en œuvre du modèle des trois lignes de défense – conseils pratiques
Le modèle des trois lignes de défense élaboré par l’Institute of Internal Auditors est l’une des approches les plus couramment utilisées pour clarifier les responsabilités dans le domaine de la gestion des risques et du contrôle. Sa mise en œuvre efficace ne repose toutefois pas sur une modification de la structure organisationnelle, mais sur une attribution adéquate des rôles et des responsabilités (RACI) ainsi que sur la garantie d’un fonctionnement cohérent de l’ensemble du système de gouvernance. La mise en œuvre du modèle des trois lignes de défense n’est pas une réorganisation, mais une clarification des responsabilités et un renforcement des structures déjà en place au sein de l’organisation.
Point de départ : les rôles, et non la structure
La première étape, qui est également essentielle, consiste à définir les rôles des trois lignes. L’organisation doit clairement déterminer qui est responsable de la gestion des risques (1re ligne), qui exerce une fonction de surveillance et de soutien (2e ligne) et qui assure une évaluation indépendante (3e ligne). Il serait erroné de commencer la mise en œuvre par la création de nouvelles entités organisationnelles : ce modèle porte sur les responsabilités et non sur la structure formelle.
Analyse de la situation actuelle (AS-IS)
L’étape suivante consiste en une analyse « telle quelle » rigoureuse. Il convient de cartographier les processus, les contrôles et les fonctions existants liés aux risques et à la conformité. Dans la pratique, on constate souvent que les organisations disposent :
- les contrôles redondants,
- une répartition floue des responsabilités,
- lacunes en matière de surveillance.
Une telle analyse permet d’identifier les domaines qui doivent être mis en ordre avant la mise en œuvre du modèle.
Une répartition claire des responsabilités (RACI)
Pour éviter toute ambiguïté, il est recommandé d’utiliser la matrice RACI. Concrètement, cela implique d’attribuer :
-
- R – Responsable (1ère ligne) – responsabilité opérationnelle
- A – Responsable (direction)
- C – Consulted (2e ligne) – supervision et soutien
- I – Informed (3e ligne) – fonction informative et évaluative
L’indépendance de l’audit – une condition essentielle
L’élément essentiel de ce modèle réside dans la préservation de l’indépendance totale des trois fonctions. L’audit interne ne doit pas participer aux activités opérationnelles ni être chargé des contrôles qu’il est ensuite amené à évaluer. Il doit rendre compte directement au conseil de surveillance ou au comité d’audit, ce qui garantit l’objectivité et la crédibilité de son travail.
Organisation des fonctions des deux lignes
La deuxième ligne est souvent surchargée ou ambiguë. Dans la pratique, il convient de définir clairement son rôle en tant que fonction :
- qui définit les normes,
- soutenant la ligne 1,
- de surveillance des risques.
Il convient d’éviter que le deuxième échelon ne se charge de tâches opérationnelles, ce qui entraîne un flou au niveau des responsabilités.
Intégration avec les frameworks existants
La mise en œuvre du modèle doit être conforme aux normes existantes, telles que le COSO. Le COSO définit les éléments du système de contrôle, tandis que le modèle des trois lignes y attribue des responsabilités. Leur intégration permet de mettre en place un système complet et efficace de gestion des risques.
Le rôle du conseil d’administration et le « ton donné par la direction »
Sans l’engagement de la direction, ce modèle ne restera qu’une formalité. C’est à la direction qu’il revient :
- faire respecter la responsabilité en matière de risques,
- promouvoir une culture du contrôle,
- fournir les ressources nécessaires à la mise en œuvre.
Le « ton donné par la direction » est essentiel au bon fonctionnement du modèle.
Proportionnalité et adéquation
Le modèle doit être adapté à la taille et à la complexité de l’organisation. Dans les petites entités, il est possible de regrouper partiellement les lignes 1 et 2, à condition de garantir la clarté des rôles et des mécanismes de contrôle. La flexibilité est l’un des principes fondamentaux énoncés par l’IIA.
Mécanismes de signalement
Une mise en œuvre efficace nécessite des règles de reporting claires :
- 1. La ligne hiérarchique rend compte à la direction,
- 2e ligne de la direction,
- 3e rang au conseil de surveillance.
Cela garantit la transparence et une bonne circulation de l’information au sein de l’organisation.
Formation et culture d’entreprise
Enfin, un élément tout aussi important consiste à sensibiliser l’ensemble de l’organisation. Les employés et les cadres doivent comprendre que la gestion des risques n’est pas uniquement du ressort des services de contrôle : c’est la responsabilité de chacun.
Le tableau ci-dessous résume les étapes à suivre pour mettre en œuvre le modèle des trois lignes de défense, ainsi que les erreurs courantes associées à chacune de ces étapes :
| Étape | Que faire ? | Conseils pratiques | Erreurs courantes |
| 1. Définissez les rôles | Déterminez qui occupe les positions 1, 2 et 3 | Concentrez-vous sur les responsabilités, pas sur la structure | Création de nouveaux services au lieu d’attribuer des rôles, absence de responsabilité en matière de contrôle |
| 2. Analyse de la situation actuelle | Cartographiez les processus, les risques et les contrôles | Organisez des ateliers avec des entreprises | Ignorer les pratiques réelles (« modèle théorique ») |
| 3. Définir les responsabilités (RACI) | Déterminez qui est responsable de quoi | Faites clairement la distinction entre « exécuter » et « superviser » | Double responsabilité |
| 4. Séparez la 3e ligne | Garantissez l’indépendance de l’audit | Rapports au conseil de surveillance | Audit chargé des contrôles opérationnels (tâches de deuxième ligne) |
| 5. Mettez de l’ordre dans la deuxième ligne | Définir les rôles en matière de risques et de conformité | Concentrez-vous sur les normes et le suivi | La deuxième ligne effectue des contrôles sur la première ligne de défense |
| 6. Établissez un lien avec le COSO | Intégrez-le au cadre COSO | Cartographier les risques → contrôles → responsables | Manque de cohérence du système |
| 7. Définissez les rapports | Déterminez qui rend compte à qui | 3e ligne → comité d’audit | Manque de transparence |
| 8. Impliquez la direction | Veillez à ce que le « ton soit donné au plus haut niveau » | Intégrez le modèle dans les indicateurs clés de performance (KPI) et la gouvernance | Absence de prise en charge = le modèle ne fonctionne pas |
| 9. Réglez l’échelle | Adaptez le modèle à votre organisation | Dans les petites entreprises, regroupez les lignes 1 et 2 | Une formalisation excessive |
| 10. Formation et culture | Formez vos employés | « Tout le monde gère les risques » | La perception des contrôles comme un obstacle, une charge de travail supplémentaire |
Résumé
La mise en œuvre du modèle des trois lignes de défense est un processus visant à clarifier les responsabilités, et non à réorganiser la structure. La définition claire des rôles, l’indépendance de l’audit et le soutien de la direction revêtent une importance capitale. Ce n’est qu’alors que ce modèle cesse d’être un cadre théorique pour devenir un outil concret permettant de renforcer la gouvernance et l’efficacité de l’organisation.
