Depuis des années, ceux d'entre nous qui contrôlent les entreprises ont expliqué le modèle des trois lignes de défense aux dirigeants des entreprises et aux autres parties intéressées. Pour ceux qui ne le savent pas, ce modèle stipule que l'entreprise est responsable des deux premières lignes de défense contre le risque et que l'audit interne est la troisième ligne. Il existe de nombreuses raisons et de bons arguments pour cette segmentation.

Je dirais qu'il est peut-être temps de laisser le modèle évoluer dans sa forme destinée.

Nous devrions tous être assez intelligents pour nous rendre compte que le fait d'organiser l'audit interne séparément n'est qu'une excuse pour ne pas l'impliquer là où il peut fournir le plus - et le meilleur - de valeur.

L'intégration de l'audit interne aux deux premières lignes de défense a le potentiel d'améliorer véritablement la gestion des risques. Il pourrait s'agir de l'élément qui relie l'application en temps réel à la vision de l'organisation en matière de gouvernance, de risque et de conformité (GRC) et aux attentes en matière d'ERM. En football, la meilleure défense est parfois une bonne attaque, et le temps est venu de mettre l'audit interne du côté offensif du ballon.

Examinons quelques moyens d'y parvenir tout en veillant à ce que l'audit interne conserve sa nécessaire indépendance :

Examen des contrôles de l'entreprise : La première ligne de défense

Une évaluation indépendante de l'efficacité des contrôles est une pratique de base de l'audit interne. Il n'y a rien de mal à ce que les auditeurs examinent les contrôles pendant la révision ou le développement des processus - ou même pendant les étapes de mise en œuvre de la refonte des processus. Cela permet à l'entreprise d'examiner en temps réel la structure de contrôle proposée, de manière à ce que des modifications puissent être apportées avant même la mise en œuvre des contrôles.

Un avantage secondaire de l'examen précoce des contrôles ? Se débarrasser des contrôles redondants ou confirmer que plusieurs contrôles fonctionnant ensemble atténuent effectivement le risque de la manière dont l'entreprise l'attend.

Examen des fonctions de contrôle : La 2e ligne de défense

L'une des prémisses du modèle des trois lignes de défense est que l'audit interne pourrait s'appuyer sur diverses fonctions de contrôle interne mises en œuvre par la direction. Si nous estimons que cette croyance est vraie - et cela devrait être le cas - alors pourquoi l'audit interne ne soutient-il pas la direction en suggérant l'organisation, les compétences et les processus appropriés nécessaires pour atteindre cet objectif ?

L'audit interne examinera toute fonction de contrôle (tests de conformité, contrôle de la qualité, examen du risque de crédit, etc.) par rapport aux normes pour soutenir la conformité complète. L'audit interne devrait procéder à cet examen lors de la création de ces fonctions de contrôle, afin de garantir des processus plus solides et plus durables. Cela permet aux entreprises d'économiser de l'argent et renforce également la deuxième ligne de défense.

GRC intégré : L'élément vital de l'ERM

Enfin, la GRC est un répertoire d'informations partagé. L'audit interne doit participer activement à la réussite de la mise en œuvre et de l'exploitation de la GRC à des fins d'ERM. Les résultats des tests d'audit, de l'évaluation des risques d'audit et de la supervision d'audit peuvent fournir à l'entreprise une confirmation indépendante que les contrôles et les efforts de gestion des risques sont efficaces.

L'audit interne alimentant l'outil GRC de l'entreprise, la direction aurait une vision plus complète des risques et des contrôles au bout des doigts. L'audit interne devient alors un partenaire dans la gestion des risques en apportant une confirmation indépendante que les contrôles sont efficaces. Pour la direction, cela signifie un "guichet unique". Pour l'audit interne, cela signifie que les auditeurs sont sur la voie de devenir des conseillers de confiance.

Les jours de séparation doivent prendre fin. L'audit interne et le reste de l'entreprise peuvent devenir de proches alliés dans la lutte contre les risques. L'ERM et l'utilisation des outils de la GRC ont rendu cette tâche plus facile que jamais. Nous devrions tous faire en sorte que cela se produise.