Une GRC intégrée avec le modèle des trois lignes

Êtes-vous impliqué dans la gestion de la conformité, la gestion des processus, la gestion de la qualité, la gestion du développement durable, la gestion de la sécurité ou la protection des données ? Ou peut-être êtes-vous responsable de l’une des nombreuses autres fonctions de gestion importantes au sein de votre entreprise ?

Oui, comme vous pouvez le constater, de nombreux professionnels issus de domaines différents se retrouvent au sein d’une même entreprise ! Et selon la fonction de gestion, vous disposez de compétences précieuses et d’une expertise spécifique. Malgré des domaines de responsabilité et des perspectives différents, vous poursuivez tous un objectif commun : la création d’un système GRC efficace et efficient.

Toutefois, si vous avez aujourd’hui l’impression que vous et les autres fonctions de gestion ne vous dirigez pas dans la même direction, cela pourrait être dû au fait que les approches sont isolées les unes des autres au sein de votre entreprise. Vous découvrirez dans cet article de blog ce que cela signifie exactement et comment vous pouvez parvenir à créer une base de communication commune pour l’accomplissement efficace des tâches.

Le système de gouvernance, de risque & et de conformité (GRC) d’une entreprise ou d’une organisation représente incontestablement une composante essentielle de la gouvernance d’entreprise. Différentes fonctions de gestion telles que  la gestion des risques, la gestion de la conformité, le système de contrôle interne, la gestion de la sécurité, la protection des données ou la gestion des urgences et des crises servent à protéger l’entreprise contre les dangers et les risques, mais aussi à identifier les opportunités afin d’assurer la pérennité de l’institution dans son ensemble. Pour que ces tâches soient accomplies de manière efficace, la conception technique et organisationnelle de ces fonctions de gestion joue un rôle décisif.

Lors de la mise en place d’un système de GRC, les entreprises peuvent essentiellement suivre deux stratégies : une approche de systèmes isolés, des « îlots de gestion », ou une approche intégrée.

Dans le cas de la première approche, isolée, chaque fonction de GRC définit un système de gestion pour elle-même, sans tenir compte des dépendances avec d’autres fonctions de GRC et de l’impact sur les unités opérationnelles. En comparaison, il est souvent plus prometteur de mettre en place un système de GRC intégré aux différentes fonctions de gestion.

Comparaison entre un système GRC isolé et un système GRC intégré

Cette comparaison montre clairement que le meilleur choix est de suivre une approche intégrée lors de la mise en place d’un système GRC dans votre entreprise. Cette approche nécessite une plus grande coordination entre les différentes fonctions, mais les avantages d’un système GRC intégré parlent d’eux-mêmes.

Consultez notre webinaire sur les systèmes de gestion intégrés pour en savoir plus sur les avantages réciproques de la gestion des risques, du SCI et de la gestion des processus métier.

Le modèle des trois lignes de la Confédération européenne des instituts d’audit interne (ECIIA) et de la Fédération des associations européennes de gestion des risques (FERMA) a fait ses preuves en tant que base pour la mise en place et le fonctionnement d’un système de GRC.

Il s’agit d’une approche simple mais très efficace pour améliorer les interactions et les communications des différentes fonctions de gestion et pour décrire et clarifier les rôles et responsabilités essentiels.

Le modèle divise une organisation en trois lignes, appelées « trois lignes », qui définissent les tâches des trois groupes suivants :

• les fonctions de gestion et d’appropriation des risques
• les fonctions de surveillance des risques
• les fonctions qui fournissent des conseils indépendants et des assurances

Une GRC intégrée dans le contexte du modèle des trois lignes

Si nous divisons une organisation en trois niveaux, définissons les limites de chaque groupe de personnes responsables et situons leur position dans la structure globale de risque et de contrôle, nous pouvons plus facilement assurer une gestion efficace des risques et par conséquent le succès de la GRC. Le modèle des trois lignes offre ainsi une nouvelle perspective sur les processus au sein d’une entreprise, quelle que soit sa taille ou sa complexité, et contribue à assurer le succès continu des initiatives de gestion des risques. Maintenant, examinons de plus près chacune des trois lignes :

La première ligne est caractérisée par la gestion opérationnelle et représente le centre du modèle à trois lignes. Du point de vue de la structure organisationnelle, il s’agit généralement des chefs de département ou de division, qui ont la responsabilité fonctionnelle de tous les processus dans ce domaine. Les tâches au sein de l’unité organisationnelle sont structurées et définies par le biais de ces processus. La responsabilité des processus s’accompagne notamment de la responsabilité des chiffres clés, des risques, des contrôles et du respect des exigences de conformité.

Les « gardiens des systèmes » des différentes disciplines se trouvent sur la deuxième ligne. Ils définissent la procédure et la méthode à suivre pour exécuter et remplir les diverses tâches ou obligations relevant de la fonction concernée. Il s’agit notamment de fonctions telles que :

• la gestion des processus
• la gestion des risques
• le système de contrôle interne
• la gestion de la conformité
• la gestion de la sécurité de l’entreprise
• la protection des données (DPR)
• la gestion de la qualité
• la protection de l’environnement
• la sécurité au travail
• etc.

La dernière des trois lignes est constituée par les auditeurs internes, qui se chargent de contrôler le système GRC et d’en vérifier l’efficacité et l’efficience. En savoir plus sur les tâches exactes de l’audit interne.

Le modèle des trois lignes est idéal pour répartir les différents thèmes et tâches de la gestion des risques à l’échelle de l’entreprise entre les différents niveaux de gestion de l’entreprise. L’utilisation de ce modèle uniquement pour définir les termes ou déterminer les responsabilités laisserait un potentiel inutilisé de côté. Les avantages de cette approche sont pleinement exploités lorsque les responsables du système le long de la deuxième ligne reconnaissent la possibilité de travailler ensemble pour résoudre les questions transversales et donner à la direction opérationnelle la possibilité d’accomplir les tâches requises de manière efficace, complète et dans les délais.

La cartographie des trois lignes permet également une collaboration entre les lignes, en particulier entre la première et la deuxième ligne. En outre, la base de données intégrée et centralisée qui en résulte évite aux auditeurs internes et externes de perdre du temps à collecter des données. Les données immédiatement disponibles, claires et historiquement traçables réduisent l’effort nécessaire à l’analyse des données. Ces aspects fournissent au service d’audit des ressources supplémentaires qui peuvent être utilisées pour le développement de potentiels d’amélioration ainsi que pour des activités de conseil.

Vous souhaitez obtenir des informations plus détaillées sur la mise en place d’un système GRC intégré avec le modèle des trois lignes ? Vous trouverez tout ce dont vous avez besoin dans notre webinaire gratuit ! En un clic, vous serez directement redirigé.