Risk Governance: Three lines of defence

Les trois lignes de défense sont implantées dans diverses organisations pour améliorer davantage les capacités de gestion des risques de l'entreprise dans toutes les lignes de commerce, établissant ainsi un programme de GRE plus robuste. Ce modèle est attribué à diverses fonctions entre le propriétaire des risques et le professionnel des risques. Le professionnel des risques est responsable de l'établissement des processus, des pratiques, des activités et des rôles principaux référents aux capacités de gestion des risques. Cela inclut une délimitation claire entre les responsabilités du gouvernement et de la gestion, ainsi que la proportion des niveaux adéquats de supervision et d'assurance avant les risques.

La première ligne de défense est généralement l'unité commerciale, le composant ou la fonction commerciale qui exécute les activités opérationnelles quotidiennes, en particulier celles en première ligne. En tant que première ligne de défense, les responsables des opérations sont responsables de la gestion des risques. Bref, ils sont propriétaires du risque. Ils sont chargés de mettre en œuvre des mesures correctives pour faire face aux risques qui dépassent l’appétit pour le risque défini. Cela inclut la responsabilité des contrôles mis en œuvre pour maintenir les risques à des niveaux tolérables.

La deuxième ligne de défense est généralement constituée de fonctions de gestion et de conformité réglementaire. Au sein de la deuxième ligne de défense, les fonctions de gestion des risques visent à garantir que les défenses de première ligne sont correctement conçues, mises en œuvre et fonctionnent comme prévu. Bien que ces fonctions disposent d’un certain degré d’autonomie par rapport à la première ligne de défense, elles restent des fonctions de gestion et introduisent un niveau de subjectivité et de parti pris car elles pourraient interagir directement avec la modification ou le développement des contrôles et des systèmes de risques.

La troisième ligne de défense fournit le niveau d'assurance approprié à la haute direction et à l'organe directeur, grâce à des examens indépendants et objectifs menés par les audits internes et externes de l'entreprise. Le professionnel du risque peut être amené à discuter de la conception, de la mise en œuvre, de l’efficacité et de l’efficience des processus, pratiques, activités et contrôles de première ou de deuxième ligne et à fournir un contexte approprié, en fonction du niveau d’assurance requis.

Le professionnel du risque travaille généralement sur les deux premières lignes de défense d'une organisation, tandis que l'audit fournit au conseil d'administration et à la haute direction l'indépendance et l'objectivité nécessaires pour rendre compte du respect des normes et cadres applicables identifiés par le professionnel des risques et adoptés par l'organisation. Les professionnels du risque occupent une position privilégiée au sein de l’entreprise pour fournir une assurance à la haute direction, au comité d’audit et au conseil d’administration concernant les processus de gouvernance et de gestion des risques.

De combien de lignes de défense votre entreprise dispose-t-elle ?

Commentaires