Les différents ‘défenseurs’ sont catégorisés en trois lignes :
- La première ligne : le management opérationnel ;
- La deuxième ligne : la fonction de contrôle et de gestion des risques et de conformité
- La troisième ligne : l’audit interne
/Modele_trois_lignes_defense_IIA-jpg.png "Modele_trois_lignes_defense_IIA-jpg.png")
Les corps de contrôle et l’audit externe constituerait une quatrième ligne. Les rôles et responsabilités de chaque ligne sont décrits ci-après.
1. La première ligne : le management et les responsables opérationnels
Le management fixe les objectifs et le cap et identifie les risques liés à l’atteinte de ces objectifs. Il pilote la performance et reporte aux organes sur la gestion et l’atteinte des objectifs.
Il gère les risques et s’assure que les opérations se déroulent. La première ligne réalise dans ces cas les contrôles opérationnels : contrôle du budget disponible avant engagement, vérification de l’existence de crédit, respect des procédures relatives aux marchés, respect des délais liés à l’élaboration du budget…
Ces contrôles réalisés par la première ligne doivent être traçables et auditables. Ils doivent faire également l’objet d’une validation hiérarchique. Ces contrôles doivent être documentés dans les procédures ou dans un manuel de contrôles.
Dans les établissements publics, la première ligne est assurée par la direction générale, les chefs de département / chefs de services et les tous les employés.
Les contrôles existent en général mais rarement documentés dans des procédures.
2. La deuxième ligne : Le contrôle interne, le gestionnaire des risques
Les acteurs de la deuxième ligne apportent un appui aux responsables opérationnels dans la conception et la mise en place du dispositif de contrôle interne et de gestion des risques.
2.1 Le contrôleur interne (coordination du contrôle interne)
A ce titre, il assiste (mais ne fait pas) les responsables opérationnels dans l’élaboration du manuel des procédures et des contrôles. Il doit s’assurer notamment que la description des procédures et des documents utilisés est complète et que les contrôles à réaliser sont bien intégrés.
Il assiste également les responsables opérationnels dans la mise en place des contrôles à réaliser (activités de contrôles) à travers la conception d’un manuel de contrôle par exemple. Un manuel de contrôle rappelle, pour chaque processus (ou domaine) :
- Les exigences à respecter (par exemple sur la tenue d’une caisse dépense ou recette)
- Les contrôles à réaliser et leur fréquences (contrôle de la caisse dépenses, périodique ou inopiné)
- Le mode opératoire du contrôle (comment le contrôle doit être réalisé, les documents à consulter, les fichiers à exploiter…)
- Le responsable du contrôle et le superviseur
- La formalisation du contrôle (les documents)
- L’archivage des preuves du contrôle (à produire en cas de contrôle ou d’audit)
Ces activités de contrôle sont réalisées par les responsables opérationnels désignés et doivent faire l’objet d’une supervision pour s’assurer de l’effectivité.
Le contrôleur interne effectue au moins une fois par an, une campagne d’évaluation de ces contrôles pour s’assurer qu’ils ont été réalisés conformément au manuel de contrôle et peut être amené à refaire les contrôles (tests sur les contrôles).
Dans la Loi, cette fonction n’existe plus dans les établissements du secteur public et parapublic
2.2 Le gestionnaire des risques
Le gestionnaire des risques, à l’instar du contrôleur interne, apporte un soutien méthodologique aux responsables opérationnels dans l’identification, l’évaluation et le traitement des risques. Le management est responsable de la gestion des risques et le gestionnaire, s’il existe apporte un soutien.
Il organise ainsi les ateliers d’identification et d’évaluation et assiste dans la mise en place des dispositifs de mitigation des risques et du plan d’action. Il effectue le suivi de la mise en œuvre des actions et assiste dans la mise à jour de la cartographie des risques.
Il assiste la direction dans la surveillance de risques liés à l’atteinte des objectifs de l’entreprise et assure que la culture du risque est présente partout dans l’entreprise et intégrée dans toutes les décisions du management et dans les projets importants.
Lorsque la taille de l’entreprise ne le justifie pas, le contrôleur interne peut assurer cette fonction de gestionnaire des risques.
Cette fonction n’est pas prévue dans la Loi. En l’absence de précision, cette fonction pourrait être confiée à un responsable qui n’a pas de fonctions opérationnelles, à l’exception de l’auditeur interne. SI la fonction devait être confiée à l’auditeur interne du fait de la taille et des compétences, il devrait avoir un rôle de coordonnateur, d’animateur, de formateur… mais en aucun cas, il ne doit évaluer les risques à la place des responsables opérationnels.
2.3 Le responsable conformité
Dans certains secteurs réglementés (banque, assurance, microfinance…), le responsable conformité assure en continu que les opérations et les procédures sont conformes aux lois et règlements en vigueur (et non conformes aux procédures au sein de l’entreprise). Ces actions sont réalisées en continu avant l’autorisation ou le dénouement des opérations (par exemple vérification qu’un client ou fournisseur ne fait pas l’objet de sanction dans les banques).
3. La troisième ligne : l'audit interne
Comme rappelé plus haut, l’audit interne se situe à la troisième ligne ; il évalue l’efficacité du dispositif de contrôle interne et de gestion des risques et apporte une assistance dans l’atteinte des objectifs de l’établissement.
L’audit interne planifie ses missions sur la base d’une approche par les risques et doit donner une assurance sur l’atteinte des objectifs.
Cette fonction est prévue dans la Loi. Toutefois, la Loi ne précise pas le rattachement pour permettre de garantir l’indépendance nécessaire à cette fonction ; elle ne précise pas non plus les interactions entre l’audit interne et les autres organes de contrôle (contrôle interne, contrôle externe).
La loi précise que l’entité doit mettre en place une ‘politique d’audit interne’ pour apprécier la bonne maitrise des risques’. Nous pensons que le terme ‘politique d’audit interne’ n’est pas très approprié.
Nous proposons plutôt une ‘politique de gestion des risques et de contrôle interne’. L’audit interne étant plutôt une fonction pour lesquelles les rôles et responsabilités sont bien précises dans les normes internationales d’audit édictées par l’IIA.
La structure doit mettre en place une charte d’audit interne qui doit être signée par le Président du Conseil d’Administration. La charte précise entre autres, la fonction et l’étendue des missions de l’audit interne.
4. Les prestataires externes d’assurance
Il s’agit des commissaires aux comptes, des corps de contrôle de l’Etat (cours des comptes, Inspection générale d’Etat…).
La Loi prévoit que le commissaire aux comptes établisse un rapport sur la gouvernance. Toutefois le contenu et la forme de ce rapport n’est ne sont pas précisés.
Conclusion
Les dispositions contenues dans la loi d’orientation ne sont pas encore très explicites en l’absence de décret, circulaires… précisant la compréhension de certains termes et les principes de fonctionnement des organes de gouvernance. Dans tous les cas, les référentiels et bonnes pratiques observées sur le plan international devraient permettre de démarrer la mise en place de ce dispositif important dans la gouvernance et la gestion des risques.
Le modèle des trois ligne de l'IIA devrait permettre de clarifier les rôles et responsabilités des différents acteurs de la gouvernance, de la gestion des risques et du contrôle interne.
A propos de Moore Sénégal
Nous accompagnons les entités du secteur privé et public dans la mise en œuvre de la gouvernance, risques et conformité à travers la formation des parties prenantes, la mise à disposition d’outils de gestion et l’accompagnement dans la performance.