Quoi de neuf dans le monde des trois lignes de défense?

Récemment, lorsque j’ai mentionné «Trois lignes de défense» sur Twitter ou LinkedIn, il semble que j’ai reçu instantanément des commentaires prétendant que c’était mort! Ces commentaires n'apportent pas plus de contenu ni de justification que cette simple déclaration.

Permettez-moi de contester fermement cette perception. En fait, la conférence SAP sur les contrôles internes, la conformité et la gestion des risques plus tôt cette année, ainsi que les présentations de nos clients, indiquent clairement que ce n'est pas le cas partout… même partout. En conséquence, j'ai décidé d'essayer de répertorier – du moins, de mon point de vue – ce qui a changé dans le monde des trois lignes de défense au cours des dernières années pour illustrer la raison pour laquelle les organisations continuent d'adopter ce cadre.

de la première ligne

De plus en plus d’organisations automatisent le travail de la première ligne et utilisent les résultats – et surtout les écarts entre les résultats – pour alimenter les travaux de la troisième ligne.

Je pense qu’il y en avait deux. facteurs qui ont contribué à ce succès: la maturité accrue des organisations et l’évolution de la technologie. Les outils d'automatisation des contrôles, par exemple, sont sur le marché depuis un certain temps. Mais dans la plupart des cas, la définition de la règle automatisée était lourde et les propriétaires d'entreprise s'appuyaient souvent sur les TI pour sa livraison.

Grâce à une approche plus intuitive basée sur les objets, les propriétaires d'entreprise ont été autorisés à créer ces règles elles-mêmes. En outre, ils peuvent même simuler les règles et analyser les types d'exceptions déclenchées avant de les déployer sur une fréquence définie. Cela a également permis à de nombreuses organisations de passer d'une approche de détective, où les contrôles ne feraient que «régler» les problèmes après coup, à une situation plus proactive en exploitant les schémas de détection pour identifier les tendances négatives et corriger les situations plus rapidement.

Intégration et reconnaissance par l'entreprise

Une autre différence majeure est une intégration plus poussée dans l'entreprise. Auparavant, les départements de contrôle, de risque et d'audit opéraient en quelque sorte en vase clos. Oui, ils pouvaient compter sur des correspondants intégrés aux opérations, mais ils étaient rarement perçus comme de véritables partenaires commerciaux. J'entends de plus en plus parler de chefs d'entreprise qui se tournent vers les équipes de contrôle, de gestion des risques et d'audit pour les aider à améliorer leurs processus. Pour moi, c'est une reconnaissance de leur valeur ajoutée.

L'un des facteurs qui aurait pu déclencher ce changement de comportement est un nouveau ton au sommet: de nombreux dirigeants demandent désormais des informations en temps réel sur les risques de l'entreprise dans les rapports qu'ils utilisent une base quotidienne pour diriger l'entreprise. L'époque de la carte thermique de six mois est révolue. Les dirigeants veulent – et utilisent – des informations interactives sur l'exposition de leur organisation et sur ce qui est fait pour atténuer les risques, même pour les menaces critiques ou non pertinentes pour le conseil d'administration.

Passage au nuage

Je ne peux pas compter. le nombre de fois où on m'a dit que les informations sur les risques de l'entreprise était trop critique pour être mis en nuage. Maintenant que les entreprises adoptent de plus en plus le cloud et que leurs systèmes (y compris la planification des ressources de l'entreprise) sont intégralement intégrés dans le cloud, cette idée semble également s'estomper.

Indéniablement, les organisations adoptent des solutions de cloud pour trois lignes de défense. et ils le font pour plusieurs raisons, notamment:

• Tirer parti des meilleures pratiques du marché
• Accélérer l'adoption de nouvelles innovations tout en réduisant les efforts de mise à niveau
• Réduction du coût total de possession, ce qui accélère le retour sur investissement
• Bénéficiez d'une tarification par abonnement

Ce dernier point est important car il signifie que les entreprises ne se tournent pas seulement vers les dépenses opérationnelles et par conséquent vers un investissement réduit, mais aussi qu'elles peuvent adapter leurs licences pour suivre de près l'adoption de l'outil. Si l’outil tient ses promesses, les entreprises peuvent plus facilement augmenter le nombre de filiales, départements, pays, utilisateurs, etc. dans le champ d’application.

Je n’affirme certes pas que cette liste est exhaustive. Je veux simplement partager avec vous ma conviction que trois lignes de défense ne sont pas «mortes», mais très vivantes et frappantes, et donner quelques exemples à l'appui.

Mais qu'en est-il de vous? Y a-t-il d'autres aspects des trois lignes du cadre de défense que vous voyez évoluer? Je suis impatient de lire vos commentaires sur Twitter @TFrenehard

En savoir plus

Cet article a paru à l'origine sur le blog SAP Analytics et est republié sur autorisation. [19659022]