L'Association pour le management des risques et des assurances de l'entreprise (AMRAE) et l'Institut français de l'audit et du contrôle interne (IFACI) ont présenté le 17 septembre 2013 une position commune soutenue par l'Institut Français des Administrateurs (IFA) sur un modèle d'organisation pour maîtriser les risques. « Au contraire du référentiel COSO ou d'autres, ce modèle de trois lignes de maîtrise est d'origine européenne » s'est réjoui Farid Aractingi, Président de l'IFACI.

La première ligne concerne les responsables opérationnels en charge d'une maîtrise au quotidien. La deuxième regroupe les fonctions supports et transverses, notamment le contrôle interne, le contrôle de gestion, la DRH, la DAF et la DSI. Ce niveau doit maîtriser les risques en gardant en tête une vision globale de l'entreprise. La troisième, enfin, est celle de l'audit interne. Cette dernière est dite de « contrôle périodique » : elle est là pour donner une assurance raisonnable sur la conformité et l'efficacité des pratiques internes. Les trois niveaux reportent à la direction générale, les deux derniers également au Conseil d'Administration et au Comité d'Audit. Par ailleurs, deux acteurs sont en marge mais restent importants : l'audit extérieur et les régulateurs.

Ce modèle n'est pas révolutionnaire et l'objectif de la prise de position est bien de formaliser clairement une méthodologie qui devrait déjà être courante. Le modèle insiste sur l'indépendance indispensable de l'audit interne vis-à-vis de la direction générale. Mais il est flexible : il est ainsi possible qu'une même personne soit en charge du contrôle interne et de l'audit interne pourvu que le rôle rempli à un instant soit clairement identifié sans confusion.