Créer un environnement antifraude
expert comptable, commissaire aux comptes, auteur de « Halte aux fraudes : prévenir et détecter les fraudes en enteprise », Dunod
Si une organisation souhaite véritablement se protéger contre les fraudes, il lui est indispensable de travailler sur l'ensemble de son environnement. Ainsi, manager efficacement ce risque, c'est établir un programme antifraude en coordonnant au mieux les différents dispositifs de lutte contre la fraude : la prévention, la dissuasion et la détection. Nous présentons les différents leviers d'action qui peuvent être employés dans cette démarche. Bien entendu, ils sont plus adaptés à des groupes de sociétés qui disposent de ressources plus importantes, mais ces mesures sont tout à fait transposables dans les PME sous une autre forme (par exemple, en sous-traitant l'audit interne). Les auditeurs pourront se servir de ces programmes comme autant de points de repère pour évaluer le dispositif mis en place par l'entreprise.
Trois lignes de défense contre la fraude
Prévention |
Stopper la fraude avant qu'elle n'arrive : - contrôle interne - politique, éthique - formation, communication, ressouces humaines |
|||
Dissuasion |
Empêcher la fraude de se produire en faisant apparaître que des contrôles sont en place : - audit - communication |
|||
Détection |
Reconnaître si une fraude a eu lieu : - indicateurs, reporting - dispositifs d'alerte |
|||
Le COSO appliqué à la fraude
Le contrôle interne n'est pas une notion nouvelle et, depuis 1992 avec la création du référentiel COSO, les entreprises ont un cadre sur lequel s'appuyer. La plupart des rapports de contrôle interne y font d'ailleurs référence.
Il est cependant beaucoup moins utilisé par la profession comptable : c'est pourquoi il est intéressant de rappeler ses principes et d'examiner comment il peut être utilisé dans le cadre du risque de fraude. L'avantage du COSO est de présenter une vision élargie du contrôle interne ne se cantonnant pas aux opérations de contrôle.
Composantes du COSO |
Application à la fraude |
---|---|
Monitoring |
Évaluer le programme antifraude de manière indépendante Suivre les signaux d'alerte |
Information et communication |
Formation du personnel Vigilance |
Activités de contrôle |
Définir les contrôles répondant aux schémas de fraude identifiés, les modifier et les tester Suivre les indicateurs Audits et enquêtes |
Évaluation des risques |
Analyser les facteurs de risque Identifier et évaluer les schémas de fraude |
Environnement de contrôle |
Créer une culture éthique, exemplarité Politique antifraude, code de conduite Dispositifs d'alerte |
Comme on le constate, les différents dispositifs préconisés s'harmonisent parfaitement avec le COSO.
Réunir une équipe
Le projet antifraude doit être initié par la direction (CA, comité d'audit) et mené par une équipe pluridisciplinaire composée de représentants :
- de la fonction financière (par exemple, DAF, contrôle de gestion) ;
- de fonctions opérationnelles ;
- du service juridique et de la direction des ressources humaines ;
- d'audit interne ;
- de consultants externes spécialisés dans la fraude.
On ne se limitera pas à une équipe de projet, comme cela se rencontre très souvent lorsqu'une entreprise initie une démarche sur le contrôle interne, car le risque de fraude doit être « managé » dans le temps. Ainsi dans les entreprises les plus importantes, on retrouvera un responsable de cette fonction, couvrant également les problèmes éthiques.
Évaluer les facteurs de risque de fraude
La NEP 240 « Prise en considération de la possibilité de fraudes lors de l'audit des comptes » de la CNCC fait référence aux facteurs de risque de fraude en indiquant que le commissaire aux comptes peut relever des faits ou identifier des situations (NEP 240, § 16) :
- qui indiquent l'existence d'incitations ou de pressions à commettre des fraudes ;
- ou qui en offrent l'opportunité.
Ce sont bien les conditions que l'on retrouve présentes lorsqu'une fraude est réalisée.
Les facteurs de risque de fraude font référence à une théorie développée dans les années 60 par un sociologue américain, Donald Cressey, intitulée « le triangle de fraude ». Pour l'élaborer, il a réalisé des entretiens avec des personnes condamnées pour fraude afin de mettre en évidence des points communs dans chacune de ces affaires.
Le « triangle de fraude » |
||||
---|---|---|---|---|
Opportunité |
||||
u25B6 |
||||
Besoin/pression |
Rationalisation |
|||
Une opportunité
L'existence d'une opportunité dans un cas de fraude renvoie au contrôle interne, car c'est lui qui doit empêcher l'opportunité de fraude de se présenter. Comme il est expliqué précédemment, le fraudeur ne recherche pas forcément les failles du système : le plus souvent, elles se présentent à lui à l'occasion d'erreurs non corrigées.
Ainsi, les principales opportunités pour réaliser une fraude proviennent :
- de l'absence de contrôle ;
- d'un contrôle mal exécuté ;
- ou d'un contrôle contourné (par exemple, imitation de signature, falsification de document, etc.).
On fera particulièrement attention aux cas particuliers tels que le traitement des absences (prévues ou non), afin de s'assurer que les contrôles fonctionnent toujours dans ces configurations, en particulier la séparation des fonctions. Il doit en être de même pour les « cas de crise ». Par exemple, lorsqu'un chèque doit être signé en urgence et que le responsable est absent, que se passe-t-il ?
Il convient également de collecter les cas d'exception qui constituent une dérogation aux procédures et parfois même un contournement volontaire des règles. C'est le signe d'un dysfonctionnement qui doit alerter et être traité.
Un besoin ou une pression
Il s'agit essentiellement d'un problème financier que le fraudeur cherche à résoudre, tel que, par exemple, un train de vie élevé, la nécessité d'éponger des dettes, l'addiction au jeu, un projet impossible à réaliser autrement, etc. Il est difficile pour l'entreprise d'agir sur ce facteur, mais elle peut rester attentive aux changements de comportements.
Dans le cas des états financiers, le besoin prend la forme de pressions jugées excessives, par exemple des objectifs irréalistes.
La rationalisation de l'acte frauduleux
C'est un processus qui permet au fraudeur de rendre son acte acceptable par rapport à son système de valeurs.
Ce dernier va puiser ses motifs dans ses relations avec l'entreprise. Très souvent, un événement qui a généré de la frustation est à l'origine de cette attitude.
Citons parmi les événements pouvant générer de la frustration :
- la fermeture d'un site du groupe ;
- une promotion « manquée » ;
- une prime non accordée et dont le mode de calcul est perçu comme injuste ;
- le départ d'un collègue ;
- le manque de reconnaissance...
Pour faire face à ce facteur, l'entreprise doit mesurer le climat social et le bien-être de ses employés, ce qui est le rôle d'un service de ressources humaines efficace.
Exemples de facteurs de risque
Nous présentons ci-dessous, à titre d'illustration, les facteurs de risque associés :
- à des fraudes touchant les états financiers ;
- à des détournements.
Fraudes touchant les états financiers : exemples de facteurs de risque |
||
---|---|---|
Opportunité |
Incitation/Pression |
Rationalisation/Attitude |
-> Management dominé par une seule personne sans contrôle -> Absence de supervision du CA ou du comité d'audit -> Transactions significatives avec des sociétés liées non auditées -> Transactions complexes -> Déficience du contrôle interne (par exemple, pas de suivi des contrôles) -> Organisation complexe ou instable |
-> Menaces sur l'entreprise -> Pressions sur le management (objectifs) -> Intérêts personnels dans l'entreprise -> Difficultés importantes de l'entreprise, crainte du dépôt de bilan -> Pression excessive pour atteindre les objectifs -> Rémunération liée aux objectifs -> Caution personnelle -> Besoin d'obtenir un prêt pour rester compétitif ou investir |
-> Relations tendues avec les auditeurs (par exemple, restrictions) -> Participation excessive dans les questions sur les choix comptables (personnel hors financier) -> Communication sur les valeurs éthiques inappropriée ou inexistante |
Détournements : exemples de facteurs de risque |
||
---|---|---|
Opportunité |
Incitation/Pression |
Rationalisation/Attitude |
-> Manipulation d'argent -> Stocks faciles à détourner (taille, accès) -> Actifs facilement convertibles -> Immobilisations faciles à détourner (taille, pas d'identification) -> Faiblesse de la séparation des fonctions non compensée par d'autres contrôles -> Faiblesse de la supervision par le management (sites éloignés, etc.) -> Pas de rotation des employés clés -> Mauvais contrôle des accès informatiques |
-> Problèmes personnels |
-> Changement de comportement -> Événements affectant la relation avec l'entreprise (licenciements annoncés, réorganisation, nouvelle politique salariale, etc.) -> Dénigrement des contrôles et des procédures -> Insatisfaction |
Comme nous le verrons dans la partie 4 consacrée à la NEP 240, l'auditeur doit évaluer les facteurs de risque en fonction des informations qu'il a collectées. Ainsi, il peut se faire une opinion sur le climat de l'entreprise et déterminer si elle est plus ou moins à risque.
Développer une culture éthique
Politique antifraude
La stratégie de lutte contre la fraude est définie par le conseil d'administration (ou le comité d'audit) qui doit impérativement réaliser un travail sur les valeurs de l'entreprise, mais aussi sur sa vision du risque de fraude. L'implication de la haute direction est un facteur de réussite essentiel de la démarche.
Code de conduite
Un code de conduite doit formaliser cette politique. À la différence des chartes d'éthique qui se généralisent, le code de conduite, plus précis, doit s'attacher à expliquer, au-delà des valeurs de l'entreprise :
- les comportements attendus ;
- ceux qui seront sanctionnés ;
- le traitement des cas de fraude (enquête, etc.).
Ce code doit être relayé par l'encadrement et présenté à chaque nouvel entrant.
Ces codes sont souvent perçus comme des gadgets. Une enquête réalisée en mars 2007 par Ernst & Young dans 8 pays européens confirme pourtant que leur utilité est perçue puisque, pour 70 % des salariés interrogés, un code de conduite est un moyen utile pour prévenir et détecter les fraudes ainsi que la corruption.
L'exemplarité
La direction doit montrer l'exemple pour être crédible. Cela concerne à la fois le respect des procédures (pas de « passe-droits ») et les avantages.
Cette exigence doit se répercuter dans tout l'encadrement, car l'absence d'exemple est souvent un facteur de risque « détonateur ». L'exemplarité peut être mesurée lors d'entretiens avec le personnel ou par la diffusion de questionnaires.
Le rôle de prévention des Ressources humaines
Les ressources humaines ont à jouer un rôle dans la prévention des fraudes à plusieurs niveaux.
Recrutement
Les études montrent que l'essentiel des fraudeurs n'a jamais été condamné auparavant. Cela confirme la théorie selon laquelle ce sont des personnes que rien ne prédisposait à la fraude et qui « basculent » à un moment donné. Dès lors, il n'est pas très utile de renforcer les contrôles au moment de l'embauche, excepté les règles de bon sens (vérification des justificatifs de diplômes, emplois antérieurs, etc.).
Il faut néanmoins rester vigilant, en particulier dans les groupes, car il peut arriver qu'une personne licenciée dans une des sociétés du groupe pour un comportement malhonnête se représente dans une autre filiale. On vérifiera donc si le service des ressources humaines a prévu cette éventualité.
Vie dans l'entreprise
Il est d'usage de recommander une rotation des personnes clés sur d'autres secteurs, par exemple dans le secteur bancaire. La question se posera dans les organisations par agence ou par site ou encore pour les commerciaux. Cette rotation peut effectivement être utile pour lutter contre les conflits d'intérêts ou même pour détecter des pratiques frauduleuses.
Nous avons insisté précédemment sur l'importance de mesurer le climat social de l'entreprise et le « bien-être » des employés (incluant le management). Il faut également être attentif aux changements de comportements qui peuvent être suspects et qui reviennent dans de nombreuses affaires : stress important, pas de vacances, etc.
Formation
Le personnel ne devra pas être laissé de côté dans la démarche et il convient de l'impliquer sous forme de formations de sensibilisation destinées à ce qu'il puisse :
- mieux comprendre les contrôles et les procédures ;
- être réactif aux signaux d'alerte (comportements anormaux, etc.) ;
- être sensibilisé à l'éthique et aux dispositifs antifraude existants.
On évitera les « grandes messes » pour se concentrer sur des ateliers couvrant les préoccupations des participants, souvent sous forme de cas pratiques afin de les mettre en situation.
À l'occasion du départ du salarié
Le départ d'un salarié est l'occasion de recueillir son opinion sur les dysfonctionnements qu'il a pu constater ou sur d'autres faits plus graves (par exemple, salarié confiant avoir été « approché » par un fournisseur ou avoir été témoin de pratiques douteuses). S'il convient de prendre avec du recul ces affirmations, ce sont toutefois des pistes à ne pas négliger.
Déployer des dispositifs d'alerte
Ces dispositifs, assez controversés, permettent aux employés de reporter une fraude.
Le « whistleblowing » américain
Le « whistleblowing » a été instauré par le SOX en 2002 : les entreprises ont l'obligation de faire développer par leur comité d'audit un système de remontée d'informations. Il prend la forme de « hot line éthiques » mises à la disposition des employés, mais aussi des fournisseurs et des clients, afin qu'ils puissent alerter l'entreprise sur des comportements dont ils seraient témoins. Un dispositif de protection des informateurs sanctionne les entreprises en cas de représailles contre ces informateurs.
Adaptation française
Le SOX a un impact qui dépasse les entreprises américaines, puisqu'il s'applique aussi aux sociétés étrangères cotées à la Bourse de New York. Ainsi, ces entreprises ont dû trouver un moyen de respecter ces obligations dans le cadre de la loi française et de notre culture. La solution est venue de la CNIL par la création d'un document unique indiquant les règles à respecter si l'on doit mettre en place un « dispositif d'alerte ».
Quelle utilité ?
On peut s'interroger sur la légitimité de ce type d'outil, qui peut être perçu comme de la dénonciation organisée mais redoutablement efficace. Selon l'ACFE (Association of Certified Fraud Examiners, enquête 2006), la première source de détection de la fraude était la dénonciation (34,2 %), puis le hasard (25,4 %), l'audit interne (20,2 %) et le contrôle interne (19,2 %).
Il faut comprendre que, dans de nombreuses affaires, des employés étaient au courant des malversations et se trouvaient dans une situation d'impasse lorsque le fraudeur était leur responsable hiérarchique. Par exemple, que doit faire un comptable contraint de saisir des écritures à la demande du directeur financier, alors qu'il sait qu'elles sont erronées ?
Il existe d'autres moyens que les hot line pour permettre cette remontée d'informations dans des conditions saines : par exemple, créer un comité d'éthique chargé de conseiller les employés, en veillant à intégrer des représentants du personnel et un tiers.
Est-il possible de développer un outil de ce genre pour des PME ? Il faut plutôt s'axer sur des moyens de collecter les dysfonctionnements qui sont une source d'informations. On peut, par exemple, s'appuyer sur des systèmes qualité en les étendant aux questions administratives.
Investigations et gestion de crise
Enquête de fraude
L'entreprise peut réaliser une enquête si elle a des soupçons, avant d'avertir les autorités. En effet, il y a de fortes chances pour que les poursuites soient abandonnées sur un dossier mal préparé ou que l'on engage des actions sans fondement. De plus, si une enquête judiciaire est lancée, les moyens d'investigation des services de police peuvent être traumatisants (saisie de documents, perquisitions, auditions de clients ou de fournisseurs, etc.).
Dans le cas où l'entreprise réalise l'enquête de fraude par elle-même, il est important de respecter certaines règles juridiques. Nous recommandons de faire appel à un spécialiste extérieur qui permettra de se faire une opinion rapidement et conseillera l'entreprise sur la démarche, en particulier sur les cas les plus délicats impliquant la direction.
Plan de crise
Les entreprises sont insuffisamment préparées, car elles pensent trop souvent qu'elles ne peuvent pas être victimes de fraudes. Ainsi, elles sont démunies lors de leur premier cas et perdent beaucoup de temps, voire commettent des erreurs.
Comme pour tout risque, on doit réfléchir à un plan de crise au cas où le sinistre se réaliserait. Il peut comprendre les éléments suivants :
- qui réalise les investigations ?
- comment communiquer en interne ?
- comment communiquer en externe ?
- qui décide des suites à donner ?
- comment déposer plainte ?
Poser ces quelques questions au dirigeant l'aidera à anticiper les problèmes, mais permettra aussi à l'auditeur ou au consultant de mesurer son degré de prise en compte du risque.
Outils informatiques
Les fonctions de certains logiciels s'avèrent bien utiles dans la prévention et la détection des fraudes. On peut conseiller deux types d'outils.
Les logiciels de modélisation
Les logiciels de modélisation permettent de décrire les processus sous la forme de logigrammes. On peut se servir de leur représentation graphique pour suivre le flux des valeurs et identifier ainsi plus facilement à quel moment elles peuvent être détournées. Il est également possible de faire apparaître le schéma de fraude associé.
Les outils classiques (Word, ABC flow chart) peuvent être utilisés pour dessiner les logigrammes, mais des logiciels plus élaborés existent. Par exemple, « MEGA suite » utilise la modélisation pour alimenter une base de données des contrôles et des risques, ce qui permet d'établir une cartographie.
Les logiciels d'analyse de données
Dans les cas de fraude, il est difficile de se contenter des sondages. Les logiciels d'analyse de données permettent d'analyser l'intégralité d'une base de données et de rechercher des indicateurs de fraude. Les logiciels les plus connus dans la profession sont IDEA et ACL qui développent les mêmes fonctions, parmi lesquelles :
- le croisement de différentes tables (par exemple, base des commandes/base des factures) ;
- la recherche de transactions suspectes (schémas) ;
- la vérification des calculs (par exemple, provisions) ;
- la vérification du respect des seuils d'autorisation ;
- les doublons, la rupture de séquence.
On constate que ces fonctions font effectivement gagner beaucoup de temps et augmentent de façon importante la possibilité de détecter des anomalies. Il faut toutefois tenir compte du temps d'apprentissage et des limitations éventuelles d'accès aux données par l'entreprise (confidentialité). Ainsi, le flair et l'expérience de l'auditeur restent irremplaçables...
La fonction « loi de Benford », présente dans tous les logiciels d'analyse de données, repose sur la théorie d'un mathématicien permettant de prévoir la répartition d'une suite importante de nombres en fonction de leur premier chiffre (par exemple, pour 2 573, le premier chiffre est 2). La probabilité d'apparition des chiffres est décroissante : 30,1 % pour le 1, puis 17,6 % pour le 2 et ainsi de suite jusqu'à 4,6 % pour le 9.
L'idée est qu'un fraudeur perturbera cet arrangement « naturel » des nombres et qu'il est ainsi possible de détecter cette manipulation en interrogeant les bases de données (liste de paiements, enregistrements de caisse, factures clients, etc.).
Malheureusement, on ne sait pas encore sur quelle base lancer le test pour repérer systématiquement des anomalies.
QUESTIONNAIRE D'ÉVALUATION DU DISPOSITIF ANTIFRAUDE |
||
---|---|---|
Évaluation |
Commentaires |
|
FACTEURS DE RISQUE |
||
L'entreprise est-elle exposée au risque ? |
||
1 - Évaluer le risque lié à la structure de l'entreprise (PME, association, etc.) |
||
2 - Existence de sites ou d'agences |
||
3 - Risque lié au secteur (croissance rapide, crise) |
||
4 - Pression sur le management (résultats, objectifs) |
||
5 - Qualité de l'environnement de travail (bien-être) : primes, intéressement aux résultats, entretiens d'évaluation, ergonomie |
||
6 - Existence de procédures formalisées et appliquées ? |
||
7 - A-t-on analysé les séparations de fonction (grilles de tâches) ? |
||
GESTION DU RISQUE DE FRAUDE |
||
Existe-t-il une stratégie anti-fraude ? |
||
8 - Le risque est-il suivi par la haute direction ? |
||
9 - Un responsable du risque a-t-il été identifié ? |
||
10 - Existe-t-il un plan de crise et d'investigation ? |
||
11 - A-t-on identifié les schémas par processus ? |
||
12 - A-t-on modifié les contrôles et indicateurs pour tenir compte de ces risques ? |
||
13 - Conserve-t-on un historique des cas de fraudes ? |
||
ÉTHIQUE |
||
14 - Existe-t-il un code de bonne conduite ? |
||
15 - Le personnel est-il formé à ce code ? |
||
16 - Attitude de la direction (exemplarité) |
||
17 - Existe-t-il un système de remontée d'information des dysfonctionnements ? (dispositif d'alerte, système qualité...) |
||
RESSOURCES HUMAINES |
||
18 - Les candidatures sont-elles vérifiées ? |
||
19 - Existe-t-il un système de remplacement pour les congés ? |
||
20 - A-t-on mis en place une rotation pour les postes sensibles ? |
||
SYSTÈME D'INFORMATION |
||
21 - Les profils et accès sont-ils audités périodiquement ? |
||
22 - A-t-on testé le système face à des intrusions ? |
||
23 - Dispose-t-on d'outils pour interroger la base ? |
||
DISPOSITIFS DE DÉTECTION |
||
24 - Qualité de l'audit interne (champ d'intervention, formation à la fraude, indépendance) |
||
25 - Intervention de tiers indépendants |
||
26 - Les réclamations des tiers sont-elles suivies et revues de manière indépendante ? |
||
27 - Surveille-t-on des indicateurs de fraude ? |
||
Copyright - Olivier Gallet - 2008 |