samedi 29 avril 2017

Audit et contrôle internes : la prévention et la détection des fraudes

« Désacraliser le sujet de la fraude »
Sébastien LEPERS (ECA2000)

Sur la base de son expérience dans le domaine de la surveillance interne (commissaires de base aérienne) et de la surveillance administrative (échelon régional), le commissariat de l’air a été en pointe dans les années 1990 et 2000 en matière de contrôle interne, d’audit et de démarche qualité.

Dans la continuité de cette expertise, Sébastien Lepers, auditeur à la septième chambre de la Cour des comptes, nous fait un point de situation sur la fraude, qui n’est pas un sujet propre à l’entreprise (extrait d’un article publié dans la revue « Audit, risque et contrôles » n°9- 1er trimestre 2017).


"Sujet de préoccupation prioritaire pour les entreprises dans un contexte de crise économique durable et de mutation technologique permanente, la fraude représente un phénomène qui concerne tous les secteurs d’activité et toutes les tailles d’entreprises. La lutte antifraude, loin de constituer un risque théorique, fait l’objet d’une attention de plus en plus appuyée de la part des entités, qu’elles soient publiques ou privées.

Les médias font régulièrement état de fraudes à forts impacts commises par des organisations ou des personnes. Ces fraudes, dont les répercussions peuvent être très néfastes aussi bien en termes opérationnels que d’image de marque, doivent nécessairement faire l’objet de mesures de prévention et de détection (voire le cas échéant d’investigation) de la part de chaque organisation, des petites entreprises aux grands groupes, en passant par les associations et même les administrations publiques.[..]

La criminalité économique et financière pèse sur l’activité de l’entreprise dans un contexte où les systèmes sont de plus en plus complexes et fragmentés et où les canaux de communication tendent à se multiplier. Dès lors, l’audit et le contrôle internes proposent un panel efficace d’outils de lutte antifraude en vue de maîtriser le risque de fraude inhérent à chaque système.

Le recensement préalable du risque de fraude 
Aucune lutte contre la fraude n’est possible sans identification préalable du risque de fraude existant dans l’entité. Une approche par les risques prenant en compte l’ensemble des spécificités de la fraude, demeure la principale démarche pour pouvoir garantir la pertinence et l’adéquation du dispositif de maîtrise. Cette approche doit répondre au profil de risque spécifique à chaque entreprise par l’intermédiaire d’une hiérarchisation des risques sous l’angle d’un rapport coût-avantage favorable pour l’entité. L’entreprise doit d’abord cartographier et hiérarchiser (identifier, analyser et évaluer) l’ensemble des risques inhérents de fraude tant interne qu’externe dans le périmètre de ses activités ; elle pourra alors comprendre et cerner les facteurs, mécanismes et conséquences de cette typologie de risques, nécessaires pour un déploiement efficace et approprié des activités de contrôle préventif, détectif ou correctif. Il s’agit avant tout de bien connaître l’origine de la fraude pour mieux la combattre dans une politique de tolérance au risque de fraude de l’organisation face préalablement définie, permettant notamment de spécifier le niveau de risque acceptable, cible à atteindre.

Schéma : exemple de cartographie des risques selon les typologies de fraude

Source : cahier de la recherche de l’IFACI « L’audit de la fraude dans le secteur bancaire et financier » de janvier 2010.

La nécessaire mise en œuvre d’un dispositif robuste de contrôle interne 
En matière de lutte contre la fraude, le contrôle interne, en tant que dispositif permanent de contrôle déployé au niveau des première (1) et deuxième lignes de maîtrise (2) est considéré comme un élément central et incontournable. L’absence de déploiement d’un dispositif de contrôle interne (3) apparaît comme le facteur principal favorisant l’avènement de la fraude dans la plupart des enquêtes menées sur le sujet de la maîtrise du risque de fraude, quelle que soit la taille de l’entreprise. Il est regrettable de constater que les organisations ne sont pas suffisamment proactives et volontaires sur la prise en compte du risque de fraude. Cette situation pourrait aboutir au développement a priori de mesures de maîtrise nécessaires dans le périmètre des cinq composantes de l’indémodable référentiel de contrôle interne COSO de 1992 (4). Les organisations victimes de fraudes, dans la majorité des cas, ont mis en place des mesures correctives a posteriori, donc tardivement. Parmi les principales mesures de contrôle préventif efficace figure la mise en place de la séparation des tâches, d’une revue du management, la mise en œuvre de la technique de vérification surprise dite « à l’improviste » ou encore, en matière de contrôle détectif, la mise en place de mécanismes de signalement d’irrégularités et / ou d’anomalies (5).

Un autre axe essentiel du contrôle interne à envisager en matière de lutte contre la fraude concerne la sensibilisation du personnel de l’entreprise en termes de  comportements à promouvoir au sein de l’entreprise, par l’intermédiaire du « tone at the top » (exemplarité de l’encadrement supérieur) et du « tone in the middle » (exemplarité de l’encadrement intermédiaire). La formation sur la politique antifraude ou sur le code d’éthique ou de conduite de l’entreprise est également importante quel que soit le niveau hiérarchique de l’acteur. Ce système devrait permettre à toutes les personnes concernées par ce risque, dont notamment les dirigeants d’entreprise, d’être sensibilisées à ces mécanismes ; cela, pour qu’elles soient capables d’empêcher le développement de ces schémas dans l’organisation, en transformant la culture d’entreprise de façon à reconnaître et accepter de prendre en charge le risque de fraude dans les activités courantes.

Dans le domaine de la fraude, il pourra être particulièrement intéressant de concevoir des actions ciblées de manière à agir sur la cause de la possibilité de fraude dans l’organisation. Pour cela, l’utilisation du référentiel d’analyse modélisé par le criminologue et sociologue américain Donald Cressey en 1953, dénommé « Triangle de la fraude » et permettant d’expliquer l’avènement d’une fraude autour de trois grandes catégories de facteurs déclenchants, s’avère grandement utile.

Schéma : le triangle de la fraude

Source : cahier de la recherche de l’IFACI, « La fraude : comment mettre en place et renforcer un dispositif de lutte antifraude ? », déc. 2010.
[…]
L’audit interne, un outil de prévention et de détection des fraudes
Au-delà du rôle principal d’apprécier le degré de maturité du dispositif de contrôle interne d’une organisation, l’activité d’audit interne joue un double rôle dans la prévention et la détection de la fraude (6) :
elle fournit une opinion sur le degré de maîtrise des opérations : la direction d’audit interne, en tant qu’entité indépendante, est chargée de donner une assurance raisonnable quant à la régularité et à la légalité des opérations et des comptes des services audités et quant au fonctionnement conforme d’un système par rapport aux exigences réglementaires (7) ;
elle assure un rôle consultatif, dans le cadre d’une mission de conseil.
Dans les deux cas, la direction d’audit interne peut formuler des propositions visant à améliorer les carences dans les opérations, les comptes et les systèmes.

Sans être un expert de la lutte contre la fraude (8), un auditeur interne, qui est d’abord un généraliste doté de solides connaissances méthodologiques, doit posséder une connaissance suffisante des principaux mécanismes de fraude employés dans l’entreprise. S’appuyant sur ce socle de connaissances, il doit réussir à mettre en œuvre des méthodes de détection de la fraude à partir de signaux d’alerte communément appelés « red flags ». La mise en œuvre des diligences dites de routine (9) peut permettre à l’auditeur de repérer, à l’occasion de l’accomplissement des missions inscrites au programme annuel d’audit (10), des anomalies ou des écarts inexpliqués (i. e. exceptions surprenantes ou situations atypiques) pouvant être considérés comme des indicateurs de fraude.
Néanmoins, il est plutôt sage de reconnaître que le caractère volontairement et subtilement dissimulé d’actes frauduleux rend leur détection particulièrement difficile pour l’auditeur (11) .

Dès lors, il est nécessaire, dans une logique de performance alliant l’efficacité à l’efficience, d’adapter les techniques de contrôle aux principaux mécanismes de fraudes constatés à partir du recensement des cas mis à jour et connus dans chaque organisation et aux profils des fraudeurs, sans prétendre à l’exhaustivité. L’évolution du niveau technologique des fraudeurs provoque des montages de plus en plus complexes et de multiples formes de fraude sans cesse réinventées ; il apparaît davantage approprié de cibler des actions préventives et détectives à partir d’une analyse des risques des différentes typologies de fraude (12) plutôt que de déployer « une usine » de contrôle du risque de fraude dans une logique absolue, excessive et coûteuse. Il s’agit bien de désacraliser le sujet de la fraude en s’appropriant le postulat selon lequel la plupart des fraudes sont relativement simples et pourraient être évitées grâce à quelques recettes élémentaires dans l’organisation.

Enfin, il convient de retenir que les recommandations d’audit présentées aux échelons de gouvernance (13) devraient surtout viser à agir sur les trois facteurs déclenchants développés par le modèle du « triangle de la fraude ». Cette orientation permettrait de se placer dans une perspective de prévention durable des possibilités de fraude et de faciliter de manière pragmatique la gestion du risque de fraude au sein de l’organisation.

(1) Mener l’activité opérationnelle tout en gérant les risques afférents.
(2) Mesurer et surveiller les risques de l’ensemble des activités opérationnelles.
(3) Il peut s’agir, par exemple, de la formalisation d’un organigramme fonctionnel, de la documentation de procédures, de la mise en œuvre d’activités de contrôle de supervision, mutuel ou d’autocontrôle, de la mise en place de séparation fonctionnelle des responsabilités, etc.
(4) The Committee of Sponsoring Organizations of the Treadway Commission. Ce référentiel a vu la déclinaison de ses cinq composantes en 17 principes en 2013.
(5) L’apparition d’irrégularités ou d’anomalies peuvent notamment constituer des indices d'une forte exposition au risque de fraude.
(6) Cf. guide pratique GTAG 13 de l’IIA/IFACI « Prévention et détection de la fraude dans un monde automatisé » de décembre 2009.
 (7) Selon les termes de la norme de fonctionnement IIA 2120.A2, « l’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est géré par l’organisation ». Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.
 (8)  Conformément aux dispositions de la norme de qualification IIA 1210.A2, « les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la responsabilité première est la détection et l'investigation des fraudes ». Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.
(9) La norme de qualification IIA 1220.A1 fournit les lignes directrices selon lesquelles « les auditeurs internes doivent apporter tout le soin nécessaire à leur pratique professionnelle en prenant en considération les éléments suivants : l'étendue du travail nécessaire pour atteindre les objectifs de la mission, la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont appliquées les procédures propres aux missions d'assurance, l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle, la probabilité d'erreurs significatives, de fraudes ou de non-conformité et le coût de la mise en place des contrôles par rapport aux avantages escomptés ». Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.
 (10) La norme de fonctionnement IIA 2210.A2 précise qu’« en détaillant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu'il existe des erreurs significatives, des cas de fraudes ou de non-conformité et d’autres risques importants ». Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.
 (11) Selon les différentes enquêtes annuelles de l’ACFE, les auditeurs internes et externes ne détecteraient environ qu’une fraude sur cinq, les fraudes pouvant être découvertes entre autres par un système d’alerte en place, par hasard, par la divulgation directe d’information interne ou externe, par un dispositif d’alerte éthique (« whistleblowing ») ou encore par l’investigation des autorités judiciaires.
 (12) Les différentes et principales typologies de fraude comprennent notamment le détournement d'actifs, la fraude comptable, la corruption, la cybercriminalité ou encore la fraude aux achats.
 (13) Cela concerne, à titre d’illustration, les dirigeants, les conseils d’administration, de surveillance ou de gestion et les comités d’audit (et des risques quand il existe).

L'actualité de Sébastien Lepers
Petites Affiches n°80 du 21 avril 2017
Audit, risque et contrôles » n°9- 1er trimestre 2017