Vous êtes sur la page 1sur 41

Le rôle de l’audit interne dans la prévention, la

détection et l’investigation de la fraude


Dominique Perrier
Jean-Pierre Hottin
Cyril Perrault

*connectedthinking 28 mai 2008


PricewaterhouseCoopers
Introduction

Les grandes étapes d’une démarche de prévention, de


détection et d’investigation de la fraude

Focus : les outils et problématiques informatiques

Le rôle de l’audit interne

Conclusion

Page 2
PricewaterhouseCoopers 28 mai 2008
Introduction

Les grandes étapes d’une démarche de prévention, de


détection et d’investigation de la fraude

Focus : les outils et problématiques informatiques

Le rôle de l’audit interne

Conclusion

Page 3
PricewaterhouseCoopers 28 mai 2008
Introduction

La fraude: une préoccupation croissante des départements


d’audit interne
• Enquête PwC 2008 sur les pratiques de l’audit interne: 83% des personnes
interrogées considèrent la maîtrise des systèmes d’information, la détection
et l’investigation de la fraude comme des compétences prioritaires pour les
équipes d’audit interne

• L’enquête PwC « Internal Audit 2012 »: Anticipation d’une responsabilité


croissante des équipes d’audit interne sur les sujets relatifs à la fraude
1. Audit en continu 90%
2. Audit du processus ERM 77%
3. Audit des opérations externalisées et délocalisées 75%
4. Détection de la fraude 66%
5. Evaluation du risque de fraude 66%
.
.
.
10. Investigations suite à une fraude 44%
Page 4
PricewaterhouseCoopers 28 mai 2008
Introduction

Le rôle de l’audit interne en matière de fraude: ce que disent


les normes (1/2)

• Normes 1210.A2 de l’IFACI


« L’auditeur interne doit posséder des connaissances
suffisantes pour identifier les indices d’une fraude, mais il n’est
pas censé posséder l’expertise d’une personne dont la
responsabilité première est la détection et l’investigation des
fraudes »

Page 5
PricewaterhouseCoopers 28 mai 2008
Introduction

Le rôle de l’audit interne en matière de fraude: ce que disent


les normes (2/2)

• Modalités Pratiques d’Application de l’IFACI

1210 – A2 – 1: Prévention, détection et 1210 – A2 – 2: Enquête, reporting,


évaluation des risques de fraude résolution et communication
- Mener ou s’appuyer sur l’évaluation - Disposer du niveau de compétences
des risques de fraude réalisés par le nécessaire aux enquêtes
management - Assister le management dans la mise
- Tenir compte des risques de fraude en œuvre d’actions disciplinaires et
pour évaluer la pertinence des pour éviter de nouveaux cas de
contrôles et déterminer les travaux fraude
d’audit à réaliser - Apporter assistance dans la définition
- Posséder une connaissance d’une communication interne ou
suffisante pour déceler les indices externe
d’une fraude éventuelle (« red flags) - Formuler une opinion sur le système
- Faire preuve de vigilance dans les de contrôle interne relatif à la fraude
situations propices à la fraude Page 6
PricewaterhouseCoopers 28 mai 2008
Introduction

Les grandes étapes d’une démarche de prévention, de


détection et d’investigation de la fraude

Focus : les outils et problématiques informatiques

Le rôle de l’audit interne

Conclusion

Page 7
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

Mise en place d’un programme anti-fraude


– cadre conceptuel

• Le cercle « vertueux » PwC

Appréciation
Environnement de
des risques de
contrôle
fraude

Réponses aux
Revue de l’efficacité
soupçons/ Audit de fraude
des contrôles
cas avérés

Page 8
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

DEMARCHE D’APPRECIATION DES RISQUES

1. Constituer l’équipe

2. Organiser les travaux

3. Identifier les risques inhérents sur la base de scenarios

4. Identifier et évaluer les contrôles

5. Décider des actions à entreprendre

Page 9
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

APPRECIATION DU RISQUE

• Constitution de l’équipe
Auditeurs internes

Management, opérationnels et comptables, Juridique &


Compliance

Experts externes (le cas échéant)

• Mise en place du projet

Etendue, modalités de pilotage, livrables…

Page 10
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

APPRECIATION DU RISQUE

• Identification des scénarios

Souvent sous forme d’ateliers à partir :

• de cas classiques

• des particularités du secteur

• des spécificités du groupe

• de l’historique

Avec la contribution de tous les membres de l’équipe

Page 11
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

APPRECIATION DU RISQUE
• Le triangle de la fraude : 3 conditions favorisant la fraude
Motivation / Pression
Le management ou les employés
doivent avoir une motivation ou subir
une pression qui les poussent à
commettre une fraude

Rationalisation / Dissimulation
Opportunité Justification morale de l’acte de fraude. Les
Existence de circonstances - par exemple, l’absence personnes impliquées mettront en place des
de contrôles, l’inefficacité des contrôles en place ou la mesures pour dissimuler la fraude (falsification
possibilité pour le management de contourner les des documents, déformation de l’information
contrôles – qui donnent l’opportunité de commettre transmise, collusion avec le management,
une fraude. employés et tiers, contournement de contrôles par
le management….)

Page 12
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

APPRECIATION DU RISQUE

• Les réflexes à avoir


Identifier les sources de pression

• Rémunérations variables importantes

• Direction centrée sur le développement commercial et les résultats

• Filiale acquise récemment avec dirigeant historique maintenu et, le cas


échéant, clause d’earn-out

• Rumeurs de train de vie important d’un dirigeant

• Interventions dans des pays où la corruption est fréquente

Page 13
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

APPRECIATION DU RISQUE
• Les réflexes à avoir (suite)
Identifier les opportunités / prendre en compte l’environnement
de contrôle
• Faiblesse de la fonction comptable, mauvaise qualité du reporting.
• Manque de contrôles RH (congés, recrutement…)
• Résultats arrêtés par les opérationnels sur les contrats à long terme
avec peu de contrôle financier
• Manque de contrôle sur la signature des contrats et leurs conditions, y
compris la rémunération d’intermédiaires
• Manque de contrôle sur les frais généraux, manque d’appel d’offres sur
les fournisseurs
• Insuffisance de séparation des fonctions et possibilité de contournement
des contrôles par la Direction
• Situation comptable non maîtrisée (comptes non justifiés, arrêtés
tardifs…)
Page 14
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

APPRECIATION DU RISQUE
• Identifier les contrôles

Exemple

Type de Contrôles anti-fraude


Business Unit Scénario
fraude Prévention Détection

Business Unit A Corruption/ Baisse du prix Restriction d’accès Reporting sur les
détournement de vente pour pour les changements changements de
un client par un de prix prix dans le master
commercial file

Politique d’autorisation Revue du


des changements de management
prix systématique en cas
de prix non standard

Page 15
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

APPRECIATION DU RISQUE
• Traitement du risque résiduel - Les différentes alternatives

Actions prévenant Actions limitant Actions visant Décision en


l’occurrence la probabilité à transférer connaissance de
des risques d’occurrence les pertes ou cause de
ou l’impact la responsabilité supporter
sur des tierces l’impact d’un
parties événement qui
surviendrait
• Cession de • Suivi budgétaire • Assurance
l’activité • Sensibilisation et • Externalisation
• Désengagement de responsabilisation • Couvertures
l’opération • Mise en place de
• Interdiction de limites
pratiques • Plans de continuité

Quelle que soit la solution, nécessité d’un suivi / pilotage Page 16


PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

REVUE DE L’EFFICACITÉ DES CONTRÔLES (COMPLIANCE)


• L’efficacité des contrôles permettant de réduire le risque
de fraude est vérifiée par les opérationnels / comptables /
contrôleurs internes / départements compliance
• Objectif : identifier les contrôles inopérants (déficience
temporaire du dispositif, contournement du
management).

Indicateurs de risques
Audit de fraude
en cas d’anomalie

Page 17
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

REVUE DE L’EFFICACITE DES CONTRÔLES (COMPLIANCE)

• Les réflexes à avoir


Quelques indicateurs

• Evolution anormale des résultats sur contrats ou des frais généraux par
rapport au budget ou par rapport aux autres entités du groupe

• Présence de comptes non analysés / non rapprochés

• Clients anciens sans règlement

• Explications confuses / contradictoires sur les anomalies

• Dirigeant ou DAF omniprésent / charismatique

• Evolution de la trésorerie déconnectée des résultats comptables

• Rumeurs, lettres anonymes… Page 18


PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

AUDITS DE FRAUDE

• Caractéristiques

Action préventive (pas de soupçon spécifique)

Sur la base des zones de risques résiduelles et des zones où les


contrôles ne sont pas efficaces

• Des procédures adaptées

Revues analytiques spécifiques

Entretiens

Tests « non prévisibles »

Tests informatiques
Page 19
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

AUDITS DE FRAUDE

• Une approche spécifique

Objectif : trouver des anomalies, d’où une approche très


différente de celle de l’audit interne ou externe

Challenge des données et non validation (recoupements


multiples, analyses chronologiques…)

Application de la règle du 1% et non celle des 80-20 % (centrage


sur les exceptions)

Exemple des factures fournisseurs

Page 20
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

AUDITS DE FRAUDE

• Une approche spécifique (suite)

En faisant attention aux idées reçues…


Le fraudeur est souvent une personne :
• Plutôt sympathique et appréciée par sa hiérarchie
• Qui dispose d’une ancienneté importante
• Qui souvent est surchargée voire mal organisée dans son travail
• Qui prend peu de vacances
De ce fait, le fraudeur :
• A la confiance de sa hiérarchie
• Connaît parfaitement les systèmes et les contrôles
• Ne laisse pas l’opportunité à d’autres personnes de prendre la main sur
son travail
Page 21
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

REPONSE AUX SOUPÇONS / CAS AVERES

• Un dispositif d’investigation doit être mis en place pour


traiter de manière systématique :
Les soupçons (rumeurs, whistle-blowing…)
Les fraudes avérées de manière plus ou moins discrète selon
les cas

• L’investigation doit permettre


D’identifier le schéma de fraude (ou vérifier l’absence de fraude)
De comprendre les responsabilités , les services impliqués…
De déterminer la période concernée, les montants en cause

• Le processus inclut la remontée des résultats au niveau


comité d’audit / conseil d’administration
Page 22
PricewaterhouseCoopers 28 mai 2008
Les grandes étapes d’une démarche de prévention, de détection et d’investigation de la fraude

REPONSE AUX SOUPÇONS / CAS AVERES

• Les remèdes

Actions en justice

Actions de recouvrement

• Actions de prévention

Compléter le dispositif de contrôle anti-fraude sur la base des


cas relevés (utilisation de l’expérience)

Information / communication

Page 23
PricewaterhouseCoopers 28 mai 2008
Introduction

Les grandes étapes d’une démarche de prévention, de


détection et d’investigation de la fraude

Focus : les outils et problématiques informatiques

Le rôle de l’audit interne

Conclusion

Page 24
PricewaterhouseCoopers 28 mai 2008
Focus : les outils et problématiques informatiques

POINTS D’ATTENTION IT - PREVENTION

• Exemple du cas Mécano

• Les contrôles informatiques (« inhérents » ou


« automatiques ») :
un pré-requis essentiel et évident…
… mais souvent non traité suffisamment en profondeur

• Exemples de thèmes nécessitant la mise en œuvre de


mesures préventives :
Gestion des habilitations
Conception et paramétrage des applications
Configuration et maintenance des briques techniques (bases de
données, systèmes d’exploitation, équipements réseau, etc.)
Sécurité physique
… Page 25
PricewaterhouseCoopers 28 mai 2008
Focus : les outils et problématiques informatiques

POINTS D’ATTENTION IT - DETECTION

• Mécanismes d’alertes automatiques


Contrôles de nature détective et automatisée

• Revues de données ciblées et ponctuelles


Permet d’automatiser des contrôles afin de ne pas se focaliser
que sur la revue d’un échantillon de taille limitée
Approche recommandée par le standard SAS 99

• Quelques exemples simples


Au niveau des processus d’achat, de paie, de gestion des
stocks, etc.

Page 26
PricewaterhouseCoopers 28 mai 2008
Focus : les outils et problématiques informatiques

POINTS D’ATTENTION IT - INVESTIGATION


• Retour sur le cas Mécano
Des contrôles préventifs insuffisants
Détection d’anomalies au cours d’une revue ponctuelle
Investigation de la fraude

• Aspects méthodologiques
Mesures conservatoires au moment de la découverte de la
fraude
Modalités de duplication des traces
Outils d’analyse spécifiques

• Cas particulier où il est envisagé de porter l’affaire en


justice
Rôle de l’huissier de justice
Importance de la charte utilisateur
Au besoin, services de Police compétents : BEFTI, OCLCTIC…
Page 27
PricewaterhouseCoopers 28 mai 2008
Introduction

Les grandes étapes d’une démarche de prévention, de


détection et d’investigation de la fraude

Focus : les outils et problématiques informatiques

Le rôle de l’audit interne

Conclusion

Page 28
PricewaterhouseCoopers 28 mai 2008
Le rôle de l’Audit Interne

Quel rôle pour l’audit interne dans la démarche?

• Pour mener à bien sa mission et fournir à l’organisation une


assurance raisonnable sur le degré de maîtrise de ses
opérations, l’audit interne peut avoir un rôle actif à différents
niveaux de la démarche.
• Le niveau d’intervention de l’audit interne dépendra des
attentes des parties prenantes et du rôle attribué à la
fonction dans l’organisation.
• Type d’interventions possibles
Animation de la démarche et coordination d’experts
Missions de conseil (assistance méthodologique, formation)
Travaux de terrain (test des contrôles, détection, investigations)
Communication et restitution
Page 29
PricewaterhouseCoopers 28 mai 2008
Le rôle de l’Audit Interne

Le rôle général de l’audit interne dans la démarche


Missions
Missionssimilaires
similairesetetproches
proches
des
des missions traditionnellesde
missions traditionnelles de
l’audit interne
l’audit interne

Appréciation
Environnement de contrôle des risques de
fraude

Réponses aux
Revue de l’efficacité des
soupçons/ Audit de fraude
contrôles
cas avérés

Missions
Missionsplus
plusspécifiques
spécifiques
Page 30
PricewaterhouseCoopers 28 mai 2008
Le rôle de l’Audit Interne

Quelques enjeux importants (1/2)

• Indépendance et objectivité
Clarifier les rôles et les responsabilités (charte audit, charte
projet, communications)

• Compétence et professionnalisme
Acquisition des compétences (métier, pays, IT, investigation,..)
Revue des fonctions en charge

Page 31
PricewaterhouseCoopers 28 mai 2008
Le rôle de l’Audit Interne

Quelques enjeux importants (2/2)

• Efficacité de la démarche
Capitaliser sur l’existant
Promouvoir l’utilisation de méthodes et outils (traitement
données, audit et contrôle en continu)
Approche par les risques
Intégration avec plan audit/programmes de travail

• Pertinence de la communication/restitution
Périmètre d’intervention
Nature de l’opinion

Page 32
PricewaterhouseCoopers 28 mai 2008
Introduction

Les grandes étapes d’une démarche de prévention, de


détection et d’investigation de la fraude

Focus : les outils et problématiques informatiques

Le rôle de l’audit interne

Conclusion

Page 33
PricewaterhouseCoopers 28 mai 2008
Conclusion

PLAN D’ACTIONS POUR L’AUDIT INTERNE

• Clarifier les attentes des parties prenantes vis-à-vis de la


fraude et valider le support du top management
• Adapter, si nécessaire, la charte d’audit interne concernant
notamment les missions de conseil de l’Audit Interne
• Participer à et/ou piloter l’identification des risques de fraude et
des scénarios propres à l’activité et aux contextes locaux
• Les prendre en compte dans la définition du plan d’audit et
dans les travaux à mener
• Identifier les techniques et outils pouvant être utilisés
• Identifier et compléter les compétences:
En interne: auprès des experts métiers, de la Direction informatique et sécurité
de l’information, de la Direction du contrôle interne
En externe auprès des d’experts de la fraude.
Page 34
PricewaterhouseCoopers 28 mai 2008
Questions / réponses

Page 35
PricewaterhouseCoopers 28 mai 2008
Pour en savoir plus …

Contacts :
Dominique Perrier (dominique.perrier@fr.pwc.com)
+ 33 1 56 57 80 17

Jean-Pierre Hottin (jean-pierre.hottin@fr.pwc.com)


+ 33 1 56 57 82 63

Cyril Perrault (cyril.perrault@fr.pwc.com)


+ 33 1 56 57 84 42

Page 36
PricewaterhouseCoopers 28 mai 2008
Annexes

Page 37
PricewaterhouseCoopers 28 mai 2008
Annexe 1

Mise en place d’un programme anti-fraude


– cadre conceptuel
• Le cercle « vertueux » PwC

Page 38
PricewaterhouseCoopers 28 mai 2008
Annexe 2

APPRECIATION DU RISQUE
• Qu’est-ce qu’une fraude ?
Définitions de la fraude
• « Acte commis de mauvaise foi pour tourner les règles légales et lésant les droits
de la collectivité ou l’intérêt personnel d’un cocontractant ou d’un tiers ».
• « Acte volontaire commis par une ou plusieurs personnes faisant partie de la
Direction ou des employés de l’entité, ou par des tiers, ayant pour objectif de
déroger à des règles ou des procédures prescrites, à des fins illégitimes, ayant
pour conséquence d’altérer les comptes ou encore de dissimuler le non-respect
des textes légaux et réglementaires » (CNCC)

Les fraudes financières


• Les détournements d’actifs et abus divers
• Fraudes comptables et financières
• Corruption (pour obtenir des revenus ou réduire les coûts)

Page 39
PricewaterhouseCoopers 28 mai 2008
Annexe 3

LA FRAUDE ET L’AUDIT INTERNE


Les grandes étapes d’une démarche de prévention, de détection et
d’investigation de la fraude

Les contrôles sont-ils oui Ont-ils été testés de oui Les résultats sont-ils
documentés ? manière objective ? bien documentés ?

non non
non
Documentation des Réalisation de tests sur
contrôles les contrôles

Redéfinition des
process anti-fraude et non Les contrôles sont-ils
contrôles efficaces ?

oui

Page 40
PricewaterhouseCoopers
Contrôles anti-fraude 28 mai 2008
Merci

© 2008 PricewaterhouseCoopers. All rights reserved. PricewaterhouseCoopers refers to the network


of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and
PricewaterhouseCoopers
independent legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers.