BUSINESS CONFERENCE

LA DÉTECTION ET LA PRÉVENTION DES FRAUDES EN ENTREPRISE

Herisoa RANDRIANTSEHENO Certified Fraud Examiner

Tsitola RAZAFINDRABESA Expert comptable
Xavier MICHEL Expert AMOA
Hasina RAKOTOZOELY Expert IT
Ando RATIANARILALA Consultante Audit
INTRODUCTION
 La fraude est un crime qui ne fait pas de bruit, mais tue des millions de
personnes.

Aucune organisation n’est épargnée, quelle que soit son activité ou sa taille.

C’est un acte réalisé par quelques individus malhonnêtes et a un effet néfaste

sur la vie de nombreuses personnes honnêtes.
CONTEXTE MONDIAL
 Contexte Mondial

Accessibilité de plus en plus facile aux technologies sophistiquées ?

Culture accrue des résultats créant de plus en plus de pression sur les membres
d’une organisation

Effets négatifs de la communication : aucun droit à l’erreur

Contexte Mondial
Contexte Mondial
CONTEXTE MADAGASCAR
Contexte Madagascar
 Fraude

La fraude est une pratique trompeuse ou un artifice délibéré, avec intention de

priver un autre de son droit, ou de lui subir un préjudice.

(Black’s Law Dictionary)

 Fraude

Eléments :
L’acte : exemple, vol d’argent dans la petite caisse

La dissimulation : technique utilisée pour cacher l’acte

La jouissance ou légalisation : rendre légitime l’acte pour en bénéficier

Types:
Interne

Externe
Fraude : Profils du fraudeur
FRAUDE EN ENTREPRISE
Qui sont concernés ?
Qui sont concernés ?
 Les principaux cas de fraude

CORRUPTION DETOURNEMENTS INFORMATIONS

D’ACTIFS MENSONGERES

Conflits d’intérêts Actifs financiers: Informations

Vol, détournements, financières:
Récompenses illégales
dépenses non Surévaluation / sous-
Extorsions de fonds
autorisées … évaluation
…

Actifs physiques: Informations non

appropriation, utilisation financières:
non autorisée … Références,
Informations diffusées
Les principaux cas de
fraude
Les principaux cas de
fraude
MÉCANISMES DE LA
FRAUDE
 Fraudes internes

Vol et détournement,

escroquerie,
 Cause: défaillance
dans le système de abus de confiance,

contrôle interne fraude informatique,

divulgation de secrets,

autres actes illicites et intentionnels commis par un

salarié de l’entreprise
 Fraudes externes

Usurpation d’identité: président, fournisseurs, client,

banquier, avocat, service public…
Proviennent d’un
Contrefaçons
individu ou des
organisations Cybercriminalité
extérieurs à Faux et usage de faux
l’entreprise
Triangle de la fraude

D. Cressey
Les effets de la fraude

Financier

Climat
Image
interne
 Les effets de la fraude

Impacts financiers

Diminution de productivité

Perte des ressources

Financier
Besoin d’un renouvèlement de l’équipe

Investissements supplémentaires de temps, de l'argent

dans des enquêtes, des sanctions et des mesures
correctives
 Les effets de la fraude

Impacts en termes d’image

Le Doute et la perte de confiance des clients

Image
La réticence des fournisseurs et leur refus de
contracter

La perte de confiance des partenaires

Risque pour la notoriété

Etc.
 Les effets de la fraude

Impacts en climat interne

Blocage d’augmentation des salaires

Climat Pression accrue pour atteindre les résultats

interne Suppression des avantages accordés

Dégradation du moral

Baisse de confiance

Surveillance gênante des autres

Etc.
 LA PREVENTION ET LA
DETECTION DE LA FRAUDE
Coût de contemplation
LA PREVENTION DE LA
FRAUDE
 La prévention de la fraude

Processus dynamique et continu, généralement initié avant l’apparition de la

fraude

Les mesures de prévention sont les moyens les plus efficaces et les plus
économiques pour limiter la fraude, surtout si elles couvrent toutes les zones à
risques.
 Objectifs
Limiter la survenance des fraudes

Evaluation de l’organisation, système de contrôle interne de la société

Relever les défaillances notées

Proposer des recommandations appropriées, des actions correctives

permettant de minimiser les risques

Emettre un rapport de constatation de faits

 Dispositifs de prévention
Mise en place d’une politique antifraude

Sensibilisation et formation continues du personnel sur le danger de la fraude

Mise en place d’une politique antifraude

Amélioration de l’environnement de travail

« Tone at the top »

La politique de zéro tolérance

La politique de la porte ouverte

Création de conditions de dissuasion

Contrôle et audit inopinés

Questionnaire d’évaluation de la fraude

 Dispositifs de prévention
Organisation du travail des employés

Congés obligatoires

Rotation de poste

Système de rapportage des suspicions de fraudes

Renforcement des procédures de recrutement

Vérification des antécédents

Test de personnalité

Questionnement sur l’éthique

Amélioration du système de contrôle interne

Dispositifs de prévention
LA DETECTION DE LA
FRAUDE
 La détection de la fraude

Processus dynamique et continu, mais pouvant être lancé à la survenance

de suspicions de fraudes, de fait anormal ou atypique

Dispositifs permettant de recenser systématiquement les dysfonctionnements,

de remonter périodiquement les informations ou de détecter la survenance de
fraude à temps, sans qu’elle traîne et cause des dégâts plus coûteux.
 Objectifs
Confirmer ou infirmer une fraude suspectée ou dénoncée

Connaitre les modes opératoires utilisés par les fraudeurs

Collecter les preuves de la fraude (témoignage, aveu, constat d’huissier, etc.)

Evaluer les pertes subies par les sociétés (coûts directs et indirects)

Identifier les auteurs potentiels de la fraude (auteurs, complices, receleurs)

 Objectifs

Analyser le contexte ayant permis la survenance de la fraude (organisation et

contrôle interne)

Relever les défaillances notées

Proposer des recommandations appropriées, des actions correctives

permettant de minimiser les risques

Emettre un rapport de constatation de faits

La détection de la fraude
 Investigation de fraude
Étape 1: Prise de connaissance de l’entité

Contrôle Marché et
Activité
interne concurrence

Organisation Environnement

Clients et
Actionnariat Partenaires
fournisseurs
 Investigation de fraude
Étape 2: Identification des facteurs susceptibles de déclencher une fraude

•Approche par les risques

•Cartographie des risques

•Création d’hypothèse

•Test d’hypothèse

•Modification d’hypothèse
 Investigation de fraude
Étape 3: Réponses aux facteurs identifiés

Evaluation des impacts de fraude

Vérification du background et dues diligences des partenaires et salariés

Sensibilisation approfondie dans toutes les strates de l’organisation en matière de

fraude

Renforcement de contrôle interne

 Investigation de fraude

Étape 4: Traitement des cas d’anomalies ou d’irrégularités

Récolte des informations et preuves nécessaires

Lever le doute sur le cas approché

Capitaliser les incidents passés et intégrer le résultat dans le contrôle

Emission de rapport et proposition de recommandations

Clarté et concision

Impartialité et pertinence

Exactitude
 La détection et la prévention
de la fraude
 Intégrés en un seul processus: il y a complémentarité

La prévention n’arrive pas à empêcher toutes les fraudes, la détection permet

de déceler les fraudes subsistantes

La détection des fraudes permet à l’entité d’identifier les acteurs de fraude et

de prendre des mesures afin de dissuader les violations à l’avenir.
VALEUR AJOUTEE
 Valeur ajoutée
Maitriser et minimiser les
risques de fraude, Pérenniser l’activité de
Eviter que les cas de l’entreprise
fraudes se reproduisent

Prévention de la
fraude

Améliorer le système de
Garder une bonne image
contrôle interne
 Valeur ajoutée

Mitigation et estimation des Minimisation la reproduction

pertes des actes de fraude

Détection de la fraude

Identification des
Identification des
défaillances et renforcement
responsables de la fraude
du contrôle interne
Audit des systèmes
d’information et
cyber fraudes en
entreprise
 Audit des systèmes
d’informations
Activité indépendante et objective

Mesurer le degré de maîtrise du SI d’une organisation

Apporter des conseils pour améliorer la performance

Contribuer à créer de la valeur ajoutée

 Fraude en informatique

Fraude informatique interne: utilisation par une personne de son activité

professionnelle (notamment l’informatique et le système d’information) pour
s’enrichir personnellement par le détournement volontaire des ressources ou
actifs informatiques de son employeur

Cybercriminalité: fraude informatique qui vient de l’environnement externe de

l’entreprise
 Cas de fraude informatique
Grandes entreprises, PME, ONG font tous face aux fraudes informatiques.

Aucun secteur n’est épargné par la fraude informatique (télécoms, banque,

mobile money, microfinance, call-center, e-commerce,…)

Exemples:

Attaque du site de la CENI-T en 2013

Piratage du site de l’INSTAT en 2015 (cyber terrorisme)

Piratage du site de la JIRAMA en 2016

Attaque du serveur Web du Ministère de l’enseignement supérieur en 2017

 Mécanismes des fraudes
internes informatiques
 Causes: Vol et détournement de ressources

Défaillance dans le système de contrôle

et d’actifs informatiques par les
interne du SI utilisateurs internes:
Manque de mesures de sécurité Bande passante
Absence de politiques de sécurité
Ressources serveurs

Informations confidentielles

Propriété intellectuelle de l’entreprise

 Mécanismes des fraudes externes
informatiques: Cybercriminalité
Prise de contrôle d’un serveur par un cyber-
 Causes:
fraudeur
Individus ou organisation extérieurs à
l’entreprise: cybercriminels Utilisation de la bande passante par un cyber-
fraudeur
Faiblesses de mesures de sécurité
Virus, ransomware

Usurpation d’identité

Phishing (escroquerie et vol d’informations

personnelles)

Attaque de déni de service (DoS)

 Objectifs d’un audit du
système d’information
Confirmer ou infirmer une cyber fraude suspectée ou dénoncée

Collecter les preuves de la fraude informatique

Evaluer l’organisation et le système de contrôle interne de la société

Relever les défaillances notées

Emettre un rapport de constatation de faits

Maîtriser, limiter les risques et la survenance des fraudes

Optimiser le fonctionnement des processus audités

Proposer des recommandations appropriées, des actions correctives

permettant de minimiser les risques
 Audit des SI en 5 étapes (1/5)

Étape 1: Prise de connaissance de l’entité et de son SI

Collecte d’information pour comprendre l’environnement informatique audité

Constitution d’un cadre de référence pour les interventions de l’auditeur

Contrôle interne et Activité, cœur de

procédures métier, processus
existantes essentiels

Système d’information
Organisation (réseau, infrastructure,
matériels, applications)

Clients et
fournisseurs Partenaires
 Audit des SI en 5 étapes (2/5)
Étape 2: Revue générale de l’environnement informatique
Identification des risques susceptibles de favoriser une fraude

Utilisation d’une méthode d’analyse de risque: ISO 27005, EBIOS, MEHARI, OCTAVE, …

Identifier les actifs IT essentiels

Identifier les menaces informatiques

Identifier les vulnérabilités

Cartographier les risques du SI

 Audit des SI en 5 étapes (3/5)

Étape 3: Identification des écarts de contrôle

Identification des écarts par rapport aux bonnes pratiques, référentiels et normes de management
(COBIT, ISO27001, ISO27002, ISO9001, ITIL)

Evaluation des écarts de contrôle

Tests techniques, tests de pénétration

Identification et mise en évidence des faiblesses

 Audit des SI en 5 étapes (4/5)
Étape 4: Recommandations
Traiter les cas d’anomalies ou d’irrégularités

Mettre en place des contrôles, des processus et des politiques pour compenser les faiblesses, et
pour prévenir les cyber fraudes

Définir un plan d’action

 Audit des SI en 5 étapes (5/5)
Étape 5: Mise en œuvre
Elaboration du Schéma directeur informatique

Elaboration de Politique de sécurité du SI, de charte d’utilisation SI

Implémentation/Audit Système de Management de la Sécurité de l’Information ISO 27001

Définition d’un Plan de reprise d’activité/Plan de continuité d’activité/Plan de secours informatique

Elaboration d’un plan de formation interne, de sensibilisation et de communication sur la sécurité de l’information

Acquisition de matériels informatiques

Mise à niveau de l’infrastructure technique

Mise à niveau de l’infrastructure réseau, firewall

 Faire appel à un cabinet spécialisé dans l’audit des fraudes informatiques et l’audit des systèmes d’information
 Valeur ajoutée d’un audit
du SI
Maitriser et minimiser
les risques de fraude

Pérenniser l’activité de
l’entreprise
Renforcer les mesures de
sécurité et le système de
contrôle interne du SI

Garder une bonne

image de l’entreprise

Gagner en maturité des

systèmes d’information

Audit des Systèmes d’Information

62