Prévention du risque de fraudes

La protection des actifs et la maîtrise des engagements de la société, dont la

protection contre la fraude fait partie, sont des tâches essentielles du
personnel de l’entreprise et en particulier des financiers et des comptables.
Cette protection est assurée par ce qu’il est convenu d’appeler le système de
Contrôle Interne et de gestion des risques que l’on peut définir comme la ou
les structures de l’organisation, de telle manière qu’au travers d’une
affectation « rationnelle » des tâches et des responsabilités, la maîtrise des
flux et le contrôle soient assurés. Il est essentiel de rentrer dans une démarche
de Gestion des Risques telle que décrite dans le Chapitre II et dans ce cadre
nous proposons une méthodologie spécifique et dédiée à la gestion du risque
de fraude en 3 étapes : 1. Évaluation initiale du risque de fraudes Il est
souhaitable de créer une cellule de gestion des risques dédiée à la prévention
du risque de fraude et également en charge des aspects déontologiques.
Cette cellule aura la responsabilité : • de dresser l’univers des risques de
fraude applicables à l’ensemble des activités de la Société via des séances de
créativité par exemple, d’évaluer de manière « brute » – sans dispositif de
maîtrise des risques –, l’exposition de la Société à l’univers des risques de
fraudes, • de sensibiliser la Direction Générale ou le Directoire, les métiers et
les fonctions support à la démarche de gestion du risque de fraudes. Sachant
que d’une manière générale, la fraude interne dépend de facteurs en général
bien identifiés : • facilités d’accès, • degré de tranquillité, • fréquence des
contrôles, • sanctions connues, • facteurs émotionnels, • implication de la
Direction Générale. En s’appuyant sur l’univers des risques, on aura la
possibilité de regrouper et de classifier de façon matricielle les grandes familles
de risques associées à la fraude telles que trésorerie, systèmes d’information,
déboursement d’argent frauduleux, falsification d’état financiers,
détournements d’actif, corruption… À chaque famille sera associée des
filiations telles que : Déboursements d’argent frauduleux : Falsification d’états
financiers : – Facturations frauduleuses – Revenus fictifs ou gonflés – Paies
frauduleuses – Manipulations de chèques – Transferts électroniques –
Remboursements frauduleux – Déboursement de caisses enregistreuses – …
– Sous-estimation des dettes et dépenses – Cut-off – Fausses évaluations
d’actifs – Fausses divulgations – … 2. Appréciation du dispositif de réponse
aux risques de fraudes À partir de l’univers des risques de fraude cible à
circonscrire, il s’agira : • de rapprocher et identifier les processus
opérationnels, processus de prises de décision correspondants, La gestion du
risque de fraudes • d’identifier les activités de contrôle, points de contrôle
(particulièrement détaillé dans le chapitre suivant), • de déterminer un risque
net, selon le degré de maitrise de l’activité de contrôle, • d’évaluer le niveau
d’efficience des activités de contrôle en place, i.e. efficience du dispositif de
réponse aux risques adéquat, • déterminer les plans d’amélioration du
dispositif de contrôle interne en place. Certes, le dispositif de réponse aux
risques de fraudes ou le Contrôle Interne ne garantit pas entièrement le risque
de fraude, soit en raison du coût élevé des mesures qu’il serait nécessaire
d’instituer, soit par les déviations constatées dans son application.
Néanmoins, on peut considérer que la recherche de mesures suffisantes peut
apporter une garantie raisonnable contre la fraude à condition d’évaluer
périodiquement la qualité du Contrôle Interne. La constatation des fraudes
révèle en effet que le plus souvent, celles-ci n’auraient pu se produire si les
règles fondamentales du contrôle avaient été respectées. Un dispositif de
réponse aux risques de fraudes doit à minima traiter quelques règles d’or : •
formaliser des délégations de pouvoir et les tenir à jour, • maintenir un
organigramme à jour, • formaliser des descriptions de poste et des objectifs
clairs pour chaque employé, • séparer les fonctions, • éviter les domaines
réservés, • posséder un système cohérent dans les flux d’informations pour
évaluer les écarts entre les stocks réels et leur traduction comptable, • éviter
les liens de copinage entre fournisseurs et salariés, • disposer d’un service
d’Audit Interne indépendant, • ou simplement bien choisir un mot de passe
(cela s’apprend !). Reporting des fraudes / base incidents Afin de s’assurer de
la cohérence du système de gestion du risque de fraudes, il est souhaitable de
le confronter à la réalité du terrain en : • mettant en place une base « incident
» permettant de constituer un historique de sinistralité, • répertoriant et
reportant les incidents survenus (descriptif du sinistre, mesures prises,
observations, nature de la couverture), • quantifiant les impacts des risques
avérés (coût brut, coût pour l’entreprise). III.1.4. Dispositif de réponse aux
risques de fraude Que les enquêtes soient menées par des cabinets spécialisés,
la police ou la DGCCRF (Direction Générale de la Concurrence, de la
Consommation et de la Répression des Fraudes), elles arrivent toutes à la
même conclusion : les entreprises ne semblent pas avoir pris la mesure du
risque de fraude ou de malveillance dans leur organisation. Très rarement, les
leviers classiques comme l’assurance, les audits ou les inspections sont
utilisés par les sociétés alors qu’ils constituent un gage d’efficacité dans la
lutte contre les fraudes. Quelques tentatives « d’associations de malfaiteurs »,
d’un « monsieur anti-fraude » ou d’une organisation ad hoc ont été
expérimentées dans certaines organisations, notamment dans les secteurs de
la Banque, de l’Assurance et dans certains groupes industriels. Néanmoins, il
n’est pas dans notre culture « latine » de mettre en œuvre ce type de solutions
qui gènent les managers et les équipes dirigeantes des grandes entreprises.
Par conséquent, la prévention contre la fraude doit être une combinaison «
intelligente » d’un management présent, d’un Contrôle Interne performant et
de l’honnêteté des salariés. Le plus important de ces trois facteurs repose sur
un bon management. L’attitude des responsables hiérarchiques doit être
exemplaire. La gestion du risque de fraudes1.4.1 L’organisation générale des
systèmes de contrôle Pour être efficaces, les contrôles ne doivent pas
nécessairement être très sophistiqués, mais ils doivent être suivis. La
discipline dans l’application des procédures et des contrôles est un gage de
succès dans la prévention des fraudes. Le système de contrôle doit s’articuler
sur quatre niveaux : • Autocontrôle : le système de Contrôle Interne concerne
l’ensemble du personnel. En effet, chaque salarié, à quelque niveau que ce soit
et quelle que soit sa fonction, est responsable de ses actions, dans le cadre de
la délégation qu’il a reçue. Il doit donc pouvoir en assurer la maîtrise et en
rendre compte. En conséquence, toute personne est responsable de son
propre contrôle et doit participer au fonctionnement du système de Contrôle
Interne. • Contrôle hiérarchique : tout responsable hiérarchique doit, en
coordination avec les services fonctionnels spécialisés, s’assurer qu’il
dispose d’un système de contrôle permanent adapté aux responsabilités qu’il
exerce. Son action de contrôle doit être consacrée : • à la supervision des
travaux et à l’accomplissement des tâches de vérification, • à l’analyse de
l’activité et des résultats, • à l’examen régulier du fonctionnement des
procédures de contrôle mises en place. Le contrôle exercé par la ligne
hiérarchique est un aspect fondamental du système de Contrôle Interne et
constitue le corollaire nécessaire et indispensable de la politique de délégation.
• Contrôle de Direction : la Direction doit disposer d’outils fonctionnels de
contrôle : • contrôle technique : qui vérifie le respect des règles de gestion et
l’application des directives techniques, • contrôle comptable : qui permet de
vérifier la cohérence des écritures comptables et l’application des règles
comptables. • Contrôles externes : contrôle fiscal, commissaires aux comptes,
consultants externes pour des missions ponctuelles. Le système de contrôle
doit donc prévoir : • une hiérarchisation des opérations en termes de risque
financier, technique et humain, • la définition de normes régulièrement
révisées, • le contrôle systématique de tout ce qui est hors norme et/ou
dérogatoire, • le contrôle aléatoire des autres opérations. Le principe de
cohérence des moyens de contrôle avec le niveau de risque encouru doit être
respecté. Pour cela, il faut adopter un cycle de contrôle dans lequel le résultat
des opérations antérieures de contrôle détermine la nature de l’intervention
postérieure. Quatre types de contrôle peuvent être prévus : • contrôle normal,
• contrôle allégé, • contrôle renforcé, • sorties du système (audit, formation,
sanction, etc.). Il faut également préciser les règles de passage d’un type à
l’autre, par exemple : • au bout de x contrôles décelant moins de y % d’erreurs,
un contrôle normal est remplacé par un contrôle allégé, • si le taux d’erreur
est décelé, ou si un tel événement est mis en évidence, on sort du cycle de
contrôle pour faire autre chose. Une fraude est une erreur volontaire. La lutte
contre la fraude est un sous-produit de la lutte contre l’erreur. Des contrôles
intelligents peuvent réduire les risques d’erreur, et par la même, le risque de
fraude. La gestion du risque de fraudes III.1.4.2 L’importance des codes
d’éthique Depuis plusieurs années, le management des entreprises fait l’objet
d’une interrogation d’ordre philosophique : sur quels principes fonder les
droits et devoirs de chacun par rapport à cette réalité sociale et économique
que constitue l’entreprise ? Pour les partisans de l’amoralisme du monde des
affaires, il s’agit d’une simple mode. La gestion des affaires a pour première
préoccupation l’efficacité. Le management doit rester en dehors de toutes
considérations éthiques ou morales. La vague éthique, même s’il s’agit d’une
vague déferlante, ne sera qu’éphémère. Pour d’autres, il s’agit d’un culte
purificateur de l’entreprise et du profit. L’éthique est appelée à la rescousse
pour améliorer l’image de l’entreprise et mieux motiver le personnel. La morale
d’entreprise c’est un « supplément d’âme » mais aussi un « supplément de
rentabilité ». Au-delà de certains comportements véritablement illégaux, les
gens manquent parfois de repères, ce qui peut les amener à commettre des
actes répréhensibles, d’où la multiplication des codes de bonne conduite :
grâce à une charte très précise, le salarié ou le patron sait exactement
jusqu’où il peut aller (en matière de cadeaux par exemple). Il existe des règles
du jeu qui ne peuvent être ignorées. Le fondement général de ces règles est
simple : il s’agit de pouvoir poser une hypothèse indispensable de
transparence et de confiance. Les règles viennent sécuriser le processus
contractuel qui est à la base des relations de tous ordres que des acteurs
économiques « adultes et consentants » sont amenés à établir. La tradition
française conduit à une réflexion qui allie éthique des affaires et déontologie
professionnelle. Les entreprises font d’abord un effort d’éclaircissement des
pratiques qu’elles connaissent, celles de leur secteur ou celles de leur
environnement, en imposant des règles techniques ou en fixant un code de
bonne conduite. La déontologie financière est en France l’une de celles qui
s’est le plus développée dans une période récente. 106 I Contrôle interne Il ne
s’agit plus d’imposer ou de s’imposer des normes morales afin d’être en paix
avec sa conscience ou de satisfaire à certaines obligations religieuses. Où
plutôt, il ne s’agit plus seulement de cela. S’il est aujourd’hui question
d’éthique dans les entreprises les plus performantes du monde, c’est que la
réussite, pour être durable, y est reconnue comme étant fonction de la
cohérence que l’on est parvenu à créer entre le sens que chacun donne à son
existence, les droits et devoirs impartis à chacun, et la finalité de cette
aventure collective qu’est l’entreprise. La question éthique se pose en termes
de choix : choix face à une alternative, entre une solution conforme à certains
principes (explicites ou implicites) et une solution qui ne l’est pas. Et cette
question est posée non pas à une entité collective, mais d’abord à une
conscience personnelle, placée face à une situation concrète comportant des
enjeux et exigeant de sa part une initiative dans un sens ou dans un autre.
Lorsqu’il faut se déterminer face à un choix généralement complexe (la « bonne
solution » ne se trouvant au premier abord ni d’un côté ni de l’autre), le
décideur pourra se repérer par rapport à deux sortes de règles du jeu : • celles
qui sont propres à l’entreprise où il travaille (directives, procédures, culture),
• celles qui lui sont propres ou issues de son éducation, de son expérience, de
ses convictions et de sa réflexion. L’observation des entreprises, en France
même, suggère en effet l’existence de deux situations extrêmes : • d’un côté
des entreprises dont le système de valeurs affirmé est extrêmement fort et
s’impose presque totalement par rapport aux principes d’action qui animent
éventuellement le salarié au moment de son embauche ; celui-ci ne peut
autrement dit, que se soumettre ou se démettre ; • de l’autre, des entreprises
dont le code de valeurs spécifiques est peu contraignant tout en représentant
un faible engagement, et qui par principe ou par nécessité, font
essentiellement appel au discernement personnel et donc au code de valeurs
qui animent chacun des salariés. La gestion du risque de fraudes I 107
PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--
L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE108 (P01 ,NOIR) Ce
choix à l’extrême constitue beaucoup plus qu’un problème de management.
Deux risques en effet méritent d’être pris en considération : • celui d’une
manipulation des esprits (une culture faisant obligation à chacun de respecter
un certain nombre d’obligations assorties d’un homme providentiel,
présentant tous les caractères du héros mythique, d’un slogan sans cesse
répété et d’un logo), • celui d’un cynisme triomphant (peu importerait les
moyens mis en œuvre par l’entreprise à partir du moment où ceux-ci
contribuent à la réalisation des objectifs). L’entreprise dans ses choix et dans
ses décisions, doit prendre en compte simultanément l’existence des
différentes parties prenantes que sont les clients, les apporteurs de capitaux,
les salariés, les fournisseurs et sous traitants, les collectivités publiques. Si
chacun des salariés, dans ses choix et dans ses décisions, se détermine lui-
même en fonction de ses engagements à l’égard de l’entreprise mais également
de sa famille, rien si ce n’est l’empire de la nécessité, ne saurait obliger
l’individu à accorder la priorité aux exigences requises par l’entreprise. Ainsi,
le respect de la liberté individuelle, cette valeur des sociétés occidentales,
conduit nécessairement l’entreprise à laisser à chacun de ses salariés le soin
de procéder aux arbitrages requis par l’apparition de contradictions entre les
principes que lui suggèrent ses différents engagements. Autrement dit,
l’influence de l’entreprise, en tant que créatrice de valeurs morales, se trouve
nécessairement limitée par ces autres sources de valeurs qui régissent la vie
des salariés. L’éthique de l’entreprise ne peut donc être que limitée, relative,
subordonnée à des exigences plus vastes. Le problème du management dans
les entreprises se trouve ainsi posé en termes de décision dans un
environnement incertain dont on possède une connaissance elle-même
incertaine et partielle.