La protection des actifs et la maîtrise des engagements de la société, dont la
protection contre la fraude fait partie, sont des tâches essentielles du personnel de l’entreprise et en particulier des financiers et des comptables. Cette protection est assurée par ce qu’il est convenu d’appeler le système de Contrôle Interne et de gestion des risques que l’on peut définir comme la ou les structures de l’organisation, de telle manière qu’au travers d’une affectation « rationnelle » des tâches et des responsabilités, la maîtrise des flux et le contrôle soient assurés. Il est essentiel de rentrer dans une démarche de Gestion des Risques telle que décrite dans le Chapitre II et dans ce cadre nous proposons une méthodologie spécifique et dédiée à la gestion du risque de fraude en 3 étapes : 1. Évaluation initiale du risque de fraudes Il est souhaitable de créer une cellule de gestion des risques dédiée à la prévention du risque de fraude et également en charge des aspects déontologiques. Cette cellule aura la responsabilité : • de dresser l’univers des risques de fraude applicables à l’ensemble des activités de la Société via des séances de créativité par exemple, d’évaluer de manière « brute » – sans dispositif de maîtrise des risques –, l’exposition de la Société à l’univers des risques de fraudes, • de sensibiliser la Direction Générale ou le Directoire, les métiers et les fonctions support à la démarche de gestion du risque de fraudes. Sachant que d’une manière générale, la fraude interne dépend de facteurs en général bien identifiés : • facilités d’accès, • degré de tranquillité, • fréquence des contrôles, • sanctions connues, • facteurs émotionnels, • implication de la Direction Générale. En s’appuyant sur l’univers des risques, on aura la possibilité de regrouper et de classifier de façon matricielle les grandes familles de risques associées à la fraude telles que trésorerie, systèmes d’information, déboursement d’argent frauduleux, falsification d’état financiers, détournements d’actif, corruption… À chaque famille sera associée des filiations telles que : Déboursements d’argent frauduleux : Falsification d’états financiers : – Facturations frauduleuses – Revenus fictifs ou gonflés – Paies frauduleuses – Manipulations de chèques – Transferts électroniques – Remboursements frauduleux – Déboursement de caisses enregistreuses – … – Sous-estimation des dettes et dépenses – Cut-off – Fausses évaluations d’actifs – Fausses divulgations – … 2. Appréciation du dispositif de réponse aux risques de fraudes À partir de l’univers des risques de fraude cible à circonscrire, il s’agira : • de rapprocher et identifier les processus opérationnels, processus de prises de décision correspondants, La gestion du risque de fraudes • d’identifier les activités de contrôle, points de contrôle (particulièrement détaillé dans le chapitre suivant), • de déterminer un risque net, selon le degré de maitrise de l’activité de contrôle, • d’évaluer le niveau d’efficience des activités de contrôle en place, i.e. efficience du dispositif de réponse aux risques adéquat, • déterminer les plans d’amélioration du dispositif de contrôle interne en place. Certes, le dispositif de réponse aux risques de fraudes ou le Contrôle Interne ne garantit pas entièrement le risque de fraude, soit en raison du coût élevé des mesures qu’il serait nécessaire d’instituer, soit par les déviations constatées dans son application. Néanmoins, on peut considérer que la recherche de mesures suffisantes peut apporter une garantie raisonnable contre la fraude à condition d’évaluer périodiquement la qualité du Contrôle Interne. La constatation des fraudes révèle en effet que le plus souvent, celles-ci n’auraient pu se produire si les règles fondamentales du contrôle avaient été respectées. Un dispositif de réponse aux risques de fraudes doit à minima traiter quelques règles d’or : • formaliser des délégations de pouvoir et les tenir à jour, • maintenir un organigramme à jour, • formaliser des descriptions de poste et des objectifs clairs pour chaque employé, • séparer les fonctions, • éviter les domaines réservés, • posséder un système cohérent dans les flux d’informations pour évaluer les écarts entre les stocks réels et leur traduction comptable, • éviter les liens de copinage entre fournisseurs et salariés, • disposer d’un service d’Audit Interne indépendant, • ou simplement bien choisir un mot de passe (cela s’apprend !). Reporting des fraudes / base incidents Afin de s’assurer de la cohérence du système de gestion du risque de fraudes, il est souhaitable de le confronter à la réalité du terrain en : • mettant en place une base « incident » permettant de constituer un historique de sinistralité, • répertoriant et reportant les incidents survenus (descriptif du sinistre, mesures prises, observations, nature de la couverture), • quantifiant les impacts des risques avérés (coût brut, coût pour l’entreprise). III.1.4. Dispositif de réponse aux risques de fraude Que les enquêtes soient menées par des cabinets spécialisés, la police ou la DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes), elles arrivent toutes à la même conclusion : les entreprises ne semblent pas avoir pris la mesure du risque de fraude ou de malveillance dans leur organisation. Très rarement, les leviers classiques comme l’assurance, les audits ou les inspections sont utilisés par les sociétés alors qu’ils constituent un gage d’efficacité dans la lutte contre les fraudes. Quelques tentatives « d’associations de malfaiteurs », d’un « monsieur anti-fraude » ou d’une organisation ad hoc ont été expérimentées dans certaines organisations, notamment dans les secteurs de la Banque, de l’Assurance et dans certains groupes industriels. Néanmoins, il n’est pas dans notre culture « latine » de mettre en œuvre ce type de solutions qui gènent les managers et les équipes dirigeantes des grandes entreprises. Par conséquent, la prévention contre la fraude doit être une combinaison « intelligente » d’un management présent, d’un Contrôle Interne performant et de l’honnêteté des salariés. Le plus important de ces trois facteurs repose sur un bon management. L’attitude des responsables hiérarchiques doit être exemplaire. La gestion du risque de fraudes1.4.1 L’organisation générale des systèmes de contrôle Pour être efficaces, les contrôles ne doivent pas nécessairement être très sophistiqués, mais ils doivent être suivis. La discipline dans l’application des procédures et des contrôles est un gage de succès dans la prévention des fraudes. Le système de contrôle doit s’articuler sur quatre niveaux : • Autocontrôle : le système de Contrôle Interne concerne l’ensemble du personnel. En effet, chaque salarié, à quelque niveau que ce soit et quelle que soit sa fonction, est responsable de ses actions, dans le cadre de la délégation qu’il a reçue. Il doit donc pouvoir en assurer la maîtrise et en rendre compte. En conséquence, toute personne est responsable de son propre contrôle et doit participer au fonctionnement du système de Contrôle Interne. • Contrôle hiérarchique : tout responsable hiérarchique doit, en coordination avec les services fonctionnels spécialisés, s’assurer qu’il dispose d’un système de contrôle permanent adapté aux responsabilités qu’il exerce. Son action de contrôle doit être consacrée : • à la supervision des travaux et à l’accomplissement des tâches de vérification, • à l’analyse de l’activité et des résultats, • à l’examen régulier du fonctionnement des procédures de contrôle mises en place. Le contrôle exercé par la ligne hiérarchique est un aspect fondamental du système de Contrôle Interne et constitue le corollaire nécessaire et indispensable de la politique de délégation. • Contrôle de Direction : la Direction doit disposer d’outils fonctionnels de contrôle : • contrôle technique : qui vérifie le respect des règles de gestion et l’application des directives techniques, • contrôle comptable : qui permet de vérifier la cohérence des écritures comptables et l’application des règles comptables. • Contrôles externes : contrôle fiscal, commissaires aux comptes, consultants externes pour des missions ponctuelles. Le système de contrôle doit donc prévoir : • une hiérarchisation des opérations en termes de risque financier, technique et humain, • la définition de normes régulièrement révisées, • le contrôle systématique de tout ce qui est hors norme et/ou dérogatoire, • le contrôle aléatoire des autres opérations. Le principe de cohérence des moyens de contrôle avec le niveau de risque encouru doit être respecté. Pour cela, il faut adopter un cycle de contrôle dans lequel le résultat des opérations antérieures de contrôle détermine la nature de l’intervention postérieure. Quatre types de contrôle peuvent être prévus : • contrôle normal, • contrôle allégé, • contrôle renforcé, • sorties du système (audit, formation, sanction, etc.). Il faut également préciser les règles de passage d’un type à l’autre, par exemple : • au bout de x contrôles décelant moins de y % d’erreurs, un contrôle normal est remplacé par un contrôle allégé, • si le taux d’erreur est décelé, ou si un tel événement est mis en évidence, on sort du cycle de contrôle pour faire autre chose. Une fraude est une erreur volontaire. La lutte contre la fraude est un sous-produit de la lutte contre l’erreur. Des contrôles intelligents peuvent réduire les risques d’erreur, et par la même, le risque de fraude. La gestion du risque de fraudes III.1.4.2 L’importance des codes d’éthique Depuis plusieurs années, le management des entreprises fait l’objet d’une interrogation d’ordre philosophique : sur quels principes fonder les droits et devoirs de chacun par rapport à cette réalité sociale et économique que constitue l’entreprise ? Pour les partisans de l’amoralisme du monde des affaires, il s’agit d’une simple mode. La gestion des affaires a pour première préoccupation l’efficacité. Le management doit rester en dehors de toutes considérations éthiques ou morales. La vague éthique, même s’il s’agit d’une vague déferlante, ne sera qu’éphémère. Pour d’autres, il s’agit d’un culte purificateur de l’entreprise et du profit. L’éthique est appelée à la rescousse pour améliorer l’image de l’entreprise et mieux motiver le personnel. La morale d’entreprise c’est un « supplément d’âme » mais aussi un « supplément de rentabilité ». Au-delà de certains comportements véritablement illégaux, les gens manquent parfois de repères, ce qui peut les amener à commettre des actes répréhensibles, d’où la multiplication des codes de bonne conduite : grâce à une charte très précise, le salarié ou le patron sait exactement jusqu’où il peut aller (en matière de cadeaux par exemple). Il existe des règles du jeu qui ne peuvent être ignorées. Le fondement général de ces règles est simple : il s’agit de pouvoir poser une hypothèse indispensable de transparence et de confiance. Les règles viennent sécuriser le processus contractuel qui est à la base des relations de tous ordres que des acteurs économiques « adultes et consentants » sont amenés à établir. La tradition française conduit à une réflexion qui allie éthique des affaires et déontologie professionnelle. Les entreprises font d’abord un effort d’éclaircissement des pratiques qu’elles connaissent, celles de leur secteur ou celles de leur environnement, en imposant des règles techniques ou en fixant un code de bonne conduite. La déontologie financière est en France l’une de celles qui s’est le plus développée dans une période récente. 106 I Contrôle interne Il ne s’agit plus d’imposer ou de s’imposer des normes morales afin d’être en paix avec sa conscience ou de satisfaire à certaines obligations religieuses. Où plutôt, il ne s’agit plus seulement de cela. S’il est aujourd’hui question d’éthique dans les entreprises les plus performantes du monde, c’est que la réussite, pour être durable, y est reconnue comme étant fonction de la cohérence que l’on est parvenu à créer entre le sens que chacun donne à son existence, les droits et devoirs impartis à chacun, et la finalité de cette aventure collective qu’est l’entreprise. La question éthique se pose en termes de choix : choix face à une alternative, entre une solution conforme à certains principes (explicites ou implicites) et une solution qui ne l’est pas. Et cette question est posée non pas à une entité collective, mais d’abord à une conscience personnelle, placée face à une situation concrète comportant des enjeux et exigeant de sa part une initiative dans un sens ou dans un autre. Lorsqu’il faut se déterminer face à un choix généralement complexe (la « bonne solution » ne se trouvant au premier abord ni d’un côté ni de l’autre), le décideur pourra se repérer par rapport à deux sortes de règles du jeu : • celles qui sont propres à l’entreprise où il travaille (directives, procédures, culture), • celles qui lui sont propres ou issues de son éducation, de son expérience, de ses convictions et de sa réflexion. L’observation des entreprises, en France même, suggère en effet l’existence de deux situations extrêmes : • d’un côté des entreprises dont le système de valeurs affirmé est extrêmement fort et s’impose presque totalement par rapport aux principes d’action qui animent éventuellement le salarié au moment de son embauche ; celui-ci ne peut autrement dit, que se soumettre ou se démettre ; • de l’autre, des entreprises dont le code de valeurs spécifiques est peu contraignant tout en représentant un faible engagement, et qui par principe ou par nécessité, font essentiellement appel au discernement personnel et donc au code de valeurs qui animent chacun des salariés. La gestion du risque de fraudes I 107 PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5-- L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE108 (P01 ,NOIR) Ce choix à l’extrême constitue beaucoup plus qu’un problème de management. Deux risques en effet méritent d’être pris en considération : • celui d’une manipulation des esprits (une culture faisant obligation à chacun de respecter un certain nombre d’obligations assorties d’un homme providentiel, présentant tous les caractères du héros mythique, d’un slogan sans cesse répété et d’un logo), • celui d’un cynisme triomphant (peu importerait les moyens mis en œuvre par l’entreprise à partir du moment où ceux-ci contribuent à la réalisation des objectifs). L’entreprise dans ses choix et dans ses décisions, doit prendre en compte simultanément l’existence des différentes parties prenantes que sont les clients, les apporteurs de capitaux, les salariés, les fournisseurs et sous traitants, les collectivités publiques. Si chacun des salariés, dans ses choix et dans ses décisions, se détermine lui- même en fonction de ses engagements à l’égard de l’entreprise mais également de sa famille, rien si ce n’est l’empire de la nécessité, ne saurait obliger l’individu à accorder la priorité aux exigences requises par l’entreprise. Ainsi, le respect de la liberté individuelle, cette valeur des sociétés occidentales, conduit nécessairement l’entreprise à laisser à chacun de ses salariés le soin de procéder aux arbitrages requis par l’apparition de contradictions entre les principes que lui suggèrent ses différents engagements. Autrement dit, l’influence de l’entreprise, en tant que créatrice de valeurs morales, se trouve nécessairement limitée par ces autres sources de valeurs qui régissent la vie des salariés. L’éthique de l’entreprise ne peut donc être que limitée, relative, subordonnée à des exigences plus vastes. Le problème du management dans les entreprises se trouve ainsi posé en termes de décision dans un environnement incertain dont on possède une connaissance elle-même incertaine et partielle.