Dr haluk f gursel  la nouvelle profession anti fraude   v3 (1) 2009
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Dr haluk f gursel la nouvelle profession anti fraude v3 (1) 2009

on

  • 663 views

Le vingt-et-unième siècle connaît jusqu'à présent deux évolutions majeures dans ...

Le vingt-et-unième siècle connaît jusqu'à présent deux évolutions majeures dans
les comportements liés à la fraude. D'une part, les fraudeurs deviennent de plus en plus
« malins » et ont recours à des techniques de plus en plus sophistiquées. Dans le même temps,
on assiste à l'émergence d'une nouvelle espèce de professionnels spécialisés dans le domaine
de la fraude. Les seules connaissances comptables ne sont plus suffisantes pour répondre aux
nombreux problèmes liés à la fraude. Pour cette raison, la profession comptable connaît à la fois
une extension et une spécialisation.

Statistics

Views

Total Views
663
Views on SlideShare
663
Embed Views
0

Actions

Likes
0
Downloads
14
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Dr haluk f gursel la nouvelle profession anti fraude v3 (1) 2009 Document Transcript

  • 1. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 1 De la reconnaissance de la profession Anti- Fraude par les régulateurs nationaux Dr Haluk F. GURSEL* •••• Le Dr. Haluk F. GURSEL, CFE, est Professeur à l’Université Webster de Genève (Suisse). •••• Cet article a remporté le prix du meilleur article 2008 (HUBBARD AWARD2008), décerné par les lecteurs de FRAUD Magazine (bi-mensuel édité par l’ACFE et distribué à quelques 50 000 professionnels de l’Anti-fraude). •••• L’article original écrit en anglais en mai 2006 a été réactualisé au vu de récentes recherches et traduit en français par Frédéric Fougère (FIP France) et Francis Hounnongandji •••• Pour tous commentaires, on peut contacter l’auteur à l'adresse e-mail suivante : hfgursel@gmail.com .
  • 2. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 2 Interrogés dans le cadre d'une étude publiée dans l'édition 2008 du rapport annuel de l'ACFE (Association of Certified Fraud Examiners), des experts de la lutte contre la fraude estimaient qu'aux États-Unis les entreprises et autres organisations perdaient en moyenne 7% de leur chiffre d'affaires annuel du fait de la fraude. Si l’on applique ce chiffre au PIB américain prévu pour l'année 2008, il se traduit par une perte totale d'environ 994 milliards de dollars. Malgré ces chiffres, il demeure difficile de convaincre le management des entreprises que les risques de fraude sont suffisamment importants pour justifier une approche proactive. De fait, à moins qu'ils n'aient déjà été confrontés à la fraude à titre personnel, la plupart des cadres dirigeants seront réticents à s'engager dans une démarche d'évaluation des risques, en raison des coûts qu'elle représente. Dans le meilleur des cas, le management prendra conscience de la possibilité de la fraude mais s'y résoudra comme à un coût de fonctionnement incompressible. Il est donc crucial d'inciter les dirigeants à s'intéresser aux conséquences globales du risque de fraude et de la fraude elle-même. Comme le déclare Joe Wells, fondateur de l'ACFE : «La fraude n'est pas un simple problème comptable ; il s'agit d'un phénomène de société. Si l'on fait abstraction des nombreuses et complexes variations du crime économique, il n'y a que trois mécanismes de base par lesquels une victime peut se voir soustraire son argent de manière illégitime : par la force, de manière cachée ou par la ruse. Si les deux premières méthodes sont actuellement sur le déclin, ce n'est pas le cas de la troisième. Et les raisons de cette situation n'ont que peu de rapport avec les contrôles comptables. »1 Une fois que cette difficulté primordiale est surmontée et que le management a donné son aval à la mise en œuvre des mesures appropriées, il s'agit alors de développer une stratégie de lutte contre la fraude. Le présent article s'efforce de réaliser une synthèse de toutes les démarches que doivent engager les professionnels de la lutte anti-fraude afin de remplir leurs fonctions. 1 Joe Wells, Sleuthing careers bring CPAs personal and professional satisfaction, The Anti-fraud professional, octobre 2003.
  • 3. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 3 Introduction Au vingtième siècle, la responsabilité des activités anti-fraude (sensibilisation, prévention, détection et investigation) était confiée aux professionnels de l'audit. Mais avec l'étendue grandissante du champ des connaissances comptables, les auditeurs devinrent de moins en moins actifs dans la recherche de fraude, privilégiant une démarche d'audit partant du sommet. De ce fait, le risque de fraude n'était plus contrebalancé par l'expérience de l'auditeur ni par ses audits des contrôles internes. La vérification détaillée devint trop coûteuse. Par contraste, le vingt-et-unième siècle connaît jusqu'à présent deux évolutions majeures dans les comportements liés à la fraude. D'une part, les fraudeurs deviennent de plus en plus « malins » et ont recours à des techniques de plus en plus sophistiquées. Dans le même temps, on assiste à l'émergence d'une nouvelle espèce de professionnels spécialisés dans le domaine de la fraude. Les seules connaissances comptables ne sont plus suffisantes pour répondre aux nombreux problèmes liés à la fraude. Pour cette raison, la profession comptable connaît à la fois une extension et une spécialisation. Les récents systèmes de contrôle de gestion fondés sur une approche risque ont également contribué à ce développement des agents anti-fraude spécialisés et de leurs professions. Ces évolutions se dessinent actuellement essentiellement en Amérique du nord, alors que l'Europe a de son côté pris un certain retard et que ses entreprises, à l'exception des groupes américains multinationaux, continuent de recourir aux approches traditionnelles des problèmes de fraude. Avec la mondialisation, le moment est venu de reconnaître les professions de la lutte anti- fraude d'une manière cohérente à travers le monde. Les idées, en provenance d'Amérique du nord, de cette nouvelle discipline de l'anti-fraude, ont déjà commencé à apparaître dans d'autres parties du monde, notamment en Europe. Les récents scandales financiers d'ampleur gigantesque comme les affaires Enron, Worldcom , Parmalat, Société Générale, ou Madoff ont sensibilisé le grand public aux risques de fraude. Dans les sections qui suivent, on trouvera une revue du cycle de gestion des risques, du risque de fraude et des diverses facettes de la lutte contre la fraude, destinée à faire comprendre pourquoi les nouvelles professions anti-fraude sont désormais nécessaires ainsi que leur fonctionnement.
  • 4. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 4 Le cycle de gestion des risques Le cycle contemporain de gestion des risques s'articule sur les étapes suivantes2 : 1 Identification des zones de risque (Identify risk areas) 2 Compréhension et évaluation de l'ampleur du risque (Understand and assess scale of risk) 3 Développement de la stratégie de gestion des risques (Develop risk management strategy) 4 Mise en œuvre de la stratégie et affectation des responsabilités (Implement strategy and allocate responsibility) 5 Mise en œuvre des contrôles et suivi de cette mise en œuvre (Implement and monitor – implementation of controls) 6- Constituer l’équipe en charge de la gestion des risques ainsi que leurs objectifs (Establish risk management group and goals) Figure 1 : Cycle de gestion des risques 2 Adapté de Managing the Risk of Fraud – A Guide for Managers, HM Treasury, 1997.
  • 5. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 5 La gestion intégrée des risques (Enterprise-wide Risk Management – ERM) L'analyse la plus pertinente du cycle de gestion des risques se base sur le modèle ERM ou GIR « Gestion intégrée des risques ») proposé par le COSO. Selon son document de référence, l'ERM se définit comme suit : • Un processus continu qui se déploie à travers une entité • Affecté par tous les membres de l'organisation à tous les niveaux • Intervenant dans la définition de stratégies • Appliqué à travers l'ensemble de l'entreprise, à chaque niveau et dans chaque unité, et basé sur une approche « portefeuille » du risque au niveau de l'entité • Conçu pour identifier des événements potentiels susceptibles d'affecter l'entité, et pour gérer le risque en fonction de « l'appétit au risque » de celle-ci • En mesure d'apporter des assurances raisonnables au management et au conseil d'administration d'une entité • Calibré pour atteindre des objectifs dans une ou plusieurs catégories distinctes mais pouvant posséder des parties communes. En conséquence, l'ERM comprend : • L'alignement de la stratégie et de l'appétit au risque – Le management prend en compte l'appétit au risque de l'entité dans l'évaluation d'alternatives stratégiques, l'établissement d'objectifs correspondants et le développement de mécanismes pour la gestion des risques associés. • L'éclairage des décisions de réponse au risque – L'ERM apporte la rigueur permettant d'identifier et d'opérer un choix entre les alternatives existantes – évitement, réduction, partage ou acceptation du risque. • La réduction des surprises et des pertes opérationnelles – Les entités renforcent leur capacité d'identification d'événements potentiels et de mise en place de réponses, réduisant ainsi les surprises et les pertes ou les coûts associés. • L'identification et la gestion de risques multiples et globaux dans l'entreprise – Toute entreprise est confrontée à une myriade de risques affectant différentes parties de l'organisation, et l'ERM améliore l'efficacité de la réponse aux impacts interdépendants, ainsi que la mise en place d'une réponse intégrée à des risques multiples. • La saisie d'opportunités – Par la prise en compte d'un large spectre d'événements potentiels, le management est positionné pour identifier et pour valoriser des opportunités de manière proactive. • Un meilleur déploiement du capital – L'obtention d'informations robustes sur le risque permet au management d'évaluer de manière efficace les besoins globaux de capital et d'améliorer l'allocation des fonds.
  • 6. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 6 L'ERM porte sur les risques et sur les opportunités qui affectent la création ou la préservation de valeur, ainsi définie : L'ERM ou GIR est un processus, mis en œuvre par le conseil d'administration, par le management et par les autres équipes d'une entreprise, appliqué à l'établissement de stratégies à travers toute l'entreprise, conçu pour identifier des événements potentiels susceptibles d'affecter l'entité, pour gérer le risque en fonction de son appétit au risque et pour apporter des assurances raisonnables concernant la réalisation des objectifs de l'entité. Ce modèle ERM est calibré afin d'atteindre les objectifs de l'entité dans quatre catégories : 1. Stratégie – objectifs de haut niveau, alignés sur, et soutenant sa mission 2. Opérations – usage efficace et optimisé de ses ressources 3. Reporting – fiabilité du reporting 4. Conformité – conformité aux lois et aux règlements en vigueur Enfin, l'ERM consiste en huit composantes interdépendantes. Celles-ci découlent de la manière dont le management gère une entreprise et s'intègrent au processus de gestion. À titre de rappel, ces composantes sont les suivantes : Environnement interne – L'environnement interne, qui est déterminant dans la manière dont le risque est perçu et géré par les équipes, comprend tous les éléments qui composent le ton d'une organisation, notamment la philosophie de gestion du risque et l'appétit au risque, les valeurs d'intégrité et d'éthique, et l'environnement dans lequel les employés évoluent. Définition d'objectifs –Pour que le management soit en mesure d'identifier les événements potentiels qui affecteraient la réalisation des objectifs, il est nécessaire que ces objectifs aient été définis au préalable. L'ERM garantit que le management puisse s'appuyer sur un processus de définition des objectifs et assure que les objectifs retenus soient alignés et soutiennent la mission de l'entité, tout en étant compatibles avec son appétit au risque. Identification d'événements – Les événements internes et externes affectant la réalisation des objectifs d'une entité doivent être identifiés, en distinguant entre risques et opportunités. Les opportunités sont redirigées vers les processus managériaux de stratégie et de définition d'objectifs. Évaluation du risque – Les risques sont analysés, en prenant en compte leur probabilité et leur impact pour définir la manière dont ils doivent être gérés. Les risques sont évalués sur une base inhérente et sur une base résiduelle. Réponse au risque – Le management choisit des réponses au risque – évitement, acceptation, réduction ou partage – en développant un ensemble d'actions afin d'aligner les
  • 7. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 7 risques avec les tolérances au risque et l'appétit au risque de l'entité. Activités de contrôle – Des lignes de conduite et des procédures sont définies et mises en œuvre afin de contribuer à garantir que les réponses au risque sont exécutées de manière efficace. Informations et communication – Les informations pertinentes sont identifiées, capturées et communiquées sous une forme et dans des délais qui permettent aux équipes de remplir leurs fonctions. Une communication efficace est également mise en place dans un sens plus large, circulant vers le bas, vers le haut et transversalement au sein de l'entité. Surveillance– L'ensemble de l'ERM fait l'objet d'une surveillance et de modifications si nécessaire. Cette surveillance s'effectue dans le cadre des activités de gestion courantes, lors d'évaluations séparées, ou par ces deux biais. Responsabilité du risque de fraude Nous avons jusqu'à présent parlé de la gestion des risques en général. La déclaration de stratégie anti-fraude3 de l'Institut des auditeurs internes du Royaume-Uni et d'Irlande, qui reflète, dans sa version dynamique ERM Framework, le modèle COSO de gestion des risques largement reconnu décrit plus haut, stipule que toutes les organisations doivent : • Donner le ton à partir du sommet en établissant des règles qui font clairement apparaître que la fraude n'est pas tolérée, que les fraudeurs seront poursuivis et que l'organisation a un engagement ferme à empêcher et à détecter la fraude ; • Avoir une stratégie de gestion des risques, comprenant notamment des mesures de limitation des risques de fraude, visant à détecter la fraude et à dissuader les fraudeurs potentiels ; • Avoir un plan de réponse à la fraude décrivant de manière précise les démarches à entreprendre si une fraude est signalée ou détectée ; • Avoir un programme permanent de sensibilisation à la fraude avec des mises à jour régulières et une formation périodique du personnel existant. Dans ce cadre, la fraude devient un risque comme tous les autres risques auxquels l'entité est confrontée. La réponse qu'apporte l'entité aux problèmes liés à la fraude est donc conditionnée par la réponse au risque de cette organisation. 3 Institute of Internal Auditors, UK and Ireland, Fraud Position Statement, avril 2003.
  • 8. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 8 La responsabilité première de la prévention, de la détection et de l'investigation des fraudes repose sur le management, qui assume également la responsabilité de la gestion des risques de fraude. De nombreuses organisations disposent maintenant d'une fonction interne de « sécurité » dédiée qui assume la responsabilité de la gestion des investigations de fraude et d'autres tâches liées à la fraude comme l'établissement de programmes de sensibilisation ou de prévention. C'est dans ces fonctions que le management a besoin de personnes qualifiées afin d'accomplir les tâches mentionnées. La gestion de la fonction « risque de fraude » peut se faire avec l'assistance de l'audit interne. Toutefois, nous considérons qu'il s'agit là d'un compromis, découlant du fait que la profession anti-fraude émergente n'est pas encore complètement reconnue par toutes les entités et que le nombre des professionnels qualifiés est insuffisant pour assurer l'ensemble des tâches qui leur incombent. Une fois que la profession aura atteint son altitude de croisière, nous nous attendons à ce que les fonctions de l'auditeur dans les tâches liées à la fraude se reportent de l'investigation des fraudes proprement dite à l'évaluation des processus anti-fraude. Par exemple, l'audit aura la charge de l'évaluation des programmes établis par les professionnels de la fraude. Le Chief Risk Officer ou Directeur de Gestion Des Risques À l’heure actuelle, la fonction de sécurité, dans son acception la plus large, est généralement prise en charge par un Chief Risk Officer (CRO) ou, en France, un Directeur de Gestion des risques, ou encore d'autres titres plus spécifiques. La vocation du CRO, ou d'un autre professionnel anti-fraude intégré à l'équipe, est d'assister le management dans sa responsabilité de gestion, de contrôle, de reporting et d'action relatifs au risque de fraude, notamment : • En établissant les programmes de sensibilisation à la fraude ; • En mettant en place des processus de dissuasion et de détection de la fraude ; • En appliquant les contrôles adéquats afin d'empêcher la fraude ; • En conduisant des investigations de fraude ; • En supervisant les investigations menées par des spécialistes mandatés par eux ; • En apportant des réponses efficaces aux questions soulevées par le personnel (notamment en prenant des mesures appropriées en cas de signalement ou de soupçons d'activités frauduleuses) ; • En faisant intervenir les autorités, si nécessaire.
  • 9. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 9 L’auditeur interne Dans ce cadre, le rôle de l'audit interne serait limité, même à l'heure actuelle. En effet, sa fonction ne consiste pas à jouer un rôle primaire de détection de la fraude, bien que traditionnellement il s'agisse du rôle que la plupart des gens s'attendent à lui voir assumer. Il existe donc, entre les attentes et les résultats, un décalage qu'il convient de gérer. Dans le cadre du modèle ERM, l'audit interne n'assume aucune responsabilité directe quant à la fraude, mais se doit d'apporter une assurance indépendante sur l'efficacité des processus mis en place par le management afin de gérer les risques de fraude. Toutes les autres activités menées par l'audit interne doivent être entreprises dans le contexte de ce rôle central, sans lui être préjudiciables. Les rôles qui reviennent à l'audit interne sont les suivants : • Recherche des causes de la fraude ; • Revue des contrôles de prévention et des processus de détection de la fraude mis en place par le management ; • Formulation de recommandations afin d'améliorer ces processus ; • Émission d'avis auprès du comité d'audit quant au type d'assistance juridique nécessaire, le cas échéant, si une enquête pénale est engagée ; • Apport de connaissances et de compétences spécialisées susceptibles de contribuer aux investigations de fraude, ou la direction de certaines investigations si cela est approprié et demandé par le management ; • Liaison avec l'équipe d'investigation ; • Réponse aux donneurs d’alerte (« whistleblowers »); • Prise en compte du risque de fraude dans tous les audits ; • Connaissances suffisantes pour identifier les indicateurs de la fraude ; • Facilitation de l'apprentissage dans l'entreprise. Les différences observées entre la fonction traditionnelle d'audit et l'investigation de fraude dans les applications courantes sont présentées dans le tableau ci-après :
  • 10. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 10 Figure 2 : Différences entre l'audit interne et l'audit de fraude Audit Investigation de fraude Périodicité Récurrente Ponctuelle Scope d’intervention Général, Revue globale Cohérence Points spécifiques Objectif Délivrer un avis ou une opinion avec une assurance raisonnable Établir des responsabilités précises et identifier des coupables Mode relationnel Collaboratif Contradictoire Méthodologie Technique d’audit Techniques et outils spécifiques d’investigation Présomption Déclaration et recours aux travaux internes Scepticisme professionnel Eléments probants, indices et preuves
  • 11. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 11 Le rôle de l'audit interne ne s'en trouve pas diminué, mais son contenu est recentré sur l'évaluation des contrôles. Le rôle du professionnel anti-fraude, par conséquent, consiste à accomplir l'intégralité des tâches liées à la fraude autres que l'évaluation des systèmes et des activités. Toutefois, dans ce rôle en évolution, tel qu’il est défini dans les Standards de pratique professionnelle de l'audit interne publiés par l'Institut des auditeurs internes (IIA), « L'auditeur interne doit posséder une connaissance suffisante afin d'identifier les indicateurs de la fraude mais n'est pas tenu d'avoir l'expertise d'une personne dont la responsabilité première est la détection et l'investigation des fraudes. » Les auditeurs internes évaluent le risque de fraude et les contrôles internes et communiquent leurs résultats. Il est judicieux qu'ils travaillent en conjonction avec les professionnels anti-fraude de l'entité afin d'effectuer un suivi des risques de fraude identifiés. Comme l'exprime le rapport « Programmes et contrôles anti-fraude pour le management » («Management Anti-fraud Programs and Controls»), il appartient aux auditeurs internes de déterminer si : 1 l'environnement de l'organisation favorise l'application rigoureuse des contrôles ; 2 des objectifs réalistes sont définis dans l'organisation ; 3 des règles écrites (par exemple un code de conduite) existent pour décrire les activités proscrites et les mesures à prendre lorsque des transgressions sont mises à jour ; 4 des règles d'autorisation adéquates sont mises en place et appliquées pour les transactions ; 5 des règles, des pratiques, des procédures, des rapports et autres mécanismes sont développés afin de surveiller les activités et de protéger les actifs, tout particulièrement dans les zones de risque prononcé ; 6 des canaux de communication alimentent le management en informations pertinentes et fiables ; 7 des recommandations sont opportunes afin d'établir (ou d'améliorer) certains contrôles préventifs anti-fraude avec un coût optimal. Mise en forme : Puces et numéros
  • 12. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 12 Programmes et contrôles anti-fraude pour le management La figure ci-dessous illustre de nouvelles manières de concevoir le risque de fraude4 . Figure 3 : Cycle de gestion des risques de fraude 1- Constituer des équipes de gestion de risque et fixer des objectifs 2-Identification des zones de risques 3-Evaluer les risque de fraude et identifier les zones défaillantes (ou les zones de faiblesse) 4- Développer la stratégie de réduction des risques identifiés 5-Communiquer la stratégie aux équipes responsables de sa mise en œuvre 6-Mettre en œuvre la stratégie 7- Suivre la mise en œuvre de la stratégie 4 Pollard, Proactive Fraud Risk Reviews, présenté à la 15e Conférence annuelle de l'ACFE sur la fraude, Las Vegas, juillet 2004.
  • 13. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 13 À titre d'illustration, un examen minutieux de l'organisation d'une entreprise dans le but d'identifier les risques de fraude pourrait comprendre les éléments suivants : • Diagnostic de l'organisation • Évaluation du personnel / de l'organisation • Évaluation des contrôles d'exploitation • Évaluation des contrôles de reporting • Évaluation de la sécurité des actifs physiques / de la sécurité informatique • Techniques spéciales La norme américaine SAS 99 (SAS signifiant «Statement on the Accounting Standards») définit les éléments permettant d'établir une culture d'entreprise efficace contre le risque de fraude. Elle suggère de donner le ton au sommet de l'organisation, par les éléments suivants5 : • Communication : Dirigez par l'exemple – les employés doivent être conscients que la malhonnêteté ne sera pas tolérée ; prenez garde à ne pas engendrer d'attentes qui ne soient pas réalistes. • Code d'éthique : Reflétez les valeurs clefs de l'entreprise. • Guide des décisions quotidiennes des employés : Disponible pour référence ; les employés doivent être tenus responsables de leurs actions. • Environnement de travail positif : Décernez des récompenses adaptées aux objectifs de l'entreprise ; encouragez la prise de décision collaborative ; donnez aux employés le pouvoir de promouvoir les valeurs communes. • Formation de sensibilisation à la fraude : Définissez ce qui relève de la fraude ; comment signaler les incidents de fraude ; mettez en place un canal pour le signalement des comportements répréhensibles. • Sanctions : Procédez à des investigations rigoureuses des incidents présumés ; prenez des mesures appropriées à l'égard des contrevenants ; contrôles pertinents évalués et améliorés ; communication et formation afin de renforcer le Code d'éthique. 5 Pour toutes les informations tirées de SAS 99 : Consideration of Fraud in a Financial Statement Audit (Exhibit – Management Antifraud Programs and Controls: Guidance to Help Prevent, Deter and Detect Fraud).
  • 14. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 14 Rôle du professionnel anti-fraude Dans le contexte de l'analyse du risque de fraude, le professionnel anti-fraude sera amené à utiliser des analyses de risque traditionnelles en les appliquant au risque de fraude. Ce type d'analyse qualitative de risque comprend quatre composantes standard5 : 1 Identification des actifs à protéger Dans l'évaluation des risques de fraude interne, les actifs à identifier sont par exemple l'argent liquide, les chèques, les crédits, les stocks, le matériel, etc. Affectez des degrés de priorité aux actifs en fonction de leur importance pour l'organisation. À l'évidence, en fonction du type d'entreprise, la liste des actifs et l'évaluation de leur importance pourra varier. Par exemple, l'argent liquide sera un actif critique pour un magasin d'alimentation mais ne fera généralement pas partie des actifs les plus importants pour une usine. 2 Identification des menaces pesant sur les actifs Les menaces affectant les actifs financiers d'une organisation sont les profils de fraude ou les actes de fraude perpétrés afin de détourner ou d'utiliser abusivement ces actifs. Les profils de fraude interne les plus communs sont le détournement d'argent liquide avant (« skimming ») et après son entrée dans les comptes, le détournement et l'usage abusif de stocks et de matériel, la falsification de chèques, la fraude à l'achat et la fausse facturation, la fraude salariale, la falsification de frais, les conflits d'intérêt, la corruption et la falsification des états financiers. 3 Détermination de la probabilité d'incidence L'expérience montre que la détermination de la probabilité d'incidence d'une perte financière est plus un art qu'une science exacte. Le professionnel anti-fraude doit : 1) évaluer la probabilité de fraude au sein de l'organisation en fonction des contrôles internes, des ressources affectées à la gestion de la fraude, du soutien apporté par le management aux efforts de prévention de la fraude, et des standards éthiques de l'organisation ; 2) rassembler tous les éléments empiriques disponibles quant à des fraudes au sein de l'organisation, comme par exemple les rapports relatifs à des incidents survenus par le passé, les pertes inexpliquées, les résultats d'audits antérieurs, ou encore des plaintes de la part de clients ou de fournisseurs ; 3) rassembler les informations disponibles auprès d'autres organisations de taille et de secteur d'activité comparable sur les pertes dues à des fraudes internes ;
  • 15. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 15 4) consulter les études sur la fraude, par exemple la version récente du Report to the Nation on Occupational Fraud and Abuse de l'ACFE, qui contient des informations précieuses. 4 Détermination de l'impact des pertes Le professionnel anti-fraude aura ici à nouveau recours aux sources d’information qui ont servi pour l'évaluation de la probabilité d'incidence. En outre, certaines informations complémentaires seront nécessaires, notamment la situation financière de l'entreprise, à la valeur des actifs, à leur importance pour l'organisation et au chiffre d'affaires produit par les actifs. Déterminez si la perte considérée aura un effet matériel sur les états financiers de l'organisation. Une fois que le professionnel anti-fraude a réuni les informations nécessaires à l'identification des actifs à protéger, des menaces pesant sur ces actifs, de la probabilité d'une perte découlant de ces menaces, et de l'impact d'une telle perte sur l'organisation, le moment est venu de procéder à l'évaluation des contrôles et des mesures de prévention en place pour la protection de ces actifs. Les mesures préventives doivent être distinguées des contrôles. Leur fonction est d'empêcher la fraude avant qu'elle ne se produise. Les mesures de contrôle, en revanche, ont pour vocation, non seulement d'empêcher mais également de détecter la fraude et de dissuader les fraudeurs de la poursuivre si elle s'est déjà produite ou si elle est en cours. Les mesures préventives et les mesures de contrôle représentent deux aspects aussi importants l'un que l'autre pour la réduction des opportunités de fraude et pour l'accroissement de la « perception de la détection » chez les employés (c'est-à-dire la perception, pour le fraudeur potentiel, d'une forte probabilité d'être découvert). L'évaluation des mesures préventives et de contrôle nécessite une revue rigoureuse des règles et des procédures comptables ainsi que des règles et des procédures relatives à la fraude, des entretiens avec le management et avec les employés, des tests du respect des procédures de contrôle, l'observation des activités de contrôle, la revue des rapports d'audit antérieurs et la revue des rapports relatifs aux éventuels incidents de fraude déjà survenus et aux pertes et aux épuisements de stock inexpliqués. Lorsque l'évaluation des contrôles et de la prévention de la fraude sont achevés, il convient d'effectuer des tests de vulnérabilité. Ensuite le professionnel anti-fraude formulera les recommandations appropriées pour permettre au management de contrer les risques liés à la fraude.
  • 16. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 16 D'après Cook6 , il existe quatre approches de base pour gérer les risques : 1) Éviter le risque en éliminant un actif. 2) Transférer le risque en achetant une forme d'assurance contre le détournement ou le vol. 3) Limiter le risque en mettant en œuvre des contre-mesures adéquates comme la prévention et les contrôles financiers. 4) Assumer le risque si l'on estime que la probabilité d'incidence ou l'impact des pertes est faible. L'organisation peut également choisir de combiner les approches ci-dessus. Compétences de base du professionnel anti-fraude Le gestionnaire des risques qui s'occupe des questions de fraude doit posséder une bonne panoplie de compétences de base et de compétences modernes. Si les compétences d'un bon auditeur peuvent faciliter l'acquisition des nouvelles connaissances nécessaires à l'exécution des tâches complexes, un bon professionnel anti-fraude se doit également de posséder des compétences nouvelles et indépendantes de celles de l'auditeur. Outre les connaissances comptables et d'audit, une excellente capacité de communication, des compétences informatiques et la maîtrise de la nouvelle discipline émergente de l'examen de fraude sont indispensables. 1 Compétences comptables et d'audit Bien que les fraudes se déroulent par nature en dehors du système comptable, il n'en reste pas moins que la plupart des fraudes en entreprise comprennent des aspects comptables et font intervenir la manipulation ou la falsification de documents comptables. En conséquence, il est indispensable au professionnel anti-fraude de disposer d'outils d'audit et de comptabilité afin de procéder à l'examen d'un dossier de fraude. Un excellent professionnel anti-fraude possède donc de très bonnes compétences d'audit, une compréhension détaillée des systèmes comptables, des contrôles internes et des principes comptables généralement admis (GAAP). 6 Cook, Conducting the internal fraud risk assessment, Fraud Magazine, mars/avril 2005.
  • 17. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 17 2 Compétences de communication La capacité à interagir de manière efficace avec les personnes revêt une importance cruciale dans la lutte anti-fraude. Au cours du travail, le professionnel est typiquement amené à rencontrer des gens pendant de courtes périodes de temps et avec un objectif spécifique, à savoir d'obtenir des informations. L'interrogatoire des témoins et du sujet représente un pan majeur d'une investigation de fraude classique. Afin de mener des entretiens efficaces, il est nécessaire de posséder d'excellentes qualités orales et d'écoute. Il est également très important de posséder de bonnes capacités d'expression écrite. Un rapport bien écrit, qui peut jouer un rôle capital dans le succès d'une investigation, se doit d'exprimer en langage simple un dossier techniquement complexe. Allen Pinkerton7 explique que le professionnel se doit en outre de posséder des qualités de prudence, de maintien de la confidentialité, d'inventivité, de persévérance, de courage personnel, et par-dessus tout d'honnêteté. 3 Compétences informatiques Puisque la plupart des systèmes et des archives comptables se trouvent désormais sous forme électronique, les compétences informatiques constituent un actif essentiel dans la boîte à outils du professionnel anti-fraude. L'analyse des données électroniques et les techniques de data mining sont utilisées de manière routinière dans la plupart des investigations de fraude. La connaissance de programmes comme ACL, IDEA, MS Access ou Excel est maintenant indispensable à une revue efficace. 4 Compétences d'examen de fraude L'une des certifications d'investigation de fraude les plus connues, et peut-être la meilleure, est celle décernée par l'ACFE. Ce programme comprend l'évaluation de la compréhension des signaux d'alarme (« red flags ») et du choix des indicateurs à rechercher. L'étude de la section juridique du programme de l'ACFE, par exemple, aide à comprendre la diversité des preuves qui peuvent intervenir dans une investigation. L'ACFE étend à présent les options de la section légale afin de couvrir les législations d'autres pays que les États-Unis, à mesure que la profession se développe. Puisqu'il est impératif que toutes les investigations de fraude soient conduites de manière professionnelle, éthique et légale, il est important de pouvoir s'appuyer sur une bonne compréhension de l'environnement juridique, notamment en ce qui concerne les droits individuels du sujet ou des autres parties intervenant dans le dossier. Après l'obtention de la désignation de 7 Pinkerton, cité dans le Fraud Examiners Manual, Introduction, Association of Certified Fraud Examiners, 2005.
  • 18. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE. Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji 18 Certified Fraud Examiner (CFE), cette formation générale est entretenue par le suivi obligatoire de formation professionnelle continue afin de mettre continuellement à jour les compétences acquises. Un code de conduite garantit en outre les valeurs éthiques du professionnel anti-fraude. Parmi les autres organismes proposant des certifications, figurent notamment l'American College Of Forensic Examiners avec sa certification de Certified Forensic Accountant (Cr.FA), et la National Association of CVAs avec ses certifications de Certified Forensic Financial Analyst (CFFA) et de Certified Fraud Deterrence Analyst (CFD). Perspectives Une recommandation clef pour mieux combattre la fraude consiste à prôner la mise en place, la régulation et le développement d'une discipline et d'une profession anti-fraude indépendante, par l'établissement du cadre légal nécessaire par les régulateurs publics dans chaque pays. De manière similaire à ce qui se passe pour les professionnels de l'audit, les nations disposeront ainsi d'un ensemble de critères de certification pour cette nouvelle profession, critères reconnus dans les documents légaux appropriés. Il est également judicieux de réglementer l'intervention et la fonction de ces professionnels au sein du management des organisations, par exemple en définissant un critère de nombre minimum de professionnels employés au sein des entités d'une taille donnée. Conclusion Dans ce travail, on a cherché à illustrer le fait que la fraude représente un phénomène social et constitue à ce titre un risque pour les activités des entreprises. On a également étendu cette analyse afin de déterminer la place que prend le risque de fraude dans la réponse au risque. L'analyse a montré que le risque de fraude devait impérativement être pris en compte par le management. Par ailleurs, les auditeurs, qui ont traditionnellement la responsabilité de traiter les problèmes de fraude, doivent maintenant assumer un rôle d'évaluation des contrôles anti- fraude et des autres structures du programme mis en œuvre pour lutter contre la fraude. La personne qui traitera la fraude sera un membre du management et possédera un ensemble nouveau de qualités, notamment certaines compétences émergentes. On a présenté dans la section finale la description des fonctions du professionnel anti-fraude et des qualifications requises pour ce rôle. En conclusion, nous assistons actuellement à l'émergence d'une nouvelle discipline anti-fraude, émergence dans laquelle le management des entreprises a un rôle important à jouer. Cette profession de la fraude mérite d'exister à part entière, et le moment est venu de la reconnaître.