Les systèmes à base de connaissances avancés peuvent s'avérer une arme utile contre la fraude
Par Peter Dent et Olivier L. Curet
*Ce texte est la version intégrale d'un article d'abord publié dans le numéro d'août 2003.
Les juricomptables et les vérificateurs n'ont plus à s'appuyer uniquement sur leur propre expérience pour détecter les fraudes ou les lacunes du contrôle interne. D'immenses progrès ont été réalisés au cours des 10 dernières années en matière de systèmes à base de connaissances (SBC) avancés, qui utilisent l'exploration de données pour découvrir les constantes et les tendances susceptibles de passer inaperçues autrement. En ce sens, ces systèmes peuvent contribuer à la stratégie globale de gestion des risques d'une organisation.
Ces nouveaux systèmes tirent parti des connaissances des cerveaux les plus expérimentés dans le domaine. Les technologies d'exploration de données englobent également les systèmes de raisonnement par cas et les réseaux de neurones.
En quoi consistent les SBC?
Ce sont des applications informatiques qui n'ont pas besoin de règles de programmation rigoureuses pour effectuer des tâches hautement perfectionnées ou pour formuler des conclusions. De façon générale, les SBC reposent sur la formation, et non sur la programmation.
Basés sur une connaissance limitée du fonctionnement du cerveau humain, où logent une multitude de neurones répondant à des stimuli extérieurs et capables de détecter des constantes logiques mais cachées dans les données, la voix et l'image, les réseaux de neurones d'aujourd'hui sont en mesure de traiter les données et d'apprendre d'elles, puis d'apporter des modifications subtiles au traitement et aux résultats générés. Ils peuvent également être formés pour reconnaître des constantes simples parmi les données et modeler des prédictions à partir de ces constantes.
Par exemple, un enquêteur expérimenté en matière de fraude peut invoquer que le fait d'embaucher un joueur invétéré accentuera vraisemblablement le profil de risque d'une organisation. Armés de cette seule information et conçus de manière appropriée, un système expert à base de règles et un réseau de neurones peuvent tous deux en arriver aux mêmes conclusions.
La seule différence est que l'application «si-alors» à base de règles ne peut dans la plupart des cas que répondre oui ou non à la possibilité d'un risque accru. Cependant, les réseaux de neurones et les systèmes basés sur l'induction tels que les applications à base de cas peuvent définir la propension au risque en s'inspirant de l'expérience des spécialistes en matière de détection des fraudes dont les connaissances ont servi à les former.
Supposons maintenant que l'employé joueur invétéré est également un diacre, ce qui aurait normalement pour effet d'abaisser le risque. Par conséquent, l'employé représente un risque moins grand pour l'organisation. Bien que les deux informations semblent contradictoires, un réseau de neurones et un système basé sur l'induction tel qu'un système de raisonnement par cas traditionnel peuvent faire une pondération pour déterminer laquelle doit obtenir la plus grande importance.
Si, par exemple, le fait d'être un diacre est considéré comme un indice de comportement plus significatif que celui d'être un joueur invétéré, le programme modifierait ses résultats pour associer un risque de fraude moins grand à l'organisation. L'indice de risque serait cependant encore plus faible si la personne en question n'était pas un joueur invétéré.
La puissance des réseaux de neurones et du raisonnement par cas saute aux yeux lorsque des centaines, voire des milliers, d'éléments d'information conflictuels et souvent contradictoires, qui peuvent se voir attribuer chacun un certain poids, sont entrés dans le système et que leur pondération est prise en compte. Le résultat est un indice de risque accru ou moindre pour une organisation, que pose un certain nombre de facteurs, internes ou externes, à partir d'une évaluation comparative avec d'autres organisations. Les utilisations possibles de ces systèmes défient l'imagination. L'évaluation des fonctions de contrôle interne d'une entité et de la vulnérabilité d'une organisation à l'égard de la fraude comptent parmi les utilisations actuelles.
Contexte
Les procédés comptables standard étant souvent fortement structurés ou du moins structurés à moitié, leur logique inhérente a engendré au départ une ruée vers le développement d'applications à base de règles. Toutefois, l'absence dans la conception de SBC traditionnels de méthodologies polyvalentes bien acceptées, et la dépendance envers des technologies plutôt rudimentaires, ont mené au développement précipité de nombreuses applications minées par les défaillances logiques et efficaces dans un cadre fermé, statique, très spécialisé ou étroit.
Plus compétents qu'experts, bon nombre des premiers SBC comptables ont été victimes du syndrome «80/20» : faible expertise dans une proportion de 80 % et portion restante de 20 % impossible à encapsuler.
Les SBC et le professionnel
L'expertise que le professionnel applique à l'analyse des détails financiers d'une entreprise en tenant compte de ses connaissances générales et financières peut nécessiter un jugement au sujet de la probabilité d'une fraude. Le jugement humain est cependant soumis à des blocages et à des partis pris psychologiques, par exemple le degré de familiarité d'un individu avec ce type d'événements et de situations, et les préjugés personnels.
La probabilité d'un retour aux partis pris individuels est encore plus grande dans un contexte où règne le flou, comme c'est souvent le cas dans les missions de vérification ou d'enquête sur des fraudes. Mettant à profit son expertise, le professionnel doit déterminer si les états financiers donnent une image exacte et fidèle des affaires d'une entité. La présence d'une fraude peut assurément fausser cette image, et avoir une incidence sur le jugement du professionnel.
Le Statement on Auditing Standard (SAS) 99 stipule que les procédés de vérification doivent être conçus de façon à ce que le professionnel puisse raisonnablement s'attendre à détecter des inexactitudes importantes, qu'elles soient intentionnelles ou non, dans les états financiers d'une entité. Les SBC visent notamment à procurer un moyen supplémentaire pour évaluer la vulnérabilité à la fraude, que la victime soit le client et ses actionnaires ou le professionnel associé à son insu à un client qui s'adonne à des activités frauduleuses.
Les cabinets de services professionnels font aussi appel aux SBC pour évaluer le profil de risque de fraude lié à un client. L'objectif est de réduire la possibilité qu'un vérificateur soit associé à un client à l'éthique douteuse. Il est important que les professionnels repèrent rapidement les clients qui pourraient donner lieu à des problèmes étant donné que «les clients qui coûtent le plus cher sont ceux qui ne paient pas leurs factures ou qui posent un risque de litige élevé1». (En plus d'améliorer le taux de prédiction des problèmes potentiels, un système à base de connaissances applique ce qui est su d'un client à tous les autres clients faisant l'objet d'une évaluation.) Ces utilisations pourraient être encore plus fructueuses avec l'avènement du SAS 99 de l'AICPA et de la Loi Sarbanes-Oxley.
Les avantages des SBC
Les premiers systèmes à base de règles se sont avérés très utiles dans les cas de détection des fraudes faisant appel à un processus de prise de décisions relativement structuré. La portée des enquêtes sur la fraude tend cependant à être plus large et à s'étendre aux aspects financiers, économiques, comptables, sociaux et même parfois juricomptables. De plus, même si l'expertise accessible dans le domaine de la juricomptabilité est considérable, elle est principalement associée à des cas plutôt qu'à des procédés, et les cas ne sont pas faciles à convertir en règles. L'évaluation des contrôles internes présente les mêmes difficultés. Le fait que dans une organisation la structure de contrôle interne apparemment satisfaisante se traduise par un effondrement catastrophique, pendant que dans une autre elle fonctionne efficacement, tient à une multitude d'éléments d'information conflictuels qui défient les applications plus simples à base de règles.
La nature changeante des fraudes ou de l'environnement de risque du contrôle interne — où les solutions évoluent sans cesse — signifie que l'adaptabilité d'un SBC exige moins de ressources qu'un système à base de règles, qui doit constamment être mis à jour. Les SBC constituent une ressource utile pour appuyer la prise de décisions non structurée, qui est indispensable à la détection des fraudes comme à la vérification et à l'identification des lacunes du contrôle interne.
L'exploration des données
Au lieu d'essayer de coder l'expertise sous forme de règles, l'exploration de données s'est attachée à la prise en charge de deux sous-techniques. L'une d'elles, soit les technologies fondées sur les réseaux de neurones, a fait l'objet de vastes études au cours des dernières années et s'est avérée très efficace dans certains domaines tels que la reconnaissance des constantes et la modélisation financière.
L'exploration de données peut aussi se prêter à l'utilisation d'une autre sous-technique, le raisonnement par cas. Exposés à une série de cas, ainsi qu'aux décisions qu'ils ont engendrées et à un explorateur de cas, les utilisateurs doivent découvrir et revoir par eux-mêmes l'expérience et les jugements existants. Le raisonnement par cas est particulièrement utile dans la détection des fraudes et l'étalonnage du contrôle interne.
Une application de raisonnement par cas peut être élaborée à partir d'expériences passées (c'est-à-dire des cas concrets) de vérificateurs, de juricomptables et d'enquêteurs en matière de fraude, encore une fois selon des circonstances où une fraude et(ou) des lacunes du contrôle interne peuvent s'être produites ou non. C'est grâce à l'expérience de ces experts que le système est en mesure de faire des prédictions et de servir de guide à l'égard du profil de risque d'une organisation, à partir d'une série déterminée de paramètres.
Applications actuelles
Outre les applications employées actuellement dans les cabinets de services professionnels, les SBC sont déjà utilisés dans plusieurs secteurs d'activité aux fins suivantes :
• visualisation de fichiers journaux, de pistes de vérification et d'autres données horodatées;
• indication des schèmes de comportement des clients;
• segmentation des clients entre différents marchés;
• compréhension des modèles de fidélisation des clients2;
• surveillance des habitudes d'utilisation des cartes de crédit par les clients afin de réduire au minimum les transactions frauduleuses.
Un SBC avancé peut aussi aider à détecter une fraude pendant qu'elle commence à prendre forme, soit avant que les préjudices économiques ne s'accumulent, et dans un laps de temps qui améliore les chances de découvrir les coupables.
Une application d'exploration de données qui reproduit les aptitudes humaines pour la reconnaissance des constantes peut s'adapter à l'évolution constante des comportements des fraudeurs et en tirer des enseignements. Plus il y a de données historiques disponibles et plus les SBC sont en mesure de faire des prédictions exactes. Une fois les schèmes de comportement définis grâce à l'utilisation de ces données, le SBC peut cerner des tendances générales parmi des millions de clients et produire des rapports indiquant quels comptes requièrent une attention plus grande.
Même si le degré de fiabilité et d'exactitude des applications d'exploration de données peut être très élevé, il se peut qu'elles ciblent des comptes pour lesquels aucune activité frauduleuse n'est détectée et qu'elles en laissent passer d'autres où les choses sont moins nettes. Il faut s'attendre à cela. La puissance de l'exploration de données réside dans sa capacité d'apprendre des erreurs du passé en intégrant des données provenant de faux négatifs et de faux positifs, ce qui accentue ses capacités de prédiction. Plus le volume de données et le nombre de cas sont importants et plus l'application gagne en puissance et en précision.
Une arme stratégique utile
Le recours aux SBC et aux techniques d'exploration de données avancés en vue de détecter une lacune du contrôle interne ou une activité frauduleuse n'est qu'une autre façon d'utiliser les données historiques pour prédire un comportement futur. Les SBC ne sont pas capables d'égaler certaines aptitudes humaines pour la reconnaissance des constantes, du moins pas encore, mais celles-ci sont aisément submergées par les gigantesques volumes de données qu'il faut examiner pour déceler une activité frauduleuse.
Le problème avec les techniques de détection traditionnelles, c'est que l'activité criminelle peut se produire si rapidement que, lorsqu'elle finit par être décelée, ses auteurs ont disparu depuis longtemps et ont déjà causé le préjudice économique. Un SBC avancé ne saurait remplacer les méthodologies traditionnelles de détection des fraudes et d'appréciation du contrôle interne, mais il peut aider à repérer les abus financiers. Le professionnel ou l'enquêteur doit quand même recueillir des éléments probants, interroger des témoins et des suspects. Pour leur part, les organisations doivent continuer de veiller à ce que des contrôles internes soient en place pour empêcher l'apparition de problèmes futurs.
Un SBC avancé permet à une organisation de déployer des efforts plus efficients et plus efficaces pour contrer les pertes potentielles découlant de la fraude et d'abus financiers et représente ainsi une arme de plus dans son arsenal stratégique. Les SBC sont en quelque sorte des chiens de garde qui donnent des outils ou des conseils aux professionnels et qui facilitent la gestion des secteurs à haut risque. Des enquêtes et des contrôles viendront ensuite réduire le niveau de risque plus élevé.
Olivier L. Curet, Ph.D., est directeur principal chez Deloitte & Touche. On peut le joindre à l'adresse ocuret@deloitte.com.
Peter Dent, CA•EJC, CPA, CFE, est juricomptable principal pour le Groupe de la Banque mondiale, et travaille à Washington (D.C.). On peut le joindre à l'adresse pdent@worldbank.org.
| 1 |
Journal of Accountancy, juin 1999, p. 45. |
| 2 |
K. Cox, S. Eick et G. Wills, «Visual Data Mining: Recognizing Telephone Calling Fraud», Data Mining and Knowledge Discovery, vol. 1 (1997), p. 225 à 231. |
