FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2010 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
Frauduleusement vôtre
Par Yves Nadeau
Illustration : Baiba Black
La fraude en entreprise peut prendre plusieurs formes; les dirigeants doivent donc donner le ton à tous les niveaux
J'étais récemment en grande discussion avec l’un de mes collègues sur la question fondamentale suivante : qui, au sein d’une organisation, est réellement responsable de la gestion du risque de fraude? De toute évidence, les gestionnaires en place, mais encore…
Quelle part de responsabilité incombe alors aux autres intervenants comme les auditeurs internes, les auditeurs externes et les responsables de la gestion des risques?
Nous nous sommes rapidement rendus à l’évidence que la réduction du risque de fraude nécessite l'engagement de plusieurs intervenants dans une entreprise. Chacun d’eux est un acteur important d’un processus qui doit être autant organisé que structuré.
Or, l’efficacité de toute activité réunissant de nombreux intervenants peut être menacée si la question de responsabilité n’est pas clairement définie et communiquée. Qui sont donc ces intervenants et comment les mobiliser afin de les responsabiliser, sans toutefois détourner leur attention des objectifs stratégiques et organisationnels de la direction?
Nous ne sommes plus à l’époque où les dirigeants pouvaient prétendre que les auditeurs externes étaient responsables de détecter la fraude. Même si ces auditeurs externes considèrent les risques de fraude dans le cadre de leur travail, ils n’ont pas pour responsabilité première de la détecter.
C’est aux dirigeants que cette responsabilité incombe. Ils doivent élaborer et mettre en œuvre des systèmes de contrôles internes fiables et efficaces. Les auditeurs internes peuvent également être invités à intervenir dans le cadre des mandats qu’ils réalisent.
Le groupe de gestion des risques pourrait également devoir se pencher sur le risque de fraude, notamment lorsqu’il a été identifié parmi les risques importants d’une organisation. Enfin, le groupe de conformité financière (certification 52-109 ou SOX) est aussi amené à se pencher sur les risques de fraude, en considérant principalement le risque financier lié à la fraude.
Types de fraudes
Pour bien gérer les risques de fraude, il est primordial de comprendre les différents types de fraude qui peuvent survenir. Quels sont-ils? Au premier abord, on pense, bien sûr, à la fraude financière. Mais la fraude est un concept beaucoup plus vaste. Elle fait également référence à la corruption, aux vols d’information, d’actifs, ou de renseignements personnels, à la falsification de documents, à la surfacturation, aux fausses factures, etc.
Comment peut-on protéger une organisation si les types de fraude sont si diversifiés et peuvent toucher tant de personnes? Qui donc, au sein d’une organisation, peut vraiment faire la différence en matière de prévention et de détection de la fraude?
Quand plusieurs intervenants disent prendre en compte le risque de fraude dans leurs travaux, on peut croire que ce risque est pleinement couvert, mais l’est-il véritablement? Est-il réellement couvert de façon appropriée aux fins de la direction?
Si tel n’est pas le cas, il est possible que les membres du comité d’audit entretiennent un sentiment de confiance illusoire. En fait, le risque de fraude est souvent mal compris et ne fait pas suffisamment l’objet de discussions lors des réunions des comités d’audit.
Rôle de l’auditeur interne
Cette situation est très préoccupante, car ne revient-il pas à l’auditeur interne de donner l’heure juste au comité d’audit à ce sujet? L’auditeur interne doit donc faire preuve de persévérance et il doit ramener périodiquement ce sujet à l’ordre du jour des réunions.
Pour ce faire, l’auditeur peut poser les questions suivantes :
- Est-ce que l’organisation a dressé un inventaire exhaustif de ses risques de fraude?
- Est-ce que l’organisation a cerné l’ensemble de ses risques de fraude les plus importants?
- Est-ce qu’elle a mis en place les mécanismes nécessaires afin de remédier à ces risques?
- Est-ce qu’elle a procédé à des analyses de vulnérabilité?
Les types de fraude et les risques inhérents doivent faire l’objet d’une analyse exhaustive. Il incombe généralement au service de l’audit interne de recenser les types de fraude et les risques. Pour y arriver, l'auditeur interne pourrait utiliser diverses techniques de simulation de fraude (scénarios de fraude) ou procéder à des analyses de vulnérabilité.
Une autre stratégie consisterait en la tenue d’ateliers de travail avec les dirigeants de tous les secteurs de l'organisation pour déceler les types de fraude potentiels, évaluer les risques et déterminer les mécanismes à mettre en place pour les prévenir. Pour accroître la responsabilité, en ce qui a trait aux risques importants, le «responsable du risque» pourrait présenter lui-même le risque dont il est responsable au comité d’audit et la façon dont il entend le circonscrire. Il ne faut pas sous-estimer les efforts requis pour sensibiliser l’organisation au risque de fraude. Des rappels constants sont nécessaires afin de conscientiser les gestionnaires touchés par ce risque.
Selon les études 2008 et 2010 de l’organisme international Association of Certified Fraud Examiners (ACFE) en matière de fraude à l’échelle mondiale, le coût de la fraude peut représenter de 5 à 7 % des revenus d’une organisation.
Cette dernière a donc tout intérêt à se pencher sur la question, particulièrement dans un contexte économique fragile, et au moment où les scandales de corruption et de trafic d’influence font la manchette.
Ça n’arrive pas qu’aux autres
Fait intéressant, la plupart des hauts dirigeants croient souvent à tort que leur organisation ne risque pas d’être victime de fraude, et que ça n’arrive qu’aux autres.
Pourtant, lorsque l’on considère les principaux cas de fraudes qui ont récemment retenu l’attention des médias, on constate qu’il s’agit toujours de grandes organisations qui s’étaient dotées de moyens de contrôles internes et de politiques rigoureuses.
Qui plus est, les statistiques démontrent que la majorité des fraudes sont d’origine interne, et qu’elles sont commises par des employés ou des dirigeants. La fraude ne se passe donc pas ailleurs; elle se produit sournoisement dans les murs même de l’organisation!
Les auditeurs internes chargés de convaincre les dirigeants de l’organisation de l’importance des risques de fraude doivent faire preuve de persévérance afin que leurs suggestions portent fruit. Sachant que les statistiques montrent clairement que les risques sont réels, je réitère le conseil de l’écrivain français Nicolas Boileau : «Hâtez-vous lentement, et, sans perdre courage, vingt fois sur le métier remettez votre ouvrage.»
Vigilance de la part de la haute direction
Même s’il est nécessaire de prévenir la fraude à divers niveaux dans une organisation, la haute direction se doit d’abord et avant tout de donner le ton.
En matière de fraude, il faut être un peu psychologue car, bien souvent, tout acte de fraude découle d’une motivation personnelle. Un désir de vengeance, le sentiment d’être exploité, un sentiment d’injustice sont des exemples de motifs qui pousseront un individu à agir pour rationaliser son geste.
Il faut donc travailler sur le plan de la culture d’entreprise, s’assurer que les employés sont traités de façon équitable, faire preuve de transparence dans les communications et mettre en place des programmes d’aide aux employés et de mobilisation du personnel dans le but de réduire les sentiments négatifs de la part des employés.
Établissement d’un code d’éthique
Un code d’éthique est aussi un outil essentiel. Il ne suffit pas de rédiger un code d’éthique normalisé et de l’inclure dans le site intranet de l’entreprise. Ce code d’éthique devrait clairement énoncer ce qu’est l’éthique pour l’organisation et exposer les comportements tolérés et acceptables en les illustrant par des exemples précis.
Il pourrait définir, par exemple, ce qu’est un cadeau de fournisseur d’une valeur raisonnable ou encore quel type de comportement est acceptable pour l’organisation. On ne doit pas laisser tout un chacun interpréter à sa façon ces concepts. Il faut inclure, dans le code d’éthique, des exemples représentatifs.
Plusieurs organisations ont même réalisé des capsules sur leur site intranet à l’intention de leurs employés. Un détail à ne pas négliger : les employés doivent savoir à qui ils doivent acheminer leurs questions en cas d'incertitude sur l’interprétation du code d’éthique.
La présentation des questions et des réponses d’intérêt général sur l’intranet représente aussi une bonne pratique. En somme, un code d’éthique clair est certainement un pas dans la bonne direction. Mais ce n’est pas tout, il faut aussi bien le communiquer et s’assurer qu’il est respecté.
Des rappels constants, des affiches, des messages peuvent aussi être utiles. L’organisation doit en outre s'assurer que son code d’éthique est respecté en effectuant des audits ponctuels. L’audit interne peut jouer un rôle clé dans le cadre de cette tâche.
Les dirigeants doivent également véhiculer les valeurs éthiques de leur organisation, leurs comportements servant d’exemple au reste de l’entreprise. Comment une organisation peut-elle prétendre instaurer des règles d’éthique si ces règles sont transgressées par ses propres dirigeants? Le ton de la direction, à cet égard, est un facteur clé de succès.
Un bon système de contrôle interne
Bien sûr, pour prévenir la fraude, les organisations doivent également diffuser des politiques et des procédures claires, et avoir mis en place de bons systèmes de contrôles internes. Ceux-ci sont un excellent moyen de tenir les fraudeurs à l’écart.
Compte tenu de la conjoncture économique actuelle, les organisations ont tendance à diminuer leurs coûts, soit en réduisant leur personnel, soit en réorganisant le travail. Par le fait même, ils négligent certains contrôles internes. Une attention particulière portée à la séparation des tâches demeure primordiale pour tout changement organisationnel; une lacune à ce niveau peut souvent être à la source de plusieurs fraudes. Même si les principaux gardiens des contrôles internes sont les gestionnaires, l’auditeur interne, en raison de son expertise en la matière, est un acteur incontournable.
Rien de mieux qu’un mandat d’audit interne dans un secteur névralgique ou plus vulnérable pour tenir tout le monde sur le qui-vive! Avec le temps, les techniques d’audit des auditeurs internes se sont raffinées. Plusieurs de celles-ci sont informatisées et permettent de détecter les «modèles» (patterns) de fraude. Ces outils sont très performants et permettent de traiter un volume considérable de données dans un court laps de temps.
Le processus de dénonciation
Enfin, le gardien ultime de la fraude, le dernier élément sur la ligne de front demeure le processus de dénonciation (whistleblowing), le meilleur moyen de détecter la fraude au sein d’une organisation. Toujours selon les études 2008 et 2010 de l’ACFE sur la fraude à l’échelle mondiale, près de 50 % des fraudes détectées ont fait l’objet d’une dénonciation. Le processus de dénonciation au sein de l’organisation se doit donc d’être sans faille.
Combien de fois entendons-nous dire, dans les comités d’audit, qu’aucune dénonciation n’a eu lieu au cours du dernier trimestre? Même si plusieurs organisations pensent que cette situation est saine, cela peut être tout à fait l’inverse. Souvent, aucune dénonciation n’est faite parce que les employés ne croient pas que leur anonymat sera assuré ou encore, ils se sentent menacés ou intimidés. Souvent même, cette «ligne» d’éthique est gérée à l’interne, ce qui constitue un frein important à la délation. Nous conseillons de prendre le temps de bien évaluer le processus de dénonciation de l’entreprise ou encore d’envisager de le confier à une partie neutre et indépendante, ce qui pourrait réserver des surprises à bien des organisations.
En conclusion, les organisations entretiennent un sentiment de fausse sécurité par rapport à la gestion du risque de fraude. Pourtant, aucune ne peut se prétendre à l’abri. Une réflexion s’impose donc pour bien cerner et comprendre ce risque, ainsi que sensibiliser l’organisation afin qu’elle mette en œuvre les moyens appropriés pour le circonscrire.
Le dossier de la fraude n’est malheureusement pas un dossier que l’on peut clore aisément. Il est préférable de se protéger. Après tout, votre organisation peut-elle se permettre de perdre de 5 à 7 % de ses revenus?
Yves Nadeau CA, CPA, est associé, Certification et Services conseils en gestion des risques au cabinet RSM Richter Chamberland, et il dirige cette rubrique.
