L'encadrement est responsablede la maîtrise de l’activité, secteurpar secteur, dans toutes les entreprises. Maîtriser l’activité, c’est aussi prévenir la fraude et prévoir les dispositifs permettant de la détecter,avant que ses effets ne soient dévastateurspour l’entreprise.
La recherche de la fraude n’est pas pour l’auditeur, et loin s’en faut, l’activité essentielle; par contre, elle est indispensable (c’est l’une des multiples facettes du métier), car l’auditeur doit disposer d’une connaissance suffisante des montages pour rester en veille attentive sur ces aspects.
Lorsqu’il est confronté à la fraude l’auditeur doit être capable d’identifier les indicateurs laissés en évidence ou non, de déterminer si des contrôles (supplémentaires ou complémentaires) sont nécessaires, de mettre en place les tests qui peuvent démontrer le plus aisément et le plus rapidement possible l’existence d’un risque de fraude. Il doit être en mesure d’apporter les éléments de preuves, et de fixer les responsabilités.
L’auditeur doit préconiser, tout naturellement et comme il le fait pour toutes les autres missions, les aménagements ou la mise en place des systèmes de contrôle qui permettront de protéger l’organisation de ce risque à l’avenir. Bien entendu, il conseillera les mesures immédiates à prendre dans tous les cas.
LA CONNAISSANCE DE L’ENVIRONNEMENT FRAUDULEUX
Toute organisation doit sensibiliser son encadrement aux fraudes potentielles, surtout lorsque le domaine d’activité est très sensible financièrement, et l’auditeur a, quant à lui, un rôle déterminant pour traiter des risques liés à la fraude.
Il s’agira notamment:
• D’identifier le(s) risque(s) de fraudeau cours d’audits de routine,
• De savoir préconiser la mise en placede systèmes de contrôle,
• D’effectuer “professionnellement” desinvestigations plus poussées lorsqu’ilexiste une présomption de fraude,
• D’aider à la mise en place d’un plande prévention efficace,
• De savoir mobiliser le managementdans sa lutte contre la fraude…
Les auditeurs ont un rôle important à jouer dans la prévention de la fraude visà-vis de l’encadrement, et notamment un rôle pédagogique. Combattre la fraude n’est pas un objectif pour l’encadrement et les auditeurs, c’est tout simplement être en éveil permanent et savoir ce qu’il faut chercher lorsque des problèmes se présentent.
Ils aident à l’établissement d’un code d’éthique, démarche importante lorsqu’elle met en perspective non seulement la politique de l’organisation eu égard aux fraudes et à la corruption mais lorsqu’elle traite des principes de gestion au regard des clients, des fournisseurs, et des partenaires.
La connaissance des indicateurs et des divers montages frauduleux ainsi que leur implication dans le secteur concerné est précieuse ; cela permet au cours d’audits de routine, donc non dédiés à la fraude, d’identifier des risques au travers des analyses de processus.
L’encadrement doit, à travers la mise en place de la maîtrise d’activité, créer une certaine insécurité agissant sur le comportement de fraudeurs potentiels ; l’auditeur veillera quant à lui, lorsqu’il s’assure que la maîtrise d’activité est en place, que le risque fraude est bien envisagé et couvert.
Cette manière de procéder accroît la crédibilité de l’audit via la qualité des analyses qu’il effectue, et permet de faire partager son expérience aux autres membres du management lorsqu’ils en émettent le besoin. Cette expérience réside dans la qualité des analyses et dans la manière d’organiser les axes de recherche.
L’auditeur apporte une réponse professionnelle qui mobilise le management dans la prévention et la lutte contre la fraude, ce qui est nécessaire pour disposer d’un reporting adapté. Le rôle des auditeurs dans des audits dits pro-actifs apparaît pertinent. Il s’agit, en gros, de pré-investigations. L’enjeu, c’est tenter de réduire les opportunités de montages frauduleux dans les lieux à haut risque. Cela est fondé sur une analyse du risque, sur la qualité d’évaluation de ce dernier et sur l’expérience de l’auditeur.
Il est également pertinent de réaliser des audits de post investigation. On tire, alors, les leçons des investigations réalisées, on fait “monter” la conscience du risque en l’intégrant à des audits de routine.
Mettre en évidence les failles du contrôle interne dans ces types de situation, et aider à limiter la tendance issue du “toujours plus vite”, ou du “moins de contrôle”, qui finit par coûter cher en cas de dérapage, est l’un des challenges de l’auditeur !
Son activité est essentielle pour la réduction de l’effet post-opération. Il est souhaitable qu’il assiste le management dans ces opérations.
LE BUT DES TRAVAUX DE RECHERCHE
L’auditeur pourra seul, ou avec les auditeurs externes si la direction générale ou le directeur de l’audit le prévoit ainsi, ou bien encore avec des experts, effectuer des investigations spécifiques. Les montages frauduleux peuvent être divisés en trois parties :
La soustraction:
Soustraire un objet ou une valeur (espèces, chèques, inventaire, équipement outils fournitures ou informations). Dans le cas où l’information financière est altérée la fraude implique une carence dans l’information pour induire en erreur.
La conversion:
Convertir les actifs qui ne sont pas en numéraire en monnaie “sonnante et trébuchante” ou en avantages en nature. Dans ce cas, le fraudeur doit bénéficier de complicités. Camoufler “le délit” - au sens juridique du terme - afin de poursuivre les actes frauduleux.
Convertir les actifs qui ne sont pas en numéraire en monnaie “sonnante et trébuchante” ou en avantages en nature. Dans ce cas, le fraudeur doit bénéficier de complicités. Camoufler “le délit” - au sens juridique du terme - afin de poursuivre les actes frauduleux.
La justification du passage au délit:
Disposer des éléments moraux pour justifier son comportement. Cette connaissance est essentielle car elle vient compléter l’action sur les processus en intégrant ces informations dans les codes d’éthique, par exemple.
C’est sur ces trois étapes que l’auditeur peut caler ses travaux pour, au final, préciser les faits suivants:
• déterminer si une fraude a été commise et laquelle ;
• identifier le(s) responsable(s) ;
• déterminer les intentions ;
• déterminer le(s) mode(s) opératoire(s) ;
• déterminer les implications dans le contrôle interne;
• déterminer l’étendue des pertes;
• et documenter l’opération pour que l’information soit transmise, suivant les cas, à la direction générale, à la direction de l’audit, au comité d’audit, et/ou à la direction des ressources humaines (éventuellement aux autorités judiciaires si nécessaire, avec l’accord de la direction générale).
Dans d’autres cas extrêmes, s’il existe une carence de la direction générale, l’audit pourra évoquer le problème avec le commissaire aux comptes;
• poursuivre le recouvrement.
• poursuivre le recouvrement.
LA MÉTHODOLOGIE UTILISÉE
Les outils qui pourront être utilisés par l’auditeur sont de nature diverse et doivent lui permettre de réaliser les opérations essentielles nécessitées par ce type de contrôle. En contrepartie, il lui faut maîtriser leur utilisation.
La connaissance des processus et de leurs contrôles permet d’identifier les ruptures du contrôle interne ou du contrôle tout court. Elle permet d’établir une typologie des risques et de dresser une batterie d’indicateurs pertinents qui assurent la validité des systèmes de contrôle en place:
- La capacité d’effectuer des analyses dites “financières” sur les budgets ou sur la comptabilité est aussi essentielle car le travail sur les variations est souvent couronné de succès lorsque les managers ne sont pas impliqués.
-Ces analyses peuvent être verticales ou horizontales, et découlent souvent d’observations de bon sens (si les ventes augmentent de 60 % et que les achats ne suivent pas le même schéma, il est fort probable qu’un montage organisé pour majorer les bonus soit en place). Elles consistent à convertir des données en pourcentage qui rendent les comparaisons plus aisées. Mais elles ne sont valides que si l’on est sûr des chiffres présentés.
- La capacité à mettre en place des sondages de dépistage, qui ne doit comprendre aucune erreur permet de réaliser des contrôles dont l’intérêt n’est pas négligeable.
- La connaissance des analyses de valeur et d’enrichissement: ces pratiques permettent d’identifier l’existence de rentes ou de profits illicites, elles utilisent l’observation et la recherche d’information(s) sur des données ouvertes.
- Enfin les méthodes de détection informatisée peuvent donner des résultats intéressants lorsque l’outil n’a pas été manipulé au préalable. L’informatique peut être utilisée de diverses manières:
• pour prévenir l’occurrence de fraudes en bloquant certaines situations ou en extrayant certaines opérations au préalable définies de l’automatisation, ce qui implique un contrôle car l’outil a identifié la présence d’indicateurs de risques.
Si tous les employés savent que de tels contrôles ont lieu, l’effet préventif est garanti;
• identifier les indicateurs de fraude, ce qui permet de limiter la cible de recherche;
• traiter et classer les informations pertinentes de manière rapide et exhaustive au travers de logiciels d’audit généralisés ou de progiciels élaborés à cette fin;
• effectuer des traitements pour corréler des informations figurant dans les données et dégager des tendances;
• enfin, réaliser des traitements de doublons ou de trous, ou enfin créer des requêtes spécifiques sur les dates ou sur le séquencement des numéros de factures par exemple (analyse séquentielle) bien que les résultats ne soient pas toujours garantis (et puissent entraîner des erreurs d’interprétation ou d’aiguillage) ;
• il existe aussi des systèmes “expert” qui sont dans la plupart des cas intégrés au système informatique et qui systématisent les analyses.
Nous rappellerons que le rôle de l’auditeur n’est pas de détecter la fraude, mais de s’assurer que le “patrimoine” de l’entreprise est bien protégé. En ce sens, il doit, inclure dans ses travaux classiques, des recherches spécifiques qui permettent, non pas d’éliminer les risques existants, mais de savoir les identifier et d’être en mesure de proposer les méthodes de détection, de prévention, et d’éradication.
La position de l’ECIIA en ce sens est particulièrement intéressante :
“Les auditeurs internes peuvent jouer un rôle important en matière d’enquête sur la fraude, car:
• ils ont un mode de réflexion objectif et ils sont habitués à s’appuyer sur des faits et des analyses objectives ;
• ils comprennent la nature du contrôle et peuvent évaluer son efficacité. La fraude et l’abus surviennent lorsque les contrôles sont faibles et inefficaces.
L’auditeur interne doit connaître les systèmes en place au sein de l’entreprise, et être capable d’identifier précisément les faiblesses qui ont été exploitées ;
• ils sont en droit d’interroger les fichiers d’applications et les journaux des systèmes afin de prouver ce qui s’est produit;
• ils comprennent la notion de preuve ou de “piste d’audit” et la manière dont celle-ci peut être sécurisée. Les auditeurs internes doivent savoir quelle piste d’audit existe, sous quelle forme elle est conservée, de quelle manière elle est établie et quelle période de rétention est applicable.”
En ce sens les auditeurs ont donc un rôle essentiel à jouer autant sur le plan de la prévention que sur celui du contrôle.
