Le vingt-et-unième siècle connaît jusqu'à présent deux évolutions majeures dans
les comportements liés à la fraude. D'une part, les fraudeurs deviennent de plus en plus
« malins » et ont recours à des techniques de plus en plus sophistiquées. Dans le même temps,
on assiste à l'émergence d'une nouvelle espèce de professionnels spécialisés dans le domaine
de la fraude. Les seules connaissances comptables ne sont plus suffisantes pour répondre aux
nombreux problèmes liés à la fraude. Pour cette raison, la profession comptable connaît à la fois
une extension et une spécialisation.
Dr haluk f gursel fraud examination rises to distinction article grcj 2010 1_v3_
Dr haluk f gursel la nouvelle profession anti fraude v3 (1) 2009
1. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
1
De la reconnaissance de la profession Anti-
Fraude par les régulateurs nationaux
Dr Haluk F. GURSEL*
•••• Le Dr. Haluk F. GURSEL, CFE, est Professeur à l’Université Webster de Genève (Suisse).
•••• Cet article a remporté le prix du meilleur article 2008 (HUBBARD AWARD2008), décerné
par les lecteurs de FRAUD Magazine (bi-mensuel édité par l’ACFE et distribué à quelques
50 000 professionnels de l’Anti-fraude).
•••• L’article original écrit en anglais en mai 2006 a été réactualisé au vu de récentes
recherches et traduit en français par Frédéric Fougère (FIP France) et Francis
Hounnongandji
•••• Pour tous commentaires, on peut contacter l’auteur à l'adresse e-mail suivante :
hfgursel@gmail.com .
2. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
2
Interrogés dans le cadre d'une étude publiée dans l'édition 2008 du rapport annuel de l'ACFE
(Association of Certified Fraud Examiners), des experts de la lutte contre la fraude estimaient
qu'aux États-Unis les entreprises et autres organisations perdaient en moyenne 7% de leur
chiffre d'affaires annuel du fait de la fraude. Si l’on applique ce chiffre au PIB américain prévu
pour l'année 2008, il se traduit par une perte totale d'environ 994 milliards de dollars. Malgré
ces chiffres, il demeure difficile de convaincre le management des entreprises que les risques de
fraude sont suffisamment importants pour justifier une approche proactive. De fait, à moins
qu'ils n'aient déjà été confrontés à la fraude à titre personnel, la plupart des cadres dirigeants
seront réticents à s'engager dans une démarche d'évaluation des risques, en raison des coûts
qu'elle représente. Dans le meilleur des cas, le management prendra conscience de la possibilité
de la fraude mais s'y résoudra comme à un coût de fonctionnement incompressible. Il est donc
crucial d'inciter les dirigeants à s'intéresser aux conséquences globales du risque de fraude et de
la fraude elle-même.
Comme le déclare Joe Wells, fondateur de l'ACFE : «La fraude n'est pas un simple problème
comptable ; il s'agit d'un phénomène de société. Si l'on fait abstraction des nombreuses et
complexes variations du crime économique, il n'y a que trois mécanismes de base par lesquels
une victime peut se voir soustraire son argent de manière illégitime : par la force, de manière
cachée ou par la ruse. Si les deux premières méthodes sont actuellement sur le déclin, ce n'est
pas le cas de la troisième. Et les raisons de cette situation n'ont que peu de rapport avec les
contrôles comptables. »1
Une fois que cette difficulté primordiale est surmontée et que le management a donné son aval
à la mise en œuvre des mesures appropriées, il s'agit alors de développer une stratégie de lutte
contre la fraude. Le présent article s'efforce de réaliser une synthèse de toutes les démarches
que doivent engager les professionnels de la lutte anti-fraude afin de remplir leurs fonctions.
1
Joe Wells, Sleuthing careers bring CPAs personal and professional satisfaction, The Anti-fraud
professional, octobre 2003.
3. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
3
Introduction
Au vingtième siècle, la responsabilité des activités anti-fraude (sensibilisation, prévention,
détection et investigation) était confiée aux professionnels de l'audit. Mais avec l'étendue
grandissante du champ des connaissances comptables, les auditeurs devinrent de moins en
moins actifs dans la recherche de fraude, privilégiant une démarche d'audit partant du sommet.
De ce fait, le risque de fraude n'était plus contrebalancé par l'expérience de l'auditeur ni par ses
audits des contrôles internes. La vérification détaillée devint trop coûteuse.
Par contraste, le vingt-et-unième siècle connaît jusqu'à présent deux évolutions majeures dans
les comportements liés à la fraude. D'une part, les fraudeurs deviennent de plus en plus
« malins » et ont recours à des techniques de plus en plus sophistiquées. Dans le même temps,
on assiste à l'émergence d'une nouvelle espèce de professionnels spécialisés dans le domaine
de la fraude. Les seules connaissances comptables ne sont plus suffisantes pour répondre aux
nombreux problèmes liés à la fraude. Pour cette raison, la profession comptable connaît à la fois
une extension et une spécialisation.
Les récents systèmes de contrôle de gestion fondés sur une approche risque ont également
contribué à ce développement des agents anti-fraude spécialisés et de leurs professions. Ces
évolutions se dessinent actuellement essentiellement en Amérique du nord, alors que l'Europe
a de son côté pris un certain retard et que ses entreprises, à l'exception des groupes américains
multinationaux, continuent de recourir aux approches traditionnelles des problèmes de fraude.
Avec la mondialisation, le moment est venu de reconnaître les professions de la lutte anti-
fraude d'une manière cohérente à travers le monde. Les idées, en provenance d'Amérique du
nord, de cette nouvelle discipline de l'anti-fraude, ont déjà commencé à apparaître dans
d'autres parties du monde, notamment en Europe. Les récents scandales financiers d'ampleur
gigantesque comme les affaires Enron, Worldcom , Parmalat, Société Générale, ou Madoff ont
sensibilisé le grand public aux risques de fraude.
Dans les sections qui suivent, on trouvera une revue du cycle de gestion des risques, du risque
de fraude et des diverses facettes de la lutte contre la fraude, destinée à faire comprendre
pourquoi les nouvelles professions anti-fraude sont désormais nécessaires ainsi que leur
fonctionnement.
4. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
4
Le cycle de gestion des risques
Le cycle contemporain de gestion des risques s'articule sur les étapes suivantes2
:
1 Identification des zones de risque (Identify risk areas)
2 Compréhension et évaluation de l'ampleur du risque (Understand and assess scale of
risk)
3 Développement de la stratégie de gestion des risques (Develop risk management
strategy)
4 Mise en œuvre de la stratégie et affectation des responsabilités (Implement strategy
and allocate responsibility)
5 Mise en œuvre des contrôles et suivi de cette mise en œuvre (Implement and monitor –
implementation of controls)
6- Constituer l’équipe en charge de la gestion des risques ainsi que leurs objectifs (Establish
risk management group and goals)
Figure 1 : Cycle de gestion des risques
2
Adapté de Managing the Risk of Fraud – A Guide for Managers, HM Treasury, 1997.
5. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
5
La gestion intégrée des risques (Enterprise-wide Risk Management – ERM)
L'analyse la plus pertinente du cycle de gestion des risques se base sur le modèle ERM ou GIR
« Gestion intégrée des risques ») proposé par le COSO. Selon son document de référence, l'ERM
se définit comme suit :
• Un processus continu qui se déploie à travers une entité
• Affecté par tous les membres de l'organisation à tous les niveaux
• Intervenant dans la définition de stratégies
• Appliqué à travers l'ensemble de l'entreprise, à chaque niveau et dans chaque unité, et
basé sur une approche « portefeuille » du risque au niveau de l'entité
• Conçu pour identifier des événements potentiels susceptibles d'affecter l'entité, et
pour gérer le risque en fonction de « l'appétit au risque » de celle-ci
• En mesure d'apporter des assurances raisonnables au management et au conseil
d'administration d'une entité
• Calibré pour atteindre des objectifs dans une ou plusieurs catégories distinctes mais
pouvant posséder des parties communes.
En conséquence, l'ERM comprend :
• L'alignement de la stratégie et de l'appétit au risque – Le management prend en
compte l'appétit au risque de l'entité dans l'évaluation d'alternatives stratégiques,
l'établissement d'objectifs correspondants et le développement de mécanismes pour
la gestion des risques associés.
• L'éclairage des décisions de réponse au risque – L'ERM apporte la rigueur
permettant d'identifier et d'opérer un choix entre les alternatives existantes –
évitement, réduction, partage ou acceptation du risque.
• La réduction des surprises et des pertes opérationnelles – Les entités renforcent leur
capacité d'identification d'événements potentiels et de mise en place de réponses,
réduisant ainsi les surprises et les pertes ou les coûts associés.
• L'identification et la gestion de risques multiples et globaux dans l'entreprise –
Toute entreprise est confrontée à une myriade de risques affectant différentes
parties de l'organisation, et l'ERM améliore l'efficacité de la réponse aux impacts
interdépendants, ainsi que la mise en place d'une réponse intégrée à des risques
multiples.
• La saisie d'opportunités – Par la prise en compte d'un large spectre d'événements
potentiels, le management est positionné pour identifier et pour valoriser des
opportunités de manière proactive.
• Un meilleur déploiement du capital – L'obtention d'informations robustes sur le
risque permet au management d'évaluer de manière efficace les besoins globaux de
capital et d'améliorer l'allocation des fonds.
6. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
6
L'ERM porte sur les risques et sur les opportunités qui affectent la création ou la préservation de
valeur, ainsi définie :
L'ERM ou GIR est un processus, mis en œuvre par le conseil d'administration, par le
management et par les autres équipes d'une entreprise, appliqué à l'établissement de
stratégies à travers toute l'entreprise, conçu pour identifier des événements potentiels
susceptibles d'affecter l'entité, pour gérer le risque en fonction de son appétit au risque et
pour apporter des assurances raisonnables concernant la réalisation des objectifs de l'entité.
Ce modèle ERM est calibré afin d'atteindre les objectifs de l'entité dans quatre catégories :
1. Stratégie – objectifs de haut niveau, alignés sur, et soutenant sa mission
2. Opérations – usage efficace et optimisé de ses ressources
3. Reporting – fiabilité du reporting
4. Conformité – conformité aux lois et aux règlements en vigueur
Enfin, l'ERM consiste en huit composantes interdépendantes. Celles-ci découlent de la manière
dont le management gère une entreprise et s'intègrent au processus de gestion. À titre de
rappel, ces composantes sont les suivantes :
Environnement interne – L'environnement interne, qui est déterminant dans la manière
dont le risque est perçu et géré par les équipes, comprend tous les éléments qui composent
le ton d'une organisation, notamment la philosophie de gestion du risque et l'appétit au
risque, les valeurs d'intégrité et d'éthique, et l'environnement dans lequel les employés
évoluent.
Définition d'objectifs –Pour que le management soit en mesure d'identifier les événements
potentiels qui affecteraient la réalisation des objectifs, il est nécessaire que ces objectifs
aient été définis au préalable. L'ERM garantit que le management puisse s'appuyer sur un
processus de définition des objectifs et assure que les objectifs retenus soient alignés et
soutiennent la mission de l'entité, tout en étant compatibles avec son appétit au risque.
Identification d'événements – Les événements internes et externes affectant la réalisation
des objectifs d'une entité doivent être identifiés, en distinguant entre risques et
opportunités. Les opportunités sont redirigées vers les processus managériaux de stratégie
et de définition d'objectifs.
Évaluation du risque – Les risques sont analysés, en prenant en compte leur probabilité et
leur impact pour définir la manière dont ils doivent être gérés. Les risques sont évalués sur
une base inhérente et sur une base résiduelle.
Réponse au risque – Le management choisit des réponses au risque – évitement,
acceptation, réduction ou partage – en développant un ensemble d'actions afin d'aligner les
7. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
7
risques avec les tolérances au risque et l'appétit au risque de l'entité.
Activités de contrôle – Des lignes de conduite et des procédures sont définies et mises en
œuvre afin de contribuer à garantir que les réponses au risque sont exécutées de manière
efficace.
Informations et communication – Les informations pertinentes sont identifiées, capturées
et communiquées sous une forme et dans des délais qui permettent aux équipes de remplir
leurs fonctions. Une communication efficace est également mise en place dans un sens plus
large, circulant vers le bas, vers le haut et transversalement au sein de l'entité.
Surveillance– L'ensemble de l'ERM fait l'objet d'une surveillance et de modifications si
nécessaire. Cette surveillance s'effectue dans le cadre des activités de gestion courantes,
lors d'évaluations séparées, ou par ces deux biais.
Responsabilité du risque de fraude
Nous avons jusqu'à présent parlé de la gestion des risques en général. La déclaration de
stratégie anti-fraude3
de l'Institut des auditeurs internes du Royaume-Uni et d'Irlande, qui
reflète, dans sa version dynamique ERM Framework, le modèle COSO de gestion des risques
largement reconnu décrit plus haut, stipule que toutes les organisations doivent :
• Donner le ton à partir du sommet en établissant des règles qui font clairement
apparaître que la fraude n'est pas tolérée, que les fraudeurs seront poursuivis et que
l'organisation a un engagement ferme à empêcher et à détecter la fraude ;
• Avoir une stratégie de gestion des risques, comprenant notamment des mesures de
limitation des risques de fraude, visant à détecter la fraude et à dissuader les fraudeurs
potentiels ;
• Avoir un plan de réponse à la fraude décrivant de manière précise les démarches à
entreprendre si une fraude est signalée ou détectée ;
• Avoir un programme permanent de sensibilisation à la fraude avec des mises à jour
régulières et une formation périodique du personnel existant.
Dans ce cadre, la fraude devient un risque comme tous les autres risques auxquels l'entité est
confrontée. La réponse qu'apporte l'entité aux problèmes liés à la fraude est donc conditionnée
par la réponse au risque de cette organisation.
3
Institute of Internal Auditors, UK and Ireland, Fraud Position Statement, avril 2003.
8. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
8
La responsabilité première de la prévention, de la détection et de l'investigation des fraudes
repose sur le management, qui assume également la responsabilité de la gestion des risques de
fraude. De nombreuses organisations disposent maintenant d'une fonction interne de
« sécurité » dédiée qui assume la responsabilité de la gestion des investigations de fraude et
d'autres tâches liées à la fraude comme l'établissement de programmes de sensibilisation ou de
prévention. C'est dans ces fonctions que le management a besoin de personnes qualifiées afin
d'accomplir les tâches mentionnées.
La gestion de la fonction « risque de fraude » peut se faire avec l'assistance de l'audit interne.
Toutefois, nous considérons qu'il s'agit là d'un compromis, découlant du fait que la profession
anti-fraude émergente n'est pas encore complètement reconnue par toutes les entités et que le
nombre des professionnels qualifiés est insuffisant pour assurer l'ensemble des tâches qui leur
incombent. Une fois que la profession aura atteint son altitude de croisière, nous nous
attendons à ce que les fonctions de l'auditeur dans les tâches liées à la fraude se reportent de
l'investigation des fraudes proprement dite à l'évaluation des processus anti-fraude. Par
exemple, l'audit aura la charge de l'évaluation des programmes établis par les professionnels de
la fraude.
Le Chief Risk Officer ou Directeur de Gestion Des Risques
À l’heure actuelle, la fonction de sécurité, dans son acception la plus large, est généralement
prise en charge par un Chief Risk Officer (CRO) ou, en France, un Directeur de Gestion des
risques, ou encore d'autres titres plus spécifiques.
La vocation du CRO, ou d'un autre professionnel anti-fraude intégré à l'équipe, est d'assister le
management dans sa responsabilité de gestion, de contrôle, de reporting et d'action relatifs au
risque de fraude, notamment :
• En établissant les programmes de sensibilisation à la fraude ;
• En mettant en place des processus de dissuasion et de détection de la fraude ;
• En appliquant les contrôles adéquats afin d'empêcher la fraude ;
• En conduisant des investigations de fraude ;
• En supervisant les investigations menées par des spécialistes mandatés par eux ;
• En apportant des réponses efficaces aux questions soulevées par le personnel
(notamment en prenant des mesures appropriées en cas de signalement ou de
soupçons d'activités frauduleuses) ;
• En faisant intervenir les autorités, si nécessaire.
9. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
9
L’auditeur interne
Dans ce cadre, le rôle de l'audit interne serait limité, même à l'heure actuelle. En effet, sa
fonction ne consiste pas à jouer un rôle primaire de détection de la fraude, bien que
traditionnellement il s'agisse du rôle que la plupart des gens s'attendent à lui voir assumer. Il
existe donc, entre les attentes et les résultats, un décalage qu'il convient de gérer. Dans le cadre
du modèle ERM, l'audit interne n'assume aucune responsabilité directe quant à la fraude, mais
se doit d'apporter une assurance indépendante sur l'efficacité des processus mis en place par le
management afin de gérer les risques de fraude. Toutes les autres activités menées par l'audit
interne doivent être entreprises dans le contexte de ce rôle central, sans lui être préjudiciables.
Les rôles qui reviennent à l'audit interne sont les suivants :
• Recherche des causes de la fraude ;
• Revue des contrôles de prévention et des processus de détection de la fraude mis en
place par le management ;
• Formulation de recommandations afin d'améliorer ces processus ;
• Émission d'avis auprès du comité d'audit quant au type d'assistance juridique
nécessaire, le cas échéant, si une enquête pénale est engagée ;
• Apport de connaissances et de compétences spécialisées susceptibles de contribuer
aux investigations de fraude, ou la direction de certaines investigations si cela est
approprié et demandé par le management ;
• Liaison avec l'équipe d'investigation ;
• Réponse aux donneurs d’alerte (« whistleblowers »);
• Prise en compte du risque de fraude dans tous les audits ;
• Connaissances suffisantes pour identifier les indicateurs de la fraude ;
• Facilitation de l'apprentissage dans l'entreprise.
Les différences observées entre la fonction traditionnelle d'audit et l'investigation de fraude
dans les applications courantes sont présentées dans le tableau ci-après :
10. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
10
Figure 2 : Différences entre l'audit interne et l'audit de fraude
Audit Investigation
de fraude
Périodicité Récurrente Ponctuelle
Scope d’intervention Général,
Revue globale
Cohérence
Points spécifiques
Objectif Délivrer un avis ou
une opinion avec une
assurance raisonnable
Établir des
responsabilités
précises et identifier
des coupables
Mode relationnel Collaboratif Contradictoire
Méthodologie Technique d’audit Techniques et outils
spécifiques
d’investigation
Présomption Déclaration et recours
aux travaux internes
Scepticisme
professionnel
Eléments probants,
indices et preuves
11. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
11
Le rôle de l'audit interne ne s'en trouve pas diminué, mais son contenu est recentré sur
l'évaluation des contrôles. Le rôle du professionnel anti-fraude, par conséquent, consiste à
accomplir l'intégralité des tâches liées à la fraude autres que l'évaluation des systèmes et des
activités.
Toutefois, dans ce rôle en évolution, tel qu’il est défini dans les Standards de pratique
professionnelle de l'audit interne publiés par l'Institut des auditeurs internes (IIA), « L'auditeur
interne doit posséder une connaissance suffisante afin d'identifier les indicateurs de la fraude
mais n'est pas tenu d'avoir l'expertise d'une personne dont la responsabilité première est la
détection et l'investigation des fraudes. » Les auditeurs internes évaluent le risque de fraude et
les contrôles internes et communiquent leurs résultats. Il est judicieux qu'ils travaillent en
conjonction avec les professionnels anti-fraude de l'entité afin d'effectuer un suivi des risques
de fraude identifiés.
Comme l'exprime le rapport « Programmes et contrôles anti-fraude pour le management »
(«Management Anti-fraud Programs and Controls»), il appartient aux auditeurs internes de
déterminer si :
1 l'environnement de l'organisation favorise l'application rigoureuse des contrôles ;
2 des objectifs réalistes sont définis dans l'organisation ;
3 des règles écrites (par exemple un code de conduite) existent pour décrire les activités
proscrites et les mesures à prendre lorsque des transgressions sont mises à jour ;
4 des règles d'autorisation adéquates sont mises en place et appliquées pour les
transactions ;
5 des règles, des pratiques, des procédures, des rapports et autres mécanismes sont
développés afin de surveiller les activités et de protéger les actifs, tout
particulièrement dans les zones de risque prononcé ;
6 des canaux de communication alimentent le management en informations pertinentes
et fiables ;
7 des recommandations sont opportunes afin d'établir (ou d'améliorer) certains
contrôles préventifs anti-fraude avec un coût optimal.
Mise en forme : Puces et
numéros
12. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
12
Programmes et contrôles anti-fraude pour le management
La figure ci-dessous illustre de nouvelles manières de concevoir le risque de fraude4
.
Figure 3 : Cycle de gestion des risques de fraude
1- Constituer des équipes de gestion de risque et fixer des objectifs
2-Identification des zones de risques
3-Evaluer les risque de fraude et identifier les zones défaillantes (ou les zones de faiblesse)
4- Développer la stratégie de réduction des risques identifiés
5-Communiquer la stratégie aux équipes responsables de sa mise en œuvre
6-Mettre en œuvre la stratégie
7- Suivre la mise en œuvre de la stratégie
4
Pollard, Proactive Fraud Risk Reviews, présenté à la 15e Conférence annuelle de l'ACFE sur la fraude,
Las Vegas, juillet 2004.
13. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
13
À titre d'illustration, un examen minutieux de l'organisation d'une entreprise dans le but
d'identifier les risques de fraude pourrait comprendre les éléments suivants :
• Diagnostic de l'organisation
• Évaluation du personnel / de l'organisation
• Évaluation des contrôles d'exploitation
• Évaluation des contrôles de reporting
• Évaluation de la sécurité des actifs physiques / de la sécurité informatique
• Techniques spéciales
La norme américaine SAS 99 (SAS signifiant «Statement on the Accounting Standards») définit
les éléments permettant d'établir une culture d'entreprise efficace contre le risque de fraude.
Elle suggère de donner le ton au sommet de l'organisation, par les éléments suivants5
:
• Communication : Dirigez par l'exemple – les employés doivent être conscients que la
malhonnêteté ne sera pas tolérée ; prenez garde à ne pas engendrer d'attentes qui
ne soient pas réalistes.
• Code d'éthique : Reflétez les valeurs clefs de l'entreprise.
• Guide des décisions quotidiennes des employés : Disponible pour référence ; les
employés doivent être tenus responsables de leurs actions.
• Environnement de travail positif : Décernez des récompenses adaptées aux objectifs
de l'entreprise ; encouragez la prise de décision collaborative ; donnez aux employés
le pouvoir de promouvoir les valeurs communes.
• Formation de sensibilisation à la fraude : Définissez ce qui relève de la fraude ;
comment signaler les incidents de fraude ; mettez en place un canal pour le
signalement des comportements répréhensibles.
• Sanctions : Procédez à des investigations rigoureuses des incidents présumés ;
prenez des mesures appropriées à l'égard des contrevenants ; contrôles pertinents
évalués et améliorés ; communication et formation afin de renforcer le Code
d'éthique.
5
Pour toutes les informations tirées de SAS 99 : Consideration of Fraud in a Financial Statement Audit
(Exhibit – Management Antifraud Programs and Controls: Guidance to Help Prevent, Deter and Detect
Fraud).
14. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
14
Rôle du professionnel anti-fraude
Dans le contexte de l'analyse du risque de fraude, le professionnel anti-fraude sera amené à
utiliser des analyses de risque traditionnelles en les appliquant au risque de fraude. Ce type
d'analyse qualitative de risque comprend quatre composantes standard5
:
1 Identification des actifs à protéger
Dans l'évaluation des risques de fraude interne, les actifs à identifier sont par exemple
l'argent liquide, les chèques, les crédits, les stocks, le matériel, etc. Affectez des degrés de
priorité aux actifs en fonction de leur importance pour l'organisation. À l'évidence, en
fonction du type d'entreprise, la liste des actifs et l'évaluation de leur importance pourra
varier. Par exemple, l'argent liquide sera un actif critique pour un magasin d'alimentation
mais ne fera généralement pas partie des actifs les plus importants pour une usine.
2 Identification des menaces pesant sur les actifs
Les menaces affectant les actifs financiers d'une organisation sont les profils de fraude ou
les actes de fraude perpétrés afin de détourner ou d'utiliser abusivement ces actifs. Les
profils de fraude interne les plus communs sont le détournement d'argent liquide avant
(« skimming ») et après son entrée dans les comptes, le détournement et l'usage abusif de
stocks et de matériel, la falsification de chèques, la fraude à l'achat et la fausse
facturation, la fraude salariale, la falsification de frais, les conflits d'intérêt, la corruption
et la falsification des états financiers.
3 Détermination de la probabilité d'incidence
L'expérience montre que la détermination de la probabilité d'incidence d'une perte
financière est plus un art qu'une science exacte. Le professionnel anti-fraude doit :
1) évaluer la probabilité de fraude au sein de l'organisation en fonction des contrôles
internes, des ressources affectées à la gestion de la fraude, du soutien apporté par le
management aux efforts de prévention de la fraude, et des standards éthiques de
l'organisation ;
2) rassembler tous les éléments empiriques disponibles quant à des fraudes au sein de
l'organisation, comme par exemple les rapports relatifs à des incidents survenus par le
passé, les pertes inexpliquées, les résultats d'audits antérieurs, ou encore des plaintes de
la part de clients ou de fournisseurs ;
3) rassembler les informations disponibles auprès d'autres organisations de taille et de
secteur d'activité comparable sur les pertes dues à des fraudes internes ;
15. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
15
4) consulter les études sur la fraude, par exemple la version récente du Report to the
Nation on Occupational Fraud and Abuse de l'ACFE, qui contient des informations
précieuses.
4 Détermination de l'impact des pertes
Le professionnel anti-fraude aura ici à nouveau recours aux sources d’information qui ont
servi pour l'évaluation de la probabilité d'incidence. En outre, certaines informations
complémentaires seront nécessaires, notamment la situation financière de l'entreprise, à
la valeur des actifs, à leur importance pour l'organisation et au chiffre d'affaires produit
par les actifs. Déterminez si la perte considérée aura un effet matériel sur les états
financiers de l'organisation.
Une fois que le professionnel anti-fraude a réuni les informations nécessaires à l'identification
des actifs à protéger, des menaces pesant sur ces actifs, de la probabilité d'une perte découlant
de ces menaces, et de l'impact d'une telle perte sur l'organisation, le moment est venu de
procéder à l'évaluation des contrôles et des mesures de prévention en place pour la protection
de ces actifs.
Les mesures préventives doivent être distinguées des contrôles. Leur fonction est d'empêcher la
fraude avant qu'elle ne se produise. Les mesures de contrôle, en revanche, ont pour vocation,
non seulement d'empêcher mais également de détecter la fraude et de dissuader les fraudeurs
de la poursuivre si elle s'est déjà produite ou si elle est en cours. Les mesures préventives et les
mesures de contrôle représentent deux aspects aussi importants l'un que l'autre pour la
réduction des opportunités de fraude et pour l'accroissement de la « perception de la
détection » chez les employés (c'est-à-dire la perception, pour le fraudeur potentiel, d'une forte
probabilité d'être découvert).
L'évaluation des mesures préventives et de contrôle nécessite une revue rigoureuse des règles
et des procédures comptables ainsi que des règles et des procédures relatives à la fraude, des
entretiens avec le management et avec les employés, des tests du respect des procédures de
contrôle, l'observation des activités de contrôle, la revue des rapports d'audit antérieurs et la
revue des rapports relatifs aux éventuels incidents de fraude déjà survenus et aux pertes et aux
épuisements de stock inexpliqués.
Lorsque l'évaluation des contrôles et de la prévention de la fraude sont achevés, il convient
d'effectuer des tests de vulnérabilité. Ensuite le professionnel anti-fraude formulera les
recommandations appropriées pour permettre au management de contrer les risques liés à la
fraude.
16. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
16
D'après Cook6
, il existe quatre approches de base pour gérer les risques :
1) Éviter le risque en éliminant un actif.
2) Transférer le risque en achetant une forme d'assurance contre le détournement ou le
vol.
3) Limiter le risque en mettant en œuvre des contre-mesures adéquates comme la
prévention et les contrôles financiers.
4) Assumer le risque si l'on estime que la probabilité d'incidence ou l'impact des pertes est
faible.
L'organisation peut également choisir de combiner les approches ci-dessus.
Compétences de base du professionnel anti-fraude
Le gestionnaire des risques qui s'occupe des questions de fraude doit posséder une bonne
panoplie de compétences de base et de compétences modernes. Si les compétences d'un bon
auditeur peuvent faciliter l'acquisition des nouvelles connaissances nécessaires à l'exécution des
tâches complexes, un bon professionnel anti-fraude se doit également de posséder des
compétences nouvelles et indépendantes de celles de l'auditeur.
Outre les connaissances comptables et d'audit, une excellente capacité de communication, des
compétences informatiques et la maîtrise de la nouvelle discipline émergente de l'examen de
fraude sont indispensables.
1 Compétences comptables et d'audit
Bien que les fraudes se déroulent par nature en dehors du système comptable, il n'en
reste pas moins que la plupart des fraudes en entreprise comprennent des aspects
comptables et font intervenir la manipulation ou la falsification de documents
comptables. En conséquence, il est indispensable au professionnel anti-fraude de disposer
d'outils d'audit et de comptabilité afin de procéder à l'examen d'un dossier de fraude. Un
excellent professionnel anti-fraude possède donc de très bonnes compétences d'audit,
une compréhension détaillée des systèmes comptables, des contrôles internes et des
principes comptables généralement admis (GAAP).
6
Cook, Conducting the internal fraud risk assessment, Fraud Magazine, mars/avril 2005.
17. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
17
2 Compétences de communication
La capacité à interagir de manière efficace avec les personnes revêt une importance
cruciale dans la lutte anti-fraude. Au cours du travail, le professionnel est typiquement
amené à rencontrer des gens pendant de courtes périodes de temps et avec un objectif
spécifique, à savoir d'obtenir des informations. L'interrogatoire des témoins et du sujet
représente un pan majeur d'une investigation de fraude classique. Afin de mener des
entretiens efficaces, il est nécessaire de posséder d'excellentes qualités orales et d'écoute.
Il est également très important de posséder de bonnes capacités d'expression écrite. Un
rapport bien écrit, qui peut jouer un rôle capital dans le succès d'une investigation, se doit
d'exprimer en langage simple un dossier techniquement complexe.
Allen Pinkerton7
explique que le professionnel se doit en outre de posséder des qualités
de prudence, de maintien de la confidentialité, d'inventivité, de persévérance, de courage
personnel, et par-dessus tout d'honnêteté.
3 Compétences informatiques
Puisque la plupart des systèmes et des archives comptables se trouvent désormais sous
forme électronique, les compétences informatiques constituent un actif essentiel dans la
boîte à outils du professionnel anti-fraude. L'analyse des données électroniques et les
techniques de data mining sont utilisées de manière routinière dans la plupart des
investigations de fraude. La connaissance de programmes comme ACL, IDEA, MS Access
ou Excel est maintenant indispensable à une revue efficace.
4 Compétences d'examen de fraude
L'une des certifications d'investigation de fraude les plus connues, et peut-être la
meilleure, est celle décernée par l'ACFE. Ce programme comprend l'évaluation de la
compréhension des signaux d'alarme (« red flags ») et du choix des indicateurs à
rechercher. L'étude de la section juridique du programme de l'ACFE, par exemple, aide à
comprendre la diversité des preuves qui peuvent intervenir dans une investigation. L'ACFE
étend à présent les options de la section légale afin de couvrir les législations d'autres
pays que les États-Unis, à mesure que la profession se développe. Puisqu'il est impératif
que toutes les investigations de fraude soient conduites de manière professionnelle,
éthique et légale, il est important de pouvoir s'appuyer sur une bonne compréhension de
l'environnement juridique, notamment en ce qui concerne les droits individuels du sujet
ou des autres parties intervenant dans le dossier. Après l'obtention de la désignation de
7
Pinkerton, cité dans le Fraud Examiners Manual, Introduction, Association of Certified Fraud
Examiners, 2005.
18. Dr Haluk F. GURSEL - mai 2006 –Copyrights : FRAUD Magazine, ACFE.
Réactualisation & Traduction : Frédéric Fougère (FIP France); et Francis Hounnongandji
18
Certified Fraud Examiner (CFE), cette formation générale est entretenue par le suivi
obligatoire de formation professionnelle continue afin de mettre continuellement à jour
les compétences acquises. Un code de conduite garantit en outre les valeurs éthiques du
professionnel anti-fraude.
Parmi les autres organismes proposant des certifications, figurent notamment l'American
College Of Forensic Examiners avec sa certification de Certified Forensic Accountant
(Cr.FA), et la National Association of CVAs avec ses certifications de Certified Forensic
Financial Analyst (CFFA) et de Certified Fraud Deterrence Analyst (CFD).
Perspectives
Une recommandation clef pour mieux combattre la fraude consiste à prôner la mise en place, la
régulation et le développement d'une discipline et d'une profession anti-fraude indépendante,
par l'établissement du cadre légal nécessaire par les régulateurs publics dans chaque pays.
De manière similaire à ce qui se passe pour les professionnels de l'audit, les nations disposeront
ainsi d'un ensemble de critères de certification pour cette nouvelle profession, critères reconnus
dans les documents légaux appropriés. Il est également judicieux de réglementer l'intervention
et la fonction de ces professionnels au sein du management des organisations, par exemple en
définissant un critère de nombre minimum de professionnels employés au sein des entités
d'une taille donnée.
Conclusion
Dans ce travail, on a cherché à illustrer le fait que la fraude représente un phénomène social et
constitue à ce titre un risque pour les activités des entreprises. On a également étendu cette
analyse afin de déterminer la place que prend le risque de fraude dans la réponse au risque.
L'analyse a montré que le risque de fraude devait impérativement être pris en compte par le
management. Par ailleurs, les auditeurs, qui ont traditionnellement la responsabilité de traiter
les problèmes de fraude, doivent maintenant assumer un rôle d'évaluation des contrôles anti-
fraude et des autres structures du programme mis en œuvre pour lutter contre la fraude. La
personne qui traitera la fraude sera un membre du management et possédera un ensemble
nouveau de qualités, notamment certaines compétences émergentes. On a présenté dans la
section finale la description des fonctions du professionnel anti-fraude et des qualifications
requises pour ce rôle.
En conclusion, nous assistons actuellement à l'émergence d'une nouvelle discipline anti-fraude,
émergence dans laquelle le management des entreprises a un rôle important à jouer. Cette
profession de la fraude mérite d'exister à part entière, et le moment est venu de la reconnaître.