La fraude et le contrôle interne Deuxième partie : concevoir des contrôles pour enrayer les menaces

Transcription

1 La fraude et le contrôle interne Deuxième partie : concevoir des contrôles pour enrayer les menaces Par EVERETT COLBY, CFE, FCGA Le présent document est le deuxième d une série de trois articles sur la fraude et le contrôle interne que M. Colby signera dans le Reper. L approche axée sur l évaluation des risques La protection des ordinateurs et des données Un environnement de contrôle efficace Depuis toujours, les sociétés se servent des contrôles internes pour s assurer de la fiabilité et de l exactitude de l information produite, pour renforcer et améliorer l efficience de l exploitation et pour favoriser la mise en œuvre des politiques et des stratégies établies par la direction. Dans le contexte commercial actuel, où les organisations doivent composer avec un nombre grandissant de risques et de menaces particulièrement en ce qui concerne la fraude, ces contrôles doivent être améliorés en vue de pouvoir également protéger les actifs de l organisation et préserver ses ressources vitales. Les mécanismes mis en place entrent souvent en conflit les uns avec les autres. Par exemple, les contrôles internes visant à préserver les actifs peuvent également réduire l efficience de l exploitation. Avant de concevoir ou d améliorer les contrôles internes, il importe donc d en examiner toutes les répercussions possibles. Dans la première partie, nous avons exposé les raisons pour lesquelles une organisation doit concevoir des contrôles internes ou améliorer ses contrôles en vue de se protéger contre les divers risques et menaces. Nous avons d ailleurs traité de quelques-uns de ces risques et de quelques-unes de ces menaces, et des raisons pour lesquelles il est si important de protéger les données. Dans la deuxième partie, nous traiterons de la conception de contrôles internes selon l approche axée sur l évaluation des risques. Nous nous pencherons en outre sur les contrôles internes utilisés dans un cadre informatique, lesquels peuvent aider à réduire au minimum le risque de perte découlant de fraudes. Nous conclurons le présent article par un exposé des éléments indispensables à un environnement de contrôle efficace. L approche axée sur l évaluation des risques Les contrôles internes ont tous des coûts et des avantages. Les coûts peuvent s exprimer sous la forme d imposition de délais de traitement qui nuisent à l efficacité de l exploitation, de coûts monétaires liés à l installation de serrures ou de systèmes de sécurité ou, encore, de coûts liés à la conception, à la mise en place et à l application des contrôles. Parmi les avantages découlant des contrôles internes, mentionnons la protection des actifs de l organisation et la production d une information fiable et exacte. Si le coût de la mise en place d un contrôle particulier est trop élevé par rapport aux avantages escomptés, il vous faut déterminer si ce contrôle doit effectivement être mis en place ou s il doit plutôt être allégé ou éliminé. Comme les avantages devraient, théoriquement, l emporter sur les coûts, il se révèle judicieux d analyser les contrôles en fonction des avantages qui peuvent en découler. Il faut donc établir l importance relative (l avantage) d un contrôle interne donné. Nous utiliserons, pour ce faire, l approche axée sur l évaluation des risques.

2 Suivant l approche axée sur l évaluation des risques, la conception des contrôles commence par l identification des menaces ou des risques auxquels l entreprise est exposée. Toutes les menaces potentielles, dont il a été question dans la première partie, doivent être prises en compte. Vous devez ensuite estimer les pertes que pourrait subir l entreprise si chacune des menaces et chacun des risques identifiés se matérialisaient, après quoi vous devez estimer le degré de probabilité associé à chaque risque et à chaque menace. Vous pouvez alors déterminer les contrôles à mettre en place pour prévenir ou atténuer le risque de perte associé à chaque type de menace et estimer le coût de la conception, de la mise en place et de l application de ces contrôles. Finalement, vous devez comparer le coût estimatif des contrôles avec les avantages escomptés (réduction ou prévention de la menace). Lorsque vous faites cette comparaison, vous devez tenir compte du degré de probabilité de réalisation de la menace établi à la troisième étape. Si, compte tenu de tous les facteurs qui précèdent, les avantages associés aux contrôles l emportent sur les coûts, vous procédez généralement à la mise en place des contrôles. Autrement, ils ne sont généralement pas mis en place. Exemple Voici, pour illustrer ce processus, un exemple portant sur la menace de destruction des systèmes de l entreprise par une inondation. (Tous les facteurs sont hypothétiques.) Vous estimez à environ $ la perte pouvant découler des dommages causés par une inondation. Ce montant tient compte de la perte de temps, de la destruction des données et des dommages causés au matériel. Pour établir la probabilité de réalisation de la menace, vous tenez compte du fait que les locaux occupés par votre entreprise se situent au troisième étage d un immeuble commercial. Cet immeuble se situe à plus de 50 kilomètres de la rivière ou du lac le plus proche, et il n existe aucune installation sanitaire sur votre étage et sur les étages supérieurs au vôtre. Vous avez en outre établi qu au cours des dix dernières années, il est tombé tout au plus cinq millimètres de pluie par année sur la ville dans laquelle se trouve l entreprise. À la lumière de ces facteurs, vous établiriez vraisemblablement que, bien qu une inondation risque d entraîner une perte importante pour votre entreprise, la probabilité de réalisation de la menace semble extrêmement faible. Il vous faut ensuite déterminer les types de contrôles à mettre en place pour prévenir ou atténuer le risque de perte lié à une inondation. Vous estimez que le coût de la conception, de la mise en œuvre et de l application de ces contrôles s établit à environ $. En dernière analyse, il est évident que le coût estimatif de $ est nettement inférieur à l avantage estimatif évalué à $. Normalement, il conviendrait de procéder à la mise en place des contrôles car les avantages l emportent sur les coûts. Cependant, comme la probabilité de réalisation de la menace est extrêmement faible, il serait probablement plus judicieux d affecter la somme de $ à la mise en place d autres contrôles qui permettront de prévenir ou d atténuer des menaces plus susceptibles de se concrétiser. L identification de l ensemble des menaces auxquelles l entreprise est exposée peut se révéler un exercice fastidieux. En outre, l estimation des pertes potentielles et des probabilités de réalisation des menaces n est pas une science exacte. Il ne faut pas oublier qu il s agit d estimations et de probabilités qui pourraient ne pas correspondre à la réalité. Sachez en outre que la conception d un système qui préviendrait ou atténuerait les pertes liées à toutes les menaces auxquelles l entreprise est exposée serait fort onéreuse et réduirait à zéro l efficacité de l exploitation. Il faut en revanche garder à l esprit qu aucune entreprise n est parfaitement à l abri de toutes les menaces. En effet, toutes les entreprises sont exposées à des menaces, particulièrement en ce qui a trait à la fraude. Cela dit, même si le processus de planification peut s avérer fastidieux, les avantages qui en découlent l emportent nettement sur les coûts qui découlent de l absence de planification. Après tout, les dirigeants d entreprise ne planifient jamais les échecs, mais c est souvent l absence de planification qui les mène à l échec. pour enrayer les menaces 2

3 Voici un résumé des étapes à suivre lorsque vous concevez vos contrôles selon l approche axée sur l évaluation des risques : Menaces identifier et énumérer tous les événements indésirables qui pourraient endommager vos systèmes, vos données ou votre organisation. Exposition estimer le montant de la perte potentielle qui serait subie si chaque menace énumérée se réalisait. Risque estimer la probabilité de réalisation de chaque menace. Contrôles identifier et examiner tous les contrôles qui aideraient à empêcher la menace de se réaliser. Coûts estimer les coûts liés à la mise en place des contrôles. Comparaison comparer les coûts, les avantages et les probabilités de réalisation afin de déterminer si les contrôles devraient être mis en place. La protection des ordinateurs et des données Comme il a été mentionné précédemment, la sécurité des systèmes et des données d une organisation constitue une priorité. Dans un cadre informatique, les contrôles internes sont conçus en fonction de l étape à laquelle ils s inscrivent dans le cycle de traitement des données. Les contrôles sur les entrées visent à assurer que seules des données exactes, valides et dûment autorisées sont saisies dans le système. Par exemple, l ordinateur doit être programmé de manière à rejeter les opérations d achat dont le montant dépasse un seuil préétabli si elles n ont pas été dûment autorisées. Les contrôles sur le traitement visent à assurer l intégralité et l exactitude des opérations traitées et la mise à jour des dossiers et des registres. Les contrôles sur le stockage permettent d assurer que les données mises en mémoire ne seront pas perdues, corrompues ou utilisées à mauvais escient. Il peut s agir, par exemple, des copies de sauvegarde régulières des données et des fichiers. Finalement, les contrôles sur les sorties permettent d assurer que les extrants du système sont adéquatement contrôlés. Il peut s agir, dans ce cas, de faire en sorte que les employés qui saisissent les opérations bancaires dans le système n aient pas accès aux données produites sur les rapprochements bancaires. La mise en œuvre des contrôles internes peut se révéler plus difficile dans un cadre informatique que dans un cadre commercial traditionnel. Voici une liste des contrôles à envisager pour tous les systèmes informatiques. Liste des contrôles à mettre en place dans un cadre informatique établissement d un plan de sécurité séparation des fonctions incompatibles au sein du système contrôles visant l élaboration de projets contrôles d accès physique contrôles d accès logique contrôles visant la transmission des données normes de documentation réduction des temps d arrêt du système plans de reprise après sinistre protection des ordinateurs personnels et des réseaux client-serveur protection des ordinateurs portatifs contrôles visant Internet amélioration des méthodes de détection des fraudes Le plan de sécurité doit mettre l accent sur les contrôles qui visent à atténuer ou à prévenir les risques liés à la fraude, à la perte des ressources du système et à la protection des données. pour enrayer les menaces 3

4 Pour établir ce plan, il faut se demander qui doit avoir accès à quoi. Ensuite, il faut déterminer quand l accès doit être permis et dans quel système l information doit être conservée. Si possible, il faut désigner, dans le plan de sécurité, un responsable de la sécurité qui ne fait pas partie du service des technologies de l information (TI). Ce responsable devrait être un haut dirigeant de la société qui est indépendant. La séparation des tâches incompatibles vise avant tout à atténuer le risque de fraude. Plus la séparation des tâches est grande, plus elle est efficace. Il faut envisager de diviser les pouvoirs entre tous les membres du service des TI et des groupes d utilisateurs externes. Les contrôles d accès physique aident à atténuer ou à prévenir le risque de fraude tout en protégeant les actifs de l organisation contre d autres risques et dommages. Il est souhaitable de placer les serveurs des réseaux dans des pièces fermées à clé et de restreindre l accès à ces pièces. Il faut aussi envisager de faire signer un registre aux visiteurs, à la réception, lorsqu ils arrivent et lorsqu ils partent. L installation d un système de sécurité peut également s avérer judicieuse. Enfin, il faut restreindre l accès aux lignes téléphoniques sécurisées. Les contrôles d accès logique permettent d atténuer ou de prévenir le risque de fraude en protégeant les logiciels, les programmes, les données et les autres ressources du système. Les de mots de passe, les NIP et les cartes d identification ne sont que quelques exemples de contrôles d accès logique qui devraient être utilisés. Les contrôles visant la transmission des données aident à prévenir les accès non autorisés au système ou aux données transmises. Ils aident également à atténuer le risque de défaillance du système et les erreurs de transmission des données. Les entreprises devraient surveiller leurs réseaux, faire des copies de sauvegarde de leurs composantes et s assurer que les réseaux sont conçus de manière à optimiser la capacité de traitement. Elles devraient également envisager l utilisation de trajets multiples dans les réseaux, du chiffrement des données et des certificats d utilisateurs pour la transmission des données. L utilisation d un système de connexion par rappel constitue un bon exemple de contrôle pouvant aider à prévenir les accès non autorisés au système. Les normes de documentation peuvent aider à isoler les faiblesses dans la conception et le fonctionnement des systèmes et à empêcher les modifications au système à proprement parler. La réduction des temps d arrêt du système vise essentiellement à prévenir les défaillances du système. Il est fortement recommandé de veiller régulièrement à la maintenance préventive des composantes clés du matériel et d opter pour des systèmes d alimentation sans interruption. Les plans de reprise après sinistre font état des mesures à prendre en cas d interruption prolongée des activités commerciales ou du traitement des données par suite d une catastrophe naturelle, d un incendie ou d une inondation, de sabotage ou de vandalisme. Il faut envisager de nommer un coordonnateur qui sera chargé de gérer le plan de reprise en cas de sinistre. Ce plan devrait être revu périodiquement et mis à jour en fonction des changements dans l environnement et de l augmentation de la probabilité de réalisation de certaines menaces. Il faut également envisager de conserver des copies de sauvegarde des données en lieu sûr à l extérieur de l entreprise. La protection des ordinateurs personnels et des ordinateurs portatifs vise à prévenir les dommages qui pourraient être causés aux ordinateurs mêmes et aux données qu ils contiennent ainsi que les vols de matériel. Elle vise également à atténuer le risque d accès non autorisé à l information confidentielle. De nombreux contrôles physiques peuvent être utilisés, notamment les étiquettes d identification du matériel (certaines sociétés font graver leur dénomination, leur logo et leur numéro de téléphone sur leurs ordinateurs portatifs), le pour enrayer les menaces 4

5 verrouillage des disques durs, les restrictions quant au stockage ou au téléchargement de données ou, encore, à l installation de logiciels personnels sur les ordinateurs du bureau ou à la copie des logiciels du bureau pour l usage personnel des employés. Il convient également d envisager le chiffrement des données et l utilisation de mots de passe pour protéger les systèmes. Comme la plupart des entreprises ont désormais accès à Internet et s en servent de plus en plus pour se lancer dans le commerce électronique, les contrôles visant Internet doivent être considérés comme hautement prioritaires. Il est fortement recommandé d avoir recours aux mots de passe, au chiffrement des données, aux pare-feu et aux logiciels anti-virus, de limiter l accès des employés à Internet aux strictes fins de leurs fonctions et de s assurer que le serveur Internet n est pas relié aux autres systèmes informatiques. Internet est largement reconnu comme la plus grande menace criminelle de l avenir et il est essentiel d en tenir compte dans le cadre de la conception et de la mise en place des contrôles internes. L amélioration des méthodes de détection des fraudes doit s inscrire dans un processus continu. Ce type de contrôle peut aider à détecter ou à prévenir les fraudes et les autres erreurs. Il peut être souhaitable de procéder à des vérifications «ponctuelles» ou de mettre en place une ligne téléphonique fraude-alerte. Quelle que soit la catégorie de contrôles que vous souhaitez concevoir ou améliorer, vous devez absolument vous assurer que le contrôle en question pourra effectivement atténuer ou prévenir le risque associé aux diverses menaces, particulièrement les menaces de fraude. À toutes les étapes du processus, qu il s agisse de la planification, de la conception ou de la mise en place des contrôles, il incombe à la direction générale d assurer la protection des systèmes et des données de l organisation. Il va sans dire que, une fois terminées la planification, la conception et la mise en place, les contrôles doivent être appliqués pour être efficaces. Le meilleur moyen d y arriver consiste à mettre en place un environnement de contrôle efficace. Un environnement de contrôle efficace La direction générale est responsable non seulement de la protection des systèmes et des actifs de l organisation, mais également de l établissement d un environnement de contrôle efficace dans lequel sont exercées toutes les activités. Un environnement de contrôle efficace tient compte de nombreux facteurs, notamment les suivants : l engagement de la direction à l égard de l intégrité et des valeurs éthiques la philosophie et le style de gestion de la direction la structure organisationnelle le comité de vérification du conseil d administration les méthodes d attribution des pouvoirs et des responsabilités les politiques et les pratiques en matière de ressources humaines les influences externes L importance accordée par la direction à l intégrité et aux valeurs éthiques constitue probablement la composante la plus importante de l établissement d un environnement de contrôle efficace. La direction générale doit non seulement véhiculer les valeurs éthiques et le principe d honnêteté, mais elle doit également les mettre en pratique. Pour être en droit d attendre un comportement éthique de son personnel, elle doit d abord démontrer qu elle souscrit à des valeurs éthiques. En d autres termes, elle doit donner l exemple. Pour promouvoir ces valeurs, la direction peut, notamment, récompenser activement et systématiquement les comportements honnêtes et la bonne conduite. La meilleure pratique consiste alors à établir un code d éthique de l entreprise. Dans son code d éthique, la direction doit établir des politiques claires qui décrivent explicitement les comportements honnêtes et les comportements malhonnêtes. pour enrayer les menaces 5

6 Les politiques doivent traiter expressément des situations nébuleuses ou équivoques, comme les conflits d intérêts et l acceptation de cadeaux de la part de clients ou de fournisseurs. Il ne faut pas oublier que les employés malhonnêtes ont tendance à rationaliser leur comportement. Lorsque l organisation établit des politiques qui décrivent explicitement les comportements malhonnêtes, il devient plus difficile, voire impossible, de justifier ces comportements. Appuyée par un code de déontologie qui souligne l importance de l intégrité et des valeurs éthiques, la culture organisationnelle aidera grandement à atténuer le risque de fraude à l interne. La direction ne doit surtout pas supposer que tous les employés se représentent l honnêteté de la même façon. En se contentant simplement de récompenser l honnêteté ou de sanctionner les actes malhonnêtes sans expliquer les principes sur lesquels reposent ses décisions, elle ne fera qu accroître les inconséquences dans la conduite de son personnel. La direction est également responsable de l application de sa philosophie et de son style de gestion. Si elle ne tient pas compte des contrôles internes ou si elle adopte un comportement contraire à l éthique, le personnel sera moins résolu à atteindre les objectifs de contrôle établis. Il sera en outre plus susceptible d adopter les modèles de comportement de la direction. Par exemple, si la direction cherche à manipuler les mesures de rendement comme le bénéfice net en vue de rehausser son image, les membres du personnel seront eux aussi plus portés à vouloir manipuler les résultats en vue de rehausser leur propre image. Ce comportement leur paraîtra acceptable. Pour que l environnement de contrôle soit efficace, la direction doit donner l exemple et agir de façon responsable. Pour favoriser l efficacité de l environnement de contrôle, la mise en place d un comité de vérification solide et indépendant, relevant du conseil d administration, peut également se révéler fort utile. Le comité de vérification doit veiller au respect des lois, de la réglementation et des normes applicables à la société. Il est également responsable de la surveillance de la structure du contrôle interne de la société et de la présentation de l information financière. La surveillance exercée par le comité de vérification peut d ailleurs se révéler un gage important de l intégrité de la direction et du respect des politiques et des procédures. Elle permet en outre de rehausser la confiance des investisseurs dans l entreprise. Il faut garder à l esprit que l efficacité de l environnement de contrôle ne découle pas des contrôles à proprement parler, mais bien de l adhésion de la direction aux politiques et aux contrôles en place. Si les contrôles sont dûment appliqués et que la direction n y passe pas outre, les risques et les menaces peuvent être en grande partie atténués ou éliminés. Comme il a été mentionné dans la première partie, les CGA peuvent participer à la conception des contrôles internes. En effet, ils peuvent aider la direction à concevoir des contrôles internes au moyen de l approche axée sur l évaluation des risques. Ils peuvent également aider la direction à réunir les données voulues pour l application de cette méthode et à analyser ces données. Il importe de ne pas perdre de vue les objectifs des contrôles internes à concevoir et à mettre en place. Or, de par leur formation, les CGA possèdent une excellente connaissance des objectifs à atteindre. Finalement, qu il agisse à titre de membre de l équipe de direction ou à titre de comptable ou de vérificateur externe, le CGA peut jouer un rôle crucial en aidant la direction à établir un environnement de contrôle efficace. Le Code des principes d éthique et règles de conduite de CGA-Canada, qui fournit des indications sur les comportements éthiques que doivent adopter les CGA, est similaire au code de bonne conduite recommandé aux entreprises. L objectif du Code est donc le même que l objectif qui sous-tend le code de bonne conduite que toute entreprise devrait établir. Grâce à votre compréhension approfondie du Code des principes d éthique et règles de conduite, vous pourrez donc aider la direction à circonscrire les composantes essentielles du code de bonne conduite de l entreprise. pour enrayer les menaces 6

7 Dans la première partie, nous avons exposé les raisons pour lesquelles une organisation doit concevoir des contrôles internes ou améliorer ses contrôles pour se protéger contre les divers risques et menaces. Nous avons d ailleurs traité de quelques-uns de ces risques et de ces menaces, et des raisons pour lesquelles il est si important de protéger les données. Dans le présent article, nous avons traité de la conception de contrôles internes selon l approche axée sur l évaluation des risques. Selon cette approche, l organisation commence par identifier les menaces auxquelles elle est exposée. Elle tente ensuite d estimer la probabilité de réalisation des risques identifiés, après quoi elle estime les pertes qui pourraient être subies si le risque se matérialisait. Finalement, elle estime les coûts associés à la conception et à la mise en place des contrôles visant à atténuer ou à prévenir les risques et compare ces coûts avec les avantages escomptés. En règle générale, si les avantages l emportent sur les coûts (et compte tenu de degré de probabilité de réalisation de la menace), le contrôle est mis en place. Nous avons ensuite examiné les contrôles internes utilisés dans un cadre informatique et leurs objectifs, puis nous nous sommes penchés sur les éléments clés d un environnement de contrôle efficace. L établissement d un code de bonne conduite de l entreprise s est révélé être l un des plus importants de ces éléments, sinon le plus important. Dans la troisième partie, nous discuterons des stratagèmes de fraude interne les plus courants et des indices de leur existence. Il est plus facile de concevoir des contrôles visant à atténuer les risques de fraude lorsqu on comprend la manière dont la fraude est perpétrée. Praticien exerçant en cabinet, Everett Colby, CFE, FCGA, est propriétaire de l un des bureaux de Porter Hétu International, l un des 30 premiers cabinets comptables en importance du Canada selon le magazine The Bottom Line. M. Colby est également propriétaire de North American Forensic Accountants and Fraud Investigators Inc., un cabinet de juricomptabilité. Il est membre du conseil d administration de CGA-Ontario, président du Comité d étude de la politique fiscale et budgétaire de CGA-Canada et membre à vie de l International Association of Certified Fraud Examiners. M. Colby anime régulièrement des ateliers, au Canada et à l étranger, sur des sujets comme la fraude, le blanchiment d argent, les sanctions civiles et l éthique dans le contexte commercial actuel. Ce document est le deuxième d une série de trois articles sur la fraude et le contrôle interne que M. Colby signera dans le Reper. pour enrayer les menaces 7