Le rôle de l audit interne dans la prévention, la détection et l investigation de la fraude

Transcription

1 Le rôle de l audit interne dans la prévention, la détection et l investigation de la fraude Dominique Perrier Jean-Pierre Hottin Cyril Perrault *connectedthinking

2 Introduction Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Focus : les outils et problématiques informatiques Le rôle de l audit interne Conclusion Page 2

3 Introduction Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Focus : les outils et problématiques informatiques Le rôle de l audit interne Conclusion Page 3

4 Introduction La fraude: une préoccupation croissante des départements d d audit interne Enquête PwC 2008 sur les pratiques de l audit interne: 83% des personnes interrogées considèrent la maîtrise des systèmes d information, la détection et l investigation de la fraude comme des compétences prioritaires pour les équipes d audit interne L enquête PwC «Internal Audit 2012»: Anticipation d une responsabilité croissante des équipes d audit interne sur les sujets relatifs à la fraude 1. Audit en continu 90% 2. Audit du processus ERM 77% 3. Audit des opérations externalisées et délocalisées 75% 4. Détection de la fraude 66% 5. Evaluation du risque de fraude 66% Investigations suite à une fraude 44% Page 4

5 Introduction Le rôle de l audit l interne en matière de fraude: ce que disent les normes (1/2) Normes 1210.A2 de l IFACI «L auditeur interne doit posséder des connaissances suffisantes pour identifier les indices d une fraude, mais il n est pas censé posséder l expertise d une personne dont la responsabilité première est la détection et l investigation des fraudes» Page 5

6 Introduction Le rôle de l audit l interne en matière de fraude: ce que disent les normes (2/2) Modalités Pratiques d Application de l IFACI 1210 A2 1: Prévention, détection et évaluation des risques de fraude - Mener ou s appuyer sur l évaluation des risques de fraude réalisés par le management - Tenir compte des risques de fraude pour évaluer la pertinence des contrôles et déterminer les travaux d audit à réaliser - Posséder une connaissance suffisante pour déceler les indices d une fraude éventuelle («red flags) - Faire preuve de vigilance dans les situations propices à la fraude 1210 A2 2: Enquête, reporting, résolution et communication - Disposer du niveau de compétences nécessaire aux enquêtes - Assister le management dans la mise en œuvre d actions disciplinaires et pour éviter de nouveaux cas de fraude - Apporter assistance dans la définition d une communication interne ou externe - Formuler une opinion sur le système de contrôle interne relatif à la fraude Page 6

7 Introduction Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Focus : les outils et problématiques informatiques Le rôle de l audit interne Conclusion Page 7

8 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Mise en place d un d programme anti-fraude cadre conceptuel Le cercle «vertueux» PwC Environnement de contrôle Appréciation des risques de fraude Réponses aux soupçons/ cas avérés Audit de fraude Revue de l efficacité des contrôles Page 8

9 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude DEMARCHE D APPRECIATION D DES RISQUES 1. Constituer l équipe 2. Organiser les travaux 3. Identifier les risques inhérents sur la base de scenarios 4. Identifier et évaluer les contrôles 5. Décider des actions à entreprendre Page 9

10 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude APPRECIATION DU RISQUE Constitution de l équipe Auditeurs internes Management, opérationnels et comptables, Juridique & Compliance Experts externes (le cas échéant) Mise en place du projet Etendue, modalités de pilotage, livrables Page 10

11 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude APPRECIATION DU RISQUE Identification des scénarios Souvent sous forme d ateliers à partir : de cas classiques des particularités du secteur des spécificités du groupe de l historique Avec la contribution de tous les membres de l équipe Page 11

12 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude APPRECIATION DU RISQUE Le triangle de la fraude : 3 conditions favorisant la fraude Motivation / Pression Le management ou les employés doivent avoir une motivation ou subir une pression qui les poussent à commettre une fraude Opportunité Existence de circonstances - par exemple, l absence de contrôles, l inefficacité des contrôles en place ou la possibilité pour le management de contourner les contrôles qui donnent l opportunité de commettre une fraude. Rationalisation / Dissimulation Justification morale de l acte de fraude. Les personnes impliquées mettront en place des mesures pour dissimuler la fraude (falsification des documents, déformation de l information transmise, collusion avec le management, employés et tiers, contournement de contrôles par le management.) Page 12

13 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude APPRECIATION DU RISQUE Les réflexes à avoir Identifier les sources de pression Rémunérations variables importantes Direction centrée sur le développement commercial et les résultats Filiale acquise récemment avec dirigeant historique maintenu et, le cas échéant, clause d earn-out Rumeurs de train de vie important d un dirigeant Interventions dans des pays où la corruption est fréquente Page 13

14 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude APPRECIATION DU RISQUE Les réflexes à avoir (suite) Identifier les opportunités / prendre en compte l environnement de contrôle Faiblesse de la fonction comptable, mauvaise qualité du reporting. Manque de contrôles RH (congés, recrutement ) Résultats arrêtés par les opérationnels sur les contrats à long terme avec peu de contrôle financier Manque de contrôle sur la signature des contrats et leurs conditions, y compris la rémunération d intermédiaires Manque de contrôle sur les frais généraux, manque d appel d offres sur les fournisseurs Insuffisance de séparation des fonctions et possibilité de contournement des contrôles par la Direction Situation comptable non maîtrisée (comptes non justifiés, arrêtés tardifs ) Page 14

15 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude APPRECIATION DU RISQUE Identifier les contrôles Exemple Business Unit Type de fraude Scénario Contrôles anti-fraude Prévention Détection Business Unit A Corruption/ détournement Baisse du prix de vente pour un client par un commercial Restriction d accès pour les changements de prix Reporting sur les changements de prix dans le master file Politique d autorisation des changements de prix Revue du management systématique en cas de prix non standard Page 15

16 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude APPRECIATION DU RISQUE Traitement du risque résiduel - Les différentes alternatives Actions prévenant l occurrence des risques Cession de l activité Désengagement de l opération Interdiction de pratiques Actions limitant la probabilité d occurrence ou l impact Suivi budgétaire Sensibilisation et responsabilisation Mise en place de limites Plans de continuité Actions visant à transférer les pertes ou la responsabilité sur des tierces parties Assurance Externalisation Couvertures Décision en connaissance de cause de supporter l impact d un événement qui surviendrait Quelle que soit la solution, nécessité d un suivi / pilotage Page 16

17 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude REVUE DE L EFFICACITL EFFICACITÉ DES CONTRÔLES (COMPLIANCE) L efficacité des contrôles permettant de réduire le risque de fraude est vérifiée par les opérationnels / comptables / contrôleurs internes / départements compliance Objectif : identifier les contrôles inopérants (déficience temporaire du dispositif, contournement du management). Indicateurs de risques Audit de fraude en cas d anomalie Page 17

18 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude REVUE DE L EFFICACITE L DES CONTRÔLES (COMPLIANCE) Les réflexes à avoir Quelques indicateurs Evolution anormale des résultats sur contrats ou des frais généraux par rapport au budget ou par rapport aux autres entités du groupe Présence de comptes non analysés / non rapprochés Clients anciens sans règlement Explications confuses / contradictoires sur les anomalies Dirigeant ou DAF omniprésent / charismatique Evolution de la trésorerie déconnectée des résultats comptables Rumeurs, lettres anonymes Page 18

19 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude AUDITS DE FRAUDE Caractéristiques Action préventive (pas de soupçon spécifique) Sur la base des zones de risques résiduelles et des zones où les contrôles ne sont pas efficaces Des procédures adaptées Revues analytiques spécifiques Entretiens Tests «non prévisibles» Tests informatiques Page 19

20 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude AUDITS DE FRAUDE Une approche spécifique Objectif : trouver des anomalies, d où une approche très différente de celle de l audit interne ou externe Challenge des données et non validation (recoupements multiples, analyses chronologiques ) Application de la règle du 1% et non celle des % (centrage sur les exceptions) Exemple des factures fournisseurs Page 20

21 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude AUDITS DE FRAUDE Une approche spécifique (suite) En faisant attention aux idées reçues Le fraudeur est souvent une personne : Plutôt sympathique et appréciée par sa hiérarchie Qui dispose d une ancienneté importante Qui souvent est surchargée voire mal organisée dans son travail Qui prend peu de vacances De ce fait, le fraudeur : A la confiance de sa hiérarchie Connaît parfaitement les systèmes et les contrôles Ne laisse pas l opportunité à d autres personnes de prendre la main sur son travail Page 21

22 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude REPONSE AUX SOUPÇONS ONS / CAS AVERES Un dispositif d investigation doit être mis en place pour traiter de manière systématique : Les soupçons (rumeurs, whistle-blowing ) Les fraudes avérées de manière plus ou moins discrète selon les cas L investigation doit permettre D identifier le schéma de fraude (ou vérifier l absence de fraude) De comprendre les responsabilités, les services impliqués De déterminer la période concernée, les montants en cause Le processus inclut la remontée des résultats au niveau comité d audit / conseil d administration Page 22

23 Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude REPONSE AUX SOUPÇONS ONS / CAS AVERES Les remèdes Actions en justice Actions de recouvrement Actions de prévention Compléter le dispositif de contrôle anti-fraude sur la base des cas relevés (utilisation de l expérience) Information / communication Page 23

24 Introduction Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Focus : les outils et problématiques informatiques Le rôle de l audit interne Conclusion Page 24

25 Focus : les outils et problématiques informatiques POINTS D ATTENTION D IT - PREVENTION Exemple du cas Mécano Les contrôles informatiques («inhérents» ou «automatiques») : un pré-requis essentiel et évident mais souvent non traité suffisamment en profondeur Exemples de thèmes nécessitant la mise en œuvre de mesures préventives : Gestion des habilitations Conception et paramétrage des applications Configuration et maintenance des briques techniques (bases de données, systèmes d exploitation, équipements réseau, etc.) Sécurité physique Page 25

26 Focus : les outils et problématiques informatiques POINTS D ATTENTION D IT - DETECTION Mécanismes d alertes automatiques Contrôles de nature détective et automatisée Revues de données ciblées et ponctuelles Permet d automatiser des contrôles afin de ne pas se focaliser que sur la revue d un échantillon de taille limitée Approche recommandée par le standard SAS 99 Quelques exemples simples Au niveau des processus d achat, de paie, de gestion des stocks, etc. Page 26

27 Focus : les outils et problématiques informatiques POINTS D ATTENTION D IT - INVESTIGATION Retour sur le cas Mécano Des contrôles préventifs insuffisants Détection d anomalies au cours d une revue ponctuelle Investigation de la fraude Aspects méthodologiques Mesures conservatoires au moment de la découverte de la fraude Modalités de duplication des traces Outils d analyse spécifiques Cas particulier où il est envisagé de porter l affaire en justice Rôle de l huissier de justice Importance de la charte utilisateur Au besoin, services de Police compétents : BEFTI, OCLCTIC Page 27

28 Introduction Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Focus : les outils et problématiques informatiques Le rôle de l audit interne Conclusion Page 28

29 Le rôle de l Audit Interne Quel rôle pour l audit l interne dans la démarche? d Pour mener à bien sa mission et fournir à l organisation une assurance raisonnable sur le degré de maîtrise de ses opérations, l audit interne peut avoir un rôle actif à différents niveaux de la démarche. Le niveau d intervention de l audit interne dépendra des attentes des parties prenantes et du rôle attribué à la fonction dans l organisation. Type d interventions possibles Animation de la démarche et coordination d experts Missions de conseil (assistance méthodologique, formation) Travaux de terrain (test des contrôles, détection, investigations) Communication et restitution Page 29

30 Le rôle de l Audit Interne Le rôle général g de l audit l interne dans la démarched Missions Missions similaires similaires et et proches proches des des missions missions traditionnelles traditionnelles de de l audit l audit interne interne Environnement de contrôle Appréciation des risques de fraude Réponses aux soupçons/ cas avérés Audit de fraude Revue de l efficacité des contrôles Missions Missions plus plus spécifiques spécifiques Page 30

31 Le rôle de l Audit Interne Quelques enjeux importants (1/2) Indépendance et objectivité Clarifier les rôles et les responsabilités (charte audit, charte projet, communications) Compétence et professionnalisme Acquisition des compétences (métier, pays, IT, investigation,..) Revue des fonctions en charge Page 31

32 Le rôle de l Audit Interne Quelques enjeux importants (2/2) Efficacité de la démarche Capitaliser sur l existant Promouvoir l utilisation de méthodes et outils (traitement données, audit et contrôle en continu) Approche par les risques Intégration avec plan audit/programmes de travail Pertinence de la communication/restitution Périmètre d intervention Nature de l opinion Page 32

33 Introduction Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Focus : les outils et problématiques informatiques Le rôle de l audit interne Conclusion Page 33

34 Conclusion PLAN D ACTIONS D POUR L AUDIT L INTERNE Clarifier les attentes des parties prenantes vis-à-vis de la fraude et valider le support du top management Adapter, si nécessaire, la charte d audit interne concernant notamment les missions de conseil de l Audit Interne Participer à et/ou piloter l identification des risques de fraude et des scénarios propres à l activité et aux contextes locaux Les prendre en compte dans la définition du plan d audit et dans les travaux à mener Identifier les techniques et outils pouvant être utilisés Identifier et compléter les compétences: En interne: auprès des experts métiers, de la Direction informatique et sécurité de l information, de la Direction du contrôle interne En externe auprès des d experts de la fraude. Page 34

35 Questions / réponsesr Page 35

36 Pour en savoir plus Contacts : Dominique Perrier (dominique.perrier@fr.pwc.com) Jean-Pierre Hottin (jean-pierre.hottin@fr.pwc.com) Cyril Perrault (cyril.perrault@fr.pwc.com) Page 36

37 Annexes Page 37

38 Annexe 1 Mise en place d un d programme anti-fraude cadre conceptuel Le cercle «vertueux» PwC Page 38

39 Annexe 2 APPRECIATION DU RISQUE Qu est-ce qu une fraude? Définitions de la fraude «Acte commis de mauvaise foi pour tourner les règles légales et lésant les droits de la collectivité ou l intérêt personnel d un cocontractant ou d un tiers». «Acte volontaire commis par une ou plusieurs personnes faisant partie de la Direction ou des employés de l entité, ou par des tiers, ayant pour objectif de déroger à des règles ou des procédures prescrites, à des fins illégitimes, ayant pour conséquence d altérer les comptes ou encore de dissimuler le non-respect des textes légaux et réglementaires» (CNCC) Les fraudes financières Les détournements d actifs et abus divers Fraudes comptables et financières Corruption (pour obtenir des revenus ou réduire les coûts) Page 39

40 Annexe 3 LA FRAUDE ET L AUDIT L INTERNE Les grandes étapes d une démarche de prévention, de détection et d investigation de la fraude Les contrôles sont-ils documentés? oui Ont-ils été testés de manière objective? oui Les résultats sont-ils bien documentés? non non non Documentation des contrôles Réalisation de tests sur les contrôles Redéfinition des process anti-fraude et contrôles non Les contrôles sont-ils efficaces? oui Contrôles anti-fraude Page 40

41 Merci All rights reserved. refers to the network of member firms of International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of.