La fraude et le contrôle interne Première partie : l importance des contrôles



Documents pareils
Lignes directrices à l intention des praticiens

Gestion des risques de fraude

Risques liés aux systèmes informatiques et de télécommunications

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Norme ISA 330, Réponses de l auditeur à l évaluation des risques

Sécurité. Tendance technologique

Politique de sécurité de l actif informationnel

Guide de travail pour l auto-évaluation:

Conseil de recherches en sciences humaines du Canada

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Impartition réussie du soutien d entrepôts de données

Vérification des procédures en fin d exercice

Accord d Hébergement Web Mutualisé

Concevoir un programme de gestion proactive des risques

Annexe VI au Protocole au Traité sur l Antarctique relatif à la protection de l environnement

RECOMMANDATIONS PROPOSÉES

Veuillez lire les présentes modalités et conditions du service (les «CONDITIONS») avant d utiliser le présent site.

Commentaires sur le projet de lignes directrices (G3) pour l évaluation de la durabilité de la Global Reporting Initiative

Document de présentation

Gestion de la sécurité de l information par la haute direction

Note d orientation : La simulation de crise Établissements de catégorie 2. Novembre This document is also available in English.

Gestion du risque de change

NPT/CONF.2010/PC.III/WP.39

IFAC Board. Prise de position définitive. Mars Norme internationale d audit (ISA)

GUIDE DE L UTILISATEUR CONDITIONS LÉGALES

NORME INTERNATIONAL D AUDIT 550 PARTIES LIEES

Objet : Commentaires relatifs à l exposé-sondage IES 6, Évaluation de la compétence professionnelle (Assessment of Professional Competence)

La conformité et la sécurité des opérations financières

Politique de gestion des risques

Info-assurance Séance d information de l IASB du 19 mars 2015

Outil d autoévaluation LPRPDE. Loi sur la protection des renseignements personnels et les documents électroniques

Conseil économique et social. Document établi par le Bureau central de statistique d Israël

COMMENTAIRES. du Regroupement des cabinets de courtage d assurance du Québec. présentés à l Autorité des marchés financiers

Traitement de Visa Débit

CONVENTION D UNIDROIT SUR LE CREDIT-BAIL INTERNATIONAL (Ottawa, le 28 mai 1988)

Audits de TI : informatique en nuage et services SaaS

Programme de protection des passagers de Transports Canada

Conception d une infrastructure «Cloud» pertinente

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Politique et Standards Santé, Sécurité et Environnement

Tous risques de responsabilité Experts-Comptables

GENWORTH FINANCIAL CANADA PROPOSITION PRÉBUDGETAIRE OCTOBRE 2006

T : F : info@cms-bfl.com Neuilly-sur-Seine, le 14 décembre 2011

Violence au travail Un organisme national

ECAP : Le niveau Accréditation du programme d études des comptables généraux accrédités

La gestion des risques en entreprise de nouvelles dimensions

L ASSOCIATION DES COMPTABLES GÉNÉRAUX ACCRÉDITÉS DU CANADA. Normes d accès à l exercice en cabinet privé et de maintien du statut Version 2.

RÈGLEMENT N O 9. Règlement sur l utilisation des actifs informatiques et de télécommunication. du Cégep de l'abitibi-témiscamingue

Vous êtes. visé. Comment diminuer les risques et les impacts d une agression en milieu bancaire

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Norme ISA 260, Communication avec les responsables de la gouvernance

Écoutez ce qui se dit sur l épargne-retraite au Canada

Banque Zag. Troisième pilier de Bâle II et III Exigences de divulgation. 31 décembre 2013

Prise en charge des cinq plus gros défis du service Cloud

Opérations entre apparentés

CNAC. Appel à commentaires. Missions d examen. préparé par le Conseil des normes d audit et de certification

Meilleures pratiques de l authentification:

VÉRIFICATION DES SERVICES FINANCIERS ACTIVITÉS DU BUREAU DU CAISSIER

Préambule. Claude Sicard Vice-président au partenariat et à l expertise-conseil 2 LE CADRE D INTERVENTION EN PRÉVENTION-INSPECTION

ASSOCIATION DES COMPTABLES GÉNÉRAUX ACCRÉDITÉS DU CANADA. Norme de formation Professionnelle continue Version 1.1

GALA CGA. Gala en photos

Gestion des licences électroniques avec Adobe License Manager

Modernisation et gestion de portefeuilles d applications bancaires

INFORMATIONS IMPORTANTES AU SUJET DU SERVICE 911

Canadian Institute of Actuaries Institut Canadien des Actuaires

Politique de sécurité de l information

L Office national de l énergie a produit la version finale du rapport d audit du programme de gestion de l intégrité d Enbridge.

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA. Vérification de la gestion des ressources humaines

COMMENTAIRE LES CANADIENS SONT-ILS PRÉPARÉS À UNE HAUSSE DES TAUX D INTÉRÊT? Services économiques TD

Responsabilité pénale de l association

La dématérialisation au service des entreprises. Ysoria

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

Caisse du Régime de retraite des cadres de la Ville de Québec. États financiers 31 décembre 2007

Norme ISA 200, Objectifs généraux de l auditeur indépendant et réalisation d un audit conforme aux Normes internationales d audit

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Les paiements de détail : enjeux stratégiques

Conditions générales d affaires concernant l utilisation du portail GastroSocial@net (CGA)

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Bureau du commissaire du Centre de la sécurité des télécommunications

Éléments hors bilan Rapport de vérification final Rapport N o 20/12 18 février 2013

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

agility made possible

GESTION DES RISQUES Méthode d optimisation globale

devant le Conseil de surveillance de la normalisation comptable

Norme internationale d information financière 9 Instruments financiers

Carrière en planification financière

RÉÉVALUATION DE LA RÉPONSE À LA RECOMMANDATION EN MATIÈRE DE SÉCURITÉ AÉRONAUTIQUE A Formation en gestion des ressources de l équipage

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

CERTAINS COURTIERS EN PRÊTS HYPOTHÉCAIRES

GARANTIR LE SUCCÈS GRÂCE À LA TECHNOLOGIE

Cisco Unified Computing Migration and Transition Service (Migration et transition)

SERVICES DE CERTIFICATION VÉRIFICATION DU TRANSFERT DU BUDGET SALARIAL. Février 2006

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Transcription:

La fraude et le contrôle interne Première partie : l importance des contrôles Par EVERETT COLBY, CFE, FCGA Le présent document est le premier d une série de trois articles sur la fraude et le contrôle interne que M. Colby signera dans le Reper. Introduction L importance des contrôles Les risques auxquels les entreprises sont exposées La nécessité de protéger les données La contribution des CGA Conclusion Ce premier article vise à faire ressortir combien il est important pour une société de mettre en place des contrôles en vue de se prémunir contre certains risques, à examiner les divers types de risques auxquels les sociétés sont exposées de nos jours, à souligner l importance de la protection des données, à expliquer pourquoi les entreprises doivent mettre en place des systèmes de contrôle interne rigoureux pour prévenir et détecter les activités frauduleuses et à analyser la façon dont les CGA peuvent contribuer à l amélioration de l environnement de contrôle. Introduction De nos jours, les entreprises sont exposées à divers risques. Le risque de perte découlant d une fraude figure parmi les risques les plus importants. Et ce risque s intensifie rapidement pour les entreprises de toutes tailles. Les fraudes peuvent être d origine interne, externe ou à la fois interne et externe. Selon de nombreux spécialistes de la fraude, le meilleur moyen de réduire au minimum le risque de perte découlant d une fraude, de même que les autres risques, consiste à concevoir des contrôles internes qui protégeront les actifs et les ressources de l entreprise et qui feront en sorte qu il sera difficile de commettre ou de camoufler des activités frauduleuses. L importance des contrôles En règle générale, la notion de «contrôle interne» n a pas de secret pour les comptables, dont le travail s appuie essentiellement sur la prémisse que les contrôles internes d une entreprise aident celle-ci à s assurer que ses résultats financiers sont comptabilisés adéquatement. Dans le contexte commercial actuel, les diverses menaces à la viabilité des entreprises et le risque de fraude gagnent beaucoup en importance. Il est toutefois possible de concevoir des contrôles internes, ou d améliorer les contrôles en place, de manière à compliquer la tâche de ceux qui souhaitent commettre ou camoufler une fraude et à assurer la protection des actifs de la société ainsi que l exactitude, l intégrité et la sécurité des ressources des systèmes. Les contrôles internes doivent cependant porter sur l ensemble des activités d exploitation et de gestion de l entreprise et non pas seulement sur les fonctions liées à l information financière. Pour offrir un supplément de sécurité, il est en outre essentiel que le système de contrôle interne soit dûment appliqué.

Certains conseillers en sécurité et spécialistes de la fraude comparent le cadre commercial actuel, axé sur la technologie, à une «course à l armement». Les entreprises continuent de s appuyer lourdement sur la technologie pour leur exploitation et leurs autres activités, mais le paysage technologique est en évolution et en expansion constantes. L expression «course à l armement» décrit bien la course entre ceux qui tentent de protéger les systèmes technologiques des entreprises et ceux qui tentent de compromettre ces mêmes systèmes. L évolution technologique a fait passer les entreprises des gros ordinateurs centraux aux serveurs de réseaux et des ordinateurs de bureau aux ordinateurs portables qui permettent une plus grande mobilité du personnel. Nous avons également assisté à l avènement d Internet et du commerce électronique, lequel tire parti d Internet. Grâce à ces percées technologiques, l information et les ressources autrefois conservées à l intérieur de l organisation (les gros ordinateurs centraux et les ordinateurs de bureau) sont maintenant accessibles de l extérieur de l organisation (serveurs de réseau et ordinateurs portables), à partir de n importe où dans le monde (Internet et commerce électronique). Tout le sens de cette course à l armement «technologique» devient manifeste pour les entreprises lorsqu elles constatent que, souvent, les contrôles visant à protéger leurs systèmes et leurs ressources ne sont pas conçus aussi rapidement que les systèmes en question. Ce décalage entre la mise en œuvre des innovations technologiques et la mise en place des systèmes de contrôle crée une brèche, et c est là que des gens malhonnêtes peuvent causer de sérieux dommages. Les risques auxquels les entreprises sont exposées Les exigences des entreprises à l égard des systèmes de comptabilité et d information sont de plus en plus grandes. Pour répondre aux besoins d information des entreprises, les systèmes sont donc de plus en plus complexes. Le contrôle de la sécurité et de l intégrité de ces systèmes revêt donc, lui aussi, une plus grande importance. Les risques liés aux systèmes de comptabilité et d information des entreprises sont variés, mais ils peuvent être regroupés en quatre grandes catégories distinctes : Catastrophes d ordre naturel et politique Cette catégorie comprend les actes terroristes, les tremblements de terre, les inondations et les incendies. Elle comprend également la possibilité d actes terroristes ou d instabilité politique dans des territoires étrangers où l entreprise exerce des activités. Défaillances des systèmes Cette catégorie comprend généralement les défauts de fonctionnement des ordinateurs et les erreurs de programmation, de même que les défaillances du matériel, les pannes de courant et les erreurs non détectées dans la transmission des données. Erreurs et actes non intentionnels Cette catégorie englobe essentiellement les erreurs humaines et les accidents causés par la négligence humaine, les manquements à la procédure et les lacunes aux chapitres de la formation et de l encadrement du personnel. Fraudes Cette catégorie comprend les risques découlant d actes intentionnels visant à priver l entreprise de ses ressources ou de ses actifs. Le profil de risque n est pas le même pour toutes les entreprises. Certaines entreprises sont exposées à un niveau de risque plus faible que les autres entreprises dans une catégorie et à un niveau de risque plus élevé dans une autre catégorie. Ces écarts s expliquent par divers facteurs, notamment le lieu où l entreprise exerce ses activités, le degré de dépendance à l égard des ressources technologiques et la nature des contrôles mis en place pour réduire au minimum l exposition aux divers risques. La fraude et le contrôle interne Première partie : l importance des contrôles 2

La nécessité de protéger les données Compte tenu des risques décrits ci-dessus et du fait que les entreprises s appuient de plus en plus sur les systèmes informatiques, il est de toute première importance de contrôler et de protéger ces systèmes. Toutes les entreprises, grandes et petites, sont exposées à certains des risques mentionnées ci-dessus, sinon à tous ces risques, et il ne fait aucun doute que les risques liés aux systèmes informatiques ne font que croître. Plusieurs études menées au cours des dix dernières années se sont intéressées aux raisons pour lesquelles les risques liés aux systèmes informatiques continuent particulièrement de s intensifier. Voici les raisons les plus couramment invoquées : L accroissement du nombre de systèmes client-serveur met l information à la disposition d un plus grand nombre de personnes. Comme les réseaux locaux et les systèmes client-serveur diffusent des données à un grand nombre de personnes, ils sont nettement plus difficiles à contrôler. Les réseaux longue portée (WAN) permettent aux clients d avoir accès aux systèmes et aux données de leurs fournisseurs, et vice versa. L utilisation d Internet pour conclure des opérations commerciales donne à des personnes des quatre coins du monde la possibilité d avoir accès à des données délicates. Les données de l entreprise sont sans contredit la composante des systèmes informatiques qui exige la plus grande protection. Les entreprises doivent comprendre que les données sont une ressource stratégique et que leur protection doit représenter une priorité stratégique. Nombre d entreprises feraient faillite si des données essentielles cessaient d être accessibles pendant une courte période. Les données d une entreprise peuvent également présenter un intérêt certain pour ses concurrents. Les listes de clients, les données sur la conception des nouveaux produits et les listes de prix sont des exemples de documents très prisés qui ne sont souvent pas suffisamment protégés. Malgré l intensification des risques auxquels sont exposés les systèmes informatiques et l information vitale, nombre d entreprises ne protègent pas adéquatement leurs données. Le plus souvent, les raisons invoquées pour expliquer les lacunes au chapitre de la protection reposent sur des perceptions plutôt que sur des faits. Les problèmes pouvant découler des lacunes des contrôles informatiques sont souvent sous-estimés ou minimisés, particulièrement au sein des petites entreprises qui croient que seules les grandes entreprises sont exposées au risque. Dans bien des cas, ces entreprises ne se sentent pas concernées par le risque de perte de données vitales. Les répercussions sur le contrôle du passage d un système centralisé à un système en réseau ne sont pas toujours bien comprises. Nombre d entreprises ne comprennent pas que la sécurité des données est essentielle à leur survie. Finalement, de nombreuses sociétés estiment que les avantages de la protection demeurent inférieurs aux coûts. Pour devenir plus proactives sur le plan de la sécurité et de la protection des données, les entreprises doivent fournir de l information à leurs employés sur les mesures de contrôle et la protection des données. Certaines sociétés commencent à établir des politiques bien structurées, en matière de sécurité des données, en intégrant les contrôles de sécurité au processus même d élaboration des applications. Toujours sur le plan de la protection des données, les sociétés devraient envisager de transférer les données délicates emmagasinées sur des serveurs non protégés vers des environnements plus sécuritaires. Elles devraient également limiter l accès aux données délicates et aux serveurs non protégés. En outre, comme les objectifs du contrôle interne sont les mêmes quelle que soit la méthode de traitement des données utilisée, des politiques et procédures différentes doivent être adoptées à l égard des systèmes informatiques. Finalement, il est plus difficile d opérer une séparation des tâches incompatibles dans un environnement informatisé que dans un environnement traditionnel. Il ne faut pas oublier que la responsabilité d ensemble de la sécurité du système incombe à la haute direction. Cette La fraude et le contrôle interne Première partie : l importance des contrôles 3

dernière doit diriger par l exemple et ne pas passer outre aux contrôles en place. L intégrité de tous les systèmes de contrôle interne repose sur une application indéfectible. La contribution des CGA Conclusion Les CGA peuvent contribuer de deux façons à la modification de l environnement de contrôle. D abord, ils sont souvent appelés à participer à la conception ou à l amélioration des systèmes de contrôle interne, soit à titre de conseillers indépendants, soit à titre de contrôleurs de la société. Grâce à leur formation, les CGA ont une excellente compréhension du fonctionnement des environnements de contrôle traditionnels, de leurs objectifs et de leur conception. Bien conscients du fait qu il faut améliorer les environnements de contrôle pour réduire au minimum ou éliminer les divers risques et menaces, les CGA sont particulièrement bien placés pour faciliter la mise en place des changements qui s imposent. Les CGA exerçant en cabinet peuvent également favoriser la mise en place de changements au chapitre de l environnement de contrôle par l intermédiaire de leurs activités de vérification. En qualité de vérificateur, vous procédez toujours à une évaluation de l environnement de contrôle interne de l organisation, généralement dans le but d estimer la probabilité que les résultats financiers que vous vérifiez contiennent des inexactitudes. En vertu des nouvelles exigences du Manuel de l ICCA, le vérificateur doit également évaluer la probabilité de fraude au sein de l organisation. Compte tenu des nouvelles exigences et du fait que le vérificateur signale généralement à l organisation les lacunes constatées, les CGA devraient, au cours de leur examen du système de contrôle interne, chercher à déterminer si l organisation a mis en place des contrôles adéquats en vue de protéger ses actifs et les ressources de ses systèmes contre tous les risques et toutes les menaces. Comme les menaces et les risques auxquels sont exposés les actifs et les ressources vitales des entreprises se font de plus en plus importants, la mise en place de contrôles est désormais essentielle. Jusqu ici, les contrôles internes étaient généralement conçus en vue d assurer l exactitude des résultats financiers présentés par l organisation. Étant donné l intensification des risques, et particulièrement du risque de fraude, ces contrôles doivent également être conçus en vue de compliquer la tâche de ceux qui souhaitent commettre ou camoufler une fraude et de réduire au minimum le risque de perte pouvant découler de divers types de menaces. De nos jours, les risques auxquels sont exposées les entreprises sont variés et ils se multiplient plus rapidement que par le passé. Parmi ces risques, mentionnons les catastrophes d ordre naturel ou politique, les défaillances des systèmes, les erreurs et les actes non intentionnels ainsi que la fraude. S il importe tant que les entreprises améliorent leurs contrôles, c est parce que ce faisant elle seront mieux en mesure de réduire au minimum les pertes pouvant découler des divers risques auxquels elles sont exposées. En outre, compte tenu de l utilisation accrue d Internet et des réseaux client-serveur, l information vitale des entreprises est de plus en plus menacée. En effet, s il est désormais plus facile d accéder aux données, il est en revanche plus difficile de les protéger. Jamais la protection des données vitales de l organisation n aura été aussi cruciale. Or, malgré l importance des données, de nombreuses entreprises négligent encore de se protéger adéquatement. Nombreuses sont celles qui estiment que les menaces ou les risques liés aux données sont minimes ou que la sécurité des données n est pas essentielle à leur survie. D autres font valoir que les avantages demeurent inférieurs aux coûts. Elles n ont pas compris que les données constituent une ressource stratégique et que leur protection devrait représenter une priorité stratégique. Essentiellement, la responsabilité de la protection des systèmes et des données vitales de l organisation incombe à la haute direction et, pour être efficaces, les contrôles doivent être dûment appliqués. La fraude et le contrôle interne Première partie : l importance des contrôles 4

Dans la deuxième partie de cette série de trois articles, nous proposerons une méthode pour vous aider à concevoir des contrôles permettant d atténuer les risques. Dans la troisième partie, nous discuterons des stratagèmes de fraude les plus courants et des indices de leur existence. Il est plus facile de concevoir des contrôles visant à atténuer les risques de fraude lorsqu on comprend comment la fraude est perpétrée. Praticien exerçant en cabinet, Everett Colby, CFE, FCGA, est propriétaire de l un des bureaux de Porter Hétu International, l un des 30 premiers cabinets comptables en importance du Canada selon le magazine The Bottom Line. M. Colby est également propriétaire de North American Forensic Accountants and Fraud Investigators Inc., un cabinet de juricomptabilité. Il est membre du conseil d administration de CGA-Ontario, président du Comité d étude de la politique fiscale et budgétaire de CGA-Canada et membre à vie de l International Association of Certified Fraud Examiners. M. Colby anime régulièrement des ateliers, au Canada et à l étranger, sur des sujets comme la fraude, le blanchiment d argent, les sanctions civiles et l éthique dans le contexte commercial actuel. Ce document est le premier d une série de trois articles sur la fraude et le contrôle interne que M. Colby signera dans le Reper. La fraude et le contrôle interne Première partie : l importance des contrôles 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back