La cartographie des risques.

La cartographie des risques a pour but de donner une visibilité sur l’ensemble du périmètre des risques auxquels est exposée l’entreprise. Elle permet de mettre en place une stratégie de couverture et de communiquer sur la maîtrise des risques opérationnels de l’entreprise.

Au sein de la cartographie des risques, le risque de fraude doit apparaître comme un risque à part entière.

Pour autant, pour que la cartographie soit un réel outil de pilotage du risque de fraude, il est nécessaire qu’elle dépasse ses fonctions d’identification et de « localisation » pour aboutir à un résultat de modélisation dynamique associé aux processus de l’entreprise.

Pour chaque processus sensible susceptible de faire l’objet de fraude, le référencement du risque doit décrire le processus métier, les actifs supports, les facteurs contextuels, conjoncturels du risque, les éléments favorisants, les événements déclenchant, les facteurs aggravants et leurs relations.
La granularité de cette analyse doit intégrer le facteur humain et ses incidences sur le risque en question.

Contrôle

Le contrôle des processus sensibles est le second axe à envisager dans une stratégie de lutte contre la fraude.
Le contrôle des processus porte sur l’efficience de la réalisation du processus dans des conditions définies. De manière structurelle, il s’exprime au sein même du processus de quatre façons :
– La restriction. En limitant les possibilités d’actions, le processus restreints les différentes modalités de réalisations pour une même tâche et ainsi les éventuelles adaptations et contournements.
– La contrainte. En corollaire de la restriction, la contrainte amène mécaniquement à réaliser une tâche d’une certaine façon parmi plusieurs possibilités et exclu les autres.
– La validation. La position de « dernier valideur » apparaît de manière récurrente dans les cas de fraude. La logique de séparation des pouvoirs et de double, voire triple validation doivent pouvoir restreindre les possibilités de contournement et/ou le cas échéant, les détecter.
– La traçabilité, comme la validation, répond à deux objectifs. Le premier est d’ordre dissuasif : tout acte étant vraisemblablement tracé, le fraudeur éventuel sera identifié. Le second a vocation à recueillir les éléments de preuve permettant de donner une suite judiciaire à ces actes.

Une cinquième modalité de contrôle du processus peut être mise en œuvre, son fonctionnement est par contre extérieur au processus. Il s’agit de réaliser des contrôles sur le déroulement des processus en question comme un audit peut le faire.

L’efficacité de ces contrôles dépend de la stratégie de déploiement coordonnant les contrôles réguliers et les contrôles par échantillonnage ainsi que les contrôles transparents et les contrôles déclaratifs.
Formation

La formation doit revêtir deux objectifs majeurs : la détection et la réaction.
Le management et les collaborateurs de l’entreprise doivent être en mesure de pouvoir identifier des signes laissant supposer l’éventualité d’une fraude en cours, mais aussi de sa possibilité – ce qui permettrait d’assurer un contrôle et une évolution limitant le risque.

La réaction revêt un caractère sensible face à un acte de fraude constaté. Selon son origine et ses conditions de réalisation, la fraude pourra être gardée sous silence ou déclarée – les dispositions amont prises à titre individuel et managérial permettant (ou non) d’engager les investigations puis les mesures disciplinaires corollaires. Cet aspect de la formation doit être fortement appuyé tant le contexte interne de l’entreprise peut favoriser la passivité, pour ne pas dire la complicité passive. Les modalités de réaction doivent intégrer ce paramètre lors de leurs élaborations dans le cadre de scénarii et être suffisamment diffusées et évaluées pour être efficientes.

Valorisation

Nous avons vu le triangle « intérêt – opportunité – rationalisation » dans la genèse de la fraude. Ce triptyque peut tout aussi bien être appréhendé du point de vue du collaborateur qui suspecte un acte de fraude. Quel est son intérêt à déclarer une suspicion de fraude ? En a-t-il l’opportunité dans son activité professionnelle ? N’y a-t-il pas un équilibre qui lui permettrait de rationaliser son « silence » ? Bien que ce type d’acte soit relativement rare à l’échelle d’une carrière individuelle, l’engagement individuel dans la lutte contre la fraude ne peut pas être considéré comme allant de soi. Il est nécessaire qu’ils puissent faire l’objet d’une valorisation.

Bien qu’il soit exceptionnel, le risque de fraude peut être considéré comme un risque majeur pour l’entreprise. Ses implications opérationnelles, financières et médiatiques sont de nature à déstabiliser l’entreprise. Son évocation soulève des interrogations auprès des responsables tant il est malaisé à piloter. En effet par sa nature transversale, par les compétences internes qui le supportent et par les mécanismes formels et informels qui le sous-tendent, le risque de fraude est insidieux et sournois. La recherche de sa maîtrise appelle donc une réelle ingénierie de la lutte anti-fraude au sein des entreprises.