Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jean-Siri Luang-Aphay, Consultant Sécurité, Devoteam BU Sécurité : Risque diffus et diffusion de la fraude (part 1)

octobre 2010 par Jean-Siri Luang-Aphay, Consultant Sécurité, Devoteam BU Sécurité

La fraude en entreprise a régulièrement l’occasion d’occuper la une des journaux. Souvent de manière funeste. ENRON, Worldcom, Barings, sont autant de grandes entreprises qui en ont fait les frais sans avoir eu la chance de pouvoir réagir à temps. L’année 2008 aura mis la Société Générale sur le devant de la scène médiatique de façon douloureuse et … bien qu’il ne s’agit à l’heure actuelle que de soupçons, l’éventualité d’une fraude au sein de la banque Goldman Sachs suffit à ébranler le monde financier.

Tels sont les quelques faits d’arme de brillants et souvent anonymes fraudeurs. Pour autant – et c’est tout autant là qu’est le risque – la fraude s’insinue souvent de manière plus diffuse et plus durable au sein des entreprises. Chaque jour des procédures sont contournées, des informations sont modifiées, des biens sont détournés, tant dans les grandes que dans les petites entreprises.

Ces fraudes ont tout d’abord un coût financier pour l’entreprise. Mais lorsque la fraude est si importante qu’elle se retrouve médiatisée, les conséquences deviennent alors critiques.

Ce risque est propre aux activités de nos entreprises. Il représente à part entière un risque opérationnel.

La fraude est tout d’abord un risque endogène : une activité, de par sa construction et les objets qu’elle manipule, peut se prêter à la fraude. Un gestionnaire de paie peut être en mesure d’influencer certaines rétributions de manière illicite. Sous réserve d’un certain niveau de préparation, il dispose d’un bien à détourner et profite de sa qualité professionnelle et des moyens dont il dispose pour réaliser son acte.

C’est également un risque exogène : cette même activité peut susciter la fraude dès lors qu’elle comporte une interface avec l’extérieur de l’entreprise. Une activité de remboursement de prestation de santé peut faire l’objet de fraude de la part de bénéficiaires.

Bien entendu, de nombreuses activités se révèlent comporter des risque de fraude tant endogène qu’exogène. L’activité d’une compagnie d’assurance est également exposée à ce double risque de fraude sur le même processus de règlement : un interne peut détourner des règlements à son propre profit et un client peut réaliser une fausse déclaration pour obtenir un règlement.

A cette première dimension vient s’ajouter le caractère transversal de la fraude ; ceci à deux titres.

De par sa définition , la fraude est un risque relatif au respect des lois et des règles internes ou sectorielles. De nombreux actifs de l’entreprise sont donc susceptibles de faire l’objet de fraude : matériel informatique, ressources informatiques, télécommunications, services, biens matériels, biens financiers, … En second lieu, la fraude est un risque transversal du fait des mécanismes qu’elle exploite pour se réaliser. Un acte de fraude avéré exploite les procédures existantes, le système d’information, les failles des contrôles et trouve sa source au cœur du fonctionnement de l’entreprise.

L’acte de fraude dans l’entreprise

Qu’elle soit l’œuvre d’une personne isolée ou soit le résultat d’une collusion au sein et/ou avec l’extérieur de l’entreprise, il est communément admis que la fraude trouve sa genèse au milieu d’un triangle « Intérêt – Opportunité – Rationalisation » dont la lecture s’avère plus linéaire que ne le suggère le modèle.

L’intérêt présente la motivation qu’a l’individu à réaliser un acte de fraude. Il est intéressant de détailler ce qui peut se révéler derrière cette entrée pour bien identifier les tenants de la fraude.

- L’argent (ou la valeur financière) apparaît comme l’une des premières motivations. Réaliser de fausses déclarations sur les résultats auprès de l’administration épargne à l’entreprise un certain niveau d’imposition. Détourner des règlements de santé ou d’assurance constitue un gain financier direct. A une autre échelle, enregistrer des abonnements de téléphonie mobile sans créancier représente un détournement de service ayant une certaine valeur financière.

- La contrainte peut aussi amener une personne à réaliser un acte de fraude. En lien avec la motivation financière, lorsqu’une personne se retrouve dans le besoin de manière accidentelle et qu’elle dispose un moyen de compenser cette situation, elle peut être amenée à commettre un acte de fraude. Dans cette même logique, un chantage interne (pression managériale à falsifier un document) ou externe (extorsion par menace) peut également l’y conduire.

- Si elles sont censées protéger de la fraude, les convictions personnelles peuvent aussi intervenir comme une motivation à réaliser une fraude. Par exemple, un sentiment d’injustice sociale peut amener à une personne ayant prise sur des ressources de l’entreprise à contourner les règles. Touchée par la détresse d’une personne, un interne peut-être amené à effectuer des règlements de santé ou d’assurance indus. Sur un plan plus politique, dans un contexte de crise (plans sociaux, restructurations, …) une personne peut être tentée d’agir contre l’entreprise en lui soutirant des ressources.

- Le quatrième facteur de motivation est l’ego. En lien avec la motivation financière, un salarié peut s’accorder en détournant un bien de l’entreprise à titre de rétribution de ce qu’il estime mériter. Mais sans détourner de biens, une personne peut être amenée à contourner insidieusement des règles de l’entreprise pour réussir ses objectifs, pour acquérir une promotion ou se mettre en avant aux yeux de ses collègues.

Ces motivations peuvent se concrétiser en un acte de fraude si l’opportunité se présente. Une personne peu disposée à frauder s’interrogera si une occasion accessible lui permet d’acquérir un bien ou un service. Cette opportunité peut aussi être créée de toute part par une personne maîtrisant les procédures et les outils de l’entreprise.

Le troisième point de ce triangle de la fraude est la rationalisation. La rationalisation rapproche la motivation et l’opportunité en donnant de la cohérence à l’acte de fraude. Elle affranchit l’acteur du risque et de l’interdit qu’il représente. Une personne peu disposée à frauder se retrouve, face à une opportunité, en conflit avec ses propres valeurs ; la facilité, le contexte social de l’entreprise, des raisons personnelles, … vont l’amener à surmonter ce conflit pour rendre son acte rationnel, pour le « justifier ». S’il est valable à l’échelle individuelle, ce « triangle de la fraude » n’explique cependant pas l’insertion du phénomène de fraude au sein de l’entreprise. L’entreprise peut comporter des prédispositions organisationnelles au développement (et à la reproduction) du phénomène.

- Le niveau de contrôle des activités de l’entreprise est structurant. Il peut être considéré comme la résultante de la couverture des contrôles (en termes de périmètre et de précision) et de sa récurrence (en termes de fréquence et de systématisation).

- Le niveau de maîtrise des usages au sein de l’entreprise est un facteur délicat à cerner mais pour autant déterminant dans l’éventualité de cas de fraude : quelle est la marge d’appropriation, la liberté de modes opératoires des acteurs dans la réalisation de leurs activités ? La succession des étapes menant à la réalisation d’une activité est-elle contrainte par les procédures et les systèmes ou le savoir-faire individuel est-il mis en avant sans consignes et/ou procédures incontournables ? En corollaire de ce facteur, quel est le niveau de traçabilité associé à ces usages ?

- Le troisième facteur d’influence que nous identifions porte sur le niveau de dialogue transversal au sein de l’entreprise. Quel est le degré de fluidité de la communication entre les directions et les niveaux hiérarchiques ?

- Un quatrième facteur pourra enfin s’exprimer dans les précédant facteurs : la façon dont le contexte économique et social influence l’organisation et le management.

Face à la fraude, nos entreprises se retrouvent confrontées à deux problématiques majeures.

Face à la transversalité des mécanismes exploités, comment éviter la diffusion des responsabilités ? Cette question en introduisant une seconde en corollaire : comment intégrer cette préoccupation diffuse – la lutte contre la fraude – au sein des objectifs prioritaires de chaque acteur ? Compte tenu du caractère spécifique du risque de fraude (des contrevenants experts de leur métier, des responsabilités diffuses et étant contraintes par de nombreuses autres priorités, une tendance au silence face à cette problématique à tous les niveaux de l’entreprise, …), comment favoriser la détection des actes de fraude sur la totalité du périmètre de l’entreprise ?


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants