Corruption et Fraude - Chapters Site · n matière de lutte contre la corruption, la France a...

N°0091er trimestre 2017

r e v u e i n t e r n a t i o n a l e d e s a u d i t e u r s e t d e s c o n t r ô l e u r s i n t e r n e s

Corruptionet Fraude :

de la règlementationaux enjeux pour

l’audit interneDaniel Lebègue

Président de Transparency International Franceet de l’Observatoire sur la Responsabilité

Sociétale des Entreprises (ORSE)

VOTRE PASSEPORTPROFESSIONNELINTERNATIONAL

Franchissez le pas et certifiez-vous pour :

faire reconnaître vos compétences

prouver votre maîtrise de l’audit interne

accéder à de nouvelles opportunités de carrière

Le CIA est la seule certification en audit interneinternationalement reconnue

Plus d’informations sur www.ifaci.com

SOMMAIRE

03n°�009 — audit, risques & contrôle — 1er trimestre 2017

05 EDITO

Loi Sapin IIDes opportunités nouvelles pour les auditeurs internes

06 CHRONIQUE

Risques éthiques et corruptionQuels signaux faibles ?

08 OUVERTURE SUR LE MONDE

Les signaux d'alerte de la fraudeLa connaissance de l’entreprise des auditeurs internesen fait des candidats idéaux pour détecter lescomportements non éthiques

11 VOIX DE LA FRANCOPHONIE

Promouvoir la lutte contre la corruption en Haïti en stimulant la bonne gouvernanceLe défi titanesque de l’IIA-Haïti

13 VOIX DE L’UNION EUROPÉENNE

Comment l’Union Européenne lutte contre la fraudeet la corruption

16 RENCONTRE AVEC ...

Daniel Lebègue, Président de TransparencyInternational France et de l’Observatoire sur laResponsabilité Sociétale des Entreprises (ORSE)

21 DOSSIER

22 Intégrer le risque de fraudeUne exigence professionnelle significative pourl’organisation

24 Audit et contrôle internesLa prévention et la détection des fraudes

28 Groupe SNCFLe rôle préventif de l’audit interne en matière de fraude

31 La lutte contre la fraude interne dans les organismespublics Le regard du CGefi

34 La loi Sapin II du 9 décembre 2016Renforcement des mesures de lutte contre la corruption

37 Le rôle de l’audit internepour lutter contre la corruption

DOSSIERCorruption et fraude

06

13

08

21

11

EDITO

05

En matière de lutte contre la corruption, la France a été, pendant desannées, très éloignée des meilleurs standards européens. Des progrèssensibles ont été observés en 2013 avec la création de la « Haute Autoritépour la transparence de la vie publique » mais il a fallu attendre la loi

Sapin II, promulguée le 9 décembre 2016, pour que la France se hisse au niveaudes États-Unis qui disposaient depuis 1997 du fameux « Foreign Corrupt PracticesAct » et du Royaume-Uni qui bénéficiait depuis 2010 du « Bribery Act ».

La loi Sapin II fait 3 avancées fondamentales : 1) Institution d’une « conventionjudiciaire d’intérêt public » donnant aux magistrats la possibilité de conclure unetransaction pénale avec une entreprise soupçonnée de corruption avant quel’action publique n’ait été lancée ; 2) Obligation faite aux entreprises de plus 500salariés et ayant un chiffre d’affaires supérieur à 100 M€, de mettre en place unprogramme de conformité anti-corruption, une « Agence Anti-corruption »devant s’assurer que le dispositif annoncé est bien effectif et efficace ; 3)Protection des lanceurs d’alerte en obligeant les entreprises à se doter d’un dispo-sitif pour recueillir les alertes et les traiter de manière objective et indépendante.Vous trouverez tout le détail de cette loi dans différents articles et en particulierdans l’interview que Daniel Lebègue a bien voulu nous accorder et que nousremercions vivement.

Avec cette loi, des opportunités nouvelles s’offrent aux auditeurs internes maiségalement aux autres acteurs du contrôle. Tous devront s’efforcer de coordonnerleurs actions dans le cadre d’un « Urbanisme de la maîtrise des risques » àpromouvoir.

En matière de lutte contre la corruption et la fraude, l’Union européenne n’estpas en reste. Elle a créé dès 1999 « l’Office européen de lutte antifraude », plusconnu sous la dénomination « OLAF ». L’un de ses rapports a récemment défrayéla chronique en France. Un article est consacré à cet Office.

Selon « Transparency International », la République d’Haïti occupe l’une des plusmauvaises places dans la lutte contre la corruption, mais vous verrez que les audi-teurs internes se mobilisent et font des propositions courageuses pour y remé-dier. Un exemple à suivre.

L’Agence française anticorruption, notée plus haut, n’a pas compétence enmatière de fraude contrairement au « Serious FraudOffice » britannique. On peut le regretter mais cela nemodifie en rien les responsabilités des auditeurs internesdans le domaine des fraudes. Les Normes profession-nelles sont très claires et tracent le chemin à suivre, lesexemples données ici démontrent que les directionsd’audit interne ont bien intégré le risque de fraude dansleur mission. Pour la directrice de la Recherche de l’IFACI« La question n’est pas de savoir si l’audit interne a un rôleen matière de lutte contre la fraude mais à configurer ce rôleen fonction de chaque organisation ». A méditer…

Bonne lecture.

Louis Vaurs - Rédacteur en chef

Loi Sapin IIDes opportunités nouvellespour les auditeurs internes

n°�009 — audit, risques & contrôle — 1er trimestre 2017

audit, risques & contrôleLa revue internationale des auditeurs et des contrôleurs internesn°009 - 1er trimestre 2017

EDITEURUnion Francophone de l’Audit Interne (UFAI)Association Loi 190198 bis, boulevard Haussmann - 75008 Paris (France)Tél. : 01 40 08 48 00 - Mel : [email protected] : www.ufai.org

DIRECTEUR DE PUBLICATIONTommaso Capurso

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

COMITÉ RÉDACTIONNELLouis Vaurs - Tommaso Capurso - Eric Blanc - Antoine de Boissieu - Christian Lesné

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 06 15 04 56 32 - Mel : [email protected]

CORRESPONDANTSAmérique : Farid Al MahsaniMaghreb : Nourdine KhatalAfrique subsaharienne : Fassery Doumbia

RÉALISATIONEBZONE Communication22, rue Rambuteau - 75003 ParisTél. : 01 40 09 24 32 - Mel : [email protected]

IMPRESSIONImprimerie Bialec23, allée des Grands Pâquis - C.S. 7009454183 Heillecourt Cedex (France)

ABONNEMENTMichèle Azulay - Tél. : 01 40 08 48 15Mel : [email protected]

Revue trimestrielle (4 numéros par an)ISSN : 2427-3260Dépôt légal : mars 2017Crédit photo couverture : © Carole Sertillanges

Les articles sont présentés sous la responsabilitéde leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,faite sans le consentement de l’auteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er del’article 40). Cette représentation ou reproduction, par quelqueprocédé que ce soit, constituerait une contrefaçon sanction-née par les articles 425 et suivants du Code Pénal.

Cette revue est impriméeavec des encres végétales.

Les affaires de corruptionont rempli l'actualitérécente, comme poursaluer l'à-propos de la loi

Sapin II. Nous ne nous avance-rons pas trop sur l'efficacité de ladite loi, mais nous voudrionsrevenir sur les affaires récentes.Dans de nombreux cas en effet,les dirigeants ont déclaré qu'ilsignoraient les faits. Les dirigeantsd'une grande marque automo-bile allemande, empêtrée depuisquelque temps dans une affairede fraude aux émissions sur desmoteurs diesel, l'ont ainsi répétéà l'envi. De même que ceux degrandes banques européennes,ou d'un distributeur nord-améri-cain, qui ont transigé récemmentavec la justice américaine : ilsn'avaient pas conscience queleurs équipes avaient commisdes faits contraires à la réglemen-tation et à l'éthique. Quelquessignaux faibles auraient cepen-dant pu leur mettre la puce àl'oreille. Nous avons choisi d'enanalyser six.

1- Une performanceexceptionnelle

Le premier signal faible est consti-tué par un niveau de profitabilitéhors normes. On apprend enécole de commerce que le profitest directement fonction durisque. Un profit hors normespeut donc parfois résulter d'uneprise de risque hors normes. Parexemple d'une prise de risque enmatière réglementaire, ouéthique. Sortir tout d'un coup desmoteurs très compétitifs et beau-coup plus performants que ceuxde la génération précédente (et,officiellement, de la concurrencenord-américaine) est par exempleune performance hors normes. De la même façon, certainesbanques auraient pu s'étonner dutaux de rentabilité exceptionnelde certaines opérations, sansattendre d'être poursuivies pourcomplicité de fraude fiscale, com-plicité d'escroquerie, blanchimentorganisé ou complicité de traficde stupéfiants (entre autres, la

liste des motifs de poursuitesengagées aux États-Unis contreles banques depuis 10 ans rem-plirait une demi-page). C'est lepremier signal faible : face à uneperformance exceptionnelle, lesdirigeants doivent demander desexplications et doivent être cer-tains d'avoir bien compris lesmécanismes qui ont permis d'ar-river au résultat.

2- La réputation descontreparties

Le deuxième signal faible tient àla réputation de la contrepartie(client, fournisseur, État...) avec quion travaille. Il existe ainsi des clas-sements, évaluant les pays enfonction de différents critères liésà l'éthique des affaires et, disons-le crûment, en fonction du risquede corruption. On pourrait doncconsidérer qu'il y a a priori unrisque plus grand lorsqu'on opèredans les pays classés à risque. Cer-tains dirigeants de sociétés pétro-lières ou minières auraient aussi

pu s'interroger sur les largessesgénéreusement accordées pardes États apparemment plus sou-cieux des profits de leur fournis-seur que de la santé de leursfinances publiques.

3- La présenced'intermédiaires

Le troisième signal faible est laprésence de tiers entre la sociétéet ses clients finaux, ou ses four-nisseurs. La présence d'un tiersfacilite énormément la créationde caisses noires, de détourne-ments, de prise illégale d'intérêt...Certains dirigeants de sociétésdans le domaine de l'aéronau-tique et de la défense ont ainsidécouvert que quelques dizainesde millions avaient été versés àdes sociétés de conseil incon-nues, basées dans des pays clas-sés à risque de corruption élevé...Si on cumule les critères, on pour-rait se dire qu'une opération trèsrentable, dans un pays à risque,impliquant le versement de plu-

06 1er trimestre 2017 — audit, risques & contrôle - n°�009

CHRONIQUE

Quels signaux faibles ?

Risqueséthiques etcorruption

CHRONIQUE


sieurs dizaines de millions à unfournisseur inconnu, est à surveil-ler de près.

4- L'absence de garde-fou efficace en interne

Le quatrième signal, qui ne peutpas être ignoré des dirigeants,tient à l'absence de garde-fouefficace en interne. Ce point peutêtre résumé par une questionsimple : « qu'est-ce qui me donnel'assurance que cela ne peut passe produire dans ma société ? ».Si la réponse est « rien », ou « àma connaissance, ça ne s'estjamais produit et je fais confianceau management intermédiaire »,cela signifie qu'il n'y a pas de dis-positif efficace pour éviter les faitsde corruption ou contraires àl'éthique. Le secteur de la grandedistribution en Europe a fait degrands progrès sur la questionrécemment. Auparavant, à laquestion « qu'est-ce qui vousdonne l'assurance que vos four-nisseurs asiatiques ne font pas tra-vailler leurs employés dans desconditions inacceptables ? », laréponse était « pas grand-chose,mais ce n'est pas de notre res-ponsabilité et nous ne pouvonsrien faire ». Désormais, les géants

européens de la grande distribu-tion exigent de leurs fournisseursqu'ils se soumettent à des auditsréguliers sur leurs conditions detravail, et ils mettent en communle résultat de ces audits. Ils fontainsi passer clairement le mes-sage qu'ils ont réellement unobjectif en matière d'éthique, etqu'ils sont prêts à rechercher etinterdire les pratiques manifeste-ment inacceptables. À l'inverse,le fait de ne pas mettre en placede dispositif permettant de met-tre à jour les non-conformitéspeut être vu comme une incita-tion à franchir la ligne rouge, dansune logique de « pas vu pas pris ».C'est ce qui a été reproché à Wal-Mart dans une affaire de discri-mination (voir revue Audit,Risques & Contrôle n°002).

5- L'ancienneté deséquipes en place

L'ancienneté des équipes enplace est un signal supplémen-taire. Les pratiques de corruptionou contraires à l'éthique sont évi-demment plus difficiles à mettreen place dans des équipes quiconnaissent une rotation régu-lière, avec le risque que les nou-veaux venus refusent de s'y prêter

ou que les anciens collaborateursne dénoncent les pratiques inter-dites. À l'inverse, lorsque la hié-rarchie et les principaux collabo-rateurs sont tous en poste depuislongtemps, il n'est pas impossibleque des dérives se soient pro-duites et aient été progressive-ment acceptées, couvertes, parl'ensemble des collaborateurs, quipeuvent même considérer qu'ils'agit de pratiques « normales »,« de marché », et « que l'on a tou-jours fait comme ça ».

6- L'absence de dispositif d'alerte

Dans la même logique que le pré-cédent, le sixième signal faible estconstitué par l'absence de dispo-sitif d'alerte éthique crédible. Ilest certain que la présence d'undispositif d'alerte éthique (« whis-teblowing » en anglais) crédibleet indépendant a un effet dissua-sif, et représente une une épéede Damoclès sur la tête des déci-deurs qui pourraient être tentésde franchir la ligne rouge. C'estpour cette raison que beaucoupde pays prennent en compte cecritère lors des procès ou procé-dures intentées pour des faits decorruption. Les États-Unis, le Bré-

sil, le R.U., la Suisse, et désormaisla France avec la loi Sapin II, enont fait un élément obligatoiredont la présence et le bon fonc-tionnement sera considérécomme une circonstance atté-nuante, mais dont l'absenceconstituera au contraire une cir-constance aggravante.

Ces signaux faibles peuvent aiderles auditeurs ou contrôleursinternes à identifier les zones quiprésentent des risques de corrup-tion ou, plus généralement, liés àl'éthique. En caricaturant, si voustrouvez une activité extrême-ment profitable, avec des contre-parties qui n'ont pas forcémentune excellente réputation, utili-sant des intermédiaires (distribu-teurs, agents, consultants...), avecun management en place depuisplusieurs années, dans uncontexte où il n'y a pas de dispo-sitif de whistleblowing éprouvé etoù il n'y a pas vraiment d'auditset de contrôles pour identifier etprévenir des pratiques de corrup-tion ou contraires à l'éthique : celavaut peut-être le coup d'allerregarder !

Antoine de BoissieuAssocié, OSC Solutions


OUVERTURE SUR LE MONDE

Les signaux d'alertede la fraude

Norbert Tschakert, CIA, Expert comptable, Inspecteur des fraudes agréé, Titulaire de la chaire decomptabilité à l'Université d'État de Salem dans le MassachusettsBelverd Needles Jr., Expert comptable, diplômé en gestion des affaires, GCMA, Professeur distingué encomptabilité de l'Université DePaul à ChicagoMark Holtzblatt, Expert comptable, Professeur de comptabilité à l'Université d'État de Cleveland

Dans son rapport de 2016 à l'ONU enmatière de fraude et d'abus,l'Association of Certified FraudExaminers (ACFE) estime que les

organisations perdent 5 % de leurs revenuschaque année du fait de la fraude, ce quientraîne une perte mondiale estimée à 3,7billions de dollars. Il est important de serendre compte que la fraude touche directe-ment le résultat d'une société. Par exemple,un cas de fraude de 100 000 dollars dans unesociété réalisant une marge de 10 %, imposeà cette société, pour compenser la perte, deréaliser 1 million de dollars de chiffre d'affairessupplémentaire.Plus la fraude perdure, plus le préjudice finan-cier de l'organisation est important. Les résul-tats du rapport de l'ACFE indiquent



également que la perte moyenne et la duréemoyenne des fraudes sont plus faibles quandelles sont découverts par le biais de méthodesde détection actives, telles que la surveillance,le suivi et l'examen de gestion actif, parcomparaison avec des méthodes passivestelles que la découverte accidentelle ou uneconfession. En améliorant leur capacité àreconnaître les signaux d'alerte de la fraude,les auditeurs internes peuvent mieux proté-ger les actifs de l'entreprise, réduire les ineffi-cacités et le risque de litiges et contribuer aurespect de contrôles réglementaires de plusen plus importants.

Facteurs de risque et typesde fraude

Les auditeurs internes doivent envisager uneanalyse des signaux d'alerte adaptée auxrisques et aux particularités de leur organisa-tion. Les signaux d'alerte n'indiquent pasnécessairement qu'une fraude a lieu – ce sontuniquement les signes avant-coureurs d'unefraude éventuelle.Différents signaux d'alerte existent pour denombreux types de fraude, actes illégaux,corruption et autres circonstances préjudicia-bles pour l'organisation mais. les signauxd'alerte relatifs aux employés ou aux étatsfinanciers, eux, sont courants pour la plupartdes types de fraudes.

États financiers frauduleux

Ce type de fraude peut impliquer de faussesdéclarations ou l'omission de montants oud'informations dans les états financiers. Lesétats financiers frauduleux sont généralementassociés aux éléments suivants : retraitementde données financières, découverte de défi-ciences en matière de contrôle interne, publi-cations de l'U.S. Securities and ExchangeCommission sur l'application de la comptabi-lité et des audits, changements d'auditeur etde cabinet juridique, litige important (enparticulier avec des parties prenantes), trans-actions entre apparentés, renouvellement trèsrapide d'employés clés, structure d'entreprisecomplexe, problèmes avec les organismes deréglementation, baisse des ventes et desprofits, perte de part de marché et manquede liquidités.La principale motivation des états finan-ciers frauduleux est l'enrichissementpersonnel par le biais de rémunérationsà base d'actions ou liées aux perfor-mances. Ce type de fraude peut incluredes tentatives pour éviter des évène-ments indésirables (comme le fait dene pas répondre aux attentes de WallStreet) ou la violation d'engagements. Il

existe également des considérations plusaltruistes (éviter la faillite d'une entreprise etle chômage pour les employés), mais ellessont moins fréquentes.La fonction d'audit interne peut analyser lesétats financiers pour découvrir des signauxd'alerte liés à la fraude financière par le biaisde procédures telles que : l'examen de la relation entre les soldes de

comptes de l'année avec des informationsnon financières (p. ex., l'inventaire parrapport à la capacité des entrepôts ou laproduction par rapport à la capacité deproduction) ; l'analyse comparative des soldes de

comptes de l'année courante avec lessoldes des années antérieures et avec lesrésultats anticipés d'après les prévisions etles budgets de l'entreprise ; l'évaluation des montants relatifs des soldes

des comptes de l'année par rapport à d'au-tres soldes de l'année pour voir s'ils sontconformes aux modèles de prévisionétablis d'après l'historique de l'entreprise ; une analyse comparative des soldes de

compte et des ratios par rapports aux réfé-rences du secteur d'activité ; l'analyse des soldes inhabituels ou inatten-

dus ou des opérations au niveau des soldesde compte, des listings de transactions etdes journaux ou de toute entrée dedernière minute effectuée dans les jour-naux à la demande des membres de ladirection.

La comptabilisation inappropriée des recettesreprésente un pourcentage significatif desétats financiers frauduleux. En utilisant des

procédures d'analyse, il est possible de mettreen lumière pour complément d'enquête desrelations inattendues entre : les recettes, lecoût des marchandises vendues, les comptesdébiteurs, les flux de trésorerie liés à l'exploi-tation et les informations du secteur d'activitéet des concurrents. Le format électroniqueXBRL (eXtensible Business Reporting Language)facilite de plus en plus certaines de ces tâches,permettant l'analyse automatisée des ratios etdes tendances ou des analyses comparativesavec des concurrents.Les signaux d'alerte comportementaux liés àla fraude par le management incluent desréponses incohérentes, évasives, vagues ounon plausibles aux demandes des auditeursinternes. Poser ensuite les mêmes questionsà différents niveaux d'employés peut mettreen lumière une telle fraude.

Fraude par les employés

Cette fraude est commise à l'encontre de l'or-ganisation pour laquelle l'employé travaille.Bien qu'il s'agisse du type de fraude le plusfréquent, il correspond au plus petit montantde préjudice par cas. En voici quelques exem-ples : Le vol d'espèces sous la forme de ventes

non comptabilisées peut être signalé pardes lacunes dans les documents numéro-tés (factures), par des recettes inférieuresaux prévisions dans un endroit particulier,par des recettes inférieures aux prévisionslorsqu'un employé particulier travaille etpar des différences entre les donnéescomptables des clients et de l'entreprise.Les signes indiquant le vol par desemployés d'actifs hors trésorerie incluentles ruptures de stock, des outils de travailmanquants, des documents modifiés parex. des documents d'expédition et desentrées de journaux sans correspondancedans l'inventaire ou les comptes d'actif. Fraude de remboursement de notes de

frais. Les signes indiquant ce type de fraudeincluent : dépenses excédant le budget oules montants historiques, plusieurs reçus dumême fournisseur, frais de déplacementnon vérifiés et notes de frais non détaillées. Fraude sur les salaires. Elle peut être mise

à jour par une mauvaise séparation destâches, un nombre plus élevé d'employés

payés que d'employés travaillant effecti-vement, d'anciens employés figurantencore sur la paie, des employés inven-tés ou des employés fantômes figurantsur la paie, ou l'insuffisance de surveil-lance du temps de travail de l'em-ployé. Système de pots-de-vin. Les signaux

d'alerte incluent des prix en augmenta-



tion, des quantités de commande supé-rieures à la normale, une diminution de laqualité, l'augmentation des achats auprèsd'un fournisseur privilégié en même tempsque la diminution des achats auprès d'au-tres fournisseurs, l'utilisation d'un fournis-seur non approuvé, les plaintes defournisseurs non retenus et les plaintes declients relativement à la qualité. Les autresdomaines de préoccupation pour lesfraudes commises par des employésincluent l'utilisation abusive des ressourcesde l'entreprise, les conflits d'intérêts, lesdécaissements frauduleux, la corruption,l'extorsion économique et les gratificationsillégales. Les symptômes liés au train de vieainsi que les dénonciations et les plaintesfigurent parmi les meilleurs indicateurs deces types de fraudes (voir « Signaux d'alertecomportementaux » sur en page suivante).

L'ACFE a également identifié des caractéris-tiques communes aux auteurs de fraude. Laplupart attendent d'en savoir plus sur lecontrôle interne de l'entreprise, par consé-quent l'activité de fraude importante necommence qu'après environ un an au sein del'organisation. La probabilité de fraude est laplus élevée lorsque l'auteur subit la plusgrande quantité de stress (p. ex., payer le prêtimmobilier ou la scolarité des enfants) etparvient à un niveau plus élevé d’autoritédans l'organisation. L'importance de la fraudeest proportionnelle au niveau d'autorité del'auteur. Les hommes sont à l'origine de casde fraude plus importants que les femmes.

Technologies et formationanti-fraude

La connaissance de l'entreprise est souventune condition préalable à l'identification dessignaux d'alerte. Les risques sont souventpropres à l'organisation et les techniques pourles identifier incluent le brainstorming, l'élabo-ration de diagrammes de flux, les question-naires, la surveillance continue et l'analyse desdonnées.Les signaux d'alerte contribuent à réduire laportée de l'information que les auditeursinternes doivent examiner manuellement. Parexemple, il n'est pas possible de vérifierchaque mois tous les paiements traités.L'analyse de données peut aider à identifierles paiements qui ne correspondent pas auxflux attendus et permet à un auditeur internede traiter un ensemble de données beaucoupplus facile à gérer en vue d'un examen pluspoussé.L'analyse des signaux d'alerte applicables àl'organisation et leur intégration au systèmed'information comptable pour une surveil-

lance continue à partir d'alertes automatiséesreprésente un vaste potentiel pour denombreuses organisations, y compris les PMEqui sont touchées de manière disproportion-née par la fraude. Les fichiers journaux dusystème d'information comptable peuventêtre utilisés pour identifier quel employé a faitquels changements et à quel moment.

La formation anti-fraude permet égalementaux employés de reconnaître les signauxd'alerte, renforce leur connaissance des poli-tiques de l'entreprise et explique les mesuresqui doivent être prises une fois les signauxd'alerte identifiés. Le résultat est une amélio-ration de l'environnement de contrôle, ladétection de la fraude et un effet dissuasifpour les auteurs de fraudes potentiels. Laformation anti-fraude peut permettre à uneentreprise de passer d'une gestion passive àune attitude proactive et organisée lors de larecherche de signaux d'alerte. Souvent, lesemployés ne communiquent pas leursconnaissances des opérations douteuses sansy être encouragés par le biais de cette forma-tion.

Importance de la détectionprécoce

Les enquêteurs affirment souvent qu'il n'y apas de petites fraudes, il existe uniquementdes fraudes qui sont découvertes dès leursdébuts. En effet, les auteurs de fraudes s'arrê-tent rarement et continueront à exploiter unschéma qui leur réussit. Comme la récupéra-tion des sommes perdues est souvent difficile,la prévention et la détection précoce sontessentielles afin d'éviter toute aggravation desfraudes ainsi que des enquêtes longues,perturbantes et coûteuses qui pourraientnuire à la réputation de l'entreprise. En raisonde leur connaissance de l'organisation, lesauditeurs internes sont dans une positionunique pour détecter la fraude de façonprécoce et aider à l'éviter ou à en atténuer lesconséquences en soutenant les efforts de ladirection pour établir une culture fondée surl’honnêteté, l'éthique et l'intégrité.

Signaux d’alerte comportementauxQu'est-ce qui pousse une personne à commettre une fraude ? La théorie du triangle de lafraude du criminologue Donald Cressey souligne trois facteurs : la pression ressentie, l'op-portunité perçue et la rationalisation. Lorsqu'une personne ressent de la pression, voit uneopportunité et peut rationaliser ses actions, la fraude est plus susceptible de se produire.Le triangle de la fraude décrit le fraudeur « occasionnel » qui est amené à une conduite nonéthique plus du fait des circonstances que d'une intention existante. Pour le fraudeur detype « Prédateur », souvent associé aux troubles d'une personnalité antisociale, l'opportunitéà elle seule peut être suffisante pour envisager de s'engager dans la fraude.

Dans son rapport de 2016 à l'ONU sur les fraudes et les abus, l'Association of Certified FraudExaminers a identifié les signaux d'alerte comportementaux présentés par de nombreuxfraudeurs : Train de vie au delà de ses moyens. Difficultés financières. Association anormalement étroite avec un fournisseur ou un client. Difficultés du contrôle ou réticence à partager les tâches. Attitude affairiste impliquant un comportement peu scrupuleux ou rusé. Irritabilité, méfiance, attitude défensive. Problèmes de dépendances. Refus de prendre des vacances. Se plaindre de leur manque d'autorité. Jeu excessif. Augmentation du tabagisme. Inventer des excuses pour des documents manquants ou des pénuries et trouver des

boucs émissaires.

La plupart des délinquants subissent une tension accrue car ils craignent d'être découverts.Cette tension entraîne des changements de comportement, de sorte que le signal d'alerteest le changement de comportement plutôt qu'un comportement particulier. Outre l'enri-chissement personnel, un environnement de travail négatif et l'insatisfaction des employéssont des raisons courantes de fraude commise par des employés, car ces employés cher-chent à se « retourner » contre leurs employeurs.

Cet article a été réimprimé avec l'autorisationdu numéro d'octobre 2016 du magazine Internal Auditor,

publié par The Institute of Internal Auditors, Inc.(www.InternalAuditor.org)

VOIX DE LA FRANCOPHONIE


La République d’Haïti figureparmi les pays ayant leplus haut niveau decorruption dans les

Amériques, occupant la 159e

place sur un total de 176 paysexaminés par l’Indice de percep-tion de la corruption 2016 deTransparency International, avecun score de 20 points sur 100.Tout score inférieur à 50 indiqueque les gouvernements neparviennent pas à s'attaquer effi-cacement à la corruption.Cet indice vient donc confirmerun fait avéré : la corruptiongangrène la société haïtienne ettoutes les sphères de la vie natio-nale de ce pays des Caraïbesd’une superficie de 27 750 km2 etde 10,6 millions d’habitants. Et lesconséquences néfastes de cefléau sur le développementéconomique ne sont plus àdémontrer. Les pays les pluscorrompus sont également lesplus pauvres, les plus instables etles moins développés. C’est doncsans surprise qu’Haïti est le seulpays dans les Amériques à occu-per le rang peu enviable de PMA(Pays Moins Avancé). En effet, avec son score assezfaible de 20/100, Haïti est classéepour l’année 2016 par Transpa-rency International parmi les payscaractérisés par une impunitégénéralisée, la mauvaise gouver-nance, la faiblesse des institutions

et la mauvaise répartition despouvoirs publics. La corruption àgrande échelle freine donc ledéveloppement durable, favorisel'exclusion sociale et s’assimile àun mal collectif qui requiert unemobilisation citoyenne pour l’éra-diquer. Mais, contre toute attente, la luttecontre la corruption en Haïti faitdu surplace. La classe politiquehaïtienne n’a pas encore entre-pris les efforts nécessaires en vuede renouveler la confiance enversles élus et les serviteurs de l’État.Et pourtant, ce ne sont pas lesdonnées et les rapports qui leurfont défaut. Ces dernières décen-nies, la lutte contre la corruptionse résume à un simple discourspopuliste et électoraliste pour la« consommation » internationale,tant les avancées en la matièreont été minces et peu significa-tives.Depuis la création en 2004 del’Unité de lutte contre la corrup-tion (ULCC), placée sous la tutelledu ministère de l’Économie etdes Finances, et qui a pourmission de travailler à combattrela corruption et ses manifesta-tions sous toutes les formes ausein de l’administration publique,un seul haut fonctionnaire a étéjugé pour corruption alors queles soupçons de corruptions’étendent à tous les niveauxdans les rouages des pouvoirs

qui se sont succédé au cours desdeux dernières décennies.Après le tremblement de terre du12 janvier 2010, des contrats fara-mineux de gré à gré ont étésignés avec des firmes deconstruction dominicaines sansla moindre transparence, sous lecouvert d’une loi d’urgence et audétriment de la Commissionnationale des marchés publics(CNMP). D’importants verse-ments ont été consentis et bonnombre de ces travaux n’ontjamais été finalisés car les firmesen question, du jour au lende-main, ont plié bagage. On attendtoujours les audits, à défaut desarrêts de débet, de la Cour supé-rieure des comptes et du conten-tieux administratif (CSC/CA).

IIA-Haïti : solidaire de labonne gouvernance etdéterminé dans la luttecontre la corruption

L’Institut des Auditeurs Internesd’Haïti (IIA-HAITI) milite, depuisplus d’une décennie, en vue demontrer la nécessité qu’ont lesentreprises haïtiennes, publiqueset privées, d’avoir un départe-ment d’audit interne. Avoir lafonction d’audit interne dans lesentreprises publiques et privéesconstituerait un signal fort del’engagement du pays en faveurde la bonne gouvernance. L’IIA-Haïti estime qu’indépendam-ment de la nature de l’entreprise,publique ou privée, il faut qu’il yait des moyens de contrôle etl’audit interne y a sa place. Depuis sa création en 2003, l’IIA-Haïti a toujours démontré sadétermination à faire connaître laprofession d’audit interne àl’échelle nationale afin qu’elle

puisse occuper sa vraie placedans le monde des affaires. En cesens, l’IIA-HAITI s’est engagéedans un plaidoyer visant àdémontrer aux hommes d’af-faires haïtiens la nécessité d’avoirdes contrôles adéquats ainsiqu’une augmentation desmesures de contrôle.Les membres des différentsconseils qui se sont succédé à latête de l’IIA-Haïti ont toujoursœuvré à la mise en place desstructures démocratiques degestion et des mécanismes decontrôle interne capables degarantir une qualité adéquate degouvernance tant au niveau desinstitutions publiques qu'auniveau des institutions privées enfaisant la promotion de lapratique professionnelle de l’au-dit interne comme discipline enHaïti. Pour un pays comme Haïti, quidépend essentiellement de l’aideinternationale, ce niveau decorruption généralisé ne fait queternir son image. Le pays se doitd’envoyer un signal fort en vuede se démarquer de cetteétiquette de pays corrompu. Poury parvenir, l’IIA-Haïti préconise lacréation de cellules d’auditinterne au niveau des ministères,appelées à jouer le rôle d’inter-face à la Cour Supérieure desComptes et du ContentieuxAdministratif (CSCCA), l’Unité delutte contre la corruption (ULCC),l’Unité centrale de renseigne-ments financiers (UCREF) etl’Inspection générale desfinances (IGF) afin de leur faciliterla tâche dans leur travail d’audit,de contrôle et de renseignement.Actuellement, seules les institu-tions financières sont contraintespar une circulaire de la Banque

Promouvoir la lutte contrela corruption en Haïti enstimulant la bonne gouvernanceLe défi titanesque de l’IIA-Haïti

Thomas E. Blot, MBA, CPAH, FCSI

Gouverneur (ancien Président) IIA-HaïtiVice-Président Audit Unibank S.A.


Systèmes de management anti-corruption, est un référentiel àexploiter à l’avenir. Elle définittoute une série de mesures pouraider les organisations à prévenir,détecter et traiter les problèmesde corruption. Ces mesuresincluent l’adoption d’une poli-tique de lutte contre la corrup-tion, la désignation d’unepersonne chargée de superviserla conformité aux mesures anti-corruption, la formation, l’évalua-tion des risques de corruption etl’exercice d’un devoir de vigilancequant aux projets et aux partiesassociées aux activités, la mise enplace de contrôles financiers etcommerciaux, et l’instauration de

procédures de signalement etd’enquête.

En conclusion, l’IIA Haïti est, delongue date, profondémentengagé pour continuer à impul-ser l’établissement d’une cultured’intégrité, de transparence, d’ou-verture et de conformité, facteuressentiel à la réussite de la lutteanti-corruption. La sensibilisationdes divers acteurs sociétaux, diri-geants et responsables institu-tionnels ou privés aux bonnespratiques des normes profession-nelles internationales d’auditinterne, de gestion des risques,de contrôle et de gouvernanceest fondamentale.

L’ACFE1 : qu’est-ce que c’est ? que fait-elle ?L’ACFE (Association of Certified Fraud Examiners), est la plus grande organi-sation anti-fraude au monde et le premier fournisseur de formation et d'édu-cation (outils, solutions) anti-fraude. L'ACFE contribue à lutter plusefficacement contre la fraude dans le monde entier et à inspirer la confiancepublique dans l’objectivité et l’intégrité de la profession.

L'ACFE offre à ses membres la possibilité de la certification professionnelleCFE (Certified Fraud Examiner), appréciée par les entreprises et les gouver-nements, qui reconnaît une expertise en matière de prévention et de détec-tion de la fraude et des connaissances en matière : de transactionsfinancières et des schémas de fraudes, de législation, d’investigation ainsique de prévention et de dissuasion de la fraude.

Dès son premier rapport en 1996, l’ACFE a publié une typologie sous la formed’un arbre des fraudes (« Fraud tree »), à 3 « racines » : la corruption, le détour-nement d’actifs et les états financiers frauduleux.

1 Source : « Report to the Nations on occupational Fraud and Abuse - 2016 Global Fraud Study ». Voir aussi http://www.acfe.com/ ou http://www.acfe-france.fr/

« Leproblèmede la corrup-tion est de taillenon seulement pour Haïtimais aussi pour le monde entier »,a-t-elle souligné. La corruption déstabilise l'écono-mie des pays vulnérables. Ellesévit dans des pays où lescontrôles sont insuffisants ouinefficaces et commet desdégâts considérables pour leséconomies fragiles comme Haïti.C’est donc une nécessité pour lesautorités Haïtiennes d’entrepren-dre des actions pour prévenir etempêcher l’expansion du phéno-mène et surtout de collaboreravec des institutions locales,régionales et internationalespour lutter contre ce fléau et sesconséquences.

En tant que branche locale d’uneinstitution mondiale, l’IIA-Haïti,conscient de l’impact nocif de lacorruption sur l’économie natio-nale, est plus que jamais déter-miné à apporter sa contributiondans la lutte contre ce fléau, enparticulier dans le but de : sauvegarder l'intégrité du

secteur public, protéger les institutions du

secteur privé contre les abus, augmenter la transparence du

système financier, faciliter la prévention, la

détection, l'investigation et lapoursuite pénale de lacorruption.

Il importe de mentionner que lanorme récente ISO 37001 : 2016,

c e n t r a l ede recourir àl’audit interne. L’IIA-Haïti invite donc les législateursà réfléchir sur la manière, à traversle vote d’une loi, de canaliser lesénergies déployées par les insti-tutions susmentionnées pourdonner des réponses claires etdirectes à la perception decorruption généralisée quientache l’image du pays.

L’audit interne : uninstrument efficacepour éradiquer lacorruption en Haïti

Du 30 novembre au 4 décembre2015, l’IIA-Haïti, pour la 4ème

édition de la Semaine de l’auditinterne, a réuni des cadres de laprofession pour échanger sur lerôle qu’elle est appelée à jouerdans la lutte contre la corruptionet la promotion d’une cultured’éthique dans le pays. LaSemaine de l’audit, constituéed’un colloque et de deux sémi-naires, est une activité annuelle-ment organisée depuis 2012 parl’IIA-Haïti. Cette Semaine de l’audit internes’est déroulée autour du thème :« Rôle de l’audit interne dans lalutte contre la corruption et sacontribution à la bonne gouver-nance », et un séminaire sur laprévention et l’investigation de lafraude et la corruption a étéorganisé au profit de dizainesd’auditeurs internes appartenantaux secteurs public et privé.La présidente de l’UFAI, MireilleHarnois, qui était invitée à cettesemaine de l’audit interne, a faitsavoir que l’audit interne est l’undes piliers de la gouvernance, etque le travail courageux d’unauditeur peut éventuellementchanger le destin d’une société.

VOIX DE L’UNION EUROPÉENNE


Revue AR&C : Pourriez-vous nous rappeler,Béatriz Sanz Redrado, quel est le mandat del’OLAF dans le contexte de la lutte au niveaueuropéen contre la fraude et la corruption ?

Beatriz Sanz Redrado : Depuis sa créationen 1999, l’OLAF est le seul organe européendont le mandat est de mener des enquêtesadministratives indépendantes sur tout cas defraude, corruption ou irrégularité portant surdes fonds de l’UE, afin de veiller à ce que l’ar-gent des contribuables européens serve àfinancer des projets susceptibles de créer desemplois et de la croissance en Europe. Entermes très concrets, l’OLAF peut doncenquêter sur des questions relatives à lafraude, à la corruption et à d’autres infractions

portant atteinte aux intérêts financiers de l’UE.Ces enquêtes portent sur toutes les catégo-ries de dépenses à charge de l’UE. Les princi-pales catégories de dépenses sont, les fondsstructurels, la politique agricole et le fonds dedéveloppement agricole, les dépensesdirectes et l’aide extérieure. Nos enquêtespeuvent aussi viser certains domaines derecettes de l’UE, principalement les droits dedouane.

L’OLAF a aussi un important mandat d’en-quêtes internes au sein même des InstitutionsEuropéennes, car nous pouvons enquêter surtoute faute grave commise par le personnelde l’UE et les membres des Institutions de l’UE.Nous veillons donc à ce que les personnes qui

travaillent pour les Institutions observent desrègles très strictes de conduite profession-nelle.

En outre, l’OLAF participe également à l’éla-boration de politiques antifraudes de l’UE, encontribuant notamment aux propositionslégislatives de la Commission Européennedans ce domaine.

Permettez-moi de souligner que l’OLAF,même si c’est une institution relativementjeune, a évolué ces dernières années enaméliorant de manière constante ses résultatsd’enquête et en canalisant ses ressources surdes affaires de fraude transfrontalière, oùl’OLAF a un rôle de coordination des enquêtesau niveau européen. Ainsi, entre 2010 et 2015,l’OLAF a mené à bien plus de 1 400 enquêtes,nous avons recommandé le recouvrement deplus de 3 milliards d’euros pour le budget del’UE et nous avons envoyé plus de 1 600recommandations judiciaires, financières,disciplinaires et administratives aux autoritéscompétentes des États membres et de l’UE.Les enquêtes de l’OLAF ont donc permis dereverser progressivement des montants indû-ment dépensés au budget de l’UE, de pour-suivre des auteurs d'infractions devant lesjuridictions nationales et de mettre en placedes mesures plus efficaces contre la fraudedans toute l’Europe. Sans fausse modestie, cesont d'excellents résultats rendus possibles

Comment l’UnionEuropéenne luttecontre la fraudeet la corruption

Cet entretien apporte un éclairage précieux sur les prérogatives de l’OLAF, seul orga-nisme européen ayant mandat pour enquêter sur toutes questions relatives à la fraudeet à la corruption, ainsi que sur tout autre infraction portant atteinte aux intérêts finan-ciers de l’Union Européenne.

Beatriz Sanz Redrado, Directrice de la Direction de Soutien auxEnquêtes, Office Européen de Lutte Antifraude (OLAF)



par un corps d'enquête d’environ 250personnes.

AR&C : Justement, qui travaille pour l'OLAF, ya-t-il un parcours-type de l'enquêteur OLAF ?

B. S. R. : Je pense sincèrement que la force del'OLAF vient de la diversité des personnes quiy travaillent. Nous avons des enquêteurs capa-bles de travailler dans toutes les langues offi-cielles de l'UE, des experts qui connaissent lecadre juridique de chaque Etat-membre afinde nous permettre de coopérer au mieuxavec les juridictions nationales. Nousemployons des personnes qui ont travaillécomme magistrats nationaux, dans les policeset douanes nationales, des experts en poli-tiques européennes, ainsi que des profession-nels formés dans l’acquisition de donnéesélectroniques et dans leur analyse de pointe.Il n'y a donc pas de parcours-type pour travail-ler chez nous, mais une multiplicité deparcours possibles. Nous faisons un travaild'équipe dont nous sommes très fiers.

AR&C : Qui peut saisir l’OLAF d’une suspicionde fraude ou corruption ?

B. S. R. : L'OLAF encourage toute personne ànous contacter dès lors qu'elle a des soup-çons de fraude ou de corruption impliquantdes fonds européens ou des personnes quitravaillent pour les Institutions Européennes.On peut prendre contact avec nous demanière anonyme, aucune formalité n'étantrequise et dans n'importe quelle langue offi-cielle de l'UE. Il faut seulement veiller à nouscommuniquer des informations aussi préciseset détaillées que possible, et à joindre despièces justificatives le cas échéant. Tout estdétaillé sur notre site web1. Nous recevonsplus de 1 000 - 1 500 allégations de fraudespar an, que nos experts évaluent afin de déci-der si ces informations peuvent donner suiteà des enquêtes.

AR&C : Vous avez une vaste expérience enaudit, acquise dans le privé, ayant occupé despostes de haute responsabilité dans desentreprises multinationales très connues.Qu'est-ce qui vous a attiré dans le secteurpublic ?

B. S. R. : En effet, j'ai travaillé pour diversesentreprises mondialement connues, dans lesdomaines de l'industrie, du commerce et desservices financiers, en tant qu'auditeur interneet responsable de tels services. J'ai gravi leséchelons dans cette profession et accumuléde riches connaissances du monde desaffaires et des différents défis qui se posent àl'auditeur interne. Ce que j'ai le plus apprécié,c'est que l'auditeur voit tout, a accès à tous lesaspects du business, en ayant une vue d'en-semble sur les opérations commerciales, sur

les stratégies des entreprises. De plus, aucunejournée ne se ressemble et chaque jouramène son lot de problématiques à résoudre.C'est ce qui me motivait et ce qui a fait quej'apprécie énormément cette profession. Lemoment venu, j'ai voulu mettre ces connais-sances au service du secteur public européen.C'est peut-être un peu cliché de le dire, maisj'ai eu envie de réinventer ma carrière pour lamettre au service non plus des actionnaires,mais à celui des citoyens européens au sensplus large. C'est un peu le syndrome de Zorro,mais depuis que je travaille à l'OLAF, j'ai lesentiment de servir directement des valeursd'intégrité et d'éthique, chaque cas de fraude

auquel nous mettons fin permet de défendredirectement l'argent du contribuable euro-péen, de nous tous. En tant que contribuablemoi-même, je veux savoir que les taxes que jepaye servent à construire des écoles et deshôpitaux et ne tombent pas entre les mainsde réseaux criminels. J'y ajoute donc macontribution.

Le travail au quotidien n'est pas si différent dusecteur privé. La direction dont j'ai la charges'occupe du soutien aux enquêtes, ce qui faitque je suis encore plus près des systèmes etmécanismes de fraude utilisés et je dois trou-ver des solutions qui aident nos enquêteurs àaméliorer leur travail, à le rendre le plus perfor-mant possible. Cela va d'une unité qui s'oc-cupe du conseil juridique, à des unités quiréunissent nos experts en acquisition et

analyse de données informatiques, notam-ment ce que l'on appelle « forensic IT ». Je suisresponsable de toute l'architecture informa-tique de l'OLAF également, allant des servicesde gestion électronique des dossiers, à la réali-sation de nos statistiques et à l’analyse de nosindicateurs de performance. Comme vous levoyez, je ne succombe pas à l'oisiveté, loin delà !

AR&C : L'OLAF a récemment aussi travaillé surles Panama Papers, pouvez-vous nous en direplus ? Je crois comprendre que votre directiona mené un projet d'envergure ?

1 https://ec.europa.eu/anti-fraud/olaf-and-you/report-fraud_fr

1 400enquêtes menées à bien

3 milliardsd’euros de recouvrement

recommandés pour lebudget de l’UE

1 600recommandations

judiciaires, financières,disciplinaires et

administratives envoyées

Entre 2010 et 2015, l’OLAF c’est ...

L’objectif de l’OLAF est, non seulement dedéceler toute fraude au budget de l’UE, maiségalement d’identifier toute vulnérabilitésystémique dans les programmes dela Commission

«»



B. S. R. : Oui tout à fait. Dans ses activités d'enquête, l'OLAF utilisegénéralement toutes les informations « open source » disponibles. Aucours des dernières années, nous avons investi dans l'acquisition d'ou-tils technologiques de pointe afin de mieux traiter ces informations.Lors de la publication des Panama Papers, nous nous sommes rapi-dement rendu compte que ces documents pourraient égalementapporter des pistes intéressantes dans la lutte contre la fraude et lacorruption. Pour cette raison, le 9 mai 2016, dès que la base dedonnées Panama Papers a été rendue publique, l'OLAF l’a téléchargée.Elle contenait près de 430 000 entités - personnes et entreprises.

Nos experts ont ensuite vérifié si les trois catégories suivantes avaientété en quelque sorte liées aux sociétés offshore exposées dans lesPanama Papers : la première catégorie était le personnel et lesmembres des Institutions de l'UE. Il est important de comprendre icique le fait de détenir des participations dans des sociétés offshore entant que telles n'est pas illégal. Toutefois, le personnel ou les membresdes Institutions pourraient potentiellement cacher des activités extra-professionnelles non déclarées dans de telles sociétés off-shore, ce quiserait contraire à nos obligations professionnelles. Ils pourraient égale-ment y cacher des transactions résultant d'activités illégales menéesdans l'exercice de leurs fonctions, comme par exemple des pots-de-vin. Comme deuxième catégorie, nous avons vérifié les experts four-nissant des services dans le cadre de projets de l'UE et les bénéficiairesde fonds de l'UE. Ces personnes pourraient également dissimuler destransactions résultant d'actions illégales liées à des contrats ou déci-sions obtenues auprès des Institutions en raison de corruption. Enfin,la troisième catégorie est constituée de personnes ou entités déjàimpliquées dans des enquêtes, réalisées ou encore en cours, del'OLAF.L'objectif de notre analyse était donc non seulement, de déceler toutefraude au budget de l'UE ou faute grave du personnel et desmembres de l'UE, mais également d'identifier toute vulnérabilitésystémique dans les programmes de la Commission Européenne.L'OLAF a bien entendu soigneusement soupesé la proportionnalitéet la nécessité de cet exercice. Par conséquent, l'OLAF a ouvert quatreenquêtes sur la base de notre analyse, de l'information découlant desPanama Papers et obtenue aussi à partir d'autres sources. C’est plutôtbon signe pour les institutions européennes car le nombre bas de caspotentiellement problématiques est très faible par rapport au nombrede personnes, entités que nous avons contrôlées.

Bien entendu, étant donné que ces enquêtes sont en cours, je nepeux divulguer aucune autre information. Permettez-moi simplementde souligner que le fait que l'OLAF ait ouvert des enquêtes ne signifiepas que les personnes impliquées soient coupables d'une infraction.L'OLAF respecte pleinement la présomption d'innocence et les droitsde la défense des personnes concernées par nos enquêtes.

Cet exercice a été mené, pour la première fois, par l’OLAF et noussommes très satisfaits des résultats de ce projet, qui nous a permisd’accroitre nos capacités d’analyse d’informations « open source » pourétoffer au mieux notre travail d’enquête.

AR&C : Pour conclure, peut-être l’un des aspects plus insolites dutravail de l’OLAF relève de la lutte contre les contrefaçons en tant quefraude au niveau européen. J’ai vu que vous avez travaillé sur desaffaires transfrontalières dans ce domaine, pouvez-vous nous endonner un exemple ?

B. S. R. : Oui, c’est une activité d’enquête et de coordination au niveaueuropéen que nous menons pour lutter contre un fléau qui nous

affecte tous, la contrebande et les contrefaçons. Je peux citer unexemple récent : en 2014 et 2015, l’OLAF a enquêté sur le trafic deshampooing de contrefaçon dans l’UE, en coopération avec les auto-rités de plusieurs États membres. Des éléments donnaient à penserqu’une organisation criminelle avait importé environ 50 conteneursde shampooing de contrefaçon sur une période de six mois. Plusieursmillions de flacons fabriqués en Chine et acheminés en contrebandevia Dubaï et Singapour ont été saisis par les autorités nationales enFrance, en Allemagne, aux Pays-Bas, en Italie et en Espagne. En outre,ces enquêtes ont abouti à la fermeture de deux fabriques clandestinesen Espagne qui produisaient un shampooing de contrefaçon similaireavec des matériaux importés de Chine ou achetés sur le marché inté-rieur. Ensemble, ces installations illégales avaient une capacité deproduction d’un demi-million de flacons par mois. En termes finan-ciers, la perte de TVA pour les budgets nationaux représentait à elleseule au moins 3 millions d’euros, en plus des autres recettes perduesà cause de la vente des produits sur le marché noir. Pour le consom-mateur, le commerce de ce shampooing de contrefaçon signifiaitdans le meilleur cas l’acquisition d’un produit inadéquat, puisque leshampooing ne contenait pas les composants actifs essentiels duproduit authentique. Dans le pire des cas, le consommateur risquaitdes conséquences néfastes pour sa santé, puisque certains desproduits contrefaits contenaient un ingrédient cosmétique interditdans l’UE.

Comme vous le voyez, notre activité est vaste et de telles enquêtesne font que souligner l’importance d’une vraie coopération opéra-tionnelle entre les Etats-membres de l’UE et le besoin d’approchescoordonnées. L’OLAF continuera son travail avec ces partenaires pourrenforcer de telles initiatives.

© G

reca

ud P

aul -

Fot

olia

.com


RENCONTRE AVEC ...

Louis Vaurs : Depuis 2003, à la tête de Trans-parency International France, vous menez uncombat permanent contre la corruption maisla France ne fait toujours pas partie des meil-leurs élèves. En 2015, elle pointait à la 26ème

place. Où en sommes-nous aujourd’hui ?

Daniel Lebègue : Dans le bilan du quin-quennat que Transparency France vient derendre public, nous soulignons les avan-cées incontestables réalisées en France aucours des dernières années, dans deuxdomaines que nous suivons, que nousévaluons : la transparence de la viepublique d’une part, et les moyensd’agir contre la corruption et, demanière plus large, contre la délin-quance financière en France d’autrepart.En 2010, notre benchmark cou-vrant les pays de l’Union euro-péenne, en matière de transpa-rence de la vie publique, de sesacteurs et de ses institutions, amontré que la France apparaissait

Daniel Lebègue, Président deTransparency International France et

de l’Observatoire sur la ResponsabilitéSociétale des Entreprises (ORSE)

De grandesavancées enFrance pour

la transparencede la vie publique

et la lutte contrela corruption

RENCONTRE AVEC ...


des comportements, et plusencore pour que ce renforcementsoit perçu positivement par lesopinions en France et à l’étran-ger.

L. V. : Quelle est, par rapport auxautres grands pays de l’OCDE, laprincipale faiblesse de la France ?

D. L. : La France a toujours été unbon élève pour la ratification desconventions de lutte contre lacorruption : convention del’OCDE en 2000 ; convention desNations Unies en 2007. Maisdepuis, aucune condamnationpour faits de corruption interna-tionale n’a été prononcée enFrance, contrairement aux États-Unis (100), à l’Allemagne (50) etau Royaume-Unis (30). C’est acca-blant ! Dès lors qu’il s’agit de pas-

ser aux actes, de poursuivre, desanctionner, nous sommesabsents.

L. V. : Quelle est la raison de cetétat de fait ?

D. L. : Les grandes entreprisesfrançaises participant au com-merce international ne sont niplus ni moins attentives au phé-nomène de la corruption, auxrisques de la corruption, que leurshomologues étrangers. Deuxiè-mement, nous ne pensons pasque, en France, les responsablespublics, et en particulier lesmagistrats, fassent montre d’unemansuétude ou d’une toléranceparticulière vis-à-vis de la corrup-tion. Nos tribunaux, nos magis-trats savent sanctionner des faitsde corruption dans les collectivi-tés locales, par exemple, avec desdizaines de condamnations pro-noncées chaque année.Cet état de fait s’explique par lesmoyens limités de la justice fran-çaise, comparés à ceux d’autrespays pour le traitement de cesdossiers souvent très complexesimpliquant des paradis fiscaux,des structures opaques, des inter-médiaires.

Le droit français, depuis deux siè-cles, est un droit qui sanctionneplus qu’il n’incite les acteurs àcoopérer pour prévenir lesrisques : sanction plutôt que pré-vention ! Ce droit repose sur lapreuve – et c’est parfois très diffi-cile d’apporter la preuve dans desdossiers de ce type…– et lesmagistrats ont énormément dedifficultés pour réunir les preuves.L’exemple récent de la relaxe dela famille Wildenstein1 en est unetriste illustration.

L. V. : Il fallait donc aller plus loinet Transparency France sembles’être fortement mobilisée pourque la loi, dite loi Sapin II, donneaux magistrats français les mêmesmoyens que ceux utilisés pard’autres grands pays.

D. L. : Transparency France aaccompagné, de bout en bout,l’élaboration du projet de loiSapin II et a été très présente dansles discussions à l’Assembléenationale, au Sénat et avec toutesles parties prenantes (entreprises,juristes, médias).Nous avons notamment été enpremière ligne pour dire : « Don-nons à nos magistrats les moyensqui existent aux États-Unis, auRoyaume Uni, en Allemagne, enItalie, en Espagne, en Suisse, auxPays-Bas. » Et l’un de ces moyensd’action, c’est ce que l’on appellela transaction pénale : plutôt quede s’acharner à réunir des preuves– ou des aveux –, un Procureurva dire : « Écoutez, j’ai un dossierque je pense solide et, plutôt quede lancer une procédure enbonne et due forme, je vous pro-pose une négociation sur lessanctions financières que vousencourez et qui peuvent être trèslourdes. Mais surtout, je vaisnégocier avec vous un pro-gramme de conformité, un com-pliance program, pour éviter la

récidive et le renouvellement demauvaises pratiques dans l’ave-nir ». La transaction : c’est ainsique travaille aujourd’hui la justicedes pays que j’ai cités plus haut.Et nos magistrats n’avaient pascette possibilité. Bien entendu, il faut respectertoutes les garanties d’un État dedroit, ce qui suppose le contrôled’un magistrat ; la décision estpublique ; les droits des victimes,les droits de la défense sont prisen compte. Une entreprise a ledroit de se défendre, même dansla transaction.Dans cette transaction, appelée« convention judiciaire d’intérêtpublic », l’entreprise n’est pastenue de se déclarer coupable.En revanche, si elle est condam-née pénalement pour corruption,les conséquences peuvent être

absolument destructrices pourelle : interdiction de marchéspublics, interdiction d’accès à unesérie de financements et, plusgrave, dans certains pays, la sus-pension de la licence d’opérer.

L. V. : Quelles sont les autresavancées de la loi Sapin II ?

D. L. : Avant de répondre plusprécisément à votre question, jevoudrais saluer l’action du minis-tre de l’Économie et des Financescar il a vraiment porté le projetau sein du gouvernement.Ensuite, et c’est dommage, leConseil constitutionnel a censurédeux ou trois dispositions parmilesquelles le reporting descomptes pays par pays pour lesentreprises multinationales, quiaurait permis d’obtenir une plusgrande transparence.

La deuxième avancée impor-tante de la loi est l’instaurationd’une obligation de se doterd’un programme anticorrup-tion, Compliance Program pour

en avant-dernière position, 26ème

sur 27. Le dernier classé était laSlovénie. Il est vrai que la Francen’a jamais été une championneen matière de transparence de lavie publique.L’an dernier, le benchmark, effec-tué avec nos collègues de l’Unioneuropéenne, à Bruxelles, a montréque la France, après « l’affaireCahuzac », a rejoint les meilleursstandards européens en lamatière, ceux des pays scandi-naves, pour l’essentiel.Depuis la loi de 2013 sur la trans-parence de la vie publique,13 000 acteurs publics sont tenusd’établir une déclaration de leursintérêts et de la transmettre à la« Haute Autorité pour la trans-parence de la vie publique ».Cette loi impose au personnelpolitique et aux hauts fonction-naires de faire une déclaration depatrimoine à cette Haute Auto-rité. Elle impose par ailleurs latransparence des revenus, reve-nus publics et revenus que desresponsables politiques peuventtirer, par exemple, d’une activitécommerciale. Il est certes accep-table de conserver, dans certaineslimites, à titre annexe, des activi-tés privées tout en exerçant unmandat public mais une transpa-rence totale des revenus publicset privés est de rigueur. Sur le siteInternet de Transparency France,une nouvelle application permetde prendre connaissance, à partirde leurs déclarations, des revenusde tous les parlementaires.Je tiens à souligner que la HauteAutorité a montré à la fois sonindépendance et sa capacitéd’agir, puisqu’elle a rappelé à l’or-dre publiquement une vingtainede ministres et parlementaires, eta transmis au Parquet, à des finsde poursuite, une quinzaine dedossiers.Par ailleurs, des progrès indénia-bles ont été réalisés pour la trans-parence des comptes publics, ycompris ceux de la présidence dela République, du Sénat, de l’As-semblée nationale, des collecti-vités locales, des établissementspublics, de la Caisse des dépôts...,tous vérifiés à présent par la Courdes comptes.Il faut du temps toutefois pourque le renforcement des règleset des institutions se matérialisedans l’évolution des pratiques et

1 Le tribunal correctionnel de Paris s’est vu contraint, récemment, de relaxer des héritiers de la famille demarchands d’art Wildenstein, poursuivis par une fraude fiscale colossale comme étant la seule décision

possible en droit par manque de preuves, sachant très bien que cette décision serait incomprise.

Une transparence totale des revenus publics et privésest de rigueur pour 11 300 acteurs publics

« »

système américain. Pour toutesles entreprises françaisescondamnées, aux États-Unis, pourdes faits de corruption ou autres,violation d’embargo ou atteinteà l’intégrité des marchés, le Pro-cureur américain a désigné,auprès de l’entreprise, un monitor,qui a accès à toutes les réunions,tous les documents, qui s’assureque les engagements que l’en-treprise a pris vis-à-vis du Procu-reur sont bien respectés.

Une troisième grande avancéeconcerne la protection des lan-ceurs d’alerte qui agissent demanière désintéressée et dontl’action correspond à l’intérêtgénéral. En cela, l’alerte se dis-tingue fondamentalement de ladélation. La loi donne, pour la première foisen France, une définition du lan-ceur d’alerte : c’est celui quisignale, de bonne foi, de manièredésintéressée, des manquementsgraves à la loi, au règlement, à ladéontologie, mais aussi desrisques sérieux pour la santépublique, pour l’environnement.Il agit ou il pense agir ainsi au

mieux pour défendre l’intérêtgénéral.Nous avons en mémoire deux casexemplaires : Irène Frachonconcernant l’affaire du Mediator2 ;Antoine Deltour au sujet de Lux-leaks3. Ce sont des lanceursd’alerte qui rentrent dans la défi-nition de la loi Sapin II et qui méri-tent d’être protégés. Dans le cadre de la loi, l’entreprisedoit se doter en interne d’un dis-positif pour recueillir les alertes etles traiter de manière objective etindépendante. Ensuite, si le signa-lement n’est pas suivi d’effet, ellepeut s’adresser à des autoritéspubliques telles que l’AMF, laHaute Autorité pour la transpa-rence de la vie publique, l’Agencenationale de santé, le Procureurde la République. Enfin, c’est letroisième niveau, elle peut saisirle Défenseur des droits4, figure deproue du dispositif d’alerte natio-nal mis en place par la loi.

In fine, si au terme de ce proces-sus ascendant aucun résultat n’estobtenu, ou pire si l’intéressé estl’objet de mesures de rétorsion, ilpeut prendre à témoin l’opinionpublique, par exemple en alertantles médias. Telle a été ladémarche des deux personnescitées plus haut. Certains pays, comme l’Alle-magne, rémunèrent les lanceursd’alerte, en matière fiscale, maispersonnellement je ne suis pasfavorable à cette pratique car ellepeut conduire à des dérives.

L. V. : Qu’apporte la loi Sapin IIdans le domaine du lobbying ?

D. L. : La loi organise pour la pre-mière fois en France un enca-drement du lobbying, autrementdit des relations qui s’établissententre des groupes d’intérêt et desdécideurs publics. Le lobbying estincontournable et même indis-

les grandes et moyennes entre-prises (plus de 500 salariés et chif-fre d’affaires supérieur à 100 mil-lions d’euros) avec notammentpour têtes de chapitre : le codeéthique, le système d’alerte, lacartographie des risques de cor-ruption. La nouvelle Agence anticorrup-tion que la loi a créée devra véri-fier que le dispositif annoncé etrendu public est bien effectif,notamment en menant des mis-sions d’audit de sa propre initia-tive ou à la demande de la Justice.Elle sera dotée de moyens d’ac-tion pour formuler des recom-mandations vis-à-vis des entre-prises ou des collectivitéspubliques. Elle pourra être char-gée par le Procureur de vérifierque les engagements sont bienrespectés : c’est la surveillance oumonitoring.Avec le Bribery Act, en placedepuis 2010, les Britanniques ontun dispositif similaire, plus incitatifque coercitif, la Soft Law enquelque sorte. J’aime bien cetteapproche, car elle responsabilisele monde de l’entreprise. C’est également la règle dans le


RENCONTRE AVEC ...

2 Médecin ayant joué un rôle décisif dans l’affaire du Médiator du nom de ce médicament qui aurait provoqué la mort de quelque 2 000 malades.

3 Révélation de centaines d’accords fiscaux entre le fisc luxembourgeois et des multinationales, confirmant un système d’optimisation fiscale à grande échelle.

4 Actuellement, Jacques Toubon.

RENCONTRE AVEC ...


ciaire. Les électeurs ont le droitde savoir pour qui ils vont voter.

L. V. : Sur tous les sujets que vousvenez d’évoquer, peut-on envisa-ger à moyen terme une initiativede la Commission européenne ?

D. L. : Ces sujets sont débattus àBruxelles et au Parlement euro-péen. En particulier, la pertinenced’une directive européenne surles lanceurs d’alerte est un sujetde débat mais rien n’est décidépour l’instant.En ce qui concerne l’échangeautomatique d’informations entreÉtats, à des fins de lutte contre lafraude fiscale, c’est aujourd’huidevenu la règle pour tous les paysmembres de l’Union européenneet, au-delà, de la communautéinternationale.À titre d’exemple, la Fédérationsuisse, va désormais communi-quer chaque année, à tous lespartenaires de la Suisse, les

comptes, les avoirs financiers, lestransactions effectuées par desnon-résidents du pays partenaire.La bataille a été rude, mais cettepratique est devenue la règle.Mais si, en Suisse, ou dans d’au-tres territoires, comme les Ber-mudes, les îles Vierges britan-niques, les Bahamas, des résidentsde pays tiers détiennent desavoirs dans ces pays, au traversd’une « boîte noire » du type trust,la transparence est impossible etl’échange automatique perd saraison d’être.Ce sujet reste sur la table du G20,de l’OCDE et de la Commissioneuropéenne : comment faire latransparence, en particulier surles milliers de trusts ou sociétésécran qui existent dans lamonde ?

L. V. : L’impérialisme juridiqueaméricain obligeant les entreprisesà se soumettre à la justice de cepays est très critiqué. Peut-on envi-sager la mise en place de moyenssimilaires au niveau européen ?

D. L. : Effectivement, le « déséqui-libre des armes » est patent entreles États-Unis et l’Europe et enparticulier la France. La justiceaméricaine a pu poursuivre etcondamner une dizaine degrandes sociétés françaises, parmiles plus belles : Total, BNP Paribas,Technip, Alstom, Crédit Agricole,Société Générale, pour des faitsnon assimilables à la corruptionmais représentant une atteinte àl’intégrité du marché. Ces entre-prises ont été très lourdementsanctionnées et l’argent a étéversé au trésor américain. Lesmoyens d’action de l’administra-tion américaine sont en effetredoutables.Qu’ont-ils fait vis-à-vis desbanques suisses ? Ils ont com-mencé à dire aux grandesbanques suisses – UBS, CréditSuisse – : « Ou bien vous me don-nez l’information que j’attends,sur les comptes détenus par desrésidents américains dans vos

banques, ou bien on vous retirevotre licence aux États-Unis oùvous réalisez une part importantede vos bénéfices. »Alors, les grandes banques suissesont imaginé une parade. Elles ontdit : « Certes nous ne pouvonspas résister. Mais des petitesbanques suisses n’ont pas delicence aux États-Unis donc nesont pas concernées. » Lesgrandes banques suisses ontdonc commencé à transférer descomptes sur des acteurs desecond rang, proprement suisses. La réaction de l’administrationaméricaine a été imparable : « Est-ce que, par hasard, vous n’utilisezpas le dollar, dans vos opéra-tions ? Le dollar est la monnaiedes États-Unis. Donc, ou bienvous coopérez, ou bien je vousinterdis de travailler dans la mon-naie des États-Unis. » Tout lemonde a rendu les armes.

L. V. : Une entreprise peut-elleêtre poursuivie et condamnéepour les mêmes faits par deuxpays différents ?

D. L. : Le principe : « Non bis inidem »5 n’existe pas formellementdans le droit international.Mais si la justice française, utilisantles nouveaux moyens d’action dela transaction, est capable demener une enquête et d’aboutirà une décision solide dans desdélais rapides, elle peut inverserle processus. L’entreprise pourradémontrer qu’elle a abouti à unetransaction en France avec lamise en place d’un programmede compliance et échapper à ladouble peine. L’égalité des armesest ainsi rétablie.

L. V. : Ne risque-t-on pas uneréaction violente des États-Unis ?La disproportion des puissanceséconomiques est énorme.

D. L. : Oui, vous avez raison, unecoordination au niveau européens’impose.

L. V. : La loi Sapin II implique-t-elle des responsabilités nouvellespour les acteurs de la maîtrise desrisques ?

D. L. : Pour les professionnels desmétiers de l’audit et de la gestiondes risques, la loi Sapin II est unebonne nouvelle : d’abord elle créedes obligations pour nos grandeset nos moyennes entreprises, autravers des programmes anticor-ruption, des programmes deconformité et la nécessité demettre en place, en interne, desdispositifs d’alerte.Les professionnels de l’audit, dela gestion des risques, de laconformité, vont se trouver enpremière ligne pour veiller à lamise en œuvre de ces règles nou-velles ou de ces objectifs assignésaux entreprises. Je crois donc quecela conforte leur rôle.Mais deux conditions impor-tantes sont à remplir pour queces professionnels exercent leurmission de manière indépen-dante et rigoureuse : la nécessité de mieux coor-

pensable, dans une démocratieet dans une économie de mar-ché. La loi institue un registre surlequel tous les représentants degroupes d’intérêt, publics ou pri-vés doivent s’inscrire, déclarerleurs activités et fournir un certainnombre d’informations, parexemple, les budgets mobilisés,les contacts avec des décideurspublics, les positions ou les pro-positions présentées. Ce dispositifa suscité de vives oppositions dela part des d’associations d’élus,d’organisations professionnelles,tous arguant qu’ils défendent l’in-térêt général. Il en va de mêmedes représentants des cultes quisont également dispensés decette obligation.Pour information, le pays le plusinnovant, en matière d’encadre-ment du lobbying, le Canada, acréé un poste de commissaire aulobbysme, qui fixe des règles deconduite et surveille tous lesacteurs.

La loi Sapin II marque vraimentune avancée historique dans lesdifférents domaines examinésplus haut, même s’il reste des pro-grès à faire. Nous souhaitions quel’obligation de se doter d’un pro-gramme de conformité ou anti-corruption soit étendue auxgrandes collectivités publiques,notamment les collectivitéslocales. Nous recommandonségalement une nouvelle étapeen matière de non-cumul desmandats. Après le non-cumulgéographique, nous proposonsde limiter à trois le nombre demandats successifs qu’un élupeut exercer sur le même poste,sauf pour les mandats de mairedans les petites communes. Vous pouvez vous présenter àn’importe quelle élection, enFrance, sans produire un extraitde casier judiciaire alors que pourêtre administrateur dans uneentreprise, ou jardinier dans unecollectivité locale, ou aide-soi-gnant dans un hôpital, il faut pro-duire un extrait de casier judi-

L’entreprise doit se doter en interne d’un dispositif pourrecueillir les alertes et les traiter de manière objectiveet indépendante

«»

5 Principe de procédure pénale d’après lequel « nul ne peut être poursuivi ou puni pénalement à raison des mêmes faits ».


RENCONTRE AVEC ...

comités doivent jouer pleine-ment leur rôle : conforter,protéger l’indépendance et lesconditions d’exercice de tousces acteurs au sein l’entreprise.À ma connaissance, ce rôle estaffirmé dans les textes euro-péens et français.

L. V. : Le directeur de l’auditinterne peut-il être considérécomme un lanceur d’alerte insti-tutionnel ?

D. L. : Le responsable de l’auditinterne est, d’une certainemanière, un lanceur d’alerte ins-titutionnel. Mais son action esttournée exclusivement vers l’in-terne.

Le commissaire aux comptes, luiaussi, est un lanceur d’alerte ins-titutionnel. Dans la loi Sapin II, une disposi-tion très importante pour les pro-fessionnels de l’audit et ducontrôle, stipule que ce sont les

dirigeants, les mandatairessociaux de l’entreprise qui sontresponsables de la mise en placedu programme anticorruption.

L. V. : Quelles sont les relationsentre Transparency InternationalFrance et l’Observatoire sur la Res-ponsabilité Sociétale des Entre-prises (ORSE) que vous présidezégalement ?

D. L. : Il existe une adhésion croi-sée entre les deux associations.Nous avons un groupe de travail,actuellement, sur Éthique et RSE.Aux trois piliers traditionnels deRSE – l’environnement, le sociétalet la gouvernance – ne doit-onpas en ajouter un quatrième, celuide l’éthique ? Ce sont des risquesde réputation qui sont en jeu.L’entreprise s’est-elle comportéed’une manière conforme à sesvaleurs et à ses engagements ?C’est tout le problème du dossierRana Plaza, au Bangladesh.

De grandes entreprises occiden-tales, européennes, américaines,font travailler au Bangladesh dessous-traitants, dans des condi-tions absolument indignes auplan de la sécurité, des conditionsde travail. Et un jour, une catas-trophe se produit provoquant lamort de plus de 1 000 personnes.Juridiquement, les entreprisesmultinationales mises en causeont respecté leurs obligationslégales. Mais la question a étéposée quant à leur responsabilitévis-à-vis de la chaîne de fournis-seurs et de sous-traitants. Dans laresponsabilité sociétale de l’en-treprise, le volet éthique prendde plus en plus d’importance.

L. V. : Merci beaucoup MonsieurLebègue.

donner l’action des uns et desautres (auditeurs internesresponsables des risques,responsables de la conformité,de l’éthique), de bien répartirles rôles et d’éviter les redon-dances pour parvenir à unemeilleure efficacité ; la qualité de la relation entre

ces différents professionnels etle Conseil d’administration,tout particulièrement leComité d’audit ou le Comitédes risques du Conseil. Ces

Ancien élève de l’ENA,Daniel Lebègue a été suc-cessivement, directeur duTrésor, administrateur direc-teur général puis adminis-trateur vice-président de laBNP, directeur général de laCaisse des Dépots et Consi-gnations. Il est le fondateurde l’Institut Français desAdministrateurs et il en aassuré la présidence pen-dant 11ans.

Groupe SNCFLe rôle préventif de l’audit interne en matière de fraude28

Intégrer le risque de fraudeUne exigence professionnelle significativepour l’organisation

22

Audit et contrôle internesLa prévention et la détection des fraudes24

La lutte contre la fraude interne dans les organismespublicsLe regard du CGefi31

DOSSIER


CORRUPTION ET FRAUDEDe la réglementation aux enjeux

pour l’audit interne

La loi Sapin II du 9 décembre 2016Renforcement des mesures de lutte contre la corruption34

Le rôle de l’audit internepour lutter contre la corruption37


CORRUPTION ET FRAUDE

Les Normes ne sont pas un carcan.Pourtant, certains auditeurs les rédui-sent à des préceptes appliqués méca-niquement ou se vantent de savoir s’en

affranchir. La mise à jour proposée par l’IIA1 estl’occasion de revisiter un corpus signifiant tantpour les équipes d’audit interne que pourleurs organisations. En réalité, cette relecturedevrait être régulièrement faite par l’équiped’audit interne. Par exemple, en choisissant unthème lié à l’organisation du service, à laconduite des missions ou à un domaine àauditer. En s’intéressant à la façon dont lafraude est traitée dans les Normes, le présentarticle montre que ces revues peuvent éclairerle positionnement et la communication del’audit interne.Il n’est pas anodin de trouver « la fraude » dansle glossaire des Normes. Elle est définiecomme : « tout acte illégal caractérisé par la

tromperie, la dissimulation ou la violation dela confiance sans qu’il y ait eu violence oumenace de violence. Les fraudes sont perpé-trées par des personnes et des organisationsafin d'obtenir de l'argent, des biens ou desservices, ou de s'assurer un avantage person-nel ou lié à leur activité ». La première phraseplante le décor, du dur (acte illégal) au soft(violation de la confiance). Avec la seconde,l’hydre apparaît dans toute sa splendeur ; lafraude n’est pas nécessairement l’œuvre d’unindividu isolé, elle passe d’ailleurs souvent parla collusion interne ou externe. Elle n’est pastoujours perpétrée pour des bénéfices indivi-duels ou financiers. Face à cette opacité,

certains responsables d’audit voudraientprendre de la hauteur et sortir la fraude deleur radar. Les raisons avancées ?

La compétenceC’est un argument parfois lié à une lecturerapide de la norme 1210.A2 qui indique queles auditeurs internes « ne sont pas censésposséder l'expertise d'une personne dont laresponsabilité première est la détection et l'in-vestigation des fraudes ». Autrement dit,chaque auditeur interne n’a pas à avoir uneconnaissance approfondie des processusimpactés et des compétences poussées enconduite d’entretien, en droit, en systèmed’information… Le responsable de l’auditinterne qui s’engage doit mobiliser collective-ment ces compétences y compris en-dehorsde son service (cf. norme 1210.A1). Dans lesfaits, rares sont les répondants de l’enquêteCBOK 2015 (6 %, au niveau mondial, 3 % enFrance) qui considèrent que l’audit interne al’entière responsabilité de la détection de lafraude dans leur organisation2. D’ailleurs, laresponsabilité de l’audit interne ne se limitepas à ces activités et le début de la norme1210.A2 porte sans équivoque sur les compé-tences nécessaires : « les auditeurs internesdoivent posséder des connaissances suffisantespour évaluer le risque de fraude et la façondont ce risque est géré par l’organisation ». Ellefait écho au rôle d’assurance de l’audit interneà l’égard du management des risques (cf.normes 2120 et plus spécifiquement la norme2120.A2 qui vise le risque de fraude). Qui plus

Intégrerle risque

de fraude

1 Les Normes internationales d’audit interne mises à jour par l’IIA (The Institute of Internal Auditors) sont applicables à compter du 1er janvier 2017(cf. http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/Referentiel-international-de-l-audit-

interne/normes-internationales-209.html).2 Cf. annexe 4 du cahier de la recherche « Dispositifs de maîtrise des risques de fraude à l’assurance,

à la retraite complémentaire et à l’action sociale », IFACI, 2015.

Béatrice Ki-Zerbo, Directrice de la Recherche de l’IFACI, Membre du Standard Board de l’IIA



est, à lire la norme 1220.A1, ne pas s’intéresserà la probabilité de fraude serait manquer deconscience professionnelle.

Le mélange des genresMener des missions sur la fraude serait incom-patible avec la contribution à l’améliorationcontinue. Effectivement si ces missions selimitent à des investigations musclées ou sil’audit est instrumentalisé. L’approche par lesrisques est alors un bon rempart. De toutefaçon, la fraude étant souvent le symptômede défaillances dans l’environnement decontrôle, s’en détourner sous prétexte d’in-compatibilité avec un audit plus partenarial etau service des métiers n’est pas tenable. Parailleurs, peut-on vraiment aider une organi-sation à préserver sa valeur3 en n’intégrantpas la protection de ses actifs matériels etimmatériels ?

La multiplicité des fonctions en chargede ces sujetsMême lorsque les fonctions dédiées auxrisques et aux contrôles se renforcent, leursresponsabilités en la matière ne sont pastoujours explicites ni leurs activités coordon-nées de manière efficiente. En outre, l’ap-proche globale de l’audit interne gardetoujours son sens pour remettre dans soncontexte un dispositif en construction ou tirerles leçons de l’expérience.

La question n’est donc pas de savoir si l’au-dit interne a un rôle en matière de luttecontre la fraude mais de configurer ce rôle enfonction de chaque organisation. Les pointsd’attention ci-dessus deviennent alors desleviers pour un positionnement effectif plutôtque des freins. Le responsable de l’audit interne ne doit passe lancer sur la problématique simplementparce que c’est l’un des points qu’il doitpériodiquement aborder avec la directiongénérale et le Conseil (norme 2060). Ayanten ligne de mire l’efficacité du managementdes risques, il se posera continuellement laquestion de la maîtrise des capacités de sonservice et du renforcement d’un environne-ment favorable à ses activités en matière defraude.Face à l’ampleur de la tâche, les 10 principespour la pratique professionnelle de l’auditinterne seront alors utiles. En effet, outre lacompétence déjà évoquée, quelles meilleuresarmes que l’intégrité des auditeurs et leurobjectivité pour briser le tabou, débusquer lesrisques d’activités malveillantes et susciter lesmoyens de maîtrise appropriés. Positionné demanière à être entendu, le responsable del’audit interne pourra s’appuyer sur destravaux de qualité pour communiquer sesconstats et surtout ses propositions d’amélio-ration du dispositif. L’approche proactivefondée sur les risques est d’autant plus néces-saire que les fraudeurs ont souvent une

longueur d’avance. Réduire le délai de détec-tion des fraudes (et donc leurs impacts),contribuer à concevoir des contrôles effi-caces malgré l’évolution des technologies etdes relations d’affaires : tel pourrait être ainsil’engagement du responsable de l’auditinterne. Le principe le plus délicat est celui quiincite à « être en phase avec la stratégie, lesobjectifs et les risques de l’organisation ». Pasde problème quand les valeurs de l’organisa-tion encouragent les comportementsvertueux. Quand le ver est dans le fruit etque ce sont les objectifs même de l’organisa-tion qui poussent au crime, il ne reste plusqu’à sensibiliser graduellement le manage-ment et à remonter le cas échéant cesfaiblesses au niveau du Conseil (norme 2600). Avant d’en arriver là, rien de mieux que : d’être en vigilance constante au niveau de

chaque mission (norme 2210.A2).D’ailleurs, selon l’enquête précitée, lesmissions dédiées à la fraude sont rares. Eneffet, elles ne représentaient en moyenneque 4 % des plans d’audit 2015 ; de positionner la lutte contre fraude

comme un sujet de gouvernance parcequ’il est question d’éthique (norme2110.A1), qu’elle se conçoit de la prise dedécision au devoir de rendre compte, enpassant par le suivi des performances,autant d’éléments clés d’une bonnegouvernance (norme 2110) ; d’examiner l’efficience des dispositifs de

contrôle tant il est aisé de construire desusines à gaz dans ce domaine. Au-delà dela coordination effective des acteurs de lalutte contre la fraude (y compris les mana-gers), comment les technologies sont-ellesmobilisées ? Des programmes de test del’audit interne ne pourraient-ils pas êtreutilisés pour renforcer en continu la détec-tion de signaux faibles. ? Les cartographiesdes risques de l’organisation intègrent-elles

la fraude ? Les évaluations sont-ellesétayées par des scénarios robustes ? Lescontrôles sont-ils proportionnés à cesévaluations ? Ces contrôles sont-ils cohé-rents par rapport à l’appétit au risque et auxseuils de tolérance ? de documenter les constats4. L’idéal est

d’utiliser cette base pour nourrir l’évaluationdes risques.

Cet engagement peut être gratifiant pour leresponsable de l’audit interne si la questionest abordée au bon niveau. En effet, plusqu’ailleurs, l’efficacité de l’audit internedépendra du contexte. Aller plus vite que lamusique peut être contre-productif. Il fautbâtir la légitimité du service de concert avecles organes de gouvernance. Pour éviter lesdéconvenues, il convient de définir en amontles mécanismes de communication efficacepour ces informations sensibles, en tenantcompte de la culture de l’organisation et deson environnement légal. Pour maîtriser sespropres risques de défaillance, l’audit internes’assure de ses méthodes (normes 1300) et deses techniques (norme 2320). Pour que lesconstats soient probants, les capteurs sont-ilspertinents ? Les techniques d’échantillonnageet les procédures analytiques sont-elles suffi-santes ? Face à toutes ces questions, lesNormes, les lignes directrices de mise enœuvre et les ressources proposées par l’IIAet l’IFACI aident à baliser cet axe de valeurajoutée non négligeable. En effet, en inté-grant le risque de fraude, l’audit interne (et parricochet l’organisation) développe(nt) descapacités utiles pour d’autres missions : espritd’analyse et esprit critique, attention à laqualité des preuves, vigilance sur les compé-tences à mobiliser, analyse causale, veille surles nouveaux comportements et les enjeuxréglementaires...

3 Cf. Mission de l’audit interne (http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/Referentiel-international-de-l-audit-interne/mission-audit-interne-391.html)

4 Cf. annexe 1 du cahier de la recherche « Dispositifs de maîtrise des risques de fraude à l’assurance, à la retraite complémentaire et à l’action sociale »,IFACI, 2015.

5 Cf. http://www.ifaci.com/Bibliotheque/Bibliotheque-en-ligne-telecharger-la-documentation-professionnelle/Publications-de-l-IFACI-153.html

Références Normes IIA applicables au 1er janvier 2017 COSO Fraud risk management, septembre 2016 5

COSO Référentiel intégré de contrôle interne (Eyrolles, 2014) Recours à des prestations externes pour réaliser l’audit des SI. Cahier de la recherche.

(IFACI, décembre 2015) Maîtriser la fraude interne dans les collectivités territoriales. Cahier de la recherche.

(IFACI, décembre 2015) Dispositifs de maîtrise des risques de fraude à l'assurance, à la retraite complémen-

taire et à l'action sociale. Cahier de la recherche. (IFACI, novembre 2015) L’audit de la fraude dans le secteur bancaire et financier. Cahier de la recherche.

(IFACI, 2010) La fraude : comment mettre en place et renforcer un dispositif anti-fraude. Cahier

de la recherche. (IFACI, 2010)



Les médias font régulièrement état defraudes à forts impacts commises pardes organisations ou des personnes.Ces fraudes, dont les répercussions

peuvent être très néfastes aussi bien entermes opérationnels que d’image demarque, doivent nécessairement faire l’objetde mesures de prévention et de détection

(voire le cas échéant d’investigation) de la partde chaque organisation, des petites entre-

prises aux grands groupes, en passant par lesassociations et même les administrationspubliques.

Les résultats des enquêtes annuelles del’Association of Certified Fraud Examiners(ACFE)1 montrent que près du quart desfraudes entraîne une perte supérieure à envi-ron un million d’euros pour les entreprises quien sont victimes. De plus, les détournementsd’actifs, la corruption et les fraudes internessont souvent utilisés comme moyens d’enri-chissement illégal, à titre personnel ou insti-tutionnalisé, aux dépens de l’entreprise et deses actionnaires. Les entreprises sont encoreinsuffisamment protégées contre le risque defraude, contrairement à ce qu'elles peuventparfois penser. Elles anticipent généralementune fantasmagorique menace externe, àpartir de réels cas de fraude2, alors qu'en

Audit et contrôleinternes

1 La fraude coûterait en moyenne à une organisation plus de 5 % à 7 % de ses revenus selon les récents rapports annuels « Report to the Nation on Occupational Fraud and Abuse » de l’ACFE et en particulier le « 2016 GLOBAL FRAUD STUDY », rédigés à partir d’études statistiques

(à titre d’illustration, 1 483 cas de fraude en entreprise constatés entre janvier 2012 et décembre 2013 ont fait l’objet d’un examen selon des critères prédéfinis).

2 Comme le sont les fraudes au président, Single Euro Payments Area (Sepa) et au faux changement de Relevé d'Identité Bancaire (RIB).

Sujet de préoccupation prioritaire pour les entreprises dans un contexte de crise écono-mique durable et de mutation technologique permanente, la fraude représente unphénomène qui concerne tous les secteurs d’activité et toutes les tailles d’entreprises.La lutte antifraude, loin de constituer un risque théorique, fait l’objet d’une attentionde plus en plus appuyée de la part des entités, qu’elles soient publiques ou privées.

Sébastien Lepers, CIA, CGAP, CRMA, CFE, Auditeur à la septième chambrede la Cour des comptes, France

La prévention et la détectiondes fraudes



réalité la plupart des menaces proviennent desources internes à l'entreprise, en particulierde collaborateurs en activité ou anciens.

La criminalité économique et financière pèsesur l’activité de l’entreprise dans un contexteoù les systèmes sont de plus en pluscomplexes et fragmentés et où les canaux decommunication tendent à se multiplier. Dèslors, l’audit et le contrôle internes proposentun panel efficace d’outils de lutte antifraudeen vue de maîtriser le risque de fraude inhé-rent à chaque système.

Le recensement préalabledu risque de fraude

Aucune lutte contre la fraude n’est possiblesans identification préalable du risque defraude existant dans l’entité. Une approchepar les risques prenant en compte l’ensembledes spécificités de la fraude, demeure la prin-cipale démarche pour pouvoir garantir lapertinence et l’adéquation du dispositif demaîtrise. Cette approche doit répondre auprofil de risque spécifique à chaque entreprisepar l’intermédiaire d’une hiérarchisation desrisques sous l’angle d’un rapport coût-avan-tage favorable pour l’entité. L’entreprise doitd’abord cartographier et hiérarchiser (identi-fier, analyser et évaluer) l’ensemble des risques

inhérents de fraude tant interne qu’externedans le périmètre de ses activités ; elle pourraalors comprendre et cerner les facteurs, méca-nismes et conséquences de cette typologiede risques, nécessaires pour un déploiementefficace et approprié des activités de contrôlepréventif, détectif ou correctif. Il s’agit avanttout de bien connaître l’origine de la fraudepour mieux la combattre dans une politiquede tolérance au risque de fraude de l’organi-sation préalablement définie, permettantnotamment de spécifier le niveau de risqueacceptable, cible à atteindre.

La nécessaire mise en œuvred’un dispositif robuste decontrôle interne

En matière de lutte contre la fraude, lecontrôle interne, en tant que dispositif perma-nent de contrôle déployé au niveau despremière3 et deuxième lignes de maîtrise4 estconsidéré comme un élément central et

incontournable. L’absence de déploiementd’un dispositif de contrôle interne5 apparaîtcomme le facteur principal favorisant l’avène-ment de la fraude dans la plupart desenquêtes menées sur le sujet de la maîtrise durisque de fraude, quelle que soit la taille del’entreprise. Il est regrettable de constater queles organisations ne sont pas suffisammentproactives et volontaires sur la prise encompte du risque de fraude. Cette situationpourrait aboutir au développement a priori demesures de maitrise nécessaires dans le péri-mètre des cinq composantes de l’indémoda-ble référentiel de contrôle interne COSO de19926. Les organisations victimes de fraudes,dans la majorité des cas, ont mis en place desmesures correctives a posteriori, donc tardi-vement. Parmi les principales mesures decontrôle préventif efficace figure la mise enplace de la séparation des tâches, d’une revuedu management, la mise en œuvre de la tech-nique de vérification surprise dite « à l’impro-viste » ou encore, en matière de contrôledétectif, la mise en place de mécanismes designalement d’irrégularités et/ou d’anoma-lies7.

Un autre axe essentiel du contrôle interne àenvisager en matière de lutte contre la fraudeconcerne la sensibilisation du personnel del’entreprise en termes de comportements àpromouvoir au sein de l’entreprise, par l’inter-médiaire du « tone at the top » (exemplarité del’encadrement supérieur) et du « tone in themiddle » (exemplarité de l’encadrement inter-médiaire). La formation sur la politique anti-fraude ou sur le code d’éthique ou deconduite de l’entreprise est également impor-tante quel que soit le niveau hiérarchique del’acteur. Ce système devrait permettre à toutesles personnes concernées par ce risque, dontnotamment les dirigeants d’entreprise, d’êtresensibilisées à ces mécanismes ; cela, pourqu’elles soient capables d’empêcher le déve-loppement de ces schémas dans l’organisa-tion, en transformant la culture d’entreprise defaçon à reconnaître et accepter de prendre encharge le risque de fraude dans les activitéscourantes.

Dans le domaine de la fraude, il pourra êtreparticulièrement intéressant de concevoir desactions ciblées de manière à agir sur la causede la possibilité de fraude dans l’organisation.

Prioritaire

Nonprioritaire

Fréq

uenc

e

Gravité

Manipulationde marchés

Dissimulationsnon autorisées

Détournementde fonds

Fraudesalariale

Faussesfactures

Atteintes à lasécurité informatique

Corruption

Reçus falsi!és

Vol d'argent

Utilisation d'informationsprivilégiées

Schéma : exemple de cartographie des risques selon les typologies de fraude

Source : cahier de la recherche de l’IFACI « L’audit de la fraude dans le secteur bancaire et financier » de janvier 2010.

3 Mener l’activité opérationnelle tout en gérant les risques afférents.4 Mesurer et surveiller les risques de l’ensemble des activités opérationnelles.

5 Il peut s’agir, par exemple, de la formalisation d’un organigramme fonctionnel, de la documentation de procédures, de la mise en œuvre d’activitésde contrôle de supervision, mutuel ou d’autocontrôle, de la mise en place de séparation fonctionnelle des responsabilités, etc.

6 The Committee of Sponsoring Organizations of the Treadway Commission. Ce référentiel a vu la déclinaison de ses cinq composantes en 17 principes en 2013.

7 L’apparition d’irrégularités ou d’anomalies peuvent notamment constituer des indices d'une forte exposition au risque de fraude.



Incitation/PressionLe management ou les employés sont

incités ou subissent une pression qui les pousse à commettre une fraude.

OpportunitéExistence de circonstances qui donnent l’opportunité de commettre une fraude, par exemple : l’absence de contrôles en place ou la possibilité pour le manage-

ment de les contourner.

Attitude/Rationalisation Les personnes impliquées dans une fraude mettent en œuvre des méca-

nismes de justification en référence à leur morale personnelle pour dissimuler la fraude. Certaines personnes ont des attitudes, des traits de caractère ou un

système de valeurs qui leur permettent de commettre intentionnellement un

acte malhonnête.

Opportunité Incitation/Pression Attitude/Rationalisation

Failles du dispositif de contrôle interne(absence de contrôles, inefficacité descontrôles en place, possibilité decontourner les contrôles, erreurs noncorrigées, absence de sanctions, etc.).

Système de gouvernance déséquilibré(absence de procédures/de contrôlescompensatoires, gouvernance fondéesur la personnalité du manager).

Changement organisationnel et/ou desystème d’information (transactionscomplexes, acquisitions, fort turn overdes dirigeants, etc.).

Situations de position dominante vis-à-vis de clients ou de fournisseurs.

Indicateurs de performance tropexigeants.

Système de rémunération.

Besoin de reconnaissance.

Contexte économique défavorable(compétition accrue, baisse desmarges, faillites, besoin definancement, etc.).

Changements dans l’environnement oudans l’organisation (évolutionstechnologiques, obsolescence desproduits, nouvelles contraintesréglementaires, etc.).

Incitations externes (corruptionpassive).

Difficultés financières du fraudeurpotentiel (dettes, jeu, projet, etc.).

o Rationaliser l’acte frauduleux commeétant un dû par rapport à ses valeurset à sa propre éthique.

o Autojustification fondée sur desarguments tels que : - une promotion manquée ;- une prime non accordée ;- « Tout le monde fait la même chose

»…

o Cette autojustification du passage àl’acte sera d’autant plus aisée quel’environnement éthique ne favorisepas un cadre de bonne conduite.

Source : cahier de la recherche de l’IFACI, « La fraude : comment mettre en place et renforcer un dispositif de lutte antifraude ? »,déc. 2010.

Le triangle de la fraude illustréà partir du cas de Bernard Madoff

Le triangle de la fraude, modèle développé par ledocteur Donald Cressey, criminologue américaindont la recherche a porté sur l’analyse comporte-mentale des fraudeurs, s’applique parfaitement à laplus importante et célèbre histoire récente defraude, avoisinant quelque 65 milliards de dollars.Selon le docteur Cressey, trois facteurs doivent êtreréunis lorsqu'une personne ordinaire commet unefraude : la pression, l’opportunité et la rationalisa-tion. Bernard Madoff n’était certes pas unepersonne « ordinaire » au sens strict du terme maisla fraude qu’il a commise peut tout-à-fait être dissé-quée et intégrée dans les trois composantes dutriangle de Fraude8.

La pression : « Les hauts rendements des annéesquatre-vingts ont eu comme un effet cliquet sur moi,j’ai dû faire en sorte de maintenir ce haut niveau derendement excluant tout retour en arrière ! »Dans les années quatre-vingts, Bernard Madoff adéclaré avoir connu des rendements constants de15 % à 20 % et un taux de croissance confortabled’environ 15 % par an. Mais le krach boursier d’oc-tobre 1987, ayant vu le cours de Wall Street s’effon-drer de 30 % en deux jours, a poussé BernardMadoff à réorganiser la gestion de ses actifs. Lalente reprise de l’activité boursière, entraînant alorsde faibles rendements, a indubitablement exercéune pression constante sur Bernard Madoff, cedernier ayant dû emprunter des capitaux auprès denouveaux investisseurs pour rembourser sesanciens contributeurs déçus. C’est à ce momentqu’il a commencé à falsifier des résultats affichantde grands rendements pour attirer des fondssupplémentaires. Ces retours de situation ont crééalors la publicité dont il avait besoin pour obtenirplus d'investisseurs, ceux qui allaient hélas devenirses futures victimes.

L’opportunité : « Les banques me confiaient de l’ar-gent les yeux fermés et les carences de contrôle desautorités de régulation du marché financier m’ontgrandement facilité la tâche ! »Beaucoup de grandes banques d'investissementcomme UBS, Crédit Suisse et Banco Santander ontvu dans les rendements élevés de Bernard Madoffdes opportunités d’investissement de fonds dans lebut de bénéficier des exceptionnels profits dont larecette était soigneusement tenue secrète. Lesbanques, selon Bernard Madoff, n'ont jamais désiréinvestiguer plus loin pour obtenir plus d'informa-tions, au-delà des seules déclarations et promessesde haut retour sur investissement qu'elles avaientreçues du célèbre financier. En réalité, BernardMadoff prenait l'argent, le plaçait dans des bons dutrésor à 2 % et commençait à imprimer de faussesdéclarations affichant des avoirs en actions fructi-fiant beaucoup plus. C’est le financement d’inves-tisseurs sophistiqués qui a commencé à couler parla suite Bernard Madoff.Une autre opportunité du triangle de la frauderéside dans le fait que la SEC9 et les institutions d'in-vestissement professionnel lui ont laissé une grandemarge de manœuvre et n’ont jamais rien intentépour le stopper plus tôt.

La rationalisation : « Ce n’est pas de ma faute, lesgens étaient gourmands et me sollicitaient pour placerleur argent ! »Dès le début, Bernard Madoff semblait pourtantdéjà condamné au faux pas tellement son strata-gème ne pouvait perdurer secrètement dans le

milieu de Wall Street. Bernard Madoff a indiquéavoir mis en place des signes avant-coureurs sur lemarché boursier pour inciter les investisseurspotentiels à lui confier leur argent. Selon lui, lesavertissements, signalant que l'investissement étaitrisqué et pourrait conduire à des pertes impor-tantes, ont été suffisamment divulgués aux poten-tiels investisseurs pour l’autoriser à prendrebeaucoup d'argent. Bernard Madoff essaie donc dejustifier ses actes frauduleux en contribuant par lebiais de ses actions à placer son système dans uncadre raisonnable aux yeux des investisseurs. Il allaitmême jusqu’à affirmer qu’il n’avait pas réellementdétourné d’argent puisqu’il refusait ou baissait lui-

même le niveau de placement des clients « fous »désireux d’investir leur argent chez lui déraisonna-blement en s’exposant excessivement à la prise derisque ! L’appât du gain et la cupidité des investisseurs, ycompris des retraités désormais ruinés, ont forte-ment contribué au succès du système frauduleux« de pyramide de Ponzi10 » mis en place par BernardMadoff ; les victimes qui l’ont ensuite poursuividevant les tribunaux américains ont totalementpassé sous silence leur volonté de gagner dessommes importantes dans des placements nonéthiques sans vouloir en connaître l’origine.

8 Informations recueillies à partir de l’ouvrage “The Wizard of Lies: Bernie Madoff and the Death of Trust” de Diana B. Henriques, publié le 5 août 2012et à partir de l’entretien mené avec Bernard Madoff par le journaliste du New-York Magazine, Steve Fishman, le 27 février 2011.

9 The Securities and Exchange Commission.10 Un système de Ponzi est un montage financier frauduleux qui consiste à rémunérer les investissements des clients essentiellement par les fonds

procurés par les nouveaux entrants. Si l'escroquerie n'est pas découverte, elle apparaît au grand jour au moment où le montage s'écroule, c'est-à-direquand les sommes procurées par les nouveaux entrants ne suffisent plus à couvrir les rémunérations des clients. Elle tient son nom de Charles Ponzi

qui est devenu célèbre après avoir mis en place une opération basée sur ce principe à Boston dans les années 1920.

Letrianglede lafraude

f raudeurs ,sans préten-dre à l’exhausti-vité. L’évolution duniveau technologique desfraudeurs provoque desmontages de plus en pluscomplexes et de multiples formesde fraude sans cesse réinventées ; ilapparaît davantage approprié decibler des actions préventives et détec-tives à partir d’une analyse des risques desdifférentes typologies de fraude17 plutôt quede déployer « une usine » de contrôle durisque de fraude dans une logique absolue,excessive et coûteuse. Il s’agit bien de désa-craliser le sujet de la fraude en s’appropriantle postulat selon lequel la plupart des fraudessont relativement simples et pourraient êtreévitées grâce à quelques recettes élémen-taires dans l’organisation.

Enfin, il convient de retenir que les recom-mandations d’audit présentées aux échelonsde gouvernance18 devraient surtout viser àagir sur les trois facteurs déclenchants déve-loppés par le modèle du « triangle de lafraude ». Cette orientation permettrait de se

placer dans une perspective de préventiondurable des possibilités de fraude et de facili-ter de manière pragmatique la gestion durisque de fraude au sein de l’organisation.



Pour cela, l’utilisation du référentiel d’analysemodélisé par le criminologue et sociologueaméricain Donald Cressey en 1953, dénommé« Triangle de la fraude » et permettant d’expli-quer l’avènement d’une fraude autour de troisgrandes catégories de facteurs déclenchants,s’avère grandement utile.

L’audit interne, un outilde prévention et de détectiondes fraudes

Au-delà du rôle principal d’apprécier le degréde maturité du dispositif de contrôle interned’une organisation, l’activité d’audit internejoue un double rôle dans la prévention et ladétection de la fraude11 : elle fournit une opinion sur le degré de

maîtrise des opérations : la direction d’auditinterne, en tant qu’entité indépendante, estchargée de donner une assurance raison-nable quant à la régularité et à la légalitédes opérations et des comptes des servicesaudités et quant au fonctionnementconforme d’un système par rapport auxexigences réglementaires12 ; elle assure un rôle consultatif, dans le cadre

d’une mission de conseil.

Dans les deux cas, la direction d’audit internepeut formuler des propositions visant à remé-dier aux carences dans les opérations, lescomptes et les systèmes.

Sans être un expert de la lutte contre lafraude13, un auditeur interne, qui est d’abordun généraliste doté de solides connaissancesméthodologiques, doit posséder uneconnaissance suffisante des principaux méca-nismes de fraude employés dans l’entreprise.S’appuyant sur ce socle de connaissances, ildoit réussir à mettre en œuvre des méthodesde détection de la fraude à partir de signauxd’alerte communément appelés « red flags ».La mise en œuvre des diligences dites deroutine14 peut permettre à l’auditeur de repé-rer, à l’occasion de l’accomplissement desmissions inscrites au programme annuel d’au-dit15, des anomalies ou des écarts inexpliqués(i. e. exceptions surprenantes ou situationsatypiques) pouvant être considérés commedes indicateurs de fraude. Néanmoins, il estplutôt sage de reconnaître que le caractèrevolontairement et subtilement dissimuléd’actes frauduleux rend leur détection parti-culièrement difficile pour l’auditeur16. Dès lors,il est nécessaire, dans une logique de perfor-mance alliant l’efficacité à l’efficience, d’adap-ter les techniques de contrôle aux principauxmécanismes de fraudes constatés à partir durecensement des cas mis à jour et connusdans chaque organisation et aux profils des

11 Cf. guide pratique GTAG 13 de l’IIA/IFACI « Prévention et détection de la fraude dans un monde automatisé » de décembre 2009.12 Selon les termes de la norme de fonctionnement IIA 2120.A2, « l’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est

géré par l’organisation ». Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.13 Conformément aux dispositions de la norme de qualification IIA 1210.A2, « les auditeurs internes doivent posséder des connaissances suffisantes

pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'unepersonne dont la responsabilité première est la détection et l'investigation des fraudes ».

Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.14 La norme de qualification IIA 1220.A1 fournit les lignes directrices selon lesquelles « les auditeurs internes doivent apporter tout le soin nécessaire à

leur pratique professionnelle en prenant en considération les éléments suivants : l'étendue du travail nécessaire pour atteindre les objectifs de lamission, la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont appliquées les procédures propres aux missions

d'assurance, l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle, la probabilitéd'erreurs significatives, de fraudes ou de non-conformité et le coût de la mise en place des contrôles par rapport aux avantages escomptés ».

Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.15 La norme de fonctionnement IIA 2210.A2 précise qu’« en détaillant les objectifs de la mission, les auditeurs internes doivent tenir compte de la

probabilité qu'il existe des erreurs significatives, des cas de fraudes ou de non-conformité et d’autres risques importants ». Cf. commentaires associés dans le guide pratique « L’audit interne et la fraude » de l’IFACI de juillet 2010.

16 Selon les différentes enquêtes annuelles de l’ACFE, les auditeurs internes et externes ne détecteraient environ qu’une fraude sur cinq, les fraudespouvant être découvertes entre autres par un système d’alerte en place, par hasard, par la divulgation directe d’information

interne ou externe, par un dispositif d’alerte éthique (« whistleblowing ») ou encore par l’investigation des autorités judiciaires.17 Les différentes et principales typologies de fraude comprennent notamment le détournement d'actifs,

la fraude comptable, la corruption, la cybercriminalité ou encore la fraude aux achats.18 Cela concerne, à titre d’illustration, les dirigeants, les conseils d’administration, de surveillance ou de gestion

et les comités d’audit (et des risques quand il existe).

Sébastien Lepers possède une expé-rience professionnelle d’environ 18années de pratique de la gestionpublique, exercées tant en France qu’àl’international, au cours de laquelle il apu développer une forte expertise dansles domaines de l’audit et du contrôleinternes, de la gestion des risques et dela lutte antifraude.

Àl’instar des grandes entreprises, leGroupe SNCF, par sa taille, la naturede ses activités dont certaines sontfortement décentralisées, ses

implantations géographiques et ses offres, estexposé au risque de fraude.

Lorsque l’on associe les mots « transportpublic » et « fraude », on pense bien sûr à l’uti-lisation des moyens de transports sans titre

valable, appelée « fraude voyageur », préoc-cupation forte des entreprises de ce secteur,pour laquelle des dispositifs spécifiques deprévention, de dissuasion, de contrôle et d’in-tervention sont mis en œuvre. Chaque année,le coût en est estimé à plus de 300 millionsd’euros pour la SNCF et, en 2015, l’entreprisea renforcé son engagement de lutte contre cetype de fraude. Et les dispositifs mis en placesont régulièrement audités.

Au-delà de cette spécificité, liée à son activitéde transport public, le Groupe SNCF est égale-ment concerné par les autres natures defraude1 internes et externes.

Plusieurs études, nationales et internationales,menées en 2016 ont montré que les entre-prises françaises sont confrontées à unemontée en puissance des risques en cedomaine : explosion de la cyber-fraude,



Groupe SNCFLe rôle préventif de l’audit interneen matière de fraude

1 Extrait de la Charte éthique du Groupe : La fraude est un acte intentionnel qui consiste à tromper délibérément autrui pour obtenir un bénéficeillégitime ou pour contourner des obligations légales ou des règles professionnelles. Elle se caractérise notamment, soit par des vols purs et simples

des fonds, valeurs ou biens de l’entreprise, soit par des manœuvres de dissimulation ou de falsification de documents visant à obtenir indûmentlesdits fonds, valeurs ou biens.

Outre la « fraude voyageur », la SNCF est confrontée à bien d’autres types de fraudesen interne et en externe, certaines récentes telles que la cyber-fraude ou la fraude auprésident. Une collaboration étroite a été mise en place entre la direction de l’audit etdes risques, très impliquée dans la prévention, et la direction éthique/déontologie etde la sûreté en charge des investigations.

Christian Cochet, Directeur Général de l’Audit & des Risques, SNCFAdministrateur de l’IFACI

fraude au président, faux fournisseurs, détour-nement d’actifs …, autant de types de tenta-tives de fraude pour lesquels lesétablissements du Groupe se doivent d’avoirune organisation de défense solide.

Celle du Groupe SNCF est classiquementbasée sur le modèle des 3 lignes de maîtrise.Le management opérationnel veille aurespect, au sein de son organisation, des prin-cipes qui permettent de maîtriser le risque defraude : formalisation des procédures, déléga-tion de pouvoir, séparation des tâches,gestion des habilitations… Les directionsfinancière, juridique, achats, ressourceshumaines, informatique, ainsi que la directionéthique et déontologie et la direction de lasûreté constituent, avec les fonctions mana-gement des risques et contrôle interne, la 2ème

ligne de maîtrise, l’audit intervenant en 3ème

ligne.

Au sein du Groupe, la direction de l’audit etdes risques (DAR) est particulièrement impli-quée dans la prévention de la fraude, par lesfonctions qu’elle assure : management desrisques, contrôle interne, contrôle de la sécu-rité du SI et, bien évidemment, l’audit interne,couvrant ainsi la 2ème et la 3ème ligne demaîtrise.

Les cartographies des risques majeurs, réali-sées par les entités du Groupe, évaluent lerisque de fraude de manière globale. Un auditréalisé en 2014, a montré la nécessité d’analy-ser spécifiquement les risques de fraude.Depuis 2015, des cartographies spécifiquesdétaillées du risque de fraude sont déployéesau niveau des métiers, activités et directionsfonctionnelles.

Le rôle de la fonction contrôle interne dans lalutte pour la prévention et la détection de lafraude a, par ailleurs, été réaffirmé. Animé parla DAR, le réseau des contrôleurs internes,acteur central de la prévention et détection,organise une remontée périodique des cas defraude avérés ou potentiels, qui sont analysésà des fins pédagogiques. L’utilisation d’outilsde data mining pour l’analyse de processusjugés à risque a également été développéesous l’impulsion de la DAR. Les campagnesd’auto-évaluation annuelles portant sur l’en-vironnement de contrôle des entités permet-tent quant à elles de mesurer leur maturitédans la maîtrise de ce risque et d’apprécierl’efficacité des plans d’actions qui en décou-lent.

Au-delà de la prévention et détection et durôle joué par la fonction contrôle interne, lecircuit d’information et d’alerte associe égale-

ment, les services d’investigation du Groupe,l’équipe d’enquête de la Direction éthique etdéontologie et le pôle sûreté économique etfinancière de la Direction de la sûreté (cf. pagesuivante) ainsi que la cellule de veille des inci-

dents cyber, chargée du relais d’informationauprès du personnel en cas de tentative defraude externe (arnaque au président, fauxrelevé d’identité bancaire (RIB), hameçonnage(phishing), …).

La coordination de ces acteurs est essentielleet, à ce titre, le directeur de l’audit et desrisques et le directeur éthique et déontologie



se rencontrent périodiquement pour partagerleurs constats et analyses. Le directeur de l’au-dit et des risques est également membre duComité éthique Groupe.

Si le risque de fraude ne concerne, de façonexplicite, qu’une partie modeste du plan d’au-dit, la plupart des missions portant sur desprocessus ou des entités vont conduire àanalyser l’environnement de contrôle, larobustesse des dispositifs de contrôle interneexistants et par là-même à apprécier l’exposi-tion au risque et son niveau de maîtrise.

Le rôle de l’audit n’est pas d’enquêter mais bien, parson action d’analyse des processus et de l’environnement,d’évaluer le risque et l’adéquation / l’efficacitédes contrôles mis en place

«»

Les auditeurs sont formés, dès leur arrivée à laDAR, aux fondamentaux de la gestion desrisques et du contrôle interne et bénéficientégalement d’un module de formation à l’outilde data mining que la DAR utilise depuis 2007.Lorsqu’un risque de fraude est identifié lorsd’un audit, l’équipe d’audit établit une fiched’analyse détaillée et, en cas de suspicion,applique la procédure interne définie par laDAR en ce qui concerne la diffusion d’infor-mation et les suites à donner en matière d’in-vestigation. Elle ne procède pas elle-même àl’enquête, ce rôle est dévolu aux servicesdûment autorisés pour le faire. Elle veille enrevanche à ce que les preuves soient préser-vées. Le rôle de l’audit n’est pas, en effet, d’en-quêter mais bien, par son action d’analyse desprocessus et de l’environnement, d’évaluer lerisque et l’adéquation / l’efficacité descontrôles mis en place.

Des audits périodiques sur certains processuscomportant des risques potentiels de fraude,par exemple les achats, sont régulièrementinscrits au plan d’audit et les constats etrecommandations, partagés avec le manage-ment mettent en exergue le niveau de robus-tesse des dispositifs de contrôle.

Depuis 2014, une méthodologie spécifiqued’audit de conformité aux recommandationsde l’Autorité des marchés financiers (AMF) aété développée. Ces missions, inscrites auplan d’audit, concernent chaque année unepartie des entités du Groupe SNCF. Basée surles revues d’une sélection de processus, laprofondeur des tests et analyses menés parles auditeurs, complétée par l’utilisation dudata mining, permet de traiter et de faireparler une quantité importante de donnéeset de détecter les anomalies d’exception denature à éclairer le risque de fraude.

Enfin, des missions de contrôle de la sécuritédes systèmes d’information sont réalisées parune équipe spécialisée de la DAR. Dans cedomaine qui touche tous les systèmes d’infor-mation (SI) du Groupe, les risques de fraude –intrusion dans les SI, utilisation de faux RIB, volde données bancaires ‒ sont régulièrementévalués à l’appui de scénarios potentiels et detests techniques permettant d’éprouver leniveau de sécurité des SI et du risque decyber-fraude.

D’une manière générale, les travaux conduitset partagés par l’audit, lors des restitutions demissions, contribuent à la sensibilisation dumanagement, à donner des clés pour identi-fier des signaux d’alerte pour une meilleureprévention de ce risque.



Le pôle sûreté économique et financière (SEF) dela direction de la sûreté, au service de la protectiondes intérêts économiques et financiers de SNCFLes agents de la SEF exercent leurs missions dans les conditions précisées dans untexte à portée réglementaire interne à l’entreprise.

Ils disposent d’un pouvoir de recherche concernant les actes commis par des tiers(escroqueries) au préjudice du patrimoine, de l’image de l’entreprise.

Concernant les recherches portant sur des malversations ou des actes contraires auxdispositions internes réalisées par des agents de l’entreprise, elles sont subordonnéesà une demande préalable de la direction de l’établissement de l’agent concerné, de ladirection de l’entreprise ou de toute personne titulaire d’une délégation de pouvoirconsentie par l’employeur (notamment la direction de l’éthique et de la déontologie).

Concernant les utilisations de supports numériques professionnels, de la messagerieprofessionnelle ou des accès internet, potentiellement contraires à la loi, à la politiquede sécurité des systèmes d’information du Groupe Public Ferroviaire, ou de la charteéthique du Groupe SNCF, les agents SEF disposent d’une subdélégation permanentede la part de la direction de l’éthique et de la déontologie pour notamment procéderà des saisies et analyses de supports numériques des salariés.

Les domaines d’investigation peuvent concerner la fraude sur les titres de transport,les fraudes aux moyens de paiement, des fraudes internes sur les systèmes de vente,des usages abusifs, des détournements de biens. Chaque année, près d’un millier dedossiers, très majoritairement des fraudes externes, sont traités.

En comptant l’unité d’expertise, équipe d’appui technique, et la cellule d’investigationnumérique au sein du pôle SEF de la direction de la sureté, ce sont 60 agents mobilisésquotidiennement contre la fraude interne et externe.

La Direction Éthique et DéontologieLa direction de l’éthique et de la déontologie (DE&D) a pour missions : la prévention des intérêts du Groupe Public Ferroviaire (définition de la politique

éthique, communication, sensibilisation, formation, conseil, appui…) ; le pilotage du dispositif d’alerte professionnelle, créé dès 2011 et encadré par la

CNIL ; la conduite des enquêtes en cas de suspicion de comportement inapproprié des

salariés SNCF sur tout sujet éthique (fraude, corruption, harcèlement, discrimination,conflits de personnes, conflits d’intérêts, détournements des SI, etc.).

La légitimité de la DE&D pour conduire des enquêtes procède directement du pouvoirde direction, de contrôle et de surveillance de l’employeur, reconnu par la loi (Codedu travail).Ce pouvoir connaît une double limite : le respect de la vie privée des salariés, la loyauté et la transparence, qui interdisent à l’employeur de mettre en place des

mesures ou dispositifs clandestins et lui font obligation, au contraire, de porter à laconnaissance des salariés toute enquête ou système de surveillance.

Pour la réalisation des enquêtes, la DE&D dispose d’une délégation de pouvoirsémanant du président et du président délégué du Directoire de SNCF. En appui à sesmoyens propres, elle peut faire appel aux agents de la direction de la Sûreté (SEF) ouà des experts internes ou externes au Groupe Public Ferroviaire.

Les enquêtes sont conduites par deux enquêteurs nominativement désignés par ledirecteur E&D dans une lettre de mission qui définit l’objet et le périmètre d’action.Les enquêteurs s’engagent à respecter strictement, dans l’exercice de leurs fonctions,la « Charte de déontologie dans la conduite des enquêtes » de la DE&D.

Pour l’accomplissement de ses missions, la DE&D peut prendre connaissance oupossession de tout dossier, pièce ou support numérique détenu par des salariés duGroupe Public Ferroviaire, accéder à l’ensemble des locaux et entendre tout salariédans le cadre de son activité professionnelle.



L’exigence éthique est le corollaired’une démocratie vivante au sein delaquelle les acteurs publics, surlesquels repose la bonne utilisation du

produit des prélèvements consentis par lescitoyens, doivent être exemplaires. C’est laraison pour laquelle les organismes interve-nant sur fonds publics sont soumis aucontrôle de l’Etat.Placé auprès du ministre de l’Economie et desFinances, le Contrôle général économique etfinancier (CGefi) est un corps de contrôle,d’audit et de conseil en gestion publiqueprésent auprès de plus de 500 organismespublics. Qu’elles prennent la forme ducontrôle d’opérateurs et d’entreprisespubliques, de l’audit ou du conseil, les inter-

ventions des contrôleurs géné-raux sont fondées sur l’analyse

des risques et l’évalua-tion de la

Le regard du CGefi

Pour les organismes intervenant sur fonds public, le Contrôle Général Economique etFinancier fait de la lutte contre la fraude interne l’une de ses priorités.L’auteur en donne ici quatre illustrations.

Isabelle Roux-Trescases, Chef du Contrôle général économique etfinancier, France

La lutte contre la fraude internedans les organismes publics



performance. Elles participent à la missionplus globale d’alerte, de veille, de recomman-dation relative aux intérêts patrimoniaux etbudgétaires de l’État, à la gouvernance et à lamodernisation de la gestion publique.Pour l’exercice de ses missions, le CGefi s’ap-puie sur l’expérience, la diversité des parcourset des compétences des cadres qui le compo-sent et sur des principes d’organisation et desméthodologies garants de la qualité de sesprestations1.Son positionnement spécifique au cœur de lagouvernance des organismes publics leconduit à faire de la lutte contre la fraudeinterne2 un point de vigilance naturel pour lecontrôleur qui est d’autant plus attentif que laFrance a connu de fortes évolutions cesdernières années en la matière : lois récentessur la transparence de la vie publique (11octobre 2013) et la déontologie des fonction-naires (20 avril 2016) ; volonté d’inscrire cesproblématiques dans le quotidien des acteurséconomiques comme des organismes dusecteur non concurrentiel (loi dite « Sapin II »du 9 décembre 2016) mais égalementnouveau cadre budgétaire plus lisible etcomptable plus transparent ; développementdu contrôle interne, des cartographies desrisques et de l’audit au sein de l’Etat et desorganismes publics3 ou normes ISO sur laprévention de la corruption en cours d’adop-tion.Toutes ces évolutions et une préoccupationmarquée au niveau européen donnent ausujet une dimension nouvelle que le CGefi adû prendre en compte dans ses modes d’in-tervention. Quatre illustrations.

La prise en compte de la fraudeinterne dans l’activité d’audit du CGefi

L’activité d’audit du CGefi, soit environ 35audits par an, se développe sur trois champs :une contribution majeure à l’audit interneministériel des services de Bercy ; des missionsciblées sur les entreprises privées bénéficiairesde subventions, prêts ou garanties de l’Etat ;enfin un programme annuel d’audits comp-tables et financiers, ou d’audits de gouver-nance concernant les organismes publics.L’analyse du risque de fraude est réalisée dansle cadre des missions d’audit menées par leCGefi sur les organismes publics mais égale-ment sur les entreprises privées aidées(risques de fraude à la subvention). Concernant les organismes publics, la métho-dologie d’analyse des risques de fraude duCGefi repose sur les concepts et outils issusdes Normes internationales de l’audit interne(IIA) et du Cadre de référence de l’auditinterne de l’Etat (CHAI). L’activité d’audit est

d’ailleurs certifiée par IFACI Certificationdepuis juillet 2012, et sa démarche d’analysedes risques de fraude fait l’objet, dans le cadrede cette dynamique de progrès, d’améliora-tions régulières.Les auditeurs sont amenés à analyser en parti-culier les risques de corruption, de falsificationde données financières en vue de détourne-ments d’actifs, et de conflits d’intérêt. Ilsévaluent les dispositifs de contrôle interne del’organisme audité, afin de vérifier l’existence,la mise en œuvre, l’efficience et l’actualisationrégulière des dispositifs de prévention(chartes, gestion des ressources humaines,recrutement, formation…), de dissuasion(audit interne, contrôles de 2e niveau…), et dedétection de la fraude (dispositifs d’alerte,reporting ciblé des anomalies, logiciels spécia-lisés…).

Pour effectuer leurs diligences en matière derisques de fraude, les équipes d’audit du CGefidisposent désormais de méthodes et d’outilsadaptés qui intègrent cette dimension : ques-tionnaires de prise de connaissance, matricesde risques, note de stratégie terrain, question-naires de contrôle interne, fiches de tests adhoc.Enfin, le plan de formation des auditeurs intè-gre l’analyse des risques de fraude, et uneformation spécifique a été organisée sur cethème en mars 2016, ouverte également àdes auditeurs de la mission risques-audit dela direction générale des Finances publiques.

La situation des organismescontrôlés au regard de la luttecontre la fraude interne

Dans le cadre de la programmation annuellede ses travaux pour 2016, le CGefi a souhaitéeffectuer un état des lieux sur les dispositifsde lutte contre la fraude déployés par les

organismes soumis à son contrôle. L’étudeporte sur la lutte contre la fraude interne dansune cinquantaine d’organismes de taille et destatut variés, relevant tant du secteur nonmarchand que du secteur concurrentiel. Selon les premiers renseignements brutsrecueillis auprès des contrôleurs4, les cassusceptibles de recevoir la qualification deconflits d’intérêts sont les plus fréquents (40 %des organismes documentés), loin devantceux de favoritisme liés aux procédures rela-tives à la commande publique (12 %). Les faitsde corruption ou de trafic d’influence etd’abus de biens sociaux (ou détournement debiens publics) restent marginaux selon lesretours obtenus des contrôleurs sur les orga-nismes passés en revue. Le CGefi sera amené à tirer les enseignementsde cet état des lieux sous la forme de propo-

sitions : par exemple, l’instauration par lesorganismes publics d’une traçabilité effectivedes mesures de prévention et de gestion dessituations de conflits d’intérêts pourrait êtrerecommandée. De même, il pourrait être utilequ’une fois par an l’ordre du jour des séancesdes organes délibérants porte sur la définitionet la mise en œuvre des dispositifs de luttecontre la fraude sur la base d’un rapportproduit par la direction générale de l’orga-nisme.

Le concours du CGefi au contrôlede l’utilisation des fondseuropéens

Le contrôle général économique et financierapporte son concours au contrôle de l’utilisa-tion des fonds européens (fonds agricoles etfonds structurels). Il contribue à la certificationdes dépenses déclarées à la Commissioneuropéenne avec la mission de contrôle desopérations dans le secteur agricole (CICC-

La lutte contre la fraude interne est un pointde vigilance naturel pour le contrôleur qui estd’autant plus attentif que la France a connude fortes évolutions ces dernières annéesen la matière

«

»

1 Pour plus d’informations sur le CGefi, voir son rapport annuel 2015 http://www.economie.gouv.fr/cgefi/rapports-dactivite-cgefi2 Fraude susceptible d’être commise par les dirigeants, les administrateurs, les cadres et les agents des organismes par opposition

à la fraude dite « externe » commise par les usagers des organismes publics.3 Voir également les rapports du Conseil d’Etat sur le droit d’alerte (février 2016) et de la Cour des comptes sur le conflit d’intérêt

en matière d’expertise sanitaire (mars 2016).4 Le rapport est attendu pour début 2017. Les présents commentaires sont donc provisoires.



FEAGA) ou par des contrôleurs généraux misà disposition des commissions spécialisées(CICC-Fonds structurels ou CCCOP).

La Commission interministériellede Coordination des Contrôles (CICC)sur les Fonds structurels

La CICC est, en France, l’autorité d’auditprévue par la réglementation européennepour les Fonds structurels (FEDER, FSE, FEP,Fonds de coopération territoriale euro-péenne; fonds flux migratoires). Le CGefiapporte son expertise pour les travaux trans-versaux nécessaires à l’organisation des auditsdes systèmes de gestion des fonds européenset au déroulement des contrôles de corrobo-ration (contrôle d’opérations) permettant ainsil’établissement, à destination de laCommission européenne, des rapports et avisannuels d’audit sur la gestion des fonds euro-péens.

La Commission de certificationdes comptes des organismes payeursagricoles (CCCOP)

La CCCOP, organisme de certification françaisdes dépenses financées par les deux fondseuropéens agricoles (FEAGA et FEADER),procède annuellement à l’audit des quatreorganismes payeurs français (près de 9milliards d’euros de dépenses annuelles) :l’Agence de services et de paiements (ASP)qui verse les aides directes aux agriculteurs etfinance des aides de développement rural ;FranceAgriMer qui intervient en soutien auxfilières agricoles ; l’ODEADOM pour l’agricul-ture des DOM ; et enfin l’ODARC qui financele développement rural en Corse. Pourchacun, elle émet un avis sur les comptes etsur la déclaration de gestion du directeur. Surla base de ses constats, elle émet des recom-mandations et propose des corrections finan-cières qui, in fine, diminuent les sommesallouées à la France sur fonds communau-taires.

La Commission Interministériellede Coordination des Contrôles(CICC-FEAGA)

Sous supervision de la CICC qui est, dans ledomaine des aides agricoles relevant de laPAC, une structure de relais en France desservices de la Commission européenne, lamission des Contrôles des opérations dans lesecteur agricole (COSA), instaurée au sein duCGefi, a réalisé 179 opérations de contrôlesd’initiative nationale en 2015. Ces investiga-tions, réalisées sur pièces et sur place par unetrentaine de contrôleurs d’opérations asser-

mentés, ont porté sur des secteurs très divers :viticulture, fonds opérationnels des groupe-ments de producteurs, aides à l’éloignementet à l’insularité pour les DOM, apiculture, laitet fruits aux écoliers. 134 irrégularités ont étédétectées, représentant un montant de 9,3millions d’euros.Cette contribution active du CGefi au contrôlede l’utilisation des fonds européens donne àce dernier une ouverture sur les pratiqueseuropéennes en matière d’évaluation et degestion proportionnée des risques de fraudedont il entend tirer les enseignements dans lecadre de sa fonction de contrôle des orga-nismes entrant dans son périmètre d’inter-vention.

L’évaluation du risque de fraudedans le cadre du contrôle

La prise en compte, selon les meilleurs stan-dards, du risque de fraude, s’inscrit dans ladynamique de progrès initiée en 2014 dans lecadre du déploiement d’une assurancequalité pour le contrôle, après le processus decertification plus ancien de l’activité d’audit5.Le bon exercice des missions de contrôlerepose sur les principes d’organisation duCGefi dont le respect des prescriptions régle-mentaires définissant les interventions ducontrôleur. Dans ce cadre, il incombe auxmissions de contrôle de pouvoir justifier de labonne adéquation des méthodes et moyensmis en œuvre pour livrer à leurs commandi-taires des conclusions correspondant auniveau de qualité attendue.Ainsi, une cartographie permet d’apprécier lesdispositifs de maîtrise des risques des orga-nismes contrôlés. La méthode repose sur unetypologie des zones de risque de l’organismeet des enjeux que ce dernier représente pourl’État, une échelle de cotation préétablie et lesobservations que le contrôleur peut apporterà l’appui de sa cotation. A partir de ce dispo-sitif désormais bien rodé, le contrôleurdispose d’une orientation pour adopter un« mode » de contrôle adapté aux situationsrencontrées. Cette démarche, par l’identifica-tion de champs et de niveaux d’interventionen lien avec les risques et enjeux préalable-ment analysés, permet de disposer d’un outilpréconisant trois « modes » de contrôle : deréférence, renforcé et allégé.L’élaboration d’un dispositif spécifique à lalutte contre la fraude par les organismes

contrôlés s’inscrit pleinement dans une tellelogique sous réserve d’une mise à dispositiondes contrôleurs d’outils opérationnels adaptésqui n’existent que partiellement à ce jour6.L’approche consiste en un prolongementspécifique de l’analyse du risque par uneévaluation de l’exposition de l’organismecontrôle aux risques de fraude interne. Cetteévaluation suppose un travail de descriptiondes risques (conflits d’intérêts ; fraudes enmatière de charges salariales ; fausses factura-tions ; substitution de produits …), autant quepossible assorti d’une quantification (inci-dence/probabilité), suivi d’une appréciationdes mesures prises par l’organisme pour yfaire face et, à défaut de mesure jugées adap-tées, de préconisation de plan d’actions.Ainsi, par cette mobilisation spécifique, lecontrôleur est amené à vérifier comment lestrois volets – prévention, détection et protec-tion du risque – sont traités par l’organisme etquelles solutions organisationnelles sont enplace (existence d’actions de formation et desensibilisation, voire de dissuasion; mise enplace d’indicateurs de détection, de lance-ment d’alerte, déploiement d’outils d’analysede données; mesures prises pour limiter lesconséquences d’une fraude…). Les conclusions de ces travaux, comme parailleurs l’ensemble des constats des contrô-leurs, donnent lieu à information – le caséchéant sous forme d’alerte en cas de défail-lance grave – des parties prenantes.

Face à une demande accrue d’exigenceéthique et à une sensibilité renforcée à lafraude d’une société fragilisée, le secteurpublic s’empare résolument de la question.Actuellement, les grandes entreprises ouétablissements publics du secteur concurren-tiel maîtrisent le risque de fraude interne dansle cadre d’un contrôle interne répondant auxmeilleurs standards internationaux. Une largemajorité des autres organismes relevant dusecteur non marchand et ne disposant pasencore tous d’un contrôle interne pleinementabouti, demandent une vigilance particulièrede la part des contrôleurs. Le CGefi s’efforce donc d’adapter ses auditsponctuels et son contrôle continu en fonctionde l’évolution des risques de fraude interne etdes difficultés liées à leur évaluation.

5 La mission « Contrôle des opérations dans le secteur agricole » est en voie de certification.6 Une fiche de procédure commentée sur l’article 40 du CPP a été mise au point par un groupe de travail fin 2015.


La loi Sapin II est la réponse de la Franceaux critiques de l’OCDE concernantson manque de résultats en matière delutte contre la corruption depuis l’en-

trée en vigueur de la Convention de 1997. Ellefait entrer les programmes de conformité(compliance) dans le droit positif alors quejusqu’alors ils n’étaient que du domaine de lasoft law et des bonnes pratiques. Le dispositiflégislatif en matière de lutte contre la corrup-tion, sera bientôt suivi de décrets d’applica-tions, et s’articule comme suit.

Création de l’agence françaiseanticorruption (« AFA »)

L’AFA se substitue au Service central deprévention de la corruption (SCPC), dont lespouvoirs étaient jugés insuffisants.

Vis-à-vis des entreprises, il appartiendra àl’Agence : de contrôler le respect par les sociétés de

la mise en œuvre des mesures et procé-dures de conformité ; d’élaborer des recommandations pour

aider les entreprises dans la mise enœuvre de leurs programmes anticor-

ruption. Ces recommandationsseront actualisées périodique-

ment, proportionnées à lataille des entreprises et à la

nature des risques identi-fiés ; elles seront publiées

sous la forme d’un avisau Journal Officiel ; de veiller aurespect de la loi du26 juillet 1968 (diteloi de blocage) lorsde procédures demise en confor-mité exigées pardes autoritésétrangères.

La loi Sapin IIdu 9 décembre 2016

Jean-Yves Trochon, Senior Advisor, Corporate Compliance & BusinessIntegrity, Ernst & Young et Associés

Face aux avancées marquantes de la loi Sapin II, l’auteur précise les obligationsnouvelles qui en découlent pour les entreprises de plus de 500 salariés et réalisant unchiffre d’affaires de 100 M€, et les sanctions susceptibles de les frapper si elles nemettent pas en place un programme de conformité anti-corruption.




Des mesures similaires sont prévues pour lesadministrations et collectivités territoriales.

Obligation de mettre en placeun programme de conformité

La loi impose aux entreprises d’une certainetaille l’obligation de mise en place d'unprogramme de conformité anti-corruption.

Les entreprises concernées

Les entreprises concernées sont celles de plusde 500 salariés et réalisant un chiffre d’affairesde plus de 100 millions d’euros, ainsi que lesentreprises appartenant à un groupe remplis-sant les mêmes seuils, dont la société mère ason siège sur le territoire français et met enplace ces mesures pour le groupe dans sonensemble. Cette obligation pèse sur les diri-geants mandataires sociaux, ainsi que sur lessociétés elles-mêmes. Ainsi, il apparait claire-ment que les Conseils d’administration (etplus particulièrement les Comités d’audit)seront responsables de s’assurer que lesprogrammes sont effectivement mis en place,en cohérence avec leur obligation actuelle desuivi de l’efficacité des systèmes de contrôleinterne et de gestion des risques, dérivée del’Ordonnance de décembre 2008.

Les procédures et dispositifs à mettreen place

Les entreprises devront mettre en œuvre lesmesures suivantes :

Un code de conduite - Il définira et illustrerales différents types de comportements à pros-crire comme étant susceptibles de caractéri-ser des faits de corruption ou de traficd’influence. Il devra être intégré au règlementintérieur de l’entreprise et faire l’objet, à cetitre, de la procédure de consultation desreprésentants du personnel prévue à l’articleL. 1321-4 du code du travail.Un dispositif d’alerte interne - Ce dispositifest destiné à permettre le recueil des signale-ments émanant d’employés relatifs à l’exis-tence de comportements ou de situationscontraires au code de conduite de la société.Une cartographie des risques - Elle prendrala forme d’une documentation régulièrementactualisée et destinée à identifier, analyser ethiérarchiser les risques d’exposition de lasociété à des sollicitations externes aux fins decorruption, en fonction notamment dessecteurs d’activités et des zones géogra-phiques dans lesquels la société exerce sonactivité.Des procédures d’évaluation - Elles serontdestinées à évaluer la situation des clients etfournisseurs de premier rang ainsi que desintermédiaires au regard de la cartographiedes risques.

Des procédures de contrôles comptables,internes ou externes - Elles seront destinéesà s’assurer que les livres, registres et comptesne sont pas utilisés pour masquer des faits decorruption ou de trafic d’influence. Cescontrôles pourront être réalisés soit par lesservices de contrôle comptable et financierpropres à la société, soit en ayant recours à unauditeur externe à l’occasion de l’accomplis-sement des audits de certification decomptes prévus à l’article L. 816-9 du code decommerce.Un dispositif de formation - Il sera destinéaux cadres et aux personnels les plus exposésaux risques de corruption et de trafic d’in-fluence.Un régime disciplinaire - Il permettra desanctionner les salariés de la société en cas deviolation du code de conduite de la société.Un dispositif de contrôle et d‘évaluationinterne - Il aura pour but de contrôler l’appli-cation des mesures mises en œuvre dans lecadre du programme de conformité anticor-ruption et d’en évaluer l’efficacité.

Contrôles et sanctions de l’exécutionde l’obligation de prévention

L’AFA a pour mission de contrôler le respect,par les entreprises concernées, de l’obligationde mise en place d’un programme de confor-mité anti-corruption.Elle est investie de pouvoirs de contrôle luipermettant notamment de se faire commu-niquer tout document professionnel ou touteinformation; de procéder sur place à toutesvérifications portant sur l’exactitude des infor-mations fournies ; et de s’entretenir avec toutepersonne dont le concours paraît nécessaire.En cas de manquement à l’obligation deprévention, l’Agence dispose de pouvoirs desanctions, allant du simple avertissement àdes sanctions pécuniaires de 200 000 eurospour les personnes physiques et de 1 000 000euros pour les personnes morales.

Peine complémentaire de miseen conformité

La loi prévoit en outre que l’entrepriseconvaincue de délit de corruption et de traficd’influence sera passible d’une peine complé-mentaire de mise en conformité, l’obligeant,sous le contrôle de l’Agence, à mettre en placeun programme de conformité anti-corrup-tion.

Effet des programmes de conformité

A ce stade, il n’est pas envisagé que la mise enœuvre effective d’un programme puisseconstituer une circonstance atténuante encas de faits de corruption commis « à soninsu » par des personnes ayant violé les procé-dures internes. Toutefois, le juge dispose du

pouvoir de moduler la sanction en fonctiondes circonstances, et notamment s’il s’avèreque l’entreprise avait bien mis en œuvretoutes les mesures possibles pour prévenir lasurvenance de tels faits.

Entrée en vigueur

L’obligation de mettre en place unprogramme de conformité anticorruptionentre en vigueur le premier jour du sixièmemois suivant la publication de la loi, soit enpratique au 1er Juin 2017.

Convention judiciaire d’intérêtpublic (« CJIP »)

Il s’agit là d’une véritable innovation dans ledroit positif français, qui s’aligne ainsi sur lespays qui y ont recours afin d’éviter des procèslongs, coûteux et à l’issue incertaine. Ainsi, lespays considérés comme les plus efficaces enmatière de lutte contre la corruption dispo-sent tous d’un tel instrument, souventdénommé « transaction pénale ». La CJIP avocation à permettre, en matière de corrup-tion, de trafic d’influence ou de blanchimentde fraude fiscale, tant que l’action publiquen’a pas été mise en mouvement, la conclusiond’un accord entre le parquet et une entre-prise, moyennant une amende maximale de30 % de son chiffre d’affaires et l’engagementpar l’entreprise de se soumettre, pour unedurée maximale de trois ans, sous le contrôlede l’AFA, à un programme de mise en confor-mité.Le nouveau dispositif transactionnel n’em-porte pas déclaration de culpabilité, de sorteque les entreprises concernées ne subirontpas la peine d’interdiction de soumissionneraux marchés publics. L’exécution des obliga-tions prévues par la convention éteint l’actionpublique, sans préjudice du droit des victimesde poursuivre la réparation de leur préjudicedevant les juridictions civiles. L’extinction del’action publique n’opère qu’à l’encontre de lapersonne morale concernée. Ses représen-tants légaux demeurent néanmoins respon-sables et à ce titre, pourront être poursuivis,même en cas de conclusion d’une CJIP.

Protection des lanceurs d’alerte

Définition du lanceur d’alerte

Selon la loi Sapin II, le lanceur d’alerte est unepersonne physique (et en aucun cas unepersonne morale) qui révèle ou signale uncrime ou un délit, une violation grave et mani-feste d’un engagement international, de la loiou du règlement, ou une menace ou unpréjudice graves pour l’intérêt général, dontelle a eu personnellement connaissance. Lesfaits couverts par le secret de la défense natio-nale, le secret médical et le secret des relations


entre un avocat et son client sont exclus durégime de l’alerte, précise la loi.Le lanceur d’alerte doit nécessairement êtrede bonne foi et agir de manière désintéressée. A noter que le champ de l’alerte est plus largeque la révélation de faits de corruption s’agis-sant de tout acte susceptible d’enfreindre uneobligation légale ou l’intérêt général.

Conditions de mise en œuvre de l’alerte

Le lanceur d’alerte doit d’abord s’adresser àson supérieur hiérarchique direct ou indirect,à son employeur ou à un référent désigné parcelui-ci. Afin de rendre possible la saisineinterne, la loi impose notamment auxpersonnes morales de droit privé ou de droitpublic employant au moins 50 salariés de sedoter de procédures internes de recueil desalertes émises par les membres de leurpersonnel ou par les collaborateurs extérieurset occasionnels. A noter que ce seuil de sala-riés est particulièrement bas et s’ajoute à celuide 500 salariés prévu par l’article 17 (cf. supra)concernant l’obligation de mettre en place undispositif d’alerte interne en matière de signa-lement de faits de corruption. Si aucune suite n’est donnée par son destina-taire à l’alerte dans un délai raisonnable, lelanceur d’alerte peut s’adresser aux autoritésjudiciaires ou administratives ou aux ordresprofessionnels. A défaut, par ces autorités, detraiter l’alerte dans un délai de trois mois, lelanceur d’alerte peut divulguer les faits aupublic. À noter qu’en cas de danger grave etimminent ou en présence d’un risque dedommages irréversibles, le signalement peutêtre porté directement à la connaissance desautorités judiciaires ou administratives ou auxordres professionnels, et rendu public.

Protection du lanceur d’alerte

En ce qui concerne la protection du lanceurd’alerte, la loi Sapin II prévoit plusieursmesures : Toute personne qui fait obstacle à l’exercice

du droit de lancer une alerte est punie d’unan d’emprisonnement et de 15 000 eurosd’amende. Les éléments de nature

à identi-

loi était nécessaire pour protéger les entre-prises françaises contre les lourdes condam-nations d’autorités étrangères (ie US DoJ) et «rapatrier » en France la lutte contre la corrup-tion internationale mettant en cause lesentreprises françaises.Il est donc urgent que les entreprises s’orga-nisent en conséquence car elles ne doiventpas attendre ni de l’AFA ni des procureursquelque indulgence, l’enjeu étant précisé-ment de démontrer que les autorités fran-çaises seront aussi rigoureuses que leurshomologues étrangers s’agissant de sanction-ner les actes de corruption et de trafic d’in-fluence.

Sans nul doute, pour certaines, cette loidonnera lieu à un important travail d’intros-pection (à partir de la cartographie desrisques) destiné à définir les mesures complé-mentaires requises pour prévenir les faits decorruption, notamment s’agissant du recoursaux tierces parties dans des pays fortementexposés à la corruption. Ces mesures tendrontà accentuer les validations de ces tiercesparties et les conditions de rémunération deces derniers. Elles conduiront également lesentreprises à analyser leur gouvernance et lesinteractions entre les parties prenantesinternes : Direction générale, Conseil d’admi-nistration et d’audit, contrôle interne, juri-dique, audit, ressources humaines, etc. En effet, la loi Sapin II impose une démarchede transparence accrue visant à fournir l’assu-rance raisonnable au Conseil d’administrationque les actes de l’entreprise (stratégiques,commerciaux, industriels) ne donnent pas lieuà des engagements non conformes. Cettedémarche devra inclure une réflexion sur desproblématiques proches de la corruption etdu trafic d’influence, notamment la fraude, lesconflits d’intérêts, le blanchiment ou encorela complicité de fraude fiscale. Sans oublierl’intégration des programmes anti-corruptiondans des programmes de conformité plus

larges, qu’il s’agisse de la conformitéaux règles de concurrence et

boursières, à la ResponsabilitéSociale de l’Entreprise (RSE),aux règles sur les donnéespersonnelles ou encore auxnormes contraignantes rela-tives au secteur de l’entre-prise (i.e. pharmacie,automobile, grande consom-

mation, etc.).

In fine, cette loi peut être l’occa-sion pour l’entreprise, au-delà de la

lutte contre la corruption, de redéfinir sapolitique de gestion des risques, de contrôleinterne et de conformité, afin de renforcer l’ef-ficacité de son organisation et la compétitivitéde son modèle d'affaires « business model ».

fier le lanceur d’alerte ne peuvent êtredivulgués, sauf à l’autorité judiciaire,qu’avec le consentement de l’intéressé. La responsabilité pénale du lanceur d’alerte

ne peut être engagée lorsque les informa-tions qu’il divulgue portent atteinte à unsecret protégé par la loi dès lors que cettedivulgation est nécessaire et proportionnéeà la sauvegarde des intérêts en cause etqu’elle intervient dans le respect des procé-dures de signalement définies par la loi. Enfin, le lanceur d’alerte est protégé contre

d’éventuelles représailles de son employeur.Ainsi, il ne peut pas être écarté d’une pro-cédure de recrutement, de l’accès à unstage ou à une formation, ni être sanc-tionné, licencié ou faire l’objet d’une mesurediscriminatoire, directe ou indirecte.

En cas de litige, dès lors que le lanceur d’alerteprésente des éléments permettant de présu-mer qu’il a agi de bonne foi, il revient à sonemployeur de prouver que la sanctionprononcée à l’encontre du lanceur d’alerte estjustifiée par des éléments objectifs étrangersà l’alerte.

Les entreprises concernées devront donc seconformer à ces obligations dans un délaicourt (juin 2017). La loi donne peu de préci-sions sur la gouvernance des programmesanti-corruption et en particulier sur la créationéventuelle d’une fonction de « complianceofficer », comme il en existe déjà dans nombrede grandes entreprises. De même, son effica-cité dépendra largement de la politique del’AFA et des moyens dont elle sera dotée.Enfin, il reste à confirmer que la ConventionJudiciaire d’Intérêt Public sera considérée parles entreprises comme un instrument utilepour « solder » certains cas de corruptionpassés, tant cet instrument est nouveau dansle paysage judiciaire français. Il n’en reste pas moins quecette

ALERTE

FRAUDE




La loi Sapin II relative à la transparence,à la lutte contre la corruption et à lamodernisation de la vie économique,a été promulguée le 9 décembre 2016.

Cette loi, instaure l’obligation de préventionet de détection de la corruption à travers lamise en œuvre d’un dispositif de lutte contrela corruption, et s’applique désormais danstoutes les sociétés employant au moins 500salariés, ou appartenant à un groupe de socié-tés dont la société mère a son siège social enFrance et dont l’effectif comprend au moins

500 salariés, et dont le chiffre d’affaires (ou CAconsolidé) est supérieur à 100 millions d’eu-ros.Aujourd’hui, essentiellement seuls les grandsgroupes, notamment ceux ayant des activitésà l’exportation, ont mis en place tout ou partiede ce dispositif qui comprend, rappelons-le : un code de conduite, un dispositif d’alerte interne, une cartographie des risques de corruption

par secteur d’activité et zone géogra-phique,

des procédures d’évaluation de la situationdes clients, fournisseurs de 1er rang et inter-médiaires, des procédures de contrôle comptable,

internes ou externes, un dispositif de formation, un régime disciplinaire, un dispositif de contrôle et d’évaluation

interne des mesures mises en œuvre.

Compte tenu des seuils prévus par la loiSapin II, de très nombreuses entreprises vontdonc devoir mettre en œuvre dans des délaisassez brefs (le délai de mise en conformitéprévu par la loi est de 6 mois !) tous ceséléments qui constituent le dispositif.Par ailleurs, l’article 8 de la loi prévoit la miseen place par toutes les entreprises de plus de50 salariés de procédures appropriées pour lerecueil des signalements émis par lesmembres de leur personnel ou par des colla-borateurs extérieurs et occasionnels.

L’audit interne va bien évidemment avoirun rôle important à jouer dans le cadrede la mise en œuvre de ce dispositif.

>> L’audit interne peut, en utilisant sacasquette « conseil » prévue par les normesinternationales de l’Institute of InternalAuditors (IIA), aider l’entreprise dans la

Le rôle del’audit interne

Pour les entreprises concernées par la loi Sapin II, l’audit interne peut avoir un rôleimportant tant au niveau de la conception et du déploiement du dispositif de confor-mité anti-corruption que de son contrôle. Dailleurs, ajoute l’auteur, la norme ISO 37001publiée en octobre 2016 « Système de management anti-corruption », aux exigencesproches de la loi Sapin II, prévoit une responsabilité renforcée de l’audit interne.

Jean-Marie Pivard, Vice-Président de l’IFACI, Directeur de l’AuditInterne et des Risques du Groupe Publicis

pour lutter contre la corruption



conception et le déploiement de ce dispositif. En effet, l‘audit interne dispose : d’une très bonne connaissance de l’entre-

prise, de ses processus et procédures, d’un positionnement au plus près des

instances de gouvernance de l’entreprise, d’un périmètre d’action très large, d’un accès illimité aux informations néces-

saires, d’un historique des cas concrets rencontrés

lors de missions précédentes qui peuventservir notamment à documenter desprogrammes de formation ou à renforcercertaines procédures.

Grâce à tout cela, l’audit interne peut contri-buer à l’élaboration et au déploiement de toutou partie des différents éléments du dispositifexigés par cette loi Sapin II dans les respectdes règles déontologiques et de son indépen-dance (participation à la rédaction du coded’éthique, de procédure de contrôles internes,réalisation de la cartographie des risquesfraude / corruption, participation à la concep-tion et à l’animation d’actions de formation...).

>> A la demande des organes de gouver-nance (Direction générale, Conseil d’adminis-tration, Comité d’audit…), la direction del’audit interne peut être amenée à réaliser desmissions d’assurance, c’est-à-dire auditer l’en-semble du dispositif mis en place par lasociété pour vérifier sa conformité avec la loi,son efficacité et le cas échéant faire les recom-mandations qui s’imposent.

>> Par ailleurs, lors des missions d’assurancede revue d’entités (usines, agences, filiales...),les tests de contrôle sur tous les sujetstouchant à la corruption devront être renfor-cés, notamment : les notes de frais des dirigeants et employés

en contact avec les clients ou fournisseurspour détecter d’éventuelles anomalies dansles frais de réception ; les postes de frais généraux type cadeaux,

invitations, pour s’assurer que les dépensessont en ligne avec les règles définies parl’entreprise (par exemple : montant indivi-duel des cadeaux/ invitations, montanttotal sur l’année par bénéficiaire, pas d’invi-tation en période d’appel d’offres, pas decadeaux aux agents publics...) ; la qualité des prestations des fournisseurs

et des sous-traitants (« background check »,« due diligences » systématiques sur les four-nisseurs...).

Dans le cadre de l’utilisation d’agentscommerciaux, apporteurs d’affaires..., l’auditinterne devra notamment vérifier soigneuse-ment lors de la réalisation de ses procéduresde contrôle : la réalité et la documentation des presta-

tions effectuées, l’existence d’un contrat avec le prestataire,

la conformité du montant de la commis-sion / rémunération versée par rapport auxpratiques du marché, les modalités de réglement :paiement bien

fait à l’intéressé dans le pays où a étérendue la prestation et sur le compte del’entité signataire du contrat (pour éviter lacomplicité d’évasion fiscale).

Enfin, la mise en œuvre étendue des procé-dures de signalement (toutes les entreprisesde plus de 50 salariés) va entrainer pour lesentreprises concernées, la nécessité de menerdes investigations sur chacun des cas identi-fiés puis d’en rendre compte aux instances degouvernance. Selon les sujets, certaines deces investigations (ayant trait à des défail-lances de contrôle interne, concernant dessuspicions de fraude, de malversation comp-table...) pourront bien évidemment êtreconduites par l’audit interne en coordinationétroite avec les autres directions de l’entre-prise si besoin (direction juridique, directiondes ressources humaines...). Cette démarcheva donc dans le sens d’un renforcement del’existence même de la fonction d’auditinterne notamment dans les entreprises detaille moyenne qui n’en étaient jusqu’àprésent pas toujours pourvues.

Néanmoins, que ce soit pour la phase deconception, de déploiement, de mise enœuvre ou de revue de ce dispositif, l’auditinterne devra nécessairement collaborer demanière étroite avec d’autres fonctions del’entreprise. En effet, ce dispositif nécessitedes interactions entre les fonctions suivantes(bien évidemment si elles existent dans l’en-treprise...) : la direction générale pour le « Tone at the

Top », la direction de l’éthique (« Compliance

Officer ») qui doit être maître d’œuvre pourle déploiement de ce dispositif, la direction juridique, la direction des ressources humaines

(notamment sur les axes rédaction etdéploiement du code d’éthique, formation,sanctions en cas de non-respect desrègles...), la direction financière (pour le déploiement

des procédures de contrôle interne, lescontrôles de premier niveau sur les fraisgénéraux par exemple...), etc.

Selon les organisations, leur taille, l’existenceou non de ces fonctions, l’audit internepourra être soit un rouage soit la pierreangulaire de ce nouveau processus.

L’audit interne a également un rôle prépon-dérant à jouer en cas de crise liée aux sujetsde corruption. En effet, en cas d’alerte remon-tée par le dispositif ad hoc, de suspicion oud’enquêtes diligentées par les autorités d’un

pays, l’entreprise devra, en fonction de lagravité potentielle des faits et des risques tanten terme d’image que financier, se mettre endispositif de crise afin de pouvoir faire face defaçon coordonnée et efficace aux événe-ments et coordonner à la fois les actions àmener et la communication. Au sein de cedispositif, l’audit interne peut avoir un rôle àjouer, en fonction bien entendu des situa-tions, pour contribuer à l’enquête et clarifierla situation.La norme ISO 37001, sortie en octobre 2016,« Systèmes de management anti-corruption »peut donner lieu à certification par un orga-nisme extérieur. Elle définit une série demesures pour aider les organismes à prévenir,détecter et traiter les problèmes de corrup-tion. Ces mesures incluent l’adoption d’unepolitique de lutte contre la corruption, la dési-gnation d’une personne chargée de supervi-ser la conformité aux mesures anti-corruption,la formation, l’évaluation des risques decorruption et l’exercice d’un devoir de vigi-lance quant aux projets et aux parties asso-ciées aux activités, la mise en place decontrôles financiers et commerciaux, et l’ins-tauration de procédures de signalement etd’enquête.La conformité à cette norme ISO sera peutêtre exigée demain dans des appels d’offre oudes contrats clients.Cette norme prévoit dans son paragraphe 9.2l’intervention de l’audit interne de l’entreprisepour vérifier à travers des audits la conformitédu système mis en place par l’entreprise avecles exigences de la norme et son efficacité pardes audits terrain. Là encore le rôle de l’auditinterne sera donc renforcé.Un des enjeux à venir sera de voir si l’AgenceFrançaise Anticorruption, instituée par la loiSapin II, reconnaitra l’équivalence de la confor-mité à cette norme IS0 37001 avec la confor-mité à la loi Sapin II. Si c’est le cas, et si la conformité à cette normeest demandée par les clients, cela devraitpousser les entreprises à la mettre en œuvreet à faire vérifier par un tiers extérieur laconformité à la norme ISO 37001 de leurdispositif interne.

L’audit interne a donc un ou plusieurs rôlesclés à jouer dans la conception, la mise enœuvre ou la revue de ce dispositif.Cette nouvelle loi devrait également contri-buer à un essor de la profession d’auditinterne car, bien que certaines de ces tâchespuissent être externalisées, compte tenu desseuils prévus par la loi, de nombreuses entre-prises notamment de taille moyenne,devraient se doter d’audit interne pourpouvoir répondre à toutes ces nouvellesexigences.

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2017SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES RISQUES ET AU CONTRÔLE INTERNES’initier à la maîtrise des risques et au contrôle interne 2 j 950 € 1 125 € 16-17 2-3 6-7 5-6 4-5 7-8 3-4 6-7 5-6 7-8 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 18-20 6-8 8-10 11-13 10-12 12-14 5-7 12-14 11-13 13-15 6-8

Elaborer le dispositif de contrôle interne 2 j 1 200 € 1 350 € 23-24 13-14 14-15 18-19 15-16 15-16 10-11 18-19 16-17 16-17 11-12

Piloter un dispositif de maîtrise des risques et de contrôle interne 2 j 1 200 € 1 350 € 25-26 15-16 16-17 20-21 22-23 20-21 21-22 18-19 20-21 13-14

ATELIER - Mise en œuvre du COSO 1 j 700 € 785 € 17 24 4 29 24

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 27-28 22-23 2-3

Maîtrise des risques, contrôle interne et communication 2 j 1 200 € 1 350 € 20-21 29-30 12-13 23-24 19-20

Utiliser les outils du contrôle interne 2 j 1 200 € 1 350 € 25-26 26-27 25-26 22-23Organiser les interfaces Gestion des risques –Contrôle interne – Audit 1 j 700 € 785 € 9 18 10

SE FORMER À L’AUDIT INTERNELes compétences fondamentalesS’initier à l’audit interne 2 j 950 € 1 125 € 9-10 2-3 2-3 3-4 3-4 1-2 3-4 4-5 2-3 8-9 30/11-1/12

Conduire une mission d’audit interne : la méthodologie 3 j 1 710 € 1 850 € 11-13 7-9 6-8 5-7 9-11 6-8 5-7 6-8 4-6 13-15 4-6

Maîtriser les outils et les techniques de l’audit 3 j 1 610 € 1 785 € 16-18 13-15 13-15 11-13 15-17 12-14 10-12 11-13 9-11 20-22 11-13

Maîtriser les situations de communication orale de l’auditeur 2 j 1 120 € 1 230 € 19-20 16-17 16-17 18-19 18-19 15-16 10-11 14-15 12-13 23-24 7-8

Réussir les écrits de la mission d’audit 2 j 1 120 € 1 230 € 23-24 20-21 20-21 20-21 22-23 22-23 12-13 18-19 16-17 16-17 14-15

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 610 € 1 785 € 25-27 27-29 29-31 20-22 28-30

Désacraliser les systèmes d’information 3 j 1 610 € 1 785 € 22-24 19-21 25-27 18-20

Détecter et prévenir les fraudes 2 j 1 120 € 1 230 € 23-24 25-26 26-27 28-29 18-19 21-22

Adopter un comportement déontologique lors de la mission 1 j 700 € 785 € 24 6

Réussir les écrits de la mission en anglais 2 j 1 120 € 1 230 € 27-28 23-24

Oral Skills in Internal Audits 2 j 1 120 € 1 230 € 24-25 19-20

Les compétences avancéesUtiliser la pensée critique pour innover 1 j 700 € 785 € 26 20

Utiliser le Balanced Scorecard du service d’audit interne 1 j 700 € 785 € 15 11

Utiliser les outils d’analyse causale pour l’auditeur 1 j 700 € 785 € 10 30

ATELIER - Construire le référentiel de contrôle interne de la mission 1 j 700 € 785 € 28 12 7

Intégrer le reporting intégré à l’audit interne 2 j 1 325 € 1 480 € 23-24 16-17

Connaître et utiliser ISO 9001-2015 1 j 700 € 785 € 3 27

Connaître et utiliser ISO 31000 1 j 700 € 785 € 6 8

Constituer un dossier de fraude au pénal, le rôle de l’auditeur 2 j 1 325 € 1 480 € 16-17 24-25

Organisation et managementPiloter un service d’audit interne 2 j 1 325 € 1 480 € 22-23 1-2 9-10

Manager une équipe d’auditeurs au cours d’une mission 1 j 700 € 785 € 24 12 17

Le suivi des recommandations 1 j 700 € 785 € 18 13 13 13

Préparer l’évaluation externe du service d’audit interne 2 j 1 325 € 1 480 € 16-17 21-22

L’audit interne, acteur de la gouvernance 1 j 700 € 785 € 19 12

Processus et fonctions

Audit du Plan de Continuité d’Activité - PCA 2 j 1 325 € 1 480 € 23-24 28-29 5-6

Audit de la fonction Ressources Humaines 2 j 1 325 € 1 480 € 4-5 22-23

Audit de la fonction Achats 2 j 1 325 € 1 480 € 2-3 4-5

Audit des contrats 1 j 700 € 785 € 10 25

Audit de la fonction Contrôle de Gestion 2 j 1 325 € 1 480 € 6-7 25-26

Audit des projets et investissements 2 j 1 325 € 1 480 € 9-10 20-21

Evaluer le reporting financier 2 j 1 325 € 1 480 € 24-25 26-27

Audit du processus de gestion des risques 1 j 700 € 785 € 9 20

Audit de la conformité de la paie 2 j 1 325 € 1 480 € 20-21 28-29

Audit de l’optimisation et de sécurisation du BFR 2 j 1 325 € 1 480 € 7-8 4-5

Audit de la trésorerie 2 j 1 325 € 1 480 € 20-21 9-10

Audit de la prévention des risques psycho-sociaux 1 j 700 € 785 € 27 10

Audit d’acquisition et Due diligence 2 j 1 325 € 1 480 € 30-31 14-15

Systèmes d’informationAudit de la sécurité des systèmes d’information 2 j 1 325 € 1 480 € 29-30 28-29Audit des processus informatisés 2 j 1 325 € 1 480 € 26-27 21-22

Audit de la gouvernance du système d’information 1 j 700 € 785 € 1 4Audit de la cyber sécurité 1 j 700 € 785 € 19 21

Audit de la qualité des données 1 j 700 € 785 € 24 3 27Gestion et audit des libertés individuelles 1 j 700 € 785 € 7 15

Audit de la direction des systèmes d’information 2 j 1 325 € 1 480 € 22-23 26-27Intégrer les exigences de sécurité dans les projets 1 j 700 € 785 € 24 24SE FORMER DANS LE SECTEUR PUBLIC

Audit et contrôle des marchés publics 2 j 1 325 € 1 480 € 14-15 12-13 18-19

La gestion des risques dans le secteur public 2 j 1 325 € 1 480 € 20-21 4-5 15-16

Audit et contrôle interne des aides publiques 2 j 1 325 € 1 480 € 25-26 27-28 30/11-1/12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

S’approprier l’arrêté du 3/11/2014 relatif au contrôle interne bancaire 1 j 700 € 785 € 31 11

Maîtriser la comptabilité et le contrôle de gestion bancaires pour auditer 2 j 1 325 € 1 480 € 27-28 16-17

Auditer un dispositif LCB-FT 2 j 1 325 € 1 480 € 23-24 14-15 8-9

Auditer la conformité en banque 2 j 1 325 € 1 480 € 30-31 13-14 26-27

Auditer le reporting réglementaire Bâle III 2 j 1 325 € 1 480 € 21-22 14-15

ATELIER - Maîtriser les risques des prestations externalisées 1 j 700 € 785 € 2 6

SE FORMER DANS LE SECTEUR DES ASSURANCES

Adapter le contrôle interne à Solvabilité II 2 j 1 325 € 1 480 € 22-23 6-7 13-14

Auditer les dé́légations de gestion en assurances 2 j 1 325 € 1 480 € 28-29 10-11 17-18

Audit des prestations liées aux contrats d’assurance 1 j 700 € 785 € 12 1

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 325 € 1 480 € 27-28 28-29

Audit du processus de ventes 2 j 1 325 € 1 480 € 13-14 19-20

ACQUÉRIR UNE CERTIFICATION

Préparation au CIA - Partie 1 2 j 970 € 1 150 € 6-7 7-8 12-13 6-7

Préparation au CIA - Partie 2 2 j 970 € 1 150 € 13-14 13-14 19-20 11-12

Préparation au CIA - Partie 3-1 2 j 970 € 1 150 € 20-21 20-21 25-26 18-19

Préparation au CIA - Partie 3-2 2 j 970 € 1 150 € 22-23 22-23 27-28 20-21

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

Date post:	08-Mar-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

Corruption et Fraude - Chapters Site · n matière de lutte contre la corruption, la France a...

Documents