Bonnes pratiques des ISC pour contrôler et vérifier la fraude, Kjell Larsson, Alger 8-9 avril 2015
-
Upload
support-for-improvement-in-governance-and-management-sigma-oecd -
Category
Government & Nonprofit
-
view
23 -
download
1
Transcript of Bonnes pratiques des ISC pour contrôler et vérifier la fraude, Kjell Larsson, Alger 8-9 avril 2015
© OCDE
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Alger, 8 – 9 avril 2015
Le rôle de la Cour des Comptes dans la lutte contre la fraude et la corruption
Bonnes pratiques des ISC pour contrôler et vérifier la fraude
Kjell Larsson, Suède
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pourquoi n’avions-nous pas remarqué ? Un échec des auditeurs qui devient un tournant
(Journal INTOSAI Juillet 2010)
• Le cas
5000 projets de recherche et 1 milliard d’Euros/an .
Des milliers d’audits, des centaines d’auditeurs (auditeurs internes, auditeurs externes des ISC, privé et public.
Auditeurs « TOUT EST OK » chaque année.
Ensuite OLAF, le bureau anti fraude eut l’information de la part d’un lanceur d’alerte. Une diversion?
Les auditeurs et OLAF se sont rendu compte. Nous
devons travailler ensemble!
1
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pourquoi n’avions-nous pas remarqué? Travailler ensemble!
• Travailler ensemble? Comment? Synergies!
Coopération chaque jour! Nouvelles règles et pratiques.
Auditeurs à se conformer à ISA 240 / ISSAI 1240 adapté à la situation.
Quantité de données (téraoctets) outils d’exploration de données.
Auditeurs et OLAF peuvent utiliser les forces de chacun!
Après quelques mois: Plusieurs grandes escroqueries pour des années. 5 millions d’Euros en quelques années.
2
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pourquoi n’avions-nous pas remarqué? Conclusions
• Les auditeurs ont longtemps audité quelques arbres. Mais ils n’avaient jamais essayé de voir la forêt!
• Les nouvelles normes d’audit doivent être utilisées pleinement.
• Une coopération étroite entre les auditeurs et les enquêteurs sur la fraude est un must. De nouveaux mécanismes de coopérations sont nécessaires. Le respect de nos divers rôles et mandats.
• Les outils et compétences d’audit doivent être mises à
niveau/renouvelées.
3
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pourquoi n’avions-nous pas remarqué? Mode opératoire
• Faux documents identiques aux documents authentiques.
• Sociétés écrans dans des endroits éloignés. Faux rapports annuels, toute l’histoire et non seulement de bonnes nouvelles, avis d’audit, sites web professionnels etc.
• Personnel fictif avec des CVs fabriqués. Echanges d’emails élaborés entre «le personnel» comprenant des histoires d’enfants et de maladies.
• Noms de compagnies et de personnes réelles utilisés.
• Contrats, factures, transactions comptables (y compris les corrections) massivement falsifiées.
• Paiements transfrontaliers et paiements des arriérés
TOUT CELA N’EST-IL PAS FACILE A DETECTER QUAND ON PROCEDE A L’AUDIT ?
4
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pratiques intéressantes des ISC
1. Où commencer ?
• Les points importants qui se présentent souvent:
Une « stratégie » avant? Ou apprentissage en faisant?
Pourquoi et comment? A quel point ambitieux?
• Couvrant la prévention, détection, sanctions? Culture?
• ISC à faire le travail?
• Où trouver d’autres pour faire leur part?
Coopération avec les autres? Non! Oui!
Soutien public? Systèmes de lanceur d’alerte?
Peut être une cartographie des risques pour l’ISC? L’ISC gère-t-il le risque de « ne pas être pertinente»?
5
Impact Probability Grade
Operational:
1 Performing poor
quality audits (
financial & VFM
audits )
Develop and keep
corporate and audit
quality -Performing
qualitative audits and
delivering qualitative
audit reports
Incorrect opinion for
Regularity Audit and
conclusion not evidenced
for Performance audits
Failure to apply OAG
methodology Poor Quality
Management Review Poor Skill
Mix
Reputational Risk - reduced
Impact of SAI activity -
Objectives not Met
Major Moderate Extreme Manuals and
Guidelines, in built
control in the
processes, QMF, Peer
Reviews
2 Inadequate Quality of
audit reports
Develop and keep
corporate and audit
quality -Performing
qualitative audits and
delivering qualitative
audit reports
Audit reports are not clear,
relevant and
understandable for
stakeholders and do not
have required focus in
promoting change or
offering constructive
recommendations to
achieve this
Poor Report Writing Skills Poor
Skill Mix Poor Quality
Management Review Failure to
fully understand client and
maintain ongoing contacts
throughout the year
Reputational Risk - reduced
Impact of SAI activity
objectives not met.
Negative media regrading
SAI. Lack of trust in SAI as a
reliable source of
information
Major Moderate Extreme Template(s) and
Guidelines, in built
control in the
processes, QMF, Peer
Reviews. Expert
Group, Wider liaision
with external
stakeholders
3 Timeliness of audit
reports
Develop and keep
corporate and audit
quality
Internal deadlines not
achieved to allow sufficient
quality review of reports.
Not reporting on time as
specified In legal
framework for specific
reports.
Weak Project Management and
staff utilisation Outsourced
companies may not comply with
contract deadlines
Reputational Risk - reduced
impact of SAI activity. Not
being able to meet the
deadlines for legal reporting
may impact the reputation.
Budget alllocation process
may be impacted if reports
are late.
Mod-major Rare ( unlikely?) Medium Audit planning, time
recording software
4 Bilateral agreements
not met
Develop and keep
corporate and audit
quality
Benefits of bi-lateral
projects and arrangements
lost - sustainability not
achieved
Ineffective mechanisms for
sharing outputs of project
initiatives across the
organisation. Redundancy of
recommendations tracker.
Inability to internally develop
audit focus - eg good
governance.
Effective audit and
corporate practices not
applied. Quality
management process will
highlight increased non
application of audit
methodology. Reporting
quality will reduce
Moderate -
Major
Rare (unlikely?) Medium Effective
management of
recommendations
tracker. Implement
mechanisms to
ensure lessons
learned from external
inputs are effectively
shared. More
effective strategic
plans
Type of riskNo Objective Risk description Possible Causes Desciption of likely impact Risk Assessment Controls required
Pratiques intéressantes des ISC - 2. Nettoyage de notre maison d’abord
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
5 External expectations
of SAI not met
Develop and keep
corporate and audit
quality
Expectations of Parliamemt
not clear and consequently
not addressed. Poor
relationship with
stakeholders.
Lack of skills in SAI middle
mangers to facilitate positive
relationships which clearly set
out expectations and
responsibilities on both sides.
Poor communication with new
members of Parliament
Ineffective review of SAI
outputs. Lack of change
resulting from SAI work
Moderate -
Major
Rare (unlikely?) Medium Training with
members of
Parliament and
internally. Specific
development of
written briefings and
press releases.
Communication
Strategy.
Yes - partly Wider involvement of middle
management
6 Ineffective Change
Management
Develop and keep
corporate and audit
quality
Delays in adoption of new
law/ appointment of new
AG have a negative impact
of operations of SAI.
Inability to recruit and keep
specialist staff.
Inability to make required
operational changes to
effectively address expanding
portfolio. Lack of strategic
direction due to capacity
shortfalls at senior mangement
level.
The SAI stagnates. No
effective handover to new
top management. No
opportunity to incentivise
staff
Moderate -
Major
Rare (unlikely?) Medium work with ministries
and governemnt on
the law. Develop
induction package for
new incoming
managers. Restate
accountabilities of
senior management
team.
Yes - partial More formalised management
reporting processes
7 Weak corporate
service programs
Secure ownership
and institutional
sustainability
Not effective mangement
of corporate operations.
Performance reviews not
applied consistently.
Essentail data to support
effective management is
lacking.
Lack of capacity to implement
effective strategic plans and risk
amangement. Lack of budget to
implement corporate
developments.
Only by implementing new
audit approaches and
methodologies can the SAI
offer the quality audits
expected by Parliament and
INTOSAI
Moderate -
Major
Rare (unlikely?) Medium Finalisation of CDS
and associ- ated
business plans for
Divisions. Replanning
of financial plans
related to required
developments eg
audit package
Yes - partial
8 Ineffective HR
support
Secure ownership
and institutional
sustainability
Poor staff development
related to organisational
needs particularly
leadership skills.
Inefficient HR systems.
HR capacity shortfalls. Training
requirements not captured
adequately due to ineffective
appraisal process
Skills mix of SAI does not
develop at required pace.
HR team focused on
operational not strategic
issues
Moderate -
Major
Rare (unlikely?) Medium HR strategy and
operational plan.
Effective appraisal
process.
Partly
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pratiques intéressantes des ISC. 2. Nettoyage de notre maison d’abord. Suite
• Formation des auditeurs pour savoir ce qu’il faut chercher et comment trouver les réponses.
• Construire des équipes de spécialistes.
• Créer des capacités d’exploration de données (et accès aux données).
• Résultat?
8
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pratiques intéressantes des ISC. 3. Faites le différemment! Achats
• Au lieu d’auditer quelque projets d’achats en un seul/ quelques entités chaque année,
L’ISC va maintenant
• auditer les grands projets d’achats similaires dans plusieurs entités couvrant 5 – 6 ans: Suivi des indices sur la fixation du prix, usage de faux sous traitants
/ identiques, relations de propriété, fausses personnes, « carrousels de paiement », éventuelle corruption.
L’ISC utilise les experts externes + les nouvelles technologies pour contrôler la qualité et les quantités livrées des matériels achetés.
Résultat?
9
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pratiques intéressantes des ISC. 3. Faites le différemment! Utiliser les
Lettres de Représentation
L’ISC est passé d’un
• Usage rare des Lettres de Représentation (LR)
• A usage constant des (LR)
Résultat?
LR « fait que les cadres supérieurs prennent la fraude et la corruption de manière plus sérieuse et facilitent chaque aspect du travail d’audit »
10
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pratiques intéressantes des ISC. 3. Faites le différemment! Travail de l’ISC sur le terrain
• Préparation
Évaluation plus précise du risque. Y compris la situation financière globale et la situation du marché.
Limite de vraisemblance de preuves d’audit est modifiée.
• Durant
Avoir accès à l’information essentielle.
Explorer plus profondément/revérifier les preuves importantes .
• Après
Triple vérification si image complète.
Document et d’autres auditeurs pour revérifier.
Résultat? 11
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Pratiques intéressantes des ISC 3. Faites le différemment! Les ISC et les bonnes pratiques
• L’ISC a un aperçu unique.
• Décidé à résumer et disséminer les bonnes pratiques nationales trouvées dans des audits sur la fraude, la prévention, la détection et les sanctions.
• Entités stimulées pour diffuser les pratiques à l’ échelle interne.
• Résultat?
12
Init
iati
ve
co
njo
inte
de l’
OC
DE e
t d
e l’
Un
ion
eu
ropéen
ne,
fin
an
cé
e p
rin
cip
ale
ment p
ar l’U
E
Conclusions
• Aucune «bonne solution» pour toutes les ISC (ou autres entités publiques) n’existe.
• Cependant, les enjeux et les risques pour la société sont élevés.
Monnaie / ressources
Confiance
Les ISC bien placées et doivent contribuer!
13