Politique anti-fraude et rentabilité...
8
Audit / Tax / Advisory Smart decisions. Lasting value. Politique anti-fraude et rentabilité économique : comment se protéger efficacement ? Une table ronde organisée par Fideliance Mardi 27 septembre 2016 Paris
Transcript of Politique anti-fraude et rentabilité...
Audit / Tax / Advisory Smart decisions. Lasting value.
Politique anti-fraudeet rentabilité économique : comment se protéger efficacement ?
Une table ronde organisée par FidelianceMardi 27 septembre 2016 Paris
2
La fraude dans les entreprises est plus que jamais un sujet d’actualité.
Plus de deux entreprises françaises sur trois ont été victimes de fraude1
ces deux dernières années, un chiffre probablement sous-estimé, certaines entreprises préférant rester discrètes sur ce phénomène qui peut traduire des failles dans leur organisation et nuire à leur réputation.
La fraude ne concerne plus seulement les grandes entreprises mais, fait nouveau, se propage aux PME. Plus de 2 entreprises de moins de 100 salariés sur 5 se déclarent touchées par ce phénomène dont la progression constante s’explique principalement par l’explosion de la cybercriminalité qui accompagne la digitalisation des activités économiques.
Force est de constater que plus aucune entreprise n’est à l’abri de cette menace aux visages multiples et aux conséquences lourdes. La fraude constitue désormais un risque majeur fragilisant les entreprises.
S’il n’y a pas de risque zéro, certaines bonnes pratiques permettent de se protéger. Comment les identifier ? Comment les mettre en œuvre ? Quels résultats espérer ? Pour répondre à ces questions clés, Fideliance a réuni des professionnels accompagnant, chacun dans leur domaine d’expertise, les entreprises dans leur lutte contre les différentes formes de fraudes.
Avec les interventions de :
Jean-Luc Flabeau Président du groupe Fideliance
Leopold FARQUE Avocat,
Stehlin et Associés
Christian GABENESCH Ingénieur spécialiste des systèmes
d'informations et de la sécurité informatique,
Fideliance
Sarah GUEREAU Expert-comptable
et Commissaire aux Comptes, Dauge et Associés
Francis HOUNNONGANDJI Certified Fraud Examiner,
Chartered Financial Analyst, Président de l’AFCE
(Association of Certified Fraud Examiner)
Edito
Sommaire
1. La fraude en faits et chiffres p3
2. Risques et impacts économiques d’une fraude pour l’entreprise p5
3. Les outils pour se protéger ? p6
1« Global Economic Crime Survey 2016 », étude PwC sur la fraude en entreprise.
Jean-François COTTIN Expert-comptable
et Commissaire aux Comptes, Fideliance
3www.fideliance.fr
Les fraudes les plus reportées2 sont :
• Le détournement d’actifs : Il s’agit de la fraude la plus fréquente. Elle consiste à dissimuler, voler ou détourner des biens appartenant à l’entreprise (non-enregistrement d’opérations dans les systèmes d’information, enregistrement d’opérations fictives, création de faux…).
• La cybercriminalité : Ce terme désigne les infractions pénales commises via les réseaux informatiques, notamment Internet, telles que vols et escroqueries en tout genre, piratage d'ordinateur, atteintes à la vie privée…
• La fraude aux achats : Cela peut consister à sélectionner de faux fournisseurs, être victime de surfacturations de biens ou prestations (balances frauduleuses, volumes inférieurs aux quantités facturées…).
• La fraude au président : Appelée également délinquance astucieuse, cette nouvelle forme de fraude consiste, pour des escrocs, à convaincre un collaborateur de l’entreprise d'effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant. Cette délinquance peut aussi prendre la forme d’un changement de RIB (un faux fournisseur prétexte un changement de RIB pour détourner des paiements) ou d’une usurpation d’identité.
• La fraude comptable : Il s’agit de comptabiliser des revenus fictifs par le biais d’émission de fausses factures clients, l’anticipation de produits ou encore l’émission de factures à établir. Il s’agit de passer des écritures comptables volontairement fausses dans le but de tromper des tiers.
• La corruption : Cela consiste à accepter ou proposer des présents (logement gratuit, prêt sans intérêt, pots de vin) dans le but d’obtenir des avantages dans le cadre de ses fonctions, de préférer un fournisseur à un autre...
Les multiples formes de la fraudeElle peut être interne, c’est-à-dire le fait de collaborateurs voire du dirigeant, ou externe, souvent le fait d’escrocs. Les fraudeurs sont aussi diversifiés que les actes qu’ils commettent.
La fraude en faits et chiffres
2 « Global Economic Crime Survey 2016 », étude PwC sur la fraude en entreprise.3 « Report to the Nations on Occupational Fraud and Abuse 2016 », étude ACFE de 2410 cas de fraude en entreprise.
« La fraude se définit comme un acte
intentionnel, non comme un acte de mauvaise
gestion. »
Un phénomène difficile à cerner Par essence dissimulée, elle peut aussi
être le résultat d’une superposition
d’actes conduisant à la fraude3. Par
exemple, le détournement d’actifs peut
s’accompagner de fraude aux états
financiers, ces derniers ne reflétant pas
la réalité. La fraude aux achats peut
constituer à la fois une fraude interne
et externe lorsqu’elle est constituée
d’une entente illicite ou d’une collusion
entre un collaborateur et un fournisseur.
Ce dernier peut également profiter
de la défaillance dans les procédures
internes ou le système informatique pour
commettre d’autres fraudes, purement
externes.
Francis HOUNNONGANDJI Certified Fraud Examiner,
Chartered Financial Analyst, Président de l’AFCE
(Association of Certified Fraud Examiner)
Entreprises françaises victimes d’une fraude au cours des 24 derniers mois.
68%2016
55%2014
Les fraudes les plus fréquentes en France
56%53%
+25% depuis 2014
25%
18%
13% 12%9%
Détournementd’actifs
Cyber-criminalité
Fraudeaux achats
Déliquanceastucieuse
Fraude comptable
Corruption
en % des fraudes reportées
Fraude RH
+25% depuis 2014
4
Les PME massivement touchées Le taux de fraudes identifiées dans les plus petites structures a doublé en deux ans, un chiffre qui s’explique par la vulnérabilité des petites entreprises, moins bien protégées, car moins bien informées, de la menace que les grands groupes.
La cybercriminalité,la grande menace du XXIème siècleLa digitalisation croissante de la vie économique rend les entreprises de plus en plus vulnérables aux risques engendrés par la cybercriminalité, devenue la deuxième cause de fraude reportée en France. En l’espace de deux ou trois ans, le nombre de cyber attaques dues aux vulnérabilités des systèmes d’information a explosé, à l’instar des attaques par virus tels que les ransomwares4 dont la croissance atteint 600% entre 2015 et 2016.
Un ransomware est un logiciel malveillant qui prend en otage des données de l’entreprise et les chiffre grâce à un virus sophistiqué appelé cryptolocker. Il se diffuse principalement via des courriels infectés déguisés en factures. Lorsqu’ils sont ouverts, une macro-commande s’exécute automatiquement et télécharge un virus chiffrant les données de l’entreprise. Une demande une rançon, payable en bitcoins, est exigée en échange d’une clé permettant de rendre les données à nouveau accessibles.
La cybercriminalité peut aussi prendre la forme d’un vol de données, d’un détournement de paiements, de la défiguration de sites web pour en intégrer du contenu, d'espionnage à visée industrielle…
« Les cryptolockers peuvent chiffrer des
milliers de documents à la minute et détruire l’actif de l’entreprise ».
Christian GABENESCH Ingénieur spécialiste des systèmes
d'informations et de la sécurité informatique,
Fideliance
4 Rançongiciel
Taux de fraude par taille d’entreprises (en nombre d’employés)
82%
63%
78%
63%
55%
42%
en % des participants ayant déclaré au moins une fraude
Plus de 10 000
De 5 001 à 10 000
De 1 001 à 5 000
De 501 à 1 000
De 101 à 500
Moins de 100
53 % des entreprises françaises sont affectées par la cybercriminalité
73% d’entre elles anticipent de telles fraudes dans les 2 prochaines années.
73%2018
53%2016
5www.fideliance.fr
Risques et impacts économiques d’une fraude pour l’entrepriseLes fraudes peuvent avoir des conséquences significatives pour l’entreprise qui en est victime, conduisant à une perte évaluée entre 5 et 7% du chiffre d’affaires. Ce chiffre varie selon la nature et l’ampleur de la fraude mise au jour.
Un coût direct et indirect élevéLe préjudice financier se chiffre fréquemment en millions d’euros car les pertes générées sont très diverses :
• Impact de la trésorerie à hauteur des sommes détournées.
• Pertes d’exploitation (corruption de bases de données, rupture d’activité quand l’outil de production est touché).
• Impact sur la réputation.
• Pertes commerciales.
• Démobilisation des collaborateurs.
L’argent volé est généralement difficile à retrouver : dans les escroqueries au président ou les cyber attaques, la probabilité de récupérer les sommes volées au-delà de 24 ou 48h est quasi nulle. Les fonds sont envoyés à l’étranger en transitant par plusieurs pays depuis lesquels opèrent des criminels aussi peu identifiables que bien organisés.
La mise en cause de la responsabilité L’entreprise victime de fraude peut voir sa responsabilité engagée. Pour montrer qu’elle a respecté son devoir de vigilance, la banque peut par exemple chercher à prouver que la fraude incriminée n’est pas due à une défaillance de ses procédures internes mais bien de celles de l’entreprise.
La responsabilité de l’entreprise peut également être engagée pour non respect des lois fiscales et sociales, non fiabilité des comptes ou, pour les plus grandes d’entre elles, absence ou défaut de procédures de contrôle interne.
La riposte de l’Etat Fait délictueux, la fraude est de plus en plus étroitement liée à la corruption, au blanchiment d’argent et au financement du terrorisme, des fléaux économiques et sociaux contre lesquels l’Etat a intensifié sa lutte. Lorsque, dans le cadre de sa mission, le commissaire aux comptes découvre des fraudes constituant des faits délictueux, il est légalement tenu de les révéler au procureur de la République, seul juge des poursuites à donner.
De même, experts-comptables et commissaires aux comptes doivent faire une déclaration de soupçons à Tracfin5 si la fraude relève du blanchiment d’argent.
« La responsabilité des entreprises peut être recherchée du fait de
l’absence de procédures de contrôle interne
adéquate. La législation évolue. On s’achemine vers des procédures obligatoires à moyen terme y compris dans
les PME. »
« La fraude est un acte intentionnel portant atteinte à l’image
financière de l’entreprise et de nature à induire
en erreur l’utilisation des comptes. »
Leopold FARQUE Avocat,
Stehlin et Associés
Jean-François COTTIN Expert-comptable
et Commissaire aux Comptes, Fideliance
5 Tracfin : Cellule du ministère de l'Économie et des Finances chargé de la lutte contre le blanchiment d'argent.
6
Mieux vaut être actif pour se protéger du risque de fraude. Les entreprises peuvent mettre en place des procédures en amont en vue de prévenir et détecter les risques mais également en aval pour anticiper les conséquences :
• Reconnaître la fraude comme un risque majeur pour l’entreprise La fraude n’arrive pas qu’aux autres. Elle ne doit pas rester un sujet tabou au sein de l’entreprise.
• Evaluer les risques de fraude et identifier ses vulnérabilités. L’entreprise peut établir une cartographie afin d’identifier des zones de vigilance en face desquelles proposer des procédures adaptées : Quels sont les risques ? Des contrôles existent-ils ? Comment organiser la vigilance ?...
• Mettre en œuvre un dispositif de contrôle interne pour mieux maîtriser les opérations à risques. Des contrôles permanents permettent d’obtenir l’assurance raisonnable que les procédures établies fonctionnent correctement et de se prémunir contre le préjudice subi.
• Se doter d’un dispositif de réaction et de gestion de crise.
Il est fondamental d’anticiper la réponse de l’entreprise une fois la fraude découverte. En effet, de nombreuses questions se posent, auxquelles il faut généralement répondre en situation d’urgence et de tension : Quels sont les interlocuteurs internes et externes à contacter ? Faut-il porter plainte ? Comment récupérer l’actif volé ? Faut-il licencier immédiatement le fraudeur ou celui par qui la fraude a pu être commise ? Se doter d’une feuille de route, comprenant par exemple des scénarios de réaction par type de situation, permet de gérer efficacement la crise et d’éviter les décisions hâtives potentiellement négatives pour l’entreprise.
Les outils pourse protéger ?
« La vigilance doit être accrue en matière de contrôle interne. Les
entreprises doivent se doter de méthodes de prévention et de
détection des fraudes. Le commissaire
aux comptes a un rôle d’alerte sur ces
risques. »
« L’audit contribue à réduire le risque de fraude de plus en
plus souvent lié aux nouvelles technologies. Les auditeurs recourent
à des logiciels d'exploration des
données pour auditer rapidement les bases de données et détecter les événements atypiques dans les processus de
l’entreprise. »
Sarah GUEREAU Expert-comptable
et Commissaire aux Comptes, Dauge et Associés
Jean-Luc Flabeau Président du groupe Fideliance
La règle des 4S, une approche simple et efficace pour lutter contre la fraude
3 421
Séparation des fonctions :La personne qui saisit une facture doit par exemple être différente de celle qui valide le paiement et/ou de celle qui le réalise. Cette mesure essentielle facilite la détection des erreurs et rend la fraude intentionnelle difficile à réaliser car elle nécessite une collusion entre deux personnes ou plus.
Sécurité :Construire une relation avec sa banque contribue à sécuriser les flux financiers et lutter contre les fausses demandes de virement reçues par les banques. Cela peut passer par la mise en place d’un système de double signature, d’une alerte sur un montant, d’une informatisation des process.
Supervision : Le contrôle continu des opérations de gestion de l’entreprise est nécessaire, surtout s’il n’est pas possible de séparer les fonctions. Le commissaire aux comptes a, à cet égard, un rôle important. Il analyse les procédures internes, aide à mettre en place des indicateurs clés et accompagne ses clients dans la mise en œuvre des systèmes anti-fraude.
Sensibilisation : L'efficacité des mesures de prévention repose avant tout sur le degré de sensibilisation des dirigeants et des salariés. Etre informé et se préparer est une bonne manière d’anticiper le problème. .
7www.fideliance.fr
Face à une fraude, comment réagir ?
Appeler sa banque immédiatement pour maximiser les probabilités de récupérer les fonds volés. Au bout de 48h, ils deviennent généralement introuvables.
Appeler son avocat pour valider la pertinence des actions légales à lancer : un dépôt de plainte au pénal ou un licenciement trop hâtif peuvent mettre en exergue le défaut de procédures internes et se retourner contre l’entreprise.
Appeler son expert-comptable ou son commissaire aux comptes, selon la taille de la structure.
Appeler la police judiciaire pour effectuer un dépôt de plainte si besoin et entrer en contact avec le référent en cyber criminalité de la gendarmerie.
confisquer l’ordinateur du fraudeurpour effectuer un dépôt de plainte si besoin et entrer en contact avec le référent en cyber criminalité de la gendarmerie.
En cas de fraude interne,
déconnecter du réseau l’ordinateur attaqué pour stopper la contamination.
En cas d’attaque par virus Cryptolocker,
L’enjeu de la cyber sécuritéSe protéger des cyber attaques appelle une véritable stratégie d’anticipation et de réponse, à la fois humaine, organisationnelle et technologique. Sécuriser ses données implique de renforcer la sécurité du SI. Il convient de:
• Sécuriser les équipements.
• Sauvegarder régulièrement les programmes/données sur site ou hors site.
• Tester les sauvegardes, sécuriser les accès au système d’information,
• Se protéger des virus et intrusions (Firewall, Anti-virus).
• Tester les systèmes pour repérer les vulnérabilités.
L’une des clés du succès réside dans la sensibilisation et la formation des salariés à la détection des attaques pour les désamorcer à temps c’est-à-dire savoir repérer un lien louche dans un email ou refuser de donner des informations sensibles par téléphone…
Un plan de sauvegarde et de reprise d’activité et une assurance destinée à faire face aux conséquences financières figurent également au rang des éléments à anticiper.
« La sécurisation des données et leur confidentialité sont au cœur des enjeux
à venir. »
Christian GABENESCH Ingénieur spécialiste des systèmes
d'informations et de la sécurité informatique,
Fideliance
L’Ethical Hackingou comment repérer les vulnérabilités d’un SI.
Les sources de vulnérabilités
informatiques sont nombreuses. Si
nombre de cyber criminels ont un temps
d’avance technologique, certains se
contentent de pirater des bases de
données à l’aide de virus librement
accessibles sur internet. L’Ethical
Hacking est une mission spécifique
qui consiste à se mettre dans la peau
d’un hackeur. Muni d’une autorisation
(pénétrer un système est un délit), les
consultants testent la robustesse du
système d’information de l’entreprise
(tests d’intrusion, identification des
failles…) ainsi que la résistance des
salariés à l’ingénierie sociale.
Fideliance is a member of Crowe Horwath International, a Swiss verein (Crowe Horwath). Each member firm of Crowe Horwath is a separate and independent legal entity. Fideliance and its affiliates are not responsible or liable for any acts or omissions of Crowe Horwath or any other member of Crowe Horwath and specifically disclaim any and all responsibility or liability for acts or omissions of Crowe Horwath or any other Crowe Horwath member. © 2016 Fideliance
Nous contacter78, rue Paul Jozon
77300 Fontainebleau
Tél : +33 (0)1 64 22 77 44
Fax : 33 (0)1 60 72 30 88
38, rue Saint-Ferdinand
75017 Paris
Tél. : +33 (0)1 43 80 10 98
www.fideliance.fr
Le groupe FidelianceLe groupe Fideliance propose à ses clients une offre de services pluridisciplinaires dans les domaines de l’expertise comptable, de l’audit et du conseil, mais pas seulement.
Nous développons également une offre de services complémentaires pour les dirigeants et leurs entreprises.
• Le conseil en systèmes d’information couvrant l’audit des systèmes informatique ou encore l’aide à la prévention contre la fraude.
• La Responsabilité Sociétale des Entreprises (RSE.)
• L’évaluation.
• La consolidation.
• Le reporting financier.
Présent à Paris et en Ile-de-France, fort de 200 professionnels dont 23 Associés, le groupe Fideliance est l’un des 40 premiers cabinets français. Membre indépendant du 9ème réseau mondial d’expertise comptable, d’audit et de conseil, Crowe Horwath , le groupe Fideliance bénéficie d’un réseau de compétences dans le monde entier.
Vous pouvez retrouver toutes nos lignes de services sur notre site internet : www.fideliance.fr
Diagnostics sécuritéObjectif : déterminer la qualité du contrôle interne et le niveau de sécurité du système informatique. Le diagnostic porte habituellement sur les points suivants :
• L’organisation informatique (définition des fonctions, stratégies, budgets…).
• Les sécurités physiques (protection des actifs matériels contre les risques de destruction, incendie, dégât des eaux, vol, dommage).
• Les sécurités logiques (protection des actifs immatériels, gestion des procédures d’accès, des mots de passe…).
• La sécurité des développements (expression des besoins, la programmation, la documentation, les tests).
• La sécurité de l’exploitation (gestion des incidents, surveillance des performances du système).
• La continuité de l’exploitation (sauvegardes des données et programmes, plans de continuité d’exploitation et de reprise après sinistre, assurances).
Se protéger contre la fraudeFideliance aide ses clients à se protéger contre la fraude grâce aux missions suivantes :
Audits d’application Objectif : s’assurer de la fiabilité d’un ensemble d’opérations sur un programme informatique.
La démarche consiste à analyser les flux de données au sein du programme, identifier les contrôles automatisés portant sur ces données, évaluer et tester ces contrôles.
Cette catégorie de travaux exige une expertise en systèmes d’information.
Il demande un contact direct avec un responsable ou un prestataire informatique chargé de la maintenance afin de pouvoir suffisamment approfondir le dialogue en vue d’analyser les programmes informatiques et juger de leur fiabilité.
Recherche de vulnérabilités Objectif : Réaliser des recherches automatisées de vulnérabilités et de ports dans le réseau local, sur les serveurs, sur les postes de travail, sur les routeurs.
Ces outils sont les mêmes que ceux utilisés par les « hackers » dans leur recherche de « portes ouvertes ». Cette recherche de vulnérabilités par un auditeur est parfois appelée « Ethical hacking ».
