Une cartographie des risques de fraude est un exercice destiné à mesurer le niveau d'exposition à la fraude d'une société, d'une activité ou d'un processus et identifier les risques résiduels non couverts par l'environnement de contrôle en place. Au-delà de l'importance de la méthodologie choisie pour la conduite d'un tel exercice, il est primordial de s'entourer des compétences pertinentes tant en interne qu'en externe pour mener à bien l'identification des risques et des mesures de remédiation appropriées. Nous tentons de restituer dans cet article les clés pour faire de votre cartographie des risques de fraude un succès et un outil de pilotage efficace pour le management. Fraude «cosmétique» ou fraude à «haute valeur ajoutée» Si l'on se réfère à la définition qu'en donnent les dictionnaires récents, la notion de cartographie évoque une représentation de phénomènes mesurables sous forme de diagrammes ou de schémas à l'aide d'information quantitative. Appliquée au risque de fraude, la cartographie s'entend comme le relevé des risques d'une entreprise, d'une activité et/ou d'un processus. L'objectif d'un tel exercice est en effet d'établir un recensement et une évaluation des risques de fraude au regard des contrôles en place avec pour objectif final de mettre en évidence d'éventuels manquements ou faiblesses résiduelles du contrôle interne. L'élaboration de la cartographie peut, selon la complexité de l'entreprise et le niveau de précision que l'on souhaite lui apporter, constituer un travail fastidieux et coûteux. Par conséquent, les cartographies des risques de fraude sont souvent incomplètes, insuffisamment approfondies et n'identifient pas de manière précise les risques majeurs et les principaux scenarii de fraude possibles. Une des sources d'échec principale réside dans le manque d'expertise et d'expérience des équipes en charge de l'exercice: les insuffisances méthodologiques menant au manque de profondeur de l'analyse et le manque d'expérience conduisant à des plans de gestion des risques de fraude, trop génériques, sans réelle valeur ajoutée et ne s'imbriquant pas dans le processus de gestion global de la société. Il est en effet important de bien s'assurer que la méthodologie mise en œuvre, le mode de restitution et de formalisation s'inscrivent dans le système de gestion des risques de la société afin que les résultats des travaux mis en œuvre permettent d'améliorer, de manière concrète et opérationnelle, son processus global de maîtrise des risques. L'expérience compte La première étape clé dans le processus d'évaluation est le choix de l'équipe qui sera en charge de la conduite de l'exercice. Les fonctions d'audit interne ou de gestion de risque, habituées à éclairer le management sur les zones de risques de l'entreprise et les mesures à mettre en œuvre pour les réduire, sont souvent mises à contribution. En s'appuyant uniquement sur leur expérience au sein de l'entreprise et l'historique de leurs missions, les équipes en charge de l'évaluation des risques de fraude peuvent ne pas prêter suffisamment attention aux nouvelles tendances en matière de fraude. En conséquence, l'univers des risques présenté à l'issue de l'exercice inclut principalement des risques génériques passés ou actuels sans prendre en considération les évolutions des schémas de fraude ni anticiper les changements en cours ou à venir, y compris technologiques, potentiellement propices à la perpétration d'actes frauduleux. Une des clés du succès réside dans la capacité de l'équipe projet à décrire les risques dans des termes compréhensibles, reposant sur des scenarii précis en rapport avec le mode de fonctionnement et la culture de l'entreprise, l'évolution de son environnement ainsi que les changements stratégiques prévus par le management. Ce résultat ne peut être atteint que si l'équipe en charge de l'identification et l'évaluation des risques de fraude inclut des experts en mesure d'apporter une connaissance approfondie des tendances en matière de fraude ainsi qu'une expérience large dans le secteur d'activité de l'entreprise, permettant, in fine, d'identifier les meilleures mesures de maîtrise des risques identifiés. La méthodologie à appliquer pour conduire un exercice de cartographie des risques de fraude dépend des moyens, des ambitions et du niveau de précision souhaité. La deuxième étape importante dans le processus est le choix de l'approche qui sera appliquée dans le cadre de l'élaboration de la cartographie des risques de fraude. Différentes méthodes s'offrent aux entreprises – des approches plus traditionnelles telles que l'évaluation à l'aide de questionnaires et l'organisation d'ateliers avec des représentants des domaines exposés aux risques de fraude, ou bien des approches alternatives comme notamment l'identification et l'analyse des risques à travers des exercices de simulation de cas de fraudes. Le choix de l'approche est souvent conditionné par le niveau des ressources disponibles, l'expérience et la maturité des équipes qui participent au processus. Chacune de ces approches présente des avantages et des inconvénients que les personnes en charge de l'élaboration de la cartographie des risques doivent connaître et évaluer avant de prendre leur décision. À titre d'exemple, l'approche d'évaluation par questionnaire assure une couverture significative de la population évaluée, aussi bien en termes géographiques, dans le contexte d'une grande entreprise multinationale, que dans le cadre d'un holding gérant un portefeuille d'activités très diversifié. Néanmoins, cette méthode comporte des limites telles que la difficulté d'obtenir des réponses de qualité due à l'incompréhension des questions ou l'insuffisance de base factuelle sous-tendant les réponses fournies par les opérationnels interrogés. Par ailleurs, l'organisation d'ateliers de travail avec des représentants des domaines exposés aux risques de fraude peuvent mener à une appréciation très générique et peu opérationnelle des risques et de la capacité de l'entreprise à les gérer. Cependant, cette approche offre une flexibilité en ce qui concerne la collecte d'information et permet la sensibilisation des fonctions exposées. Des fraudes aux multiples «visages» Des ateliers sont organisés afin de définir un cadre, c'est-à-dire à identifier de manière générale les typologies de risques de fraude auxquelles l'entreprise est exposée (détournement de fonds, manipulation des comptes comptables, corruption, conflits d'intérêts et autres) et les processus concernés (achats, paiements des fournisseurs, ventes, réceptions des paiements des clients, gestion des stocks, etc.). Ensuite, les questionnaires contribuent à faire émerger de manière plus opérationnelle et plus concrète des risques qui constitueraient l'univers des risques de fraude de l'organisation: remboursements de fausses notes de frais dans une filiale, paiements de fausses factures, détournement de paiements de clients locaux, surfacturation, vol de stock à haute valeur unitaire… Ils permettent également d'ajuster l'appréciation de la fréquence et de l'impact de ces risques. Par ailleurs, l'analyse des risques à travers des exercices de simulation de cas de fraudes est une méthode de plus en plus utilisée. Cette approche est la plus adaptée pour conduire les participants à l'exercice à approfondir de manière proactive leur analyse des processus existant au sein de leur organisation et à identifier les carences dans l'environnement de contrôle en place.Le choix de méthodologie a non seulement une incidence sur l'identification et la profondeur de l'analyse des risques, mais également sur la perception de la probabilité d'occurrence et du coût potentiel attachée à chaque risque et par conséquent, sur leur positionnement sur la cartographie. En complément, nous pensons qu'il est fondamental que la cartographie des risques de fraude soit alignée avec les principes appliqués par la société pour la réalisation de sa cartographie des risques globale et des cartographies des risques thématiques associés. En effet, afin que les résultats de ces exercices soient homogènes et permettent au management de disposer d'un outil de pilotage des risques global cohérent, les entreprises doivent s'astreindre à rationaliser leurs approches méthodologiques pour la formalisation des différentes natures de cartographies des risques (généraux, fraude, corruption, cybersécurité, environnement, etc.) et ainsi disposer d'un socle d'évaluation des risques commun et comparable. La cartographie des risques de fraude n'est pas figée, il s'agit d'un exercice évolutif dont les évolutions doivent être la résultante du plan d'action établi à l'issue de la cartographie. La troisième étape du processus d'évaluation des risques de fraude consiste en la mise en place d'un plan de gestion et de suivi des risques identifiés en corrélation avec la stratégie de l'entreprise. Pour de nombreuses organisations, le processus d'évaluation des risques de fraude se termine une fois les risques identifiés et les priorités hiérarchisées et assignées. Cependant, le développement d'un plan d'actions détaillé est un élément essentiel à la gestion réussie des risques. Il est important de comprendre qu'un «plan pour élaborer un plan d'actions» n'est pas un plan, mais une promesse, et il ne devrait pas être confondu avec la gestion, la supervision et le suivi efficace des risques. La cartographie des risques de fraude doit être partagée et comprise par le personnel en charge de la faire vivre Au final, les clés du succès de l'élaboration d'une cartographie des risques de fraude résident dans plusieurs composantes organisationnelles: la robustesse de l'équipe en charge, la pertinence de la méthodologie choisie et la mise en œuvre, puis, le suivi du plan d'actions. Au-delà des aspects techniques et opérationnels, une cartographie des risques de fraude ne peut être réussie qu'à condition qu'elle vienne renforcer la valeur du programme de gestion des risques global de l'entreprise à travers des mesures adaptées de protection des risques de fraude et qu'elle soit pleinement comprise et partagée par les employés de la société. Silvena Toteva Directrice en charge des activités Forensic au Maroc (spécialiste des sujets de fraude en entreprise). Bachir Bacha Directeur PwC France, expert dans les investigations de Fraude.