Grant Thornton : un baromètre sur la lutte contre la fraude et la corruption

Rencontre avec Nicolas Guillaume, Directeur de la ligne de services Risk Management chez Grant Thornton

Noémie Monti
16/11/2015


Le groupe d’audit et de conseil Grant Thornton a récemment publié un baromètre sur les pratiques des entreprises face aux risques de fraude et de corruption. Selon cette étude, 95% des entreprises estiment que ces risques sont importants ou très importants : falsification de documents, détournements de fonds et cybercriminalité. Les opportunités de fraude se sont en effet multipliées ces dernières années, jusqu’à légitimer aujourd’hui le recours à des outils de prévention, de détection et d’investigation au sein des entreprises elles-mêmes. Nicolas Guillaume, associé de Grant Thornton en charge de la ligne de services Risk Management, nous l’explique en détail.



Pourriez-vous revenir sur la démarche méthodologique utilisée pour établir ce baromètre ?

Nicolas Guillaume
Ce baromètre prend la forme d’un questionnaire d’une quarantaine de questions. Celui-ci a été traité par un outil de gestion de questionnaire en ligne pour être ensuite adressé à une liste d’environ 3 000 contacts exerçant au sein des métiers de l’Audit et du contrôle interne des risques de la fraude. Les personnes sondées sont toutes des professionnels exerçant leur activité en France pour le compte d’entreprises françaises et internationales.
 

Quelles grandes tendances se distinguent à l’issue de cette étude ?

Lorsque l’on interroge les entreprises sur la nature des risques de fraude auxquels elles sont particulièrement sensibles, la première préoccupation évoquée est celle des risques liés à la cybercriminalité. Bien que ce sujet ne soit pas une nouveauté, c’est la première fois qu’il apparaît aussi fortement.  La cybercriminalité est devenue progressivement plus importante  pour les  dirigeants ces dernières années. Pourquoi ? Peut-être parce que ces derniers sont finalement plus accoutumées aux autres risques, plus « classiques », allant du détournement d’actifs à la falsification d’états comptables et financiers.

Au regard de ces résultats, l’autre tendance qui se distingue est celle de l’hétérogénéité des dispositifs de lutte existant actuellement sur le marché. Ainsi, d’une entreprise à l’autre les priorités diffèrent tout comme les outils  mis en œuvre. On constate finalement qu’assez peu d’entreprises traitent le sujet de manière sérieuse et possèdent actuellement un dispositif véritablement mâture. L’approche des risques de fraude est donc très variable selon les entreprises. Toutes ne les abordent pas sous un  même angle, ne se concentrent pas sur des aspects similaires et n’engagent pas les mêmes moyens de lutte. Des pratiques  très hétérogènes qui révèlent un côté « tabou » de la fraude encore très prégnant. Ce sujet n’est pas encore abordé facilement et cela entraine moins de capitalisation sur de meilleures pratiques en entreprise. La plupart ont ainsi  tendance à ne pas communiquer sur ce sujet et ne partagent ni leurs difficultés, ni leurs best practices en matière de lutte. Une meilleure entraide entre entreprises aiderait pourtant ces dernières à évoluer plus rapidement.
 

D’où vient cette réticence ?

Cette étude révèle que plus de la moitié des fraudes commises impliquent un collaborateur de l’entreprise. Une tendance qui renforce logiquement cette dimension « tabou », puisque l’entreprise craint de communiquer sur les cas de fraude déjà subis afin de ne pas « donner de mauvaises idées » aux autres collaborateurs. Cependant, de nombreux dirigeants pensent a contrario que communiquer sur ces risques, et en particulier sur les cas subis et traités, serait au contraire un moyen de dissuasion pour les éventuels fraudeurs. Des divergences de point de vue donc, qui sont pour la plus part liées à la culture de l’entreprise. 
 

Selon vous, quels sont les facteurs à l’origine de cette augmentation progressive des tentatives de fraude et de corruption ?

Au préalable, il semble nécessaire d’établir qu’il n’y a pas réellement plus de cas de fraude qu’auparavant. En revanche, on note que les entreprises se sentent  de plus en plus concernées par le sujet. Il est important de rappeler que l’une des caractéristiques inhérentes à la fraude est que, hormis les cas flagrants venant de l’extérieur, vous ne repérez le cas de fraude que si vous l’avez cherché. Par exemple, si on ne s’intéresse pas au risque d’abus sur les notes de frais de l’entreprise et qu’aucun contrôle n’est fait à ce niveau, il est clair que cette pratique pourra continuer d’exister. Lorsque l’on commence à se poser la question et à faire des recherches, on trouvera automatiquement des cas, de nature plus ou moins grave.  

L’augmentation de la sensibilisation des entreprises sur ces questions est une évolution essentielle qui fait apparaitre la fraude comme un sujet de plus en plus prioritaire. La crise économique joue également un rôle conjoncturel décisif car plus l’environnement économique est dur, plus les acteurs sont prêts à recourir à des voies non légales pour trouver des ressources afin de compenser. Si l’on prend l’exemple du secteur des assurances, il n’y a jamais autant de cas d’entrepôts qui brûlent qu’en période de crise. C’est un point dit « de basculement »  pour l’entreprise qui, n’arrivant plus à écouler ses stocks et se retrouvant dans une situation économique trop difficile, optera finalement pour la fraude à l’assurance. Il en est de même pour l’individu. La dureté du contexte peut en effet pousser ces derniers à se tourner vers cette solution. La dernière explication tient à l’impact des nouvelles technologies. Ainsi, pour pouvoir frauder, il faut être en mesure de détecter une opportunité et pour cela connaître un minimum l’entreprise. Les nouvelles technologies jouent un rôle d’amplificateur puisqu’elles permettent l’accès à un nombre infini d’informations sur l’entreprise, les collaborateurs qui y travaillent,  ainsi que leurs activités professionnelles et personnelles (grâce aux réseaux sociaux notamment). Dans ce contexte, les fraudeurs se servent de l’ingénierie sociale afin de comprendre le fonctionnement de l’entreprise, dans le but de pouvoir l’ « attaquer » le plus intelligemment et le plus efficacement possible. La dématérialisation des informations est ainsi des plus pratiques pour le fraudeur qui n’a même plus besoin d’établir un contact humain direct.  
 

Le risque de fraude génère un coût significatif pour les entreprises. Comment expliquer que seulement un quart d’entre elles déclarent avoir évalué ce coût ?

Le premier frein est d’ordre technique. Il est en effet compliqué de mesurer ce coût car cela correspond à des démarches techniques difficiles à mettre en œuvre, et que les dirigeants n’ont pas toujours la possibilité d’utiliser. Afin de quantifier un risque il est nécessaire d’avoir des données pour ne pas rester sur quelque chose de purement théorique, et comme c’est un sujet sur lequel les entreprises communiquent relativement peu, celles-ci ont automatiquement peu de données (ce qui limite leur capacité à mesurer ces risques).

 

Cette étude montre donc que la majorité des entreprises se focalisent davantage sur la prévention et la détection en amont que sur les moyens de lutte mis en œuvre une fois le cas identifié (forensic). Comment expliquer cette tendance?

Ce phénomène s’explique tout d’abord par le fait qu’il apparaît souvent plus constructif et acceptable pour l’entreprise de concentrer ses efforts sur les actions à mettre en œuvre pour échapper au risque. Celles-ci ont encore du mal à accepter de s’organiser pour y faire face le jour venu car cela signifierait que certains cas ont réussi à passer au travers des mailles du filet. Elles auront donc plus naturellement tendance à recourir à la prévention. L’autre aspect qui entre en compte dans ce que l’on nomme le forensic, est que cela fait appel à des techniques et compétences particulières. Traiter un cas de fraude survenu est ainsi plus facile à externaliser et à sous-traiter en dehors de l’entreprise, car s’il est difficile de faire de la prévention à la place de l’entreprise, il est plus facile de demander à une entité extérieure spécialisée de décortiquer le problème une fois le risque identifié. C’est un travail qui peut être fait via des techniques d’investigation et d’audit qui ne nécessitent pas d’aide en interne. C’est pourquoi travailler sur la prévention apparait comme ayant une plus grande valeur ajoutée aux yeux des entreprises. 
 

Pouvez-vous revenir sur ce que vous nommez le « triangle de la fraude » ?

La théorie du triangle de la fraude estime que trois éléments doivent être réunis pour qu’un individu fraude. Il faudrait idéalement les trois à la fois, bien que l’on observe dans la pratique que la convergence de deux d’entre eux suffit souvent. Le premier élément est l’opportunité. Pour être tenté par la fraude, l’individu doit se trouver dans une situation propice lui ayant permis de détecter une faille dans laquelle il va pouvoir se glisser pour tirer un bénéfice personnel. C’est alors que les nouvelles technologies représentent un atout fondamental.  Le deuxième est celui de la motivation. L’individu réfléchit en termes de coût-avantage en se demandant : « que vais-je en tirer ? ». Plus ce dernier va se rendre compte qu’il peut réaliser une opération générant un important retour sur investissement, plus il va être tenté de frauder. Cette motivation émane soit d’un gain potentiel important pour l’individu en question, soit d’un gain qui répond à son besoin du moment. Troisième et dernier élément : la rationalisation. L’individu va tenter de se donner bonne conscience en se persuadant que certes il fraude son entreprise, mais que cela fait longtemps que celle-ci ne reconnaît pas ses talents ou ne lui offre pas la rémunération qu’il mérite et que finalement, il lui reprend en fraudant ce qui devrait lui revenir de droit. Une personne fraudant l’assurance chômage saura que c’est mal mais se dira que d’un autre côté c’est le système qui est inadapté. En prenant à l’assurance il obtiendra ce dont il a besoin sans pour autant porter préjudice aux autres chômeurs qui seront malgré tout indemnisés. La rationalisation correspond à toutes ces justifications, cette idée de « dette accumulée » que l’individu utilise afin de dédramatiser et de légitimer son acte.

L’idée est donc de dire que si l’opportunité optimum se présente et que l’individu parvient à se donner bonne conscience, il la saisira  puisqu’il reprend en quelque sorte ce qui lui ait dû. Ce triangle de la fraude s’applique essentiellement dans les cas d’individus isolés puisque ceux-ci sont finalement seuls face à leur conscience. Plus la motivation sera élevée, car il a l’opportunité de le faire seul, et plus l’individu tentera de se donner bonne conscience. En revanche, cet aspect de rationalisation ne fonctionne pas pour la fraude en bandes organisées que l’on retrouve dans certains secteurs d’activité. Dans le cas de groupes orchestrant des actions de fraude systématique, la rationalisation n’existe plus puisque ces bandes obéissent aux lois du « plus financier » comme seule motivation.
 

• Les conclusions de l’enquête montrent que 58% des cas observés sont des cas de fraude impliquant partiellement ou exclusivement des collaborateurs de l’entreprise. Cette observation est-elle surprenante ? Comment interpréter ce phénomène ?

Ce n’est pas si surprenant car finalement, qui est mieux placé qu’un individu interne à l’entreprise pour identifier les failles de son système ? Si cette observation peut surprendre, c’est davantage dû au fait que ce sujet est encore tabou. Les entreprises ne sont pas à l’aise avec le fait de reconnaître qu’il puisse y avoir dans leurs équipes des collaborateurs qui ne possèdent pas une éthique irréprochable. En réalité, pas loin de 100% des entreprises ont déjà connu un cas de fraude impliquant un de leur collaborateur. Il faut cependant garder à l’esprit qu’il y a plusieurs types de fraude qui vont de la petite fraude de tous les jours à celle de plusieurs milliers d’euros.

Ainsi, selon l’endroit on l’on pose le curseur, on trouve des gens qui détournent les biens de l’entreprise pour leur intérêt personnel à peu près partout et de manière plus ou moins marquée. Dans ces cas-là les entreprises décident souvent de fermer les yeux pour conserver une certaine forme de paix sociale. Cependant, il est important de reconnaître que la fraude en interne existe et qu’elle a d’ailleurs toujours existé. La vraie difficulté est de lutter contre ce déni des entreprises qui refusent d’accepter son existence, car c’est lorsque ce cas de fraude mineure se transforme en détournement massif que ces dernières payent ce déni au prix fort.  Ce phénomène n’est donc pas une nouveauté mais une tendance dont on prend conscience progressivement et dont on accepte peu à peu de parler.  
 

Quels secteurs d’activité semblent prendre le plus en considération l’ampleur du risque de fraude ?

Les résultats de cette étude montrent que la plupart des secteurs se déclarent concernés par cette problématique. En tête, l’industrie et les services, suivis de près par le secteur financier. Cependant, le secteur public semble être en retrait sur ce sujet. La prise de conscience du risque de fraude y est en effet beaucoup plus faible qu’ailleurs. Ainsi, si tous les autres secteurs considèrent ces risques comme importants voire très importants, certains organismes du secteur public considèrent encore cette problématique comme « émergeante ». Ce que l’on pourrait expliquer par le caractère très réglementaire de ce secteur. On peut ainsi considérer que ces organismes ont  du mal à « s’emparer » de ce type de sujet, sans texte réglementaire dédié. Autre aspect explicatif : l’hétérogénéité de ce secteur. Il y a ainsi une grande différence entre une entité comme Pôle Emploi, au sein de laquelle la problématique de la fraude est évidemment plus que prioritaire, compte tenu des fonds que l’organisme manipule. Cependant, d’autres organismes publics manipulant moins de fonds, seront de fait moins attrayants pour les fraudeurs. Le risque de fraude leur apparaîtra donc plus « lointain ».

Les différences structurelles entre les secteurs sont aussi à prendre en compte. Le secteur financier va par exemple être soumis à une réglementation très stricte sur ces questions, ce qui ne sera pas toujours le cas dans d’autres secteurs. Le 22 Juillet dernier, un projet de loi a commencé à être discuté en Conseil des Ministres sur la transparence de la vie économique. Le gouvernement envisage ainsi  de mettre en place une nouvelle agence spécialisée sur la lutte contre la corruption et la fraude dans les entreprises afin de rendre obligatoire un certain nombre de mesures, tous secteurs d’activité confondus. Ceci serait surement un moyen de pousser progressivement plus d’entreprises à se concentrer davantage sur ces sujets.
 

Selon vous et compte tenu des résultats obtenus, quelles actions concrètes devraient être engagées de la part des entreprises ?

La réponse ne pourra être la même pour toutes les entreprises. On peut ainsi segmenter les actions à mener selon deux critères. D’une part, le degré d’exposition au risque, car les entreprises seront plus ou moins « tentantes » pour les fraudeurs, en fonction de leur activité et de leurs actifs. Alors qu’une entité comme Pôle Emploi qui verse un grand nombre d’allocations le sera pour le fraudeur externe, une association avec peu d’actifs sera de fait moins exposée à ces mêmes risques. Le second critère à prendre en compte est la différence du niveau de maturité d’une entreprise à l’autre. On a ainsi aujourd’hui des entreprises qui travaillent depuis longtemps sur ces thématiques alors que d’autres commencent à peine à s’y intéresser. C’est donc en fonction de ces deux critères que les actions à mener doivent être déterminées.

Une entreprise jugée « mâture » sur ces problématiques devra davantage vérifier qu’elle est « au niveau » concernant les pratiques mises en place. Toutes ces démarches étant hétérogènes et souvent incomplètes, la question portera davantage sur les pratiques qu’elle ne connait pas et qui pourraient venir compléter son dispositif existant. Un travail d’évaluation aura pour but de rassurer les différentes parties prenantes, en montrant que le dispositif en place est performant et de qualité.  Cependant, pour une entreprise encore peu à l’aise sur cette problématique, dresser un tel tableau serait contreproductif car ce dernier serait très « sombre »et aurait pour effet d’inquiéter les parties prenantes.

 

Quelles démarches proposez-vous aux entreprises jugées moins matures sur ces questions ?

Lorsque l’on discute avec ce type d’entreprise, la première question posée est celle de la visibilité que le dirigeant a de ses actifs et de ce qui pourrait potentiellement tenter les fraudeurs. Ce « potentiel de tentation » va de l’argent liquide aux informations confidentielles en passant par le matériel de l’entreprise etc. Une fois cette question posée, il est nécessaire de dresser une cartographie concrète des risques de fraude, en englobant des scénarios et en présentant les coûts potentiels pour l’entreprise. C’est cette représentation visuelle des risques qui permettra aux entreprises d’identifier et de hiérarchiser les cas qui pourraient éventuellement survenir. La fraude étant protéiforme, on ne peut tout anticiper et l’enjeu pour les sociétés  est de se concentrer sur les quelques scénarios les plus probables et les plus impactant dans leur situation. C’est aussi un moyen de montrer le  retour sur investissement, en évaluant la performance du dispositif mis en place suite à l’identification du risque. Il faut avancer progressivement et c’est grâce à cette cartographie des risques que l’entreprise réussira à avoir une visibilité concrète de son exposition,  lui permettant de prendre des décisions en connaissance de cause. Certains risques seront jugés « concevables » à l’image de la grande distribution qui « accepte » un certain nombre de vol à l’étalage en sachant que tenter de réduire ce taux leur reviendrait finalement à plus cher. Cartographier les risques équivaut donc à en accepter un certain nombre,  après avoir réfléchi en termes de coût-avantage. C’est ce qui permet de pouvoir choisir les risques « inacceptables » financièrement ou éthiquement parlant.

 De son appréhension à sa façon de la mettre en place, la lutte contre la fraude dépend donc essentiellement de la culture de l’entreprise. Celle qui accepte l’existence de ces risques aura déjà fait un grand pas dans la lutte alors qu’une entreprise qui s’évertue à en ignorer l’impact éventuel se rendra d’elle-même plus vulnérable face aux fraudeurs potentiels. Plus elles accepteront d’en parler de manière structurée et apaisée, plus les entreprises deviendront efficaces dans la mise en place de leur dispositif de lutte.  
 

Nicolas GUILLAUME est diplômé de l'Université de Strasbourg et de l'IAE d'Aix en Provence.
Après un parcours en entreprises, où il exerce des fonctions de Responsable d'audit et de contrôle interne ou de Risk Manager, il rejoint le Cabinet Tuillet, puis le Groupe Grant Thornton, dont il est aujourd'hui Associé et Directeur de la ligne de service Risk Management.
Il intervient à ce titre dans des secteurs très diversifiés et accompagne de nombreuses entreprises dans leurs problématiques de gestion des risques, de contrôle interne et de la lutte contre la fraude, en réalisant pour leurs comptes des missions de de conseil et d'audit interne dans ces domaines spécialisés.