La séparation des tâches pour contrer la fraude interne

Par Wassim Ben Mansour, Responsable du pôle GRC, ileven

La fraude en entreprise est un fléau coûteux et bien réel. Aucune entreprise n’est  à l’abri de la fraude. En effet, selon une étude PwC* récente, « 55 % des entreprises françaises ont été victimes d’une fraude au cours des vingt-quatre derniers mois ». Ce chiffre s’élevait à 29% en 2009. « Les entreprises françaises, grandes comme petites, ont compris ces dernières années que la détection était clé dans leur lutte contre la fraude. Cette hausse du nombre de fraudes constatées est en lien direct avec une amélioration de leur détection ». Dans la majorité des cas (6 cas sur 10), ce fléau vient de l’intérieur. Il s’agit d’un collaborateur de l’entreprise ayant une certaine ancienneté ainsi que la confiance de son management.La fraude interne engendre des impacts dévastateurs pour les entreprises. « Près d’un tiers des fraudes ont coûté plus de 100 000 euros aux entreprises françaises ». En plus du coût financier significatif, la fraude véhicule une mauvaise publicité pour l’entreprise impactant ainsi la notoriété et l’image de la marque. A cet impact négatif sur la réputation de l’entreprise, s’ajoute l’impact sur le moral des salariés. Cette mauvaise image dont les entreprises se dispenseraient volontiers, souligne la difficulté que rencontrent les sociétés à mettre sous contrôle leurs flux financiers.

La lutte contre la fraude est donc au cœur des responsabilités de l’entreprise, d’autant que le risque d’irrégularités comptables et financières se révèle en forte croissance. Détection, prévention et investigation sont ainsi les clefs de voûte des dispositifs mis en place dans les organisations. Toujours selon l’étude PwC*, « la France détecte 62% de fraudes grâce aux dispositifs de prévention et de contrôle ». Les entreprises mettent en place de plus en plus  d’outils permettant d’assurer la séparation des tâches, SoD (Segregation of Duties), au sein de leur système d’information. L’objectif étant qu’une même personne ne puisse pas cumuler des tâches incompatibles telles que gérer les fournisseurs (avec possibilité de modifier le RIB) tout en pouvant effectuer des paiements pour ce même fournisseur.

L’audit interne dispose désormais d’outils permettant une vision globale des risques SoD au sein de son système d’informations. Les grands groupes ayant mis en place ce type d’outillage, de par leur taille (nombre élevé d’utilisateurs) et la diversité du périmètre applicatif, rencontrent deux nouvelles problématiques : le besoin de contrôle des risques « réels » ainsi que le besoin d’ouverture sur les risques inter applications.

La remédiation SoD (mise sous contrôle des risques SoD) pour l’audit interne peut vite  se transformer en un vrai casse-tête. En effet, la volumétrie importante des risques SoD à corriger peut décourager les personnes en charge de la remédiation. « Souvent, on ne sait pas par où commencer » observait  un responsable d’une filiale locale d’un grand producteur de bières, « notre métier c’est de produire de la bière et pas de passer notre temps à la remédiation SoD ». Il ne s’agit donc plus de lister simplement les risques SoD au niveau des utilisateurs. Les outils GRC doivent désormais évoluer vers plus d’efficacité, afin de pouvoir limiter les résultats aux risques « réels », ceux ayant un impact immédiat et chiffré en termes de sortie de cash tout en diminuant la priorité de traitement des risques « théoriques » (dont les accès sont possibles mais jamais ou rarement utilisés). Cette évolution est primordiale pour accroître l’efficacité de la remédiation SoD et optimiser les temps de traitement.

Au vu de la variété des périmètres applicatifs, de plus en plus d’auditeurs internes souhaitent bénéficier d’un outil capable d’analyser des risques SoD inter-applicatifs. Le développement et l’amélioration des dispositifs de détection de fraudes contribuent incontestablement à une réduction de la fraude financière et à une meilleure maîtrise des flux financiers.
*7ème édition de l’étude PwC sur la fraude en entreprise, 2014