RETY

h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
• Quelle est l’image de soi (++, +-, -+, ou --) ? Quelles sont mes chances
d’être un manager professionnel si je ne suis pas majoritairement du
type ++ ?
• Si j’identifie des difficultés dans ce domaine, comment puis-je y remé-
dier ? Chacun a « son truc » (relaxation, yoga, sport, hobby, etc.). Dans
tous les cas il s’agit de trouver un dérivatif : quel est le mien ? Est-il effi-
cace ? Sinon quelle nouvelle solution pourrais-je chercher ? (dans tous
les cas, je ne peux rester dans une position qui ne soit pas ++ car, en tant
que hiérarchique, je suis en partie « payé pour savoir être cela »).
• Remarque : il est évident que le fait de vivre dans des milieux de travail
gais ou tristes influence notre comportement. Le décor compte donc,
bien qu’il n’y ait pas de relation directe avec ce que l’on fait. De la
même façon le « décor » psychologique individuel peut avoir une
influence, et décider chaque jour de « vouloir être heureux et positif »,
quelles que soient les conditions réelles dans lesquelles on vivra cette
journée, conditionne vraisemblablement à la longue le fait d’y parvenir,
même si ce comportement paraît parfois cocasse vu de l’extérieur. Le
problème n’est plus vraiment d’y croire ou pas, car ces techniques ont
maintenant fait leur preuve. La difficulté la plus courante tient généra-
lement à la peur du ridicule. L’essentiel est de ne pas se sentir ridicule
soi-même à partir du moment où cette technique permet de relativiser
avec bon sens. En cas de doute sur sa capacité à y parvenir, il suffit quel-
quefois de dresser le bilan objectif de ce qui fait que l’on a des raisons
d’être satisfait et de ce qui fait qu’on en a de ne pas l’être.
• Quelle attention je porte à l’information que je transmets pour déter-
miner si je dois l’accompagner d’une démarche personnelle (indivi-
duelle ou collective) ou pas ?
• Quel est mon mode de communication dominant ? (quel est mon
« égogramme » en Analyse Transactionnelle ? Suis-je installé dans une
symbiose hiérarchie <-> collaborateurs ? ou service <-> service ?
Quelle est ma capacité à maîtriser mes émotions ?).
• Quels sont mes comportements en termes de jugement des activités de
mes collaborateurs ?
• Est-ce que je pense toujours à préciser avec exactitude ce que je
reproche ?
L’analyse des risques I 89
PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE89 (P01 ,NOIR)

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
• Est-ce que je pense toujours à préciser avec exactitude ce qui a été bien
fait ?
• Est-ce que j’évite toujours de juger la personne, pour ne juger que ce
qu’elle a fait ? (sauf situation exceptionnelle).
• Est-ce que je suis capable de temps en temps de complimenter sponta-
nément et sincèrement sans autre raison que le plaisir partagé d’une rela-
tion agréable ?
• Quels sont mes comportements en termes de pédagogie ?
• Est-ce que je me contente de dire « mais je leur ai déjà dit ! », ou bien
est-ce que je répète, autant de fois qu’il le faudra, avec patience, jusqu’à
obtention du résultat attendu ?
• Quelle est ma capacité d’écoute ? Comment je la mesure ?
• Quelle est ma capacité à pratiquer l’autosuggestion ?
• Quels sont les instruments de motivation que j’emploie pour faire
resurgir les suggestions de mes collaborateurs ? (analyse des besoins par
la pyramide de Maslow, facteurs moteurs d’Herzberg…).
C : défaut de Contrôle Interne hiérarchique et opérationnel – Senti-
ment d’abandon ? De laisser-aller ? De manque d’attention ? De considé-
ration de ce qui est fait ? Méconnaissance du rôle complémentaire des
contrôles de gestion par rapport aux contrôles opérationnels ? Confusion
des rôles entre les couches de l’organigramme ?
• Ai-je fait l’analyse des activités que j’ai déléguées pour en déterminer
l’importance relative (en termes de production, de qualité et de sécu-
rité), les hiérarchiser et identifier celle(s) qui mérite(nt) un contrôle
particulier ?
• Ai-je su faire participer mes collaborateurs en les mettant en condition
psychologique adéquate à l’analyse des risques liés à leurs activités
(attention au besoin naturel de confiance, à écarter momentanément) ?
• Ai-je construit l’organisation correspondante en termes à la fois de
contrôles opérationnels et de gestion ? Ma communication sur ce sujet
est-elle bien comprise par mes collaborateurs ?
90 I Contrôle interne

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
III I
LA GESTION DU RISQUE DE FRAUDES
Selon un sondage réalisé en France par la SOFRES 1, 45 % des citoyens

sont des fraudeurs.
La règle n’est pas toujours respectée : la combine, le passe droit, l’arnaque,
le travail au noir, le piston, la fraude, le trucage, la « gruge », bref la fraude
(cf. annexe : statistiques sur les réponses obtenues au sondage).
• premier indice : 8 seulement de ces 21 infractions sont tenues pour tout
à fait condamnables par une majorité de Français. Les 13 autres appel-
lent indulgence, souvent absolution, parmi lesquelles on trouve tout de
même la triche dans le jeu, dans le sport, dans la fraude à la redevance
télévisuelle, la fraude dans les transports en commun ou encore le
gonflement des notes de frais.
• deuxième indice : la moitié des Français (49 %) déclarent connaître
dans leur entourage un ou plusieurs tricheurs. Certes, quand on arrive
aux questions directes : « et vous-même, vous arrive-t-il de tricher ? »,
les pourcentages diminuent.
Un tiers des Français resquillent dans les files d’attente et le disent. Un sur
cinq triche au jeu, travaille au noir, ou bien voyage sans billet dans le train
ou dans le métro. Fautes pardonnables… mais ils sont 11 % qui avouent
s’exempter de la redevance télé et 7 % fraudent le fisc sans remords.
1. Sondage effectué par le Nouvel Observateur en juin 1994 sur un échantillon national de
1 000 personnes représentatif de l’ensemble de la population âgée de 18 ans et plus, inter-
rogés face à face à leur domicile par le réseau des enquêteurs de la SOFRES. Méthode
d’analyse des quotas (sexe, âge, profession du chef de ménage) stratification par région et
par catégorie d’agglomération.
La gestion du risque de fraudes I 91

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
La SOFRES a mis au point un « indice de tricherie » qui recense le nombre

de ceux qui avouent avoir pratiqué eux-mêmes plus de 4 des fraudes
énumérées dans le questionnaire. Le résultat est sans appel : 45 % des
personnes interrogées satisfont à ce critère ultime de la combine.
Ce sondage montre que nous sommes tous des fraudeurs potentiels, et que
si ces fraudes apparaissent dans la vie courante, elles prennent également
le pas dans la vie professionnelle.
La fraude interne est donc un sujet d’actualité qui occupe et préoccupe de
plus en plus les entreprises. Cependant, ce phénomène reste mal connu.
Il est très difficile de dresser un portrait robot du fraudeur : « C’est en effet
assez difficile car ce phénomène se manifeste dans la quasi-totalité des
classes socioprofessionnelles. Les motifs sont très différents selon les indi-
vidus ; aussi bien chez le professionnel de l’escroquerie que chez le
citoyen normalement respectueux des lois 1. »
« Chacun peut être tenté par la fraude et même passer à l’acte si celui-ci est
facile à commettre ou si l’on se trouve face à une difficulté que l’on peut à
tort ou à raison estimer injuste. »
Ce point est fondamental dans la mesure où il s’ajoute aux difficultés pour
combattre la fraude.
III.1 LA FRAUDE INTERNE : UN RISQUE MAL CONNU

ET UNE NOTION RÉCENTE
La fraude interne est une notion nouvelle ; on assimilait la Gestion des

Risques essentiellement aux aléas naturels ou aux risques technologiques
majeurs, depuis peu on s’oriente vers une émergence des risques associés à
des opérateurs intentionnels avec la notion de malveillance et de la fraude
interne.
L’enjeu est de taille car on ne lutte plus contre des aléas naturels ou
des erreurs non volontaires mais contre l’intelligence humaine.
1. Le Nouvel Observateur du 22/07/94 et du 21/07/92 « les aventuriers de la transgres-

sion » de Patrick Baudry.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Nous retiendrons la définition telle que proposée par l’Association of

Certified Fraud Examiners :
La fraude interne est l’utilisation de son propre emploi afin de s’enrichir personnelle-
ment tout en abusant ou en détournant délibérément les ressources ou les actifs de
l’entreprise.
Du comptable au PDG, les ruses de l’arnaqueur sont multiples. Certaines

fonctions s’y prêtent plus que d’autres : PDG, directeur financier ou infor-
matique, chef comptable ou analyste programmeur, agent de change ou
professionnel de l’immobilier… mais la liste n’est pas exhaustive.
De même, au niveau des complices, on trouve souvent des experts comp-
tables, des commissaires aux comptes, des notaires ou autres experts.
Surtout ne pas se fier aux apparences, le fraudeur n’est pas le monstre froid
qui ne dit jamais bonjour et qui travaille sans cesse jusqu’à des heures
tardives.
70 % des Européens sont honnêtes… tant qu’ils n’ont pas de problèmes
personnels, ni d’opportunité à devenir malhonnêtes ! 10 % sont foncière-
ment malhonnêtes et 20 %, le dernier carré, incorruptibles 1.
Les motivations du fraudeur sont multiples. Un homme qui subit des revers
professionnels, qui se démotive ou vit un échec familial sera plus sensible
aux sirènes de la fraude. Une entreprise dont l’organisation générale
manque de rigueur et dont les résultats sont déficitaires, est vulnérable.
Celle dont la déontologie professionnelle est floue risque de le payer cher.
L’environnement humain et organisationnel pèse lourd dans l’origine
d’une fraude. C’est lui qui va créer l’opportunité ou la motivation du délit.
Si l’opportunité précède la motivation, il arrive que le fraudeur attende des
mois ou des années pour en tirer parti.
La fraude interne aux entreprises, commence par la petite indélicatesse.
Qui peut se prétendre à l’abri de la « gratte » ? Appels téléphoniques
personnels fréquents, pillage de l’armoire à fournitures à chaque rentrée
1. Article « La France qui triche » du Nouvel Observateur du 22/07/94.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
scolaire ou photocopies du mémoire de maîtrise du fils étudiant : les

occasions sont innombrables, et à l’extrême, cela aboutit à de véritables
détournements.
Entre la « gratte » et les détournements financiers sophistiqués, une
nouvelle fraude se développe de façon préoccupante : celle que permet,
parfois à grande échelle, la généralisation des connexions informatiques,
télématiques et téléphoniques. À partir d’un seul poste de travail, en parti-
culier dans les nouvelles configurations clients/serveurs, un individu peut
avoir accès à de nombreuses applications et bases de données.
De l’ajout de faux clients ou fournisseurs dans les fichiers informatiques
aux fausses écritures, la liste est longue des détournements possibles.
Certaines activités sont notoirement touchées par des abus de tous types.
• En premier lieu la distribution où est née l’expression « démarque
inconnue » pour désigner les marchandises qui disparaissent dans la
nature. Elle représente entre 1 % et 2 % du chiffre d’affaires des
magasins, dont la moitié serait imputable aux salariés. La distribution a
le mérite de parler ouvertement du phénomène et de le chiffrer.
• Même attitude dans l’informatique : en 1993 le Club de la Sécurité
Informatique Français (Clusif*) évaluait déjà le montant des fraudes à
environ 245 millions d’euros.
• Banques et compagnies d’assurances constituent les deux cibles
préférées des aigrefins. D’abord parce que c’est là qu’on trouve le plus
d’argent, ensuite parce que la masse est telle que les détournements
souvent mineurs passent inaperçus, même s’ils sont très rémunérateurs
pour le fraudeur.
La belle machine mise au point par les escrocs met parfois du temps avant
de dérailler. Une vingtaine d’ingénieurs et de cadres supérieurs de la
compagnie d’assurances américaine Equity Funding Insurance ont
détourné 2 milliards de dollars en créant 64 000 clients fictifs ; pendant six
ans, ils ont opéré en toute impunité. Rien n’empêche de penser que les plus
belles escroqueries n’ont jamais été découvertes.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Autres exemples de fraudes
Impact
Type Comment ?
financier
Détournement Ouverture d’un compte à l’étranger au nom du fournisseur
Règlement 104,5 Kk et encaissement d’une traite.
fournisseur Découvert par le fournisseur.
Ouverture d’un compte à l’étranger portant le même nom
300 Kk que l’entreprise et encaissement d’un chèque d’un client.
Détournement Découvert par l’entreprise.
des recettes Le commerçant ne mettait pas l’ordre sur les chèques des
53,4 Kk clients.
L’employé de banque les encaissait.
L’employée administratif établissait des chèques à son
61 Kk ordre et imitait la signature du directeur.
Détournement Découvert par l’intérimaire qui remplaçait l’employée.
du chéquier Toutes les La responsable comptable d’une entreprise encaisse des
de l’entreprise semaines, un chèques en blancs, signés par son directeur qui est souvent
chèque allant en déplacement.
jusqu’à 100 Kk Découvert par le banquier.
Le DAF surendetté fait signé au directeur des fausses
Fausses factures établies au nom de sociétés fictives créées par le
factures DAF.
Découvert par un expert-comptable.
Ordres de Création de faux ordres de virement à partir d’une photo-
virements copie d’ordre volé.
161,46 Kk
externes Découvert par le banquier car l’ordre ne comportait qu’une
frauduleux signature.
Source : Fraude : cela n’arrive pas qu’aux autres, L’entreprise nº 201, juin 2002.
v Le cas particulier du blanchiment d’argent
Selon une étude menée par Revue Banque nº 670 de juin 2005, les experts
s’accordent à dire que l’activité de blanchiment d’argent dans le monde
représente des flux financiers annuels compris entre 600 et 1 500 milliards
de dollars.
Dans ce contexte, la lutte anti-blanchiment d’argent entre désormais dans
le cadre général du risque de non-conformité, donc de fraude potentielle.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
En matière de réglementation, les premières dispositions spécifiques fran-

çaises intégrées dans le Code de la santé publique, datent de 1987.
Néanmoins, depuis une dizaine d’année, les dispositifs juridiques ont été
renforcés, notamment sous l’impulsion des États.
L’une des résultantes est la création en 1989 du groupe d’Action Finan-

cière (le GAFI), un organisme intergouvernemental appelé à concevoir des
stratégies de lutte contre le blanchiment de capitaux et le financement du
terrorisme, et qui a publié dans cet objectif de nombreuses recommanda-
tions : 40 pour le blanchiment et 9 pour le terrorisme.
En France, c’est Tracfin (traitement du renseignement et actions contre les

circuits financiers clandestins) qui est en charge de vérifier et contrôler les
déclarations de soupçons venant des établissements financiers.
En d’autres termes, le blanchiment d’argent est devenu en quelques

années, suite aux déréglementations bancaires, une fraude particulière sur
laquelle il faut être désormais très vigilant. De plus en plus, les établisse-
ments financiers créent des fonctions de compliance-officers pour détecter
et superviser les processus qui peuvent financer le terrorisme et favoriser
le blanchiment de capitaux. En développant une approche par les risques,
la troisième directive européenne va alors dans le bon sens car elle
incite les banques et tous les établissements financiers à adapter leur orga-
nisation et leurs systèmes de détection et de pilotage de lutte anti-blanchi-
ment au type de clientèle et à la nature des opérations.
Les obligations de vigilance (le « know your customer ») visent en parti-

culier les entrées en relation sans contact physique, les relations de corres-
pondance bancaire, les personnes politiquement exposées et également le
contrôle des chèques.
Dès que les « professionnels du chiffre et du droit » soupçonnent ou

ont des raisons suffisantes de soupçonner une opération ou une tentative
de blanchiment de capitaux, ils ont l’obligation de faire une déclaration
de soupçon à la cellule de renseignement financier. L’obligation de
déclaration d’une activité criminelle, au sens de la directive, porte sur
les opérations et sommes qui proviennent d’activités illicites : le trafic
de stupéfiants, le terrorisme, les atteintes aux intérêts financiers des
Communautés européennes, la corruption et les activités criminelles

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
organisées. Par conséquent, tous les délits économiques et financiers

entrent dans le champ de la déclaration de soupçons puisque ceux-ci
encourent une peine de prison de 5 ans d’emprisonnement, y compris la
fraude fiscale.
Pour gérer ces risques particuliers, les établissements financiers à travers

les directions d’audit ou les compliance-officers, ont mis en place des
outils d’analyse simples et facilement auditables.
Deux types d’outils sont utilisés :
• les outils qui détectent les opérations atypiques par rapport à un profil de
client ou à un historique d’opérations ;
• les outils, plus sophistiqués, qui utilisent des moteurs statistiques

mettant en évidence les opérations qui s’écartent d’une moyenne statis-
tique pour un client donné ou un type de clientèle 1.
III.1.1 Quelques statistiques
Selon l’Association of Certified Fraud Examiners, dans son étude récente

« La détection des fraudes commises en entreprises au Canada », le coût
de la fraude représente 5 % des revenus annuels des entreprises au Canada
(30 % des fraudes sont évaluées entre 100 et 500 K USD et 25 % des
fraudes sont supérieures à 1 M USD). 90 % des cas de fraudes sont des
détournements d’actifs ; les états financiers frauduleux ne représentent que
11 % mais beaucoup en valeur.
Le processus de rechercher / détecter les fraudes est peu mise en œuvre

dans les entreprises, 57 % des fraudes sont signalées par des employés,
des fournisseurs ou par accident. Il n’y a pas une volonté claire des diri-
geants à détecter les fraudes ; cela serait peut-être reconnaître qu’il existe
des fraudes dans l’organisation et également que les impacts sont non
significatifs sur leurs comptes.
1. Marie-Agnès Nicolet, cabinet Audisoft Consultants : « la lutte anti-blanchiment dans

la fonction conformité », Revue Banque nº 670, juin 2005.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Cette attitude est naïve mais perdure dans les cultures d’entreprise.
La mise en place d’une ligne téléphonique de signalement anonyme

permet de réduire le montant des fraudes mais également la durée de
détection des fraudes de 18 à 24 mois ; en effet selon l’étude menée par
l’Association of Certified Fraud Examiners la perte médiane des entre-
prises sans ligne de signalement est de 197 K USD versus 90 K USD avec
ligne de signalement.
La mise en place d’une ligne téléphonique de signalement anonyme

permet également d’améliorer la perception des employés quant aux
chances que les comportements frauduleux soient décelés.
III.1.2 Existe-t-il un profil type de fraudeur ?
Des recherches sur les comportements frauduleux conduisent à tirer les

conclusions suivantes : la réalisation de toute fraude (le passage à l’acte),
se fait si trois facteurs sont réunis :
• le besoin (financier, par défi ou par esprit de vengeance),
• la perception d’une possibilité offerte de commettre une fraude (prise de

conscience des défaillances de Contrôles Internes),
• la possibilité de justifier son acte, et de trouver une bonne raison de

frauder.
La plupart des fraudeurs sont des « petits délinquants » et ne commet-

traient jamais d’autres crimes. Ce qui est inquiétant, c’est que les pres-
sions, les opportunités et la possibilité de justifier ces agissements sont des
facteurs en augmentation dans notre société.
Les opportunités de frauder en affaires abondent. Dans pratiquement tous

les cas, si la fraude a eu lieu, ça n’est pas parce que les contrôles internes
n’existaient pas, mais parce qu’ils n’étaient pas appliqués.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
v III.1.2.1 L’opportunité
Quant à l’opportunité, elle est, bien entendu, créée par les failles de
systèmes et des procédures :
• maîtrise par une même personne du processus comptable, de l’expédi-
tion des factures à l’enregistrement des règlements,
• possibilité de détourner la procédure de recrutement de personnel clé
(engagements « pirates »),
• cumul de fonctions incompatibles du point de vue sécuritaire,
• conjugaison de faiblesses de l’informatique et de la gestion physique des
stocks permettant des détournements physiques…
Dans nombre de cas de fraudes par préposé sans complicité, la sacro-sainte
règle de séparation des fonctions aurait pu éviter la réalisation du scénario.
Par ailleurs, l’occasion faisant le larron, il n’est pas rare qu’une faille soit
découverte par accident, ignorée, puis exploitée volontairement lorsque
naît la pression psychologique ou la nécessité économique.
L’opportunité peut-être plutôt conjoncturelle et créée par une phase de
flottement dans la gestion de l’entreprise : un simple déménagement, une
restructuration des activités qui nécessite une redéfinition des tâches, une
acquisition (le délai entre l’incorporation au groupe et l’harmonisation des
procédures et contrôles peuvent être fatals…).
Si aujourd’hui les motivations sont démultipliées sous l’effet de la crise
économique (et les opportunités conjoncturelles accrues par les mouve-
ments internes et externes des sociétés), les risques sont également
amplifiés par un phénomène relativement récent, observé tant en France
qu’à l’étranger : le glissement très net de l’éthique et du comportement
social de l’individu.
v III.1.2.2 La faculté de rationaliser son acte
Pour un voleur, le vol qu’il commet n’est pas un vol. L’être humain est très
enclin à rationaliser, donc celui qui cause des pertes ne vole pas,

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
il compense :
• « je ne suis pas payé à ma juste valeur » ;
• « la compagnie est bien plus riche que moi… » ;
• « je mérite bien ce petit… » ;
il rationalise :
• « si ce n’est pas moi qui le prend, ça va être quelqu’un d’autre… aussi
bien moi… » ;
• « ce n’est pas grand-chose par rapport aux services que je rends… » ;
• « tout le monde le fait, je ne suis pas plus sot que les autres… » ;
• « ce n’est rien comparé à ce que d’autres font… ».
III.1.3 Prévention du risque de fraudes
La protection des actifs et la maîtrise des engagements de la société, dont

la protection contre la fraude fait partie, sont des tâches essentielles du
personnel de l’entreprise et en particulier des financiers et des comptables.
Cette protection est assurée par ce qu’il est convenu d’appeler le système de
Contrôle Interne et de gestion des risques que l’on peut définir comme la ou
les structures de l’organisation, de telle manière qu’au travers d’une affecta-
tion « rationnelle » des tâches et des responsabilités, la maîtrise des flux et le
contrôle soient assurés.
Il est essentiel de rentrer dans une démarche de Gestion des Risques telle que
décrite dans le Chapitre II et dans ce cadre nous proposons une méthodologie
spécifique et dédiée à la gestion du risque de fraude en 3 étapes :
1. Évaluation initiale du risque de fraudes
Il est souhaitable de créer une cellule de gestion des risques dédiée à la
prévention du risque de fraude et également en charge des aspects déonto-
logiques. Cette cellule aura la responsabilité :
• de dresser l’univers des risques de fraude applicables à l’ensemble des acti-
vités de la Société via des séances de créativité par exemple,

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
• d’évaluer de manière « brute » – sans dispositif de maîtrise des risques –,

l’exposition de la Société à l’univers des risques de fraudes,
• de sensibiliser la Direction Générale ou le Directoire, les métiers et les
fonctions support à la démarche de gestion du risque de fraudes.
Sachant que d’une manière générale, la fraude interne dépend de facteurs en
général bien identifiés :
• facilités d’accès,
• degré de tranquillité,
• fréquence des contrôles,
• sanctions connues,
• facteurs émotionnels,
• implication de la Direction Générale.
En s’appuyant sur l’univers des risques, on aura la possibilité de regrouper et
de classifier de façon matricielle les grandes familles de risques associées à
la fraude telles que trésorerie, systèmes d’information, déboursement
d’argent frauduleux, falsification d’état financiers, détournements d’actif,
corruption…
À chaque famille sera associée des filiations telles que :
Déboursements d’argent frauduleux : Falsification d’états financiers :
– Facturations frauduleuses – Revenus fictifs ou gonflés
– Paies frauduleuses – Sous-estimation des dettes et
– Manipulations de chèques dépenses
– Transferts électroniques – Cut-off
– Remboursements frauduleux – Fausses évaluations d’actifs
– Déboursement de caisses – Fausses divulgations
enregistreuses – …
– …
2. Appréciation du dispositif de réponse aux risques de fraudes
À partir de l’univers des risques de fraude cible à circonscrire, il s’agira :
• de rapprocher et identifier les processus opérationnels, processus de prises
de décision correspondants,

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
• d’identifier les activités de contrôle, points de contrôle (particulièrement

détaillé dans le chapitre suivant),
• de déterminer un risque net, selon le degré de maitrise de l’activité de
contrôle,
• d’évaluer le niveau d’efficience des activités de contrôle en place, i.e.
efficience du dispositif de réponse aux risques adéquat,
• déterminer les plans d’amélioration du dispositif de contrôle interne en
place.
Certes, le dispositif de réponse aux risques de fraudes ou le Contrôle
Interne ne garantit pas entièrement le risque de fraude, soit en raison
du coût élevé des mesures qu’il serait nécessaire d’instituer, soit par
les déviations constatées dans son application. Néanmoins, on peut
considérer que la recherche de mesures suffisantes peut apporter une
garantie raisonnable contre la fraude à condition d’évaluer périodi-
quement la qualité du Contrôle Interne. La constatation des fraudes
révèle en effet que le plus souvent, celles-ci n’auraient pu se produire
si les règles fondamentales du contrôle avaient été respectées.
Un dispositif de réponse aux risques de fraudes doit à minima traiter

quelques règles d’or :
• formaliser des délégations de pouvoir et les tenir à jour,
• maintenir un organigramme à jour,
• formaliser des descriptions de poste et des objectifs clairs pour
chaque employé,
• séparer les fonctions,
• éviter les domaines réservés,
• posséder un système cohérent dans les flux d’informations pour
évaluer les écarts entre les stocks réels et leur traduction comptable,
• éviter les liens de copinage entre fournisseurs et salariés,
• disposer d’un service d’Audit Interne indépendant,
• ou simplement bien choisir un mot de passe (cela s’apprend !).

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
3. Reporting des fraudes / base incidents

Afin de s’assurer de la cohérence du système de gestion du risque de
fraudes, il est souhaitable de le confronter à la réalité du terrain en :
• mettant en place une base « incident » permettant de constituer un histo-
rique de sinistralité,
• répertoriant et reportant les incidents survenus (descriptif du sinistre,
mesures prises, observations, nature de la couverture),
• quantifiant les impacts des risques avérés (coût brut, coût pour
l’entreprise).
III.1.4. Dispositif de réponse aux risques de fraude
Que les enquêtes soient menées par des cabinets spécialisés, la police ou la
DGCCRF (Direction Générale de la Concurrence, de la Consommation et
de la Répression des Fraudes), elles arrivent toutes à la même conclusion :
les entreprises ne semblent pas avoir pris la mesure du risque de fraude ou
de malveillance dans leur organisation.
Très rarement, les leviers classiques comme l’assurance, les audits ou les
inspections sont utilisés par les sociétés alors qu’ils constituent un gage
d’efficacité dans la lutte contre les fraudes.
Quelques tentatives « d’associations de malfaiteurs », d’un « monsieur
anti-fraude » ou d’une organisation ad hoc ont été expérimentées dans
certaines organisations, notamment dans les secteurs de la Banque, de
l’Assurance et dans certains groupes industriels. Néanmoins, il n’est pas
dans notre culture « latine » de mettre en œuvre ce type de solutions qui
gènent les managers et les équipes dirigeantes des grandes entreprises.
Par conséquent, la prévention contre la fraude doit être une combinaison
« intelligente » d’un management présent, d’un Contrôle Interne perfor-
mant et de l’honnêteté des salariés.
Le plus important de ces trois facteurs repose sur un bon management.
L’attitude des responsables hiérarchiques doit être exemplaire.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
v III.1.4.1 L’organisation générale des systèmes de contrôle
Pour être efficaces, les contrôles ne doivent pas nécessairement être très
sophistiqués, mais ils doivent être suivis. La discipline dans l’application
des procédures et des contrôles est un gage de succès dans la prévention
des fraudes.
Le système de contrôle doit s’articuler sur quatre niveaux :
• Autocontrôle : le système de Contrôle Interne concerne l’ensemble du
personnel. En effet, chaque salarié, à quelque niveau que ce soit et quelle
que soit sa fonction, est responsable de ses actions, dans le cadre de la
délégation qu’il a reçue. Il doit donc pouvoir en assurer la maîtrise et
en rendre compte. En conséquence, toute personne est responsable de
son propre contrôle et doit participer au fonctionnement du système de
Contrôle Interne.
• Contrôle hiérarchique : tout responsable hiérarchique doit, en coordi-
nation avec les services fonctionnels spécialisés, s’assurer qu’il dispose
d’un système de contrôle permanent adapté aux responsabilités qu’il
exerce.
Son action de contrôle doit être consacrée :
• à la supervision des travaux et à l’accomplissement des tâches de
vérification,
• à l’analyse de l’activité et des résultats,
• à l’examen régulier du fonctionnement des procédures de contrôle
mises en place.
Le contrôle exercé par la ligne hiérarchique est un aspect fondamental
du système de Contrôle Interne et constitue le corollaire nécessaire et
indispensable de la politique de délégation.
• Contrôle de Direction : la Direction doit disposer d’outils fonctionnels
de contrôle :
• contrôle technique : qui vérifie le respect des règles de gestion et
l’application des directives techniques,
• contrôle comptable : qui permet de vérifier la cohérence des écritures
comptables et l’application des règles comptables.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
• Contrôles externes : contrôle fiscal, commissaires aux comptes,

consultants externes pour des missions ponctuelles.
Le système de contrôle doit donc prévoir :
• une hiérarchisation des opérations en termes de risque financier, tech-
nique et humain,
• la définition de normes régulièrement révisées,
• le contrôle systématique de tout ce qui est hors norme et/ou
dérogatoire,
• le contrôle aléatoire des autres opérations.
Le principe de cohérence des moyens de contrôle avec le niveau de
risque encouru doit être respecté.
Pour cela, il faut adopter un cycle de contrôle dans lequel le résultat des
opérations antérieures de contrôle détermine la nature de l’intervention
postérieure.
Quatre types de contrôle peuvent être prévus :
• contrôle normal,
• contrôle allégé,
• contrôle renforcé,
• sorties du système (audit, formation, sanction, etc.).
Il faut également préciser les règles de passage d’un type à l’autre, par
exemple :
• au bout de x contrôles décelant moins de y % d’erreurs, un contrôle
normal est remplacé par un contrôle allégé,
• si le taux d’erreur est décelé, ou si un tel événement est mis en
évidence, on sort du cycle de contrôle pour faire autre chose.
Une fraude est une erreur volontaire. La lutte contre la fraude est un
sous-produit de la lutte contre l’erreur. Des contrôles intelligents
peuvent réduire les risques d’erreur, et par la même, le risque de fraude.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
v III.1.4.2 L’importance des codes d’éthique
Depuis plusieurs années, le management des entreprises fait l’objet d’une

interrogation d’ordre philosophique : sur quels principes fonder les droits
et devoirs de chacun par rapport à cette réalité sociale et économique que
constitue l’entreprise ?
Pour les partisans de l’amoralisme du monde des affaires, il s’agit d’une
simple mode. La gestion des affaires a pour première préoccupation l’effi-
cacité. Le management doit rester en dehors de toutes considérations
éthiques ou morales. La vague éthique, même s’il s’agit d’une vague
déferlante, ne sera qu’éphémère.
Pour d’autres, il s’agit d’un culte purificateur de l’entreprise et du profit.
L’éthique est appelée à la rescousse pour améliorer l’image de l’entreprise
et mieux motiver le personnel. La morale d’entreprise c’est un « supplé-
ment d’âme » mais aussi un « supplément de rentabilité ».
Au-delà de certains comportements véritablement illégaux, les gens manquent parfois

de repères, ce qui peut les amener à commettre des actes répréhensibles, d’où la multi-
plication des codes de bonne conduite : grâce à une charte très précise, le salarié ou
le patron sait exactement jusqu’où il peut aller (en matière de cadeaux par exemple).
Il existe des règles du jeu qui ne peuvent être ignorées. Le fondement

général de ces règles est simple : il s’agit de pouvoir poser une hypo-
thèse indispensable de transparence et de confiance. Les règles vien-
nent sécuriser le processus contractuel qui est à la base des relations de
tous ordres que des acteurs économiques « adultes et consentants » sont
amenés à établir.
La tradition française conduit à une réflexion qui allie éthique des
affaires et déontologie professionnelle. Les entreprises font d’abord un
effort d’éclaircissement des pratiques qu’elles connaissent, celles de leur
secteur ou celles de leur environnement, en imposant des règles tech-
niques ou en fixant un code de bonne conduite. La déontologie financière
est en France l’une de celles qui s’est le plus développée dans une période
récente.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Il ne s’agit plus d’imposer ou de s’imposer des normes morales afin d’être

en paix avec sa conscience ou de satisfaire à certaines obligations reli-
gieuses. Où plutôt, il ne s’agit plus seulement de cela.
S’il est aujourd’hui question d’éthique dans les entreprises les plus perfor-
mantes du monde, c’est que la réussite, pour être durable, y est reconnue
comme étant fonction de la cohérence que l’on est parvenu à créer entre
le sens que chacun donne à son existence, les droits et devoirs impartis à
chacun, et la finalité de cette aventure collective qu’est l’entreprise.
La question éthique se pose en termes de choix : choix face à une alter-
native, entre une solution conforme à certains principes (explicites ou
implicites) et une solution qui ne l’est pas. Et cette question est posée non
pas à une entité collective, mais d’abord à une conscience personnelle,
placée face à une situation concrète comportant des enjeux et exigeant de
sa part une initiative dans un sens ou dans un autre.
Lorsqu’il faut se déterminer face à un choix généralement complexe (la
« bonne solution » ne se trouvant au premier abord ni d’un côté ni de
l’autre), le décideur pourra se repérer par rapport à deux sortes de règles du
jeu :
• celles qui sont propres à l’entreprise où il travaille (directives, procé-
dures, culture),
• celles qui lui sont propres ou issues de son éducation, de son expérience,
de ses convictions et de sa réflexion.
L’observation des entreprises, en France même, suggère en effet l’exis-
tence de deux situations extrêmes :
• d’un côté des entreprises dont le système de valeurs affirmé est extrême-
ment fort et s’impose presque totalement par rapport aux principes
d’action qui animent éventuellement le salarié au moment de son
embauche ; celui-ci ne peut autrement dit, que se soumettre ou se
démettre ;
• de l’autre, des entreprises dont le code de valeurs spécifiques est peu
contraignant tout en représentant un faible engagement, et qui par prin-
cipe ou par nécessité, font essentiellement appel au discernement
personnel et donc au code de valeurs qui animent chacun des salariés.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Ce choix à l’extrême constitue beaucoup plus qu’un problème de

management.
Deux risques en effet méritent d’être pris en considération :
• celui d’une manipulation des esprits (une culture faisant obligation à
chacun de respecter un certain nombre d’obligations assorties d’un
homme providentiel, présentant tous les caractères du héros mythique,
d’un slogan sans cesse répété et d’un logo),
• celui d’un cynisme triomphant (peu importerait les moyens mis en
œuvre par l’entreprise à partir du moment où ceux-ci contribuent à la
réalisation des objectifs).
L’entreprise dans ses choix et dans ses décisions, doit prendre en compte
simultanément l’existence des différentes parties prenantes que sont les
clients, les apporteurs de capitaux, les salariés, les fournisseurs et sous trai-
tants, les collectivités publiques.
Si chacun des salariés, dans ses choix et dans ses décisions, se détermine
lui-même en fonction de ses engagements à l’égard de l’entreprise mais
également de sa famille, rien si ce n’est l’empire de la nécessité, ne saurait
obliger l’individu à accorder la priorité aux exigences requises par l’entre-
prise. Ainsi, le respect de la liberté individuelle, cette valeur des sociétés
occidentales, conduit nécessairement l’entreprise à laisser à chacun de ses
salariés le soin de procéder aux arbitrages requis par l’apparition de
contradictions entre les principes que lui suggèrent ses différents
engagements.
Autrement dit, l’influence de l’entreprise, en tant que créatrice de valeurs
morales, se trouve nécessairement limitée par ces autres sources de valeurs
qui régissent la vie des salariés.
L’éthique de l’entreprise ne peut donc être que limitée, relative, subor-
donnée à des exigences plus vastes.
Le problème du management dans les entreprises se trouve ainsi posé en
termes de décision dans un environnement incertain dont on possède une
connaissance elle-même incertaine et partielle.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Il est de nombreux cas où le manager, butant aux limites de la rationalité se trouve lui
aussi réduit à sa seule subjectivité.
L’interrogation éthique devient d’autant plus nécessaire : dans notre économie,
l’éthique réapparaît lors de la prise de décision, au moment du choix du mode
opératoire.
La chaîne « voir-dire-savoir » nous parait constituer l’indispensable guide au long du
cheminement qui va de l’émergence du problème à sa solution : ces trois maillons sont
indissolublement liés et présentent également la caractéristique de constamment unir
l’individu et le collectif.
À ce sujet, une authentique réflexion morale doit d’abord porter sur la

responsabilité associée au pouvoir exercé par tout dirigeant.
La logique de l’obéissance ne fonctionne plus. On ne peut plus gérer du
centre, à partir de quelques uns qui savent, pensent, décident, le grand
nombre s’appliquant à l’exécution. Il faut simplifier les structures et
renvoyer la complexité sur les acteurs qui doivent donc être plus intelli-
gents, conscients, responsables. C’est la logique de la responsabilité.
Or, les conditions permettant à la responsabilité de fonctionner sont au
nombre de trois :
• la liberté (autonomie, décentralisation, principe de subsidiarité),
• le discernement des acteurs à tous les niveaux,
• enfin, l’existence d’un champ de force éthique capable d’orienter les
réponses qui dépassent les seuls problèmes techniques.
Si quelques règles simples peuvent aider (visa de notes de frais, remboursement de

dépenses personnelles), aucun code formel ne pourra envisager toutes les situations.
C’est d’avantage le sens éthique de chacun et le climat de l’entreprise qui permettent
d’éviter les abus.
Les codes de conduite se développent dans beaucoup d’entreprises. Ils

définissent les grands principes éthiques et décrivent, en face de situations
concrètes, quelles sont les bonnes réponses à apporter en cas de situation
de fraude avérée.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Les comportements des dirigeants et notamment du Président, sont

tout à fait déterminants.
Le comportement du dirigeant est le meilleur signe de l’engagement
éthique. En tout cas, il est strictement impossible qu’existe dans l’entre-
prise un souci éthique qui ne serait pas vécu d’en haut. Pour les dirigeants,
plus que ce qu’ils disent, compte ce qu’ils sont… et font.
• l’éthique est une exigence actuelle et fortement durable,
• l’éthique est un appel plus qu’une contrainte,
• le souci d’éthique intéresse toutes les cultures, même si les approches
diffèrent,
• le pôle du champ de force éthique tel qu’il apparaît aux entrepreneurs
occidentaux que nous sommes, est une certaine image de l’homme
debout, acteur, créateur et responsable,
• l’éthique de l’entreprise doit tenir compte des champs de force éthiques
de la société qui l’entoure et des personnes privées qu’elle emploie,
• l’éthique plus qu’un dire est un faire,
• l’éthique est d’abord au service d’une finalité : les moyens ne justifient
pas la fin, mais pour autant la fin ne justifie pas les moyens. Un moindre
mal reste un mal,
• pour l’action, des repères sont utiles. Ils se trouvent dans les codes de
conduite de certaines sociétés. Repères et codes supposent l’existence de
sanctions,
• chaque entreprise doit s’y appliquer à sa manière, fermement. Chaque diri-
geant doit savoir que la qualité de son comportement est déterminante.
v III.1.4.3 Le rôle de la Direction Générale : définir ce qui n’est pas acceptable
Le premier devoir de l’entreprise est de définir des règles bien

précises quant à ce qui est acceptable et ce qui ne l’est pas.
Beaucoup d’entreprises ont des codes de conduite ou d’éthique, mais les
salariés n’ont pas tous conscience de ce qui est effectivement permis. Pour
cela, une définition écrite des responsabilités de chacun est nécessaire et une
clause particulière sur les fraudes doit être rédigée, incluant des exemples

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
ainsi que les mesures prises par la Direction pour sanctionner les fraudeurs. Il
ne doit pas y avoir de malentendu sur ce qui est permis et ce qui ne l’est pas.
En principe, les Directeurs, les responsables et le personnel doivent recevoir
des instructions bien précises pour alerter, gérer et sanctionner les fraudeurs.
Néanmoins, encore beaucoup d’entre eux considèrent qu’ils n’ont aucun
rôle à jouer dans la détection des fraudes et nombreux sont ceux qui ne
connaissent pas les risques auxquels sont exposées leurs activités ni ne
comprennent l’intérêt des contrôles préventifs ou de détection. Cette atti-
tude qui consiste à vouloir « ne pas avoir de problèmes » peut paraître
compréhensible, mais certains responsables vont trop loin en niant
même l’existence d’un « problème » jusqu’au jour où celui-ci devient
incontrôlable.
Voici ce qui devrait être mentionné dans une charte de lutte anti-fraude :
• un énoncé clair des activités illégales, y compris les fraudes au profit de
l’entreprise,
• une définition claire des responsabilités pour mener des enquêtes (en
général, l’Audit Interne ou les autorités judiciaires),
• une clause précisant que chaque employé suspectant une fraude doit
immédiatement en informer ses supérieurs hiérarchiques,
• une clause assurant que toute action suspecte de la part d’un salarié fera
l’objet d’une enquête approfondie,
• une clause précisant que tout suspect ou fraudeur sera traité de la même
façon, quel que soit sa position ou son ancienneté dans le service,
• une clause selon laquelle les supérieurs hiérarchiques sont responsables
des actes malveillants qui se produiraient dans leur service,
• une clause indiquant que les responsables se doivent de coopérer pleine-
ment avec les enquêteurs,
• une clause interdisant toutes représailles contre les témoins qui auraient
permis la découverte d’une fraude,
• une condition selon laquelle l’Audit Interne devra être informé de toutes
les enquêtes.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Pour finir, le conseil que nous pourrions donner aux divers responsables et
managers d’une entreprise serait qu’ils soient régulièrement sur leur garde
pour réagir le plus vite possible et de manière adaptée à tout symptôme de
fraude.
v III.1.4.4 Le rôle de l’Audit Interne
L’Audit Interne peut aider les opérationnels et les responsables dans la

détection des fraudes en les incitant à changer leur attitude :
• définir leurs responsabilités très clairement dans une charte,
• mettre en place des formations pour encourager les responsables à se
montrer plus malins et compréhensifs dans l’implication dans leurs
contrôles.
Certains auditeurs internes pensent qu’il ne relève pas de leur devoir de
détecter les fraudes. Il est courant de les entendre dire : « nous pouvons
découvrir une fraude lors d’une mission, mais nous n’avons pas à effectuer
des missions spécifiques de recherche de fraude ».
L’Audit Interne peut néanmoins jouer un rôle de dissuasion très fort en
faisant savoir que des contrôles existent, mais en n’en divulguant pas
l’étendue. Les fraudeurs ne doivent pas se sentir libres d’agir.
Auditer des fraudes suppose que les auditeurs réfléchissent, mais n’agis-
sent pas, comme des voleurs. L’auditeur doit se demander quelles sont les
faiblesses de l’organisation, et quels contrôles peuvent être contournés
sans attirer l’attention ; comment un voleur peut brouiller les pistes pour
ne pas être découvert ? Quelles sont ses responsabilités comment pour-
raient-elles être élargies ? Quelle explication convaincante pourrait donner
un fraudeur suspecté et comment un fraudeur découvert pourrait-il justifier
sa conduite ?
Plus l’auditeur apprendra à penser comme un fraudeur, plus ses efforts
pour détecter les fraudes seront récompensés.
Aucune organisation, aucune institution, aucun individu n’est à l’abri des ravages de
la fraude. Les détecter est un très grand challenge pour les auditeurs, et ils devraient
se sentir fiers de relever le défi.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
III.1.5 La fraude informatique
Veiller à la sécurité de son patrimoine informatique est une question

de survie.
En effet, la fraude informatique et les autres formes d’utilisation abusive
de l’ordinateur comptent parmi les risques les plus graves auxquels sont
exposées les entreprises. En se focalisant sur les avantages de l’informa-
tique, les entreprises ont rarement pensé à assurer la viabilité et la sécurité
de leurs systèmes.
Par « utilisation abusive de l’ordinateur » nous entendons :
• l’appropriation irrégulière de biens ou de services, ou l’utilisation à des
fins commerciales de temps machine,
• la manipulation de comptes informatiques à des fins de détournements,
• l’appropriation irrégulière d’informations, propriété de l’employeur, et
l’utilisation de celles-ci en général pour en tirer profit (par exemple,
données comptables, prévisions de bénéfices, offres commerciales,
programmes informatiques, etc.),
• la manipulation de matériels ou de systèmes appartenant à une entre-
prise en vue de placer celle-ci en situation désavantageuse de quelque
manière.
Dans les entreprises et plus particulièrement dans les Directions Informa-
tiques, nous trouvons aujourd’hui de plus en plus de spécialistes de la
gestion des risques, dont la mission est d’essayer d’intégrer le risque dès la
conception des applications.
C’est beaucoup plus efficace et surtout nettement moins cher que de
« greffer » la sécurité a posteriori. Une opération toujours délicate qui
s’apparente parfois à du bricolage.
Il faut être d’autant plus sensibilisé à ces questions de sécurité que l’infor-
matique doit être conviviale et ouverte, ce qui démultiplie le nombre
d’utilisateurs et, a fortiori, les questions de sécurité.
Les métaphores sont nombreuses pour décrire l’état de vulnérabilité des
entreprises face aux risques très divers liés à leur outil informatique. Pour
les uns, la situation est celle d’un immeuble où tous les locataires dispose-
raient de la même clé ; pour les autres, l’entreprise est comme une superbe

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
voiture que l’on aurait garée dans la rue, fenêtres ouvertes et clés sur le
contact.
Aujourd’hui, l’ordinateur n’est plus l’objectif, mais le moyen de
piratage.
La technique la plus simple, et déjà ancienne, est celle de la « perruque »
dont le nom évoque la lenteur avec laquelle cheveu après cheveu, le perru-
quier réalise son ouvrage.
C’est celle qui est utilisée dans une banque, par l’informaticien indélicat :
il lui suffit d’introduire un petit programme qui arrondit par défaut tous
les intérêts des placements financiers qu’il est chargé de traiter. Le même
programme est chargé de virer sur son propre compte toutes les sommes
qui dépassent : centimes s’il arrondit à l’euro pour jouer la prudence, euros
s’il arrondit à la dizaine pour se constituer au plus vite son capital
frauduleux.
Un salarié est évidemment bien placé pour être le maître-d’œuvre d’un
piratage de sa propre entreprise. Et l’on doit reconnaître au fil des ans que
les sécurités imaginées par les techniciens sont de faibles résistances. Dans
une banque, un perruquier n’est en général découvert qu’après de longs
mois, voire des années de fraudes, et souvent sur plainte d’un client plus
que sur alerte interne.
Après l’avènement de la micro-informatique et les ramifications tissées à
l’échelle mondiale par les réseaux, le risque informatique a pris un visage
nouveau très diversifié. Désormais, la plus grande part du patrimoine
informationnel de l’entreprise réside ou transite par des micro-ordinateurs
et via des réseaux souvent publics et internationaux. La population infor-
maticienne ne se résume plus aux spécialistes habilités à franchir les portes
de la salle informatique mais englobe la quasi-totalité du personnel.
v III.1.5.1 La dimension du problème
Les spécialistes admettent généralement que la fraude informatique est un

phénomène majeur aujourd’hui et on ne saurait contester, étant donné le
nombre de cas découverts par hasard, ou simplement parce que leurs
auteurs cessent d’intervenir ou commettent une erreur, qu’une forte
proportion des fraudes et des détournements n’est pas détectée.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Responsable de 57 % des pertes dues aux sinistres informatiques, la

malveillance est en forte progression. Cette catégorie regroupe le vol, la
fraude, le sabotage, l’attaque logique, la divulgation d’informations, les
malveillances humaines, la copie illicite de logiciels. Autant de risques qui
s’amplifient avec l’action conjuguée de la crise économique et de la diffu-
sion accrue des micros.
S’il est difficile de marquer magnétiquement tous les ordinateurs portables
d’une entreprise, il est en revanche plus facile de se protéger contre les
virus ou de sensibiliser le personnel aux dangers du piratage.
Le problème de la sécurité informatique est de plus en plus un problème de comporte-

ment humain, d’organisation, et donc d’éducation.
Par exemples : à quoi sert de chiffrer les échanges d’informations entre

systèmes si les gens en parlent au restaurant ? À quoi sert une carte d’accès
si le mot de passe est collé sur l’écran du poste de travail ?
v III.1.5.2 Les risques et les conséquences pour l’entreprise
Les risques propres au matériel : vols, incendie volontaire, malveillance

sur les installations électroniques et la climatisation, destruction, inonda-
tion, détournement de biens ou services…
Les risques propres aux bâtiments : intrusion, destruction, incendie,
sabotage, explosion, implosion…
Les risques propres aux traitements : attaque logique, sabotage, infec-
tion logique, modifications illicites, atteinte aux algorithmes, divulgation
d’information ou de données…
Les risques propres aux télécommunications : écoute, brouillage ou
saturation de ligne, intrusion passive ou active, destruction physique ou
logique de lignes…
• Les conséquences directes
Pour les pertes directes, nous distinguons les pertes directes matérielles
qui recouvrent les frais d’expertise, de déblaiement, de réparation ou

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
de remplacement des matériels endommagés, et les pertes directes

non matérielles qui recouvrent quant à elles les frais d’expertise et de
restauration des éléments non matériels des systèmes atteints (système
d’exploitation, données, programme, procédures, documentations et
divers).
Les conséquences en termes de disponibilité, confidentialité, intégrité
(source Clusif) sont présentées dans le schéma ci-dessous :
Les conséquences de la fraude informatique
• Les conséquences indirectes
Les pertes indirectes se déclinent en quatre parties. Tout d’abord les frais
supplémentaires et pertes d’exploitation dans lesquels on inclut d’une part
l’ensemble des frais correspondant à des mesures conservatoires destinées
à maintenir des fonctionnalités et performances du système aussi proches
que possible de celles qui étaient les siennes avant le sinistre, jusqu’à sa
remise en état (matériel et non matériel), d’autre part les marges dues à
des frais supplémentaires et/ou à des pertes de revenu directes ou indi-
rectes (pertes d’affaires, de clients, d’image, etc.).
Viennent ensuite les pertes de fonds et de biens physiques, les pertes
d’informations confidentielles et de savoir-faire, les pertes d’éléments
non reconstituables du système (essentiellement des données ou des
programmes) évaluées en valeur patrimoniale.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Enfin, n’oublions pas toutes les autres pertes induites par l’utilisation non
autorisée de ressources, par la copie de logiciels, et plus généralement par
le non-respect de règles qualitatives, réglementaires, déontologiques, etc.
v III.1.5.3 Le profil d’un fraudeur informatique
Les auteurs des fraudes informatiques sont en général des informaticiens,

des personnes extérieures à l’entreprise ou des utilisateurs du système
informatique. Chacune de ces catégories agit par des voies différentes : le
centre de traitement, les supports d’entrée des données, le logiciel et les
programmes, la banque de données et les documents de sortie sont donc,
entre autres, exposés à des risques.
Les informaticiens tout d’abord, représentent une population bien spéci-
fique. Non seulement parce qu’ils peuvent déjouer un minimum de sécu-
rité logique, mais aussi parce qu’ils ont une tendance à considérer
l’information comme libre et devant circuler librement. Une étude réalisée
il y a quelques années par 14 associations Européennes Culture et Informa-
tique dans le cadre d’un financement par les Ministères de l’Intérieur et de
la Justice est édifiante sur ce point. D’après cette étude, beaucoup d’infor-
maticiens ont tendance à ne pas considérer comme un délit le fait de péné-
trer un système d’information et considèrent une intrusion comme un jeu
ou un défi. Ils ont donc à la fois les moyens et la motivation.
La deuxième catégorie de fraudeurs fait partie du personnel de l’entre-
prise : ce sont les utilisateurs autorisés d’une part, et leur entourage immé-
diat d’autre part. Les premiers ont un accès officiel à une partie de
l’information pour un certain nombre de tâches, mais ils peuvent vouloir
accéder à d’autres informations et peuvent en avoir les moyens, ou vouloir
agir de manière malveillante, alors que les seconds, qui n’ont pas d’accès
explicitement prévu à ces ressources, peuvent y accéder par la simple
observation d’une personne autorisée (mot de passe, badge oublié, etc.).
Le passé, la personnalité et le style de vie de tous les collaborateurs travail-
lant autour des postes informatiques donnant accès à ces ressources ne
doivent donc pas être laissés au hasard. Les postes de responsabilités ne
doivent naturellement être confiés qu’après une soigneuse vérification des
références et une analyse approfondie de la responsabilité.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
v III.1.5.4 Les statistiques de la fraude informatique
Dans le cadre de ses missions, le CLUSIF 1 publie des statistiques sur la sinis-
tralité informatique en France. De nombreuses enquêtes à partir de 1984 sont
élaborées grâce notamment à la FFSA (Fédération Française des Sociétés
d’Assurance) sur les sinistres informatiques des sociétés adhérentes.
À partir de 2001, le CLUSIF a souhaité mettre en place une méthodologie
statistique rigoureuse conjointement avec le cabinet GMV Conseil suite à
l’accroissement de certaines formes de malveillance : virus informatique,
intrusion informatique, etc.
Depuis, un rapport complet 2 est réalisé chaque année sur l’état des lieux
de la politique Sécurité des systèmes d’information et sur la sinistralité en
France.
Il présente les nouvelles formes d’insécurité liées aux développements de
nouveaux processus informatiques. Généralement, un focus est réalisé sur
les politiques Sécurité dans des entreprises de différents secteurs (hospita-
liers, collectivités territoriales…).
La méthodologie utilisée pour le recueil des données s’effectue par entre-
tiens téléphoniques à partir d’un questionnaire adressé par fax. Il est alors
intéressant si l’on regarde les enquêtes menées dans des organisations
depuis 1993, les évolutions des sinistres informatiques selon leur nature.
• Enquête menée en 1993/1994
Selon les chiffres du CLUSIF, la malveillance représentait 40 % des pertes

totales dues à l’informatique en 1984. Dix ans plus tard, ce poids atteignait
60 %.
1. Le Club de la Sécurité Informatique Français a été fondé en 1984 et a fonctionné

pendant 9 ans sous les auspices de l’APSAD (Assemblée plénière des Sociétés d’Assu-
rances Dommages) avant de se doter au 1er janvier 1993 de la personnalité juridique
d’Association sans but lucratif. La vocation du Clusif qui regroupe à la fois les principaux
utilisateurs (responsables de la sécurité des grands groupes et organismes) et les princi-
paux offreurs (experts dans les domaines propres), est de développer la maîtrise de la
sécurité et de la qualité des systèmes d’informations et de communications.
2. Consultable sur le site du CLUSIF (www.Clusif.asso.fr)

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Sinistres informatiques selon leur nature
Accident
25 %
Malveillance
58 %
Erreur
17 %
Commentaires sur la situation et l’évolution 1993/1994
Types de causes %
A (accidents) + 2,8
E (erreurs) – 1,1
M (malveillance) + 5,4
Total + 3,6
Le vol des petits matériels s’alourdit considérablement, même si le poids

global reste limité. Le phénomène est plus net pour les détournements de
biens (directs ou indirects grâce à des escroqueries, manipulations, etc.)
que pour les détournements de fonds.
Les attaques logiques progressent (+ 7 %). Non seulement le poids des
petits sinistres visant l’informatique (virus pour l’essentiel) augmente
beaucoup et commence à peser (même si les conséquences économiques
sont difficiles à évaluer), mais les attaques directes et indirectes (réseau,
réseau local, etc.) augmentent en créant une série de sinistres, moins
nombreux mais beaucoup plus graves, se traduisant d’abord en termes
d’intégrité et de disponibilité de l’information.
• Enquête menée en 2000
Pour l’année 2000 le pourcentage lié à la malveillance a régressé de 35 %

au profit des erreurs.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
Cette diminution importante en 10 ans des sinistres liés à la malveillance

vient alors des efforts importants menés par les entreprises et plus particu-
lièrement les directions informatiques qui se sont dotées d’un budget plus
conséquent pour sécuriser ses systèmes.
Durant ces dernières années, l’informatique s’est professionnalisée par la
création de RSSI (Responsable de la Sécurité des Systèmes d’Information)
et la mise en place de procédures de sécurisation.
En revanche, comme pour le début des années 1990, les sinistres les plus
courants restent les vols de matériels, les attaques logiques et les infections
par virus.
• Enquête menée en 2003
Là encore, on retrouve une stabilité dans la nature des sinistres remontée

par les entreprises interrogées. Les infections par virus restent notamment
avec 17,6 % des sinistres en tête de la sinistralité informatique.
D’ailleurs, 36 % des entreprises envisagent de renforcer dans les deux ans
leurs dispositifs de sécurité pour se protéger contre les virus, les intrusions
illicites et le vol.
En fonction de ces résultats menés depuis 15 ans, nous pensons alors que
la croissance de la malveillance risque de continuer à être forte, en nous
fondant sur plusieurs critères :
• poursuite de la crise en général et rémanence de ces paramètres : insécu-
rité de l’emploi, chômage, tensions sociales, concurrence, etc.,
• poursuite de la crise informatique et apparition de tensions dans le
secteur des télécommunications : mutation des systèmes et architec-
tures, budgets restrictifs, mutation des fonctions des informaticiens,
déstabilisation de certaines fonctions informatiques, etc.,
• complexité, interconnexion des systèmes,
• évolution des mentalités, manque d’éducation,
• augmentation des enjeux supportés par les systèmes d’information.

XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
v III.1.5.5 Les points sensibles du système
Les composantes les plus vulnérables aux risques humains sont

principalement :
• les postes de travail, point d’accès naturel des utilisateurs au système
d’information,
• les réseaux qui transportent les données, et où ces dernières pourraient
être détournées ou manipulées,
• les logiciels, qui peuvent contenir des instructions frauduleuses ou
malveillantes,
• les systèmes traitant les informations, accessibles principalement aux
administrateurs et exploitants de l’informatique et du réseau, mais aussi
à toute personne réussissant à pénétrer par le réseau.
• Voies d’accès
Si l’objectif de l’utilisation frauduleuse vise en général les produits, les

moyens utilisés sont variés. Par voie d’accès, on veut désigner le premier
point du système attaqué par le fraudeur.
La voie d’accès la plus caractéristique des utilisations abusives est le
passage par le logiciel et les programmes.
• La part de la sécurité logique
Les différents objectifs de la sécurité logique sont que :

• l’accès aux informations soit contrôlé,
• les communications ne puissent pas être détournées ou écoutées,
• les personnes autorisées n’abusent pas de leurs droits et n’accèdent
qu’aux éléments pour lesquels elles ont reçu un mandat.
La sécurité logique est un moyen incontournable sans lequel il ne peut y
avoir de confiance dans le système d’information.
Un système d’information est souvent appelé stratégique pour la seule
raison qu’il est devenu indispensable à l’entreprise et que les anciennes
procédures d’accès à l’information ou de traitement de l’information ne

RETY

Transféré par

Droits d'auteur :

Formats disponibles

RETY

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

RETY

Transféré par

Droits d'auteur :

Formats disponibles

h a n g e Vi h a n g e Vi

L’analyse des risques I 89

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE89 (P01 ,NOIR)

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE90 (P01 ,NOIR)

LA GESTION DU RISQUE DE FRAUDES

Selon un sondage réalisé en France par la SOFRES 1, 45 % des citoyens

La gestion du risque de fraudes I 91

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE91 (P01 ,NOIR)

La SOFRES a mis au point un « indice de tricherie » qui recense le nombre

III.1 LA FRAUDE INTERNE : UN RISQUE MAL CONNU

La fraude interne est une notion nouvelle ; on assimilait la Gestion des

1. Le Nouvel Observateur du 22/07/94 et du 21/07/92 « les aventuriers de la transgres-

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE92 (P01 ,NOIR)

Nous retiendrons la définition telle que proposée par l’Association of

Du comptable au PDG, les ruses de l’arnaqueur sont multiples. Certaines

1. Article « La France qui triche » du Nouvel Observateur du 22/07/94.

La gestion du risque de fraudes I 93

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE93 (P01 ,NOIR)

scolaire ou photocopies du mémoire de maîtrise du fils étudiant : les

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE94 (P01 ,NOIR)

Autres exemples de fraudes

v Le cas particulier du blanchiment d’argent

La gestion du risque de fraudes I 95

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE95 (P01 ,NOIR)

En matière de réglementation, les premières dispositions spécifiques fran-

L’une des résultantes est la création en 1989 du groupe d’Action Finan-

En France, c’est Tracfin (traitement du renseignement et actions contre les

En d’autres termes, le blanchiment d’argent est devenu en quelques

Les obligations de vigilance (le « know your customer ») visent en parti-

Dès que les « professionnels du chiffre et du droit » soupçonnent ou

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE96 (P01 ,NOIR)

organisées. Par conséquent, tous les délits économiques et financiers

Pour gérer ces risques particuliers, les établissements financiers à travers

Deux types d’outils sont utilisés :

• les outils, plus sophistiqués, qui utilisent des moteurs statistiques

III.1.1 Quelques statistiques

Selon l’Association of Certified Fraud Examiners, dans son étude récente

Le processus de rechercher / détecter les fraudes est peu mise en œuvre

1. Marie-Agnès Nicolet, cabinet Audisoft Consultants : « la lutte anti-blanchiment dans

La gestion du risque de fraudes I 97

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE97 (P01 ,NOIR)

La mise en place d’une ligne téléphonique de signalement anonyme

La mise en place d’une ligne téléphonique de signalement anonyme

III.1.2 Existe-t-il un profil type de fraudeur ?

Des recherches sur les comportements frauduleux conduisent à tirer les

• le besoin (financier, par défi ou par esprit de vengeance),

• la perception d’une possibilité offerte de commettre une fraude (prise de

• la possibilité de justifier son acte, et de trouver une bonne raison de

La plupart des fraudeurs sont des « petits délinquants » et ne commet-

Les opportunités de frauder en affaires abondent. Dans pratiquement tous

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE98 (P01 ,NOIR)

v III.1.2.2 La faculté de rationaliser son acte

La gestion du risque de fraudes I 99

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE99 (P01 ,NOIR)

III.1.3 Prévention du risque de fraudes

La protection des actifs et la maîtrise des engagements de la société, dont

100 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE100 (P01 ,NOIR)

• d’évaluer de manière « brute » – sans dispositif de maîtrise des risques –,