La fraude existe depuis la nuit des temps. Depuis quelques années, la fraude aux entreprises s'amplifie et surtout, entre autres avec Internet, se complexifie. Florent Pinard, associé Baker Tilly France spécialiste du sujet, explique les mécanismes de fraude et la manière dont les entreprises peuvent s'organiser pour en limiter les risques.
Au départ, le contrôle interne a été conçu pour éviter les erreurs et limiter les fraudes. Un exemple simple : une entreprise qui oublie d'indiquer le nom d'un prestataire sur le formulaire DAS 2 (sur lequel doivent être mentionnés tous les prestataires) s'expose à une amende en cas de contrôle fiscal. Pour limiter ces erreurs, les entreprises ont mis en place le contrôle interne, le point le plus important étant la séparation des fonctions entre l'exécutant et le contrôleur, entre l'initiateur de la demande, le conservateur des actifs et le contrôleur des actifs. Il ne faut pas que ce soit pas la même personne qui fasse les opérations de remise en banque, de comptabilisation et de lettrage des comptes clients et de rapprochement bancaire. Les fraudes les plus courantes en entreprise étaient réalisées sans complicité externe par cumul des fonctions ou habile contournement des règles de contrôle interne. Elles étaient découvertes par chance (prise de congés du collaborateur et remplacement par un autre) ou par des audits appropriés dirigés ou non (les bons réflexes, les bonnes questions, la réponse reçue cohérente de l'ensemble des points à suivre).
> Le contournement des règles de contrôle interne rend la fraude possible
La fraude se complexifie par la collecte d'informations nombreuses au sein de l'entreprise par des acteurs mal intentionnés.
Rien de tel que des exemples vécus pour illustrer ce constat. La personne responsable des règlements fournisseurs chez un grand fabricant de pneumatiques est contactée par un fournisseur qui réclame le paiement de sa facture de 2 millions d'euros sur un compte bancaire figurant sur un RIB joint. Cette créance figure bien dans les comptes de l'entreprise. La personne exécute le règlement sur la foi de cette demande légitime. Evidemment, le RIB était celui de l'escroc. Qu'est-ce qui a rendu la fraude possible dans ce cas précis ? Le fait que ce soit la même personne qui se soit donné elle-même l'autorisation d'effectuer le virement attendu du fournisseur et qui a, matériellement, exécuté le virement ; et l'absence d'esprit critique à la modification des coordonnées bancaires du fournisseur. Autre élément qui est rentré en jeu : "L'homme est bon". L'escroc (fournisseur) menaçait, s'il n'était pas payé, de bloquer ses livraisons et de bloquer l'usine. Le comptable ne voulait pas créer de problème... Il croyait bien faire.
Autre exemple : un grand cabinet d'audit et de conseil réalise régulièrement de grosses opérations de fusions-acquisitions, impliquant plusieurs intervenants : avocats, conseils, etc. Un vendredi soir, quand il n'y a plus personne, et notamment plus de contrôleur, l'escroc demande au comptable de payer à l'avocat immédiatement un million d'euros. Le nom de l'avocat et l'existence de l'opération en cours sont connus du comptable. La demande est en conséquence vraisemblable. Une forte contrainte imaginaire mais plausible (les fonds doivent être versés impérativement ce week-end si l'on veut emporter l'affaire) convainc le comptable d'effectuer le virement. Là encore, c'est le contournement des règles de contrôle interne qui a rendu possible cette fraude. Pour des sommes de ce montant, ce sont trois ou quatre autorisations concomitantes qui doivent être données, par le N-1, le N, le N+1. Et le délai de paiement doit évidemment être respecté.
> Les petites entreprises sont elles aussi menacées
La faille pour les escrocs consiste dans le fait que les règles de contrôle interne sont souvent moins strictes, voire inexistantes, dans les PME. Autre exemple vécu : la comptable reçoit un appel lui demandant de virer 200 000 euros à un fournisseur en Argentine, fournisseur référencé. Elle donne l'ordre de virement à la banque. C'est la banque qui a eu le bon réflexe. Celle-ci a appelé trois fois le dirigeant, jusqu'à ce qu'il décroche, pour valider ce virement. Le plus étonnant est que le comptable se trouvait dans le bureau adjacent de son dirigeant au moment de l'appel, et qu'il ne lui a même pas demandé son accord...
Sur un autre dossier, la demande de virement a été faite à une jeune embauchée en période d'essai, chargée d'exécuter un virement à la demande du président de l'entreprise ; les réflexes d'auditeur de ce collaborateur ont eu raison de la fraude ; le vrai président a contacté la collaboratrice pour lui demander de ne rien faire et la féliciter.
> La fraude sur internet est exponentielle et de plus en plus sophistiquée
Les particuliers, et les personnes âgées, moins averties, sont bien évidemment victimes des fraudes sur internet. « Pour recevoir votre règlement CAF, cliquez ici... ». Dans les entreprises, ces fraudes sont de plus en plus sophistiquées. On doit une facture, et comme « l'homme est bon », le premier réflexe est de vouloir payer ses dettes. Les adresses mails avec une seule lettre qui change sont parfois difficiles à déceler. On le sait, mais il suffit que ce soit le soir, qu'on soit fatigué... et l'on tombe dans le piège.
Les demandes de rançon sont de plus en plus courantes. Alors si vous arrivez un matin et que votre écran, ou le serveur, est noir, ne vous posez aucune question : mettez-le directement à la poubelle, débranchez internet. Le pire est d'essayer de savoir ce qui se passe... Racheter un nouvel ordinateur vous coûtera infiniment moins cher. En revanche, évidemment, cela passe par une politique rigoureuse de sauvegarde.
Un commentaire : les indépendants ne sont pas protégés parce qu'ils sont petits. Combien négligent encore d'organiser leur sauvegarde...
> Les escrocs jouent sur la psychologie humaine
Sur quels ressorts jouent-ils ?
- Leurs informations sont extrêmement précises : par exemple type de la transaction, montant, timing, parties en jeu... Or, plus l'information dont ils disposent est précise, plus leur demande est crédible, plus le risque de « tomber dans le panneau » est grand.
- Leurs fraudes sont de plus en plus sophistiquées et se jouent en plusieurs étapes : un premier contact d'un président national, qui annonce un mail d'un président international, lequel arrive effectivement sur la boîte mail. Et le piège se referme progressivement.
- Ils jouent sur le fait que "l'homme est bon" : on veut être honnête, on veut payer ce qu'on doit.
- Ils jouent sur l'ego : "Nous avons besoin de vous ; nous savons que nous pouvons compter sur vous ; nous sommes certains que vous serez à la hauteur de la tâche ; le président a confiance en vous ; nous savons que vous êtes toujours efficace et réactif". Bien sûr ! Alors on va se montrer digne de cette honorable réputation. Piège !
> Et aussi : la confiance n'exclut pas le contrôle
Le grand classique : le comptable modèle qui ne part jamais en congé est suspect. Les dirigeants victimes de fraude ont souvent la même réflexion : "Lui ? ou elle ? C'est la personne en qui j'avais le plus confiance ! "
Les dirigeants doivent également se méfier des décisions prises à l'emporte-pièce. Encore un exemple vécu : on fait signer à un Autrichien, en fin de repas, un papier sur un coin de table, avec une version allemande et une version française. Il signe les deux documents.... Sauf que la traduction française, qu'il ne comprenait pas, différait de la version allemande... Faites toujours vérifier les traductions par un professionnel rémunéré par vous.
> Comment avoir un temps d'avance sur les escrocs
Trois règles :
- Respectez les procédures de contrôle interne en toutes circonstances, et encore plus le soir et le week-end. On vous demande un virement le vendredi soir, veille d'un week-end de trois jours ? Cela pourra attendre le mardi matin. Ne pas agir à tout le moins sans avoir contacté une ou deux personnes concernées par le sujet.
- Communiquez. Rien de tel que raconter ce qui vous est arrivé, ce qui est arrivé au collègue du cousin de votre voisin. Mettez un mouchoir sur votre ego et racontez vos propres mésaventures. C'est la meilleure manière de sensibiliser les autres.
- Doutez et faites douter. Dans ce domaine, cultivez la culture du doute. Au moindre doute, soyez en alerte. Apprenez à vos équipes à demander à leurs collègues, à vous-même. On doute ? On s'abstient. Mieux vaut un retard de paiement qu'une catastrophe financière.
Et une dernière recommandation... pour les patrons caractériels ! Il faut savoir que les risques de fraude sont plus importants dans leur entreprise. Les collaborateurs ayant toujours la crainte de mal faire, de se faire réprimander, risquent d'exécuter un ordre émanant d'un escroc sans se poser trop de questions.