De nombreux groupes industriels ont déployés depuis quelques années la construction de dispositifs de lutte anti-fraude tant interne, qu’externe, à l’instar des banques et compagnies d’assurance ; ce dispositif concernant tant la criminalité financière pouvant être commise par les mandataires sociaux, que la fraude opérationnelle associée aux collaborateurs.
Constitution du dispositif de lutte anti-fraude
La construction de ce dispositif de lutte anti-fraude est constituée de quatre niveaux.
Niveau 1 : Identification des cas de fraude potentielle ou de fraude avérée
- Détectée soit par les commissaires aux comptes dans le cadre de leurs travaux de diligence associée à cette thématique (NEP associée), par les auditeurs internes dans le cadre de leur mission, ou par les contrôleurs interne dans le cadre des campagnes de tests ;
- Rendue possible par des fonctionnalités de data mining (paramétrage dans les ERP et systèmes d’information de transactions atypiques, non récurrentes, donnant lieu à la production de workflow d’alerting qui seront ensuite exploités et analysés ;
- Captée par les lignes éthiques avec une obligation de traçabilité du lanceur d’alerte (identité, matricule, etc.) pour prévenir tout risque de délation, ou de créer un préjudice à un tiers ou à un salarié n’ayant commis aucun fait délictueux).
Niveau 2 : Reporting (au fraud officer, inspection générale, ou au déontologue du groupe)
- Les groupes ont mis en place des templates de remontées d’éléments indésirables nécessitant une investigation ultérieure.
- L’accent est mis, en terme de communication interne sur le rôle d’alerting des collaborateurs et managers lorsque un faisceau d’indices est constitué avec une interdiction d’investiguer, compte tenu du risque d’atteinte à la vie privée de la/des personnes suspectées.
Niveau 3 : Traitement et investigation
- Le traitement des remontées d’informations en provenance des lanceurs d’alerte est alors traitée soit par le déontologue ou le fraud officer du groupe pour pré-qualification avec de transmettre le dossier au comité éthique ;
- Le processus d’investigation est très verrouillé compte tenu du risque d’enfreindre le droit sur les libertés publiques, dont le contenu est excessivement variable d’un pays à l’autre ;
- Il présuppose que l’équipe en charge de l’investigation soit certifiée ACFE (Associated Certified Fraud Examiner) ou que l’investigation soit externalisée auprès d’un cabinet spécialisé.
Niveau 4 : Prévention et communication
- Le sujet de la fraude est encore « tabou » dans les groupes français. Il commence a être abordé dans les formations compliance des groupes industriels avec parfois une illustration interne. Il constitue un chapitre clé des codes éthiques ;
- La prévention de la lutte anti-fraude peut aussi se matérialiser par le développement de contrôles bloquants dans les ERP/systèmes d’information concernant la ségrégation des activités ou les différents cycles de contrôle interne (achats, ventes).
La difficulté majeure de développement d’un dispositif de lutte anti-fraude, réside dans l’existence de conflits d’objectifs avec la construction d’un dispositif de prévention du risque d’atteinte à la vie privée de la personne (faisant partie des missions de spécialité prévue en audit interne/cf CIA Certified Internal Auditer).
Respect des libertés publiques
En effet, il existe de notre point de vue, à ce jour des oppositions réglementaires entre le projet de nouvelle directive européenne renforçant le droit à la protection des informations de la personne privée complétant la directive 94-95 sur la protection des données se traduisant par la création de la fonction de data privacy officer et établissant le principe de privacy by default (assurance et garantie de protection maximale des données), et les évolutions réglementaires spécifiquement françaises post-attentats de 2005 (loi d’orientation et de programmation pour la performance de la sécurité intérieure).
La question est complexe et interpelle aussi sur le cadre d’utilisation des lignes éthiques déployées au sein des groupes – à ce jour cette dernière est fréquemment utilisée dans trois cas de figure :
- Situations de conflits d’intérêts,
- Suspicion de cas de fraude,
- Cas potentiels de harcèlement sexuel et moral et discrimination sexuelle et raciale.
Ces dernières doivent être élargies à des remontées d’information en cas de suspicion de lien avec des actes terroristes/financement du terrorisme et blanchiment d’argent souvent associés, ou entrée en relation avec des tiers proches de mouvement terroristes.
La question est ouverte !
Depuis les attentats de 2015 , les membres de l’AMRAE s’interpellent sur le dispositif de risk management à déployer pour contrer ce risque déstabilisant, outre le fonctionnement normatif de nos entreprises, les fondamentaux de nos valeurs républicaines et de notre démocratie.
En conclusion, il s’avère urgent, compte tenu de l’actualité, que les groupes réexaminent leur dispositif de lutte anti-fraude et établissent un compromis acceptable entre ces deux dispositifs (lutte anti-fraude d’une part, et dispositif de protection des libertés publiques d’autre part). Cela passe, entre autres, peut-être par une analyse différenciée du risque de fraude interne et externe, et par un réexamen du champ d’utilisation de la ligne éthique.