Y a-t-il des éléments au sein de l’organisation d’une entreprise qui la fragilisent particulièrement ?
Au départ, le contrôle interne a été conçu pour éviter les erreurs et limiter les fraudes. Un exemple simple : une entreprise qui oublie d’indiquer le nom d’un prestataire sur le formulaire DAS 2 (sur lequel doivent être mentionnés tous les prestataires) s’expose à une amende en cas de contrôle fiscal. Pour limiter ces erreurs, les entreprises ont mis en place le contrôle interne, le point le plus important étant la séparation des fonctions entre l’exécutant et le contrôleur, entre l’initiateur de la demande, le conservateur des actifs et le contrôleur des actifs. Il ne faut pas que ce soit la même personne qui fasse les opérations de remise en banque, de comptabilisation et de lettrage des comptes clients et de rapprochement bancaire. Les fraudes les plus courantes en entreprise étaient réalisées sans complicité externe par cumul des fonctions ou habile contournement des règles de contrôle interne. Elles étaient découvertes par chance (prise de congés du collaborateur et remplacement par un autre) ou par des audits appropriés dirigés ou non (les bons réflexes, les bonnes questions, la réponse reçue cohérente de l’ensemble des points à suivre).
Pourriez-vous citer quelques exemples de contournement du contrôle interne ?
La fraude se complexifie par la collecte d’informations nombreuses au sein de l’entreprise par des acteurs mal intentionnés. Rien de tel que des exemples vécus pour illustrer ce constat. La personne responsable des règlements fournisseurs chez un grand fabricant de pneumatiques est contactée par un fournisseur qui réclame le paiement de sa facture de 2 millions d’euros sur un compte bancaire figurant sur un RIB joint. Cette créance figure bien dans les comptes de l’entreprise. La personne exécute le règlement sur la foi de cette demande légitime. Évidemment, le RIB était celui de l’escroc. Qu’est-ce qui a rendu la fraude possible dans ce cas précis ? Le fait que ce soit la même personne qui se soit donné elle-même l’autorisation d’effectuer le virement attendu du fournisseur et qui a, matériellement, exécuté le virement ; et l’absence d’esprit critique à la modification des coordonnées bancaires du fournisseur. Autre élément qui est rentré en jeu : « L’homme est bon ». L’escroc (fournisseur) menaçait, s’il n’était pas payé, de bloquer ses livraisons et de bloquer l’usine. Le comptable ne voulait pas créer de problème… Il croyait bien faire.
Un autre exemple ?
Un grand cabinet d’audit et de conseil réalise régulièrement de grosses opérations de fusions-acquisitions, impliquant plusieurs intervenants : avocats, conseils, etc. Un vendredi soir, quand il n’y a plus personne, et notamment plus de contrôleur, l’escroc demande au comptable de payer à l’avocat immédiatement un million d’euros. Le nom de l’avocat et l’existence de l’opération en cours sont connus du comptable. La demande est en conséquence vraisemblable. Une forte contrainte imaginaire mais plausible (les fonds doivent être versés impérativement ce week-end si l’on veut emporter l’affaire) convainc le comptable d’effectuer le virement. Là encore, c’est le contournement des règles de contrôle interne qui a rendu possible cette fraude. Pour des sommes de ce montant, ce sont trois ou quatre autorisations concomitantes qui doivent être données, par le N-1, le N, le N+1. Et le délai de paiement doit évidemment être respecté.
Est-ce qu’il en va de même du côté des petites et moyennes entreprises ?
Pour les escrocs, la faille consiste dans le fait que les règles de contrôle interne sont souvent moins strictes, voire inexistantes, dans les PME. Autre exemple vécu : la comptable reçoit un appel lui demandant de virer 200.000 euros à un fournisseur en Argentine, fournisseur référencé. Elle donne l’ordre de virement à la banque. C’est la banque qui a eu le bon réflexe. Celle-ci a appelé trois fois le dirigeant, jusqu’à ce qu’il décroche, pour valider ce virement. Le plus étonnant est que le comptable se trouvait dans le bureau adjacent de son dirigeant au moment de l’appel et qu’il ne lui a même pas demandé son accord… Sur un autre dossier, la demande de virement a été faite à une jeune embauchée en période d’essai, chargée d’exécuter un virement à la demande du président de l’entreprise. Les réflexes d’auditeur de cette collaboratrice ont eu raison de la fraude. Le vrai président a contacté la collaboratrice pour lui demander de ne rien faire et la féliciter.
Avec l’utilisation toujours plus croissante d’internet, les dispositifs de fraude doivent augmenter de pair…
Les particuliers et les personnes âgées, moins averties, sont bien évidemment victimes des fraudes sur internet. « Pour recevoir votre règlement CAF, cliquez ici… ». Dans les entreprises, ces fraudes sont de plus en plus sophistiquées. On doit une facture et le premier réflexe est de vouloir payer ses dettes. Les adresses mails avec une seule lettre qui change sont parfois difficiles à déceler. On le sait. Mais il suffit que ce soit le soir, qu’on soit fatigué… et l’on tombe dans le piège. Les demandes de rançon sont de plus en plus courantes. Alors si vous arrivez un matin et que votre écran ou celui du serveur soient noirs, ne vous posez aucune question : mettez-le directement à la poubelle, débranchez internet. Le pire est d’essayer de savoir ce qui se passe… Racheter un nouvel ordinateur vous coûtera infiniment moins cher. En revanche, évidemment, cela passe par une politique rigoureuse de sauvegarde. Un commentaire : les indépendants ne sont pas protégés parce qu’ils sont petits. Combien négligent encore d’organiser leur sauvegarde…
Sur quels ressorts les escrocs jouent-ils pour manipuler leurs victimes ?
Leurs informations sont extrêmement précises : types de transaction, montant, timing, parties en jeu… Or, plus l’information dont ils disposent est précise, plus leur demande est crédible, plus le risque de « tomber dans le panneau » est grand. Par ailleurs, leurs fraudes sont de plus en plus sophistiquées et se jouent en plusieurs étapes : un premier contact d’un président national, qui annonce un mail d’un président international, lequel arrive effectivement sur la boîte mail. Et le piège se referme progressivement. De plus, ils jouent sur le fait que « l’homme est bon » : on veut être honnête, on veut payer ce qu’on doit. Enfin, ils jouent sur l’ego : « Nous avons besoin de vous. Nous savons que nous pouvons compter sur vous. Nous sommes certains que vous serez à la hauteur de la tâche. Le président a confiance en vous. Nous savons que vous êtes toujours efficace et réactif. » Bien sûr ! Alors on va se montrer digne de cette honorable réputation. Piège !
Quels conseils pourriez-vous donner aux dirigeants d’entreprise ?
La confiance n’exclut pas le contrôle. C’est un grand classique : le comptable modèle qui ne part jamais en congé est suspect. Les dirigeants victimes de fraude ont souvent la même réflexion : « Lui ? ou elle ? C’est la personne en qui j’avais le plus confiance ! » Les dirigeants doivent également se méfier des décisions prises à l’emporte-pièce. Encore un exemple vécu : on fait signer à un Autrichien, en fin de repas, un papier sur un coin de table, avec une version allemande et une version française. Il signe les deux documents…. Sauf que la traduction française, qu’il ne comprenait pas, différait de la version allemande… Faites toujours vérifier les traductions par un professionnel rémunéré par vous.
Comment avoir un temps d’avance sur les escrocs ?
Il y a trois règles à suivre. Tout d’abord, respectez les procédures de contrôle interne en toutes circonstances et encore plus le soir et le week-end. On vous demande un virement le vendredi soir, veille d’un week-end de trois jours ? Cela pourra attendre le mardi matin. Ne pas agir à tout le moins sans avoir contacté une ou deux personnes concernées par le sujet. Ensuite, il faut communiquer. Rien de tel que raconter ce qui vous est arrivé, ce qui est arrivé au collègue du cousin de votre voisin. Mettez un mouchoir sur votre ego et racontez vos propres mésaventures. C’est la meilleure manière de sensibiliser les autres. Doutez et faites douter. Dans ce domaine, soignez la culture du doute. Au moindre doute, soyez en alerte. Apprenez à vos équipes à demander à leurs collègues, à vous-même. On doute ? On s’abstient. Mieux vaut un retard de paiement qu’une catastrophe financière. Et une dernière recommandation… pour les patrons caractériels ! Il faut savoir que les risques de fraude sont plus importants dans leur entreprise. Les collaborateurs ayant toujours la crainte de mal faire, de se faire réprimander, risquent d’exécuter un ordre émanant d’un escroc sans se poser trop de questions.
Propos recueillis par Ségolène Kahn
Commentez