17 mars 2019
Lecture 5 mn
Si vous détectez une fraude, ne vous comportez pas comme un éléphant dans un magasin de porcelaine
Les Normes internationales pour la pratique professionnelle de l’audit internesont claires : les auditeurs internes doivent posséder les connaissances, le savoir-faire et les compétences nécessaires à l’exercice de leurs responsabilités. Et s’il est vrai que certains auditeurs internes possèdent les connaissances et le savoir-faire requis pour enquêter sur les fraudes, pour la plupart, ce n’est pas le cas. Dans une prise de position qui sera publiée prochainement, l’IIA souligne qu’il est impossible d’attendre de l’auditeur interne qu’il possède la même expertise en matière de lutte anti-fraude qu’une personne dont la responsabilité première est d’enquêter sur ces cas. L’IIA estime qu’il est préférable de faire appel à des spécialistes expérimentés pour mener ce type d’investigations.
Votre organisation a, espérons-le, mis en place un plan de gestion des cas de fraude qui attribue certaines tâches et responsabilités spécifiques. Mais si ce n’est pas le cas, n’allez pas en conclure qu’en tant qu’auditeur interne, vous est censé mener les investigations seul ou diriger une équipe d’enquêteurs.
Nous devons tous connaître les indicateurs de fraude et être capables d’évaluer les dispositifs de contrôle anti-fraude. Toutefois, peu d’auditeurs internes sont suffisamment qualifiés pour enquêter sur les fraudes. En effet, un interrogatoire est très différent d’un entretien, et en analysant les éléments de preuve, nous risquons fortement de les altérer. En matière de fraude, une simple erreur peut coûter très cher et mettre en péril une carrière.
Au cours de ma carrière, j’ai été témoin de trop nombreux cas où des auditeurs pleins de bonnes intentions ont, par inadvertance, compromis l’aboutissement d’une enquête, parce qu’ils n’avaient pas pris de précautions ou parce qu’ils n’avaient pas mesuré les conséquences de leurs actes. J’ai toujours recommandé à mes équipes d’agir avec finesse s’il leur arrivait de découvrir une fraude au cours d’une mission. En me fondant sur mon expérience, j’ai listé ci-dessous quelques erreurs que les auditeurs internes sont susceptibles de commettre après avoir détecté une fraude.
- Ne discutez pas de la situation avec des personnes qui n’ont pas besoin d’être au courant. Même l’existencede l’enquête devrait rester confidentielle. Rappelez-vous que l’ampleur d’une fraudeau sein de l’entreprise est souvent plus importante qu’il n’y paraît de prime abord et il est possible que vous n’ayez pas encore identifié toutes les personnes impliquées. La confidentialité est l’un des principes de notre Code de déontologie et il n’est pas approprié de parler d’une enquête en cours ou d’une nouvelle enquête, même avec d’autres auditeurs internes.
- Éviter d’émettre des accusations ou des jugements hâtifs. Même si les faits semblent indiquer qu’une personne a commis une infraction, des accusations peuvent conduire à des poursuites pour diffamation, calomnie ou licenciement abusif. Accuser quelqu’un de fraude ne devrait presque jamais relever de la responsabilité d’un auditeur interne. Par conséquent, contactez votre supérieur avant de dire des choses que vous pourriez regretter par la suite.
- Ne perturbez pas le déroulement des opérations. Si vous le faîtes, vous risquez d’avertir lespotentiels fraudeurs que des soupçons pèsent sur eux. Vos actions peuvent les amener à détruire des preuves importantes, à prévenir des complices ou à prendre d’autres mesures qui pourraient compromettre l’enquête.
- Ne modifiez pas une scène de crime potentielle et ne faîtes rien qui pourrait altérer ou détruire des preuves numériques. Bien que les auditeurs internessoient qualifiés pour examiner les preuves, ils doivent se montrer particulièrement prudents lors des investigations. Analyser le contenu de l’ordinateur d’un suspect ou faire une copie de ses fichiers peut sembler être une bonne idée, mais les experts en criminalistique informatique ne travaillent jamais sur les supports originaux. Le simple fait d’allumer l’ordinateur d’un suspect, d’ouvrir un fichier ou de faire une copie modifie l’horodatage numérique et les valeurs de hachage, ce qui pourraient compromettre des preuves importantes. Il est parfois impossible de ne pas intervenir : il peut être nécessaire par exemple d’isoler un ordinateur pour empêcher toute connexion au système. Mais préserver des preuves numériques n’est pas évident. Si vous n’avez pas suivi de formation spécialisée en criminalistique informatique, demandez de l’aide avant de faire quoi que ce soit.
- Alertez au plus vite le service juridique et les ressources humaines. Il est probable quevotre plan de gestion des cas de fraude prévoit la nécessité d’informer le service juridique et un représentant des ressources humaines (RH) avant de lancer une enquête officielle. La contribution des RH peut s’avérer particulièrement importante si l’investigation conduit à des licenciements ou à d’autres mesures disciplinaires. Selon les circonstances, votre organisation pourrait avoir l’obligation de déclarer les activités criminelles aux régulateurs, à la police, aux clients, aux actionnaires ou à d’autres parties. Le service juridique peut veiller à ce que les exigences réglementaires soient respectées ; et le secret professionnel entre l’avocat et son client peut protéger votre organisation contre la divulgation d’informations qu’elle ne désire pas rendre publiques immédiatement.
- Ne supposez pas que c’est à vous de mener les interrogatoires.Les interrogatoires menés par des experts peuvent être une excellente source de renseignements. Sans cette expertise, une enquête peut être irrémédiablement compromise. Les entretiens et discussions lors des missions d’audit interne adoptent souvent des approches collaboratives qui ne sont pas nécessairement appropriées aux investigations ; mais une approche accusatoire peut également être une grave erreur : personne ne veut un suspect hostile ou sur la défensive.
- Ne négligez pas vos dossiers. Il n’est jamais bon de négliger la sécurité des documents de travail mais quand une fraude est en jeu il est d’autant plus essentiel d’en assurer la sécurité et la confidentialité. La copie d’un document ne vaut pas l’original.
Les enquêtes sur les fraudes peuvent être des missions à haut risque. Si vous avez des soupçons, ne vous comportez pas comme un éléphant dans un magasin de porcelaine. Ne faîtes rien qui puisse alerter les fraudeurs éventuels, ou compromettre les preuves, qui ne pourront alors plus être utilisées pour l’enquête. Je ne veux pas dire que l’audit interne ne doit jamais participer à des investigations en matière de fraude, mais si les auditeurs internes n’ont pas reçu une formation dans ce domaine, il faut faire appel à des spécialistes. La sagesse, pour l’auditeur interne, est de connaître ses limites et de savoir quand il, ou elle, a besoin d’aide.
Vos commentaires sur cette importante question sont les bienvenus.