Prévention et détection de la fraude dans un monde automatisé

 

Le GTAG 13 traite de manière concise de la détection et de la prévention de la fraude dans un univers informatisé.
Il est conçu comme un complément du Guide Pratique « L'audit interne et la fraude » (lien vers GP), document de 43 pages traduit en français.Couverture GTAG 13

Le GTAG 13 est structuré en quatre parties :

  1. rappel normatif rapide. Cette partie est sommaire car le Guide Pratique «l'audit interne et la fraude » l'approfondit.
  2. les spécificités des risques de fraude informatique. Il détaille les points essentiels d'une évaluation du risque de fraude informatique et fournit des exemples de points de contrôle envisageables.
  3. l'utilisation de l'analyse des données pour détecter et prévenir la fraude. On y détaille les différentes techniques analytiques en fonction des types de fraude ainsi qu'une démarche de détection préventive des fraudes.
  4. le rôle du DAI pour traiter la fraude informatique. Le chapitre consacré au rôle du DAI liste, les 9 points à traiter avec le comité d'audit, les 20 questions que tout DAI doit se poser sur le traitement de la fraude et les 10 points à inclure dans une politique interne d'investigation sur les fraudes.

Questions clés à se poser

  1. L'organisation a-t-elle mis en place une structure de gouvernance de fraude qui assigne les responsabilités pour les investigations de fraude IT ?
  2. L'organisation a-t-elle mis en place une politique en cas d’incident de fraude IT ? (cf. la partie “What to Include in a Fraud Investigation Policy”, pour plus d'informations.)
  3. L'organisation a-t-elle identifié les lois et les règlements relatifs aux fraudes IT dans les juridictions où elle intervient ?
  4. Le programme de gestion des fraudes IT de l’organisation inclut-il la coordination avec l'audit interne ?
  5. L'organisation est-elle équipée d’une hotline dédiée aux fraudes, qui spécifie au personnel approprié les fraudes détectées impliquant les ressources informatique ?
  6. La charte d’audit interne mentionne-t-elle les rôles et responsabilités des auditeurs internes en matière de fraude IT ?
  7. La responsabilité de la détection des fraudes IT, de la prévention, de la réponse et de la sensibilisation ont-elles été assignées dans l'organisation ?
  8. La direction générale et le RAI informent-ils le comité d'audit des fraudes IT ?
  9. Le management promeut-il la sensibilisation aux fraudes IT et la formation au sein de l'organisation ?
  10. Le management conduit-il des évaluations de risque de fraude ? L'audit interne est-il associé à ce processus d'évaluation ?
  11. Les résultats des évaluations de risque de fraude IT sont-ils intégrés dans le processus de planification d'audit ?
  12. Des programmes de sensibilisation et de formation aux fraudes IT sont-ils périodiquement dispensés aux auditeurs internes ?
  13. Les outils automatisés sont-ils mis à disposition des responsables de la prévention, la détection et l'examen des fraudes IT ?
  14. Le management a-t-il identifié les différents types de fraudes IT associé à son périmètre de responsabilité ?
  15. Le management et le RAI savent-ils où obtenir des recommandations d'organisations professionnelles sur la fraude IT ?
  16. Le management et les auditeurs internes connaissent-ils leurs responsabilités professionnelles en matière de fraude IT ?
  17.  Le management a-t-il mis en place les contrôles appropriés pour prévenir, détecter et mener des investigations sur les fraudes informatiques ?
  18. Le management a-t-il en place l’ensemble des compétences appropriées à l’investigation ?
  19. Le management et l'audit interne évaluent-ils périodiquement l'efficacité et l’efficience des contrôles relatifs aux fraudes IT ?
  20. Les papiers de travail et les documents supports de l’investigation des fraudes IT sont-ils convenablement sécurisés et conservés ?

Commentaires de l’URI

Cet ouvrage traite de manière, synthétique et pertinente l'audit de la fraude en milieu informatisé. Il se positionne sur deux niveaux, audit périodique et audit en continu, ce qui n'en rend pas la lecture toujours aisée. Largement inspiré de Computer aided fraud prevention and detection de David Coderre, le GTAG13 fait référence à de nombreuses publications. Notamment les GTAG 3 (sur l'audit continu) et 5 (sur l'atteinte à la vie privée), ainsi que Proactively detecting occupational fraud using computer audit reports de RB Lanza, IIA Research foundation, 2003.

Sommaire

Foreword

Executive Summary

Introduction

1.1 Definition of fraud

1.2 The IIA’s Fraud-related Standards

1.3 Using Technology to Prevent and Detect Fraud

IT Fraud Risks

2.1 IT Fraud Risk Assessments

2.2 Assessing Fraud Schemes

2.3 IT Fraud Schemes

Fraud Detection Using Data analysis

3.1 Why Use Data Analysis for Fraud Detection

3.2 Analytical Techniques for Fraud Detection

3.3 Typical Types of Fraud Tests

3.4 Analyzing Full Data Populations

3.5 Fraud Prevention and Detection Program Strategies

3.6 Analyzing Data Using Internal and External Data Sources

The CAE’s role in addressing IT Fraud

4.1 The Audit Committee

4.2 Twenty Questions the CAE Should Ask About Fraud

References and resources

About the Authors

Télécharger le GTAG en anglais