Enjeu majeur pour les organisations, la fraude entraîne non seulement des pertes financières, mais aussi une baisse de confiance des clients et partenaires. Victor Pereira, directeur expert en audit et risques, revient pour l’IFACI sur les principales formes de fraude, les façons les plus efficaces de les déceler, et le rôle toujours déterminant de l’humain face au nouveau défi que représente l’intelligence artificielle.
Pouvez-vous vous présenter ainsi que votre parcours ?
Victor Pereira : Je travaille depuis plus de 20 ans dans l’audit interne, le risk management et le contrôle interne. J’ai occupé des fonctions de directeur de l’audit interne au sein de grands groupes, de risk manager dans différents secteurs comme la banque, l’industrie, l’industrie automobile et la distribution… Avec une forte exposition au sujet de la fraude, de la conformité, de la gouvernance et de la gestion des risques. Ce qui m’intéresse particulièrement dans le risque de fraude, c’est qu’il réunit à la fois les dimensions humaines, organisationnelles, technologiques et culturelles de l’entreprise.
Selon vous, pourquoi la fraude est-elle aujourd’hui un risque majeur pour les organisations ?
V.P. : Les organisations sont aujourd’hui beaucoup plus ouvertes, digitalisées et interconnectées qu’auparavant. Les flux sont plus rapides, les chaînes de valeur plus complexes, et les transformations évoluent souvent plus vite que l’adaptation des contrôles internes. Il y a donc un décalage de rythme.Dans le même temps, les fraudeurs utilisent des techniques de plus en plus sophistiquées : l’usurpation d’identité de décideur, la manipulation de données, les deepfakes, ou encore l’exploitation des relations de confiance avec certains partenaires ou prestataires. Mon expérience montre que la fraude est rarement d’abord un problème technique. Elle apparaît souvent lorsque plusieurs facteurs humains sont réunis, comme une pression sur les résultats (lorsqu’il faut par exemple relancer l’activité, comme on l’a beaucoup vu à la période post-Covid), une faiblesse de la gouvernance, ou un manque de challenge dans l’entreprise.
Les conséquences dépassent désormais largement la seule perte financière : la réputation, la confiance interne qui est non négligeable, et la responsabilité des dirigeants.
« Dans une organisation complexe, le risque zéro n’existe pas »
La fraude est-elle plutôt un sujet de contrôle interne ou de gouvernance ?
V.P. : C’est avant tout un sujet de gouvernance, même si le contrôle interne reste évidemment essentiel. Dans beaucoup de cas, les organisations disposent déjà de contrôles pertinents et, pourtant, les fraudes surviennent malgré tout. Parce que certains signaux ont été ignorés, que les mécanismes n’ont pas fonctionné ou que certains comportements étaient implicitement tolérés dans l’entreprise. La fraude apparaît ainsi souvent dans des environnements où le challenge devient difficile, où les exceptions deviennent « normales » et où les résultats prennent le dessus sur la rigueur.
Le contrôle interne réduit évidemment les opportunités de fraude. Mais la gouvernance et la culture d’entreprise déterminent souvent le niveau réel d’exposition au risque.
Peut-on réellement atteindre le “zéro fraude” dans une organisation ?
V.P. : Je pense qu’il faut être lucide : au sein d’une organisation, le risque zéro n’existe pas. Les entreprises gèrent aujourd’hui des milliers de transactions, de fournisseurs et d’interactions. Dans ce contexte, il est illusoire de penser qu’aucune tentative de fraude ou de contournement ne surviendra. Si l’on me dit que la fraude n’est pas possible, je me pose des questions. L’objectif réaliste, c’est plutôt de réduire au maximum les opportunités de fraude. Puis de détecter rapidement les anomalies, de limiter les impacts, et enfin de créer un environnement dissuasif. Une organisation mature n’est pas celle qui affirme ne jamais avoir connu de fraude, mais celle qui sait les détecter au plus tôt, réagir rapidement, corriger les fautes et apprendre des incidents. Les signaux faibles sont généralement visibles avant la fraude. Encore faut-il que quelqu’un puisse les détecter. Cela demande également de rester très humble, parce que le fraudeur est toujours en avance.
Beaucoup d’organisations renforcent leurs contrôles. Pourtant les fraudes persistent. Qu’est-ce qui manque encore aujourd’hui selon vous ?
V.P. : Je pense qu’il manque souvent trois dimensions essentielles à comprendre pour maîtriser le risque de fraude. La première, c’est une véritable culture du doute professionnel. Dans certaines entreprises ou organisations, les contrôles deviennent des routines administratives exécutées mécaniquement, sans compréhension réelle du risque couvert. Un contrôle qui n’est pas compris perd rapidement de son efficacité.
La deuxième dimension est d’ordre comportemental. La fraude implique souvent des rationalisations (c’est-à-dire des justifications que se donne une personne pour se convaincre que son acte est acceptable : « tout le monde le fait », « ce n’est pas si grave »), mais aussi des conflits d’intérêts, des habitudes de contournement, ou des situations que plus personne ne challenge réellement.
Enfin, il y a le sujet de la donnée. Certaines entreprises disposent d’énormément d’informations, mais utilisent encore insuffisamment la data analytics ou l’IA pour détecter les anomalies et les schémas faibles.
Le vrai enjeu aujourd’hui, ce n’est pas forcément d’ajouter encore plus de contrôles, mais de conserver des contrôles intelligents compris et réellement appliqués. En somme, ne pas faire plus, mais faire mieux.
« Les fraudes les plus dommageables ne sont pas toujours les plus sophistiquées »
Quelles sont les formes de fraude que les entreprises sous-estiment encore le plus ?
V.P. : Il y ala fraude au décideur que j’ai déjà évoquée. J’insiste sur le terme fraude au décideur et pas fraude au président, comme on l’évoque parfois. Tout décideur dans une organisation peut voir son identité usurpée afin d’entraîner une fraude.Les présidents que je connais ne valident pas de factures.
Mais les entreprises sous-estiment encore plusieurs autres formes de fraude assez classiques, de faibles montants, mais répétitives. Elles sont souvent diluées dans des volumes et deviennent difficiles à détecter. Les fraudeurs testent de cette façon les systèmes en restant un peu en dessous d’un certain seuil. Mais pour autant, dans la durée, le préjudice peut devenir important.
Ensuite, il y a aussi les conflits d’intérêts qui peuvent être conséquents mais qui ne sont pas toujours bien identifiés, en tout cas pas suffisamment tôt, et peuvent progressivement dériver vers des situations à risque.
Qu’entendez-vous exactement par conflits d’intérêts ?
V.P. : L’exemple le plus classique, c’est le process de sélection d’un fournisseur. Une personne en interne va donner à une entreprise qu’il connaît une liste des critères déterminants qui seront utilisés dans la sélection et qui vont ainsi lui permettre d’optimiser son offre : le prix, les disponibilités, certaines données ou même des informations sur les propositions de ses concurrents…
Je ne dis pas qu’il faut refuser de travailler avec un prestataire parce qu’on a un salarié qui a des relations personnelles, voire familiales, avec celui-ci. Parce qu’au final, c’est peut-être le meilleur dans son domaine. En revanche, ce que l’on doit faire, c’est retirer ce salarié de tout projet ou process de sélection, pour respecter une égalité de traitement.
Ce lien entre une personne de l’entreprise et un fournisseur n’est pas toujours évident à établir…
V.P. : Il faut effectivement que le salarié soit transparent sur cette question. Et cela ne concerne pas que les processus de sélection d’un fournisseur. Il peut y avoir conflit d’intérêts, et donc fraude, par le biais des surfacturations, des prestations peu justifiées, des arrangements informels qui s’installent dans le temps. J’ai eu l’exemple d’un collaborateur qui avait chez lui une très belle piscine, réalisée sans contrepartie financière par un prestataire auquel nous avions confié plusieurs chantiers…
Les fraudes liées aux tiers restent tout de même le sujet majeur. Notamment lorsqu’un partenaire bénéficie d’une image de solidité ou de fiabilité qui réduit naturellement le niveau de vigilance. Pour faire simple, s’il s’agit d’un GAFAM par exemple, ou d’une entreprise cotée en bourse, ce n’est pas pour autant qu’il n’y a pas de risque de corruption. Il faut quand même contrôler ou vérifier. Et il faut bien se rappeler que les fraudes les plus dommageables ne sont pas toujours les plus sophistiquées.
« Les fraudes, aujourd’hui, sont souvent hybrides, mêlant cyberattaque et manipulation humaine »
Avez-vous observé une évolution du profil des fraudes au cours des dernières années ?
V.P. : Les fraudes, aujourd’hui, sont plus digitalisées, plus rapides, plus internationales et souvent hybrides, mêlant cyberattaque et manipulation humaine. On voit davantage d’usurpations d’identité et d’exploitation des circuits de validation.
Enfin, l’IA change progressivement la donne en rendant certaines manipulations beaucoup plus crédibles et plus difficiles à détecter.
Dans les cas de fraude que vous avez pu observer, les failles proviennent-elles davantage des processus, des outils ou des comportements humains ?
V.P. : Le facteur humain est vraiment central. Les processus peuvent être imparfaits, c’est vrai, et les outils peuvent présenter des limites. Mais la fraude devient généralement possible lorsqu’il y a un contournement volontaire, une absence de remise en question, un excès de confiance. Les failles techniques créent des opportunités. Mais ce sont le plus souvent les comportements qui transforment ces opportunités en fraude effective. La technologie ne remplace ni le jugement, ni la vigilance, ni l’intégrité dans l’exécution des contrôles.
Vous parliez de signaux faibles précédemment. Lesquels doivent particulièrement alerter les directions et les auditeurs internes ?
V.P. : Les signaux faibles sont encore une fois beaucoup liés à l’humain : refus de partager des informations, collaborateur « incontournable » malgré une séparation des tâches, pression sur le responsable comptable pour le paiement d’une facture… Même s’il y a des process très clairs pour le règlement, un commercial va dire : « Il faut que tu payes cette facture parce que sinon, on ne nous livre pas et on ne pourra pas travailler ».
Un management opaque et/ou très autoritaire peut aussi être générateur de risque, en créant une tension permanente avec des collaborateurs qui osent moins et se posent moins de questions. La pression les conduit à se concentrer d’abord sur le respect des objectifs. Dernier signal faible que je citerais : une faible rotation sur certains postes sensibles.
Ces signaux peuvent sembler anodins, mais leur accumulation dans un même périmètre constitue souvent un indicateur de vulnérabilité pertinent.
Comment la fraude est-elle généralement détectée dans la réalité terrain ?
V.P. : La détection peut venir de signalements internes, de lanceurs d’alerte, d’observations opérationnelles, d’incohérences identifiées par des équipes qui connaissent très bien les processus. On détecte beaucoup mieux une anomalie lorsque l’on connaît parfaitement l’activité. Les audits et les contrôles automatisés jouent évidemment un rôle important, même s’ils sont moins souvent la première source de révélation.
« Les dispositifs de contrôle les plus efficaces sont souvent les plus simples »
Quel impact de l’intelligence artificielle et des nouvelles technologies observez-vous sur les risques de fraude ?
V.P. : On peut avoir tendance à penser que la technologie est là pour aider à lutter contre la fraude, mais ce n’est pas uniquement la clé. Car l’IA permet aussi aux fraudeurs de réaliser des faux documents beaucoup plus crédibles, des deepfakes vocaux très impressionnants, des campagnes de phishing ultra contextualisées, et de procéder à une industrialisation des attaques. Une demande qui paraît normale devient plus difficile à challenger.
Du côté des entreprises, qu’est-ce que l’IA permet ? Une détection plus rapide des anomalies, l’analyse massive de données, l’identification de comportements atypiques et des contrôles plus continus.
Mais le vrai enjeu, encore une fois, reste toujours humain et organisationnel. Même avec l’intelligence artificielle, il faut garder des réflexes de vérification, revalider les demandes sensibles et éviter que la rapidité des outils réduise la vigilance.
Quelles bonnes pratiques ou approches vous semblent aujourd’hui réellement efficaces pour prévenir et détecter la fraude ?
V.P. : Les approches les plus efficaces sont celles qui sont ancrées dans la réalité opérationnelle de l’activité. Avec d’abord, une gouvernance qui est claire et des mécanismes d’escalade qui fonctionnent réellement. Ensuite, une culture éthique forte portée par le management.
Sur le plan du contrôle interne, les dispositifs les plus efficaces sont souvent les plus simples, en se posant les bonnes questions : pourquoi je fais tel ou tel contrôle ? Une fois que l’on a bien compris le sens des contrôles, il est plus facile de les aligner sur les vrais risques. Et évidemment, en dernier lieu, il faut les appliquer.
« Le management influence directement la manière dont les contrôles sont appliqués »
Quel rôle joue la culture managériale dans la prévention ou la facilitation des fraudes ?
V.P. : La culture managériale est un point central. Dans la pratique, le management influence directement la manière dont les contrôles sont appliqués, challengés ou contournés. Lorsque les équipes perçoivent que seuls les résultats comptent, que certains comportements sont tolérés ou que lancer une alerte est risqué, alors le risque de dérive augmente mécaniquement.
À l’inverse, une culture managériale saine va favoriser la transparence, le droit au questionnement, la remontée des anomalies et la capacité à challenger une situation inhabituelle. Et en y intégrant les managers de proximité, qui ont une forte influence sur le niveau réel de vigilance des équipes.
Quel conseil donneriez-vous aux auditeurs internes sur ce sujet ?
V.P. : J’ai trois conseils. Le premier, ce ne sera pas une surprise, c’est de garder un esprit critique et curieux. La fraude se cache rarement dans les situations spectaculaires.Elle apparaît souvent derrière des habitudes ou des situations que plus personne ne questionne réellement.
Le deuxième, c’est d’aller sur le terrain. Les signaux faibles apparaissent rarement uniquement dans les reportings. Ils se détectent souvent dans les comportements et les incohérences opérationnelles. Être sur le terrain permet une communication non verbale, et de voir si la personne en face de soi n’est pas très sûre de ce qu’elle explique ou qu’elle a peur de quelque chose. Tout en donnant la possibilité de constater les éventuels écarts entre le processus théorique et la réalité.
Enfin, mon troisième conseil est de développer une approche multidisciplinaire : un auditeur interne doit comprendre les processus, la donnée, la technologie, mais aussi encore une fois les comportements humains et les enjeux de gouvernance.
Pour conclure, il ne faut jamais oublier qu’au-delà des contrôles, la confiance reste un actif stratégique pour l’entreprise et que l’audit interne contribue directement à protéger cette confiance.