A17 Risque de Fraude
Transcript of A17 Risque de Fraude
Atelier A 17Gestion du risque de fraude
Gestion du risque de fraudeLes prsentations de cet atelier seront sur www.amrae.fr Ds dbut fvrier 2010
IntervenantsDidier SEIGNEURDirecteur Dpt Risques Financiers
Sbastien ALLAIRE
Associ, Deloitte
Emmanuel FONDEVILLE
Directeur Audit Groupe
Modrateur / IntervenantPhilippe HELLICHDG Risques, Contrle et Audit
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
Sinistralit Fraude Commerciale - Chartis Europe (2006-2009)4 000 000 232% 200% 3 000 000 250%
Sinistre moyen
179% 140% 150%
2 000 000 100% 1 000 000 50% 14% - 2006 2007 2008 2009 0%
Loss ratio
Lieu de la Fraude
Amrique du Nord Middle East3% 11%
Asie SE2%
UK/Irelande4%
Asie6%
Australasie4%
Europe Continentale10%
Amrique Latine5%
Europe de lEst12%
France43%
Auteur de la fraude (2006-2009) % du nombre de sinistres
Employ (y compris si collusion avec un tiers) 66%
Direction 24% Tiers seul 10%
Auteur de la fraude (2006-2009) % du montant total des sinistres
Direction 57%
Employ (y compris si collusion avec un tiers) 37%
Tiers seul 6%
Nature de la fraude (2006-2009)
Vol 31%
Dtournement 38%
Faux et usage de faux 31%
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
Pourquoi une cartographie spcifique? Cadre rglementaire : la quasi-totalit des entreprises cotes ont tabli une cartographie des risques Ordonnance du 8 dcembre 2008 Loi du 3 juillet 2008
Ces cartographies identifient en gnral le Top 10 ou Top 20 des risques prioritaires perus par le management ou les oprations Le risque de fraude est parfois mentionn mais souvent absent des cartographies observes
Or, la fraude peut exister / existe dans toutes les organisations et peut potentiellement avoir un impact significatif pour lentreprise Impact financier Impact sur limage
Ncessit de cartographier de manire spcifique le risque de Fraude cartographier les risques VS cartographie des risques10
Une approche top-down privilgier avec une intervention depuis la direction gnrale jusqu une slection doprationnels
Identification des risques majeurs par des ateliers de travail avec le management central (Comit daudit, Audit Interne, RM, DSI, DG)
Dclinaison des risques majeurs en risques individuels et facteurs de risques par le biais dateliers de travail avec le management des entitsfonctions concernes
Apprciation de lexposition au sein des processus concerns
Dmarche slective de test des schmas de fraude Appui expert
Hirarchisa tion des risques rsiduels
Management des entits et responsables de processus
11
Identification des risques majeurs et des risques individuelsRISQUE DE FRAUDE
Typologie de risques Risques majeursStocks
Dtournement dactifs
Manipulation des performances (donttats financiers)
Corruption
Biens matriels
Biens immatriels
Financier
Non financier
Immo. Corp
Cash
Paye
Image
Marque
Fonds de Commerce
Brevets
Mises au rebut
Pices
Stocks dports
Caisse
Virement
VMP
Couverture
Bases clt. et frs.
Risques individuelsEntrept du site Angers Entrept de Reims Cantines internes Cash Pool UK Sige de Nanterre Site de R&D dAngers
12
Une dmarche dynamique La cartographie des risques de fraude nest quune premire tape Suivi de lvolution des risques et des plans daction
Raliser une valuation des risques de fraudeConstituer un environnement de contrle
Activits Activit de pilotage
Partager linformation et communiquer
Reporting sur les incidents (internes / externes) et ajustement de lvaluation (impact / frquence) Prsentation minima annuellement au comit daudit de la cartographie des risques de fraude, du dispositif de gestion des risques de fraude et des plans daction les plus significatifs
Dfinir et mettre en uvre des activits activit de contrle anti-fraude anti-
13
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
Les zones de risque de fraude (Auchan) Ce que nous nous attendions obtenir :
Source = PwC 4th biennial global economic crime survey, 2008
Fraudes dclares (1/2)Corruption Dtournement dactifsExtorsion conomique
Documents frauduleuxFinanciersNon financiersFausses rfrences / personne Documents internes
Conflits dintrt Lis aux achats Lis aux ventes Autres
Subornation
Dons illgaux
Pots de vinAppels doffre frauduleux
Sur-valuation dactifs
Sous-valuation dactifs
Dcalage calendaire
Autres
Revenus fictifs
Documents externes
Dettes caches Fausses dclarations
(nomenclature ACFE)
valuations dactifs incorrectes
Disponible
Stocks et autres actifs Dtournement Abus Vol
Vol
Vol despces Vol de dpts bancaires Autres
VentesNon cptabilises
Crances
Autres
Transferts fictifs Ventes et expditions fictives Achats et rceptions fictifs Vol non cach
Annulation de crances Dissimulation de crances Crances apparentes
Sous values
Dcaissements frauduleux
Facturation Entreprise fictiveFournisseur abus
Paye Employs fictifs Commissions
Notes de frais Dpenses mal dcritesDpenses survalues
Falsification de chque Fausse signature Encaissts frauduleuxChangement bnficiaire
Enregistrement dcaissements Annulations frauduleuses Faux remboursts
Achats personnels
Indemnits Salaires falsifis
Dpenses fictives Remboursts multiples
Autres
Les zones de risque de fraude les plus classiques dans la grande distribution
Centrales dachats Appels doffre, achats terrain Systmes dinformation Information financire Entrepts Magasins
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
2006: Design and launch of the Group anti fraud programTo incorporate fraud awareness in CBU day-to-day processes & tools To enable CBU to mitigate the risk of internal fraud
Scope and definition of fraud at Groupe DANONE
The anti-Fraud program* at Groupe DANONEFraud risk assessment Reportin g Corrective measures and sanctions6 6 4 4 5 5 7 7 3 3 1 1
Fraud awareness 2 2
Preventio n
Investigatio n
Detectio n
Root causes of internal frauds in Business Unit analysed to estimate riskDistance from HQ/Group & poor knowledge of Group culture High pressure to achieve objectives Too much centralization or decentralization of responsibilities(co-packing, no SoD, Purchasing not involved )
Unstability or major changes(organisational changes, strong topline growth, new IS, )
Lack of Values, rules & internal control(No management exemplarity, )
Manual operations
Easy, open & uncontroled accesses to sites, data, IS, cash, goods, customers, suppliers
Lack of competition &/or challenge(entente with competitor, collusion with supplier, lack of benchmark)
Decentralization & high volume(of sites, customers, suppliers, data )
Worst case scenario profile of a BU at risk Far from the HQ and belonging partially to a partner With a new GM/CODI hired outside Danone Having a strong topline growth & high pressure to achieve objectives Not knowing nor applying the Business Conduct Policy Doing a lot of manual operations because not having an ERP Doing cash transactions and without centralized reception of invoices in the accounting dept Without controlled access to sites, stocks & spare parts Without formal rules on authorization/ validation of payments, purchase orders or contract signatures Selling mainly to Proximity Channel through Van sales & several depots Having difficulties to implement SoD rules due to the small organisation Not having a Purchasing manager/organisation and then not performing tender process for local suppliers selection
F
Processes most exposed to Internal fraud risk
F
F F F
F F F F F F F F F F
F
F
F
F
What are the internal fraud risks in CBU: Fraud cases are analysed, most common fraud scenarii are listedand related controls are checked
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
1er exemple de sinistreSecteur dactivit : Industriel Lieu de la fraude : Mexique Auteur de la fraude : General Manager de la filiale (25 employs) Montant total : 2.260.000 Dure de la fraude : 4 ans Mcanisme/dcouverte de la fraude : Sur une priode de 4 ans, la General Manager, avec la complicit du contrleur de gestion local, a ralis des achats fictifs de matriel. Pour ce faire, cration de 2 comptes fournisseurs fictifs avec utilisation de paiements lectroniques depuis les comptes bancaires de lassur pour raliser les transferts financiers (user ID et code PIN connu du GM). Suite des soupons du Directeur Financier Rgional, une visite pendant les congs du GM a permis de dcouvrir des irrgularits du process achat qui ntait pas conforme aux rgles internes. La mission dun auditeur indpendant permis de reconstituer lensemble des achats fictifs.
2me exemple de sinistreSecteur dactivit : Utilities Lieu de la fraude : France Auteur de la fraude : Prsident de la filiale Montant total : 14.800.000 M Dure de la fraude : 5 ans Mcanisme/dcouverte de la fraude : A la suite dun audit interne effectu au sein dune filiale par la fonction Audit Corporate, des agissements dlictueux de lancien Prsident de ladite filiale ont t dcouverts avec 2 mcanismes de fraude: surfacturations payes par la filiale manant de socits dans lesquelles le fraudeur avait un intrt direct ou indirect, et acquisition frauduleuse par lancien Prsident dune socit pour un montant suprieur sa valeur relle. Cette transaction a gnr une plus-value injustifie pour ses vendeurs dont le fraudeur a bnfici tant actionnaire indirect.
3me exemple de sinistreSecteur dactivit : Agro-alimentaire Lieu de la fraude : Armnie Auteur de la fraude : inconnus (vraisemblablement la mafia locale) avec complicit pressentie mais non dmontre des gardiens du site. Montant total : 2.450.000 Dure de la fraude : >1 an Mcanisme/dcouverte de la fraude : Par manipulation frauduleuse, les fraudeurs ont substitu dans des cuves de vieillissement une partie dalcool noble en le remplaant par du liquide ayant les mmes qualits olfactives. Lors dun contrle de qualit annuel des cuves, le test a rvl quun % important de lalcool avait t remplac le rendant totalement impropre la consommation.
Face cette recrudescence de fraudes, quelles sont les solutions proposes par lassureur ? Journes de conseil et prvention sur le risque de fraude Sances de formations et de sensibilisation aux risques defraude lattention des acteurs de lentreprise directement concerns par ces risques (auditeurs internes, direction financire, risk-managers).
Identification des zones risques dans le secteur o oprelassur.
Visite dune entit de lassur ou dune filiale trangre afin dyraliser un diagnostic des vulnrabilits au risque de fraude.
Un meilleur quilibre Prvention-Assurance avec un produitdassurance allant au-del des simples garanties traditionnelles.
Retour dexpriences dans le cadre de la gestion des sinistres par lassureurMaintien de la confidentialit de la part de lassureur pendant toute linstruction du dossier. Trop souvent, les assurs sous le sceau de la confidentialit, nimpliquent pas, ds lorigine, les assureurs dans linstruction du dossier (i.e. : audit interne et/ou externe). Cette situation ne permet pas une bonne comprhension de lensemble du dossier ce qui cre des allers-retours et donc une perte de temps. Risque de dclaration tardive du sinistre. Rle clef de lexpert propos par lassureur dans linstruction du sinistre Plus lassureur intervient en amont et donc plutt il se positionne sur la garantie, plus le client a de la visibilit sur la ncessit ou pas de provisionner limpact financier de la fraude. Utilisation de lassureur et de son rseau international pour conseiller lassur sur la rcupration des fonds et/ou le recours mettre en place.
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
Audit du risque de fraude
Une approche en 2 temps :Etape 1 : Auto-valuation de chaque risque individuel rattach un risque majeur Un risque brut analys selon une grille de paramtre spcifiques au contexte de fraude Un risque net peru est dtermin avec Une apprciation du niveau de contrle interne sur le risque individuel concern Lenvironnement informatique La sparation des tches Rsultat de lautovaluation : Risques perus comme fort : Plan daction vs apptence du Management Risque perus comme faible : Ncessit dune analyse indpendante des schmas de fraude
Etape 2 : Une valuation indpendante sur les risques perus comme faible Dfinition des schmas de fraude et ralisation de test sur la fiabilit du dispositif de maitrise des risques. 32
Auto-valuation des facteurs de risque L M H L M H L M H L M H
Tests sur schmas de fraudeLe rceptionniste saisit des quantits infrieures au BL et la commande et dtourne le reste
T1 T2 T3
Contrle de supervision Analyse des diffrences de rception Demande dapprobation auto
Apprciation du risque individuel brutEntrept du site Angers
1/ Environnement de contrle : valuation du niveau thique 2/ Niveau de pression / motivation qui favorise une fraude sur le site 3/ Indicateurs de vulnrabilit avec comparaison vs. Secteur (Benchmark) 4/ Nombre dincidents remonts et nature
T4Le rceptionniste saisit dans le systme informatique une rception fictive
Blocage factures
T1 T2
Inventaires
Contrle de supervision
Le rceptionniste se sert directement dans les stocks
T1
Inventaires
Apprciation du niveau de maitrise
Contrle interne : - Contrles prventifs - Contrles dtectifs
L Systmes M dinformatio n H
L M Sparation des taches H
L M H
T2Le rceptionniste dclare des retours vers les fournisseurs pour non-conformit quil neffectue pas
Sparation des taches rceptionniste/ magasinier Contrle de supervision
T1 T2
Niveau de risque net peru (Impact / Frquence / Contrle)
L M H
Circularisation
33
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
Organisation anti-fraude Auchan Environnement / gouvernance Code de conduite / code thique Dlgations de pouvoir / limites de signature Politique de scurit des systmes dinformation Sparation des tches Exemplarit du management Filtrage lembauche Rotation de personnel Formation / information / sensibilisation
Les Hommes
Organisation Contrle interne Procdures (appel doffre) Audit interne, audit externe, etc
Mais est-ce suffisant ?
Ce que disent les enqutes sur les mthodes de dtection
Source = PwC 4th biennial global economic crime survey, 2008
Notre approche anti-fraude Pas de hotline Recenser les fraudes avres Comprendre les mcanismes utiliss Amliorer nos systmes / procdures internes Faire de lauto-valuation du contrle interne Analyser les flux de donnes Communiquer
Le recensement des fraudesInformations remontes : Identification : lieu, date, dpartement concern Type de fraude (nomenclature ACFE) Dtection : par qui, comment Description : mthode utilise Impact en valeur Diagnostic (sparation des tches, scurit SI, procdure, collusion) Plan daction Consquences pour les fraudeurs (pas dinformation nominative)
Lauto-valuation du contrle interne
B@SICS = Best practices and ASsessment of Internal ControlS
Un excellent outil de dtection : lanalyse de donneswww.acl.com
www.caseware-idea.com www.norkom.com www.sas.com www.businessobjects.com www.microstrategy.com
Mais aussi :
selon la volumtrie des donnes
etc
Comment analyser les donnes ? Stratifier les donnes (bornes de valeur) Croiser les donnes (nuages de points) Faire des sous-totaux de contrle Profiler chaque champ(valeurs mini, maxi, moyenne, positives, ngatives, nulles, etc)
Tenter de dtecter des corrlations anormales entre les champs Utiliser la Loi de Benford Tester mme ce qui parat vident !(par exemple : la somme des lignes de facture est-elle gale au total stock dans un autre fichier ?)
Exemple danalyse des donnes avec la loi de BenfordLa loi de Benford montre que dans la vie de tous les jours, les nombres ont tendance commencer par le chiffre "1" plutt que le "2", lui-mme plus frquent que le "3", etc. La formule de probabilit d'apparition du chiffre "d" est : Soit, sous forme graphique :
Exemple :
A votre avis, quelle est la probabilit qu'une facture ait un montant de 777,77 euros ?La loi de Benford est utilise dans de nombreux pays pour dtecter les fraudes. Applicable sur le montant des factures, des tickets de caisse
AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude
Overview of the Anti-fraud program Fraud reporting process & tool : BI-annual campaigns Fraud monitoring forms
Anti-fraud program audit in CBU (based on Internal Control referential) Identification of fraud risks areas Fraud risk assessments performed in CBU
Fraud risk assessment Reporting
Update & communication of Code of ethics for purchasing 4 internal Compliance Committees animation on fraud in CODI in CBU and multiple communication meetings
1 1
Fraud awareness
2 2 Internal Control & Audit (SoD and IT general controls) Filires Training enriched for Purchasing & Finance managers
Improvement of Internal Control system and DANGO Analysis of fraud cases and identification of missing internal controls
7 7 3 3 4 4
Corrective measures and sanctions Dialert investigation process Internal Audit investigation for major frauds External investigators (security & Finance & Police)
6 6
Prevention DANgo (review of anti-fraud controls) Line management Internal Audit (reinforced) Dialert (whistleblowing) opened to suppliers
5 5Investigation
Detection
Results of CBU DANgo self-assessment on the antifraud program implementation
60% of the self assessed CBU have reported that they have a good or very good anti-fraud program implemented only 2.5 years after its launch We still have to continue auditing and sponsoring the anti-fraud program for the other CBU and especially the Baby and Medical Nutrition entities
Working jointly with Operational and support functions Risk management, Internal Control and Internal Audit work jointly on internal fraud and compliance with: At CBU level : VP finance, Internal Control, HR Director, GM, Legal Counsel, Crisis Manager, Security manager
At WWBU level: The WWBU Board : Finance, Operations, HR, Sales
At Corporate level: Crisis management & Quality Security Legal Finance HR
4 transversal Compliance Committees each year
Recent improvements of Danone anti-fraud program CBU major internal fraud risk factors identification & communication Fraud reporting Additional data to be reported by CBU & intranet reporting site update Integration of Baby and Medical Nutrition entities into the fraud reporting
Fraud suspicion management through CBU Crisis management process Anti fraud program CBU audits Monthly fraud alert status meetings Analysis of most common fraud scenarios by process DANGO control on anti fraud program implementation Update of Business Conduct Policies (BCP) & communication to New Divisions (recent acquisition) Update of Danoneway fundamentals on Business Conduct Policy Integration of the little book against fraud in the Executives Induction Pack CBU internal communication on fraud cases + reinforced group-wide communication
Strenghtened management and follow-up of frauds To strenghten cooperation between Corporate functions on information sharing and decision making on fraud suspicions and cases. In 2009, 10 monthly fraud status meetingsOperational functions Internal Control Crisis Management SecurityMonthly fraud status meeting
FRAUDSHR
IS/IT
Sustainable Development
Monthly fraud status meeting Internal Legal Audit Quaterly meeting
Quaterly fraud status meeting
Questions & Rponses