Typologie de la fraude interne dans les établissements financiers

dimanche 11 juillet 2010
Michel Maraval
Responsable Conformité, Crédit Agricole Titres
Nantes, France
Depuis que la réglementation bancaire demande de mettre en place une gestion des risques opérationnels (réglementation CAD), les établissements de crédits doivent mettre en place un dispositif de prévention et de gestion des fraudes internes comme externes. Dans les faits ce dispositif se résume trop souvent à la gestion des fraudes avérées et non à leur prévention. Par ailleurs, les avantages offerts au personnel dans la gestion de leurs comptes donnent trop souvent lieu à des dérives et les établissements sont obligés d’organiser une gestion spécifique de ces comptes.
Les fraudeurs dans la banque peuvent être classés en 4 catégories :
- Le fraudeur occasionnel, employé sans histoire qui se trouve tenté un jour de détourner une somme et qui recommence ensuite,
- Le kleptomane qui ne peut s’empêcher de détourner des petites sommes,
- Le plus dangereux, la personne qui se fait embaucher pour effectuer une fraude et qui quitte ensuite l’établissement,
- La fraude en groupe qui laisse croire aux nouveaux employés que certaines pratiques sont normales.
Dans le premier cas, la peur du gendarme est importante pour prévenir ce type de comportement et il est important de créer dans l’entreprise une pression de contrôle pour éviter ces dérives (inspection régulière des points de vente, regroupement des comptes du personnel dans une agence commerciale dédiée,…). Le dispositif de contrôle interne doit aussi permettre de déceler rapidement ce genre de fraude, profil des transactions par employé, contrôle de l’endettement du personnel, contrôle des réclamations,… Ce type de fraude peut facilement porter sur des montants importants (10K € à plusieurs millions d’euros) et avoir des conséquences commerciales importantes.
Le second cas correspond à des erreurs de recrutement. Actuellement, le recours à des prestataires pour recruter via l’intérim, est une voie qui facilite ces erreurs. Le dispositif de contrôle interne et de surveillance des opérations, permet en général de déceler ce type de fraudeurs. Le dispositif de recrutement doit permettre de prévenir ce type d’erreurs.
Dans le troisième cas, la seule parade réside dans la qualité de l’organisation du contrôle interne (traitement des opérations en respectant des règles de séparation des tâches et validation du dispositif de contrôle interne par des entités indépendantes des opérationnels).
Le dernier cas s’appuie sur des comportements de groupe et peut avoir des effets dévastateurs dans des services où tout le personnel est impliqué, trafics de timbres fiscaux, erreurs de caisses en + pour approvisionner la caisse à café, trafic de bons d’occasion, réalisation des opérations de change au profit d’une caisse noire gérée par les employés d’une agence frontalière…Ces fraudes sont décelées lors d’audit le plus souvent.
En ce qui concerne les types de fraudes, on peut les regrouper en 5 catégories :
- Le détournement des avoirs de la clientèle,
- La banque dans la banque où les opérations sont détournées au profit du fraudeur,
- Le détournement des avoirs de la banque,
- La création de fausses opérations,
- La personne qui fausse ses objectifs pour augmenter sa rémunération,
Le détournement des avoirs de la clientèle vise le plus souvent une clientèle sensible, personnes âgées notamment. Le traitement des réclamations, la rotation des portefeuilles commerciaux et l’affectation du personnel périodiquement dans de nouvelles agences permettent de prévenir ce type de fraude. L’analyse du profil des transactions par employé et celle de leur train de vie permettent souvent de déceler les fraudeurs.
La banque dans la banque peut facilement aboutir à des montants détournés importants qui apparaissent quand le support des placements externes ne tient plus ses promesses (chaînes d’argent, placements immobiliers dans des pays exotiques etc.).
Le détournement des avoirs de la banque est facilité par la faiblesse des contrôles et de l’organisation, de la boîte à café qui recueille les erreurs de caisses en plus à la comptable modèle qui retire 10 K€ chaque semaine sur un compte d’erreur, les stratagèmes sont nombreux.
La création de fausses opérations peut donner lieu à des détournements importants, la création de prêts fictifs, de faux suspens titres au profit de comptes toujours gagnant en Bourse, l’imagination des fraudeurs ne peut se trouver limiter que par la qualité des contrôles.
Le cinquième cas correspond aux affaires Kerviel et Leason (chute de la Barings). Il se rencontre souvent en matière commerciale à plus petite échelle.

Ce rapide panorama montre que les dispositifs d’organisation et de contrôle des opérations, doivent être élaborés ou validés par une entité indépendante des entités opérationnelles et qu’une organisation permanente s’assure de la prévention des fraudes internes. Cependant, une telle entité indépendante risque de travailler de façon empirique et l’on sait que l’imagination des fraudeurs précèdera toujours celle des contrôleurs. Il reste donc à inventer une méthodologie de prévention des fraudes. Dans le domaine de la prévention des catastrophes industrielles, s’est développée la théorie des cindyniques qui vise à prévenir les catastrophes industrielles majeures de faible probabilité (Tchernobyl, Bhopal, Seveso,…) par une analyse systémique des dispositifs préventifs et des acteurs en charge de leur déploiement. Une approche semblable pourrait être développées pour prévenir les fraudes internes.
3
Samira Mouradi , Nathalie CLISSON-THIERRY , trouve trouvent cette discussion intéressante
mercredi 28 juillet 2010
OLIVIER BELIN
Conseil en Management CI (ou) Animateur / Responsable du Contrôle Interne
PARIS, France
Avant la réglementation CAD, la bonne gestion d’un établissement de crédit était censée inclure un processus préventif du risque de fraude.

La fraude en milieu bancaire et financier était considérée comme un risque spécifique, dont la surveillance en interne était souvent confiée à des équipes spécialisées au sein de l’inspection générale.
En externe, les commissaires aux comptes incluaient ce risque dans leurs contrôles réguliers et annuels.
La fraude était souvent décelée après la survenance des faits et, souvent, découverte par hasard.
Rares étaient les établissements de crédit qui communiquaient en externe sur ce sujet ou qui entamaient une procédure judiciaire. Ceci afin de ne pas ternir leur image et leur réputation.

Le règlement 90/08 imposait la mise en place d’un contrôle interne en définissant seulement ses objectifs.
Le CRBF 97-02 initial, instituait un cadre règlementaire de contrôle interne très précis, complété en 2005 par la gestion du risque de conformité, incluant une faculté d’alerte (whistleblowing), en le déclinant comme un des objectifs du contrôle interne.

La réglementation CAD a officialisé la prise en compte du risque de fraude, en l’incluant dans les risques opérationnels, afin qu’une quote-part des capitaux propres soient en garantie de ce risque.
Ceci, en fonction de la politique de gestion des risques de l’établissement concerné.

Quelles en sont les raisons ?
La plupart du temps, une fraude découle en interne d’un défaut organisationnel, de surveillance en termes de processus et/ou d’une déficience du management.
En externe, nous sommes sur le terrain de la corruption, de l’escroquerie et du vol de données, parfois avec la complicité consciente ou non de collaborateurs de l’établissement bancaire.

La gestion du risque de fraude doit être organisée en cascade, que ce soit au sens préventif ou au sens de contrôle.

Le management de proximité doit participer à la gestion du risque de fraude (valeur et éthique doivent être au cœur des actions du management), tout comme pour les autres risques, tant en termes préventif que de contrôle. Il s’agit d’un contrôle de premier niveau incluant les systèmes d’information (sécurité des accès logiques et physiques, des bases de données) en liaison avec le RSSI.
Cette action est appuyée par les actions des services transversaux ou supports – RH (recrutement, rotation du personnel, non emploi d’intérimaires à des postes sensibles), Contrôle de gestion (tout écart doit être justifié et explicité), ....
Cette relation inter-communicative permet un dialogue et un échange d’informations permettant de gérer le risque de fraude au plus près.

Ceci implique la mise en place d’un reporting adapté vis-à-vis d’une ou plusieurs entités centralisées assurant un contrôle de deuxième niveau : le plus souvent la Direction de la Conformité et une Direction des Risques opérationnels, voire une Direction des Contrôles permanents.
Ces entités reportent aux organes de direction de l’établissement à l’aide de tableaux de bord spécifiques, ainsi qu’en échangeant au sein de comités : Comité du contrôle interne, Comité des risques.
Cette organisation étant contrôlée périodiquement par un contrôle de troisième niveau : l’audit interne.
Enfin, ce dernier niveau reporte également au Comité d’audit de l’établissement.

La fraude est un sujet transversal de contrôles, au croisement du risque opérationnel global, du risque de non-conformité, de la déontologie, de la sécurité financière et de l’audit interne.

Pour cela, il est nécessaire de mettre en place un programme anti-fraude adapté à l’organisation et aux opérations bancaires et financières traitées par l’établissement de crédit.
Ce dernier, à l’initiative des organes de direction, voire du Comité d’audit, défini sa politique anti-fraude.

Ce programme anti-fraude peut se décliner de la manière suivante au titre de la prévention :
- Sensibilisation des collaborateurs au risque de fraude par des formations et la diffusion d’un code de conduite.
- Utilisation des méthodes adaptées au ‘’storytelling’’ vis-à-vis du management à propos des fraudes résolues : mise en place d’un ‘’knowledge management’’ en termes de prévention de la fraude.
- Information diffusée aux collaborateurs concernant le dispositif de sanctions internes couplé aux dispositifs externes.
- Individualisation d’une démarche de diagnostic du risque de fraude : sur la base de scénarios, de séances de brainstorming conjointement avec les différentes entités (deux concepts sont à bien différencier : la description des événements et la description des situations).
- Institution de contrôles informatiques, traçabilité des accès et des opérations.
- Vérification de l’existence d’une séparation appropriée des fonctions, d’une rotation systématique des collaborateurs exerçant à des postes sensibles, d’application de processus de contrôle lors du recrutement de collaborateurs appelés à des postes spécifiques.

Que font ressortir ces commentaires ? Qu’un programme anti-fraude est composé d’un processus de prévention et d’un processus de contrôle, chacun d’eux décliné en sous-processus.
L’élément le plus complexe à prendre en compte, et à ‘’mesurer’’, est lié à la psychologie comportementale des collaborateurs de l’établissement bancaire ou financier.

Quant à l’analyse systémique des dispositifs préventifs et des acteurs en charge de leur déploiement, citons simplement les deux définitions suivantes de l’audit interne :

- L’Institut Français du Contrôle et de l’Audit Internes (IFACI) le définit comme «une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité».

- Le Service Central pour la Prévention de la Corruption (SCPC) le définit comme suit dans son rapport annuel 2008 «L’audit interne est une activité indépendante, objective et impartiale, exercée dans une organisation (entreprise, organisme...), par des personnes formées, le plus souvent de l’organisation et en équipe. Elle est conduite pour produire de la valeur ajoutée pour cette organisation en lui apportant assurance sur son fonctionnement et conseils pour l’améliorer : l’audit l’aide à atteindre ses objectifs par une approche systématique et méthodique d’évaluation et d’amélioration des processus de management des risques, de contrôle et de gouvernement d’entreprise».
jeudi 29 juillet 2010
OLIVIER BELIN
Conseil en Management CI (ou) Animateur / Responsable du Contrôle Interne
PARIS, France
Les cyndiniques :

==> Concepts de base selon Georges-Yves Kerven :

«Le premier concept est celui de situation, qui fait l’objet d’une définition formelle, sur ce que recouvre une étude de danger. Conformément à la théorie moderne de la description, pour définir une situation de danger (situation cyndynique), il faut préciser :
- le champ de l’étude des dangers;
- les limites de temps;
- les limites dans l’espace;
- les limites des réseaux d’acteurs inclus dans l’étude;
- le –regard- porté sur cet ensemble.

Le second concept est celui d’hyperespace du danger. Il est le résultat, pour chaque acteur, de la définition de cinq dimensions :
- la dimension des faits (données) et celle des modèles se combinent dans le retour d’expérience (technique de base pour les gestionnaires des risques dans les grandes entreprises).
- les trois dimensions : les objectifs, les normes et les valeurs se combinent dans le domaine de l’éthique en action.
Des travailleurs sociaux ont repérés dans ce domaine les fonctions d’autorité, qui s’appuient sur les valeurs qui encadrent les objectifs, pour définir, puis défendre le respect des normes.
En l’absence de ces fonctions d’autorité, le viol quotidien des règles, conduira, d’infractions mineures à des violations plus graves.

C’est grâce à cette représentation, que l’on peut comprendre les limites des actions menées trop souvent.
Pour être complète, une étude du danger (le diagnostic des vulnérabilités) doit s’étendre à l’ensemble des acteurs ou des réseaux de la situation et analyser pour chacun d’entre eux, l’état des lieux des cinq dimensions précédentes.

Au travers de l’analyse des différences entre les cinq axes des différents acteurs (espace) et d’un même acteur à des moments différents (temps), ainsi que les divergences entre le réel et le voulu pour chaque acteur, le modèle cindynique propose un moteur de recherche des causes profondes, des dysfonctionnements passés (retour d’expérience) et prévisible (anticipation) dans un système complexe.»

==> L'avantage de cette méthode est d’intégrer les composants humains dans leur complexité psychologique et sociale.

Actuellement, elle est surtout utilisée par des chercheurs ou des universitaires.

Disposons-nous au sein des établissements de crédit d’éléments fiables et réels afin de déterminer précisément les valeurs et les souhaits des collaborateurs ?

Cette méthode a-t-elle une véritable valeur ajoutée, en termes de coûts/bénéfices, par rapport aux méthodes traditionnelles (programme anti-fraude) ?

Bâle II et III incorporent le risque de fraude dans les risques opérationnels, ce qui revient à une gestion holistique, voire globale, des risques.

Au cas où la méthode des cyndiniques s’avéreraient profitables, ne l’appliquons pas qu’au risque de fraude, mais à la gestion de tous les risques.
jeudi 29 juillet 2010
Michel Maraval
Responsable Conformité, Crédit Agricole Titres
Nantes, France
Je viens donner une suite au débat sur la méthode des cyndiniques et mon article sur la fraude interne et je remercie Olivier Belin d’avoir rappelé les principes de cette méthode.

Comme l’a si justement exprimé, Olivier Belin, cette méthode si nous devons l’appliquer, devrait couvrir la gestion de tous les risques de la banque. Elle porte sur une autre dimension que l’approche classique des risques sous forme de mesures et de limites, en recourant à une approche systémique comme le font les auditeurs.

Cependant, si les méthodologies d’audit sont nécessaires, l’audit interne des établissements financiers, ne se voit pas conférer l’autorité et la permanence nécessaires à la validation systématique, de façon indépendante des dispositifs de gestion des risques. Il est donc nécessaire d’organiser une fonction indépendante, dédiée à cette analyse systémique et logiquement au sein des directions des risques.

Il s’agit alors, à partir de la cartographie des processus de détailler la chaînes des opérations, identifier les opérateurs, trouver les failles et en valoriser les conséquences extrêmes et développer des dispositifs préventifs et d’alerte.

Que nous apporte une approche utilisant la méthode des cyndiniques ? Une analyse de risques fiable qui répond par une démarche systémique à cette problématique.
lundi 5 août 2013
je suis très ravi de faire la lecture sur la fraude en milieu bancaire, cela m'aidera beaucoup à mettre des dispositifs interne afin de freiner.
ètant auditeur, je vous demanderai de bien vouloir me faire parveni des canevas. mail: iannour@rocketmail.com
du courage.
Idriss/ N'djamèna- Tchad.
lundi 26 août 2013
c'est un atout de voir mettre de garde fou tout au long des opérations réputés sensibles ai sein d'une banque. un contrôle interne efficace peut ressoudre les problèmes.
sauf que si la direction générale est partie prenante du réseau.
dans ce cas de figure, on vient de donner un coup de canif au contrôle interne comme disait Jacques Renard.
merci encore
ANNOUR IDRISS/ CONTRÔLEUR/BANQUE