La diversité des stratégies de lutte anti-fraude

Le Baromètre du risk manager (Amrae, 2015) situe la fraude dans les premières préoccupations des risk managers. Bien avant les risques de gouvernance ou les risques stratégiques et financiers. D’autres études (EY 2014 ; UFC-Que Choisir 2014 ; PWC 2015) insistent sur le fait que la fraude reste un enjeu clé, bien souvent sous-estimé, pour lequel une attention continue est nécessaire : les schémas de fraude évoluent et les fraudeurs se professionnalisent. L’objet de cet article est d’insister sur la diversité des stratégies possibles pour lutter contre la fraude. Sans prétendre à l’exhaustivité, nous insistons sur le caractère complémentaire des stratégies évoquées ainsi que l’intérêt de décliner ces dernières en pratique via des processus dédiés tout en les intégrant dans un dispositif plus large de gestion des risques.

Une première étape consiste à définir une ou des stratégies de lutte anti-fraude. Cette dernière doit être réalisée en cohérence avec les orientations présentes dans la politique de gestion des risques et de contrôle interne de l’entreprise, pouvant intégrer ce type d’orientations. Cela suppose de répondre en pratique à certaines questions clés (ne concernant pas uniquement le risque de fraude) :

• quelles sont les activités les plus susceptibles de subir un risque de fraude ?

• quelles activités sont jugées critiques et à sécuriser en priorité au regard de fraudes potentielles ou de la connaissance des cas avérés ?

• quelles limites de risques fixer : à partir de quand est-il rentable d’investir dans la lutte anti-fraude, voire de traiter un cas de fraude (au regard des coûts de fraude et de la probabilité de survenance des cas ainsi que du coût de la détectabilité des cas) ?

• quels cas de fraude doivent impliquer une réponse de l’entreprise et un traitement prioritaire, même pour des cas peu coûteux, du fait de leur impact image/réputation et réglementaire ?

La réponse à de telles questions implique de définir différentes stratégies pouvant être adoptées indépendamment, voire être complémentaires selon les cas (voir tableau illustratif de stratégies de lutte anti-fraude ci-dessous).

Afin d’être efficace, le dispositif de lutte doit être conçu pour protéger l’entreprise et permettre le développement des affaires rentables. C’est une démarche transverse à l’entreprise. Ce dispositif s’appuie sur quatre briques : un système de veille, des actions de prévention, une gestion des opérations et un accompagnement des métiers. Le processus générique, qui sous-tend les actions opérationnelles, fonctionne en quatre temps : éviter la fraude, détecter les atypies, analyser/traiter les alertes et investiguer les affaires. Concernant l’outillage, il faut alimenter le dispositif avec toutes les données de l’entreprise et les enrichir avec celles des activités fraude et de paiement. Les équipes doivent disposer de différents outils pour : superviser les flux métier, réaliser des croisements de données en masse, piloter le traitement des alertes, investiguer les dossiers, suivre la performance…

Un enjeu clé associé à la gestion de la fraude consiste à décliner opérationnellement ces stratégies, notamment au travers de processus (le « qui fait quoi ») et de procédures (quelles règles de gestion et quels contrôles). La diffusion de telles stratégies, même dans des secteurs réglementés ayant coutume de gérer des cas de risques opérationnels tel que le secteur financier, suppose néanmoins d’intégrer une diversité de parties prenantes dans une logique d’appropriation croisée des compétences et savoir-faire nécessaire pour détecter, voire déjouer, des cas de fraude (Dufour, Laffort, 2016). Le postulat d’une telle approche est de partager les savoir-faire et co-construire la connaissance sur les fraudes en commun entre acteurs des fonctions risques,experts opérationnels et managers étant propriétaires des risques. Qu’il s’agisse de définir des modes opératoires de fraude à anticiper, des points clés de contrôle à intégrer dans une nouvelle offre, de paramétrer des outils informatiques (outil de production devant extraire des listings d’opérations), le partage des enjeux techniques et leur intégration dans un processus confidentiel maîtrisé constituent un enjeu clé pour opérationnaliser de telles stratégies de lutte anti-fraude.