La Fraude Et Le Contrôle Interne
La Fraude Et Le Contrôle Interne
La Fraude Et Le Contrôle Interne
Le présent document est le premier d’une série de trois articles sur la fraude et le contrôle
interne que M. Colby signera dans le Reper.
Introduction Ce premier article vise à faire ressortir combien il est important pour une société de mettre
en place des contrôles en vue de se prémunir contre certains risques, à examiner les divers
L’importance des contrôles
types de risques auxquels les sociétés sont exposées de nos jours, à souligner l’importance
Les risques auxquels les
de la protection des données, à expliquer pourquoi les entreprises doivent mettre en place
entreprises sont exposées des systèmes de contrôle interne rigoureux pour prévenir et détecter les activités
frauduleuses et à analyser la façon dont les CGA peuvent contribuer à l’amélioration de
La nécessité de protéger les l’environnement de contrôle.
données
L’évolution technologique a fait passer les entreprises des gros ordinateurs centraux aux
serveurs de réseaux et des ordinateurs de bureau aux ordinateurs portables qui permettent une
plus grande mobilité du personnel. Nous avons également assisté à l’avènement d’Internet et
du commerce électronique, lequel tire parti d’Internet. Grâce à ces percées technologiques,
l’information et les ressources autrefois conservées à l’intérieur de l’organisation (les gros
ordinateurs centraux et les ordinateurs de bureau) sont maintenant accessibles de l’extérieur
de l’organisation (serveurs de réseau et ordinateurs portables), à partir de n’importe où dans le
monde (Internet et commerce électronique).
Tout le sens de cette course à l’armement « technologique » devient manifeste pour les
entreprises lorsqu’elles constatent que, souvent, les contrôles visant à protéger leurs systèmes
et leurs ressources ne sont pas conçus aussi rapidement que les systèmes en question. Ce
décalage entre la mise en œuvre des innovations technologiques et la mise en place des
systèmes de contrôle crée une brèche, et c’est là que des gens malhonnêtes peuvent causer de
sérieux dommages.
Le profil de risque n’est pas le même pour toutes les entreprises. Certaines entreprises sont
exposées à un niveau de risque plus faible que les autres entreprises dans une catégorie et à un
niveau de risque plus élevé dans une autre catégorie. Ces écarts s’expliquent par divers
facteurs, notamment le lieu où l’entreprise exerce ses activités, le degré de dépendance à
l’égard des ressources technologiques et la nature des contrôles mis en place pour réduire au
minimum l’exposition aux divers risques.
Les données de l’entreprise sont sans contredit la composante des systèmes informatiques qui
exige la plus grande protection. Les entreprises doivent comprendre que les données sont une
ressource stratégique et que leur protection doit représenter une priorité stratégique. Nombre
d’entreprises feraient faillite si des données essentielles cessaient d’être accessibles pendant
une courte période. Les données d’une entreprise peuvent également présenter un intérêt
certain pour ses concurrents. Les listes de clients, les données sur la conception des nouveaux
produits et les listes de prix sont des exemples de documents très prisés qui ne sont souvent
pas suffisamment protégés.
Malgré l’intensification des risques auxquels sont exposés les systèmes informatiques et
l’information vitale, nombre d’entreprises ne protègent pas adéquatement leurs données. Le
plus souvent, les raisons invoquées pour expliquer les lacunes au chapitre de la protection
reposent sur des perceptions plutôt que sur des faits. Les problèmes pouvant découler des
lacunes des contrôles informatiques sont souvent sous-estimés ou minimisés, particulièrement
au sein des petites entreprises qui croient que seules les grandes entreprises sont exposées au
risque. Dans bien des cas, ces entreprises ne se sentent pas concernées par le risque de perte
de données vitales. Les répercussions sur le contrôle du passage d’un système centralisé à un
système en réseau ne sont pas toujours bien comprises. Nombre d’entreprises ne comprennent
pas que la sécurité des données est essentielle à leur survie. Finalement, de nombreuses
sociétés estiment que les avantages de la protection demeurent inférieurs aux coûts.
Pour devenir plus proactives sur le plan de la sécurité et de la protection des données, les
entreprises doivent fournir de l’information à leurs employés sur les mesures de contrôle et la
protection des données. Certaines sociétés commencent à établir des politiques bien
structurées, en matière de sécurité des données, en intégrant les contrôles de sécurité au
processus même d’élaboration des applications.
Toujours sur le plan de la protection des données, les sociétés devraient envisager de
transférer les données délicates emmagasinées sur des serveurs non protégés vers des
environnements plus sécuritaires. Elles devraient également limiter l’accès aux données
délicates et aux serveurs non protégés. En outre, comme les objectifs du contrôle interne sont
les mêmes quelle que soit la méthode de traitement des données utilisée, des politiques et
procédures différentes doivent être adoptées à l’égard des systèmes informatiques.
Finalement, il est plus difficile d’opérer une séparation des tâches incompatibles dans un
environnement informatisé que dans un environnement traditionnel. Il ne faut pas oublier que
la responsabilité d’ensemble de la sécurité du système incombe à la haute direction. Cette
Les CGA exerçant en cabinet peuvent également favoriser la mise en place de changements
au chapitre de l’environnement de contrôle par l’intermédiaire de leurs activités de
vérification. En qualité de vérificateur, vous procédez toujours à une évaluation de
l’environnement de contrôle interne de l’organisation, généralement dans le but d’estimer la
probabilité que les résultats financiers que vous vérifiez contiennent des inexactitudes. En
vertu des nouvelles exigences du Manuel de l’ICCA, le vérificateur doit également évaluer la
probabilité de fraude au sein de l’organisation. Compte tenu des nouvelles exigences et du fait
que le vérificateur signale généralement à l’organisation les lacunes constatées, les CGA
devraient, au cours de leur examen du système de contrôle interne, chercher à déterminer si
l’organisation a mis en place des contrôles adéquats en vue de protéger ses actifs et les
ressources de ses systèmes contre tous les risques et toutes les menaces.
Conclusion
Comme les menaces et les risques auxquels sont exposés les actifs et les ressources vitales
des entreprises se font de plus en plus importants, la mise en place de contrôles est désormais
essentielle. Jusqu’ici, les contrôles internes étaient généralement conçus en vue d’assurer
l’exactitude des résultats financiers présentés par l’organisation. Étant donné l’intensification
des risques, et particulièrement du risque de fraude, ces contrôles doivent également être
conçus en vue de compliquer la tâche de ceux qui souhaitent commettre ou camoufler une
fraude et de réduire au minimum le risque de perte pouvant découler de divers types de
menaces.
De nos jours, les risques auxquels sont exposées les entreprises sont variés et ils se
multiplient plus rapidement que par le passé. Parmi ces risques, mentionnons les catastrophes
d’ordre naturel ou politique, les défaillances des systèmes, les erreurs et les actes non
intentionnels ainsi que la fraude. S’il importe tant que les entreprises améliorent leurs
contrôles, c’est parce que ce faisant elle seront mieux en mesure de réduire au minimum les
pertes pouvant découler des divers risques auxquels elles sont exposées. En outre, compte
tenu de l’utilisation accrue d’Internet et des réseaux client-serveur, l’information vitale des
entreprises est de plus en plus menacée. En effet, s’il est désormais plus facile d’accéder aux
données, il est en revanche plus difficile de les protéger. Jamais la protection des données
vitales de l’organisation n’aura été aussi cruciale.
Praticien exerçant en cabinet, Everett Colby, CFE, FCGA, est propriétaire de l’un des
bureaux de Porter Hétu International, l’un des 30 premiers cabinets comptables en
importance du Canada selon le magazine The Bottom Line. M. Colby est également
propriétaire de North American Forensic Accountants and Fraud Investigators Inc., un
cabinet de juricomptabilité. Il est membre du conseil d’administration de CGA-Ontario,
président du Comité d’étude de la politique fiscale et budgétaire de CGA-Canada et membre
à vie de l’International Association of Certified Fraud Examiners. M. Colby anime
régulièrement des ateliers, au Canada et à l’étranger, sur des sujets comme la fraude, le
blanchiment d’argent, les sanctions civiles et l‘éthique dans le contexte commercial actuel.
Ce document est le premier d’une série de trois articles sur la fraude et le contrôle interne
que M. Colby signera dans le Reper.