a17 risque de fraude

Atelier A 17Gestion du risque de fraude

Gestion du risque de fraudeLes prsentations de cet atelier seront sur www.amrae.fr Ds dbut fvrier 2010

IntervenantsDidier SEIGNEURDirecteur Dpt Risques Financiers

[email protected]

Sbastien ALLAIRE

Associ, Deloitte

[email protected]

Emmanuel FONDEVILLE

Directeur Audit Groupe

[email protected]

Modrateur / IntervenantPhilippe HELLICHDG Risques, Contrle et Audit

[email protected]

AgendaChartis 1: Vision du march Deloitte 1: Cartographie du risque de fraude Auchan 1 Danone 1 Chartis 2 Deloitte 2 Auchan 2 Danone 2 Les zones de risques Les zones de risques Exemples de sinistres + prvention + investigation Audit des zones de vulnrabilit la fraude Programme anti-fraude Programme anti-fraude

Sinistralit Fraude Commerciale - Chartis Europe (2006-2009)4 000 000 232% 200% 3 000 000 250%

Sinistre moyen

179% 140% 150%

2 000 000 100% 1 000 000 50% 14% - 2006 2007 2008 2009 0%

Loss ratio

Lieu de la Fraude

Amrique du Nord Middle East3% 11%

Asie SE2%

UK/Irelande4%

Asie6%

Australasie4%

Europe Continentale10%

Amrique Latine5%

Europe de lEst12%

France43%

Auteur de la fraude (2006-2009) % du nombre de sinistres

Employ (y compris si collusion avec un tiers) 66%

Direction 24% Tiers seul 10%

Auteur de la fraude (2006-2009) % du montant total des sinistres

Direction 57%

Employ (y compris si collusion avec un tiers) 37%

Tiers seul 6%

Nature de la fraude (2006-2009)

Vol 31%

Dtournement 38%

Faux et usage de faux 31%


Pourquoi une cartographie spcifique? Cadre rglementaire : la quasi-totalit des entreprises cotes ont tabli une cartographie des risques Ordonnance du 8 dcembre 2008 Loi du 3 juillet 2008

Ces cartographies identifient en gnral le Top 10 ou Top 20 des risques prioritaires perus par le management ou les oprations Le risque de fraude est parfois mentionn mais souvent absent des cartographies observes

Or, la fraude peut exister / existe dans toutes les organisations et peut potentiellement avoir un impact significatif pour lentreprise Impact financier Impact sur limage

Ncessit de cartographier de manire spcifique le risque de Fraude cartographier les risques VS cartographie des risques10

Une approche top-down privilgier avec une intervention depuis la direction gnrale jusqu une slection doprationnels

Identification des risques majeurs par des ateliers de travail avec le management central (Comit daudit, Audit Interne, RM, DSI, DG)

Dclinaison des risques majeurs en risques individuels et facteurs de risques par le biais dateliers de travail avec le management des entitsfonctions concernes

Apprciation de lexposition au sein des processus concerns

Dmarche slective de test des schmas de fraude Appui expert

Hirarchisa tion des risques rsiduels

Management des entits et responsables de processus

11

Identification des risques majeurs et des risques individuelsRISQUE DE FRAUDE

Typologie de risques Risques majeursStocks

Dtournement dactifs

Manipulation des performances (donttats financiers)

Corruption

Biens matriels

Biens immatriels

Financier

Non financier

Immo. Corp

Cash

Paye

Image

Marque

Fonds de Commerce

Brevets

Mises au rebut

Pices

Stocks dports

Caisse

Virement

VMP

Couverture

Bases clt. et frs.

Risques individuelsEntrept du site Angers Entrept de Reims Cantines internes Cash Pool UK Sige de Nanterre Site de R&D dAngers

12

Une dmarche dynamique La cartographie des risques de fraude nest quune premire tape Suivi de lvolution des risques et des plans daction

Raliser une valuation des risques de fraudeConstituer un environnement de contrle

Activits Activit de pilotage

Partager linformation et communiquer

Reporting sur les incidents (internes / externes) et ajustement de lvaluation (impact / frquence) Prsentation minima annuellement au comit daudit de la cartographie des risques de fraude, du dispositif de gestion des risques de fraude et des plans daction les plus significatifs

Dfinir et mettre en uvre des activits activit de contrle anti-fraude anti-

13


Les zones de risque de fraude (Auchan) Ce que nous nous attendions obtenir :

Source = PwC 4th biennial global economic crime survey, 2008

Fraudes dclares (1/2)Corruption Dtournement dactifsExtorsion conomique

Documents frauduleuxFinanciersNon financiersFausses rfrences / personne Documents internes

Conflits dintrt Lis aux achats Lis aux ventes Autres

Subornation

Dons illgaux

Pots de vinAppels doffre frauduleux

Sur-valuation dactifs

Sous-valuation dactifs

Dcalage calendaire

Autres

Revenus fictifs

Documents externes

Dettes caches Fausses dclarations

(nomenclature ACFE)

valuations dactifs incorrectes

Disponible

Stocks et autres actifs Dtournement Abus Vol

Vol

Vol despces Vol de dpts bancaires Autres

VentesNon cptabilises

Crances

Autres

Transferts fictifs Ventes et expditions fictives Achats et rceptions fictifs Vol non cach

Annulation de crances Dissimulation de crances Crances apparentes

Sous values

Dcaissements frauduleux

Facturation Entreprise fictiveFournisseur abus

Paye Employs fictifs Commissions

Notes de frais Dpenses mal dcritesDpenses survalues

Falsification de chque Fausse signature Encaissts frauduleuxChangement bnficiaire

Enregistrement dcaissements Annulations frauduleuses Faux remboursts

Achats personnels

Indemnits Salaires falsifis

Dpenses fictives Remboursts multiples

Autres

Les zones de risque de fraude les plus classiques dans la grande distribution

Centrales dachats Appels doffre, achats terrain Systmes dinformation Information financire Entrepts Magasins


2006: Design and launch of the Group anti fraud programTo incorporate fraud awareness in CBU day-to-day processes & tools To enable CBU to mitigate the risk of internal fraud

Scope and definition of fraud at Groupe DANONE

The anti-Fraud program* at Groupe DANONEFraud risk assessment Reportin g Corrective measures and sanctions6 6 4 4 5 5 7 7 3 3 1 1

Fraud awareness 2 2

Preventio n

Investigatio n

Detectio n

Root causes of internal frauds in Business Unit analysed to estimate riskDistance from HQ/Group & poor knowledge of Group culture High pressure to achieve objectives Too much centralization or decentralization of responsibilities(co-packing, no SoD, Purchasing not involved )

Unstability or major changes(organisational changes, strong topline growth, new IS, )

Lack of Values, rules & internal control(No management exemplarity, )

Manual operations

Easy, open & uncontroled accesses to sites, data, IS, cash, goods, customers, suppliers

Lack of competition &/or challenge(entente with competitor, collusion with supplier, lack of benchmark)

Decentralization & high volume(of sites, customers, suppliers, data )

Worst case scenario profile of a BU at risk Far from the HQ and belonging partially to a partner With a new GM/CODI hired outside Danone Having a strong topline growth & high pressure to achieve objectives Not knowing nor applying the Business Conduct Policy Doing a lot of manual operations because not having an ERP Doing cash transactions and without centralized reception of invoices in the accounting dept Without controlled access to sites, stocks & spare parts Without formal rules on authorization/ validation of payments, purchase orders or contract signatures Selling mainly to Proximity Channel through Van sales & several depots Having difficulties to implement SoD rules due to the small organisation Not having a Purchasing manager/organisation and then not performing tender process for local suppliers selection

F

Processes most exposed to Internal fraud risk

F

F F F

F F F F F F F F F F

F

F

F

F

What are the internal fraud risks in CBU: Fraud cases are analysed, most common fraud scenarii are listedand related controls are checked


1er exemple de sinistreSecteur dactivit : Industriel Lieu de la fraude : Mexique Auteur de la fraude : General Manager de la filiale (25 employs) Montant total : 2.260.000 Dure de la fraude : 4 ans Mcanisme/dcouverte de la fraude : Sur une priode de 4 ans, la General Manager, avec la complicit du contrleur de gestion local, a ralis des achats fictifs de matriel. Pour ce faire, cration de 2 comptes fournisseurs fictifs avec utilisation de paiements lectroniques depuis les comptes bancaires de lassur pour raliser les transferts financiers (user ID et code PIN connu du GM). Suite des soupons du Directeur Financier Rgional, une visite pendant les congs du GM a permis de dcouvrir des irrgularits du process achat qui ntait pas conforme aux rgles internes. La mission dun auditeur indpendant permis de reconstituer lensemble des achats fictifs.

2me exemple de sinistreSecteur dactivit : Utilities Lieu de la fraude : France Auteur de la fraude : Prsident de la filiale Montant total : 14.800.000 M Dure de la fraude : 5 ans Mcanisme/dcouverte de la fraude : A la suite dun audit interne effectu au sein dune filiale par la fonction Audit Corporate, des agissements dlictueux de lancien Prsident de ladite filiale ont t dcouverts avec 2 mcanismes de fraude: surfacturations payes par la filiale manant de socits dans lesquelles le fraudeur avait un intrt direct ou indirect, et acquisition frauduleuse par lancien Prsident dune socit pour un montant suprieur sa valeur relle. Cette transaction a gnr une plus-value injustifie pour ses vendeurs dont le fraudeur a bnfici tant actionnaire indirect.

3me exemple de sinistreSecteur dactivit : Agro-alimentaire Lieu de la fraude : Armnie Auteur de la fraude : inconnus (vraisemblablement la mafia locale) avec complicit pressentie mais non dmontre des gardiens du site. Montant total : 2.450.000 Dure de la fraude : >1 an Mcanisme/dcouverte de la fraude : Par manipulation frauduleuse, les fraudeurs ont substitu dans des cuves de vieillissement une partie dalcool noble en le remplaant par du liquide ayant les mmes qualits olfactives. Lors dun contrle de qualit annuel des cuves, le test a rvl quun % important de lalcool avait t remplac le rendant totalement impropre la consommation.

Face cette recrudescence de fraudes, quelles sont les solutions proposes par lassureur ? Journes de conseil et prvention sur le risque de fraude Sances de formations et de sensibilisation aux risques defraude lattention des acteurs de lentreprise directement concerns par ces risques (auditeurs internes, direction financire, risk-managers).

Identification des zones risques dans le secteur o oprelassur.

Visite dune entit de lassur ou dune filiale trangre afin dyraliser un diagnostic des vulnrabilits au risque de fraude.

Un meilleur quilibre Prvention-Assurance avec un produitdassurance allant au-del des simples garanties traditionnelles.

Retour dexpriences dans le cadre de la gestion des sinistres par lassureurMaintien de la confidentialit de la part de lassureur pendant toute linstruction du dossier. Trop souvent, les assurs sous le sceau de la confidentialit, nimpliquent pas, ds lorigine, les assureurs dans linstruction du dossier (i.e. : audit interne et/ou externe). Cette situation ne permet pas une bonne comprhension de lensemble du dossier ce qui cre des allers-retours et donc une perte de temps. Risque de dclaration tardive du sinistre. Rle clef de lexpert propos par lassureur dans linstruction du sinistre Plus lassureur intervient en amont et donc plutt il se positionne sur la garantie, plus le client a de la visibilit sur la ncessit ou pas de provisionner limpact financier de la fraude. Utilisation de lassureur et de son rseau international pour conseiller lassur sur la rcupration des fonds et/ou le recours mettre en place.


Audit du risque de fraude

Une approche en 2 temps :Etape 1 : Auto-valuation de chaque risque individuel rattach un risque majeur Un risque brut analys selon une grille de paramtre spcifiques au contexte de fraude Un risque net peru est dtermin avec Une apprciation du niveau de contrle interne sur le risque individuel concern Lenvironnement informatique La sparation des tches Rsultat de lautovaluation : Risques perus comme fort : Plan daction vs apptence du Management Risque perus comme faible : Ncessit dune analyse indpendante des schmas de fraude

Etape 2 : Une valuation indpendante sur les risques perus comme faible Dfinition des schmas de fraude et ralisation de test sur la fiabilit du dispositif de maitrise des risques. 32

Auto-valuation des facteurs de risque L M H L M H L M H L M H

Tests sur schmas de fraudeLe rceptionniste saisit des quantits infrieures au BL et la commande et dtourne le reste

T1 T2 T3

Contrle de supervision Analyse des diffrences de rception Demande dapprobation auto

Apprciation du risque individuel brutEntrept du site Angers

1/ Environnement de contrle : valuation du niveau thique 2/ Niveau de pression / motivation qui favorise une fraude sur le site 3/ Indicateurs de vulnrabilit avec comparaison vs. Secteur (Benchmark) 4/ Nombre dincidents remonts et nature

T4Le rceptionniste saisit dans le systme informatique une rception fictive

Blocage factures

T1 T2

Inventaires

Contrle de supervision

Le rceptionniste se sert directement dans les stocks

T1

Inventaires

Apprciation du niveau de maitrise

Contrle interne : - Contrles prventifs - Contrles dtectifs

L Systmes M dinformatio n H

L M Sparation des taches H

L M H

T2Le rceptionniste dclare des retours vers les fournisseurs pour non-conformit quil neffectue pas

Sparation des taches rceptionniste/ magasinier Contrle de supervision

T1 T2

Niveau de risque net peru (Impact / Frquence / Contrle)

L M H

Circularisation

33


Organisation anti-fraude Auchan Environnement / gouvernance Code de conduite / code thique Dlgations de pouvoir / limites de signature Politique de scurit des systmes dinformation Sparation des tches Exemplarit du management Filtrage lembauche Rotation de personnel Formation / information / sensibilisation

Les Hommes

Organisation Contrle interne Procdures (appel doffre) Audit interne, audit externe, etc

Mais est-ce suffisant ?

Ce que disent les enqutes sur les mthodes de dtection

Source = PwC 4th biennial global economic crime survey, 2008

Notre approche anti-fraude Pas de hotline Recenser les fraudes avres Comprendre les mcanismes utiliss Amliorer nos systmes / procdures internes Faire de lauto-valuation du contrle interne Analyser les flux de donnes Communiquer

Le recensement des fraudesInformations remontes : Identification : lieu, date, dpartement concern Type de fraude (nomenclature ACFE) Dtection : par qui, comment Description : mthode utilise Impact en valeur Diagnostic (sparation des tches, scurit SI, procdure, collusion) Plan daction Consquences pour les fraudeurs (pas dinformation nominative)

Lauto-valuation du contrle interne

B@SICS = Best practices and ASsessment of Internal ControlS

Un excellent outil de dtection : lanalyse de donneswww.acl.com

www.caseware-idea.com www.norkom.com www.sas.com www.businessobjects.com www.microstrategy.com

Mais aussi :

selon la volumtrie des donnes

etc

Comment analyser les donnes ? Stratifier les donnes (bornes de valeur) Croiser les donnes (nuages de points) Faire des sous-totaux de contrle Profiler chaque champ(valeurs mini, maxi, moyenne, positives, ngatives, nulles, etc)

Tenter de dtecter des corrlations anormales entre les champs Utiliser la Loi de Benford Tester mme ce qui parat vident !(par exemple : la somme des lignes de facture est-elle gale au total stock dans un autre fichier ?)

Exemple danalyse des donnes avec la loi de BenfordLa loi de Benford montre que dans la vie de tous les jours, les nombres ont tendance commencer par le chiffre "1" plutt que le "2", lui-mme plus frquent que le "3", etc. La formule de probabilit d'apparition du chiffre "d" est : Soit, sous forme graphique :

Exemple :

A votre avis, quelle est la probabilit qu'une facture ait un montant de 777,77 euros ?La loi de Benford est utilise dans de nombreux pays pour dtecter les fraudes. Applicable sur le montant des factures, des tickets de caisse


Overview of the Anti-fraud program Fraud reporting process & tool : BI-annual campaigns Fraud monitoring forms

Anti-fraud program audit in CBU (based on Internal Control referential) Identification of fraud risks areas Fraud risk assessments performed in CBU

Fraud risk assessment Reporting

Update & communication of Code of ethics for purchasing 4 internal Compliance Committees animation on fraud in CODI in CBU and multiple communication meetings

1 1

Fraud awareness

2 2 Internal Control & Audit (SoD and IT general controls) Filires Training enriched for Purchasing & Finance managers

Improvement of Internal Control system and DANGO Analysis of fraud cases and identification of missing internal controls

7 7 3 3 4 4

Corrective measures and sanctions Dialert investigation process Internal Audit investigation for major frauds External investigators (security & Finance & Police)

6 6

Prevention DANgo (review of anti-fraud controls) Line management Internal Audit (reinforced) Dialert (whistleblowing) opened to suppliers

5 5Investigation

Detection

Results of CBU DANgo self-assessment on the antifraud program implementation

60% of the self assessed CBU have reported that they have a good or very good anti-fraud program implemented only 2.5 years after its launch We still have to continue auditing and sponsoring the anti-fraud program for the other CBU and especially the Baby and Medical Nutrition entities

Working jointly with Operational and support functions Risk management, Internal Control and Internal Audit work jointly on internal fraud and compliance with: At CBU level : VP finance, Internal Control, HR Director, GM, Legal Counsel, Crisis Manager, Security manager

At WWBU level: The WWBU Board : Finance, Operations, HR, Sales

At Corporate level: Crisis management & Quality Security Legal Finance HR

4 transversal Compliance Committees each year

Recent improvements of Danone anti-fraud program CBU major internal fraud risk factors identification & communication Fraud reporting Additional data to be reported by CBU & intranet reporting site update Integration of Baby and Medical Nutrition entities into the fraud reporting

Fraud suspicion management through CBU Crisis management process Anti fraud program CBU audits Monthly fraud alert status meetings Analysis of most common fraud scenarios by process DANGO control on anti fraud program implementation Update of Business Conduct Policies (BCP) & communication to New Divisions (recent acquisition) Update of Danoneway fundamentals on Business Conduct Policy Integration of the little book against fraud in the Executives Induction Pack CBU internal communication on fraud cases + reinforced group-wide communication

Strenghtened management and follow-up of frauds To strenghten cooperation between Corporate functions on information sharing and decision making on fraud suspicions and cases. In 2009, 10 monthly fraud status meetingsOperational functions Internal Control Crisis Management SecurityMonthly fraud status meeting

FRAUDSHR

IS/IT

Sustainable Development

Monthly fraud status meeting Internal Legal Audit Quaterly meeting

Quaterly fraud status meeting

Questions & Rponses