Prévenir la fraude d’entreprise : une responsabilité collective

Dans mon dernier billet, j’ai exploré les nombreuses complexités de la mission de l’auditeur, afin de contribuer à ce qui, je l’espère, sera une discussion à l’échelle européenne sur la façon de repenser l’audit. Aujourd’hui, après une série de défaillances très médiatisées au cours des dernières années, j’aimerais aborder un sujet essentiel : la fraude financière et le rôle des auditeurs dans la détection de ces fraudes.

Les fraudes et le « going concern » (ou « continuité d’exploitation ») sont deux sujets sur lesquels les auditeurs sont sévèrement interpelés. J’ai précédemment expliqué la responsabilité des auditeurs par rapport à la « continuité de l’exploitation » et la difficulté parfois d’émettre une opinion dans un environnement complexe et en rapide évolution.

En ce qui concerne les fraudes, le rôle de l’auditeur est très souvent remis en cause, avec, à l’appui, des statistiques alarmantes : l’une des plus récentes étant que seulement 4% des fraudes professionnelles sont détectées par des auditeurs externes¹. Ceci soulève de nombreuses questions : lors de ces défaillances d’entreprise, les auditeurs n’auraient-ils pas dû identifier la fraude ? N’est-ce pas là le cœur de la mission d’audit ?

Le rôle de l’auditeur n’est pas de rechercher toutes les éventualités de fraudes

Il y a d’abord une incompréhension par rapport à la mission des auditeurs. La société voit les auditeurs comme la « police de la fraude », ou tout au moins des experts dans la prévention des fraudes, mais cela n’est pas conforme à la réalité du métier. Que cela soit bien clair : en France par exemple, le commissaire aux comptes a effectivement l’obligation légale de signaler une fraude aux autorités compétentes lorsqu’il la détecte au cours de sa mission. Mais enquêter pour rechercher toute éventualité de fraude n’est pas l’objectif final de notre mission. La détection et l’enquête de fraude requièrent des moyens et approches (par exemple les investigations judiciaires) différents des processus utilisés pour les missions d’audit. Toutefois, il incombe à l’auditeur, conformément aux normes ISA (International Standard on Auditing), d’obtenir l’assurance raisonnable que les états financiers pris dans leur ensemble sont exempts d’inexactitudes importantes, « qu’elles soient causées par une fraude ou une erreur ».

Ainsi, quelle est exactement la mission de l’auditeur, et la chaîne valeur d’un audit est-elle conçue pour prévenir ou arrêter les fraudes, notamment les plus sophistiquées ? La mission de l’auditeur est dictée par l’intérêt public et, selon la définition de la Commission européenne, « le rôle du contrôle légal des comptes consiste à certifier les états financiers ». Cela signifie que les auditeurs ont pour mission de formuler une opinion professionnelle fondée sur l’évaluation des états financiers d’une société. Pour ce faire, les auditeurs travaillent avec les données qui leur sont fournies, traitant des milliers de documents, en utilisant des processus de détection des risques éprouvés, fondés sur des techniques d’échantillonnage : ils ne peuvent pas tester chaque transaction au sein d’une entreprise, ce qui signifie que la fraude peut rester invisible. Les fraudes modernes et « organisées » ont la particularité d’être souvent très sophistiquées, utilisant des stratégies de dissimulation très complexes que les auditeurs ne parviennent pas à identifier systématiquement.

La prévention des fraudes sophistiquées nécessite une réflexion collective

Dans ce contexte, quels sont les changements à effectuer si nous voulons résoudre collectivement cette tension qui fragilise notre profession ? Comment donner aux auditeurs les moyens de bien répondre aux problématiques et attentes vis-à-vis de ces fraudes ?

Une première mesure sensée consisterait à établir une analyse objective en invitant toutes les partie prenantes à identifier les causes profondes de la fraude (pourquoi et comment les fraudes arrivent); ensuite, il est essentiel de travailler sur la culture – dans la société comme dans les entreprises : promouvoir l’éthique et la conscience sociale, lancer des programmes de formation sur l’éthique et la responsabilité, sont autant d’initiatives qui pourraient limiter les comportements répréhensibles et les déraillements individuels dans les entreprises. Comme en matière de sécurité routière, il convient en priorité d’éduquer les conducteurs, avant de chercher à doter la police de moyens de détection des conducteurs dangereux.

Deuxièmement, si nous attendons des auditeurs qu’ils jouent un plus grand rôle dans la détection des fraudes, les premières questions à se poser sont les suivantes : les procédures d’audit peuvent-elles être remaniées pour éliminer tous les risques de fraudes ? Faut-il étendre la mission de l’auditeur à une « obligation » de détecter la fraude et le cas échéant, à quel coût ? De même, comment redéfinir les moyens donnés aux auditeurs pour bien remplir une telle mission : doit-on inclure des procédures Forensic dans le processus d’audit ?

Ce sujet primordial mérite une réflexion collective incluant toutes les parties prenantes, ainsi que les régulateurs dont la responsabilité est de définir les « bonnes » règles du jeu afin de permettre une meilleure détection de la fraude. Il n’y a pas de solution « toute faite ».

La technologie aidera, mais le jugement professionnel reste le cœur du réacteur

 Un grand nombre de professionnels de l’audit, dont Mazars, ont investi dans la technologie et les outils pour renforcer le processus d’audit, en automatisant de nombreuses tâches qui libèrent la valeur ajoutée des auditeurs, sécurisent leurs décisions et améliorent la qualité de l’audit. Cela contribue certainement à mieux détecter les fraudes et les erreurs au cours d’un audit.

Les régulateurs jouent également leur rôle en proposant fréquemment de nouvelles règles et normes visant à renforcer la sécurité et la qualité. Mais l’inflation normative crée une situation où l’application des procédures commence à l’emporter sur le jugement, et un risque de voir les auditeurs trop débordés ou engloutis dans les processus pour exercer pleinement leur scepticisme professionnel.

Car il ne faut pas oublier que la plus grande responsabilité de l’auditeur est d’émettre le bon jugement et d’exercer un scepticisme professionnel fondé sur l’expérience, la bonne connaissance de l’entreprise et une pensée critique. La technologie permet de renforcer l’analyse des données et la prise de décisions. Mais elle ne résoudra pas tout, et ne remplacera jamais la compétence humaine ou la capacité de jugement. Dans un système qui devient trop mécanique et procédural, je crois essentiel de remettre le jugement indépendant et le scepticisme professionnel au cœur de la mission de l’auditeur.

Pour cela, nous devons repenser l’ensemble de la chaîne de valeur de l’audit afin de résoudre les multiples tensions qui persistent dans la réalisation de notre mission. Le temps est venu de réfléchir ensemble à ces questions, et à d’autres.

L’audit est essentiel au bon fonctionnement des marchés. Aujourd’hui plus que jamais, nous devons tout mettre en œuvre pour en garantir la qualité. Je vous donne rendez-vous pour lire mon prochain billet, dans lequel j’examinerai les questions relatives à la qualité et à la structure du marché de l’audit, afin de nourrir le débat actuel sur la réforme de l’audit européen.

¹Association of Certified Fraud Examiner’s 2018 Report to the Nations