Partie 2/2

MOYENS DE PRÉVENTION ET DE DÉTECTION

Les moyens de prévention

La notion de contrôle interne ne fait pas l'objet d'une définition juridique.

On peut se référer à la définition du COSO (Committee of Sponsoring Organizations of the Treadway Commission), qui précise que « le contrôle interne est un processus, défini et mis en œuvre par le Conseil d'administration, le management et le personnel de l'entreprise visant à fournir une assurance raisonnable que les objectifs suivants sont atteints :

1. fiabilité de l'information comptable et financière (information financière),
2. efficacité et efficience de la conduite des opérations de l'entreprise (opération),
3. respect des lois et de la réglementation applicable (conformité). »

Le contrôle interne d’une entreprise sera jugé efficace dans chacun des trois objectifs quand le Conseil d’administration et la direction considèrent qu’ils ont une assurance raisonnable qui leur autorise à envisager :

·     Qu’ils sont au courant de l’avancement des objectifs opérationnels fixés par l’entité.

·     Que l’entreprise est en accord avec les lois et les règlementations applicables.

Le commissaire aux comptes doit inclure, dans la planification de la mission, une mission dite « d’intérim » qui sera l’occasion pour les auditeurs de faire une revue de contrôle interne.

Le schéma suivant décrit les étapes du cheminement de l’auditeur.

Les missions d’intérim sont impérativement effectuées en amont de la mission d’audit des comptes en elle-même. Il s’agit tout d’abord d’une prise de connaissance détaillée du système, qui permet de décrire les procédures en œuvre dans l’entreprise. Il est ensuite souvent fait usage de Flow-Chart pour décrire en langage imagé les flux d’informations et de documents au sein de l’entreprise. En effet, le but de l’intérim est de comprendre le système de contrôle interne en place dans l’entreprise : décrire ses mécanismes, en trouver les défauts et les points faibles.

L’objectif de l’auditeur est de rapporter les points faibles et tester les points forts, si les points forts s’avèrent non réalisés dans le quotidien de l’entreprise, ils sont remontés comme points faibles.

Dans les points faibles à remonter, il est important de parler des principes d’organisation de l’entité. C’est une base du contrôle interne : l’organisation doit comporter une séparation convenable des fonctions. La structure organisationnelle doit être établie par le management de l’entreprise, il doit alors fixer et diffuser un organigramme des fonctions et des grades.

La règle de désagrégation des tâches a pour objectif d’éviter que dans une entreprise un même employé cumule :

·     les fonctions décisionnelles/entrepreneuriales ;

·     les fonctions de détention des actifs ;

·     les fonctions d’enregistrement d’information ;

·     les fonctions de supervision.

Ou même simplement deux d’entre elles. En effet un tel cumul favorise les erreurs, les négligences, les fraudes et leur dissimulation. Il est aussi nécessaire que le management s’astreigne également à ces règles, c’est le principe d’universalité qui doit primer dans le contrôle interne.

Après avoir établi les grilles et tableaux précédents qui ont permis la description et la compréhension de mécanismes du contrôle interne de l’entreprise, il faut ensuite analyser ces données. L’auditeur doit dégager les forces et les faiblesses des différents processus analysés.

Cette évaluation prend le plus souvent la forme d’un tableau d’évaluation du système.

La somme des recommandations triées par cycle en fin de tableaux donnera la lettre de recommandation qui sera adressée à l’auditée.

Le contrôle de l’application permanent des procédures 

L’existence du système

L’auditeur, après avoir dégagé les forces et faiblesses du système de contrôle interne, va s’assurer que les procédures existent réellement. Il n’est plus ici question d’analyser une procédure pour en trouver les failles, mais bien de regarder concrètement si les points positifs, c'est-à-dire l’ensemble des contrôles devant être faits selon la procédure sont bien exécutés.

L’auditeur sélectionne un nombre limité de transactions qu’il suivra en remontant jusqu’à leur origine et en descendant jusqu’au dénouement.

Si les tests effectués donnent une assurance positive sur la correcte description du système, les tests de détail sont alors concluants. Si ce n’est pas le cas, la description doit être changée.

Le fonctionnement du système

Ici l’auditeur pourra vérifier l’ensemble des points abordés à l’étape précédente :

·     pour les points faibles, l’auditeur pourra peut-être trouver que des procédures de remplacement non formalisées existent (cette étape n’est pas obligatoire car elle n’insiste pas sur le principe de prudence) ;

·     pour les points forts qui ont été recensés, il est nécessaire de s’assurer de leur bon fonctionnement. Il sélectionnera des échantillons et en fonction de résultats des sondages, il devra déterminer si le contrôle interne répond à ce qu’il en attendait.

L’établissement de points forts, avérés par les tests de détail, permet aux auditeurs de diminuer les tests sur les zones jugées moins sensibles. Les points faibles, quant à eux, indiquent des zones d’erreur ou de fraude potentielles. Il sera donc nécessaire de diminuer le risque de non détection en augmentant les tests de détail à la revue des comptes finaux pour maintenir un risque d’audit global acceptable.

Le risque d’audit, c’est la probabilité de donner une opinion inappropriée sur les comptes eu égard aux circonstances ; c'est-à-dire, par exemple, formuler une opinion sans réserve alors que les comptes contiennent une anomalie significative. Sachant qu’est significatif ce qui est susceptible d’influencer à tort le jugement d’un lecteur des états financiers ainsi présentés.

Ce risque d’audit peut-être analysé sous trois composantes :

·     le risque inhérent (c’est le risque qu’une erreur ou une inexactitude significative survienne dans les comptes. Il s’agit de risques mesurables par l’activité de l’entreprise, sa structure de capital et financière, son organisation ou encore la structure de son bilan) ;

·     le risque lié au contrôle (c’est le risque que le système de contrôle interne de l’entreprise ne prévienne pas ou ne détecte pas de telles erreurs. Ce sont les tests sur le contrôle interne du commissaire aux comptes qui vont donner la mesure de l’efficacité ce contrôle interne) ;

·     Le risque de non détection (c’est le risque que des erreurs ou inexactitudes significatives ne soient pas décelées par l’auditeur).

L’ensemble de la démarche d’audit peut se mesurer par cette équation :

Risque inhérent x Risque lié au contrôle x Risque de non détection = Risque d’audit.

L’auditeur se fixe un risque d’audit acceptable, il lui reste alors à évaluer chacune des composantes du risque global.

Le plan d’audit tient donc compte des risques accrus où les tests de détail seront augmentés. Si des risques de fraude apparaissent sans contrôle interne satisfaisant (souvent par manque de séparation des tâches), les sections concernées auront un risque de non détection qui sera porté au plus faible, on augmentera donc les tests de détail.

Les moyens de détection

Le Brainstorming

Lors de la réunion de planification (en présence des principaux membres de l’équipe y compris principaux intervenants sur les filiales), il est examiné les facteurs de risques d’anomalies pouvant se traduire par des fraudes aux états financiers et des détournements d’actifs.

v  Comment, où, quand, une fraude pourrait-elle intervenir ?

v  Modalités de réponse à ces risques de fraude. Un brainstorming, véritable « remue-méninges » aura pour objectif de déceler :

·     les incitations et les pressions sur les employés à commettre des fraudes ;

·     les opportunités pour les employés à frauder (comment les états financiers pourraient en être affectés, comment le management pourrait lui-même frauder).

v  Une attitude des employés qui suggère un environnement dans lequel l’action de frauder pourrait être rationnalisée (passage à l’acte possible dans l’esprit du personnel).

Un brainstorming va aussi aider à donner des solutions d’audit aux questions de la fraude :

·     modification de l’approche globale d’audit ;

·     étendre les procédures sur les zones à risque ;

·     tests surprises sur les comptes potentiellement dangereux.

Il faut effectuer notamment l’analyse à partir des exemples de facteurs de risque de fraude, classés par conditions de survenance de la fraude (pressions personnelles et/ou professionnelles, situations d’opportunités, attitudes).

NOUVELLES TECHNOLOGIES ET NOUVEAUX DÉFIS DE L’AUDITEUR

Les e-mails ou courriers électroniques ont pris une place prépondérante dans l’organisation de l’entreprise. Une grande partie des contacts sont pris par e-mail et de nombreuses décisions sont communiquées par ordinateurs interposés.

La seule preuve admise directement par loi est l’écrit. L’écrit « électronique » n’est pas devenu une preuve et le commissaire aux comptes devrait lui aussi garder à l’esprit un scepticisme tout à fait à propos. En effet, de nombreuses confirmations, notamment reçues par des filiales de groupes, sont envoyées par e-mail. Ainsi le commissaire aux comptes se retrouve à importer dans son dossier une copie de cet e-mail. Il peut s’avérer que cette copie est un e-mail complètement monté sous un logiciel de traitement de texte. C’est un peu trop évident et l’auditeur aguerri va tout de même demander à voir l’e-mail arrivé dans la boîte de réception de la personne qui dit l’avoir reçu. C’est chose faite, le mail y est bien, l’auditeur satisfait peut conclure.

Or, il faut savoir qu’il existe une méthode dite du « spoofing » ou « fake-mail », qui permet à un utilisateur d’internet (non nécessairement doué en informatique) d’envoyer un message à n’importe qui d’autre en utilisant une adresse d’expéditeur au choix. Le résultat est saisissant, dans l’e-mail, à l’emplacement « sender », il apparait ce que l’on veut.

Le seul moyen pour être sûr de la validité de l’e-mail reste de demander une confirmation par téléphone de la personne qui l’a écrit. C’est un problème encore peu connu des auditeurs, mais il peut très bien arriver que d’importantes décisions soient validées par e-mail, il n’est alors pas inopportun de demander confirmation aux intéressés.

Bien sûr, ces vérifications sont à effectuer quand l’auditeur estime qu’il ne règne pas un climat de confiance au sein de l’auditée ou qu’il s’agit d’une première intervention.

En ce qui concerne les validations et les autorisations par Workflow, c'est-à-dire par une signature électronique qui résulte de son simple nom sur le document final, il est possible de pirater le système informatique pour attribuer une signature depuis n’importe quel poste. Ici, des connaissances informatiques poussées sont requises. Cependant il faut faire attention aux logiciels utilisés pour la comptabilité, s’ils sont « fait maison » ou ne proviennent pas d’un éditeur reconnu, il est possible que les informaticiens aient un accès total à l’environnement informatique. Il faudra donc veiller, lors des contrôles des tests ou intérim, à inclure des procédures de vérification des accès qu’ont les informaticiens à la comptabilité ainsi que les possibilités d’effraction et d’intrusion dans le système informatique.

Un des scandales les plus accablants pour des auditeurs piégés par des faux documents est Parmalat. Le bureau italien de Grant Thorton qui s’occupait d’auditer la filiale de Parmalat aux îles Caïman, Bonlat, a pris pour argent comptant un fax de la Bank of America qui confirmait l’existence d’un compte garni de 3,9 milliards de dollars. Hélas pour Grant Thorton, ce fax était un faux, il avait été faxé depuis les îles Caïman par le directeur financier qui l’avait trafiqué assez simplement en faisant des montages à l’aide d’une photocopieuse et en le faxant plusieurs fois pour masquer les imperfections. Dans une déclaration au Financial Times, le directeur général de Grant Thorton International, David McDonnell, plaide que « le pire qu’on puisse nous reprocher est d’avoir été dupes ». En effet, il est essentiel de se faire confirmer les copies de fax qui deviennent illisibles, il en va de la responsabilité de l’auditeur et ensuite du commissaire aux comptes.

Aujourd’hui, les relevés bancaires ne sont plus saisis par un comptable. Il y a une connexion directe et sécurisée entre la banque et son client qui lui télétransmet les informations bancaires qui sont converties en écritures comptables et intégrées dans la comptabilité via le logiciel comptable. Il s’agit de la procédure ETEBAC, Echange Télématique entre Banque et Clients.

Les normes de contrôle du commissaire aux comptes doivent s’adapter aux nouvelles technologies. Il est impératif de maîtriser ces nouveaux procédés pour éviter d’être dupes face à de nouveaux cas de fraude.

Dans le même temps, quand le commissaire aux comptes demande des relevés bancaires, notamment pour justifier le solde du compte bancaire sur le rapprochement bancaire ou encore pour valider des décaissements ou encaissements post clôture, il arrive de plus en plus souvent que les sociétés auditées fournissent des relevés électroniques journaliers, qui sont le reflet des écritures bancaires ETEBAC qui arrivent tous les jours. Ils ont une forme très simple qui ne permet pas de distinguer s’ils sont vraiment issus de la banque ou s’ils ont été fabriqués. Il faudrait d’emblée exercer un jugement critique sur les relevés bancaires qui ne sont pas sur le papier à en-tête de la banque. Il sera donc conseillé de remonter soigneusement aux justificatifs des décaissements sélectionnés sur ces relevés et de bien suivre d’une année sur l’autre le raccord des relevés ETEBAC post clôture et des relevés papier reçus plus tard.

Pour se couvrir sur la période d’audit, il faut être en possession d’une confirmation bancaire reçu chez l’auditeur à l’en-tête de la banque. C’est la seule garantie externe d’un solde au 31/12/N. à partir de cet instant, on pourra analyser dans le détail les rapprochements bancaires. Si le rapprochement est estimé valable, on pourra alors se fier au journal de banque pour valider un encaissement par exemple.

Les contrôles sont souvent imbriqués les uns aux autres et l’absence de vérification de la validité de l’un deux peut remettre en cause toute l’approche d’audit.

Aujourd’hui, il n’est plus possible de contrôler les flux d’informations en pistant les courriers et les communications orales. L’informatique a pris une place prépondérante dans la comptabilité. Le système d’information est le centre névralgique des informations, c’est par lui que tout passe. Il y a des « inputs » qui y sont rentrés (saisie des factures par exemple) et après traitement informatisé il en ressortira des « outputs » (un bilan et un compte de résultat par exemple). Le passage de l’un à l’autre n’est garanti que par le bon paramétrage des logiciels composant le système d’information.

La prise en compte de l’aspect informatique dans le plan de mission du commissaire aux comptes s’effectue sur la base des informations recueillies lors des phases de prise de connaissance de l’informatique dans l’entreprise et de description du système d’information, et qui portent sur : l’existence ou non d’une stratégie informatique, les caractéristiques de l’organisation informatique, l’importance de l’informatique dans l’entreprise, la complexité du système d’information et le nombre de processus et applications informatiques concernées.

Les informations obtenues et les risques potentiels identifiés doivent permettre de déterminer la nature et l’étendue des contrôles à mettre en œuvre.

La norme CNCC 2-302 précise dans le paragraphe .07 - que « dans un environnement informatique utilisant des systèmes importants et complexes, le commissaire aux comptes acquiert également la connaissance de cet environnement et détermine si celui-ci peut influencer l’évaluation du risque inhérent et l’évaluation du risque lié au contrôle ».

La description du système d’information de l’entreprise consiste à : formaliser la cartographie des applications, apprécier le degré de complexité du système d’information et identifier les processus à analyser, utiles aux objectifs de l’audit.

Après analyse des bons paramétrages et des accès des utilisateurs au système d’information, le commissaire aux comptes pourra s’appuyer sur le système d’information. Le commissaire aux comptes doit évaluer la sécurité du système d’information.

Pour valider les données issues du système d’information, il existe des tests de cohérence que nous verrons ci-dessous.

Test de Benford

Dans la revue des grands livres et des ventes, les techniques d’audit classiques se focalisent, à juste titre, sur les montants significatifs. Il se peut cependant que beaucoup de petits montants non valides soient rajoutés manuellement, formant un total significatif. Une méthode permet de détecter ces entrées non significatives, mais invalides.

C’est en 1881 que Newcomb s’aperçut que les premiers volumes des tables logarithmiques étaient les plus utilisés, ceux qui commençaient par un ou deux. Il en traduisit empiriquement une loi qui donnait les probabilités d’apparition des premiers chiffres significatifs (hors zéro) dans les nombres usuels (de la vie quotidienne) par la formule suivante :

Log10(1+1/d) où d est le premier chiffre significatif (de 1 à 9) d’un nombre courant.

Les probabilités sont alors les suivantes : le chiffre « 1 » a 2 fois plus de chance d’apparaitre en premier chiffre significatif que le « 2 », et 6 fois plus que le « 9 ».

Les tests empiriques montrent que la loi de Benford s’applique très bien aux résultats de mesure. Les contrôleurs fiscaux américains s'appuient sur cette loi pour détecter des fraudes fiscales : en effet, des données falsifiées suivent rarement une loi de Benford. En France, les commissaires aux comptes pourraient en faire de même. Pour cela, voici la méthode pratique et statistique que l’on pourrait appliquer.

Sur un échantillon prélevé rigoureusement au hasard d'un document à contrôler (journal, compte de grand-livre, balance ou état d'inventaire), on repère tous les premiers chiffres de chaque montant (quel que soit son nombre de chiffres) et l'on établit un tableau de fréquences. Il est particulièrement utile d’y soumettre le journal de vente pour y déceler d’éventuelles ventes fantaisistes rajoutées par petits montants.

Notre méthode va ensuite consister à émettre une hypothèse sur la distribution théorique suivie par la population d'où l'échantillon a été extrait, et à comparer ces deux distributions pour savoir si les écarts constatés entre elles sont significatifs ou non.

Il est à noter qu’il est très rare que des données comptables ne suivent pas au plus près cette loi, si les proportions ne sont pas nécessairement les mêmes, il y a au moins le respect de la décroissance des fréquences. Le chiffre « 1 » est toujours le plus représenté, vient ensuite le « 2 » et ainsi de suite. En effet, il a été constaté que les nombres donnés « au hasard », tant que faire se peut, par l’homme ont des fréquences de premiers chiffres les plus élevées pour le « 4 », « 5 », « 6 » et le « 7 ». Il s’agirait visiblement d’une attirance pour les chiffres du milieu et d’une aversion pour les chiffres extrêmes, « 1 » et « 9 », se rapprochant ainsi d’une loi normale. C’est donc le manque prononcé de « 1 » et la proportion trop forte des derniers chiffres (« 5 » à « 9 ») qui donneront à l’auditeur un indicateur avancé de possibilité de manipulation « humaine » des séries de chiffres.

Tout le travail de l'auditeur va maintenant consister à localiser les données qui contredisent la Loi de Benford. Il conviendra donc de :

·     dans un premier temps, repérer, sur l'échantillon, les valeurs qui contribuent le plus au dépassement. Dans le cas présent, un certain nombre de montants commençant par 8 sont peut-être erronés, puisqu'ils sont représentés deux fois plus qu’ils ne devraient (20 contre 8 en théorie). Il faudra alors examiner de plus près les ventes réalisées avec un premier chiffre significatif de 8 ;

·     dans un deuxième temps, mettre en évidence, toujours sur l'échantillon, les montants litigieux dont il faudra rechercher les causes, les éléments probants et en déduire une première estimation sur l'échantillon ;

·     enfin, rechercher, dans la population, les éléments probants démontrant que la fraude est effective et étayée par des pièces comptables et/ou des témoignages sans aucune ambiguïté.

La mise en place de cette nouvelle procédure de contrôle ne modifie en rien les méthodes habituellement utilisées. Elle ajoute seulement un outil supplémentaire simple et performant dont il serait dommage de se priver.

Nouveaux défis des auditeurs face à la fraude et comment accroitre la détection de la fraude

Depuis les affaires financières qui ont ébranlé la confiance des marchés financiers, les sociétés ont tout intérêt à faire savoir qu’elles ont une éthique et une conscience professionnelle aigüe au point de demander à leur commissaire aux comptes d’investiguer plus en détail sur les risques de fraude, même si le passage par le commissaire aux comptes implique nécessairement une médiatisation de l’affaire, du fait de l’obligation de révélation au procureur de la république. Cependant, il sera bien vu par la communauté financière que le gouvernement d’entreprise prenne tout de suite des mesures claires et rapides face à un cas de fraude de la part d’un de ses membres. Il y a même un avantage à passer par les auditeurs du commissaire aux comptes, au-delà même du simple fait qu’ils sont déjà informés, sur place et compétents, c’est qu’ils n’attireront pas le regard outre mesure des employés qui pourraient se sentir visés par des mesures d’investigation anti-fraude.

Le commissaire aux comptes peut tout à fait rajouter à ces heures de mandat légal des diligences spécialisées sur la fraude car elles concourent à la mission principale du commissaire aux comptes. En effet l’article L. 822-11-II du Code de commerce précise qu’ « Il est interdit au commissaire aux comptes de fournir à la personne ou à l'entité qui l'a chargé de certifier ses comptes, ou aux personnes ou entités qui la contrôlent ou qui sont contrôlées par celle-ci au sens des I et II du même article, tout conseil ou toute autre prestation de services n'entrant pas dans les diligences directement liées à la mission de commissaire aux comptes, telles qu'elles sont définies par les normes d'exercice professionnel mentionnées au sixième alinéa de l'article L. 821-1. » Ces normes professionnelles indiquent que la mission du commissaire aux comptes est d’assurer que les états financiers d’une entité donnent une image fidèle de la situation financière et des performances de l'entreprise. Son rôle est de surveiller le bon fonctionnement de l'entreprise et le respect des règles définies par le droit des sociétés et les statuts.

Dans ce contexte, la recherche expresse de fraude n’est pas du tout incompatible. Elle rejoint la même catégorie que les audits d’acquisition, ils permettent d’obtenir une vision plus précise de l’entité, qui ne peut être que bénéfique à l’assurance d’une image fidèle.

De manière générale, les auditeurs peuvent être attentifs aux problèmes de la société auditée et intervenir ponctuellement. Par exemple, à la suite de rumeurs concernant un responsable comptable, il serait possible d’examiner un certain nombre d’opérations spécifiques (sorties de caisse, notes de frais, comptes d’avances et de prêts aux salariés) ainsi que des comptes clients, en vue de détecter d’éventuels détournements, de comprendre les circuits utilisés et les personnes impliquées, puis de chiffrer le montant du préjudice subi.

Après des années de crises de confiance et d’effondrement des marchés financiers, il était urgent de redonner confiance aux investisseurs. Il était alors normal et souhaitable de resserrer l’étau de la loi autour des fraudeurs. Les régulateurs ont multiplié les nouvelles règles, espérant décourager les fraudeurs potentiels à passer à l’acte. C’est un comportement ambigu car les règles strictes ne donneront pas des comportements vertueux. Plus importante peut-être que la prolifération des lois, la nécessité d’harmoniser les normes comptables qui s’appliquent aux sociétés ainsi que les bonnes pratiques de gouvernance se fait sentir. Or nous n’assistons pas aujourd’hui à une harmonisation de ces règles anti-fraude, mais bien à des mesures ad hoc dans chaque pays. Ces mesures ne conduisent ni à la clarté ni à la confiance globale. Ici la profession comptable, dont les commissaires aux comptes, ont leur rôle à jouer pour participer à l’internationalisation des normes. Ils l’ont déjà fait pour leur propre compte avec les ISA, référence des normes d’audit internationales.

L’instauration de comités d’éthique et d’audit dans les sociétés doit aussi devenir un élément clé du développement du contrôle interne des sociétés. Ici aussi les commissaires aux comptes pourront s’appuyer sur ces nouveaux outils de contrôle, mais aussi donner à des personnes réceptives les lettres de recommandations sur les problèmes de contrôle interne. L’utilisation de l’article L. 823-12, qui indique que « les commissaires aux comptes signalent à la plus prochaine assemblée générale ou réunion de l'organe compétent les irrégularités et inexactitudes relevées par eux au cours de l'accomplissement de leur mission » aura certainement plus de portée, car le comité d’audit pourra s’en servir pour mener à bien sa mission et pousser le gouvernement d’entreprise à prendre les mesures qui s’imposent.

Les exemples se multiplient de nos jours. Les grands cabinets d’audit diversifient leur offre de service et proposent désormais l’externalisation d’audit interne ou de recherche de la fraude.

ALTRAN, par exemple, a pris des mesures en vue du renforcement du contrôle interne  après les problèmes comptables de 2001-2002. Création d’un département d’audit interne : un département d’audit interne a été créé en 2004. Sur recommandation du comité d’audit, le conseil d’administration a décidé d’externaliser cette fonction. Suite à un appel d’offres, celle-ci a été confiée au cabinet Price Waterhouse Coopers. L’externalisation de cette fonction permet, d’une part, de bénéficier de l’expérience et des outils méthodologiques du cabinet retenu et, d’autre part, de renforcer l’indépendance de la fonction. De plus, elle assure une homogénéité des méthodes d’audit ainsi que l’accès aux ressources adéquates dans chacun des sites du groupe, en fonction des thèmes à traiter et des priorités du groupe.

De son côté, Deloitte a lancé son nouveau service DTECT, ayant pour objet la détection d'inexactitudes accidentelles ou intentionnelles, elle est en effet d'intérêt pour les clients audit en réponse aux normes en vigueurs qui étendent nos obligations en matière de considération du risque de fraude et pour les clients non-audit qui y voient une réelle valeur ajoutée.

conclusion

Dans un environnement marqué par des fraudes impliquant les auditeurs légaux, les normes internationales d’audit proposent une transformation vers la prise en compte de l’erreur intentionnelle comme objet d’analyse. En France, la majorité de ces modifications recueille des avis favorables auprès des auditeurs légaux. L’évolution de la démarche d’audit, ainsi que la mise en place de plans d’actions consentant au commissaire aux comptes d’obtenir une assurance raisonnable de l’inexistence d’anomalies matérielles dans les états financiers causées par des fraudes, sont en place en France depuis la LSF de 2003.

Dans la mesure où les commissaires aux comptes ne participent que peu à la découverte des cas de fraude, les évolutions offertes apparaissent donc inévitables et collaboreraient  au rapprochement des modalités effectives de l’intervention du commissaire aux comptes et des besoins des lecteurs des rapports finaux. L’assimilation d’une démarche spécifique à la fraude paraît d’autant plus essentielle que les attributaires des audits légaux considèrent, bien souvent, déjà comme obtenue et apposée l’assurance raisonnable que les états financiers ne soient pas entachés de fraude.

Notre rapport sur l’audit légale et la fraude soutient la mise en œuvre d’une démarche plus absolue en matière d’appréhension du risque de fraude, tout comme le SAS 99 ou ISA 240 et CNC 2-105 le préconisent. Toutes les enquêtes tendent à montrer que la mise en place par les commissaires aux comptes des démarches anti-fraude préconisées par les normes françaises et internationales augmente la probabilité que la fraude soit détectée. L’audit de la fraude est une prestation qui devient nécessaire dans le bouquet des services proposés par le commissaire aux comptes, mais qui n’est pas encore optimale. Pourtant dans l’éventail des tests déjà effectués par l’auditeur externe, il suffirait de peu de chose, comme nous l’avons vu, pour prévenir et détecter plus efficacement la fraude. Il reste cependant dommage que les normes françaises et les habitudes professionnelles ne prennent pas encore la mesure des outils externes spécifiques à la fraude, qui permettrait pourtant aux commissaires aux comptes français d’assurer une crédibilité encore plus forte à l’information comptable et financière des entreprises.

bibliographie

(1) PriceWaterhouseCoopers Enquête sur la fraude dans les entreprises en France, en Europe et dans le monde. Étude 2004 sur plus de 3 000 entreprises, réparties équitablement sur tous les secteurs, les pays et les tailles.

(2) http://www.neo-finance.com pour les normes des commissaires aux comptes.

(3) http://fr.wikipedia.org pour les nombreuses définitions et recherches encyclopédiques.

(4) http://www.legifrance.gouv.fr pour les extraits de textes de lois, décrets et règlements.

(5) http://www.lexilogos.com pour des définitions et l’étymologie de certains noms.

(6) Revue Belge de la sécurité sociale, 3^e trimestre 2003.

(7) http://www.aesplus.net pour les textes, références et commentaires  juridiques concernant les commissaires aux comptes.

(8) Fraudes commises en entreprise au Canada : une étude de ses victimes et de ses malfaiteurs. Association of Certified Fraud Examiners et Dr Dominic Peltier-Rivest, Ph.D., M.Acc., CFE, Université Concordia, Montréal. 35 entreprises sur 90 cas de fraudes au Canada.

(9) L’audit interne vers une collaboration renforcée avec ses partenaires externes – publication de l’IFACI du 31/01/02. www.IFACI.fr

(10) Étude empirique du risque de fraude comme objet d’analyse de l’audit externe legal - David CARASSUS, Maître de conférences I.A.E. Université de Pau Denis CORMIER, Professeur École des sciences de la gestion Université du Québec à Montréal, Octobre 2002

(11) Le 1 domine, le 9 s’incline !, BILODEAU, M. et R. LAVOIE, 2000, Expo Journal, rapport interne, département des sciences de la nature, Cégep de Saint-Félicien, Saint-Félicien, 7 pages.

(12) AICPA (American Institute of Certified Public Accountant) Management override internal controls: The Achilles’ heel of Fraud Prevention. 2005, New-York.

(13) http://www.camagazine.com/index.cfm/ci_id/26969/la_id/2 à qui la faute ? Juin 2005.

Par Trevor McCann, sur la responsabilité des commissaires aux comptes en cas de fraude non découverte.