Faire face au risque

RISQUE

de fraude Gros plan

Exploration du rle de laudit interne

Farah G. Araj
CIA, CPA, CFE, QIAL

CBOK
The Global Internal Audit
Common Body of Knowledge

CHIFFRES CLS
14 518* rpondants
166 pays
23 langues
NIVEAUX
HIRARCHIQUES
Responsables de l'audit
interne 26 %
Directeurs de mission ou
senior managers 13 %
Superviseurs ou
managers 17 %
Auditeurs internes 44 %
* Le taux de rponse varie
selon les questions.
propos du CBOK
L e CBOK (Common Body of Knowledge) est la plus grande tude actuellement mene
sur l'audit interne l'chelle mondiale. Elle comprend notamment des enqutes
auprs des professionnels de l'audit interne et de leurs parties prenantes. L'enqute mon-
diale sur la pratique de l'audit interne, qui apporte une vision complte des activits
et des caractristiques de la profession partout dans le monde, fait partie des lments
fondamentaux du CBOK 2015. Ce projet s'appuie sur deux enqutes internationales
ralises prcdemment sur le mme sujet par la Fondation de la recherche de l'IIA, en
2006 (9 366 rponses) et en 2010 (13 582 rponses).
Les rapports de l'enqute seront publis une fois par mois jusqu'en juillet 2016 et
pourront tre tlchargs gratuitement grce la gnreuse contribution d'individus et
d'organisations professionnelles, mais galement de chapitres et d'instituts de l'IIA. Plus
de 25 rapports devraient voir le jour, sous trois formes :
des rapports portant sur des thmatiques gnrales ;
des gros plans approfondissant des problmatiques cls ;
des faits marquants concernant un thme ou une rgion spcifique.
Ces rapports sintresseront diffrentes problmatiques dans huit catgories de connais-
sances, parmi lesquelles les systmes dinformation (SI), les risques, et les talents.
Rendez-vous sur le site du CBOK Resource Exchange l'adresse www.theiia.org/goto/
CBOK pour tlcharger les derniers rapports, au fur et mesure de leur publication.

Enqute 2015 du CBOK sur les pratiques de laudit interne :rpartition gographique des participants

Europe 23%

Amrique
du Nord 19%
Moyen-Orient
& Afrique 8%
du Nord Asie
du Sud 5%

Amrique Asie de
latine & 14% lEst & 25%
Carabes Pacifique
Afrique 6%
subsaharienne

Note : Les zones gographiques correspondent aux catgories dfinies par la Banque mondiale. Concernant l'Europe, moins de 1 %
des rpondants taient originaires d'Asie centrale. Les rponses lenqute ont t recueillies entre le 2 fvrier et le 1er avril 2015. Le
lien hypertexte vers lenqute avait t diffus via une liste dadresses lectroniques, les sites Internet de lIIA, des lettres dinformation
et les rseaux sociaux. Les questionnaires partiellement remplis ont t inclus dans l'analyse ds lors que les informations sur la
population interroge taient compltes. Dans les rapports du CBOK 2015, les questions spcifiques sont intitules Q1, Q2, etc. La
liste complte des questions est disponible sur le site du CBOK Resource Exchange.

2Faire face au risque de fraude

 Table des matires
Les thmes
du CBOK

Le futur

Synthse 4

Introduction 5
Les perspectives
internationales
1 Attention accorde au risque de fraude lchelle
mondiale 7

2 Responsabilit de laudit interne en matire de

La gouvernance prvention et de dtection de la fraude 12

3 Comptences de laudit interne face au risque

de fraude 18

La gestion
du service
4 Cinq pistes pour amliorer la prise en compte
du risque de fraude par laudit interne 22

Annexe A : Synthse des rsultats cls 25

Les risques

Normes et
certifications

La gestion
des talents

Les technologies

www.theiia.org/goto/CBOK3
 Synthse

L e risque de fraude est une ralit laquelle chaque organisation est

aujourdhui confronte. Dimportants cas de fraude ont rcemment retenu
lattention des mdias et des rgulateurs du monde entier. Lorsquune organisation est
victime dune fraude grave, sa rputation peut en ressortir ternie, et, bien souvent, les
parties prenantes redfinissent soudainement leurs priorits. Une question revient alors
frquemment : O taient les auditeurs internes ?
Faire face au risque de fraude : Exploration du rle de laudit interne analyse lchelle
mondiale limportance du risque de fraude pour laudit interne et ses parties prenantes,
les responsabilits de laudit interne en matire de prvention et de dtection de la fraude
ainsi quun aperu de ses comptences pour face au risque de fraude.
Ce rapport sappuie sur les rsultats de ldition 2015 de lenqute mondiale du CBOK
sur la pratique de laudit interne, la plus importante du monde consacre la profession,
ainsi que sur des entretiens avec des responsables de laudit interne issus de diffrentes
rgions du globe.
Les auditeurs internes peuvent utiliser le prsent rapport pour sensibiliser les parties
prenantes, soutenir les efforts de lutte anti-fraude de lorganisation, et dvelopper leurs
capacits daction. Ce rapport tudie, en conclusion, cinq pistes pour aider les respon-
sables de laudit interne (RAI) amliorer leur prise en compte du risque de fraude.

4Faire face au risque de fraude

 Introduction

POUR EN SAVOIR
PLUS
A vant de passer en revue les rsultats de ltude, nous rappelons les principales rf-
rences utiliss par les auditeurs internes pour dfinir leur rle en matire de risque
de fraude : la documentation produite par lIIA mais galement le nouveau principe
introduit dans la version actualise du Rfrentiel intgr de contrle interne du Committee
Guide pratique,
Auditing Anti-bribery of Sponsoring Organizations of the Treadway Commission (COSO).
and Anti-corruption
Programs (Altamonte Que disent les Normes propos du risque de fraude ?
Springs, Floride, The
Les Normes internationales pour la pratique professionnelle de laudit interne de lIIA (les
Institute of Internal
Auditors, 2014). Normes) dfinissent la fraude comme :

Guide pratique, Laudit Tout acte illgal caractris par la tromperie, la dissimulation ou la violation de la
interne et la fraude confiance sans quil y ait eu violence ou menace de violence. Les fraudes sont per-
(Altamonte Springs, ptres par des personnes et des organisations afin dobtenir de largent, des biens
Floride, The Institute of ou des services, ou de sassurer un avantage personnel ou commercial.
Internal Auditors, trad.
IFACI, 2009). Cette dfinition est vaste, et inclut des fraudes de natures trs diffrentes, y compris la
corruption. Par ailleurs, elle ne fait pas de distinction entre les fraudes commises au sein
GTAG 13 : Fraud
mme de lorganisation (par les collaborateurs ou le management, par exemple) et celles
Prevention & Detection
in an Automated World manant de lextrieur (fournisseurs, clients, etc.). De mme, si lon rapproche la fraude de
(Altamonte Springs, la dfinition du risque dans les Normes, le risque de fraude apparat comme la possibilit
Floride, The Institute que se produise une fraude qui aura un impact sur la ralisation des objectifs .
of Internal Auditors,
2009). Sans perdre de vue cette dfinition, tudions ce que les Normes disent sur les responsabilits
de laudit interne en ce qui concerne le risque de fraude. Les normes les plus pertinentes
en la matire sont les suivantes (liste non exhaustive, mise en exergue de certains aspects) :
1210 : Comptence (1210.A2) Les auditeurs internes doivent possder
des connaissances suffisantes pour valuer le risque de fraude et la faon
dont ce risque est gr par lorganisation. Toutefois, ils ne sont pas censs
possder lexpertise dune personne dont la responsabilit premire est la
dtection et linvestigation des fraudes.
2120 : Management des risques (2120.A2) Laudit interne doit valuer la
possibilit de fraude et la manire dont ce risque est gr par lorganisation.
2210 : Objectifs de la mission (2210.A2) les auditeurs internes doivent
tenir compte de la probabilit quil existe des erreurs significatives, des cas de
fraudes ou de non-conformit et dautres risques importants.

Dautres normes font galement rfrence la fraude, ou au rle de laudit interne dans
lvaluation de la culture thique et des valeurs de lorganisation, ce qui a galement une
incidence sur lefficacit de la gestion du risque de fraude.

www.theiia.org/goto/CBOK5
 Que dit le COSO sur le risque de fraude ?
Le nouveau principe n8 introduit, dans la version actualise du Rfrentiel intgr de
contrle interne du COSO, constitue une autre rfrence importante. Le simple fait
que cette version actualise contienne un principe consacr au risque de fraude est une
preuve supplmentaire de lattention croissante accorde ce risque. Lencadr 1 pr-
sente le nouveau principe adopt ainsi que les quatre points dattention que les auditeurs
internes peuvent appliquer tous les niveaux de lorganisation.

Encadr 1Rfrentiel intgr de contrle interne, Principe n8 : valuer

le risque de fraude

Le principe n8 du Rfrentiel intgr de contrle interne du COSO (2013) nonce :

Lorganisation intgre le risque de fraude dans son valuation des risques
susceptibles daffecter la ralisation des objectifs.
Ce principe est ensuite dclin en quatre grands points dattention :

1  nvisager diffrents types de fraude : lvaluation du risque de fraude couvre

E
le reporting frauduleux, la perte ventuelle dactifs, et la corruption dcoulant
des diffrentes possibilits de survenance dune fraude ou dun comportement
rprhensible ;

2 valuer les incitations et les pressions : lvaluation du risque de fraude tient

compte des incitations et des pressions ;

3 valuer les opportunits : lvaluation du risque de fraude prend en

considration les opportunits dacquisition, dutilisation ou de cession non
autorises dactifs, de modification des registres comptables ou dautres
agissements inappropris ;

4 valuer les comportements et les justifications : lvaluation du risque de

fraude tient compte de la faon dont le management et les collaborateurs
pourraient commettre ou justifier des actes inappropris.

Source : Internal Control Integrated Framework1 [Committee of Sponsoring Organizations of

the Treadway Commission (COSO), 2013]. Reproduction autorise.

Comment les auditeurs internes apprhendent-ils aujourdhui le risque de

fraude ?
Sans perdre de vue le rle de laudit interne, voyons maintenant ce que nous dit lenqute
sur la manire dont les auditeurs internes font, en pratique, face au risque de fraude.
Question 1 : Quelle importance la direction gnrale et les responsables de
laudit interne accordent-ils au risque de fraude ?
Question 2 : Dans quelle mesure les auditeurs internes sont-ils responsables de
la prvention et de la dtection des fraudes ?
Question 3 : Les auditeurs internes sont-ils capables de faire face au risque de
fraude ?
Au vu des rsultats, la section 4 du prsent rapport propose aux auditeurs internes cinq
pistes daction pour amliorer leur efficacit dans la gestion du risque de fraude.

1
COSO : Rfrentiel intgr de contrle interne - Principes de mise en uvre et de pilotage /
Pwc / IFACI - Eyrolles, 2014

6Faire face au risque de fraude

1 Attention accorde au risque de
fraude lchelle mondiale

L es auditeurs internes sont largement

impliqus dans la gestion du risque de
fraude au sein de leur organisation. Cette
section analyse leurs rponses aux ques-
tions de lenqute sur les thmes suivants :
1. Le risque de fraude en tant que lun
des cinq principaux risques
2. La lutte contre la fraude en tant quac-
tivit cratrice de valeur pour laudit
interne
3. Le risque de fraude en tant que partie
intgrante du plan daudit interne
4. Le recrutement des talents spcialiss
dans la gestion du risque de fraude
Laudit interne semble accorder
une plus grande priorit au risque
de fraude que le management
Les responsables de laudit interne ayant
particip lenqute ont t invits nu-
mrer les cinq risques considrs comme
les plus importants par la direction gn-
rale et laudit interne. lchelle mondiale,
seulement 19% des rpondants consi-
drent que la fraude fait partie des cinq
principaux risques pour leur direction
gnrale. Pour 31 % des rpondants, la
fraude est lun des cinq principaux risques
identifis par leur service daudit interne

Figure 2La fraude, classe au rang des cinq principaux risques en 2015 (vision rgionale)

60%

53%
50%

40%
39%
36%
33%
30% 31% 30% 31%
29%
26%
25%
21% 22%
20%
19% 19% 19%
17%
14% 14%
13% 12%
10% 11%
8% 9%
5%
0%
Asie Amrique latine Europe Afrique Asie de l'Est Moyen-Orient Amrique Moyenne
du Sud & Carabes subsaharienne & Pacifique & Afrique du Nord du Nord mondiale

Audit interne Direction gnrale cart

Note : Q66 : Veuillez identifier les cinq principaux risques auxquels votre dpartement daudit interne accordera le plus dattention
en 2015. Thme : Fraude (non couvert par dautres missions daudit). Responsables de laudit interne uniquement. n = 2 704. Q65 :
Veuillez identifier les cinq principaux risques auxquels votre direction gnrale accordera le plus dattention en 2015. Thme : Fraude
(non couvert par dautres missions daudit). Responsables de laudit interne uniquement. n = 2 705.

www.theiia.org/goto/CBOK7
Lexemplarit au (voir figure 2). En dautres termes, lau-
dit interne accorde plus dimportance
datteinte la rputation, et veille ce que le
risque de fraude soit apprhend et gr correc-
plus haut niveau au risque de fraude que le management. tement.
est essentielle pour Comme le montre la figure 2, cet cart est
En ce qui concerne le Moyen-Orient, Dr.
le plus lev en Asie du Sud (17 %) et le
grer le risque de Khalid Al Faddagh, ancien responsable de
plus faible en Afrique subsaharienne (5%).
laudit interne chez Saudi Aramco, indique:
fraude. Si le PDG De tels carts peuvent tmoigner dun
Je suis surpris et inquiet que le risque de
dcalage entre laudit interne et les attentes
indique en runion fraude ne figure pas dans le Top 5 des risques
de la direction gnrale.
au Moyen-Orient. Il est possible que les respon-
que la fraude ne
Cest en Asie du Sud que le risque sables interrogs soient dans le dni et estiment
saurait tre tolre de fraude suscite le plus dattention que la fraude nexiste que dans les autres entre-
prises ou dans les autres pays de la rgion.
et quil se montrera Globalement, cest en Asie du Sud (avec
intraitable avec une grande majorit de rpondants en pro- Une plus grande attention est
venance dInde) que le risque de fraude accorde au risque de fraude dans
les contreve- semble revtir le plus dimportance. LInde les organisations prives
nants, un message est en pleine transformation, de nombreuses
Le risque de fraude figure parmi les cinq
entreprises tant cotes ltranger, explique
positif et trs principaux risques, quels que soient la
Umesh Ashar, responsable de laudit interne
rgion, le secteur ou le type dorganisa-
fort sera vhicul chez Tata Motors Limited, Mumbai, en
tion. Toutefois, les auditeurs internes des
Inde. La nouvelle Loi sur les socits fait peser
depuis le haut organisations prives accordent une prio-
de lourdes responsabilits sur le comit daudit,
rit plus importante au risque de fraude
de la pyramide et exige de lauditeur lgal des entreprises cotes
que les autres, puisque 38 % dentre eux le
travers toute de signaler toute fraude au gouvernement
classe dans le Top 5, contre une moyenne
central. Par consquent, la direction gn-
lorganisation. rale cherche gnralement viter les risques
globale de 31 % (voir figure 3).

Dr. Khalid Al Faddagh,

ancien responsable
Figure 3La fraude, classe par laudit interne au rang des cinq principaux
de laudit interne,
Saudi Aramco risques en 2015 (vision par type dorganisation)

Socits prives 38%

(hors secteur financier)

Socits cotes
34%
(hors secteur financier)

Organisations but non lucratif 33%

Secteur public (y compris administrations 28%

publiques et organismes dtat)

Secteur financier 24%

(socits prives et socits cotes)

Moyenne globale 31%

0% 10% 20% 30% 40% 50%

Note : Q66 : Veuillez identifier les cinq principaux risques auxquels votre dpartement daudit
interne accordera le plus dattention en 2015. Responsables de laudit interne uniquement.
n = 2 742.

8Faire face au risque de fraude

Les activits de laudit interne lies
la lutte contre la fraude sont
juges moins cratrices de valeur
que dautres
Dans ldition 2010 de lenqute mon-
diale du CBOK sur la pratique de laudit
interne, 71 % des rpondants indiquaientt
avoir conduit, dans le cadre de leurs acti-
vits, des investigations sur des fraudes
et des irrgularits 2. La crise financire
mondiale tait cite comme lune des
raisons lorigine dun tel niveau dacti-
vit. Dans le cadre de ldition 2015 de
lenqute, les RAI ont t invits slec-
tionner les cinq activits daudit interne
les plus mme dapporter de la valeur
leur organisation. Une liste dactivits
leur tait propose, parmi lesquelles
Mener des investigations ou des actions
prventives contre la fraude . Vues sous
2
Marco Allegrini et al., Whats Next for
Internal Auditing? Rapport IV de ldition
2010 de lenqute du CBOK (Altamonte
Springs, Floride, Fondation de la recherche de
lIIA, 2011), page 33.
cet angle, la dtection et la prvention de
la fraude sont classes parmi les activits
les plus cratrices de valeur par seulement
trois rpondants sur dix (voir figure 4).
Ce rsultat est dautant plus inattendu que
la dtection et linvestigation de la fraude
sont chronophages et contraignent laudit
interne dployer des efforts consquents
au dtriment dautres questions impor-
tantes pour lorganisation.
Le risque de fraude ne concerne
quune faible proportion des plans
daudit, mais devrait progresser
Seul un petit nombre de rpondants
(4,5%) dclarent avoir bnfici dune
formation spcialise dans la lutte contre
la fraude et avoir consacr la majeure
partie de leur temps de travail cette acti-
vit (Q11, n = 12 716). Cette situation
est semblable quels que soient la fonction
hirarchique ou le poste, le type dorga-
nisation, le nombre de collaborateurs
au sein de laudit interne, ou encore le
secteur.

Figure 4Principaux leviers de cration de valeur par laudit interne

Donner une assurance sur ladquation et lefficacit du processus de

86%
contrle interne

Recommander des axes damlioration oprationnelle 55%

Donner une assurance sur les processus de gestion des risques de
53%
lorganisation
Donner une assurance sur la conformit rglementaire 50%

Informer et conseiller le management 40%

Identifier les risques mergents 37%

Donner une assurance sur les processus de gouvernement dentreprise

37%
de lorganisation

Mener des investigations ou des actions prventives contre la fraude 29%

Informer et conseiller le comit daudit 28%

Tester lvaluation des contrles faite par le management 23%

Note : Q89 : Quelles sont les cinq activits daudit interne qui sont le plus mme dapporter
de la valeur votre organisation ? (Plusieurs choix possibles.) Responsables de laudit interne
uniquement. n = 2 636.

www.theiia.org/goto/CBOK9
 Figure 5Le risque de fraude dans le plan daudit

Aspects oprationnels 24,5%

Conformit / rglementation 14,9%

Assurance / valuation de lefficacit de la gestion des risques 12,1%

Risques stratgiques 10,8%

Systme dinformation (non couvert par dautres missions) 8,3%

Finances gnrales 6,7%

Gouvernement dentreprise 6,2%

Fraude (non couvert par dautres missions daudit) 3,5%

Autres (en particulier, demandes, formations, etc.) 3,3%

Rduction ou matrise des cots / dpenses 3,2%

Tests ou assistance lis aux exigences Sarbanes-Oxley 2,8%

Relations avec des tiers 2,4%

Gestion de crise 1,2%

Total 100,0%

Note : Q49 : Dans quelle proportion (en pourcentage) votre plan daudit 2015 intgre-t-il
les catgories gnrales de risque suivantes ? Responsables de laudit interne uniquement.
n = 2 677.

Figure 6Pourcentage de RAI anticipant une hausse de lattention

accorde au risque de fraude par laudit interne

Afrique subsaharienne 41%

Asie du Sud 39%

Moyen-Orient & Afrique du Nord 37%

Amrique latine & Carabes 31%

Asie de l'Est & Pacifique 27%

Europe 23%

Amrique du Nord 12%

Moyenne mondiale 25%

0% 10% 20% 30% 40% 50%

Note : Q50 : Veuillez indiquer si, par rapport 2014, vous comptez augmenter, maintenir ou
rduire vos interventions dans les domaines suivants. Thme : Fraude (non couvert par dautres
missions daudit). Responsables de laudit interne uniquement. n = 2 476.

10Faire face au risque de fraude

De mme, seulement 3,5 % des plans
daudit interne ont pour objet le risque
de fraude, non couvert par dautres mis-
sions daudit (voir figure 5). Ce constat
est grosso modo le mme quel que soit le
type dorganisation, le nombre de colla-
borateurs au sein de laudit interne, ou
encore le secteur. Par ailleurs, seuls 25 %
des RAI travers le monde estiment que
lattention porte par laudit interne au
risque de fraude augmentera en 2015 par
rapport lanne prcdente (voir figure
6). Toutefois au niveau rgional, ce pour-
centage atteint environ 40 % en Afrique
subsaharienne et en Asie du Sud.
Selon Bruce Turner, ancien RAI la
retraite, Prsident sortant de lInterna-
tional Public Sector Committee de lIIA
et Prsident du Comit daudit de lIIA
Australie, laudit interne doit prvoir,
dans ses plans, suffisamment de temps pour
couvrir toutes les questions fondamentales (y
compris le risque de fraude), puis prendre
des dispositions pour aborder les domaines
de risque les plus intressants, mergents et
stratgiques .
Le recrutement des talents spcia-
liss dans la gestion du risque de
fraude est limit
Les comptences recherches au sein
des services daudit interne constituent
galement un bon indicateur de latten-
tion globale porte au risque de fraude.
Si les RAI sattachent embaucher des
auditeurs internes dots de comptences
en matire daudit de la fraude ou den-
qutes et dinvestigations, de tels atouts
ne figurent pas dans le Top 5 des comp-
tences recherches. Ainsi, seuls 23 % des
RAI classent laudit de la fraude parmi
les cinq comptences les plus recher-
ches lors de lembauche ou dveloppes
au sein du service daudit interne. Une
catgorie similaire, enqutes et investi-
gations, a t slectionne dans ce Top 5
seulement par 15% des responsables de
laudit interne. Cest en Amrique latine
(31%) et dans le secteur du btiment
(30%) que laudit de la fraude apparat le
plus important, tandis que cest lAfrique
subsaharienne (29%) et lAsie du Sud
(26 %) qui accordent le plus dattention
aux enqutes et investigations (Q30,
n = 3 288).
Conclusion
Question 1 : Quelle importance
la direction gnrale et les
responsables de laudit interne
accordent-ils au risque de fraude ?
premire vue, la fraude ne semble pas
attirer particulirement lattention de la
direction gnrale ou des responsables
de laudit interne. Toutefois, il ne faut
pas oublier que certaines rglementa-
tions, comme la Loi Sarbanes-Oxley de
2002, ont t promulgues pour lutter
contre la fraude. Bon nombre des efforts
anti-fraude sont consentis en application
dune telle rglementation. Ainsi, depuis
la publication en 2013 du Rfrentiel
intgr de contrle interne du COSO,
les auditeurs externes consacrent plus de
temps au principe n8 et lapprciation
du bien-fond de lvaluation du risque de
fraude par le management.
Les responsables de laudit interne
accordent plus dimportance au risque de
fraude dans les pays en dveloppement
et mergents. Il en est de mme pour les
organisations prives. Mme si la majeure
partie des travaux daudit interne ne sont
pas strictement consacrs au risque de
fraude, les auditeurs internes ne devraient
pas perdre de vue quun tel risque peut
avoir de graves consquences sur une
organisation ou un service daudit interne.
En espagnol nous avons une devise: il vaut
mieux ouvrir le parapluie avant quil ne
pleuve , explique Jorge Badillo, respon-
sable de laudit interne chez Sierra Gorda
SCM et Prsident de la Fdration des
auditeurs internes dAmrique latine.
www.theiia.org/goto/CBOK11
2 Responsabilit de laudit interne en matire
de prvention et de dtection de la fraude

Ces rsultats nont

rien dtonnant.
L a plupart des manuels indiquent que
le management est responsable de la
mise en place et de la gestion des systmes
Le problme du tout ou rien
La figure 7 rvle galement que, selon
certains rpondants, le service daudit
Le niveau de de contrle interne (y compris les disposi-
interne nest pas responsable de la dtec-
tifs anti-fraude), tandis que les auditeurs
maturit varie tion (12 %) ou de la prvention (17 %)
internes doivent valuer les activits de
de la fraude. Bon nombre de RAI ne sont
dune entit et dun contrle dployes par le management
pas daccord avec lide que laudit interne
et tre vigilants face aux signaux dalerte.
pays lautre. Les na aucune responsabilit en matire de
Mais la ralit est souvent toute autre.
dtection de la fraude. Lynn Fountain,
attentes socitales Selon les rsultats de lenqute, laudit
auteur de Raise the Red Flag: An Internal
interne et le management se partagent sou-
sont galement Auditors Guide to Detect and Prevent
vent les responsabilits en matire de lutte
Fraud, indique: Les auditeurs internes
diffrentes, et contre la fraude. Environ 3 rpondants
doivent, dans le cadre de chaque mission,
le rle de laudit sur 10 affirment que laudit interne est
passer en revue les risques de fraude. Cela
entirement ou en grande partie respon-
interne au sein dun fait partie intgrante des Normes, mais les
sable de la dtection et de la prvention
auditeurs nappliquent pas cette rgle trs
environnement des fraudes dans leur organisation, et 6 sur
efficacement.
10 indiquent quil en est partiellement
conomique lautre extrme, 6 % des rpondants
responsable . La figure 7 montre que les
et informa- auditeurs internes sont lgrement plus affirment que leur service daudit interne
susceptibles dassumer la responsabilit de assume lentire responsabilit de la dtec-
tique en rapide tion et de la prvention des fraudes (voir
la dtection de la fraude par rapport la
mutation dpend prvention. figure 7). Toutefois, un tel niveau de res-
ponsabilit va lencontre du principe
de nombreuses
variables. Figure 7Responsabilit de laudit interne en matire de dtection et de
prvention des fraudes
Bruce Turner, ancien
RAI la retraite, Prsident Dtection de la fraude 6% 23% 59% 12%
sortant de lInternational
Public Sector Committee Prvention de la fraude 6% 21% 57% 17%
de lIIA et Prsident du
Comit daudit de 0% 20% 40% 60% 80% 100%
lIIA Australie
Entirement responsable Partiellement responsable
En grande partie responsable Pas responsable

Note : Q55 : Quelle est la part de responsabilit de laudit interne dans la dtection de fraudes
au sein de votre organisation ? n = 11 431. Q56 : Quelle est la part de responsabilit de laudit
interne dans la prvention de fraudes au sein de votre organisation ? n = 11 428. Pour des
raisons darrondi, le total peut parfois diffrer de 100 %.

12Faire face au risque de fraude

Confier laudit dindpendance de laudit interne et
du modle des trois lignes de matrise3.
et de conformit) qui caractrise souvent
les socits prives non cotes pourrait
interne lintgralit Umesh Ashar commente : Je ne suis pas expliquer ce dcalage.
ou une large part daccord avec [le fait que laudit interne
Lorsque les auditeurs internes sont
ait lentire responsabilit de la prvention
de la respons- responsables de certains aspects de la pr-
de la fraude]. Cette responsabilit incombe
vention et de la dtection des fraudes,
abilit en matire au management et la premire ligne de
ces responsabilits couvrent les domaines
matrise. Toutefois, dans de nombreux cas,
de dtection des suivants : investigation des suspicions de
laudit interne est cens revoir la concep-
fraude, assistance en matire dvaluation
fraudes est une tion des dispositifs de contrle interne avant
du risque de fraude, suivi du dispositif
leur mise en uvre. Ce qui, dune certaine
mthode tradition- dalerte, audit de dispositif de lutte contre
manire, sinscrit dans le cadre de la prven-
la fraude mis en uvre par le management,
nelle et constitue tion de la fraude. De la mme faon, les
et formation en matire de sensibilisation
une solution auditeurs externes sont, du fait de leurs
la fraude.
normes professionnelles, amens valuer
confortable pour le risque dinexactitude due une fraude On constate de fortes disparits
lentreprise, parce ou une erreur. Confier au service dau- rgionales en matire de niveaux
dit interne lentire responsabilit de la de responsabilit
quelle sous entend
prvention et de la dtection des fraudes
Les figures 8 et 9 montrent de fortes
que les autres est contraire aux Normes et la bonne
disparits entre les rgions. Cest en Asie
pratique.
fonctions de du Sud (avec une grande majorit de
Les auditeurs internes des socits rpondants en provenance dInde) que
lorganisation ne
prives sont davantage impliqus le niveau de responsabilit en matire de
sont pas incites dans la gestion du risque de fraude prvention et de dtection de la fraude est
soutenir les le plus lev. Dans cette rgion, en effet,
La responsabilit en matire de fraude
5 rpondants sur 10 se disent entire-
efforts dans ce varie galement selon le type dorgani-
ment ou en grande partie responsables .
sation, les socits prives apparaissant
domaine. comme les plus impliques. Sagissant de
Les rgions suivantes affichent galement
un niveau de responsabilit suprieur
la dtection des fraudes, 36 % des rpon-
Jorge Badillo, la moyenne : Moyen-Orient et Afrique
dants issus des socits prives dclarent en
responsable de laudit du Nord, Amrique latine et Carabes,
assumer entirement ou en grande partie
interne chez Sierra Gorda et Afrique subsaharienne (entre 31 % et
SCM et Prsident de la la responsabilit, alors que la moyenne se
38%). Umesh Ashar explique comment la
Fdration des auditeurs situe 29 % (Q55, n = 11 431). Lcart
rgulation et les cadres de contrle indiens
internes dAmrique latine est encore plus marqu pour ce qui est de
faonnent le rle de laudit interne en
la prvention des fraudes, puisquils sont
matire de fraude : La Loi indienne sur
35 % avoir de tels niveaux de responsa-
les Socits de 2013 et le COSO 2013 ont
bilit dans les socits prives contre une
mis fortement laccent sur laudit interne en
moyenne de 26 % (Q 56, n = 11 428).
se penchant activement sur la question de la
Labsence de deuxime ligne de matrise (
fraude. Les entreprises investissent dans la
savoir les fonctions de gestion des risques
cration de services daudit interne et dans
le dveloppement des capacits de ceux exis-
3
Prise de position de lIIA, Les trois lignes tants.
de matrise pour une gestion des risques et un
contrle efficaces, janvier 2013, pages 3-5.

www.theiia.org/goto/CBOK13
Figure 8Dtection de la fraude : responsabilit de laudit interne (vision rgionale)

80% 77%

58% 58% 59%

60% 56%
49% 51%
48%
46%

40% 38%
35%
31%
29% 28% 29%

20% 15%
13% 14% 13% 13% 14%
12%
8%
6%

0%
Asie Moyen-Orient & Amrique latine Afrique Asie de l'Est Europe Amrique Moyenne
du Sud Afrique du Nord & Carabes subsaharienne & Pacifique du Nord mondiale

Entirement ou en grande partie responsable Partiellement responsable Pas responsable

Note : Q55 : Quelle est la part de responsabilit de laudit interne dans la dtection de fraudes au sein de votre organisation ? Pour
des raisons darrondi, le total peut parfois diffrer de 100 %. n = 11 281.

Figure 9Prvention de la fraude : responsabilit de laudit interne (vision rgionale)

80%

65%

58% 59%
60% 57%
54%
51% 52%

44%
42%
40% 38% 37%
31%
27% 26%
24% 24%
19%
20% 17% 17%
15% 15%
10% 11%
7%

0%
Asie Moyen-Orient Amrique latine Afrique Asie de l'Est Europe Amrique Moyenne
du Sud & Afrique du Nord & Carabes subsaharienne & Pacifique du Nord mondiale

Entirement ou en grande partie responsable Partiellement responsable Pas responsable

Note : Q56 : Quelle est la part de responsabilit de laudit interne dans la prvention de fraudes au sein de votre organisation ? Pour
des raisons darrondi, le total peut parfois diffrer de 100 %. n = 11 279.

14Faire face au risque de fraude

En outre, la culture et la maturit de ayant plus dune cinquantaine daudi-
lorganisation ont galement un impact teurs internes assument entirement ou
important sur les rsultats, comme lin- en grande partie la responsabilit dans ce
dique Owen Purcell, EY lead partner for domaine, contre 26 % en moyenne tra-
the EMEIA Risk Centre of Excellence, vers le monde (voir figure 11).
Royaume-Uni, En gnral, lorsquon
Ces rsultats sexpliquent peut-tre par la
regarde lEurope, on mesure la maturit en
prsence denquteurs ou de spcialistes de
fonction de la qualit de la gestion du risque
la fraude ddis au sein des grands services
de fraude au sein de lentreprise. Laudit
daudit interne, laquelle ne peut gnra-
interne joue certes un rle, mais ne tient
lement pas tre justifie dans les services
gnralement pas les commandes. Le contrle
plus petits en raison de contraintes de
et la gestion du risque de fraude incombent
cots. La prsence de tels experts renforce
gnralement au management et la deu-
le sentiment que laudit interne doit inter-
xime ligne de matrise (conformit, gestion
venir davantage pour prvenir et dtecter
des risques, etc.).
la fraude.
Owen Purcell explique que les variables
Les attentes du management vis--vis de
culturelles lgard de la fraude et de
la fonction daudit interne jouent gale-
laudit interne influent galement sur le
ment un rle. Daprs mon exprience,
rle de ce dernier. En Asie du Sud et au
la plupart des socits indiennes nont pas de
Moyen-Orient, on estime que laudit interne
service dinvestigation distinct et indpen-
devrait toujours rester lafft des fraudes
dant. Et cela vaut galement pour les socits
ventuelles. Il existe plusieurs niveaux de
cotes. La responsabilit incombe laudit
validation et de signature, les auditeurs
interne, et le management estime que ce der-
internes tant chargs de contrler les contr-
nier devrait jouer un rle moteur en matire
leurs. Au Moyen-Orient, les fonctions daudit
de gestion du risque de fraude , explique
interne bien tablies sont trs en vue au sein
Umesh Ashar.
de leur entreprise, le management ayant par
consquent tendance leur faire endosser Une approche coordonne du
davantage de responsabilits en matire de risque de fraude est prfrable
dtection de la fraude.
Selon lAssociation of Certified Fraud
Les grands services ont plus de Examiners (ACFE), laudit interne nest
responsabilits pas le principal moyen de dtection de
la fraude (voir figure 12). Au contraire,
Les grands services daudit interne assu-
les fraudes sont souvent dtectes dans le
ment gnralement plus de responsabilits
cadre des dispositifs de contrle interne
que les petits dans la prvention et la dtec-
(informations collectes via les dispositifs
tion de la fraude. Dans les organisations
dalerte) et par la premire ligne de ma-
qui comptent plus dune cinquantaine
trise (revue du management).
dauditeurs internes, 37 % des rpondants
indiquent tre entirement ou en grande Pour tre efficaces, le dispositif de lutte
partie responsable de la dtection des contre la fraude devrait comprendre plu-
fraudes, contre 29 % en moyenne (voir sieurs lignes de matrise, (les fonctions
figure 10). Les rsultats sont semblables conformit, affaires juridiques, ressources
pour ce qui est de la prvention de la humaines et audit interne) et impliquer
fraude, puisque 33 % des organisations le comit daudit ainsi que la direction

www.theiia.org/goto/CBOK15
 Figure 10Dtection de la fraude : responsabilit de laudit interne (selon
la taille du service daudit interne)

80%

64%
61% 60%
60% 58%
54%

40% 37%

29%
27% 26% 25%

20%
14% 13% 12% 12%
9%

0%
13 49 10 49 50 ou plus Moyenne

Entirement ou en Partiellement Pas responsable

grande partie responsable responsable

Note : Q55 : Quelle est la part de responsabilit de laudit interne dans la dtection de fraudes
au sein de votre organisation ? Pour des raisons darrondi, le total peut parfois diffrer de 100%.
n = 10 542.

Figure 11Prvention de la fraude : responsabilit de laudit interne (selon

la taille du service daudit interne)

80%

58% 60%
60% 58% 57%
52%

40%
33%

26% 26%
23% 23%
19%
20% 16% 17% 17%
15%

0%
13 49 10 49 50 ou plus Moyenne

Entirement ou en Partiellement Pas responsable

grande partie responsable responsable

Note : Q56 : Quelle est la part de responsabilit de laudit interne dans la prvention de fraudes
au sein de votre organisation ? Pour des raisons darrondi, le total peut parfois diffrer de 100%.
n = 10 540.
16Faire face au risque de fraude
Figure 12Comment la fraude est-elle initialement dtecte ?

Mthode de dtection En %

Dispositifs dalerte 42%

Revue du management 16%

Audit interne 14%

Autres mthodes (hasard, audit externe, mise en application de la 28%

Loi, etc.)

Source : Report to the Nation on Occupational Fraud and Abuse, Association of Certified Fraud
Examiners (ACFE), 2014. Figure 11. Reproduction autorise.

gnrale. Selon M. Al Faddagh, la ges- nest pas toujours en mesure de crer un

tion du risque de fraude doit tre envisage maximum de valeur pour lorganisation.
comme un processus au sein duquel laudit
Selon Richard Chambers, Prsident et
interne, le management et les fonctions de
CEO de lIIA, les relations entre laudit
deuxime ligne de matrise se partagent les
interne et le reste de lorganisation peuvent
responsabilits. Je pense que laudit interne a
ptir dune telle implication. Lorsque les
une plus grande responsabilit dans la dtec-
auditeurs internes sont largement impliqus
tion que dans la prvention des fraudes. En
dans des enqutes susceptibles dentraner des
labsence dapproche coordonne, le risque
actions disciplinaires lencontre des diri-
de ne pas dtecter une fraude ou de ne pas
geants ou des collaborateurs, il peut ensuite
y rpondre efficacement est plus lev.
leur tre difficile de se voir considrs comme
Conclusion des conseillers stratgiques prts aider
lorsquils remettent leur casquette daudi-
Question 2 : Dans quelle mesure
teurs internes , explique-t-il.4 Quoi quil
les auditeurs internes sont-ils en soit, laudit interne ne devrait pas
responsables de la prvention et perdre de vue le risque de fraude lors-
de la dtection des fraudes ? quil value les risques, rester vigilants aux
La rponse nest pas simple. Elle dpend en signaux dalerte pendant les missions, et se
grande partie de la culture et de la maturit conformer aux rgles de lorganisation et
de lorganisation, ainsi que de la vision/du la lgislation applicable en la matire.
positionnement de laudit interne au sein
de celle-ci. Les organisations plus petites
nont pas toujours la possibilit davoir
des quipes dauditeurs internes et den-
quteurs spares. Nanmoins, lorsque le
service daudit interne se lance intensive-
4
Richard Chambers, The Dangers to Internal
Audit of Donning a Black Hat. Tir de :
ment dans linvestigation de la fraude, il
iaonline.theiia.org, 15 juillet 2014.

www.theiia.org/goto/CBOK17
3 Comptences de laudit interne
face au risque de fraude

L es auditeurs internes sont-ils capables

de faire face au risque de fraude ?
Disposent-ils des comptences nces-
Les auditeurs internes semblent
avoir confiance dans leurs capaci-
ts de gestion du risque de fraude
saires? La prsente section analyse les
Les auditeurs internes semblent confiants
capacits des auditeurs internes en matire
en ce qui concerne la prise en compte du
de gestion du risque de fraude. Elle exa-
risque de fraude dans leurs missions et la
mine comment les auditeurs internes
sensibilisation ce risque, mme si un trs
valuent de telles capacits, quelle pro-
faible pourcentage de rpondants (5 %)
portion dauditeurs internes possdent
ont bnfici dune vritable formation en
une certification dans ce domaine, et dans
matire de fraude et pass la majeure partie
quelle mesure ils sappuient sur lanalyse
de leur temps travailler dans ce domaine
de donnes pour dtecter et prvenir la
(Q11, n = 12 716). Environ 6 rpondants
fraude.
sur 10 sestiment suffisamment confirms

Figure 13Niveaux de comptence en matire de fraude

40%
34%
32%
31%
30% 28% 28%
1-Novice

2-Form

20% 3-Comptent
17%
4-Confirm
13%
5-Expert
10% 8%
7%
4%

0%
Favoriser la sensibilisation Intgrer la dontologie et
au risque de fraude les aspects lis la fraude
dans les missions d'audit

Note : Estimez votre niveau de comptence en utilisant lchelle suivante : 1-Novice ; 2-Form;
3-Comptent ; 4-Confirm ; 5-Expert. Q81 : Thme : Favoriser la sensibilisation au risque de
fraude. (n = 11 090) et Q83 : Thme : Intgrer la dontologie et les aspects lis la fraude dans
les missions daudit (n = 11 204).

18Faire face au risque de fraude

Si la politique ou experts pour intgrer la dontologie et
les aspects lis la fraude dans les missions
Rares sont les auditeurs internes
qui possdent une certification en
en matire de daudit. Par ailleurs, 5 sur 10 ont le mme matire de fraude
fraude ou la charte sentiment en ce qui concerne la sensibili-
Seuls 6 % des auditeurs internes travers
sation au risque de fraude (voir figure 13).
daudit interne le monde (contre 5 % en 2010) possdent
Un tel niveau de confiance peut indi- une certification de spcialiste anti-fraude,
vous confre des quer que les auditeurs internes nont comme la certification CFE (Certified
responsabilits pas conscience de lexpertise ncessaire Fraud Examiner) dlivre par lAssocia-
pour rpondre efficacement au risque de tion of Certified Fraud Examiners (ACFE)
dans linvestigation
fraude. Pourtant, la gestion du risque de (voir figure 14). Cest lAmrique du Nord
de la fraude, vous fraude ne sarrte pas lanalyse du risque (15%), suivie du Moyen Orient (8 %), qui
et laudit des dispositifs de contrle affiche le taux le plus lev de spcialistes
devez pouvoir
existants. Certaines techniques dinves- anti-fraude certifis. Ce taux se situe envi-
embaucher des tigation, dentretien, de recherche de ron 3 % en moyenne dans les autres rgions
spcialistes ou preuves numriques, et autres approches du monde.
spcialises doivent en effet tre acces-
dvelopper les Par ailleurs, ldition 2010 de lenqute
sibles au service daudit interne pour quil
mondiale du CBOK sur la pratique de
comptences en soit en mesure de ragir correctement face
laudit interne indiquait que 11 % des
la fraude. Les auditeurs internes peuvent
interne. Cest une rpondants avaient lintention dobtenir
devenir suffisants et penser quils matrisent
une certification dans ce domaine. Cinq
condition sine qua la problmatique de la fraude alors quils ne
ans aprs, peu dentre eux semblent avoir
comprennent pas toujours les tenants et les
non. aboutissants des programmes anti-fraude et
concrtis ce projet. Ce nest pas tonnant vu
que les auditeurs internes cherchent gnra-
des scnarios de fraude mergents , indique
Lynn Fountain, lement obtenir dautres titres comme celui
Bruce Turner.
auteur de Raise the Red
Flag: An Internal Auditors
Guide to Detect and Figure 14Certification de spcialiste anti-fraude
Prevent Fraud

Amrique du Nord 15%

Moyen-Orient & Afrique du Nord 8%

POUR EN SAVOIR
Europe 4%
PLUS

Lynn Fountain, auteur Afrique subsaharienne 4%

de Raise the Red Flag:
An Internal Auditors Amrique latine & Carabes 3%
Guide to Detect
and Prevent Fraud Asie de l'Est & Pacifique 3%
(Altamonte Springs,
Floride : Fondation de Asie du Sud 2%
la recherche de lIIA,
2015). Moyenne mondiale 6%

0% 5% 10% 15% 20%

Note : Q13 : Quelles certifications professionnelles possdez-vous dans des domaines autres
que laudit interne ? (Plusieurs choix possibles.) Thme : Investigation de la fraude (CFE, par
exemple). n = 12 716.

www.theiia.org/goto/CBOK19
 dauditeur interne certifi (CIA) ou la qua-
lification QIAL (Qualification in Internal
Audit Leadership, qualification pour le
pilotage de laudit interne) avant de viser
des certifications spcialises comme la cer-
tification CFE.
Le rle de laudit interne dans le traite-
ment du risque de fraude et lattitude du
RAI vis--vis des certifications pourraient,
comme le prcise Bruce Turner, expliquer
cet tat de fait. En Australie, les grandes
entits disposent souvent dquipes spcialises
dans linvestigation des fraudes, ce qui vite
laudit interne davoir intervenir dans ce
domaine. Par ailleurs, certains services daudit
interne nont pas de plans de dveloppement
professionnel parce quils ne voient pas lintrt
de promouvoir les certifications cet chelon.
Il sagit l dune vision court terme, qui doit
voluer si lon veut que les services daudit
interne soient pleinement efficaces.
En outre, les rsultats de ltude montrent
que les auditeurs internes attendent pour
cela la seconde partie de leur carrire pour
se lancer dans une certification de spcialiste
anti-fraude. Ainsi, les auditeurs internes
dots dune certification de spcialiste anti-
fraude, dans 75 % des cas, ont au moins un
grade de manager. De mme, ils ont, pour
66 % dentre eux, 40 ans ou plus (Q13,
n = 11 106). Selon toute logique, les audi-
teurs internes cherchent dabord obtenir
le titre de CIA avant de passer dautres
certifications.
La certification de spcialiste anti-fraude
suscite un dbat entre les experts. Selon
Lynn Fountain, labsence de certification
de spcialiste anti-fraude nempche pas de
pouvoir valuer la gestion du risque de fraude
par lorganisation. La connaissance de lorga-
nisation et du secteur est essentielle la bonne
comprhension des scnarios de fraude suscep-
tibles de se produire.
Owen Purcell ne partage pas ce point de
vue: des auditeurs internes non spcialiss
sont-ils capables de constituer un faisceau de
20Faire face au risque de fraude
preuves prsentable devant un tribunal ? . Au
final, les auditeurs internes amens jouer
un rle actif dans la gestion du risque de
fraude devront combiner une certification
de spcialiste anti-fraude, lexprience et
une formation spcialise.
Lanalyse de donnes est souvent
utilise pour identifier les fraudes
potentielles
Lanalyse de donnes est un lment
important des programmes matures de
lutte anti-fraude. Ainsi, environ 50 % des
services daudit interne qui y ont recours
lutilisent, entre autres, pour identifier les
fraudes potentielles. Ce taux atteint 62 %
dans les organisations qui comptent plus
de 100 000 collaborateurs (voir figure
15). Ces rsultats ne sont pas surprenants
tant donn le temps et les ressources
ncessaires ce type danalyse.
Selon une tude de lACFE, lanalyse et
le suivi proactifs des donnes constituent
lune des mesures de lutte anti-fraude les
plus efficaces, avec une rduction de la
dure et des pertes mdianes en cas de
fraude.5 Le suivi des donnes augmente les
chances de dtecter les scnarios de fraude
(collaborateurs ou fournisseurs fictifs, par
exemple), ainsi que les signaux dalerte
(paiements ou factures en double, sch-
mas et tendances inhabituelles, calendrier
des transactions, critures comptables
manuelles, etc.). M. Al Faddagh confirme
lintrt de lanalyse de donnes dans la
lutte contre la fraude. Les services dau-
dit interne doivent crer une base de donnes
intelligente intgrant tous les incidents de
fraude survenus au fil des annes dit-il.
Une telle base de donnes devrait tre acces-
sible, et permettre danalyser les tendances et
de tirer des enseignements prcieux sur les
zones sensibles et les circonstances qui ont
conduit la fraude.
5
Report to the Nation on Occupational Fraud
and Abuse de lAssociation of Certified Fraud
Examiners (ACFE), 2014.
Figure 15Utilisation de lanalyse de donnes pour la dtection des
fraudes potentielles (selon la taille de lorganisation)

Moins de 500 44%

500 1 500 45%

1 501 10 000 51%

10 001 100 000 56%

Plus de 100 000 62%

Moyenne 49%

0% 20% 40% 60% 80%

Note : Q96 : Votre dpartement daudit interne utilise-t-il lextraction ou lanalyse de donnes
pour les activits suivantes ? La Figure 15 montre les rponses obtenues pour lactivit
Identification de fraudes ventuelles . n = 11 101.

Par ailleurs, lanalyse de donnes sera
dautant plus efficace si elle est prise en
charge par la premire ligne de matrise.
Selon Bruce Purcell, les socits peuvent
utiliser lanalyse de donnes dans le cadre de
laudit interne, mais elles doivent galement
y avoir recours dans la gestion de lactivit
afin danalyser les transactions quotidiennes
pour dtecter les fraudes ventuelles. De
nouveaux outils et de nouvelles techniques
apparaissent, qui proposent une analyse en
temps rel plutt quhistorique. Outre la
dtection des fraudes, linscription de
lanalyse de donnes au cur de lactivit
est galement susceptible dentraner des
gains defficacit oprationnelle.
Conclusion
Question 3 : Les auditeurs internes
sont-ils capables de faire face au
risque de fraude ?
Comment les auditeurs internes peuvent-ils
avoir confiance en leur capacit faire face
au risque de fraude lorsque la responsabilit
du risque ne leur incombe gnralement
pas, que peu de temps est consacr la
fraude et que la plupart dentre eux ne
possdent pas les certifications correspon-
dantes ? Il serait logique de conclure que la
plupart des auditeurs internes ne disposent
pas des comptences ncessaires en la
matire. Ils devraient, autrement dit, rece-
voir une formation rgulire sur la fraude
pour avoir une connaissance suffisante des
signaux dalerte et rpondre aux exigences
des Normes.
Du ct des systmes dinformation,
lanalyse de donnes (lorsquelle existe)
est utilise par les auditeurs internes pour
identifier les fraudes et les signaux dalerte.
Certains experts pensent que lactivit
est essentiellement centre sur lanalyse
courante des frais de dplacement et de
reprsentation, moins quun programme
mature de lutte anti-fraude nait t mis en
place (ce qui est plus probable dans certains
secteurs spcifiques ou dans les grandes
organisations). Mme si les rpondants
affirment utiliser lanalyse de donnes pour
la dtection des fraudes, il se peut que cela
reste superficiel.

www.theiia.org/goto/CBOK21
4 Cinq pistes pour amliorer la prise en compte
du risque de fraude par laudit interne
Le risque de
fraude nest pas
Q uels que soient leur ampleur, le
management peut avoir tendance
viter de traiter les problmes de fraude,
correctement voire den parler. La nature de certaines
fraudes (parfois trs enigmatiques ou
gr. Au vu impliquant des personnes des postes
de lutilisation sensibles) peut dtourner lattention des
principaux objectifs et risques opration-
croissance
nels. La fraude peut galement peser sur
des systmes le moral des collaborateurs, les ressources
et la rputation dune organisation.
dinformation,
Cest en ce sens que le risque de fraude
laudit interne doit est plus complexe que dautres risques
intgrer lvaluation oprationnels.
du risque de fraude Limmense majorit des auditeurs internes
dclarent avoir une certaine part de
dans tous les responsabilit dans la dtection et la pr-
missions daudit vention de la fraude (respectivement 88 %
et 84 % ; voir figure 7). Nanmoins, le
des processus. risque de fraude ne reprsente que 4 % de
la plupart des plans daudit interne (voir
Umesh Ashar, figure 5), et seulement 25 % des respon-
responsable de laudit
sables de laudit interne estiment quun tel
interne chez
Tata Motors Limited risque bnficiera dune attention crois-
sante en 2015 (voir figure 6). Et quoique
la grande majorit des auditeurs internes
ne possdent pas de certification de sp-
cialiste anti-fraude (94 %, voir figure 14),
la moiti dentre eux environ se jugent au
moins comptents pour ce qui est de la
sensibilisation au risque de fraude et pour
la prise en compte de ce risque dans les
missions daudit (voir figure 13).
Pour 3 responsables de laudit interne sur
10, le risque de fraude fait partir du Top
5 des principaux risques. On note toute-
fois de fortes diffrences dune rgion
lautre (53 % en Asie du Sud, contre 22%
en Amrique du Nord ; voir figure 2).
22Faire face au risque de fraude
Les rsultats indiquent galement que les
auditeurs internes sont davantage centrs
sur le risque de fraude dans les socits
prives que dans dautres types dorgani-
sations (voir figure 3). Enfin, les rsultats
de lenqute montrent que le risque de
fraude apparait plus frquemment dans le
Top 5 de laudit interne que dans les prio-
rits perues de la direction gnrale (voir
figure 2).
Si la fraude ne constitue pas la prio-
rit de laudit interne, lorsquune fraude
importante se produit au sein de lorga-
nisation, le management et laudit interne
recentrent souvent leur attention et leur
nergie sur le risque de fraude. Ce qui
pose un dilemme aux responsables de lau-
dit interne : en effet, comment planifier
ce genre de situations ? Les RAI devraient
sassurer en amont que le rle de laudit
interne est clairement compris par len-
semble des parties prenantes. Faute de
quoi, lefficacit et la valeur du service
daudit interne risquent dtre mises en
cause. Autrement dit, les responsables de
laudit interne doivent se montrer proactifs
dans la clarification de leur contribution
la gestion du risque de fraude et adopter
une approche fonde sur le risque.
Cinq pistes de progrs
Les conclusions gnrales de ldition 2015
du CBOK et la prsente tude doivent se
traduire en actions concrtes pour les RAI
et les services daudit interne. Les cinq
recommandations ci-aprs peuvent aider
laudit interne mieux contribuer la ges-
tion du risque de fraude, quel que soit le
type dorganisation.
1. Dfinir le rle de laudit interne
en matire de fraude
Comment sinscrit le rle de laudit
interne dans le dispositif de lutte contre la
fraude de lorganisation ? Le cas chant,
quelles activits le service daudit interne
doit-il entreprendre pour prvenir et
dtecter la fraude ? Quelle sera sa par-
ticipation aux investigations ? Les RAI
doivent comprendre les attentes des par-
ties prenantes et les exigences des Normes
pour pouvoir positionner leur service et
formaliser leur rle dans la charte dau-
dit interne et la politique anti-fraude de
lorganisation.
La conduite dinvestigations ou dactions
prventives contre la fraude tant consid-
re comme un levier de cration de valeur
pour laudit interne par seulement 29 %
des rpondants, Les RAI auront tendance
laisser autant que possible la premire
ligne de matrise (management opration-
nel) ou la deuxime (fonctions de gestion
des risques et de conformit) endosser la
responsabilit de la dtection et de la pr-
vention des fraudes. Selon Owen Purcell,
les auditeurs internes devraient sattacher
ce que la responsabilit de la lutte contre la
fraude soit intgre dans les mtiers. Laudit
interne peut jouer un rle dans la sensibili-
sation au risque de fraude et sassurer que le
dispositif fonctionne correctement et que la
premire ou la deuxime ligne de matrise
jouent bien leur rle ; il ne devrait en aucun
cas se substituer ces dernires. Toutefois,
dans les organisations prives non ctes
ou dans les rgions qui accordent une
grande importance la fraude, il peut
tre ncessaire daccrotre limplication
du service daudit interne dans la gestion
du risque de fraude tout en cherchant
optimiser la valeur du dispositif de lutte
contre la fraude de lorganisation.
2. Sensibiliser le management au
risque de fraude
Parce que les auditeurs internes semblent
avoir confiance dans leur capacit renfor-
cer la sensibilisation au risque de fraude, il
parat logique de capitaliser sur ces com-
ptences. Cela passe par la promotion du
modle des trois lignes de matrise et la
sensibilisation de lensemble de lorganisa-
tion au risque de fraude, aux Normes et au
rle de laudit interne. Il peut tre nces-
saire de grer le dcalage entre les attentes,
explique Lynn Fountain : Respecter les
Normes tout en rpondant aux attentes du
management reprsente un dfi de taille. Les
RAI doivent rgulirement communiquer
sur le rle de laudit interne en matire de
fraude aussi bien auprs du comit daudit
que du management.
3. Faire preuve de proactivit dans
la gestion du risque de fraude
Inutile dattendre quune fraude se pro-
duise, il faut faire preuve de proactivit !
Une recommandation: capitaliser sur les
dispositifs dalerte, les contrles raliss
par le management, les protocoles dinves-
tigation et les programmes de lutte contre
la corruption de laudit interne. Laudit
interne peut galement faciliter lvalua-
tion du risque de fraude, augmenter la
frquence des missions sur les processus
comportant des risques levs de fraude,
plaider en faveur dun dispositif de
recherche de preuves numriques, etc. Il
est ncessaire de sentendre avec le comit
daudit sur les missions susceptibles de
crer le plus de valeur pour lorganisa-
tion. Selon les recommandations de Bruce
Turner, les auditeurs internes doivent
sattacher accompagner raisonnablement
lvaluation du risque de fraude, parce quils
peuvent tre source dans ce domaine dune
www.theiia.org/goto/CBOK23
Linvestigation de valeur considrable en favorisant des tac-
tiques permettant de minimiser le risque
la fraude ncessite de fraude majeure. Comme les Normes
de disposer des exigent que lauditeur interne value la
possibilit de fraude, faciliter lvaluation
comptences du risque de fraude constitue un pas dci-
ncessaires pour sif dans ce sens.
tre efficace. 4. Dvelopper une base de don-
nes des retours dexpriences
Owen Purcell,
EY lead partner for the En cas de fraude, il est ncessaire, entre
EMEIA Risk Centre of autres choses, de remdier toute dfi-
Excellence (Europe, cience ventuelle dans les dispositifs de
Moyen Orient, Inde, Asie), contrle. Do lide dune base de don-
Royaume-Uni nes recensant les erreurs, les circonstances
ayant conduit la fraude, le scnario de
cette fraude, la faon dont celle-ci a t
dcouverte, lendroit o elle a eu lieu et
ses consquences. Ce serait un excellent
outil de sensibilisation de lquipe daudit
interne et de la direction gnrale. Sur la
base de ces donnes historiques, la pro-
babilit et limpact de certains scnarios
24Faire face au risque de fraude
pourraient tre dtermins selon les sites.
La priorisation des missions daudit en
serait facilit de mme que les discussions
sur le niveau dacceptation des risques.
5.
Recourir aux comptences
requises
Il convient de sassurer que lquipe
possde les comptences requises pour
soutenir la prvention et la dtection de
la fraude. Cela passe par le recrutement,
la formation ou la sous-traitance. Lquipe
doit tre capable dvaluer le risque de
fraude et tre vigilants aux signaux dalerte
ce qui ncessite de lexprience et de la
maturit. Elle doit galement tre forme
lutilisation frauduleuse des systmes
dinformation. Il peut tre souhaitable
dembaucher des auditeurs internes sp-
cialiss dans laudit ou linvestigation des
fraudes, ou de recourir prestataire ext-
rieur qui a ces comptences.
Annexe A :
Synthse des rsultats
Section 1 : Attention accorde au risque de fraude lchelle mondiale

premire vue, le risque de fraude ne semble pas faire partie des priorits de
la direction gnrale ou des services daudit interne. Nanmoins, du point de
vue de laudit interne, ce risque bnficie dune plus grande attention.
Lattention porte au risque de fraude par la direction gnrale comme par
laudit interne est plus leve dans les organisations prives que dans les autres
(socits cotes, administrations, organisations but non lucratif, etc.).
Si la plupart des rpondants estiment tre partiellement responsables de la
dtection et de la prvention de la fraude, les RAI ne considrent pas les
investigations ou les actions prventives comme une activit forte valeur
ajoute.
Le risque de fraude ne reprsente quune petite proportion des plans daudit
interne, et peu de RAI considrent que lattention porte au risque de fraude
augmentera en 2015 par rapport 2014.
Les RAI cherchent embaucher des auditeurs internes dots de comptences
en audit de la fraude ou en enqutes et investigations. Nanmoins, de
telles comptences ne figurent pas dans le Top 5 des comptences les plus
recherches.

Section 2 : Responsabilit de laudit interne en matire de prvention et

de dtection des fraudes

La gestion du risque de fraude suppose une coordination des efforts entre

les trois lignes de matrise, la plupart des auditeurs internes participant de
tels efforts.
En Asie du Sud, au Moyen-Orient et en Afrique du Nord, ainsi quen
Amrique latine et dans les Carabes, une proportion plus forte dauditeurs
internes estiment tre entirement ou en grande partie responsables de la
prvention et de la dtection des fraudes.
Dans les organisations prives et dans celles o le service daudit interne
compte plus dune cinquantaine dauditeurs internes, la prvention et la
dtection des fraudes suscitent plus dattention.

www.theiia.org/goto/CBOK25
 Section 3 : Comptences de laudit interne face au risque de fraude

Les auditeurs internes semblent confiants dans leur capacit prendre en

compte le risque de fraude dans les missions et renforcer la sensibilisation
ce risque, mme si une toute petite portion dentre eux seulement consacrent
la majeure partie de leur temps de travail la fraude.
Rares sont les auditeurs internes possder une certification de spcialiste
anti-fraude. Et lorsque cest le cas, celle-ci intervient plutt en deuxime
partie de carrire.
Enfin, lanalyse de donnes est surtout utilise par les services daudit interne
pour identifier les scnarios possibles de fraude.

Section 4 : Cinq pistes pour amliorer la gestion par laudit interne du

risque de fraude

1. Dfinir le rle de laudit interne en matire de fraude

Recommandation : Partir des attentes des parties prenantes et des Normes pour dfinir
le rle de laudit interne en matire de lutte contre la fraude ; formaliser cette infor-
mation dans la charte daudit interne et la politique anti-fraude de lorganisation.

2. Sensibiliser le management au risque de fraude

Recommandation : sensibiliser lensemble de lorganisation au risque de fraude, aux

Normes et au rle de laudit interne.

3. Faire preuve de proactivit dans la gestion du risque de fraude

Recommandation : Etre proactif, auditer les mesures anti-corruption mises en uvre

au sein de lorganisation, les domaines o le risque de fraude est lev ; se mettre
daccord avec le comit daudit sur les missions susceptibles de crer le plus de valeur
pour lorganisation.

4. Dvelopper une base de donnes des retours dexprience

Recommandation : crer une base de donnes recensant les circonstances des cas de
fraude avre au sein de lorganisation et sappuyer sur cette base de donnes pour
prioriser les futures missions daudit.

5. Offrir un accs aux comptences requises

Recommandation : veiller ce que lquipe daudit interne possde les comptences

requises, notamment en matire de systme dinformation ; recruter, former ou
sous-traiter si ncessaire.

26Faire face au risque de fraude

 propos de lauteur

F arah G. Araj, (CIA, CPA, CFE, QIAL) est un directeur de laudit interne dot de
plus de 15 ans dexprience professionnelle en tant que consultant auprs des Big
Four et en tant que RAI. Il a galement t membre indpendant de comits daudit.
Membre actif de lIIA aux mirats arabes unis, il a contribu aux recherches et publica-
tions de cette association. Enfin, il a t chef de projet pour ldition 2015 de lenqute
mondiale du CBOK sur la pratique de laudit interne aux mirats arabes unis.

quipe du projet
quipe de dveloppement du CBOK

Co-prsidents du CBOK : Analyste principal des donnes : Po-ju Chen

Dick Anderson (tats-Unis) Dveloppeur de contenu : Deborah Poulalion
Jean Coroller (France) Gestionnaires du projet : Selma Kuurstra and
Prsident du sous-comit charg de Kayla Manning
lenqute sur les pratiques de laudit Rdactrice en chef : Lee Ann Campbell
interne :
Michael Parkinson (Australie)
Vice-prsidente de lIIARF : Bonnie Ulmer

Comit de revue du rapport

Sezer Bozkus (Turquie) Michael Parkinson (Australie)

John Brackett (tats-Unis) Beatriz Sanz-Redrado (Belgique)
John McLaughlin (tats-Unis) Maritza Villanueva (Salvador)

Remerciements

Lauteur souhaite remercier lensemble des responsables de laudit interne qui ont pris le temps
danalyser les rsultats de lenqute et de lui accorder un entretien(y compris ceux ayant parti-
cip titre anonyme). Lauteur est tout particulirement reconnaissant Khalid Al Faddagh,
Umesh Ashar, Jorge Badillo, Lynn Fountain, Owen Purcell et Bruce Turner pour leur analyse
et leurs commentaires clairs sur les rsultats cls de ltude.

www.theiia.org/goto/CBOK27
 propos de la Fondation de la recherche de lIIA

Le CBOK est gr par la Fondation de la recherche de lIIA (IIARF), qui ralise depuis
Vos dons 40 ans des tudes novatrices sur la profession daudit interne. travers diffrents projets
ont un dexploration des problmatiques actuelles, des nouvelles tendances et des besoins futurs,
lIIARF na cess de jouer un rle moteur pour lvolution et le dveloppement de la
impact profession.
Les rapports
du CBOK sont
Limite de responsabilit
disponibles
gratuitement en LIIARF publie ce document titre informatif et pdagogique uniquement. La Fondation
libre accs grce
la gnreuse
ne fournit aucun service juridique ou de conseil, et ne garantit, par la publication de ce
contribution document, aucun rsultat juridique ou comptable. En cas de problmes juridiques ou
d'individus et comptables, il convient de recourir lassistance de professionnels.
d'organisations,
mais galement
Contacts
de chapitres et
d'instituts de l'IIA du The Institute of Internal Auditors (sige mondial)
monde entier. 247 Maitland Avenue
Altamonte Springs, Floride 32701-4201, tats-Unis
Faire
un don Copyright 2015 par la Fondation de la recherche de lInstitute of Internal Auditors
www.theiia.org/ (Institute of Internal Auditors Research Foundation, IIARF). Tous droits rservs. Pour toute
goto/CBOK autorisation de reproduction ou de citation, prire de contacter lInstitute of Internal Auditors
(research@theiia.org) ou lIFACI (recherche@ifaci.com). ID # 2015-1480