Dans le cadre des Jeudis du risque, nous avons interviewé Nicolas Taillandier, un expert dans la lutte contre la fraude en entreprise. Nous faisons le point avec lui sur le risque fraude et sur les moyens de lutter efficacement contre ces risques.
Portail de l’IE (P.IE) : Quelle est votre vision de la gestion des risques ?
Nicolas Taillandier (N.T.) : En France, nous avons un manque de culture du risque assez important. C’est un vide qu’il faut combler.
Au sein des entreprises, il y a un défaut de réflexion stratégique sur cette thématique. En effet, le risque est perçu comme un événement rare, certes e xtrêmement préjudiciable, mais vécu comme une fatalité. L’investissement dans une politique de prévention de risques ne semble ni pertinent ni économiquement justifiable.
P.IE : Comment gérez-vous les risques ?
N.T. : J’ai passé une grande partie de ma carrière sur les sujets de fraudes au sein de la direction sécurité d’un opérateur téléphonique. Cette entreprise avait une véritable culture du risque et engageait les moyens nécessaires à la sécurité de son action.
J’ai créé en 2001 l’un des premiers dispositifs d’alerte professionnelle, en charge de gérer les malveillances notamment internes.
P. IE : Comment avez-vous mis en place ce service ?
N.T. : Les services de surveillance internes sont souvent assimilés à des outils de délation au sein des entreprises. Culturellement, les employés refusent de relayer leur action au sein de leurs secteurs ce qui freine considérablement leur action.
Dans l’idéal, et pour être efficace le dispositif anti-fraude devrait être autonome et externe à l’entité.
Pour que le dispositif soit efficace, le positionnement doit être suffisant dans l’entreprise afin d’être légitime pour récolter l’information utile à tout moment et à chaque niveau de la société.
Pour autant, l’organisation doit être visible et nécessite une équipe pluri-disciplinaires dédiée. Tous les processus de l’entreprise doivent être étudiés attentivement pour établir une cartographie du risque de fraude : l’organisation, le contrôle interne, la gestion des cadeaux d’affaires, le processus achats, la comptabilité, les gestes commerciaux et la sécurité informatique.
P.IE : Et légalement, comment l’organisation de ce service a-t-il été rendu possible ?
N.T. : Il faut un cadre juridique et social dans l’entreprise pour asseoir la légitimité en interne. Concrètement, la charte doit être intégrée en amont dans le règlement intérieur pour lui donner une valeur juridique supplémentaire.
Il faut également communiquer auprès de la direction sur l’activité de lutte contre la fraude. Pour cela il est utile de faire un état des lieux régulier : informer sur le process et sur les pertes subies et évitées grâce à nos investigations.
Enfin, pour justifier l’existence d’un tel service : il faut être le plus transparent possible en mettant en place une procédure d’alerte claire et connue de tous afin que chaque collaborateur puisse se l’approprier et en devenir acteur si besoin.
Il faut également faire un important travail social en amont : une discussion avec les représentants du personnel est indispensable pour l’acceptation de la démarche en interne.
P.IE : Justement, cette police anti-fraude d’entreprise n’a-t-elle pas été limitée par les collaborateurs eux-mêmes ?
N.T. : Quand on touche au collaborateur, on touche à l’humain. L’action ne sera ni efficace, ni pertinente, ni acceptable par les collaborateurs si on ne s’entoure pas de précautions.
Le choix de la terminologie a par exemple été très important : elle doit être la plus neutre possible. Par exemple, on ne parlait pas d’enquête mais d’analyse et le service n’était pas nommé « service fraude interne » mais « gestion des incidents ». Ces choix terminologiques participent à une mise en œuvre de nos investigations dans ces conditions optimales car le processus n’était pas brutal.
Par ailleurs, pour rendre l’action légitime, la saisine du service anti-fraude ne doit pas être une saisine opportuniste permettant de se séparer d’un collaborateur. Elle doit être faite selon une procédure stricte : proportionnelle au but recherché conformément au règles du droit du travail en matière de respect de la vie privée des collaborateurs.
P.IE : Concrètement comment une enquête anti-fraude est mise en place ?
N.T. : Dès réception de la demande d’un service, il est nécessaire de juger de l’opportunité de la demande et de la légalité de la demande.
Il faut, a minima, des suspicions circonstanciées pour justifier l’engagement d’une analyse et une malveillance avérée ou suspectée à l’encontre de l’entreprise ou d’un collaborateur commis à l’occasion de ses fonctions.
Il faut également que l’analyse soit faisable techniquement, c’est-à-dire s’il est possible de récolter des éléments justificatifs d’une fraude tout en respectant et les règles internes que nous nous sommes fixées et les dispositions CNIL et droit du travail en matière de discipline et de cybersurveillance des salariés.
L’investigation ayant pour but de faire cesser la fraude consiste d’abord à identifier la fraude : ses causes, ses impacts et ses auteurs. Mais il ne s’agit pas seulement de détection et de traitement de la fraude : il faut s’inscrire dans une démarche d’amélioration continue.
Une fois les affaires analysées et les vulnérabilités révélées, il faut parvenir à améliorer les processus internes : management, procédures de contrôle interne, politique des mots des passe, gestion des habilitations.
Une fois l’investigation réalisée, nous constituions un dossier de preuves à destination du parquet qui se chargeait d’instruire l’enquête. Nous n’avions qu’une mission d’investigation, le but n’était pas de sanctionner mais de collecter les preuves « à charge et à décharge » d’une fraude, d’en identifier les auteurs et les impacts. Ces éléments étaient ensuite mis à la disposition des Ressources Humaines pour les sanctions disciplinaires si elles s’avéraient être nécessaires.
P.IE Quel bilan faites-vous de cette expérience ?
N.T. : En 10 ans, mon équipe s’est occupée de 1800 affaires de fraudes internes allant du voleur de PC à la criminalité organisée au sein de l’entreprise. Au total, 80% des fraudeurs sont des « fraudeurs d’occasion » accusés d’abus de confiance ou d’escroqueries. Ce sont également 200 plaintes pénales qui ont été déposées.
Du fait de cette gestion claire, transparente et éthique, menée dans le respect des collaborateurs, les méthodes employées dans ce domaine par l’entreprise n’ont jamais été remises en question.
L’intérêt n’était pas seulement de traiter au cas par cas la fraude au sein de l’entreprise, mais d’avoir véritablement une méthode de gestion du risque fraude afin de l’anticiper efficacement en capitalisant sur les incidents avérés et en s’inscrivant ainsi dans une démarche permanente d’amélioration continue de notre maitrise du risque.
Propos recueilli par Guillaume Dartinet et Jehna Levine