Les entreprises confrontées à un problème de fraude, ou à un soupçon de fraude et devant mener une enquête interne, sont parfois démunies quant au traitement à appliquer aux faits soupçonnés, ou purement et simplement avérés.
Si les très grandes entreprises sont souvent armées face à ces problématiques grâce à l’action de directions de la sûreté, de directions des risques ou assimilées, dans les entreprises ne bénéficiant pas de ces appuis internes, quelles sont les voies ouvertes pour instruire un sujet de potentielle fraude ou pour réaliser une « levée de doute » ?
La question est ici posée hors les problématiques essentielles liées au droit social et aux questions de harcèlement quelle qu’en soit la nature.
Ces derniers sujets, très encadrés, où les marges de manœuvre sont — en principe — très restreintes, échappent techniquement à mes compétences et sont par ailleurs largement abordées et commentées.
Reste donc les autres cas de figure, hors questions purement RH, qui sont légion : détournement de fonds, utilisation indue des actifs de l’entreprise, manipulation de l’information financière, abus liés aux notes de frais… La liste n’est pas exhaustive, mais le champ des possibles en la matière est pour le moins étendu, de même que le nombre d’entreprises potentiellement touchées.
Mon expérience professionnelle m’a conduit à traiter différents cas de figure, sur des affaires parfois retentissantes, parfois d’une discrétion absolue.
Dossiers pour lesquels l’unique question posée était la suivante : que peut-on démontrer sans enfreindre la moindre réglementation, entre autres sur la confidentialité des données ou le secret de la correspondance privée ?
L’entreprise n’est en effet pas dotée de pouvoirs très étendus en matière d’investigation, c’est un euphémisme. Et là n’est de toutes façons pas son objet.
Alors, l’entreprise victime d’une fraude, patente ou présumée, est-elle condamnée à la cécité, ou dispose-t-elle de moyens — légaux — à sa disposition pour mettre en évidence, ou démontrer, un phénomène frauduleux, ou au contraire s’assurer du contraire, avant de demander l’assistance de professionnels externes ?
En fait, l’entreprise dispose, parfois sans en être pleinement consciente, de moyens légaux et tout à fait exploitables pour résoudre, ou à tout le moins commencer à traiter, ce type de cas de figure. Nulle martingale ou formule magique, pas de secret de grand-mère ni de raccourci clavier qui permettrait de se transformer en Sherlock Holmes.
Pas d’intelligence artificielle non plus, enfin, pas nécessairement, et pas dans cet article.
Il s’agit tout simplement des systèmes d’information de l’entreprise, de tous ses systèmes d’information, qui recèlent une quantité d’informations exploitables pour qui souhaite s’y intéresser.
Il est ici souvent question de données comptables, mais également de données de production, de caisses enregistreuses, de boîtes mail professionnelles, de systèmes de ventes ou d’achat. Bref, de toute source de données pouvant être prudemment et légalement explorée, et pouvant avoir une utilité pour l’objectif que l’on s’est fixé : y voir clair sur une situation obscure donnée.
Il suffit pour cela de s’y intéresser, de ne pas avoir peur de manipuler des données, et de faire preuve de recul et d’humilité face aux informations collectées.
Les cas de figure ici abordés — de façon anonyme et nécessairement simplifiée — visent à démontrer que l’utilisation de données « de base » permet souvent et assez facilement de mettre en évidence des schémas frauduleux, dans un cadre légal, avant de pouvoir transmettre le fruit de ses trouvailles aux autorités compétentes : régulateurs, autorités administratives ou judiciaires.
Et c’est d’ailleurs la plupart du temps ce que ceux qui ont mandaté les travaux que j’ai pu réaliser ont fait : transmettre à des autorités ordinales, administratives ou judiciaires, ou plus simplement encore aux conseils des groupes concernés.
Sont présentées ci-après différentes illustrations de ce qu’il est possible de faire sans engager de moyens significatifs, mais en utilisant à des fins d’analyse les éléments nativement à la disposition de l’entreprise.
Bien évidemment, ces exemples ne sont pas nécessairement reproductibles, ni même nécessairement fréquents, mais ils peuvent, dans l’esprit, aider à orienter les modalités d’instruction d’une fraude dans une entreprise qui ne disposerait pas de moyens spécifiques dédiés à l’analyse de situations « atypiques ».
Les données de caisse : une entreprise de distribution grand public avait le sentiment diffus, à l’appui de dénonciations anonymes, qu’elle était littéralement pillée de l’intérieur. En première approche, une analyse des caisses enregistreuses, en l’absence de plus amples informations, paraissait pertinente. Et de cette analyse — simple — des faits troublants : de nombreux mouvements décrémentaient le chiffre d’affaires, et donc la trésorerie. Renseignements pris, il se serait agi de « retours » de clients qui jugeaient la qualité des produits vendus insuffisante. Sauf que ces « retours » intervenaient en séquence et en nombre.
Mais surtout, il s’agissait de denrées alimentaires éminemment périssables. Et transposé à une réalité pratique, cela signifiait par exemple que des clients auraient acheté des croissants, puis seraient venus se les faire rembourser. Par dizaines, sur plusieurs jours ou semaines.
Assez peu vraisemblable, mais coûteux : stocks décrémentés, puis trésorerie corrélativement immédiatement dégradée.
Une fois ce schéma mis en évidence, il suffisait d’en identifier d’autres. Et il n’en manquait pas…
L’enseignement de ce premier cas de figure est assez simple : la cause est facile à identifier, le contrôle interne, en l’occurrence, à parfaire. Mais surtout l’absence totale de dissimulation des fraudeurs qui, ayant identifié une faille de contrôle interne, l’ont exploitée au maximum, sans même chercher à dissimuler leur identité ou leur identifiant sur la caisse enregistreuse.
Les données de production : un cas de figure où les dirigeants d’une entreprise de production de produits de luxe, longs à produire, nourrissent quelques doutes sur le niveau de ventes revendiqué par un collaborateur.
L’enjeu est important : les dirigeants ne peuvent se permettre de communiquer sur un chiffre d’affaires artificiellement créé. Là encore, le recours à la comparaison des données de production et des données de chiffre d’affaires revendiqué permet, assez simplement, de mettre en évidence une impossibilité matérielle — et donc un chiffre d’affaires un peu trop optimiste.
Dans cet exemple, l’excès de confiance du collaborateur associé à une certaine permissivité des systèmes internes a permis d’enjoliver la réalité, sans grande finesse toutefois.
Et pour faire simple, la comparaison des deux sources de données a pu être corroborée de façon beaucoup plus formelle, une fois l’analyse sur base de collecte d’informations effectuée.
Les messageries électroniques : éléments évidemment sensibles, à manier avec d’infinies précautions. La recherche dans les boites mails de messages réputés strictement professionnels[1], dans le respect d’un protocole strict conforme au RGPD[2], et d’extraction des messages parfaitement traçables, peut permettre dans nombre de cas de figure de comprendre des phénomènes considérés comme a priori anormaux.
Ce type d’analyse ne permet pas nécessairement de comprendre tous les éléments d’une situation donnée, mais peut fournir un éclairage particulièrement utile. À titre d’illustration, comprendre les différentes étapes, traduites dans des messages ayant conduit à la rédaction d’un contrat préjudiciable à l’entreprise, peut s’avérer particulièrement intéressant.
Les notes de frais : « tarte à la crème », va-t-on me dire ? Sans doute, mais à l’heure où la dématérialisation gagne du terrain et où les contrôles sur ces objets particuliers que sont les notes de frais deviennent de plus en plus mécaniques, sans intervention humaine trop appuyée, et où certains collaborateurs ont bien identifié cette faiblesse, une analyse un peu approfondie et critique de leur contenu permet, contre toute attente, d’obtenir des résultats étonnants : frais n’ayant aucun rapport avec des frais professionnels, fractionnement de dépenses, multiples illégitimes de dépenses, achats réalisés hors budget, par moyens détournés peuvent -entre autres – apparaître de façon éclatante.
Les données des systèmes d’achat : pour finir, l’exemple probablement le plus courant et surtout le plus parlant consiste en l’analyse de données d’achats, particulièrement dans des ERP où les données sont riches. Ainsi, comprendre qui a commandé, si une commande existe, rapprocher les achats à un fournisseur et à un commanditaire, vérifier si les factures sont conformes aux commandes. Si un fournisseur ne connaît qu’un commanditaire, si les volumes d’achats sont identiques d’une entité à une autre, d’une personne à une autre, d’une période à une autre, ce sont autant d’axes d’analyse parmi une infinité d’autres qui permettent de mettre en évidence des schémas potentiellement frauduleux, ou de comprendre des phénomènes inexpliqués, assez simplement.
Ces quelques lignes pour comprendre que diligenter une enquête, ou un début d’enquête, ne nécessite pas de budgets colossaux, ni de démarches particulièrement complexes. Utiliser le matériau à disposition est parfois le moyen le plus évident, le plus direct, mais auquel on ne pense pas immédiatement.
Et si la possibilité d’exploiter telle ou telle donnée est offerte, alors la mise en œuvre de moyens plus importants sur un problème bien cerné devient pertinente. L’effort se portera alors sur des questions précisément identifiées, et feront sans nul doute gagner un temps précieux à ceux à qui elles seront confiées.
