Citizen Can

Français

La gestion des comptes bancaires face au risque de fraude

Combien d'entreprises connaissent réellement le nombre de comptes bancaires ouverts en leur nom ? Et parmi ces derniers, quels sont ceux qui disposent de pouvoirs à jour ? Ces deux questions simples sont-elles réellement incongrues ?

La multiplication des fraudes au président et les alertes de cybersécurité ont permis de faire prendre conscience aux financiers d'entreprise que le risque de fraude était élevé. En réaction, le contrôle interne a été renforcé et les salariés sont devenus plus vigilants. Cependant, si la diligence est maintenant blindée, a-t-on seulement pensé à voir ce qu'il en était du conducteur ?

Le cas des comptes bancaires non référencés est rencontré dans la plupart des investigations, en France comme à l'étranger.

Les mobiles sont variés. Certaines filiales peuvent être amenées à constituer des réserves, en dehors du champ de vision de leur maison mère, surtout si un système de cash pooling a été mis en place. Le deuxième mobile s'inscrit dans une démarche de fraude : le compte bancaire occulte est utilisé pour détourner des créances clients ou des remboursements de TVA. C'est plus compliqué à mettre en oeuvre, mais c'est également fréquent. Le dernier cas est celui du dirigeant qui met en place un compte bancaire pour réaliser des dépenses professionnelles : cadeaux à des clients, paiements de biens ou de prestations, ou même dépenses personnelles comme des vacances pour sa famille. Dans ce schéma, le mobile peut aussi être d'accroître artificiellement la marge, les achats étant réalisés hors de la comptabilité officielle de l'entreprise. Tous ces cas de figure peuvent bien sûr s'entremêler.

Plusieurs méthodes existent pour détecter les comptes bancaires non référencés. La première consiste à réconcilier tous les mouvements entre comptes de filiale ; c'est long et on n'obtient pas toujours des résultats, car les meilleurs fraudeurs sont ceux qui isolent complètement les comptes occultes des comptes officiels. La seconde méthode donne de meilleurs résultats. Elle consiste à réaliser régulièrement des inventaires croisés des comptes bancaires : le groupe demande chaque année aux équipes centrales des banques la liste des comptes détenus au nom de ses filiales. Cet inventaire est comparé avec celui fourni par les filiales elles-mêmes.

Lors d'une mission post-fraude, des banques nous ont donné une liste de 120 comptes, les filiales une liste de 110 : le nombre total de comptes bancaires avoisinait 150, les deux listes ne se recouvrant pas complètement. Une autre approche, complémentaire, consiste à se rendre régulièrement dans les filiales et de prendre le temps d'échanger avec les trésoriers, les comptables, les aides comptables. Ils ont toujours connaissance de faits, qui n'apparaissent pas comme anormaux dans un premier temps, mais dont l'examen se révèle finalement très utile. Organiser régulièrement des rencontres entre le contrôleur interne du groupe et celui de la banque permet également de réduire le risque de comptes échappant à tout contrôle.


La même personne morale


En théorie, il est relativement facile de prendre le contrôle sur ces comptes non officiels, dans la mesure où le compte est ouvert au nom de la même personne morale que celle des comptes officiels. Dans certains cas, les comptes sont même des sous-comptes des comptes officiels. En pratique, cela peut être assez compliqué. Dans un dossier, nous avions détecté plusieurs comptes occultes qui disposaient de deux signataires : l'ancien président et l'ancien directeur financier, tous deux remerciés quelques semaines avant notre intervention. Rien n'y a fait : la banque a considéré qu'il était de la responsabilité de l'ancien président de procéder aux changements de signataire. L'enjeu financier était limité, dans la mesure où ces comptes avaient été vidés de leur contenu à la suite du licenciement des deux dirigeants, mais une créance client était sur le point d'être payée, conformément au contrat signé quelques années auparavant...

Il faut s'attendre à faire face à un cas de collusion entre le management de l'entité locale et la banque. Lors d'une mission à l'étranger, nous avons identifié un compte non officiel ouvert au nom de l'entité légale. Toutes nos démarches auprès de la succursale bancaire ont échoué, parce que le directeur général adjoint (DGA) de la filiale disposait de sociétés dont les encours bancaires étaient relativement élevés. La banque a bloqué toutes nos demandes : la réglementation locale exigeait que le principal signataire fût ressortissant du pays ; le mandat dont nous disposions, signé par le président du groupe, fut sans effet, seul le DGA, principal signataire, étant ressortissant du pays. Les cas de collusion sont donc difficiles à traiter, sauf lorsque des relations sont nouées avec les équipes «conformité» des banques, bien en amont de l'apparition des fraudes.

Pouvoirs flous ou obsolètes


Les pouvoirs sont souvent trop larges et obsolètes. Il n'est pas rare de constater qu'un président ayant quitté ses fonctions plusieurs années auparavant est toujours signataire, la demande de mise à jour n'ayant pas été faite ou, plus rarement, pas prise en compte par la banque.

Il convient par ailleurs de porter une attention particulière aux signataires logés au sein des centres de services partagés (CSP). Les comptables qui y opèrent sont souvent signataires des paiements. Le turn-over de cette population étant assez élevé, il est n'est pas rare de voir les identifiants et mots de passe de connexion à l'outil de e-banking d'employés démissionnaires passés aux nouveaux entrants le temps de la mise à jour des pouvoirs bancaires.

Le problème est d'autant plus aigu que ces CSP sont localisés aux quatre coins du monde (Inde, Mexique, Philippines, Europe centrale, etc.), ce qui rend un contrôle strict plus difficile à mettre en oeuvre.
Concernant le périmètre des pouvoirs, des anomalies sont régulièrement constatées, surtout dans les entreprises ayant mis en place une centrale de paiement. Elles omettent bien souvent de limiter les pouvoirs bancaires des utilisateurs. Prenons l'exemple d'un trésorier dont les pouvoirs bancaires ne sont pas restrictifs : il est en mesure de demander pour lui un accès à l'internet bancaire fourni par la banque. Il peut donc réaliser des paiements en dehors de la centrale de paiement et sans double niveau de validation. Autre cas de figure : les pouvoirs bancaires n'interdisent pas toujours aux signataires de commander des moyens de paiement : chéquiers et cartes de paiement par exemple.

Nous recommandons donc de limiter les pouvoirs bancaires au strict minimum en considérant les axes suivants : commande de chéquier, commande de carte de paiement, demande d'accès à l'internet bancaire, possibilité d'ajouter un signataire, possibilité de demander une garantie bancaire, possibilité de réaliser une demande de virement par fax, possibilité de retirer des espèces, paiement selon le principe des quatre yeux...

Inventorier les garanties bancaires


Les garanties bancaires représentent un autre risque de mauvaise gestion, voire de fraude. Elles sont régulièrement exigées par des clients, des partenaires ou les Douanes. Les pratiques diffèrent selon les entreprises. Soit la garantie est gérée par la filiale localement, soit elle est centralisée, le plus souvent par la trésorerie. Dans tous les cas, il convient de mettre à jour un inventaire des garanties en cours, les frais annuels pouvant représenter des montants élevés tant que la garantie n'est pas levée. Il est fréquent de constater que des personnes ne disposant d'aucun pouvoir bancaire engagent la responsabilité de leur entreprise en demandant des garanties auprès des banques. Le risque est qu'ils exercent ensuite la garantie, puis, qu'ils la fassent suivre d'un transfert de fonds sur un compte personnel.

Traquer les espèces


Les mouvements d'espèces sur les comptes bancaires permettent de soulever des soupçons. Le code monétaire et financier interdit le paiement en espèces pour certaines créances. Pour prévenir tout risque de blanchiment de fonds, il est recommandé de suivre tout mouvement d'espèces sur les comptes bancaires, retraits ou dépôts. C'est, encore une fois, plus fréquent qu'il n'y paraît. Lors d'une revue de caisses, nous avons ainsi détecté qu'il y avait plusieurs autres caisses, non officielles, alimentées par la première et dont les dépenses n'étaient pas justifiées : par exemple, des quantités d'essence ne correspondant pas à la capacité des réservoirs des voitures. Dans un autre dossier, les espèces retirées à la banque servaient à payer des achats, sans passer par le circuit d'approbation de l'entreprise. Les montants n'étaient pas comptabilisés comme des achats et affectaient les résultats financiers.

En synthèse, il convient de connaître la liste de ses comptes bancaires précisément, indépendamment des règles de « gouvernance » concernant le cash pooling et le recours à une centrale de paiement. Notons ici que l’existence d’une centrale de paiement ne doit pas interférer avec les bonnes pratiques d’un acte de paiement. Une filiale qui effectue ses paiements aux tiers via une centrale de paiement doit observer les mêmes règles de conduite que celles qui s’appliquent aux paiements adressés aux banques. Payer via une centrale de paiement « maison » ou via une banque est un seul et même acte requérant les mêmes habilitations et contrôles.

Le cash pooling, quant à lui, n'est qu'une technique de centralisation des soldes, indépendante de tout acte de paiement aux tiers. Une centralisation de trésorerie – pooling et centrale de paiement – ne déresponsabilise les opérationnels locaux que si elle est mal comprise.

La démarche d'inventaire des comptes doit donc être réalisée, de préférence par un contrôleur interne, les démarches d'auto-déclaration présentant de véritables risques.

Enfin, la gestion des comptes bancaires doit être prise en compte dans le dispositif de contrôle interne ; elle doit faire l'objet d'une procédure interne au groupe, la priorité devant être donnée à la mise à jour et au contenu des pouvoirs bancaires. Vis-à-vis des banques, il convient de nouer des relations pérennes permettant d'échanger des informations sur les anomalies et les non-conformités détectées tant au sein de l'entreprise qu'en celui de la banque. En cas de crise liée à une fraude, la capacité de réaction des banques est primordiale.

 

Par Damien Chaminade, senior manager, Mazars,
et Pedro Jimenez, Citizen Can (Inhouse Banker® / Banquier d'entreprise®)

 

 

^ Haut de page