Lors d'un audit du processus d'appels d'offres de la filiale d'une grande entreprise, un vérificateur interne, dont nous tairons l'identité, a découvert que l'un des gestionnaires et ses acolytes recevaient des pots-de-vin des fournisseurs.

"Il a détecté une anomalie dans le processus. Il a gratté et trouvé la combine du fraudeur", raconte Jonathan Allard, directeur chez Navigant Consulting, la firme de juricomptabilité qui a été appelée à la rescousse pour ce cas.

Pour récupérer l'argent qu'ils versaient en pots-de-vin, les fournisseurs surfacturaient l'entreprise, qui s'est débarassée depuis de ses employés malhonnêtes. Elle a perdu quelques centaines de milliers de dollars dans l'aventure. "L'intervention du vérificateur a permis de fermer le robinet", ajoute Jonathan Allard.

C'est souvent par hasard qu'une fraude est découverte et les vérificateurs sont bien placés pour détecter les failles, car une partie de leur travail consiste à évaluer les contrôles internes et à en recommander d'autres, s'il y a lieu.

Une bonne pratique consiste à intégrer le risque de fraude dans chacune des vérifications. "Il s'agit de se mettre à la place d'un fraudeur potentiel et de se demander comment il pourrait s'y prendre pour tirer avantage du système, dit Jonathan Allard. C'est souvent comme ça qu'on trouve le maillon faible."

Bien sûr, il n'y a pas que les délits en argent qui sont identifiables. Les employés qui passent des heures sur Internet durant leurs heures de travail, par exemple, n'ont pas l'impression de mal agir. Il n'en reste pas moins qu'ils volent du temps. Le vérificateur peut, par exemple, suggérer la mise en place de contrôles d'accès, le blocage de certains sites, l'utilisation restreinte à certaines catégories d'employés seulement, etc.

De nombreux risques

La fraude n'est toutefois qu'une infime partie des risques que les vérificateurs internes doivent évaluer. Alphonse Galluccio, vice-président, gouvernance, de la firme de consultants Decimal, a réparti en trois grandes catégories les différents risques sur lesquels les vérificateurs doivent se pencher.

Il y a d'abord ceux liés à l'environnement d'affaires. Viennent ensuite les risques liés aux processus. En troisième lieu, les risques liés à l'information utilisée dans la prise de décisions comprennent notamment l'information de gestion et les stratégies de l'entreprise.