D.10 Approche de la revue des pratiques et de l’audit interne en matière de fraude

  1. Conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, les auditeurs internes devraient posséder des connaissances suffisantes pour reconnaître les indices de fraude.

  2. La présente procédure donne des renseignements de base sur la fraude en tenant compte du contexte du Bureau du vérificateur général (le Bureau), et sur les méthodes que devraient adopter les auditeurs internes pour reconnaître les indices de fraude et prendre les mesures qui s’imposent.

Sujets

  1. Caractéristiques
  2. Exemples de fraude et activités d’audit interne connexes
  3. Dissuasion
  4. Détection des fraudes
  5. Enquête en cas de fraude
  6. Communication de l’information

A. Caractéristiques

  1. La fraude englobe tout un éventail d’irrégularités et d’actes illégaux caractérisés par l’intention de tromper. Elle peut être commise au bénéfice du Bureau ou à son détriment, par des personnes du Bureau ou de l’extérieur.

  2. Des cours de formation périodiques en audit, la diffusion de publications sur le sujet et d’autres méthodes de communication ont été mises en place pour tenir les auditeurs internes au courant de l’évolution de la nature des fraudes et de l’environnement de contrôle où celles-ci peuvent se manifester.

  3. Les fraudes commises au bénéfice du Bureau procurent généralement un profit par l’exploitation d’un avantage injuste ou malhonnête et peuvent éventuellement consister à tromper une tierce partie. Habituellement, les auteurs de telles fraudes en bénéficient indirectement, car si le Bureau tire profit de l’acte, leur situation personnelle s’en trouvera généralement améliorée.

  4. La fonction de revue des pratiques et d’audit interne est expressément conçue pour examiner l’environnement de contrôle et le risque inhérent de fraude. L’analyse du risque de l’audit interne et la sélection des audits sont fondées sur l’ampleur des changements au sein des unités administratives et les pressions que ces unités subissent. S’il y a lieu, les systèmes financiers et opérationnels sont rattachés à l’information comptable et aux rapports connexes pour confirmer la responsabilité.

B. Exemples de fraude et activités d’audit interne connexes

  1. Vente ou attribution d’actifs fictifs ou faussement présentés.
    Les audits portant sur les actifs comprennent des étapes au cours desquelles sont vérifiées la comptabilisation des éléments d’actif et la légitimité des achats, transferts et cessions d’actifs.

  2. Les versements inappropriés, comme les contributions politiques illégales, les pots-de-vin ou d’autres sommes versées à des représentants du gouvernement (y compris par la voie d’intermédiaires), à des clients ou à des fournisseurs.
    Certains audits (p. ex. ceux portant sur les achats) passent en revue les environnements de contrôle pour détecter les risques d’avantages personnels injustifiés.

  3. La présentation ou l’évaluation inexacte et intentionnelle d’opérations, d’actifs, de passifs ou de revenus.
    Les audits portant sur le cycle des revenus, le cycle des décaissements et les actifs comprennent des étapes de validation du caractère approprié de l’évaluation et de la comptabilisation.

  4. Omission volontaire de consigner ou de communiquer de l’information importante pour améliorer l’image du Bureau auprès de tierces parties.
    Les pratiques de présentation externe de l’information sont examinées en profondeur par les auditeurs externes et, à cette fin, les auditeurs internes peuvent être appelés à participer à l’audit externe de fin d’exercice. La vérification de l’intégrité de la comptabilité et de l’exactitude de l’information financière est une étape courante des audits.

  5. Les activités interdites, notamment celles qui sont contraires aux lois, règles, règlements ou contrats du gouvernement.
    Les audits et examens de conformité du gouvernement, comme ceux visant la Commission de la fonction publique ou d’autres mandataires du Parlement, permettent d’évaluer les contrôles de prévention et de détection ainsi que les mesures de conformité afférentes prévues par les lois, règlements, règles et contrats applicables.

  6. Les fraudes commises au détriment du Bureau profitent généralement à un employé, à une personne de l’extérieur du Bureau ou à une autre organisation, directement ou indirectement. En voici des exemples :

    1. acceptation de pots-de-vin;

    2. détournement, au profit d’un employé ou d’une personne de l’extérieur, d’une opération potentiellement profitable qui devrait normalement se faire au bénéfice du Bureau;

    3. malversation, généralement par la voie d’un détournement de fonds ou de biens, et falsification de documents comptables pour camoufler cet acte et ainsi rendre sa détection difficile;

    4. fait de cacher des événements ou des données ou de faire intentionnellement une fausse déclaration à leur sujet, par exemple, en présentant des demandes de remboursement pour des services ou des biens qui n’ont pas réellement été fournis à l’organisation.

  7. Des formations périodiques seront offertes aux auditeurs internes concernant les indices de fraude et les méthodes afférentes. Tous les auditeurs devraient garder à l’esprit les différentes possibilités de fraudes, comme le versement de pots-de-vin, les détournements, les malversations, le camouflage et les fausses déclarations. Les examens des systèmes relatifs aux principaux cycles d’activité (revenus; décaissements; transformation, stocks et coûts; paie et avantages sociaux; immobilisations) permettent d’évaluer l’environnement de contrôle dans son ensemble et les risques que des actes frauduleux se produisent. Dans les cas où une préoccupation particulière ressort du processus normal d’audit ou est soulevée par un employé ou par la direction, l’Équipe de la revue des pratiques et de l’audit interne (RPAI) peut participer à l’audit ou aux travaux d’enquête dans les secteurs ciblés.

C. Dissuasion

  1. La dissuasion s’entend des mesures prises pour empêcher la fraude et limiter l’incidence d’éventuelles fraudes. Le contrôle est le principal mécanisme de dissuasion. Il englobe tous les contrôles, souples et stricts, à commencer par le ton donné par le vérificateur général, en collaboration avec le Comité d’audit et la haute direction, et l’environnement de contrôle dans son ensemble. La direction est responsable du maintien d’un environnement de contrôle efficace. Les auditeurs sont chargés d’évaluer l’environnement de contrôle pour déterminer le caractère adéquat des contrôles internes de systèmes donnés.

  2. L’Équipe de la RPAI a pour responsabilité de contribuer à empêcher la fraude en examinant et en évaluant le caractère adéquat et l’efficacité des contrôles, en fonction des risques et vulnérabilités au sein des différents secteurs d’activité du Bureau. En s’acquittant de cette responsabilité, l’Équipe de la RPAI devrait déterminer si, par exemple :

    1. l’environnement du Bureau favorise la sensibilisation aux contrôles;

    2. l’environnement du Bureau est pris en considération, avec d’autres facteurs pertinents, dans le processus d’analyse des risques menant à la sélection des sujets d’audit et guidant l’élaboration du programme d’audit;

    3. des objectifs stratégiques réalistes ont été fixés.

  3. Les activités d’audit, comme les examens des systèmes, permettent d’évaluer le caractère adéquat de l’ensemble des contrôles internes et comprennent l’examen des plans stratégiques, des plans annuels et des budgets trimestriels.

    1. Le Bureau s’est doté de politiques écrites (p. ex. Code de valeurs, d’éthique et de conduite professionnelle du BVG et Politique sur les enquêtes en milieu de travail) qui décrivent les activités interdites et les mesures à prendre en cas de manquement avéré.

    2. Il existe des procédures assurant le traitement adéquat des plaintes visant les activités de comptabilité et d’audit, entre autres sujets, et assurant la confidentialité du processus de plainte. Ces procédures encadrent la réception, la conservation et le traitement des plaintes reçues à tous les niveaux hiérarchiques du Bureau, y compris le Comité d’audit.

    3. Des politiques d’autorisation appropriées ont été établies.
      Les pratiques d’autorisation font couramment l’objet d’audits au cours desquels les procédures sont examinées, des entrevues sont réalisées auprès de la direction pour cerner ses attentes relatives à l’autorisation, et des tests approfondis sont effectués pour vérifier la conformité aux politiques relatives à l’autorisation. Les auditeurs de l’Équipe de la RPAI déterminent si les politiques relatives à l’autorisation désignent des employés d’un niveau hiérarchique suffisamment élevé, et si ceux-ci connaissent vraisemblablement la nature des opérations qu’ils sont censés autoriser et les risques qu’elles comportent.

    4. Des politiques, pratiques, procédures, rapports et autres mécanismes sont mis en place pour surveiller les activités et protéger les actifs, en particulier dans les secteurs où les risques sont élevés.
      Parmi les objectifs d’audit courants figure l’examen du caractère adéquat et du respect des politiques, procédures, rapports et activités de surveillance. Les pratiques de protection des actifs sont évaluées dans le cadre des examens courants des contrôles internes et lors des audits portant sur les actifs.

    5. Les moyens de communication permettent à la direction d’obtenir de l’information pertinente et fiable.
      Les communications et les rapports bilatéraux font régulièrement l’objet d’évaluations. Certains audits ciblant les systèmes d’information comprennent des tests visant à vérifier le caractère adéquat et l’utilité de l’information.

    6. Des recommandations doivent être présentées en vue de l’établissement ou de l’amélioration de contrôles efficaces eu égard au coût contribuant à empêcher la fraude.
      Au besoin, des énoncés portant sur les risques, incidences et effets potentiels sont inclus dans les rapports d’audit interne afin de souligner les risques d’irrégularités. Toutes les recommandations sont formulées en tenant compte de la justification des coûts. Il est courant que le secteur d’audit soit consulté pour déterminer les répercussions au regard des coûts et avantages.

D. Détection des fraudes

  1. La détection consiste à repérer les indices de fraude qui justifient la recommandation d’une enquête. Les contrôles établis par la direction, les tests réalisés par les auditeurs et d’autres moyens pris au sein du Bureau ou à l’extérieur de celui-ci sont autant d’occasions de repérer ces indices. Les auditeurs internes devraient :

    1. Avoir une connaissance suffisante des fraudes, de manière à pouvoir déterminer si des fraudes ont pu ou pourraient être commises. Ils devraient entre autres connaître les caractéristiques des fraudes, les techniques de fraude et les types de fraudes associés aux activités faisant l’objet de l’audit;

    2. Être à l’affût des facteurs favorisant la fraude, notamment les faiblesses du contrôle. Si un nombre important de faiblesses est détecté, les auditeurs internes devraient faire des tests supplémentaires comme des tests visant à identifier les indices de fraude, avec la participation du dirigeant principal de l’audit interne (DPAI).

  2. Dans le cas où d’importantes faiblesses du contrôle sont décelées, d’autres tests peuvent être réalisés pour repérer d’autres indices de fraude. Toutes les activités d’audit et d’enquête seront soigneusement coordonnées avec le concours des services juridiques, comme il convient. Le Comité d’audit et le vérificateur général doivent être régulièrement mis au courant.

  3. Les auditeurs internes examinent les indices de fraude potentiels cernés lors des travaux sur place ou au contact des employés ou de la direction, et ils collaborent avec le vérificateur général et l’avocat général, au besoin, pour déterminer s’il y a lieu que l’Équipe de la RPAI mène des travaux d’enquête ou d’autres travaux d’audit. Le DPAI peut consulter le Comité d’audit, le vérificateur général et l’avocat général concernant les mesures qui s’imposent.

  4. Les auditeurs internes ne sont pas censés posséder un niveau de connaissances aussi élevé que celui d’une personne dont la responsabilité première est la détection des fraudes et la réalisation d’enquêtes à ce sujet. Par ailleurs, les procédures d’audit, même lorsqu’elles sont suivies avec la diligence professionnelle requise, ne garantissent pas à elles seules la détection des fraudes.

E. Enquête en cas de fraude

  1. L’enquête consiste à réaliser les procédures approfondies nécessaires pour déterminer s’il y a eu fraude, comme le donnent à penser les indices détectés. Elle vise à recueillir des éléments probants suffisants concernant la fraude repérée. Les auditeurs internes, les avocats, les enquêteurs, le personnel de sécurité et d’autres spécialistes du Bureau et de l’extérieur sont généralement appelés à mener des enquêtes en cas de fraude ou à participer à de telles enquêtes.

  2. Lorsqu’il y a lieu de mener une enquête, le vérificateur général consulte le DPAI et le Comité d’audit pour déterminer quelles ressources internes et externes doivent y être affectées, en fonction des connaissances spécialisées et des compétences requises.

  3. Les auditeurs internes qui prennent part à une enquête en cas de fraude évaluent le niveau hiérarchique auquel a vraisemblablement eu lieu la fraude ainsi que l’ampleur de la fraude au sein du Bureau, afin de veiller à ce que les auditeurs internes ne fournissent aucune information aux auteurs potentiels de la fraude et n’obtiennent aucune fausse information de ces personnes. S’il y a lieu que des auditeurs internes participent à une enquête, le DPAI détermine les connaissances, les compétences et les disciplines qui devront être prises en compte pour assurer la conduite efficace de l’enquête. Dans la plupart des cas, le directeur de l’audit interne participe à l’enquête pour veiller à ce que les résultats soient obtenus de la manière la plus efficace et professionnelle possible. Le DPAI propose au Comité d’audit et au vérificateur général des ressources externes qui peuvent participer à l’enquête interne.

  4. Un programme écrit est utilisé pour documenter soigneusement les procédures retenues afin de déterminer les auteurs, l’ampleur, les techniques et les causes de la fraude.

  5. Une coordination étroite avec le vérificateur général et le représentant des services juridiques est assurée tout au long de l’enquête.

  6. Les auditeurs qui participent à une enquête doivent être instruits des droits des auteurs présumés et du personnel dans les limites de l’enquête et de la réputation du Bureau lui-même.

  7. Une fois l’enquête terminée, l’Équipe de la RPAI examine les faits pour :

    1. déterminer si des contrôles doivent être mis en œuvre ou resserrés pour réduire les vulnérabilités futures;

    2. aider l’auditeur interne à maintenir une connaissance suffisante de la fraude, comme il doit le faire, et donc à être en mesure de repérer les indices de fraude à l’avenir.

F. Communication de l’information

  1. Il revient au dirigeant principal de l’audit interne (DPAI), au vérificateur général ou à l’avocat général de déterminer la forme et la nature des communications à l’intention de la direction dans le cadre d’une enquête en cas de fraude, et le moment où doivent avoir lieu ces communications.

  2. Un rapport préliminaire ou définitif peut être rédigé à la fin de la phase de détection. Ce rapport devrait comprendre la conclusion de l’auditeur interne quant à la question de savoir si l’information recueillie est suffisante pour justifier une enquête. Il devrait aussi contenir un résumé des constatations étayant cette conclusion.

  3. S’il est établi avec une certitude raisonnable qu’une fraude significative a été commise, le DPAI avise le vérificateur général et le Comité d’audit sans délai. Le vérificateur général décide des actions subséquentes en s’appuyant sur les conseils de l’avocat principal et du Comité d’audit.

  4. S’il est déterminé que les résultats de l’enquête ont une incidence importante sur les résultats présentés dans les états financiers, le DPAI en fait part au président du Comité d’audit, au dirigeant principal des finances et au contrôleur. Les anomalies significatives font partie des problèmes de contrôle importants communiqués à la haute direction et au Comité d’audit, selon le cas.

  5. Des rapports écrits sont produits afin de communiquer les résultats de la participation de l’Équipe de la RPAI à l’étape de l’enquête. Ils font état des constatations, des conclusions, des recommandations et, s’il y a lieu, des mesures correctives adoptées.

  6. Une ébauche du rapport sur la fraude sera présentée au Comité d’audit pour examen, puis au vérificateur général pour approbation. Dans l’éventualité où l’auditeur souhaite invoquer le secret professionnel de l’avocat, il pourra être envisagé d’adresser le rapport au conseiller juridique.

Mise à jour :
2018-02-19