Gestion de la trésorerie : les trois éléments majeurs pour lutter contre la fraude

Le moment est-il enfin venu pour les responsables Trésorerie de relâcher un peu la bride sur le plan de la prévention de la fraude ? Après tout, un rapport de l’AFP (Association for Financial Professionals) paru en 2022 a révélé que non seulement la fraude aux paiements avait diminué depuis 2018, mais également que le télétravail avait eu peu d’incidence sur la fraude aux instances de paiement en 2021, comme le constataient les entreprises. Cela signifie-t-il pour autant que les experts en gestion de la trésorerie peuvent désormais se consacrer à d’autres priorités ?

La réponse est évidemment non. Les périodes de récession qui s’annoncent sont susceptibles d’accentuer le risque de fraude, plaçant les responsables Trésorerie dans une position difficile. Les éventuelles répercussions, des licenciements par exemple, font des ravages sur les systèmes de contrôle interne. Dans certaines situations, la pression financière accrue peut pousser certains collaborateurs à prendre des mesures désespérées et non éthiques pour respecter les budgets.

Les responsables de la trésorerie ont bien conscience que la prévention de la fraude est un défi qu’ils doivent relever. Pour s’attaquer au problème, ils sont mieux équipés que jamais et peuvent d’ores et déjà passer au crible les systèmes, processus et collaborateurs au sein de leur organisation. Regardons de plus près ces trois éléments centraux.

1. Systèmes

Le simple fait pour une entreprise de disposer d’un système de gestion de la trésorerie (TMS) ne la rend pas hermétique à la fraude. Tout d’abord, il y a deux choses qu’il est important de comprendre : les workflows centralisés et décentralisés pour traiter les paiements d’une part, et l’environnement système de l’entreprise d’autre part. Demandez-vous :

• Quels sont les systèmes en place ? Quels sont les workflows que vous suivez ? Par exemple, y a-t-il un système pour traiter les paiements et un autre pour gérer les liquidités ? Certains workflows peuvent-ils être interrompus ou stoppés ? 
• Avez-vous une visibilité complète sur l’ensemble des transactions de l’entreprise ? Les responsables Trésorerie doivent être au fait des rentrées et des sorties d’argent. 
• Quelles sont les mesures que vous mettez en place actuellement pour prévenir la fraude ? Elles peuvent concerner vos processus, comme la séparation des tâches par exemple, ou cibler des aspects plus techniques, comme l’authentification multifactorielle ou les restrictions IP. 

L’utilisation d’un système centralisé et de plusieurs outils complémentaires au niveau local ne facilite pas la définition et la mise en application de contrôles fiables à l’échelle du groupe. Lorsque les entités locales et les comptes bancaires ne sont pas gérés via un système de gestion de la trésorerie, les données du marché, les relevés de compte et l’historique des transactions financières peuvent être sujets à manipulation. Un système déconnecté (ou l’absence de système) laisse aussi la possibilité aux personnes malintentionnées d’ouvrir un compte bancaire et d’effectuer des paiements tout en passant inaperçu, les responsables hiérarchiques ignorant l’existence du compte et ne pouvant par conséquent mettre en place des contrôles. Les processus peuvent être centralisés ou décentralisés pour s’adapter au modèle opérationnel d’une entreprise, mais quel que soit le cas, la centralisation de la transparence est primordiale.

Notre expérience au sein de Coupa Treasury nous a également montré qu’une faible proportion de l’entreprise (les entités locales) concentre généralement un pourcentage important du risque de fraude. Cela s’explique par le fait que les hackers et autres auteurs de fraude tendent davantage à cibler les entités locales que le siège d’une entreprise.

En parallèle, une visibilité limitée sur les flux de trésorerie permet difficilement de détecter les éventuelles irrégularités ou les points faibles de l’organisation. Une plateforme de Business Spend Management (BSM) intégrée qui fournit des données en temps réel sur les paiements en lien avec les activités de comptabilité fournisseurs aide les responsables Trésorerie à obtenir plus de visibilité sur leurs habitudes de dépenses. Plus important encore, il faut garder en tête qu’un système non protégé par une méthode d’authentification multifactorielle (des contrôles d’accès rigoureux de type SSO, combinés à des restrictions d’adresse IP et à la connexion par token) engendre des vulnérabilités. En résumé, les fonctions de trésorerie ne peuvent garantir un faible niveau de risque pour les processus de l’entreprise en s’appuyant sur un système qui n’est pas à la hauteur.

2. Processus

En gestion de la trésorerie, le terme « processus » regroupe un certain nombre de concepts. De manière générale, les processus de gestion de la trésorerie sont divisés en trois grandes catégories. La sécurité joue un rôle essentiel dans chacune d’entre elles :

• Création de fichiers de paiement : d’où provient le fichier ? Qui sont les personnes impliquées dans sa création et par qui est-il envoyé ? Comment les collaborateurs vérifient-ils les informations concernant les fournisseurs ?
• Approbation des paiements et fichiers de paiement : qui approuve ces fichiers et paiements ? Quels collaborateurs disposent de droits d’approbation et lesquels ? Est-ce que tous les intervenants appliquent le principe des « quatre yeux » ?  
• Circuit de paiement du service Trésorerie de l’entreprise jusqu’à la banque : quelles sont les protections mises en place ? Quels sont les collaborateurs habilités à intervenir sur un paiement (mandats, droits de signature...) ? 

Les processus ne peuvent être sécurisés qu’à la condition d’avoir été conçus pour garantir une transparence totale. Avec le système de séparation des tâches, il est impossible pour un collaborateur de commettre ou de dissimuler des fraudes ou des erreurs. La plupart des entreprises qui disposent d’un service de trésorerie suivent cette approche. Cela implique que la direction du service ainsi qu’un administrateur indépendant, une personne des services RH ou IT par exemple, approuvent les nouveaux utilisateurs du système avant que ces derniers puissent accéder au TMS, quels que soient les modules spécifiques avec lesquels ces utilisateurs seront amenés à travailler (visibilité sur la trésorerie, paiements, marché des changes et dette).

L’implémentation d’une plateforme à l’échelle du groupe contribue également à renforcer la transparence. De cette manière, les responsables Trésorerie ont les moyens de standardiser les processus et les mécanismes de contrôle systémiques peuvent être mis en place afin de prévenir la fraude au niveau de chaque point d’accès aux données bancaires. Les mesures incluant des listes d’autorisation dynamiques, basées sur l’IA et les données de la communauté, et qui s’appuient sur une gouvernance rigoureuse sont plus rapides, plus efficaces et moins coûteuses que des contrôles aléatoires, manuels, susceptibles d’intervenir après la fraude.

Listes d’autorisation dynamiques

À mesure qu’une entreprise se développe, son environnement bancaire et ses relations fournisseurs se complexifient. Les activités auparavant gérées via des processus manuels deviennent extrêmement chronophages et propices aux erreurs. Pour citer quelques exemples : la vérification des informations de paiement d’un fournisseur, pour garantir que seuls des bénéficiaires légitimes ont été ajoutés aux données de base, ou encore le gel des paiements à destination de pays sous sanctions. Les listes d’autorisation dynamiques alimentées par l’IA peuvent réellement transformer la stratégie de prévention de la fraude d’une entreprise à forte croissance.

Elles orientent le système de sorte qu’il procède uniquement aux paiements destinés à des bénéficiaires vérifiés qui apparaissent sur la liste. Tout paiement ne répondant pas à ces critères doit être soumis à une vérification supplémentaire. Les entreprises peuvent créer des listes d’autorisation en compilant l’intégralité des connexions entre comptes bancaires considérées comme fiables à travers l’ensemble du groupe pour utiliser ensuite ces informations comme un filtre. Les listes d’autorisation les plus performantes sont dynamiques, et vont au-delà de la fonction de filtrage. Des mécanismes de vérification supplémentaires intégrés au système peuvent, par exemple, recouper les paiements avec les listes de sanctions et embargos avant d’alerter les utilisateurs d’un paiement potentiellement illégal.

IA et données de la communauté

Intégrée à un système de gestion de la trésorerie, l’IA est un puissant outil de détection de la fraude. Elle permet une vérification proactive des paiements, dans des montants et à un rythme qu’aucun processus manuel ne peut égaler. L’intelligence artificielle développée par Coupa identifie les transactions qui ne semblent pas suspectes individuellement, mais qui indiquent un comportement non conforme lorsqu’elles sont examinées ensemble.

Cette IA vient aussi enrichir la communauté unique de Coupa, Community.ai, un ensemble d’innovations qui agrègent, anonymisent et analysent les données de transaction générées par plus de 3 000 clients et 4 000 milliards d’euros de dépenses cumulées transitant par la plateforme. Grâce aux données de la communauté, les responsables Trésorerie ont notamment plus de visibilité sur les évaluations des fournisseurs et sont en mesure de déterminer si l’un d’entre eux est à risque ou d’identifier des informations de paiement non concordantes et potentiellement frauduleuses.

Gouvernance rigoureuse

Il est certain que les banques et les entreprises peuvent coopérer pour réduire et prévenir la fraude, mais les entreprises doivent prendre les choses en main et ce, pour deux raisons. Premièrement, si les banques soumettent les paiements à certaines vérifications, c’est l’entreprise et non la banque qui subit les pertes financières engendrées par la fraude. Deuxièmement, les banques prennent en compte les mandats. Si un ordre de paiement est émis et que le mandat est correct, la banque exécutera l’opération. En effet, le personnel de la banque n’est pas en mesure de vérifier si la personne qui apparaît sur le mandat fait toujours partie de l’entreprise.

Une gouvernance rigoureuse et transparente est cruciale et devrait s’appliquer aussi bien aux processus d’approbation qu’aux mandats bancaires. 

Les règles de base recommandées pour les approbations de paiement sont les suivantes :

• Mettre en place la séparation des tâches (SOD) pour éviter les pratiques les plus risquées, comme la saisie de paiements uniques dans le système par des collaborateurs de façon indépendante.
• Exiger l’utilisation de modèles pour éviter les fautes de frappe et les erreurs dans la saisie des numéros de compte bancaire internationaux (IBAN). 
• Définir quelles actions peuvent être effectuées par quels collaborateurs (saisie des informations de paiement, saisie et approbation, saisie et modification des modèles d’instructions de paiement).
• Fixer des limites pour les approbations de paiement et droits de signature (telle que l’attribution de droits au niveau du compte bancaire, la définition de limites pour les personnes, les comptes, les devises et la création de différents niveaux de signature sur les mandats bancaires).

Un système comme Coupa Treasury améliore la sécurité en générant des chaînes d’approbation doubles supplémentaires tout au long du processus, notamment avec l’instauration des niveaux d’accès multiples qui limitent les droits de signature d’un utilisateur, ou encore la mise en place de limites de paiement. Pour aller encore plus loin, vous pouvez opter pour la connexion par token et l’authentification en deux étapes lorsque les collaborateurs cherchent à renseigner des informations de paiement.

En outre, les entreprises peuvent gérer de manière proactive les mandats de paiement afin de réduire le risque de fraude. Dans ce cas, les services Trésorerie doivent avant tout s’assurer que :

• Les mandats d’un collaborateur sont immédiatement révoqués lorsque cette personne quitte l’entreprise.
• Les droits de signature sont clairement spécifiés dans le mandat (ajout d’un nouveau compte bancaire, changement du type de compte, ajout de services bancaires). 

3. Collaborateurs 

En fin de compte, les actes de fraude sont perpétrés par des personnes, et qui plus est, des personnes issues de l’entreprise elle-même. C’est d’ailleurs le sujet du film « 35 heures, c’est déjà trop » (« Office Space », dans sa version originale), dans lequel un homme utilise un programme malveillant pour dérober de l’argent à son entreprise. Au total, il parvient à détourner 300 000 dollars avant d’être démasqué. Cet exemple montre pourquoi les collaborateurs devraient être considérés comme un élément prioritaire pour prévenir la fraude dans votre entreprise, et particulièrement en ce qui concerne le détournement d’actifs. S’il est vrai que les situations comme celle mentionnée plus haut supposent une action intentionnelle de la part du collaborateur fraudeur, dans d’autres cas, c’est la crédulité des individus qui est en cause, comme avec la compromission d’e-mails professionnels (BEC), un type de fraude de plus en plus répandu.

Prévenir les détournements d’actifs

Lorsqu’il est question de fraude interne à l’entreprise, il s’agit souvent du détournement d’actifs, qui a représenté 86 % des cas de fraude au niveau mondial en 2022, selon un rapport de l’Association of Certified Fraud Examiners (ACFE). Parmi les pratiques les plus courantes, on retrouve l’utilisation de faux systèmes de facturation, le vol de produits en stock, l’interception de paiements en transit et la falsification de chèques.

Quels sont les collaborateurs les plus enclins à participer à des actes de fraude ? La majorité des auteurs de fraude occupent des fonctions hiérarchiques élevées dans l’entreprise, ce qui peut sembler surprenant. Comment y parviennent-ils ? Près de la moitié des fraudes commises par des collaborateurs surviennent du fait d’un manque de contrôles internes ou de la possibilité d’outrepasser ces contrôles. S’assurer que les processus de paiement sont protégés par des mesures telles que les listes d’autorisation, par l’IA et par une gouvernance rigoureuse est le meilleur moyen de lutter contre ce phénomène, même lorsque la fraude est perpétrée par des collaborateurs occupant des fonctions élevées. En incluant plus d’intervenants dans chaque étape de vérification des paiements, les services Trésorerie peuvent réduire le risque de détournement d’actifs.

Si l’on tient compte du fait que 42 % des cas de fraude ont été détectés grâce à des signalements de la part de collaborateurs, de clients et de fournisseurs, ou à des témoignages anonymes — soit un pourcentage presque trois fois supérieur à celui des autres méthodes de détection répandues — cela signifie qu’un processus de paiement solide, associé à une ligne d’assistance dédiée à la fraude, permettrait de protéger plus efficacement une entreprise.

Lutter contre la compromission d’e-mails professionnels (BEC)

Au début de la pandémie, la dématérialisation des opérations des entreprises s’est généralisée. Les auteurs de fraude ont vu dans cette tendance une opportunité d’intensifier la fraude BEC. Dans ce type de fraude, l’escroc compromet ou usurpe un compte de messagerie professionnel (ou personnel) et envoie des e-mails aux collaborateurs de l’entreprise pour les convaincre d’effectuer des transferts d’argent sur un compte frauduleux.

Selon le FBI, les attaques par hameçonnage, incluant la fraude BEC, sont le type de fraude qui se développe le plus rapidement dans le monde entier. Elles sont également de plus en plus sophistiquées. Les auteurs de fraude utilisent désormais la visioconférence pour piéger les employés. Après avoir piraté avec succès le compte de messagerie d’un PDG ou d’un responsable financier, ils invitent l’un de leurs collaborateurs à rejoindre une réunion virtuelle pour procéder à un transfert de fonds. L’escroc utilise alors une photo du propriétaire du compte usurpé et prétend que sa configuration audio est défaillante ou utilise la technique de l’hypertrucage audio (deepfake). Cette escroquerie rencontre un certain succès. En 2021, la compromission d’e-mails professionnels a représenté plus de 2 milliards de dollars de pertes pour les entreprises à l’échelle mondiale. 

Que peuvent faire les services Trésorerie pour lutter contre ces pratiques ?

• Sensibiliser les collaborateurs. Bon nombre d’entre eux n’ont pas conscience du volume inquiétant de tentatives de cyberattaques dont ils sont la cible chaque jour. Organisez régulièrement des formations ou envoyez une newsletter trimestrielle pour les informer sur les tendances émergentes, les caractéristiques propres à certaines escroqueries et les bons réflexes à adopter pour se protéger.  
• Utiliser la simulation d’attaques par hameçonnage. L’un des moyens les plus efficaces pour apprendre à éviter une escroquerie est d’en faire l’expérience (fictive bien sûr !) Un simulateur d’attaque par hameçonnage envoie aux collaborateurs des tentatives d’hameçonnage, contrôlées par l’entreprise elle-même, pour analyser leurs réactions. L’outil aide également les personnes à développer les compétences nécessaires pour détecter ce type d’attaques.
• Protéger les processus de paiement. Garantir la mise en place de la séparation des tâches pour les processus de paiement est la meilleure façon d’empêcher ces escroqueries. Ainsi, même si un collaborateur tente involontairement de soumettre un paiement frauduleux, l’exigence d’une seconde approbation réduira le risque d’envoi de ce paiement. La séparation des tâches peut être aussi rationalisée que le principe des « quatre yeux », mais elle peut également être différenciée pour inclure davantage de personnes ou différentes équipes lorsque des paiements plus élevés sont concernés.

Mettre en œuvre des mesures de sécurité structurelles et automatisées tout en renforçant la sensibilisation auprès des collaborateurs rend les entreprises moins vulnérables face aux nouveaux mécanismes de fraude.

Des outils adaptés pour des responsables Trésorerie bien avisés

En période de turbulence économique, le risque de fraude est plus important. Il est plus que jamais essentiel pour les services de trésorerie de revoir le fonctionnement interne de leur organisation, du siège jusqu’à la plus petite entité de l’entreprise, qu’il s’agisse des systèmes, des processus ou des collaborateurs. La solution Coupa Treasury vous aide à préserver ces trois éléments, tout en réduisant les coûts. Bilfinger, société spécialisée dans la construction, l’ingénierie et les services a ainsi pu économiser 15 % sur ses frais bancaires et mettre en place des processus entièrement transparents et sécurisés.