Toute société gérée en bon père de famille est soucieuse de mettre en œuvre les instruments nécessaires visant à garantir la bonne marche des affaires et assurer sa pérennité. Ceci passe de manière...

Toute société gérée en bon père de famille est soucieuse de mettre en œuvre les instruments nécessaires visant à garantir la bonne marche des affaires et assurer sa pérennité. Ceci passe de manière incontournable par l' élaboration de procédures de lutte contre la fraude. L'élément humain constitue cependant un élément difficilement contrôlable d'autant plus s'il exerce au sein même de l'entreprise (désigné par les Anglo-Saxons comme the "enemy-within"). Un tel cas de figure peut se matérialiser comme tel: l'employé de longue date qui soudainement décide de qu'il est pour lui aussi de profiter aussi de cette société pour laquelle il s'est tant investi ou cas plus rare mais extrêmement dommageable, une pénétration de la société par des éléments criminels. Malheureusement, à l'ère de l'informatisation des différents volets opérationnels d'une entreprise, l'impact d'une telle fraude interne peut rapidement avoir un effet néfaste pour la société victime.

De coutume, pendant de nombreuses années, dans la majorité des entreprises, les questions ayant trait à la lutte anti-fraude ont été considéré par les dirigeants d'entreprise, y compris au niveau du conseil d'administration, comme une responsabilité incombant au département Audit interne ou au département Compliance. Outre la revue des mémos de ces organes de manière régulière et le vote des budgets à allouer pour l'année suivante, la question de prévention de la fraude n'entrait guère ans les réflexions stratégiques du top management; la faible proportion de cadres dirigeants ayant reçu de façon régulière une formation régulière de lutte anti-fraude en témoigne. Encore récemment, le point de vue qu'une société victime d'une fraude de grande envergure avait déjà assez souffert et qu'il fallait laisser aux dirigeants le temps de rétablir l'ordre dans les opérations de la société. Cette attitude de la part des tierces parties est en train de se dissiper et comme fréquemment, de tels changements émanent des Etats-Unis.

En 2013, une des plus importantes sociétés américaines de vente au détail confirmait que les comptes de carte de crédit ou de débit de 70 millions de clients avaient vraisemblablement été la cible d'une attaque informatique. Après que cette importante fraude a été rendue publique, des groupes d'investisseurs ont assigné en justice les dirigeants et les membres du conseil d'administration pour dédommagement des pertes subies en rapport avec la baisse substantielle du cours boursier de la société. La notion de "Top-Down" constitua la base de départ de cette assignation. Cette notion stipule grosso modo que c'est aux organes dirigeants d'une société de définir avec exactitude les priorités pour la société, y compris en matière de gestion de risque, et de s'assurer de manière continuelle que cette gestion des risques est appliquée au sein de l'entreprise, et ce, en adéquation avec les risques actuels; l'approbation d'un budget annuel et/ou un simple point dans l'agenda tout comme une réunion du conseil d'administration ne suffisent pas en tout état de cause à remplir ces obligations. En second lieu, les plaignants se sont basés sur une question essentielle : les membres du conseil d'administration ont ils rempli leurs devoirs face aux actionnaires, et plus particulièrement ont ils tout mis en œuvre pour minimiser le risque? Comme argumentation, les plaignants indiquaient que la société avait déjà été victime de piratage entre 2005 et 2007 et que la plus grande vulnérabilité identifiée se situait au niveau des machines de point de vente. Par conséquent, les dirigeants de la société et les membres du conseils d'administration auraient dû être au courant des faiblesses. Au lieu de combler ces failles, la société a acheté des programmes de protection pour sauvegarder les serveurs, solution moins onéreuse, mais n'a pas consacré le temps et les efforts nécessaires pour assurer la sécurité des contrôle de données et implémenter les "best practices".

Ce case Study démontre que, de nos jours, être dirigeant d'entreprise et/ou siéger au conseil d'administration implique non seulement une compréhension des enjeux stratégiques de la société et une vue globale, mais nécessite également un approfondissement de la prise de connaissance d'éléments opérationnels journaliers en rapport avec certains domaines, y compris la problématique de fraude. Ignorer cette nouvelle donne signifie pour le top management et le conseil d'administration de s'exposer à des risque d'implication de sa responsabilité personnelle. Une première étape incontournable est la formation des dirigeants et des membres du conseil d'administration sur les problématiques de risques asymétriques, que sont la fraude, la corruption, les questions de sanctions économiques et la cybercriminalité, car ces risques ayant en commun de pouvoir non seulement impacter de manière substantielle les activités d'une société, mais entraînant dans un même temps une responsabilité personnelle, tant sur le plan civil qu'éventuellement sur le plan pénal, des dirigeants et des membres du d'administration

Juin 2015