Contactez-moi:
 

Séparation des tâches : pourquoi en avoir peur?

La séparation des tâches est un sujet qui fait souvent peur. Le non-respect de ce principe est régulièrement la cause première avancée pour expliquer une fraude commise dans une entreprise.

La séparation des tâches est un sujet qui fait souvent peur. Le non-respect de ce principe est régulièrement la cause première avancée pour expliquer une fraude commise dans une entreprise. Et même si le principe reste simple, la respecter est souvent associé à l’image d’une usine à gaz. Surtout lorsqu’il s’agit d’impacter le moins possible son business et son organisation… 🙂

Il est important de bien comprendre ce principe simple et d’effectuer une analyse régulière de l’organisation des différents départements de l’entreprise. Mais attention: le reflet de l’organisation dans vos systèmes d’information doit également être de mise et cohérent.

La séparation des tâches : de quoi parle-t-on?

La définition du principe de séparation des tâches est relativement simple : il s’agit de s’assurer qu’une transaction critique est effectuée par au moins deux personnes différentes, que ce soit dans le système d’information de l’entreprise ou dans l’organisation.

Plus généralement, les principales responsabilités à assigner à des personnes différentes sont la garde du bien, l’autorisation des transactions relatives à ce bien, l’enregistrement de ces transactions et les réconciliations de comptes.

Vous entendrez souvent les personnes utiliser le terme « SoD ». Pas de panique, il s’agit bien du même principe de séparation des tâches mais dans son abréviation anglaise « Segregation of Duties ».

Quels sont les objectifs de la séparation des tâches ?

L’objectif est double : prévenir la fraude et les erreurs.

Réduire les probabilités de fraude

En impliquant deux personnes différentes dans une transaction, vous réduisez fortement le risque de fraude. Le simple fait qu’une autre personne soit en charge de vérifier ou valider la transaction peut faire réfléchir un fraudeur potentiel.

Une exception : la collusion. Lorsque les deux personnes en charge de préparer la transaction et de la valider se mettent d’accord pour contourner les règles de l’entreprise, vous ne pouvez rien y faire. Cette situation d’ailleurs est très difficile à détecter.

Réduire le risque d’erreur.

Lorsque la transaction est soumise à vérification par une autre personne, vous limitez les risques d’erreur.

Quels sont les limites de la séparation des tâches ?

La principale limite ou contrainte provient généralement du manque d’effectifs suffisants pour pouvoir assigner des responsabilités à des personnes différentes et ainsi respecter le principe de séparation des tâches.

Cela peut être dû:

  • à la taille de l’entité concernée qui emploie peu de personnes,
  • à une réorganisation qui a pour conséquence le départ de certains employés et/ou l’assignation de responsabilités additionnelles à des collaborateurs déjà en charge d’autres transactions critiques.

 

Un exemple classique : l’échange des clés de validation de paiement

Voici un exemple classique de non-respect du principe de séparation des tâches lié au cycle finance, et plus spécialement aux activités de paiement des fournisseurs (i.e. : les sorties de cash).

La situation théorique : une SoD en place et effective.

L’entreprise ABC effectue la majorité de ses paiements fournisseurs via des virements électroniques. Une liste de personnes autorisées à préparer et valider les paiements a été définie et fournie à la banque qui lui a remis en échange des clés/codes de validation associés à chaque employé concerné (ie : ces codes sont personnels).

Un(e) comptable en charge de la préparation des virements dispose ainsi d’une clé personnelle lui permettant de valider la liste des ordres de virements dans l’application de la banque.

Le directeur financier dispose d’une clé/code personnel lui permettant de valider l’ordre de virement.

NB: il y a de préférence deux valideurs différents (un financier et un non-financier) soit systématiquement, soit au-delà d’un montant défini par les règles de l’entreprise.

Un exemple classique de transgression du principe de séparation des tâches:

Toujours dans l’entreprise ABC, nous sommes en période de clôture mensuelle. Le directeur financier dispose d’une équipe réduite et reçoit de nombreuses demandes de reporting de la part du siège (avec généralement une deadline pour la veille…). En résumé… il est « sous l’eau ».

Il a déjà effectué une revue et validation « papier » de la liste de propositions de paiement il y a deux jours. Considérant que le contrôle a été effectué, il met sa clé de validation électronique (ou son code de validation) à disposition du comptable pour valider les ordres de virements en son nom dans l’application bancaire et éviter tout retard de paiement.

Les problèmes posés par cette transgression:

  • La liste des propositions de paiements validés sur « papier » n’est pas forcément identique à la liste finale enregistrée dans l’application bancaire. Une erreur ou un paiement frauduleux a pu se glisser entre temps.

 

  • Les clés de validation sont personnelles et ne doivent en aucun cas être prêtées ou échangées : la banque et les assurances ne couvriront pas une erreur ou fraude si il est avéré que l’utilisation des clés n’a pas été effectuée en accord avec la convention signée avec la banque.

 

  • Le directeur financier a violé le principe de séparation des tâches. Le/la comptable dispose des pouvoirs pour créer ET valider un paiement sans aucun contrôle indépendant.

Je vous invite à consulter l’article suivant sur le cas récent de l’entreprise Vranken Pommery qui s’est vue soutirer frauduleusement un montant de 800,000 euros à l’occasion d’une fraude au Président. Les clés de validation personnelles n’ayant pas été utilisées en conformité avec le contrat de mise à disposition signé avec la banque, ni celle-ci ni l’assureur n’acceptent de couvrir le montant de la perte.

Pour le conseil de la banque, si Vranken Pommery avait suivi les termes de la convention signée avec ING, cette affaire de fraude au président, toujours dans les mains d’un juge d’instruction bruxellois, n’aurait jamais été possible. La convention en question prévoyait l’attribution de cartes à une série de personnes dans la société, chacune ayant son propre code, en sachant que chacune gardait sa carte et son code.

Dans le cas qui nous occupe, l’administrateur-délégué, qui a un pouvoir illimité sur les comptes, a confié sa carte et son code à une toute nouvelle comptable“, a expliqué l’avocat de la banque. “C’est contraire à la convention conclue, on ne pouvait pas le faire. Et si on avait respecté la convention, il n’aurait jamais été question de fraude au président“.

L’ECHO – 28 avril 2017 – “Vranken Pommery, victime d’une fraude au président, attaque ING”

Alors quelle solution pour protéger votre entreprise? :

Il est important d’effectuer une analyse régulière de votre organisation en matière de séparation des tâches. Au niveau de l’organisation mais aussi au niveau des systèmes d’information. De manière générale, les entreprises effectuent des revues annuelles. Je recommande une analyse (mise à jour) tous les 6 mois, notamment en cas de fort turnover ou de problèmes déjà rencontrés lors d’analyses précédentes.

L’idéal est d’utiliser une matrice d’analyse de séparation des tâches qui listera tous les risques de SoD critiques identifiés pour votre entreprise et de procéder soit à une réorganisation, soit à la mise en place de contrôles permettant de compenser le ou les risques identifiés (communément appelés “mitigating controls” ou “contrôles compensatoires”).

 

Et vous, qu’en pensez-vous ?

Cet article vous a parlé ? Vous avez des questions ou vous souhaitez apporter des précisions ? Je vous invite maintenant à faire 2 choses :

 

  • Laissez un commentaire pour partager votre avis et votre expérience
  • Partagez cet article avec vos amis et collègues sur Facebook ou Linkdn en cliquant sur les boutons sur votre gauche 🙂

 

 

 

Recherches utilisées pour trouver cet articlecontrôle interne séparation des taches,séparation des tâches,séparation des taches comptabilité,Vérification de la séparation des tâches,le principe d\organisation et séparation de fonctions contrp=ole interne,les grands principes du contrôle interne et de la sépartion des fonctions,separation des taches compta treso,séparation des taches incompatibles,principe de séparation des taches comptabilité,principe de controle interne dans une entreprise

2 responses on "Séparation des tâches : pourquoi en avoir peur?"

  1. Je recommande aux opérateurs de télécom de s’assurer de l’effectivité de l’analyse de SoD compte tenu de l’accru des risques liés dune part aux mouvements de cashs physiques et virtuels et d’autre part la concomitance de deux principales activités différentes cad les telecoms et la banque. La SoD est une exigence de gestion universelle par conséquent, elle est d’application dans toute unité économique et sociale. En dautre terme, tout le monde est concerné par la SoD.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

A propos

Audit Contrôle Interne accompagne les Directeurs Audit & Contrôle internes pour réussir la mise en conformité de leur entreprise avec la Loi Sapin II Anti-Corruption.
Nous sommes une équipe de consultants experts en Audit et Contrôle interne, ainsi que dans le déploiement de programmes internationaux de conformité.
Audit Controle Interne est un organisme de formation déclaré, certifié Datadock

Audit & Controle Interne

top
X