Géraldine Llorente (Deloitte France) : "Lorsque l’économie est perturbée, la crise économique se double d’une crise éthique et les fraudeurs se révèlent"

Décideurs. Avez-vous constaté une augmentation du nombre d’alertes depuis la réforme de l’année dernière ?
Géraldine Llorente. Le nombre d’alertes a effectivement beaucoup augmenté ces dernières années. La loi Waserman de 2022 qui a étendu la protection et les droits du lanceur d’alerte y a certainement largement contribué. Protéger l’identité des lanceurs d’alerte et leur assurer l’absence de représailles peut encourager davantage les collaborateurs à signaler des actes contraires à l’éthique. D’autres facteurs expliquent la hausse du nombre d’alertes qui ne tient pas à une recrudescence des comportements contraires à l’éthique ou au droit, mais plutôt à une amélioration de la sensibilisation sur ces sujets et une plus grande vigilance des entreprises. Différentes réglementations ont imposé aux entreprises de mettre en place des systèmes incitatifs de remontée des alertes. Ces dispositifs font maintenant partie de la culture d’entreprise. La parole se libère, c’est une bonne chose pour les entreprises qui peuvent traiter au plus tôt de potentiels actes répréhensibles et anticiper des conséquences qui pourraient être dommageables, à plus ou moins long terme, pour la réputation de l’entreprise.

Quels sont les trois types de fraudes à la mode et sur lesquelles vous avez été le plus sollicitée ces derniers mois ?
La cybercriminalité est pleine expansion. Les cybercriminels surfent sur la vague des nouvelles technologies et de la connectivité internet accrue…Voler de l’argent ou des données, contraindre les entreprises à payer en échange d’actifs quels qu’ils soient devient monnaie courante. Les techniques utilisées sont de plus en plus sophistiquées : ingénierie sociale basée sur l’IA, intrusion dans les boîtes email des personnes clés de l’entreprise, recours à des outils de synthèse vocale...L’évolution du commerce mondial contribue à "favoriser" les pratiques de corruption avec des transactions internationales complexes, des chaînes d’approvisionnement opaques ou mal maîtrisées, la concurrence accentuée par la rareté de certains produits. Les dispositifs anticorruption des entreprises accélèrent l’identification de ces opérations déviantes et leur traitement. Pour les détournements de fonds, ce sont généralement les périodes d’incertitudes financières, de pressions économiques combinées à de mauvaises passes personnelles qui peuvent pousser des collaborateurs à rentrer des actes frauduleux. Par ailleurs, la numérisation et la digitalisation des opérations commerciales et comptables créent des vulnérabilités dans l’environnement de contrôle des entreprises et qui sont exploitées par les collaborateurs, seuls ou en collusion avec des tiers externes.

Comment les entreprises s’organisentelles pour répondre à ces nouveaux risques ?
Il n’y a pas de secret…Pour maîtriser ces risques, il faut les connaître. Les entreprises mettent en place des programmes de gestion des risques plus ou moins intégrés. Elles commencent par identifier et évaluer les risques autour de la cybercriminalité, de la corruption et des détournements de fonds. Ces analyses prennent en compte les facteurs spécifiques à leurs activités, leur taille, leur géographie pour s’assurer de la pertinence des risques. La documentation de ces travaux prend la forme d’une cartographie qui va devenir la colonne vertébrale d’un plan de gestion et de prévention des risques. S’ensuivent alors, de manière très classique, l’ajustement ou la publication de procédures, la mise en place de contrôles spécifiques, la sensibilisation des collaborateurs, un régime de sanctions en cas de manquement, des communications positives en interne et en externe sur les engagements pris par l’entreprise sur ces sujets, et un dispositif d’audit et de surveillance de la conformité des opérations de l’entreprise.

Dans quelle mesure utilisez-vous l’intelligence artificielle (IA) pour mener vos investigations ?
L’IA est aujourd’hui un outil indispensable et incontournable dans la conduite des investigations. Elle nous permet d’aller plus vite dans les analyses, plus loin dans la compréhension des mécanismes frauduleux, de retracer plus facilement la chronologie des événements et d’optimiser l’identification des rôles et des responsabilités liées à une potentielle infraction. L’IA offre d’automatiser certaines tâches répétitives (notamment trier et classer des données) et à faible valeur ajoutée, ce qui nous permet de nous concentrer sur des activités plus analytiques et stratégiques. Chez Deloitte, nous sommes bien sûr équipés avec de telles technologies et nous investissons dans de nouveaux modèles d’IA générative. La force de l’IA réside dans sa capacité à traiter et analyser avec une vélocité extraordinaire des quantités massives de données. Dans les investigations, l’IA nous permet de revoir rapidement des documents, des photos, des images, des emails, des conversations WhatsApp, des agendas, etc., pour identifier des éléments de preuves déterminants. L’IA est aussi utilisée sur des données chiffrées pour reconnaître des comportements symptomatiques de fraude ou des tendances questionnables dans l’évolution des opérations. Il existe par ailleurs des algorithmes d’apprentissage automatique (machine learning) qui, appliqués à la donnée, permettent de repérer et anticiper des mécanismes déviants. On rentre alors dans de l’analyse prédictive.

Parlons un peu compliance… Quel est le niveau de maturité de votre clientèle pour ce qui est des programmes de conformité ?
Le niveau de maturité des entreprises françaises reste bien sûr très hétérogène. Par exemple, les entreprises n’ont pas bénéficié des mêmes budgets, des mêmes ressources, notamment humaines, pour se conformer à la loi Sapin 2. Deloitte a publié une enquête qui confirme que les entreprises qui ont mis en place l’ensemble des piliers requis par la loi Sapin 2 sont rares. Souvent par manque de moyens. La fonction compliance, qui est au coeur des dispositifs de conformité, est encore jeune et pas totalement professionnalisée. Toutes les entreprises ne disposent pas nécessairement d’un compliance officer. Les programmes de conformité sont très complets et parfois complexes par leurs contenus : sanctions, devoir de vigilance, anticorruption, RGPD, Dora, etc. Il y a beaucoup de nouveautés et pas forcément de convergence dans les attentes des régulateurs… Enfin, les dispositifs mis en place aujourd’hui n’ont pas tous le même niveau de sophistication : certaines entreprises ont totalement numérisé leurs programmes, d’autres ont réussi à apporter de façon originale la compliance aux opérations, d’autres encore ont porté le dispositif au plus haut niveau.

La grande majorité des entreprises ont fait un grand pas en avant, mais le système reste perfectible et c’est normal puisqu’il faut l’améliorer en continu et le compléter dès que nécessaire.

Quel est le bilan de l’année passée en matière de compliance et quels sont les sujets sur lesquels vous êtes le plus intervenus ?
Les entreprises font face à différents challenges pour mettre en place un programme efficace de gestion des tiers, notamment parce que les données tiers sont parfois éparpillées dans différents SI non connectés, la collecte et le stockage des données tiers peuvent ne pas être automatisés ; toutes les fonctions de l’entreprise n’ont pas nécessairement la même appréciation du risque tiers ; la diversité des activités des tiers et la globalisation des opérations posent la question de l’harmonisation du cadre de référence pour gérer le risque tiers. Nous accompagnons nos clients dans leur réflexion à la fois sur le design (modèle d’évaluation des tiers, outils de monitoring des tiers) et sur l’exécution du programme (audit de tiers, due diligence d’intégrité, etc.).

Les contrôles comptables anticorruption sont un autre enjeu pour les entreprises sur lequel nous avons travaillé. Beaucoup d’entreprises n’ont pas passé le contrôle de l’AFA sur ces sujets et notamment en raison d’une mauvaise compréhension de ce que sont fondamentalement les contrôles comptables anticorruption. Les entreprises ont tendance à se reposer sur le contrôle interne existant. Nous assistons nos clients pour identifier les contrôles comptables anticorruption, les déployer et tester leur efficacité.

Quelles sont les perspectives ?
À court terme, elles s’annoncent plutôt bonnes. Lorsque l’économie est perturbée, la crise économique se double d’une crise éthique et les fraudeurs se révèlent. Et par ailleurs, en matière d’audits financiers, les normes liées à la prise en compte du risque de fraude évoluent. Nous nous penchons avec attention sur ces sujets, pour apporter notre expertise à nos équipes d’audit et à terme pour mieux servir ensemble nos clients.