En règle générale, les établissements privilégient d’améliorer leurs mesures de prévention et de détection de la fraude dans le but d’atténuer les risques et de réduire leurs pertes financières. Mais qu’est-ce que la prévention de la fraude et en quoi diffère-t-elle de la détection de la fraude ? Ces deux approches sont-elles totalement distinctes ? Et surtout, que peut faire un établissement pour prévenir efficacement la fraude ? Nous répondons à ces questions dans cet article en allant plus loin via l’étude des bonnes pratiques que les établissements devraient mettre en place pour adopter une prévention de la fraude efficace.
La prévention de la fraude fait référence aux politiques, fonctions et processus d’un établissement pour empêcher la fraude de se produire. Aucune stratégie de prévention de la fraude n’est infaillible, mais les établissements peuvent se concentrer sur la prévention des types de fraude auxquels ils sont les plus exposés. Cela leur permettra d’utiliser leurs ressources de la façon la plus efficace possible. Pour bien faire, ils peuvent procéder régulièrement à des évaluations des risques afin de s’assurer que leur cadre repose sur des risques réalistes.
La prévention et la détection de la fraude sont des stratégies complémentaires destinées à réduire les activités frauduleuses et les pertes. La détection de la fraude permet d’identifier les activités frauduleuses qui ont eu lieu ou qui ont été tentées. Elle répond à une menace existante. S’agissant de la prévention de la fraude, les établissements mettent en place des politiques et des mesures de protection pour rendre la fraude plus difficile pour les criminels financiers. Voici quelques exemples :
Même s’il convient d’adapter une stratégie complète de prévention de la fraude aux risques inhérents à un établissement spécifique, certains aspects sont communs à tous les établissements.
Pour être efficace, un programme de prévention de la fraude doit être fondé sur les risques. Cela implique de réaliser une évaluation des risques régulièrement actualisée pour analyser les risques de fraude en fonction du contexte spécifique de l’établissement. Une EWRA régulièrement mise à jour aidera un établissement à se concentrer sur les risques de fraude liés à ses activités et à ne pas gaspiller de ressources pour des typologies ne représentant qu’un faible risque pour son activité et son secteur. S’il maîtrise parfaitement les vrais risques, un établissement peut alors se pencher sur son appétit pour le risque. Le risque ne pouvant jamais être complètement écarté, l’appétit pour le risque tient compte d’un niveau réaliste et efficace de contrôle du risque qui permet à un établissement de poursuivre raisonnablement son activité.
Pour mettre en pratique efficacement son évaluation individualisée des risques, un établissement doit instaurer des contrôles portant sur son risque résiduel, c’est-à-dire celui situé au-delà de son appétit pour le risque. Plus spécifiquement, les risques de fraude doivent être contrôlés à la lumière du profil de risque global, dont les autres comportements et typologies à risque. Traditionnellement, les établissements considèrent la prévention de la fraude comme étant intégrée à un processus visant essentiellement à réduire les pertes pour l’établissement et à maintenir un service à la clientèle positif. Bien qu’il s’agisse d’aspects importants de la détection et de la prévention de la fraude, ils ne reflètent pas l’ensemble du problème. Infraction principale du blanchiment d’argent, la fraude est souvent liée à une activité criminelle plus vaste, qu’il s’agisse d’autres infractions majeures telles que le trafic d’espèces sauvages et de stupéfiants, le blanchiment d’argent ou encore le financement du terrorisme. Pour lutter contre la fraude de manière efficace, un établissement doit appréhender ce phénomène dans son contexte global plutôt que d’envisager la fraude comme un ensemble d’incidents isolés.
Trop souvent, les équipes chargées de la lutte contre la fraude et le blanchiment d’argent travaillent chacune de leur côté. Et pourtant, ces deux services ont accès à des informations qui pourraient sensiblement améliorer la compréhension globale et l’atténuation des risques par un établissement spécifique. Par exemple, les caractéristiques liées au blanchiment d’argent peuvent aider à remonter à leur source, à savoir la fraude, ce qui alerterait l’établissement sur des risques qu’il n’a peut-être pas suffisamment prévenus. Cela pourrait conduire à une meilleure prévention de la fraude et à sa détection si une activité frauduleuse venait à passer à travers les mailles du filet.
Les établissements doivent se pencher sur leurs activités à la lumière de leur EWRA actualisée et de leur appétit pour le risque. Le risque auquel un établissement est confronté étant lié à ses activités et à sa structure uniques, il est impossible de dresser une liste universelle et exhaustive des contrôles et des politiques nécessaires. C’est à l’établissement qu’il appartient en dernier ressort de les définir en fonction de ses propres activités et obligations. Cela étant, les contrôles et les politiques fondés sur le risque ont plusieurs caractéristiques en commun.
Les employés peuvent profiter de leur accès pour s’enrichir frauduleusement ou enrichir des tiers. Dans des cas plus graves, des personnes plus haut placées dans la hiérarchie de l’établissement peuvent s’en servir comme d’une façade pour perpétuer leurs propres activités illégales, parmi lesquelles le vol, le blanchiment d’argent, la corruption et le financement du terrorisme.
Lorsqu’il traite des informations financières sensibles, un établissement doit savoir quelles fonctions sont incompatibles, ce qui implique que des personnes différentes assument ces responsabilités et qu’elles disposent d’un accès strictement contrôlé aux informations pertinentes. Il s’agit là d’une condition impérative pour prévenir la fraude en interne. Selon le cabinet d’experts-comptables Alexander Aronson Finning CPAs, quatre catégories de fonctions ne doivent jamais être exercées par le même personnel :
Les établissements doivent veiller à ce que leurs clients soient protégés contre toute exploitation par des fraudeurs et à ce que ces derniers n’ouvrent pas et n’utilisent pas de comptes pour commettre des fraudes. Ce dernier cas de figure peut également concerner la lutte contre le blanchiment d’argent (LCB), car les deux activités peuvent facilement se chevaucher lorsque le fraudeur est le détenteur du compte. Conformément à l’EWRA la plus récente de l’établissement, les politiques doivent intégrer des processus et des rôles qui contribuent à atténuer ce risque.
Il est indispensable de renseigner pleinement les processus et les rôles afin que le programme de prévention de la fraude s’aligne sur les risques, définisse une stratégie pour les fonctions et les ressources adéquates et se conforme à toutes les lois applicables, dont celles régissant le traitement des informations sensibles. En outre, cela s’impose pour garantir une bonne séparation des tâches. Enfin, cela créera un fondement clair pour mesurer l’efficacité d’un programme de prévention de la fraude lors d’un audit.
Aucun programme de prévention de la fraude ne peut être performant s’il n’imprègne pas l’établissement, ce qui implique que chacun soit conscient des risques liés à la fraude interne et formé aux mesures de sécurité de base pour la prévenir.
Un personnel compétent et bien formé est la clé d’un programme de prévention de la fraude bien conçu. Outre le recrutement de personnes compétentes, la nature individuelle du risque affectant chaque établissement exige une formation régulière. Même les professionnels chevronnés de la lutte contre la fraude ne pourront maîtriser le paysage des risques spécifique à un établissement en l’absence de mises à jour régulières. La formation doit être actualisée pour s’aligner sur l’EWRA la plus récente de l’établissement et fournir une image holistique des risques de fraude et des obligations de conformité.
De plus, éviter les programmes génériques ou routiniers peut contribuer à fidéliser le personnel et à assurer le respect des règles. Une formation efficace ne se limite pas à la transmission de connaissances figées ou à une évaluation de la mémoire à court terme. Au contraire, une formation doit orienter de manière pratique les professionnels de la lutte contre la fraude et leur permettre de comprendre concrètement la manière dont les politiques s’appliquent au quotidien. Le personnel sera alors mieux armé pour appliquer une prévention de la fraude plus efficace.
Toute personne traitant des informations sur les clients, même si son rôle n’est pas explicitement lié à la lutte contre la fraude, doit être parfaitement formée pour savoir quand un client risque d’être exploité. Elle doit aussi pouvoir s’adresser à une chaîne de commandement fiable lorsqu’elle soupçonne qu’un client est particulièrement vulnérable ou victime d’une escroquerie.
En outre, une formation générale doit être accompagnée d’une bonne gouvernance. Pour s’assurer de la bonne application des politiques, des procédures et des rôles en matière de prévention de la fraude, il est important de bien structurer les rôles, et ce depuis la haute direction jusqu’à chaque équipe et chacun de ses membres. Même si chaque modèle de gouvernance est adapté pour répondre aux risques uniques d’un établissement, la plupart des programmes doivent intégrer certaines caractéristiques essentielles.
Le modèle des trois lignes de défense est une approche de la gouvernance validée par l’industrie en termes de gestion des risques. Il constitue un cadre solide pour les établissements qui définissent les rôles utiles pour réagir aux risques identifiés par leur EWRA personnalisée. PwC fournit une description utile des implications liées à chaque ligne.
Les établissements ont également intérêt à faire examiner leurs processus de gestion des risques par des tiers pour s’assurer que les trois lignes de défense sont bien responsabilisées.
La cybersécurité est cruciale pour garantir l’intégrité des données sensibles d’un établissement, leur protection contre des actes malveillants et leur conformité aux exigences réglementaires. Toutes les technologies utilisées par l’établissement doivent intégrer des mesures de cybersécurité. En outre, les établissements doivent former leurs employés à observer une cyber-hygiène de base. Ceci empêchera des attaques internes telles qu’un accès non autorisé à un compte ou du hameçonnage qui permettrait à un fraudeur de se faire passer pour une personne de confiance afin d’obtenir de l’argent ou des informations sensibles qui seront utilisées dans le cadre d’une manœuvre frauduleuse.
Les établissements natifs du numérique qui n’ont pas mis en place de programmes de récompenses à la détection de bugs – des programmes rémunérés destinés à tester les plateformes pour y rechercher de potentielles failles – devraient également envisager de déployer de tels programmes parallèlement à des tests d’intrusion planifiés à intervalles réguliers.
Une équipe dédiée à la sécurité de l’information est au cœur d’une cybersécurité efficace. Cette équipe doit être bien entraînée et savoir comment elle peut contribuer à prévenir la fraude d’origine interne. Les politiques de gouvernance de l’établissement en matière de prévention de la fraude doivent définir leurs rôles et leurs responsabilités.
Lorsqu’une fraude interne a lieu, il sera répondu que le temps n’est plus à la prévention. Toutefois, une réponse à la fois rapide et appropriée peut empêcher que l’incident ne prenne des proportions démesurées. Conformément à leur toute dernière évaluation des risques, les établissements doivent envisager les scénarios de fraude auxquels ils sont particulièrement exposés. Une stratégie de réponse peut être définie pour chaque scénario et validée par rapport aux pratiques du secteur. Ces scénarios peuvent notamment comprendre :
Une technologie appropriée est de plus en plus indispensable à une gestion des risques fiable. C’est ainsi que l’apprentissage automatique et l’intelligence artificielle facilitent la détection de risques qui, sinon, resteraient cachés. Les établissements peuvent s’en servir pour prévenir la fraude dans le cadre de leur obligation de vigilance raisonnable à l’égard des clients. Pour ce faire, ils doivent déployer des outils qui s’appuient sur le traitement du langage naturel (TLN) afin de consulter plus efficacement les médias défavorables lors de l’entrée en relation d’affaires avec un client.
À titre d’exemple, la solution de filtrage et de supervision des transactions propulsée par l’IA de ComplyAdvantage peut s’adapter à l’évolution des typologies de fraude. Cela peut également aider les établissements à mettre à jour leur stratégie de prévention de la fraude afin qu’elle intègre les risques les plus récents. De même, grâce à la solution de détection de la fraude de ComplyAdvantage, les établissements peuvent améliorer leur stratégie de prévention de la fraude en s’appuyant sur l’un des modèles d’apprentissage automatique les plus puissants qui non seulement détecte la fraude, mais explique aussi pourquoi chaque alerte a été créée.
En outre, les établissements peuvent réfléchir à la manière dont la technologie peut aider l’équipe chargée de lutter contre la fraude à mieux utiliser son temps et ses capacités d’analyse en réduisant le nombre de faux positifs et en offrant des renseignements de meilleure qualité. Même les établissements qui ne sont pas encore prêts à une refonte technologique peuvent tirer parti de la superposition de l’IA qui fournit une détection intelligente des risques et une hiérarchisation des alertes sur les plateformes existantes. Les établissements peuvent également auditer leurs outils existants pour s’assurer qu’ils prennent bien en charge une approche fondée sur le risque.
Comment l’apprentissage automatique aide-t-il les établissements à filtrer les transactions pour identifier des fraudes et le contournement des sanctions ?
Téléchargez le guidePublié initialement 30 avril 2024, mis à jour 03 mai 2024
En vedette
Avertissement : Ce document est destiné à des informations générales uniquement. Les informations présentées ne constituent pas un avis juridique. ComplyAdvantage n'accepte aucune responsabilité pour les informations contenues dans le présent document et décline et exclut toute responsabilité quant au contenu ou aux mesures prises sur la base de ces informations.
Copyright © 2024 IVXS UK Limited (commercialisant sous le nom de ComplyAdvantage)
FR
EN