Aperçu
J.S. Held publie ses perspectives sur les risques et les opportunités qui devraient avoir un impact sur les organisations en 2025
En savoir plusLe début de 2020 a vu l'augmentation rapide des cas de COVID-19 et à la mi-2020, la pandémie s'était propagée à un rythme si alarmant sans vaccin en vue que les gouvernements à travers le monde se sont tournés vers les confinements et les fermetures de frontières pour contenir sa transmission. En conséquence, l'État, les entreprises et les autres institutions privées ont dû modifier radicalement leur fonctionnement traditionnel. Craignant que la situation sanitaire ne dure, la plupart des organisations ont adopté une culture du travail à distance, qui a persisté même après que le virus COVID-19 a été maîtrisé.
Il en a résulté une normalisation de la culture du travail à domicile. Ce phénomène s'explique en grande partie par la préférence des employés pour un meilleur équilibre entre vie professionnelle et vie privée, la suppression des temps de trajet et une meilleure efficacité. Certaines organisations étant également favorables à la réduction des frais généraux, nombre d'entre elles ont opté pour des bureaux plus petits et la mise en place d'un système de « hotdesking », qui constiste à avoir un seul poste de travail pour plusieurs travailleurs, qui l'utilisent à des moments différents.
Cet article se penche toutefois sur les risques d'un tel scénario de travail à distance non planifié et explique pourquoi les organisations doivent évaluer et limiter le risque de fraude des employés dans ce nouvel environnement de travail, où les contrôles internes traditionnels sont inefficaces.
Si la COVID-19 a radicalement modifié l'environnement de travail des entreprises, certains secteurs ont été plus à l'aise pour adopter une culture de travail à distance ou hybride à long terme. Avant la pandémie, seuls certains secteurs comme l'informatique, la comptabilité et les services techniques offraient aux employés la possibilité de travailler à distance. Mais les secteurs sensibles à l'information comme la banque, l'assurance, les soins de santé, l'éducation et la construction n'avaient pas ou peu de place pour de tels arrangements. En novembre 2020, une analyse menée par le Global Institute de McKinsey aux États-Unis a indiqué que les secteurs de la finance et de l'assurance sont ceux qui offrent le plus de possibilités et de flexibilité en matière de travail à distance, comme le montre le graphique ci-dessous. [1]
La pratique prolongée du travail à domicile a conduit les employés des entreprises à réévaluer leurs priorités en matière de vie professionnelle et de vie privée, notamment à la suite des décès massifs et de la crise sanitaire provoquée par la COVID-19. De nombreux employés ont déménagé dans leur ville d'origine pour se rapprocher de leur famille, tandis que plusieurs autres ont été contraints de suivre un régime de santé spécifique. Une enquête menée par Gartner auprès des directeurs financiers révèle qu'après la COVID-19, près de 50 % des employés préfèrent travailler à distance. [2]
Le travail à domicile ou le modèle hybride a beaucoup été qualifié comme étant le point positif de la COVID-19, car il a fait prendre conscience aux employés et aux organisations que beaucoup de tâches pouvent être réalisées en dehors des murs du bureau. Cependant, alors que nous nous réjouissons tous de la possibilité de passer moins de temps dans les embouteillages, d'avoir plus de temps pour les loisirs et de mieux concilier vie professionnelle et vie privée, nous devrions prendre du recul et évaluer comment ce changement affecte le risque de l'organisation. Lorsque les organisations prévoient un changement majeur dans leurs opérations, un protocole de gestion du changement approprié doit être suivi. Cela nécessite la contribution des gestionnaires de risques pour s'assurer que les changements proposés ne compromettent pas la sécurité de l'organisation ou n'affectent pas négativement ses opérations.
Étant donné que le modèle de travail à distance était un concept relativement nouveau pour la majorité des entreprises qui ont pris ce virage pendant la pandémie, aucune planification de la gestion du changement n'a été entreprise. Toutefois, si les entreprises envisagent de passer à un modèle de travail à distance ou hybride sur une base plus permanente, un tel proccessus doit être initié pour découvrir les failles qui peuvent avoir des conséquences catastrophiques si elles ne sont pas traitées. Du point de vue d'un examinateur des fraudes, l'évolution de l'environnement de travail entraîne des risques plus élevés et, bien que leur ampleur puisse varier selon le secteur et l'organisation, les principales menaces comprennent le vol de données, la cybercriminalité et la fraude professionnelle, comme indiqué ci-dessous.
Le vol de données est le fait de dérober des informations informatiques à une victime inconnue dans le but de compromettre la vie privée ou d'obtenir des informations confidentielles. Dans l'environnement informatique actuel, les entreprises considèrent les données comme leur bien le plus précieux et, par conséquent, les lieux de travail traditionnels ont intégré différents niveaux de sécurité pour la protection des données. En tant qu'épine dorsale de l'économie mondiale, les entreprises de services financiers disposent de politiques strictes en matière de confidentialité des données et de systèmes informatiques pour protéger les informations confidentielles. Par conséquent, avant la pandémie, la plupart des institutions financières n'étaient pas favorables au travail à distance, car il peut impliquer l'accès à des informations sensibles depuis l'extérieur du réseau de l'entreprise. Toutefois, en pleine pandémie, ces organisations ont dû trouver des solutions de contournement pour permettre aux employés d'accéder à ces informations depuis leur domicile afin d'éviter toute interruption des activités.
De même, d'autres secteurs ont été contraints de fournir un accès aux données de l'entreprise et des clients sur les Wi-Fi publics non protégés, les fournisseurs d'accès à domicile et le transfert de fichiers entre les appareils professionnels et personnels. Le partage des appareils, tels que les ordinateurs portables, les routeurs et les imprimantes, est également courant dans un environnement de travail à domicile et constitue une menace supplémentaire lorsque des colocataires ou des membres de la famille travaillent pour des organisations différentes. De même, lorsque plusieurs personnes travaillent à domicile, la probabilité que des cooccupants écoutent des conversations professionnelles sensibles augmente. Les entreprises doivent également être conscientes du fait que des données peuvent se trouver entre les mains d'employés mal intentionnés, qui pourraient les utiliser pour obtenir des gains mal acquis. Une telle violation des données confidentielles pourrait entraîner des conséquences juridiques, une perte de confiance des clients et une atteinte à la réputation.
Pour faire face à ce risque, les services informatiques devraient envisager de renforcer les mesures de sécurité par l'utilisation de VPN et demander à tous les employés d'utiliser des réseaux domestiques sécurisés, de créer des mots de passe complexes et de régler les paramètres de leurs ordinateurs pour qu'ils se verrouillent après de courtes périodes d'inutilisation. En guise de protection supplémentaire, des entreprises ont également mis en place une authentification multifactorielle et organisé une formation annuelle sur la sécurité et la confidentialité des données, qui aborde notamment les conséquences d'une violation des données. Au niveau organisationnel, il est possible de demander à tous les employés de lire et de signer une politique d'utilisation acceptable des appareils électroniques, des médias sociaux et des données de l'entreprise.
Quand avez-vous installé pour la dernière fois un patch de sécurité sur votre ordinateur personnel ? De quand date la dernière exécution de votre logiciel anti-virus ? Quand la période de garantie de votre imprimante personnelle prend-elle fin ? La plupart des gens ne penseraient pas à installer les correctifs de sécurité et se tenir au courant des dernières mises à jour de sécurité, malgré les demandes par e-mails de l'équipe informatique en ce sens. Ainsi, les employés laissent involontairement la porte ouverte aux cyber-attaques. En outre, les employés travaillent souvent à domicile pendant de longues heures et à des horaires irréguliers, et doivent baisser la garde tout en assumant simultanément des responsabilités professionnelles et personnelles. Par conséquent, ils peuvent être facilement victimes d'hameçonnage, d'attaques par déni de service, d'usurpation d'identité et d'attaques par rançongiciel.
Les organisations peuvent tester leurs employés en concevant leurs propres attaques de hameçonnage afin d'identifier les employés crédules, qui pourraient alors recevoir une formation ciblée sur les cyberactivités malveillantes. En outre, les services informatiques doivent maintenir le contrôle des mises à jour et des installations de logiciels, de sorte que l'utilisateur individuel ne puisse pas passer outre ces contrôles sans les droits administratifs accordés par les services informatiques. Il devrait en être de même pour les employés qui optent pour utilisation de leurs équipements informatiques personnels dans un contexte professionnel, afin de s'assurer que les réseaux et systèmes de l'entreprise ne sont pas mis en danger par des protocoles de sécurité défaillants sur les appareils personnels des employés.
Si le vol de données et la cybercriminalité sont des exemples d'attaques externes, les organisations sont confrontées à la plus grande menace que représentent les employés non supervisés. Examinons maintenant le risque accru de fraude dû au changement d'environnement de travail à travers le prisme du triangle de la fraude, qui « stipule que les individus sont motivés à commettre une fraude lorsque trois éléments sont réunis : 1) une certaine pression perçue 2) une certaine opportunité perçue 3) un moyen de rationaliser la fraude comme n'étant pas incompatible avec ses valeurs. » [3]
1. Pression perçue
La pandémie étant derrière nous, les entreprises ont repris leurs activités avec enthousiasme, la concurrence pour les parts de marché étant plus forte que jamais dans tous les secteurs. Toutefois, les entreprises se remettent encore des répercussions négatives de la pandémie, notamment les perturbations de la chaîne d'approvisionnement et la perte de contrats à long terme, entre autres. Par conséquent, toutes les organisations n'ont pas été en mesure de retrouver les niveaux de performance et de primes à attribuer au personnel qu'ils avaient acquis avant la pandémie.
D'un point de vue macroéconomique, la demande accumulée après la pandémie et l'invasion russe de l'Ukraine ont fait grimper l'inflation à des niveaux record dans le monde entier. [4] L'augmentation du coût de la vie, associée à une augmentation marginale, voire nulle, des salaires, crée une pression financière sur les employés, qui peuvent être tentés de faire quelques économies pour avoir une longueur d'avance.
2. Opportunité perçue
Un environnement de travail à distance ouvre la porte au vol et à la fraude, car les contrôles physiques, l'accès au réseau et les protocoles de sécurité informatique, ainsi que la surveillance de l'encadrement, sont assouplis. Dans ce modèle de travail, les entreprises offrent à leurs employés la possibilité d'accéder à des données et des documents confidentiels depuis leur domicile, tout en prenant des mesures de sécurité. Cependant, ces contrôles ne sont pas aussi efficaces que ceux effectués sur un lieu de travail physique, où les employés sont dissuadés par une caméra de vidéosurveillance, une adresse IP privée et une surveillance étroite par les superviseurs.
3. Rationalisation
La COVID-19 a fait des ravages non seulement sur la santé des gens mais aussi sur leur salaire. De nombreux salariés licenciés pendant la pandémie ont dû accepter des postes à des salaires inférieurs, tandis que d'autres ont accepté une baisse de salaire chez leurs employeurs actuels. En outre, ces employés ont une interaction physique et des liens limités avec leurs collègues et, de ce fait, les rapports interpersonnels et les liens entre les membres de l'équipe sont plus faibles qu'ils ne l'auraient été s'ils avaient travaillé côte à côte dans des bureaux physiques. De plus, la distance physique, qui permet de s'éloigner émotionnellement de l'équipe ou de l'organisation dans son ensemble, facilite la rationalisation des actes répréhensibles par les employés individuels, qui justifient leurs actions en les considérant comme un phénomène courant ou comme une réponse appropriée au fait d'être dévalorisé. Comme nous l'avons mentionné précédemment, l'ère post-pandémique continue de poser des difficultés financières, ce qui peut faciliter la rationalisation de l'obtention de gains financiers abusifs lorsque les employés ont l'impression que les entreprises prospèrent mais ne récompensent pas équitablement leurs travailleurs.
En comprenant les pressions, les rationalisations et les opportunités qui peuvent conduire à un comportement répréhensible des différents employés, les professionnels de la lutte contre la fraude peuvent concevoir des mesures pratiques pour modifier les contrôles internes actuels et/ou développer de nouveaux moyens pour limiter le risque de fraude dans un environnement de travail à distance.
Nous allons ensuite nous pencher sur les fraudes professionnelles les plus répandues dans ce cadre de travail modifié et examiner les méthodes permettant de faire face à ces risques.
En comprenant les pressions, les rationalisations et les opportunités qui peuvent conduire à un comportement répréhensible des différents employés, les professionnels de la lutte contre la fraude peuvent concevoir des mesures pratiques pour modifier les contrôles internes actuels et/ou développer de nouveaux moyens pour limiter le risque de fraude dans un environnement de travail à distance.
Nous allons ensuite nous pencher sur les fraudes professionnelles les plus répandues dans ce cadre de travail modifié et examiner les méthodes permettant de faire face à ces risques.
Dans un environnement de travail à distance, les managers ont peu de possibilités de surveiller la façon dont les employés passent leur journée. Souvent, les tâches peuvent être accomplies plus rapidement, mais les employés peuvent choisir de ne pas en informer leurs supérieurs, qui pourraient alors leur confier du travail supplémentaire. Ce phénomène est connu sous le nom de vol de temps, lorsqu'un employé reçoit une rémunération pour avoir travaillé un certain nombre d'heures sans avoir effectivement travaillé pendant toute la durée indiquée.
Pour lutter contre le vol de temps, il est possible de supprimer la tentation en modifiant les indicateurs clés de performance (ICP) pour passer d'objectifs basés sur le temps à des objectifs basés sur les résultats. Au lieu de fixer des objectifs en fonction du seul niveau d'expérience du personnel, les managers devraient analyser activement les forces et les faiblesses de leurs subordonnés et fixer des objectifs individuels en conséquence. Par exemple, un employé peut avoir une parfaite maîtrise du logiciel Excel et donc être capable d'effectuer une tâche de tri de données plus rapidement qu'un autre employé, qui n'est pas aussi familier avec ce logiciel et ses fonctions.
Les entreprises peuvent également envisager les mesures suivantes et appliquer celles qui correspondent à leur éthique organisationnelle :
Le Cambridge Dictionary définit le travail dissimulé, ou travail au noir comme « le fait d'exercer un emploi supplémentaire, plus particulièrement sans en informer son employeur principal. » [5] Les cadres ont généralement une clause dans leur contrat qui leur interdit de prendre un autre emploi. Dans le cas du travail à domicile, il est plus facile d'enfreindre cette clause et de cumuler plusieurs emplois depuis le confort de son domicile. Toutefois, ce faisant, les employés risquent de compromettre les données de l'entreprise et les informations relatives aux clients, et pourraient même se livrer à un vol de propriété intellectuelle, s'ils travaillent avec deux entreprises concurrentes.
Récemment, en septembre 2022, les géants indiens de l'informatique, Wipro et Infosys, ont envoyé un message très clair à leur personnel pour lui signifier qu'ils ne toléreraient pas le travail dissimulé. Le premier a même licencié 300 employés en raison de suspicions de travail au noir. Cependant, le ministre d'État indien à l'électronique et aux technologies de l'information a défendu cette pratique, déclarant : « Nous sommes dans l'ère des employés-entrepreneurs et les entreprises doivent à présent comprendre qu'il y a eu un changement structurel dans les mentalités et les attitudes de la jeune main-d'œuvre technologique indienne. » [6] À la lumière de ces évolutions de tendances, les entreprises doivent envisager d'élaborer une politique claire sur le double emploi, en précisant les termes et conditions de celui-ci, s'il est autorisé.
Parmi les autres fonctions de soutien, les activités liées aux ressources humaines et à la paie fonctionnent également à distance. Dans les grandes organisations, en particulier dans le cas des travailleurs cadres, les entreprises peuvent conclure des accords selon lesquels les salaires sont virés sur les comptes bancaires des employés. Dans de tels cas, le dispositif de vérification des tâches est également intégré dans le logiciel de planification des ressources de l'entreprise (ERP) ou dans les matrices d'approbation des entreprises. Toutefois, dans les petits établissements, le paiement des salaires peut se faire en espèces ou par chèque. En ce qui concerne les paiements par chèque, le travail à distance entrave le système de vérification des tâches, laissant à la personne qui rédige le chèque une plus grande possibilité de falsifier les paiements. Pour décourager ce type de fraude, les entreprises peuvent envisager de passer au transfert électronique des montants sur les comptes bancaires des employés, car cela représente des coûts négligeables par rapport au coût élevé de la fraude. Il est également possible de demander aux employés du service de paie d'effectuer des tâches sensibles, comme le versement et la validation des salaires et d'autres paiements importants, depuis leur bureau. Ceci est particulièrement applicable lorsque l'entreprise n'a pas recourt à une plateforme ERP pour les ressources humaines ou les fonctions financières.
De même, les personnes travaillant dans les ressources humaines ont une plus grande probabilité de collaborer avec les agences de recrutement qui les aideraient à repérer des candidats, surtout lorsque leurs conversations ont lieu en dehors du bureau, à l'abri des oreilles des collègues. Pour prévenir de tels cas de fraude, les entreprises peuvent envisager une surveillance régulière et à distance de leurs e-mails, dans le cadre de laquelle des analyses judiciaires des données sont effectuées pour identifier les communications suspectes. De même, il est conseillé d'interdire aux employés de communiquer avec des vendeurs externes en dehors des systèmes de communication autorisés de l'entreprise, qui peuvent être surveillés. Ces mesures auront au moins pour effet de faire craindre aux employés que leur mauvaise conduite puisse être découverte, ce qui peut avoir un effet dissuasif.
Le travail à distance était une solution imprévue et transitoire pour la plupart des organisations, mais ce phénomène est appelé à perdurer. Les organisations doivent donc évaluer les vulnérabilités de ce modèle et donner à leur personnel la formation et les outils nécessaires pour contrecarrer efficacement les menaces de cybercriminalité et de vol de données. Les entreprises doivent également reconnaître les pressions et les opportunités que cet environnement de travail présente pour les employés et s'efforcer de modifier les mesures de surveillance ainsi que de développer une atmosphère dissuadant les employés de bafouer l'éthique de l'entreprise. L'objectif est de considérer cette tendance comme un projet de gestion du changement à l'envers, dans lequel l'identification et la limitation des risques doivent être entreprises après la mise en œuvre.
Nous tenons à remercier Savita Nair et Vrinda Thakore, dont les connaissances et l'expertise ont grandement contribué à cette recherche.
Vrinda Thakore est associée au sein du cabinet d'enquêtes internationales de J.S. Held en Asie du Sud. Basée à Bombay, Vrinda a de l'expérience dans les enquêtes sur les fraudes et les entreprises, le devoir de diligence, la veille économique, l'analyse de données et les examens de processus dans divers secteurs. Avant de rejoindre J.S. Held, Vrinda était associée à des cabinets d'expertise comptable indiens, où elle s'occupait principalement de fraudes et d'enquêtes sur les entreprises, ainsi que d'affaires impliquant des plaintes de lanceurs d'alerte. Elle a également géré des audits et des enquêtes judiciaires.
Vous pouvez contacter Vrinda à l'adresse [e-mail protégé]«
Cet article passe en revue les risques inhérents qui pèsent sur la protection des données électroniques des clients et les plateformes basées dans le cloud résultant du travail à distance. Il explique également pourquoi il est important pour les utilisateurs...
Cet article se penche sur les deux rôles importants, quoique différents, que joue le comptable judiciaire dans la mesure des pertes d'employés et sur la façon dont il peut, dans le cours normal de l'analyse, trouver des cas de fraude qui...