La fraude interne est potentiellement la faille de sécurité la plus dévastatrice pour ce qui touche à la conformité. Les stratèges, les analystes et les enquêteurs spécialistes constatent depuis un moment que ce type de fraude est considérable et surtout en augmentation. Les cadres en première ligne dans les institutions financières rapportent que le trading pourri (rogue trading) et le blanchiment d’argent sont encore insuffisamment sous contrôle.
Malgré les règlementations établies par la FSA au Royaume-Uni, il n’existe toujours pas de directives détaillées sur la manière de mettre en place une solution efficace, et les acteurs semblent ne pas se concentrer suffisamment sur le problème. C’est notamment visible au niveau de la communication entre les différents systèmes de protection en place. Quand on met en place un programme efficace de surveillance des collaborateurs, conjointement avec un processus de gouvernance global, il faut aborder le comportement des collaborateurs en fonction d’un certain nombre de perspectives différentes, car les tentatives de contournement du système de détection seront souvent repérées comme anomalies dans une autre ère d’activités.
L’actuelle crise financière a eu pour effet d’exacerber la situation. Non seulement parce que cela a entraîné des pertes financières et des suppressions d’emploi, mais parce que cela a été suivi d’une augmentation sensible des fraudes internes et des fautes professionnelles. L’année passée, nous avons observé une recrudescence sérieuse des fraudes internes, avec des pertes estimées à environ 567 millions de Livres Sterling (£). Ce problème est envahissant et incroyablement complexe. Les fraudeurs deviennent de plus en plus créatifs et développent des systèmes de plus en plus sophistiqués pour mener à bien leurs activités frauduleuses.
Le cas d’Andrew Cumming, ancien conseiller clientèle travaillant dans les bureaux de la branche londonienne d’UBS, est un exemple récent et particulièrement significatif. Il a trouvé un nouveau type de moyen pour contourner les contrôles internes et dissimuler les pertes exceptionnelles dans son activité de trader. Concrètement, les documents signés par Cumming, qui officiait dans l’unité internationale de gestion des portefeuilles privés (wealth management) d’UBS, lui permirent de falsifier les prêts qui étaient ensuite utilisés pour combler les pertes résultant de ses opérations non autorisées. A la suite d’une enquête de la FSA, UBS a reçu une amende de 8 millions de Livres Sterling (£) pour défaillance de ses systèmes de contrôle, Cumming a été limogé et a également reçu une amende conséquente pour son rôle dans cette affaire.
Des incidents tels que cette affaire Cumming au Royaume-Uni, l’affaire Kerviel en France ou l’affaire Madoff aux Etats-Unis, ont sérieusement ébranlé la confiance des clients et des marchés. Fondamentalement, la confiance est la pierre de voûte de l’édifice financier global. N’importe quelle déficience dans la sécurisation des données provoque une onde dévastatrice atteignant tout autant les activités que le public, et peut entraîner des conséquences encore plus graves que les pertes directes résultant d’une fraude.
Ces cas majeurs de fraude liés aux activités de trading et les pertes financières associées perpétrés par des traders douteux ont également mis en lumière la vulnérabilité stratégique des institutions financières. Alors que la préoccupation principale avec ce genre d’activités demeure la crainte de pertes importantes, la vraie menace réside en réalité dans la capacité des établissements à mettre en place un système de contrôle qui puisse protéger toutes les facettes de leur stratégie commerciale. Une institution financière appliquant avec efficacité les règles opérationnelles de contrôle du risque, c’est celle qui, au travers de sa gestion des risques, optimisera le mieux sa rentabilité. Une institution qui laisse passer ce type de fraude joue purement et simplement avec sa vie.
Contrôle des risques
Le point commun dans les cas de fraudes internes, aussi bien dans l’affaire Kerviel que dans les nombreux autres petits cas mineurs observés chaque année, c’est qu’elles sont souvent détectées par l’un des nombreux systèmes de contrôle en silo mis en place par les sociétés. Quand un trader utilise un accès non autorisé du système pour effacer les traces des positions hautement risquées qu’il a prises, traces de cette activité sont enregistrées. En outre, pour de nombreuses catégories de traders, il est possible de comparer les différents aspects de leur comportement lors des opérations, les schémas d’accès aux systèmes et les risques liés aux profils, par rapport à d’autres traders similaires, afin d’affiner plus en profondeur et d’analyser une opération qui ne se limiterait pas à être suspecte, mais plus vraisemblablement le signe d’un schéma frauduleux plus large.
De nombreuses organisations de premier plan ont investi des millions de Livres Sterling dans leurs systèmes de conformité, de contrôle et de gestion des risques liés aux activités de trading. Cependant, ces systèmes ne savent pas nécessairement partager leurs informations, et encore moins de manière pertinente, pas plus qu’ils ne savent se concentrer en particulier sur les activités internes et le profilage des collaborateurs. De ce fait, ils exposent les organisations à des risques conséquents de fraudes internes.
Les indicateurs clés ou les signaux se déclenchent d’ordinaire dans les systèmes, alertant les spécialistes de la conformité d’une activité suspecte. Un collaborateur qui se connecte sur un terminal différent de celui qu’il utilise habituellement, qui travaille en dehors des horaires légaux, qui passe des opérations systématiquement au dessus de son seuil autorisé ou qui abuse des annulations, des collectes et des transferts de valeurs, tout cela participera à la constitution d’indicateurs clés. Le problème ici tient dans le fait que ces signaux sonnent dans des départements distincts d’une institution et, sans la mise en place d’une plate-forme de gestion centralisée, ils ne pourront être mis en commun et comparés les uns avec les autres.
Pour surveiller et prévenir la fraude de manière adéquate, les enquêteurs doivent être capables non seulement d’accéder et de se connecter à une quantité considérable de données, mais surtout aux bonnes informations, et ce de manière transversale, dans toute l’entreprise, tant au niveau du service des ressources humaines qu’à celui en charge de la conformité ou à celui des activités de trading. Une bonne communication entre les systèmes est absolument essentielle pour détecter une activité frauduleuse, quel que soit son type.
Les outils de surveillance et d’investigation doivent combiner des scénarios de détection à partir de plusieurs aires fonctionnelles afin de permettre une vision d’ensemble unifiée et globale de l’activité du trader, complétées par ses informations propres. A partir de cela, il sera possible de capter n’importe quelle fluctuation anormale dans les transactions, activité qui passerait inaperçue si on l’observe seulement à partir d’une seule entité ou d’une seule ligne d’activité. Etendre au maximum la surveillance permet de réduire le risque de voir une activité frauduleuse passer totalement inaperçue.
La technologie de dernière génération en matière de surveillance est capable de traiter les informations issues de tous les systèmes, par une plate-forme unique et des outils de gestion des flux qui analysent et surveillent les données transitant au travers des bases de données et des systèmes, et en tirent des schémas connus ou nouveaux - sans avoir à restructurer entièrement le système financier lui-même. Les indicateurs clés peuvent être intégrés dans la plate-forme et si ces indicateurs repèrent une séquence suspecte, alors il est plus que probable qu’une fraude est imminente, ou qu’elle vient d’avoir lieu.
Choisir les bons outils
Quels sont les bons outils? Ils doivent représenter une solution qui enregistre et analyse toutes les activités de l’enquêteur, créant des rapports d’audit à associer avec la surveillance des collaborateurs dans leurs activités transactionnelles, permettant aux organisations d’être en conformité avec la FSA et les autres organes de régulation. Obtenir la bonne solution pour un aspect aussi important que la conformité est crucial, et de nombreux facteurs doivent être pris en compte dans le processus décisionnel.
Dans le processus de profilage, il convient d’intégrer à la fois l’étude du comportement, les similitudes et l’historique dans la surveillance des multiples couches de données, avec pour finalité la détection des modèles problématiques. Ce genre d’analyse permet une étude plus réaliste des activités d’un trader et rend la détection plus précoce et plus proactive.
Une méthodologie de détection rigoureuse est nécessaire pour étudier avec réalisme l’activité d’un trader et établir une échelle de risques suivant l’agrégation des avertissements et du système de prédiction de la fraude avec de multiples niveaux d’alertes. Chaque cas signalé doit donc être enregistré et classé en interne. Lorsque des cas additionnels surviennent, l’algorithme de détection doit être capable d’évaluer l’impact cumulatif et développer un classement global du risque. Les alertes qui en découleront, en provenance de canaux divers, devront dès lors être dirigées vers une interface unifiée et consolidée pour la gestion générale.
Une autre bonne solution à adopter réside dans la capacité de détecter les formules itératives de transactions suspectes en développant et en référençant les profils élaborés des traders, profils construits à partir de plusieurs sources, telles que l’historique de ses données d’activité, les comparaisons avec des groupes identiques et des règles de base. Les processus analytiques s’appuyant sur les meilleures pratiques peuvent alors utiliser les profils créés pour comparer les comportements et détecter ceux qui peuvent être suspects.
L’emploi d’outils d’analyse est important non seulement parce qu’il s’agit d’un moyen efficace pour repérer les collaborateurs impliqués dans des fraudes plus modernes et sophistiquées, mais surtout parce que cela permet de réduire considérablement les faux positifs. L’un des défis les plus importants que soulève le système de surveillance des collaborateurs tient dans le fait que, en conformité avec les conseils de régulation européens, les institutions financières sont tenues d’enquêter sur toute indication d’activité illégale de la part d’un collaborateur dont le service de sécurité ou en charge des audits serait informé. L’une des missions fondamentales dans un processus global de gouvernance a pour forme la production de preuve réelle afin d’éviter d’exposer les institutions à d’importants volumes de fausses alarmes inoffensives.
Si les scénarios et les règles représentent une part importante dans un programme de surveillance des collaborateurs, seul un système utilisant des modèles analytiques comprenant du profilage peut résoudre le dilemme des faux positifs auquel sont confrontés les enquêteurs internes en charge de la fraude. Une solution analytique capable d’embrasser ces questions permet aux enquêteurs de pouvoir consacrer plus de temps à enquêter sur un nombre plus restreint de collaborateurs classés à haut risque et de pouvoir également relever le défi des pertes liées aux fraudes, aux risques et à l’opérationnel, propres au problème des faux positifs.
Relier les points entre eux
La fraude et les contrôles internes sont typiquement perçus comme quelque chose qui devrait entraîner un retour sur investissement immédiat, en stoppant en interne des pertes plus petites, de manière immédiate, au quotidien. Si ces systèmes doivent être capables de bloquer les attaques internes simples, et amélioreront ainsi leur productivité en matière d’investigation, cela ne doit pas représenter leur seule fonction. Les cadres supérieurs doivent être capables d’évaluer le risque qu’une fraude interne majeure survienne. Même si une fraude d’une ampleur de celles précitées n’arrive a priori (et au pire) qu’une fois dans une carrière, quel effet a-t-elle sur le bilan et la réputation d’une société?
Le secteur a besoin d’adopter des outils de surveillance capables de prendre en compte toute la complexité d’une entreprise, pour lutter contre les menaces internes autant qu’externes. Une approche réaliste consiste à exploiter les systèmes d’alerte existants, où qu’ils soient implantés - que ce soit dans un service ou au niveau de l’entreprise. Les organisations ont besoin d’intégrer les informations provenant de tous les canaux possibles dans l’entreprise, par le biais d’un environnement de gestion de cas et d’investigation intuitif avec l’appui de processus analytiques qui peuvent «relier les points entre eux», en calculant le risque opérationnel auquel exposent l’entreprise un trader ou un groupe de transactions.
Pour expérimenter une approche concrète et pratique de la surveillance de ses collaborateurs, une institution financière doit être capable tour à tour de corréler les informations provenant de multiples silos, des services en charge de la gestion des risques, des opérations, de la conformité des transactions, de la sécurité informatique ou de la protection de l’entreprise; et de mettre en place plusieurs couches de processus analytiques pour détecter les anomalies caractéristiques d’une activité frauduleuse. Ce faisant, elle se donne tous les moyens pour repérer le plus tôt possible les amorces de fraude et garantit le succès du dispositif de surveillance et de contrôle des risques de non conformité.