CONTROLE DES rib

Avec la fraude au président, la fraude aux coordonnées bancaires est de plus en plus répandue. Nous vous avons présenté dans un précédent article Vox Fi comment sécuriser vos communications bancaires en utilisant le protocole EBICS TS et la signature électronique. Comme promis, nous détaillons ici les moyens internes à l’entreprise pour déjouer les tentatives de fraude au changement d’IBAN fournisseur.

Fraude aux coordonnées bancaires : Comment ça se passe ?

Un fournisseur vous appelle pour vous signaler qu’il a changé d’IBAN. Quoi de plus classique, les relations bancaires sont des relations commerciales comme les autres. Elles vont, elles viennent ! Il vous fait parvenir le nouveau compte bancaire par mail, accompagné de la dernière facture non réglée. Vous changez l’IBAN du fournisseur dans votre logiciel, le règlement est effectué sur le nouveau compte.

Quelques semaines plus tard, le fournisseur vous relance pour le règlement de cette facture. Vous le recontactez et découvrez qu’il n’a jamais changé de banque : vous avez été victime d’un détournement de trésorerie. Vous découvrez d’ailleurs à ce moment que l’escroc a contacté le fournisseur en usurpant votre identité, il a ainsi obtenu une copie de la dernière facture non réglée, soi-disant égarée.

De plus en plus courante, la fraude au changement de coordonnées bancaires est certes moins spectaculaire que la fraude au président, mais tout aussi efficace. De quels moyens l’entreprise dispose-t-elle pour ne pas en être victime ?

Fraude aux coordonnées bancaires : la communication ne fait pas tout !

Evidemment, la sensibilisation des comptables, qui sont à l’origine des paiements fournisseurs, est essentielle. Leur donner comme instruction de recontacter le fournisseur pour s’assurer de la réalité du changement de banque est une bonne pratique. Mais comme toute bonne pratique qui n’est pas supportée par les outils assurant leur bonne mise en œuvre, elle risque de ne pas être appliqué en cas de moment d’inattention.

D’autre part, cette bonne pratique ne couvre pas un autre risque : la fraude interne. Vous avez beau avoir toute confiance en votre comptable fournisseur (20 ans de boite, quand même. Il fait partie des murs !), celui-ci n’est pas à l’abris d’une difficulté financière passagère. Et comme on dit : l’occasion peut faire le larron !

Fraude aux coordonnées bancaires : un système d’information défaillant

Une des difficultés pour contrer ce type de fraude réside dans l’interaction entre les différents systèmes d’information. Le fichier de virement est généralement émis par le logiciel comptable. Il est ensuite pris en charge sans aucun contrôle par le logiciel de communication bancaire pour être signé et transmis à la banque.

Plusieurs points de fragilité existent alors dans la chaine de paiement :

  • L’IBAN enregistré dans le logiciel comptable peut généralement être changé par le comptable sans autre contrôle ou validation,
  • Le fichier de virement généré par le logiciel comptable est aisément modifiable. Un changement de RIB de pose pas de difficulté technique,
  • Le fichier de virement ne peut être considéré comme « infalsifiable » qu’à partir du moment où il est signé électroniquement. Mais le signataire (DAF ou dirigeant) est bien incapable de vérifier les IBAN des fournisseurs lors de chaque virement !

Force est de constater que les procédures de paiement par virement en place dans les entreprises sont souvent de véritables passoires…

Pour sécuriser ces procédures, il est nécessaire d’appliquer les règles de base du contrôle interne.

Mesure antifraude : la séparation des fonctions et des outils

Il est évident pour tout contrôleur interne que la séparation des fonctions est un élément essentiel de la prévention des risques. Dans le cas qui nous intéresse, deux rôles sont identifiables :

  • Le comptable a un rôle d’exécution: il change l’IBAN et émet les fichiers de virement,
  • Le trésorier, dans le cadre de sa mission de gestion des risques liés à la trésorerie, à un rôle de contrôle: Il s’assure que le changement de coordonnées bancaires est réel et que les fichiers de virements n’ont pas été falsifiés.

Pour cela, chaque acteur doit disposer de ses propres outils et de son propre référentiel d’IBAN dont il est responsable :

  • Le comptable utilise le logiciel de comptabilité, dans lequel il enregistre les IBAN des fournisseurs qui serviront à générer le fichier de virements
  • Le trésorier utilise le logiciel de communication bancaire, dans lequel il enregistre les IBAN des fournisseurs après avoir pris soin de vérifier le changement par un contre appel. Ce référentiel servira à contrôler l’IBAN du fichier de virement.

Concrètement, les opérations se déroulent comme suit :

Changement d’IBAN avec contre vérification

Lors d’une demande de changement de coordonnées bancaires émise par un fournisseur, celle-ci est traité par le comptable : il enregistre ce nouvel IBAN et informe le trésorier de la demande.

Le trésorier prend contact avec un interlocuteur habituel et connu de l’entreprise (commercial, chargé d’affaires, …), et non pas un contact mentionné dans la demande de changement de RIB, qui pourrait être l’escroc lui-même. Si le changement est confirmé, le trésorier renseigne ce nouveau RIB dans le logiciel de communication bancaire, avec un nom identique à celui utilisé dans le logiciel de comptabilité. S’il s’agit d’une fraude ou d’une erreur, le trésorier informe le comptable qui annule sa modification.

Afin de couvrir le risque de collusion entre le trésorier et le comptable, la modification d’IBAN dans le logiciel de communication bancaire pourra être soumise à une validation par un décisionnaire pour être activée.

Envoi des virements avec contrôle des IBAN

Le comptable émet un fichier de virement. Lors de sa prise en compte par le logiciel de trésorerie, un contrôle des IBAN est automatiquement et systématiquement effectué. Pour chaque bénéficiaire d’un virement, son IBAN doit exister dans le référentiel du logiciel de communication bancaire, et le nom du bénéficiaire dans ce référentiel doit correspondre au nom inscrit dans le fichier.

Si un bénéficiaire est en erreur, alors le trésorier se rapproche du comptable pour décider des suites à donner. Soit l’ensemble du fichier de virement est rejeté, soit le virement en erreur est retiré et le reste du fichier (qui est conforme) est envoyé en signature. Il va de soi qu’aucune information ne peut être modifiée à ce moment.

Le signataire des virements, qui visualise les noms des fournisseurs, a donc l’assurance que l’IBAN associé à chacun des fournisseurs qu’il contrôle fait l’objet d’un consensus entre le comptable et le trésorier (et le décideur le cas échéant). Les principes de séparation des fonction – exécution et contrôle – sont respectés.

Contrôle des IBAN : pensez aux salariés, associés, ….

Nous avons parlé des fournisseurs, mais peut-être payez-vous vos salariés par virement ? Peut-être même les dividendes à vos associés ?

La mise en place du contrôle des IBAN dans le logiciel de communication bancaire permet de sécuriser également les changements de coordonnées bancaires de ces bénéficiaires. En effet, en disposant d’une solution de contrôle indépendante du logiciel de comptabilité, la même procédure est applicable dans le cadre du traitement de la paie. L’interlocuteur du trésorier sera alors le gestionnaire de paie.

Cette procédure est également applicable aux virements de dividendes générés par le super classeur Excel bricolé par le stagiaire du service compta (Ah non, ça n’arrive jamais, ça !).

La mise en œuvre d’un outil de communication bancaire permettant le contrôle des IBAN, associée à l’utilisation du protocole EBICS TS, permet donc de lutter efficacement contre la fraude au détournement de trésorerie. En se dotant de tels moyens, l’entreprise peut rapidement transformer une situation de « passoire » en situation sous contrôle par l’élimination des « occasions qui font le larron ».

 

Cet article a été publié sur Vox-Fi le 23 juin 2016.