Les
ate
liers
de
l’A
FTE
Mise en place de contrôles Synthèse des principaux contrôles à mettre en œuvre
1 LES JOURNEES DE L'AFTE
• Création / modification seulement à partir de document justificatif
• Vérification que la création / modification correspond à la demande d’origine
• Séparation des tâches • Contrôle des données
après l’interface • Vérification du journal
des anomalies • Réconciliation régulière
des bases de données • Vérification régulière
des pistes d’audit • Investigation
approfondie si nécessaire
• Création d’un circuit de réception des factures sécurisé
• Vérification de l’existence du fournisseur dans la base de données
• Enregistrement des factures sur la base des documents justificatifs
• Réconciliation de la facture avec le bon de commande
• Séparation des tâches • Mise en place d’un
paramétrage approprié des droits et des accès dans l'ERP
• Paramétrage approprié des droits et des accès dans l'ERP
• Paramétrage des instructions de règlement (SSI) dans le système
• Contrôle des coordonnées bancaires dans la base de données
• Contrôle informatique : réconciliation automatique et alerte en cas d’écart
• Mise en place de listes de signataires avec des seuils de montant
• Validation de la conformité de la méthode de paiement avec la politique de paiement
• Séparation des tâches • Contrôle régulier de la
liste des signataires
• Rapprochement des données après génération de la demande de paiement
• Accès restreint au répertoire des fichiers de paiement
• Validation sur la base de documents justificatifs
• Mise en place de listes de signataires avec des seuils de montant
• Sécurisation de l’environnement informatique
• Paramétrage des logs • Accès restreint aux
chéquiers et papier à en-tête pour le paiement par fax
• Réconciliation des chèques/fax émis avec la demande de paiement
• Contrôle du journal des anomalies après l'intégration des prévisions de l'ERP dans le TMS
• Contrôle d’intégration automatique des mouvements banque
• Paiement manuel : réconciliation des mouvements prévues avec les demandes de paiement
• Vérification de la réception et intégration de l’intégralité des relevés de compte
• Réconciliation des mouvements prévus avec les relevés de compte quotidiennement
• Identification et explication de tous les écarts
Base Fournisseur Facturation Paiement Flux bancaire Réconciliation bancaire
Les
ate
liers
de
l’A
FTE
2 LES JOURNEES DE L'AFTE
Problématique de sécurisation des paiements Audit Control Testing – PwC Methodology
1- Conduite d’Entretiens • Effectuer des entretiens
avec les responsables des processus clés pour mettre à jour la compréhension du processus de bout-en-bout par typologie des transactions
4- Revue des Contrôles • Vérifier la correcte mise en
œuvre du cadre de contrôle interne par un testing des contrôle (tests sur l'échantillon) et / ou la réexécution (substitution au contrôleur) des contrôles
3- Revue de la Conception • Vérifiez que le cadre de
contrôle couvre de manière adéquate tous les risques identifiés (penny test)
2- Identification des Risques • Identifier tous les risques
pouvant survenir au cours du processus (sources probable d’inexactitude et de fraude)
Les
ate
liers
de
l’A
FTE
Comment la banque participe à la lutte contre la fraude ?
3 LES JOURNEES DE L'AFTE
Les
ate
liers
de
l’A
FTE
4 LES JOURNEES DE L'AFTE
Le Groupe BRED
Quelques chiffres:
Spécificités :
- Salle des marchés
- Direction internationale
- Direction informatique
- Une démarche projet transversale pour répondre aux besoins spécifiques clients
➔ 5250 collaborateurs, dont 20 % à l’international et dans les COM. ➔ Plus d’1million de clients en France. ➔ Plus de 150 000 sociétaires. ➔ 3,2 milliards d’euros de capitaux propres à fin 2015. ➔ En 2015 la BRED dépasse le milliard d’euros de PNB ➔ Banque du Groupe BPCE, 2ème groupe bancaire en France.
Les
ate
liers
de
l’A
FTE
5 LES JOURNEES DE L'AFTE
BRED banque de flux
Acteur majeur du processus de paiement des entreprises :
640 millions d’opérations de SCT et SDD émis en 2015
8,8 millions d’opérations à l’international
Partenaire des institutionnels dont les caisses de retraite, URSSAF, de grands remettants de la grande distribution et de sociétés de service, opérateurs téléphoniques.
Les
ate
liers
de
l’A
FTE
6 LES JOURNEES DE L'AFTE
Dispositifs interne de lutte contre la fraude
Comité de lutte contre la fraude
« s’assure de la pertinence du dispositif de lutte contre la fraude du Groupe Bred, en coordination avec les
dispositifs Groupe BPCE »
Sensibilisation des collaborateurs Formations les réflexes à adopter
Assurer la transversalité de l’information
Suivi au plus haut niveau des dispositifs
Les
ate
liers
de
l’A
FTE
7 LES JOURNEES DE L'AFTE
Dispositifs interne de lutte contre la fraude
Sécurisation de nos processus de traitement
3 canaux en exemple:
<700 000 opérations
PAPIER
virement SEPA /trésorerie
27,5 % d’ordres confirmés par fax
60 000 fax/mois
EBICS T
Confirmation par fax
47,3 millions d’opérations
Ebanking
Entreprises
Transbred.com
Pourquoi les ordres papiers subsistent ?
- Virements confidentiels
- Signataires réfractaires
- Petites structures
- Organisation
Les
ate
liers
de
l’A
FTE
8 LES JOURNEES DE L'AFTE
Des exemples de dispositifs
60 000 FAX/mois
EBICS T
Traitement papier entraîne :
- Responsabilité de l’opérateur
- Rupture dans la chaine des paiements
- Sécurisation non optimale
PAPIER Virements SEPA/
Virements de trésorerie EBICS T
Gestions des droits Habilitation collaborateurs Traçabilité
Exemple de contrôles
Signatures Montant
Rapprochement fichier/fax
Signatures
Listes fermées liens entre le donneur d’ordre et les bénéficiaires de virements de trésorerie
Contre appels
Procédure interne Alertes
Les
ate
liers
de
l’A
FTE
9 LES JOURNEES DE L'AFTE
Accompagnement vers le zéro papier
Solutions adaptées à l’organisation des entreprises
La migration peut se faire de façon progressive…
* Le protocole EBICS TS nécessite des certificats électroniques. Si vous n’êtes pas déjà équipé,
la BRED vous propose différents types de certificats multi-bancaires.
Changement complexe ? Pas de ressources IT ?
UPGRADEZ
Migrez votre outil de communication
bancaire vers
EBICS TS*
CHANGEZ
Remplacez votre progiciel par Turbo
Suite Entreprise* pour communiquer et gérer
votre trésorerie
COMPLETEZ
Interfacez votre progiciel avec le
module EBICS TS* de Turbo Suite Entreprise,
compatible avec la plupart des progiciels
Solution multi-bancaire et mobile
CONSERVEZ EBICST
Validez vos ordres en ligne sur le portail
BRED, Transbred.com
Solution BRED
Signature disjointe
Les
ate
liers
de
l’A
FTE
10 LES JOURNEES DE L'AFTE
Authentification forte du E.banking entreprise Depuis 15 ans
Authentification forte Certificat numérique remis en face à face
Signature électronique (simple ou double)
Administration autonome
Gestion des profils des collaborateurs
Audit des actions menées
Autorité de certification, la société CLICK & TRUST, filiale du Groupe Banques Populaires
Ebanking entreprises
Transbred.com
Bonnes pratiques dans l’entreprise :
- Délégation de pouvoir
- Certification strictement personnelle….
Les
ate
liers
de
l’A
FTE
Investissements informatiques
Automatisation des process internes
Digitalisation des parcours collaborateur
Ex : Workflow collaborateurs Clients
Mise en place d’analyse DATA dans les chaines de traitement.
11 LES JOURNEES DE L'AFTE
Surveillance Alerte !
« suspicion de fraude »
Action
avant compensation
Les
ate
liers
de
l’A
FTE
12 LES JOURNEES DE L'AFTE
Investissements informatiques
Veille et innovation :
Améliorer notre réactivité
Les
ate
liers
de
l’A
FTE
13 LES JOURNEES DE L'AFTE
« La mise en place de dispositifs dans les banques n’affranchit pas les clients de sécuriser leurs process»
Les entreprises et les banques sont partenaires dans la lutte contre la fraude
Les
ate
liers
de
l’A
FTE
14 LES JOURNEES DE L'AFTE
Comment la banque accompagne la sécurisation des traitements de ses clients?
Sensibilisation clients : Conférence prévention de la fraude EX : Animée par des spécialistes de la Brigade d'Enquête sur les Fraudes aux Technologies de l'Information (BEFTI), de la Brigade des Fraudes aux Moyens de Paiement (BFMP) et des experts de la BRED.
Diagnostic par un expert cash management
Campagne « zéro papier »
Gamme de services
Les
ate
liers
de
l’A
FTE
15 LES JOURNEES DE L'AFTE
Co-création et services sur-mesure Services sur mesure contractuels, co-créés
avec certains clients : Listes fermées dédiées
Workflow de validation spécifique
Dispositif de sécurisation de fraude aux virements
Les
ate
liers
de
l’A
FTE
16
Lutter contre la fraude interne ou externe aux virements
Dispositif de sécurisation simple, géré par un spécialiste des flux
Une solution personnalisée
Un engagement de résultat de la banque sur la prestation de service effectuée
Surveillance Alerte !
transaction inhabituelle !
Action
avant compensation
Dispositif de sécurisation de fraude aux virements
* Source : Enquête Euler Hermes
*
Les
ate
liers
de
l’A
FTE
17 LES JOURNEES DE L'AFTE
Les enjeux de mise en place de ces traitements :
Techniques : Réussir à faire les contrôles sans ralentir les chaînes, dégrader le service et sans trop mobiliser de ressources IT chez le client.
Indicateurs risques pertinents: Le client doit connaître la nature de ses paiements :
Critères d’alertes efficaces = ne pas dégrader le temps de traitement de l’essentiel des paiements + réduire le temps de réaction face à une fraude avérée
Automatisation/sécurisation des paiements au sein de l’entreprise
Les
ate
liers
de
l’A
FTE
18 LES JOURNEES DE L'AFTE
BRED & entreprises, partenaires dans la prévention de la fraude aux virements
Les
ate
liers
de
l’A
FTE
19 LES JOURNEES DE L'AFTE
Scénari de fraude et remédiations Exemple de scenarios de fraude
N° Titre du scenario Description
1 Modification d'un bénéficiaire - entrant - banque
Modification frauduleuse des instructions de paiement d’une contrepartie dans la base des tiers, par une personne se faisant passer pour cette contrepartie
2 Modification d’un bénéficiaire - sortant - filiale Modification frauduleuse des instructions de paiement d’une filiale auprès d’une contrepartie par une personne se faisant passer pour cette filiale
3 Enregistrement de factures fournisseurs fictives
Enregistrement de factures fictives par un membre de la société et émission d’un paiement à ce fournisseur
4 Versement de salaires fictifs Falsification des contrats de travail par un personnel de la société en vue de verser des salaires fictifs
5 Génération d’une opération de paiement Génération d’une opération de paiement frauduleuse à destination d’un compte contrôlé par le fraudeur
6 Génération d’une opération en lien avec un investissement en cours
Détournement des fonds d’une opération connue en interne (ex : acquisition en cours) pour générer un règlement important
7 Augmentation de capital d’une filiale Transmission d’un ordre à la banque par une personne se faisant passer pour le trésorier dans le but de financer l’augmentation de capital d’une filiale fictive
8 Système et interfaces Dépôt d’un fichier de paiement frauduleux sur le réseau de la société pour envoi via SWIFT de manière automatique
9 Pouvoirs Bancaires Création de faux pouvoirs auprès d’une banque, permettant de déclencher des opérations frauduleuses en toute "légalité"
10 Vente de placement Réalisation d’une opération de vente de parts d’une Sicav dans laquelle la société a investi
11 Ajout d'une filiale dans cash pooling bancaire Ajout frauduleux d’une filiale dans la structure de au cash pooling banacier de la société
12 Modification en masse d'IBAN Modification massive de coordonnées bancaires en base permettant un détournement de fonds important
Liste (non exhaustive) de scénarios de fraude
Les
ate
liers
de
l’A
FTE
Scénario 3 : Enregistrement de factures d’achat fictives
Scénario 4 : Versement de salaires fictifs
20 LES JOURNEES DE L'AFTE
Scénari de fraude et remédiations Fraude interne : exemples de scénarios
Scénarios de fraude
•Le fraudeur établit une fiche fournisseur au nom d'une société fictive
•Il établit une facture fictive pour laquelle il obtient un règlement en sa faveur
Faiblesse de contrôle interne associée
•Absence de séparation des taches : fournisseur / trésorerie
•Pas de réconciliation bon de commande / facture / Bon de livraison
Actions de remédiation
•Renforcer la ségrégation des fonctions "achat" et "trésorerie"
•Signature systématique des ordres de virement par un responsable dûment autorisé
•Limitation des accès informatiques
Scénarios de fraude
• Versement de salaires fictifs à des personnes ne travaillant pas réellement au sein de la société
• Falsification des contrats de travail et des registres de présence.
Faiblesse de contrôle interne associée
•Absence de séparation des taches : Ressources humaines / trésorerie
Actions de remédiation
•Mise en place d'une procédure d'approbation des embauches
•Restriction des accès au système de gestion des paie et du personnel
•Justification des OD de paie par la documentation correspondante