Les modèles de prédiction de la fraude étaient au menu de la dernière rencontre du Cercle du Risque Prédictif. Fabien De Geuser, Docteur en Sciences de Gestion, enseignant-chercheur à ESCP Europe au département Contrôle et Pilotage des Organisations, professeur à HEC Lausanne, a présenté les apports, mais aussi les limites, de la recherche académique sur ce thème.
Il existe trois grandes catégories de fraude : les fraudes externes, les fraudes internes et les fraudes managériales, ces dernières étant souvent « collectives et symptomatiques de défaillances dans les systèmes de contrôle interne », précise Fabien de Geuser.
Chacune de ces trois catégories se divise en deux modes opératoires. D’une part, les fraudes peuvent résulter de comportements connus, qu’il faut alors repérer ou, d’autre part inconnus, avec des comportements différents de la norme. « Ces fraudes inconnues sont le plus souvent externes ou managériales », ajoute Fabien de Geuser.
Les recherches ont essentiellement porté sur des phénomènes de fraudes externes très quantifiables, par exemple les fraudes sur les cartes de crédit, aux télécommunications, dans les domaines de la santé, de la fiscalité ou des intrusions informatiques. « On observe également de nombreuses recherches sur les fraudes comptables », souligne Fabien de Geuser. Généralement, les schémas de fraudes répondent à trois composantes, ce que les chercheurs ont appelé le « Triangle de la fraude » : une opportunité, une incitation et une rationalisation qui conduit à relativiser le sentiment de culpabilité de la part de celui qui commet la fraude.
Ce modèle, à la base de la plupart des recherches sur les fraudes, repose sur plusieurs postulats implicites, résumé par Fabien de Geuser : « Le fraudeur serait une « anormalité morale », c’est une vision individualiste du fraudeur et morale de la fraude, on va donc chercher les profils déviants et renforcer les contrôles. » Des approches alternatives ont été développées, dans lesquelles « le fraudeur est une matérialisation de configurations organisationnelles, c’est une conception collective du fraudeur et sociologique de la fraude », précise Fabien de Geuser.
Les chercheurs ont mis en évidence l’importance de prendre en compte la fraude dans son environnement psycho-social. En effet, différents éléments relatifs à l’environnement influent sur les comportements frauduleux. Par exemple l’importance des bonus, la domination d’indicateurs quantifiés et non-discutables, l’interdiction des mauvaises nouvelles ou encore la pression sur l’atteinte des objectifs.
« Par ailleurs, on a observé que la cohésion et la solidarité facilitent la fraude, une étude a montré que 83% des fraudes étaient le résultat d’une collusion entre une direction générale et une direction financière », assure Fabien de Geuser.
En ce qui concerne les fraudes dont le mode opératoire est connu, plusieurs approches sont utilisées : des régressions statistiques, des approche de type neuronale, les arbres de décision, les clusters ou encore la logique floue. « Mais toutes ces approches supposent de disposer de bases de données conséquentes et d’une distinction claire entre les comportements frauduleux et non frauduleux », note Fabien de Geuser.
Les méthodes de prédiction par expertise constituent une alternative intéressante. « Les décompositions de risques (par exemple suivant le triangle de la fraude) donnent des résultats plus satisfaisants que lors d’une modélisation holistique du risque de fraude, même si l’expérience est un facteur important dans la qualité des prédictions, des biais cognitifs peuvent survenir et l’on peut se tromper dans l’interprétation », affirme Fabien de Geuser.
Celui-ci suggère plusieurs pistes pour améliorer les systèmes de détection de fraude : une meilleure mise à disposition des données sur les fraudes, le développement de modèles adaptés aux fraudes internes, en particulier managériales et collectives, l’introduction de variables psychosociales et contextuelles dans les analyses et une mesure de l’impact de la mise en place de modèles de prédiction sur la fraude elle-même. « La fraude doit faire l’objet d’une communication particulière, cela montre que le sujet est pris au sérieux », témoigne le représentant d’un constructeur automobile.
La prédiction du risque : la rigueur pour transformer la peur en prudence
Décrire et cartographier les risques : si cette approche reste indispensable pour tout Risk Manager, elle reste toutefois insuffisante au regard des enjeux de réduction de la vulnérabilité des entreprises et des organisations. Quelle brique doit-on ajouter ? Une approche prédictive, qui permet de compléter les éléments rétrospectifs issus d’une démarche de cartographie par une dimension temporelle prospective. « Il s’agit de prédire les risques et non plus simplement de « dire » les risques », résume Fabien de Geuser, « En matière de Risk Management, il n’y a pas que des modèles de données, il faut aussi prendre en compte les modèles de connaissances », confirme Patrick Naim, Président du CARM (Cercle des Associés en Risk Management).
Modéliser et quantifier avec un modèle robuste
Une démarche prédictive regroupe en réalité trois approches : la modélisation, la quantification et une évaluation de la robustesse du modèle de prédiction. « La modélisation fait sortir le management du risque d’une démarche purement descriptive ou cartographique en imposant une réflexion sur les facteurs de risques et sur la nature de la relation entre ces facteurs et les dimensions du risque », explique Fabien de Geuser. Quantifier les risques impose d’abord d’expliciter formellement toutes les définitions de ce que l’on mesure et, ensuite, de s’interroger sur la fiabilité de données prises en compte.
« Le « diable est toujours dans l’indicateur », l’expliciter force les individus à préciser ce qu’ils veulent exactement et réduit le risque de mauvaise interprétation », ajoute Fabien de Geuser, pour qui la fiabilité des données constitue une vraie difficulté de l’analyse prédictive.
Quant à la robustesse du modèle prédictif, elle suppose de s’interroger sur les limites de la prédiction (risque d’erreurs et représentativité des données) et les critères qui permettent de considérer les facteurs de risques non pertinents. « La prédiction contribue à la rigueur d’un système de management des risques », assure Fabien de Geuser.
Au-delà de cette démarche de rigueur, une approche prédictive présente d’autres atouts : elle introduit une dimension temporelle (fonction projective), elle contribue à réduire l’anxiété engendrée par le risque (fonction ataraxique), elle rationalise et rend ainsi possible l’auditabilité du rapport aux risques.
De même, la prédiction est un support de clarification et de construction du consensus pour le Risk Manager. « Elle a également une fonction intégrative par rapport aux instruments de pilotage dont le mécanisme principal est cohérent avec l’approche modélisatrice (avec des objectifs et des indicateurs clés de performance) et quantificatrice de la prédiction, souligne Fabien de Geuser, elle permet alors l’intégration du risque dans ces instruments, par exemple avec les hypothèses hautes et basses en matière de budgétisation. »
Quid des Unk Unk ?
Si une démarche prédictive d’analyse des risques fait considérablement progresser la connaissance et l’anticipation, elle présente quelques limites, mises en exergue par Fabien de Geuser, et que l’on peut regrouper en trois catégories. D’abord, les limites liées à l’humain : « La rationalité « froide » et « calculatoire » de la prédiction peine à intégrer les dimensions psycho-sociales de la relation des personnes aux risques », relève Fabien de Geuser.
Ainsi, la prédiction peut créer l’illusion du contrôle des risques avec, en corollaire, un risque de rejet par principe des apports de la prédiction dans certaines organisations marquées par des cultures s’opposant à une formalisation des pratiques, des événements et des risques.
Cela peut même aboutir à un refoulement des risques difficilement prédictibles parce qu’ils sont non quantifiables et/ou perceptibles seulement à très long terme. C’est ce que l’on appelle les risques Unk Unk (Unknow Unknow), dont on ne connait pas les caractéristiques ni la probabilité de survenance.
L’analyse prédictive peut ensuite se trouver limitée par les caractéristiques de l’organisation, en particulier dans celles qui ont institué une forme de bureaucratisation et d’automatisation du management des risques et qui privilégient les modèles d’excellence par rapport à des modèles plus innovateurs.
« Ce sont des organisations qui multiplient les procédures et qui gèrent leurs risques en appuyant sur un bouton, sans trop réfléchir, dans ce contexte, la prédiction renforce le modèle d’excellence, au détriment d’une approche plus créative », note Fabien de Geuser.
De l’importance des compétences
Enfin, l’analyse prédictive reste très dépendante des compétences de ceux qui la mettent en œuvre. Pour Fabien de Geuser, « outre la fiabilité des données, la maîtrise et la disponibilité des modèles, la robustesse de la prédiction suppose la compétence prédictive des Risk Managers. »
Plus généralement, la pertinence de l’analyse prédictive pose la question du niveau acceptable du risque. « Cette question reste peu travaillée par les Risk Managers », admet Fabien de Geuser, qui plaide pour une prédiction du risque orientée utilisateur. « N’oublions pas que sir la prédiction est un calcul, donc un outil sa pertinence dépend non seulement du modèle pais aussi, et surtout, de son utilisateur. » Et dès lors que la composante humaine s’insère dans le processus d’analyse prédictive, on aboutit à transformer la peur en prudence…