Détecter la fraude comptable : IA et signaux faibles

Réponse rapide. Détecter la fraude comptable interne, c'est d'abord sécuriser le contrôle interne (séparation des tâches, autorisations, rapprochements), puis surveiller des signaux faibles dans les écritures : montants juste sous un seuil, fournisseurs fictifs, RIB modifiés, doublons. L'IA aide à analyser toutes les écritures et à scorer le risque, mais reste un outil sous supervision humaine, jamais une preuve.

La fraude comptable interne ne s'annonce pas. Elle se loge dans des opérations qui ressemblent à la routine : un paiement de plus, un fournisseur de trop, une écriture passée le dernier jour du mois. Pour un dirigeant, le sujet n'est pas théorique : un détournement non détecté pendant des mois pèse sur la trésorerie, fausse les comptes présentés à la banque et expose l'entreprise à un redressement si la liasse devient incohérente.

Cet article traite la fraude comptable interne et sa détection : comment construire un contrôle interne qui résiste, lire les signaux faibles dans les écritures, et utiliser l'analyse de données et l'IA comme aide à la décision. Il ne traite pas l'escroquerie externe par usurpation d'identité (faux ordres de virement, deepfakes), que nous abordons dans un article dédié sur la fraude au président et les deepfakes.

Avant l'IA, avant tout tableau de bord, il y a le contrôle interne. C'est lui qui rend la fraude difficile à commettre et facile à repérer. Son principe central est la séparation des tâches : la personne qui engage une dépense ne doit être ni celle qui paie, ni celle qui enregistre l'écriture. Dès que ces trois rôles se concentrent sur une seule personne, le risque grimpe, surtout dans les petites structures où le dirigeant délègue par confiance.

Le contrôle interne repose sur quatre piliers concrets :

• la séparation des tâches entre engagement, paiement et enregistrement comptable ;
• des autorisations et des seuils clairs (qui peut valider quoi, jusqu'à quel montant) ;
• des rapprochements réguliers : bancaire, fournisseurs, et lettrage des comptes ;
• une piste d'audit fiable, c'est-à-dire la capacité de relier chaque écriture à une pièce justificative et à une autorisation.

La fraude interne profite presque toujours d'un trou dans ce dispositif : un seuil jamais relevé, un rapprochement bancaire fait une fois par trimestre, une personne qui cumule la saisie et la validation des paiements. Détecter, c'est donc d'abord cartographier ces failles.

Un signal faible est une anomalie isolée, peu spectaculaire, qui ne prouve rien mais mérite une vérification. Pris isolément, chacun a une explication légitime possible. C'est leur accumulation, ou leur répétition, qui doit alerter.

Aucun de ces signaux n'est une preuve. Un fournisseur peut être réellement nouveau, un RIB peut changer pour une raison légitime. La méthode consiste à traiter chaque alerte comme une question à instruire, pas comme une accusation.

Dans de nombreux jeux de données comptables, la fréquence du premier chiffre des montants suit une distribution décroissante : le 1 apparaît plus souvent que le 2, qui apparaît plus souvent que le 9. C'est ce qu'on appelle la loi de Benford. Quand la distribution réelle d'un ensemble d'écritures s'écarte nettement de cette courbe attendue, cela peut signaler une saisie manuelle massive ou des montants fabriqués.

Il faut être clair : la loi de Benford est un indicateur d'alerte, jamais une preuve de fraude. Un écart peut tenir à la nature des données (montants contraints par des tarifs, par exemple). Elle sert à orienter le contrôle vers les zones à examiner, pas à conclure.

L'apport de l'analyse de données et de l'IA est réel mais précis : là où le contrôle traditionnel travaille sur un échantillon, l'analyse algorithmique peut passer en revue la totalité des écritures. Elle détecte des anomalies, attribue un score de risque, croise des critères qu'un oeil humain ne rapproche pas spontanément.

Le point de vigilance majeur : l'IA produit des faux positifs. Elle signale des cas qui, après vérification, sont parfaitement réguliers. Si l'on confond l'alerte avec le verdict, on perd du temps, on accuse à tort, et on finit par ignorer les alarmes. L'IA déplace le travail humain vers l'instruction des cas, elle ne le supprime pas.

Voici l'ordre dans lequel nous abordons un dossier où le risque de fraude interne est en jeu :

1. Cartographier le contrôle interne : qui engage, qui paie, qui enregistre, quels seuils, quels rapprochements.
2. Identifier les concentrations de rôles et les contrôles manquants ou non appliqués.
3. Extraire et analyser les données (écritures, fournisseurs, paiements, notes de frais) sur la totalité de l'exercice.
4. Lister les signaux faibles et les anomalies, par exemple via des tests d'anomalie et un indicateur type loi de Benford.
5. Instruire chaque alerte une à une : pièce justificative, autorisation, cohérence avec l'activité.
6. Documenter les constats et les corrections, et renforcer durablement les contrôles défaillants.

Cette démarche vaut autant pour une revue ponctuelle que pour la mise en place d'un dispositif récurrent dans le cadre d'un pilotage financier externalisé.

• La personne qui engage une dépense est différente de celle qui paie et de celle qui enregistre.
• Des seuils d'autorisation existent, sont écrits et réellement appliqués.
• Le rapprochement bancaire est fait au moins mensuellement.
• Toute modification de RIB fournisseur passe par une validation indépendante (rappel téléphonique au fournisseur, double signature).
• La création d'un fournisseur suit un circuit de validation avec contrôle des coordonnées.
• Les comptes sont lettrés régulièrement et les écarts expliqués.
• Chaque écriture est rattachable à une pièce justificative (piste d'audit fiable).
• Les notes de frais sont contrôlées par un tiers, pas auto-validées.

Dans les dossiers où une fraude interne a fini par être découverte, le point commun n'est presque jamais l'absence d'outil, mais la concentration des rôles : une seule personne saisit, valide et paie, et le dirigeant fait confiance. L'IA et l'analyse de données ne corrigent pas ce défaut de structure. Elles accélèrent la détection une fois que la séparation des tâches existe. Notre priorité, sur les dossiers de croissance, est donc de poser d'abord les contrôles de base, puis d'outiller. L'inverse donne un faux sentiment de sécurité.

Un outil comme Pennylane facilite la piste d'audit et le rapprochement en centralisant les pièces et les écritures ; c'est un appui au contrôle interne, pas un substitut.

Le risque que les dirigeants sous-estiment le plus n'est pas le détournement spectaculaire, c'est la lente érosion : des montants modestes, juste sous le seuil de vigilance, répétés sur des mois. Pris un par un, ils n'attirent pas l'attention. C'est exactement le profil que l'analyse de la totalité des écritures permet de révéler, là où un contrôle par échantillon passe à côté. L'autre risque sous-estimé : croire qu'une alerte IA vaut conclusion, et déclencher des décisions RH ou des accusations sur un simple faux positif.

Détecter une fraude implique de traiter des données sensibles. Les données de paie et RH sont des données personnelles : leur analyse relève du RGPD (finalité, minimisation, information, durée de conservation). Le secret professionnel encadre ce que le cabinet peut traiter et transmettre. Le recours à des modèles d'IA est encadré par l'AI Act (règlement UE 2024/1689), avec une vigilance particulière sur les biais et l'explicabilité : on doit pouvoir comprendre pourquoi un cas a été signalé.

Nous détaillons ces enjeux dans nos articles sur l'IA et le secret professionnel et sur la charte IA en entreprise.

Un schéma que l'on rencontre régulièrement : dans une PME en croissance, une même personne gère la saisie des factures fournisseurs et la préparation des virements. Un fournisseur récent, aux coordonnées sommaires, apparaît avec quelques factures de montants ronds, juste sous le seuil de double validation. Aucun élément, isolément, n'est alarmant. C'est l'analyse croisée (fournisseur récent + montants sous seuil + absence de pièce détaillée) qui transforme une routine en alerte à instruire. La suite relève de la vérification documentaire, puis, si nécessaire, du conseil juridique.

• Ne pas déployer un outil d'IA de détection sans cadrage RGPD et sans information des personnes concernées.
• Conserver une supervision humaine sur toute alerte : l'IA propose, l'humain instruit et décide.
• Vérifier l'explicabilité des modèles utilisés, au regard de l'AI Act.
• Ne pas confondre indicateur (loi de Benford, score de risque) et preuve.
• Documenter la piste d'audit : c'est elle qui permet de remonter d'une alerte à une décision.

Pour le commissaire aux comptes, la prise en compte du risque de fraude dans l'audit des comptes est encadrée par les normes d'exercice professionnel (NEP 240). L'auditeur n'a pas pour mission première de débusquer toute fraude, mais d'apprécier le risque qu'une fraude conduise à des anomalies significatives dans les comptes, et d'adapter ses contrôles en conséquence.

Sur le plan pénal, une fraude interne peut relever de qualifications comme l'abus de confiance ou le faux. Ces qualifications, et leurs conséquences, relèvent de l'analyse d'un avocat : le rôle de l'expert-comptable et du commissaire aux comptes est d'identifier, de documenter et d'alerter, dans le cadre de sa mission.