Definition
Quand un président de comité d'audit nous appelle pour un mandat forensique, ce n'est jamais le lundi matin. C'est le vendredi soir, après une découverte qui rend le rendu de comptes urgent. La voix au téléphone est posée mais sèche, et la phrase qui suit la présentation est presque toujours la même : nous pensons avoir un problème avec une personne en interne, et nous ne savons pas qui peut être au courant. À partir de ce moment, le périmètre de la mission n'a plus rien à voir avec un audit légal classique.
Ce qui se passe en pratique
Premier réflexe sur un mandat forensique : ne pas confondre avec un audit légal qui aurait dérapé. L'audit forensique commence là où l'audit légal s'arrête. Un audit annuel teste les assertions de la direction selon ISA 315.26. Un mandat forensique, lui, n'accepte aucune assertion. Il cherche les schémas dissimulés, les transactions non autorisées, les actifs manquants. L'investigateur reçoit un périmètre précis (enquêter sur les notes de frais d'un dirigeant, reconstituer un compte caisse, tracer un détournement présumé) et collecte des éléments non pas pour former une opinion sur les comptes, mais pour étayer une conclusion factuelle sur ce qui s'est passé.
Les droits d'accès sont plus larges. ISA 240.12(b) limite habituellement le droit à l'information nécessaire pour former une opinion. Sur un mandat forensique, le périmètre peut inclure les boîtes mail professionnelles, les dossiers RH disciplinaires, les comptes bancaires personnels (sur commission rogatoire), les téléphones professionnels et même les fichiers supprimés récupérés par image disque.
L'obligation de signalement change aussi. ISA 240.13 demande au CAC de communiquer les fraudes détectées à la direction et au comité d'audit. Un mandat forensique français peut imposer en plus une déclaration TRACFIN si l'analyse révèle des soupçons de blanchiment, et l'article L.823-12 du Code de commerce oblige le CAC à révéler au procureur de la République les faits délictueux dont il a connaissance dans l'exercice de sa mission. Cette obligation ne se déclenche pas sur un soupçon. Elle se déclenche sur un faisceau d'éléments suffisamment caractérisés. La frontière est mince.
La méthode diffère enfin. L'audit légal teste des échantillons selon ISA 530. Le forensique fonctionne par traçabilité (suivre une transaction suspecte de bout en bout) ou par analyse de variance (comparer des schémas de dépenses dans le temps pour isoler les anomalies). Les preuves numériques (métadonnées de fichiers, journaux d'accès système, communications supprimées reconstituées) jouent un rôle qu'elles n'ont pas dans l'audit financier standard.
Pourquoi le mandat est délicat (incitation perverse)
Voici ce qu'on évite peu de dire. Le mandat forensique est souvent payé par la personne qui pourrait être impliquée. Si le directeur général commande l'enquête sur les notes de frais du DAF, et que les deux ont signé ensemble les comptes des cinq derniers exercices, l'investigateur se retrouve dans une position inconfortable. Le client paie. Le client a peut-être un intérêt à ce que le périmètre reste étroit. Sur les dossiers forensiques que nous voyons, c'est une difficulté structurelle, pas un cas d'école.
D'où l'insistance, dans la pratique professionnelle française, à exiger un mandat écrit du conseil d'administration ou du comité d'audit (composé majoritairement d'administrateurs indépendants), pas du président exécutif. Si le mandat émane d'un dirigeant qui peut être lui-même dans le périmètre, le dossier est trop léger dès le départ. Et la conclusion de l'investigateur perdra sa valeur probante au moment où elle aura le plus d'utilité, c'est-à-dire devant un juge.
Je l'avoue : c'est la partie du métier que je trouve la plus difficile. Pas la technique. La politique interne du dossier.
Désaccord entre praticiens : même cabinet ou cabinet séparé ?
Il y a un débat ancien et qui ne se résout pas. Le forensique doit-il être conduit par le cabinet qui assure le mandat de CAC, ou par un cabinet spécialisé séparé ?
Les partisans du même cabinet avancent un argument de fond : le CAC connaît l'entité, le contrôle interne, les personnes, les habitudes comptables. Sa courbe d'apprentissage est nulle. Sur un dossier qui se joue en semaines, ce gain de temps est réel.
Les partisans du cabinet séparé avancent un argument d'indépendance : si le CAC découvre une fraude qui aurait dû être détectée avant, il a un intérêt direct à minimiser sa propre responsabilité. La lecture des faits sera biaisée, même de bonne foi. Et la H2A (Haute Autorité de l'Audit, ex-H3C) regarde de près ces situations dans ses contrôles d'activité, parce qu'elles génèrent des questions disciplinaires lourdes.
Notre position, parce que nous l'avons vue jouer dans les deux sens : sur des fraudes de moins de 500 K EUR avec un schéma simple, le CAC peut conduire le travail s'il documente formellement l'analyse d'indépendance. Au-delà, ou dès qu'un dirigeant signataire est dans le périmètre, le cabinet séparé n'est pas une précaution : c'est une nécessité. La perte de contexte est largement compensée par la solidité juridique du rapport final.
Exemple pratique : Bakker Holding B.V.
Client : groupe néerlandais de négoce de matériaux de construction, trois sociétés opérationnelles, chiffre d'affaires consolidé 87 M EUR, audit IFRS annuel par un cabinet Big 4. Lors du rapprochement bancaire de clôture en décembre 2024, le trésorier note une sortie de 340 000 EUR classée « achat de mobilier ». Aucune livraison ne peut être tracée. Le fournisseur est une nouvelle entité établie trois mois plus tôt à Chypre. Le conseil d'administration ordonne une enquête forensique.
Étape 1 : mandat et périmètre Le conseil d'administration nomme par écrit un cabinet d'investigation autorisé, fixe le périmètre (« tous paiements vers entités nouvelles ou offshore au cours des 24 derniers mois ») et accorde des droits d'accès complets aux systèmes informatiques, y compris les postes de travail du DAF et du DG. Note de documentation : le mandat écrit est consigné dès la première réunion. Sans mandat écrit, les droits d'accès ultérieurs peuvent être contestés en justice.
Étape 2 : recherche numérique préliminaire L'investigateur extrait les métadonnées des serveurs de messagerie sur la période visée et constitue une base de 18 000 messages filtrée sur les mots-clés « fournisseur », « paiement », « Chypre ». Trois e-mails datés d'août 2024 entre le DAF et une adresse personnelle non rattachée au groupe décrivent la création de l'entité chypriote et le paiement, présenté en interne comme « mobilier » mais évoqué dans la correspondance comme « frais de mise en place ». Les dates des e-mails ne correspondent pas aux dates d'enregistrement comptable (e-mail du 15 août, écriture du 2 décembre). Note de documentation : l'écart de 112 jours entre l'e-mail et l'écriture comptable signale un retardement intentionnel plutôt qu'une saisie tardive accidentelle. Capture d'écran archivée.
Étape 3 : traçabilité des paiements et reconstitution de compte L'investigateur obtient les relevés bancaires de l'entité chypriote par commission rogatoire. Les relevés montrent que les 340 000 EUR se sont dispersés en trois flux : 200 000 EUR vers un compte personnel aux Émirats arabes unis (titulaire d'âge similaire au DAF, initiales correspondantes), 100 000 EUR retirés en espèces, 40 000 EUR conservés trois semaines puis virés vers un compte personnel néerlandais au nom du fils du DAF. Note de documentation : chaque virement est capturé avec date, heure, bénéficiaire, et corrélé aux données d'identité connues du DAF et de sa famille. Les liens de parenté sont établis à partir des dossiers d'entreprise (mariage déclaré pour avantages sociaux) et des bases publiques (cadastre).
Étape 4 : audition et confrontation L'investigateur et l'avocat du conseil rencontrent le DAF et lui présentent les pièces dans l'ordre chronologique. Le DAF nie d'abord connaître l'entité chypriote, puis, confronté aux e-mails, reconnaît l'avoir créée mais affirme qu'il s'agit d'une transaction commerciale légitime. Confronté aux virements personnels, il déclare que l'argent était un prêt à son fils pour un projet immobilier. Aucun contrat de prêt. Aucun intérêt versé. Note de documentation : les déclarations du DAF sont consignées dans un procès-verbal daté et signé par l'investigateur, le DAF et le conseil juridique. Aucun accord de coopération n'est offert à ce stade.
Complication. À la cinquième semaine, alors que le rapport est en cours de rédaction, l'analyse forensique de l'image disque du poste du DAF révèle un second schéma, sans rapport apparent avec le premier : facturation croisée entre la filiale belge et un consultant indépendant lié au directeur général néerlandais sur les exercices 2022 et 2023, pour un total de 180 000 EUR. Le DG était précisément la personne qui avait, en première instance, pressé le conseil de limiter le périmètre aux paiements offshore. Le conseil élargit donc le mandat, et l'investigateur doit reconstituer une seconde chronologie. Le DG est suspendu. Sur les dossiers forensiques que nous voyons, ce schéma de découverte secondaire n'est pas exceptionnel : la personne qui commande l'enquête est parfois implicitement intéressée à ce que l'enquête s'arrête à temps.
Conclusion. Les preuves soutiennent une qualification de détournement aggravé : interposition intentionnelle d'une entité, occultation d'un paiement par fausse imputation comptable, dispersion des fonds vers la sphère personnelle. Le rapport final, environ 35 pages, documente chaque étape, chaque source, chaque écart temporel. Il est transmis au conseil d'administration puis, sur instruction du conseil, au procureur compétent. Aucune restitution n'est négociée. La procédure pénale suit son cours. Le mandat élargi sur le DG fait l'objet d'un rapport distinct, avec déclaration TRACFIN compte tenu de la circulation des fonds vers une juridiction tierce.
Ce que les réviseurs et praticiens comprennent mal
Tier 1 : constat d'inspection régulateur Les mandats forensiques ne sont pas au cœur des inspections H2A puisqu'ils sortent du champ ISA 200. Mais quand un CAC s'appuie sur un investigateur pour étayer une conclusion de fraude, il doit documenter le périmètre, l'indépendance et la compétence de cet investigateur selon ISA 500.7(a). Un constat fréquent en inspection : le CAC engage un investigateur, accepte ses conclusions sans vérifier l'indépendance vis-à-vis de la partie visée, et reprend les constats dans la lettre de communication de fraude sans qualifier ses propres procédures. C'est du tampon. Et c'est repris en notation d'inspection.
Tier 2 : erreur pratique standard Les équipes d'audit confondent souvent l'audit forensique avec l'audit de fraude au sens d'ISA 240. L'audit légal exige du CAC qu'il évalue le risque que les états financiers contiennent une anomalie significative due à une fraude (ISA 240.11). Si une fraude est détectée, il communique selon ISA 240.13. Cela ne constitue pas un audit forensique. Un véritable mandat forensique ne commence qu'au moment où l'entité lance une enquête formelle, avec un investigateur impartial et un mandat écrit, en général après qu'une fraude a été signalée à la direction. Le CAC ne mène pas l'enquête. Il évalue si le contrôle interne était suffisant pour détecter ou prévenir la fraude (ISA 315.26).
Tier 3 : lacune de pratique documentée Beaucoup de cabinets ne documentent pas la distinction entre « enquête interne menée par la direction » et « mandat forensique formel ». L'enquête interne manque souvent d'indépendance par rapport au DG ou au comité d'audit, parce que l'enquêteur rapporte hiérarchiquement à un cadre potentiellement impliqué. Le mandat forensique, lui, met en place une muraille : l'investigateur rapporte directement au conseil ou à un comité d'audit composé majoritairement d'administrateurs indépendants, et reçoit un engagement écrit qui protège son indépendance. Peu de cabinets demandent formellement à voir ce mandat lors de la planification d'un audit qui inclut une enquête supposée. Sur les dossiers que nous voyons, c'est au doigt mouillé que l'évaluation se fait, et c'est une faiblesse documentaire qui ressort en revue indépendante.
Audit forensique vs audit de fraude (ISA 240)
| Dimension | Audit forensique | Audit de fraude (ISA 240) |
|---|---|---|
| Objectif | Identifier et chiffrer un détournement ou une fraude présumée | Évaluer si les comptes contiennent une anomalie significative due à une fraude |
| Périmètre | Enquête ciblée sur une allégation précise (notes de frais, caisse, fournisseur offshore) | Examen global des assertions et des contrôles |
| Droits d'accès | Accès complet aux données numériques, communications professionnelles, comptes externes (sur commission rogatoire) | Accès aux pièces et registres nécessaires à l'audit |
| Obligation de signalement | Peut être judiciaire (procureur, TRACFIN) en plus de l'interne | Direction et comité d'audit (ISA 240.13) ; révélation au procureur si article L.823-12 déclenché |
| Standard régisseur | Aucune NEP/ISA dédiée ; régi par la procédure civile et pénale et les standards de preuve juridique | ISA 240.11–13 |
| Résultat | Rapport d'investigation détaillé ; preuves admissibles devant un juge | Lettre de communication de fraude ; conclusion d'audit |
| Indépendance requise | Rattachement direct au conseil ou au comité d'audit indépendant | Indépendance d'audit selon ISQM 1 |
Quand la distinction importe en mission réelle
Un CAC sur une PME manufacturière belge (Technoplast S.A., composants en résine, CA 22 M EUR) détecte au contrôle analytique une hausse inexpliquée de 35 % des frais de « services d'ingénierie » vers un fournisseur unique, entité créée quatre mois plus tôt. Les factures ne sont appuyées que de devis vagues, sans détail des prestations. Le DG ordonne ensuite une « enquête interne » conduite par le DRH. Le CAC s'appuie sur cette enquête pour conclure que le risque de fraude a été correctement évalué.
Le rapport du DRH conclut : « Après entretien avec le responsable achats, il a confirmé que les services étaient reçus comme prévu. Aucune preuve d'irrégularité n'a pu être fournie, mais le fournisseur acceptera une documentation plus détaillée à l'avenir. » Aucune preuve indépendante collectée. L'enquête rapportait au DG. Aucun mandat écrit.
Ce n'était pas un audit forensique. C'était une enquête interne sans indépendance. Un véritable mandat forensique aurait exigé un mandat écrit du conseil, un investigateur impartial (cabinet externe ou avocat extérieur), accès aux e-mails et relevés bancaires, auditions enregistrées du responsable achats, identification du bénéficiaire effectif du fournisseur, rapport détaillé.
Le CAC a documenté « enquête interne menée » et a réduit son risque de fraude évalué. Six mois après la clôture, le responsable achats démissionne et le fournisseur cesse de facturer. Une enquête ultérieure par cabinet externe révèle un détournement de 480 000 EUR sur dix mois via factures bidons. Le CAC aurait dû exiger un mandat forensique formel dès le départ, ou qualifier dans sa lettre ISA 240.13 que l'enquête interne manquait d'indépendance suffisante pour étayer une réduction du risque de fraude. La H2A a notifié un grief disciplinaire au CAC dix-huit mois plus tard. Personne n'aime appeler la H2A pour signaler une fraude. Mais le silence du CAC, ici, lui a coûté plus cher que la déclaration ne l'aurait fait.
Termes associés
- Fraude et détournement d'actifs (ISA 240) : le cadre que le CAC applique lors de l'évaluation du risque de fraude ; distinct d'un mandat forensique formel. - Procédures analytiques : l'outil qui permet d'identifier les anomalies suggérant une fraude (hausses inexpliquées, écarts de ratio) ; souvent le point de départ d'un mandat forensique. - Continuité d'exploitation (ISA 570) : une fraude de grande ampleur peut menacer la continuité ; le CAC doit évaluer ce risque. - Évaluation du risque de fraude : le processus défini par ISA 315.26 pour identifier les risques de fraude propres à l'entité et au secteur. - Communication des fraudes (ISA 240.13) : l'obligation formelle du CAC de communiquer les fraudes détectées à la direction et au comité d'audit. - Éléments probants et preuves admissibles : les standards de collecte et d'évaluation des preuves ; le forensique applique des standards plus stricts que l'audit financier.
---