Ce billet a été rédigé en collaboration avec Nishitha Parial, qui a depuis quitté KPMG au Canada.
Dans nos billets précédents, nous avons discuté des divers stratagèmes, comme l’écoblanchiment et le blanchiment bleu, par lesquels la fraude peut se manifester dans le contexte des facteurs environnementaux, sociaux et de gouvernance (ESG). Nous avons également parlé de la façon dont, malgré les meilleures intentions, des fraudes et des malversations peuvent être commises lorsque les quatre éléments du losange de la fraude sont réunis. Examinons maintenant les façons dont les organisations peuvent prévenir et détecter les risques de fraudes et de malversations.
Il est clair que les pratiques et la présentation de l’information relative aux facteurs ESG attirent de plus en plus l’attention. Les attentes augmentent, les pressions s’accentuent et les parties prenantes accordent de plus en plus d’importance aux facteurs ESG dans le cadre de leurs activités. Les conseils d’administration et les dirigeants examinent de près les programmes d’éthique et de conformité de leur organisation afin d’assurer l’intégrité des données sur les facteurs ESG et de conserver la confiance des parties prenantes. Toute atteinte à cette confiance entraîne des conséquences : amendes, pénalités, préjudices à la réputation, méfiance des investisseurs, litiges, pertes financières et, éventuellement, perte du permis social d’exploitation.
Une stratégie efficace qui vise à gérer de façon proactive l’éthique, la conformité et les risques de fraude à l’échelle de l’organisation constitue une base solide pour aider les organisations à établir et à maintenir des liens de confiance avec leurs parties prenantes à mesure que les attentes et les pratiques en matière de facteurs ESG évolueront. Cette base devrait être composée de mesures préventives et de mesures de détection.
Mieux vaut prévenir… deux fois plutôt qu’une
Les programmes destinés à prévenir ou à réduire les risques devraient être conçus de façon à aider les organisations et les personnes responsables des efforts en matière de facteurs ESG à se concentrer sur l’identification et l’évaluation des risques, à évaluer les contrôles pertinents et à donner le ton en ce qui concerne les comportements éthiques. Lorsqu’elles conçoivent ou évaluent leurs programmes de prévention actuels et les élargissent pour englober les risques d’inconduite propre aux facteurs ESG, les organisations devraient tenir compte des éléments suivants, conformément aux principes de gestion des risques de fraude du COSO :
Environnement de contrôle
- La direction accorde-t-elle assez d’importance à l’intégrité des facteurs ESG lors de ses discussions avec le conseil?
- Ce message se rend-il jusqu’aux employés de première ligne?
Évaluation des risques
- L’évaluation des risques de l’organisation tient-elle compte des risques d’inconduite et des stratagèmes en matière de facteurs ESG (comme l’écoblanchiment) ainsi que des violations potentielles des engagements réglementaires ou volontaires (comme l’utilisation de fonds publics ou de promesses de carboneutralité)?
- L’évaluation des risques tient-elle également compte des conséquences non financières, comme la perte du permis social d’exploitation?
- Dans quelle mesure l’organisation connaît-elle ses tiers, dont ceux qui lui fournissent des données ESG ou exercent des activités en son nom?
- Certaines activités exposent-elles l’organisation à des risques tels que la corruption, le blanchiment d’argent, l’esclavage moderne ou à d’autres questions liées aux droits de la personne?
Activités de contrôle
- Les politiques, les procédures et les contrôles internes couvrent-ils les nouveaux risques liés aux concepts ESG?
- Par exemple, les contrôles tiennent-ils compte des risques liés à la chaîne d’approvisionnement (p. ex., corruption), à la présentation d’information non financière (comme les mesures ESG) et aux ressources humaines (comme les questions liées aux droits de la personne)?
- Y a-t-il une surveillance appropriée à l’égard des contrôles antifraude ESG?
- Même si la fonction finance peut disposer de contrôles internes bien établis, la responsabilité des mesures ESG peut incomber à des fonctions qui n’ont pas cette capacité, comme les équipes responsables des relations avec les investisseurs, du marketing, des services juridiques et des opérations. Les responsabilités devraient être clairement définies et assignées aux fonctions appropriées qui peuvent assurer une bonne gouvernance.
- Même si la fonction finance peut disposer de contrôles internes bien établis, la responsabilité des mesures ESG peut incomber à des fonctions qui n’ont pas cette capacité, comme les équipes responsables des relations avec les investisseurs, du marketing, des services juridiques et des opérations. Les responsabilités devraient être clairement définies et assignées aux fonctions appropriées qui peuvent assurer une bonne gouvernance.
Information et communication
- L’organisation communique-t-elle clairement et régulièrement les attentes à l’égard de ses employés en ce qui a trait au respect des normes déontologiques?
- Les employés sont-ils suffisamment formés pour comprendre ces attentes?
- Y a-t-il des canaux de communication en place qui permettent d’assurer que les personnes concernées obtiennent rapidement de l’information en cas de fraude potentielle liée aux facteurs ESG?
Monitoring activities
- L’organisation utilise-t-elle la technologie (comme l’analyse de données, dont il est question ci-dessous) pour identifier de façon proactive les risques de fraude?
- Par exemple, des approches non traditionnelles en matière de données, comme l’analyse d’audience de sites web et l’analyse de sentiments, peuvent être utilisées pour scruter le web afin de connaître l’opinion publique concernant les efforts déployés par une organisation en matière d’ESG. Ces approches peuvent permettre de cerner les problèmes ou les préoccupations qui devraient être traités.
Second regard
Les mécanismes de détection favorisent le traitement rapide et approprié des problèmes éventuels, ce qui est un aspect important pour maintenir la confiance des parties prenantes. Les principales mesures de détection sont notamment les suivantes :
- Voir les signaux d’alerte :
- Des mesures ESG « trop belles pour être vraies », qui atteignent ou dépassent systématiquement les cibles.
- Des changements inexpliqués ou inhabituels qui se produisent dans la façon dont les mesures sont calculées ou mesurées.
- Des rapports sur les mesures ESG non équilibrés ou vagues.
- Utiliser la technologie pour détecter les comportements contraires à l’éthique. L’analyse de données peut être un outil efficace de détection rapide des risques de fraude ou des incidents. Voici quelques astuces pour en tirer le meilleur parti :
- La méthodologie de collecte des données devrait être cohérente et viser à recueillir des données à partir de sources qui permettent d’en préserver l’intégrité et la fidélité, d’évaluer la vraisemblance des hypothèses utilisées dans le calcul des mesures ESG et de favoriser une analyse proactive fondée sur le risque dans le cadre du programme de gestion des risques.
- L’utilisation de données structurées et épurées. Par exemple, des données bien structurées peuvent réduire le temps de vérification nécessaire pour s’assurer qu’elles sont complètes et exemptes d’erreurs.
- L’analyse de données peut être utilisée pour examiner l’entièreté d’une population plutôt que des échantillons. Cela offre une vue d’ensemble des transactions et accroît la confiance dans les analyses.
- Mettre en place des mécanismes de dénonciation, comme une ligne téléphonique d’éthique. De tels mécanismes permettent aux personnes responsables de la gouvernance d’être informées de toute inconduite potentielle liée aux facteurs ESG, de sorte qu’elles puissent réagir de manière appropriée. La communication par l’entremise de canaux internes confidentiels offre plus de contrôle à l’organisation, comparativement aux scénarios où un dénonciateur fait part de ses préoccupations à une partie externe. Ceci est particulièrement important à l’ère des médias sociaux, où l’opinion publique peut tourner le temps de dire « ESG ».
À mesure que les organisations cheminent sur leur parcours ESG, l’équilibre est la meilleure approche à adopter. Pour toutes les raisons que nous avons explorées, il faut éviter d’exagérer les progrès en ce qui a trait aux mesures ESG, tenir compte des signaux d’alerte, établir des mesures de protection et demeurer transparent quant aux gains réalisés et aux points à améliorer.
Maintenant que nous avons couvert la prévention et la détection, restez à l’affût pour la publication de notre prochain billet, dans lequel nous discuterons des éléments à prendre en considération si votre organisation doit enquêter sur un cas de malversation liée aux facteurs ESG.