RISQUES DANS LE DOMAINE DE LA RÉCONCILIATION DES
Transcription
RISQUES DANS LE DOMAINE DE LA RÉCONCILIATION DES
P RATI Q U E C O M PTAB LE C É L I N E C O U VA L DAN I E L WI DM E R RISQUES DANS LE DOMAINE DE LA RÉCONCILIATION DES COMPTES BANCAIRES Un domaine qui mérite une attention particulière Cet article résume le fonctionnement des logiciels de réconciliation, il met en évidence les risques liés à l’utilisation de tels logiciels et propose des procédures de contrôles et d’audit. 1. INTRODUCTION La réconciliation des comptes bancaires est probablement le contrôle le plus basique qui soit et aussi le plus ancien. Certains diront même qu’ «une fois qu’on est sûr que les soldes de la comptabilité correspondent avec les soldes confirmés par les tiers ou que les différences sont expliquées, on peut signer les états financiers les yeux fermés». Le processus de réconciliation a longtemps été un processus entièrement manuel, long et fastidieux. Puis des logiciels sont venus remplacer les dizaines de personnes qui effectuaient cette tâche dans les back-offices. Aujourd’hui, nombre d’établissements financiers utilisent des logiciels tels que GTMatch (anciennement Stematch), Corona, etc. Ces outils permettent de réconcilier d’une part les transactions et d’autre part les positions en fin de période. Ce thème qui concernait quasi-exclusivement la réconciliation des comptes bancaires pour les banques voire les brokers devient aussi un sujet pour les assurances, qui trouvent dans ces logiciels de quoi rendre plus efficaces les réconciliations de flux d’informations de tout genre, bien au-delà des comptes bancaires. Également les acteurs sur le forex pour qui les améliorations successives des logiciels ont permis de sécuriser et accélérer le processus de réconciliation des contrats. Mais sait-on vraiment ce que ces logiciels font, quels sont les risques à tout automatiser et qui doit surveiller quoi? Est-ce seulement une affaire d’informaticiens, ou les responsables de back-office et la direction devraient-ils être impliqués dans la mise en place de cet outil? Notre expérience montre que les risques liés à l’utilisation d’un logiciel de réconciliation sont loin d’être si bien mesurés par les établissements. Evidemment, la direction est souvent impliquée dans le choix du logiciel, mais ensuite, ce sont surtout les techniciens informatiques et les utilisateurs qui échangent avec les prestataires. Pourtant, nous sommes d’avis que des décisions cruciales quant au paramétrage et à l’utilisation du logiciel devraient être discutées au plus haut niveau. 2. LES RÈGLES DE RÉCONCILIATION: LE NERF DE LA GUERRE Les transactions sont réconciliées automatiquement lorsque plusieurs critères sont communs entre les informations qui proviennent de la comptabilité (chez nous – home) et les informations qui proviennent de la contrepartie tierce (corresp): montant, devise, date valeur et référence de la transaction sont les quatre critères cumulatifs les plus communément utilisés. Lorsque tous ces critères correspondent, les deux messages passent alors en statut «confirmé». Lorsqu’une transaction home ne trouve pas une transaction identique corresp, alors cette transaction home apparaît en suspens (message orphelin) et nécessite qu’un collaborateur back-office l’analyse. Idem pour une transaction envoyée par la contrepartie et pas enregistrée en comptabilité. La situation intermédiaire, c’est lorsque qu’un message home a un ou plusieurs critères communs mais pas tous. Les messages sont alors en statut «proposé» et c’est le back-office qui valide ou ne valide pas la proposition faite par le logiciel. Si le critère qui est en défaut est le critère «montant», alors la différence apparaîtra dans un compte de compensation, qui est un compte qui n’existe que dans le logiciel, pas dans la comptabilité. Ce compte doit alors être vidé via une écriture manuelle dans la comptabilité au compte de résultat. CÉLINE COUVAL, DANIEL WIDMER, EXPERTE-COMPTABLE EXPERT-COMPTABLE DIPLÔMÉE, DIPLÔMÉ, SOUS-DIRECTRICE RESPONSABLE DE LA FINANCIAL SERVICES RÉVISION INTERNE BDO SA, SUCCURSALE DE SUISSE ROMANDE DES GENÈVE BANQUES RAIFFEISEN, LAUSANNE/VD 658 L’ E X P E R T - C O M P TA B L E S U I S S E 2014 | 8 P RATI Q U E C O M PTAB LE R isques dans le domaine de la réconciliation des comptes bancaires Tableau: SCHÉMA DU PROCESSUS DE LA RÉCONCILIATION AUTOMATIQUE Système comptable des correspondants 1. Input des données Envoie les transactions et les soldes Swift, csv, etc. … Logiciel de réconciliation Système comptable de l’établissement Envoie les transactions et les soldes «Corresp» «Home» «Chez nous» Règles de rapprochement – Montant 2. Matching – Devises – Date valeur – Référence – etc. … Chaque transaction/solde ressort dans un des 3 status suivants: 3. Output a) Réconciliation automatique b) Réconciliation proposée par le logiciel mais qui nécessite une validation manuelle c) Transaction/solde non réconcilié – en suspens (par exemple: message orphelin) Source: propre illustration Pour éviter d’avoir un trop grand nombre de transactions non-réconciliées automatiquement, les logiciels offrent la possibilité d’assouplir les règles de réconciliation, en acceptant des «matching» malgré des différences de quelques centimes, voire quelques unités selon la devise. Ainsi, 80% des transactions sont réconciliées sans intervention humaine lorsque les règles sont adaptées intelligemment aux activités et devises de l’établissement. À noter que les règles sont modulables par compte. Mais ces assouplissements peuvent concerner toute sorte de critères et à trop vouloir assouplir, l’outil peut réconcilier des transactions qui n’auraient pas dû l’être. Alors ces transactions disparaissent et l’on croit qu’elles sont réconciliées! Bien évidemment, le risque que l’on se retrouve face à ce genre de situation dépend largement de la personne qui est autorisée à modifier les règles de réconciliation, et de la sempiternelle question des droits d’accès. De plus, la majorité de ces logiciels de réconciliation n’obligent pas qu’une modification des règles de réconciliation soit validée par un deuxième utilisateur. Compte tenu de la pression de plus en plus accrue sur les services de réconciliation pour réduire plus encore le nombre de suspens, il serait évidemment tentant pour un utilisateur d’assouplir à outrance les critères de réconciliation automatique (sans parler du risque de fraude). 3. LES SAISIES MANUELLES DANS LE SYSTÈME DE RÉCONCILIATION Le logiciel de réconciliation travaille généralement avec des flux provenant, d’une part, du système comptable et, d’autre 660 part, de confirmations de tiers (cf. tableau). Diverses situations peuvent justifier qu’une transaction soit saisie manuellement dans l’outil de réconciliation, en plus des flux automatiques; par exemple s’il y a eu une coupure dans le flux d’information qui a pour conséquence qu’une donnée envoyée par la contrepartie a été perdue. Il faut donc la saisir manuellement directement dans le logiciel. Mais cette possibilité de saisir manuellement des opérations, voire de modifier les soldes utilisés par le logiciel pour faire les balances carrées, crée des risques d’erreur et de fraude non-négligeables, et difficilement détectables selon les cas. Rien de plus simple par exemple que la création d’un compte purement technique dans le logiciel de réconciliation, dans lequel l'opérateur contrebalance toutes les écritures de détournement de fond. Un autre moyen de cacher des erreurs: désactiver le processus de balance carrée pour les comptes concernés. Bref, il ne s’agit pas de dévoiler dans cet article les utilisations frauduleuses, mais il est utile de savoir déjà que tout est possible! 4. OUTSOURCING Les établissements qui veulent limiter les risques d’erreur de paramétrage externalisent l’administration des règles, la gestion des droits d’accès, la création de nouveaux comptes à réconcilier, etc. Dans le cas d’établissements disposant d’un service IT suffisamment qualifié, les informaticiens gèrent eux-mêmes ces aspects. Mais sait-on vraiment si ceux à qui on a donné les droits pour créer des comptes, créer des accès ou juste contrôler les flux ont des fonctions compatibles avec ces droits stratégiques? L’ E X P E R T - C O M P TA B L E S U I S S E 2014 | 8 R isques dans le domaine de la réconciliation des comptes bancaires 5. FORMAT DES DONNÉES À RÉCONCILIER Un établissement n’a pas besoin d’utiliser la messagerie de type swift pour pouvoir mettre en place une réconciliation automatisée. En effet, la plupart des logiciels sont capables de transformer des données de tableur type Excel en données assimilables/réconciliables. C’est aussi valable dans l’autre sens, c’est-à-dire qu’un établissement qui utilise swift mais qui travaille avec quelques contreparties qui n’utilisent pas de messagerie bancaire peut utiliser des fichiers envoyés par email par ces contreparties et traiter cette information de telle manière qu’elle alimente le logiciel de réconciliation comme si c’était un message swift. 6. PROCÉDURES D’AUDIT Les contrôleurs internes et les auditeurs ont pour habitude d’analyser les transactions en suspens, notamment celles aux montants les plus grands et les plus anciennes. Ils vérifient également que tous les comptes bancaires au bilan font bien l’objet d’une réconciliation, soit via un logiciel de réconciliation, soit «en manuel». Concernant les comptes réconciliés via un logiciel de réconciliation, il serait sans doute utile de compléter avec d’autres contrôles, tels que: analyser toutes les transactions manuelles dans le logiciel: elles devraient être rares; vérifier que les balances carrées sont faites sur tous les comptes (car la plupart des logiciels permettent de suspendre le contrôle des soldes home, ou de corriger le solde manuellement)/vérifier qu’aucun élément «solde» n’est désactivé; 2014 | 8 L’ E X P E R T - C O M P TA B L E S U I S S E P RATI Q U E C O M PTAB LE contrôler les écritures de compensation dans le logiciel de réconciliation (compte technique) et analyser par quel compte en comptabilité il a été vidé, et par qui. Il peut y avoir des écritures de compensation séparées (pour couvrir opération par opération) ou groupées; analyser les «messages sortants», qui doivent rester rares. En effet, le logiciel de réconciliation ne fait normalement que recevoir des messages pour les réconcilier (messages en provenance de la comptabilité d’une part, messages en provenance des contreparties d’autre part). Tout message sortant est un message manuel qui mérite d’être justifié (message de réclamation vers la contrepartie; très peu de raisons d’avoir des messages sortants vers la comptabilité); comprendre quelles sont les tâches de paramétrages et de surveillance qui sont «inhouse» et celles qui sont déléguées. S’il s’agit d’un audit du processus de réconciliation dans son ensemble, d’autres vérifications pourraient venir en sus: vérifier que les différents droits octroyés aux collaborateurs ne créent pas des risques de potentiels abus; analyser pour les situations où le principe des 4 yeux a été levé que des contrôles compensatoires de deuxième niveau ont été mis en place; analyser les règles de réconciliation et la pertinence des assouplissements de règles (assouplissements généraux et individuels aux comptes) et qui a validé ces assouplissements. n 661