Beancount.io LogoBeancount.io

Séparation des tâches avec seulement trois employés : Un guide pratique du contrôle interne pour les petites entreprises

17 minutes de lectureMike ThriftMike Thrift
Séparation des tâches avec seulement trois employés : Un guide pratique du contrôle interne pour les petites entreprises

Une comptable de confiance avec 16 ans d'ancienneté. Un tampon de signature laissé dans le tiroir de son bureau. Cent cinquante-quatre chèques libellés à son propre nom sur une décennie. Au moment où le propriétaire s'en est rendu compte, plus de 200 000 $ s'étaient envolés — tout comme toute chance réaliste de recouvrement.

Cette histoire n'est pas un cas isolé. Le rapport 2024 de l'Association of Certified Fraud Examiners (ACFE) révèle que les organisations de moins de 100 employés subissent une perte médiane de 141 000 parcasdefraudelemontantlepluseˊleveˊdetouteslescateˊgoriesdetailledentreprise.Lestratageˋmetypedure12moisavantquequiconqueneleremarque,perdantenviron9900par cas de fraude** — le montant le plus élevé de toutes les catégories de taille d'entreprise. Le stratagème type dure **12 mois** avant que quiconque ne le remarque, perdant environ **9 900 chaque mois qui passe. Et la raison la plus courante pour laquelle les petites entreprises sont plus durement touchées que les grandes ? Un manque de contrôles internes — plus précisément, une seule personne effectuant tout le travail financier parce que « nous sommes trop petits pour diviser les tâches ».

Vous n'êtes pas trop petit. Vous avez simplement besoin d'un modèle différent de celui qu'un contrôleur d'une entreprise du Fortune 500 dessinerait. Voici ce modèle.

Ce que signifie réellement la séparation des tâches

Si l'on retire le jargon de l'audit, la séparation des tâches (SoD) repose sur une seule idée tenace : aucune personne ne devrait être en mesure de commettre une faute financière et de la dissimuler ensuite. C'est tout l'enjeu. Toutes les autres règles, contrôles et procédures découlent de ce principe unique.

Les auditeurs divisent le travail financier de toute entreprise en quatre fonctions. Pour rendre la fraude et les erreurs matérielles difficiles à réaliser, ces quatre fonctions devraient être réparties entre différentes personnes chaque fois que possible :

FonctionCe que cela couvreExemple
AutorisationApprouver qu'une transaction doit avoir lieuValider une facture fournisseur, approuver la paie, approuver un remboursement
GardeContrôle physique ou numérique de l'actif lui-mêmeDétenir le chéquier, avoir le pouvoir de signature, posséder la carte de crédit de l'entreprise
EnregistrementSaisir la transaction dans les livresEnregistrer les factures dans le système comptable, enregistrer les dépôts, traiter la paie
RapprochementVérifier que les enregistrements correspondent à des preuves indépendantesRapprocher le relevé bancaire avec le grand livre, faire correspondre le relevé de carte de crédit avec les reçus

Le comptable qui a enregistré la transaction ne devrait pas également la rapprocher. La personne qui détient le chéquier ne devrait pas non plus approuver les factures. Le propriétaire qui signe les chèques ne devrait pas non plus rapprocher le compte bancaire en vase clos. Chaque fonction bénéficie d'un regard différent.

Dans une entreprise de 50 personnes, séparer ces quatre fonctions est simple. Dans une entreprise de trois personnes, cela semble impossible — et c'est là que la plupart des propriétaires abandonnent et confient tout simplement tout à « la comptable en qui ils ont confiance ». Ce qui est exactement le point de départ de presque chaque étude de cas sur le détournement de fonds.

Pourquoi « Je leur fais confiance » n'est pas un contrôle

Presque tous les cas de détournement de fonds signalés partagent la même phrase d'introduction : le propriétaire faisait entièrement confiance au coupable. L'entrepreneur de l'Ohio faisait confiance à Deborah Hall — pendant 16 ans. L'entreprise de construction faisait confiance à sa comptable malgré 18 chèques frauduleux totalisant plus de 44 000 .Ladirectricedebureauduneentreprisedechauffageetclimatisation,AngelaCooper,eˊtaitassezdignedeconfiancepoursevoirconfierletampondesignatureduproprieˊtaire;ellelautiliseˊpourfalsifierplusde100cheˋquesetempocher158658. La directrice de bureau d'une entreprise de chauffage et climatisation, Angela Cooper, était assez digne de confiance pour se voir confier le tampon de signature du propriétaire ; elle l'a utilisé pour falsifier plus de 100 chèques et empocher 158 658 .

La confiance n'est pas un contrôle. La confiance est ce qui crée l' opportunité — les conditions dans lesquelles la fraude peut se produire sans être détectée. Les contrôles sont ce qui supprime cette opportunité. L'objectif de la mise en place de contrôles internes dans votre petite entreprise n'est pas d'accuser vos employés ; c'est de s'assurer que même un comptable parfaitement honnête dispose d'un filet de sécurité structurel pour rattraper les erreurs de bonne foi, et que toute personne malintentionnée devrait recruter un complice avant de pouvoir voler un centime.

Dit autrement : si votre seule protection contre une perte à six chiffres est votre lecture du caractère de quelqu'un, vous n'avez pas de protection. Vous avez un espoir.

La réalité à trois personnes

Soyons concrets. Supposons que votre entreprise dispose de :

  • Vous (le propriétaire)
  • Un comptable (à plein temps ou à temps partiel, en interne ou à distance)
  • Un responsable des opérations ou de bureau (un employé polyvalent)

Vous ne pouvez pas vous offrir un contrôleur de gestion. Vous ne pouvez pas vous offrir un commis aux comptes fournisseurs, un commis aux comptes clients et un trésorier distincts. Voici ce que vous pouvez faire — et c'est suffisant pour réduire considérablement le risque de fraude.

Étape 1 : Schématisez vos flux de transactions

Prenez une feuille de papier et notez le cycle de vie de chaque flux d'argent majeur :

  1. Recettes de trésorerie — Comment l'argent arrive-t-il ? Qui ouvre le courrier / traite les paiements / enregistre les dépôts / effectue le rapprochement ?
  2. Décaissements — Comment l'argent sort-il ? Qui approuve les factures / signe les chèques ou initie les virements ACH / enregistre le paiement / effectue le rapprochement ?
  3. Paie — Qui ajoute et supprime les employés / approuve les heures / traite la paie / effectue le rapprochement avec le grand livre ?
  4. Inventaire ou autres actifs — Qui a l'accès physique / enregistre les mouvements / compte et rapproche ?

Pour chaque étape, écrivez le nom de la personne qui s'en occupe. Si le même nom apparaît à la fois pour l'autorisation, la garde, l'enregistrement et le rapprochement dans une seule ligne, vous avez un signal d'alarme concernant la séparation des tâches.

Étape 2 : Effectuez toutes les séparations de tâches raisonnables

Même avec seulement trois personnes, vous pouvez généralement mettre en place les séparations les plus cruciales :

  • Le propriétaire signe tous les chèques au-dessus d'un seuil bas (par exemple, 500 $). Le comptable prépare les chèques, mais ne les signe jamais et n'a jamais de pouvoir de signature. Le comptable ne devrait jamais être autorisé à signer des chèques. Jamais.
  • Le propriétaire — et non le comptable — approuve les nouveaux fournisseurs avant que tout paiement puisse leur être émis. La fraude au fournisseur fictif est le stratagème le plus facile au monde à réaliser, et ce simple contrôle permet de l'éliminer.
  • Le responsable de bureau ouvre le courrier et tamponne chaque chèque reçu de la mention « Pour dépôt seulement » avant de le remettre. Le comptable enregistre les recettes mais n'en a jamais la garde physique avant qu'elles ne fassent l'objet d'un endossement restrictif.
  • Le comptable enregistre les transactions ; le propriétaire effectue le rapprochement bancaire (nous verrons comment faire cela correctement dans un instant).
  • Le propriétaire approuve la paie à chaque cycle — nom par nom, dollar par dollar — avant qu'elle ne soit transmise. Les montages d'employés fantômes sont stoppés net par un propriétaire capable d'examiner le registre de paie et de reconnaître chaque visage.

Ce n'est pas une séparation parfaite. Mais c'est suffisant pour exiger une collusion pour que la plupart des stratagèmes de fraude réussissent — et dès que deux personnes doivent conspirer, votre risque chute considérablement.

Étape 3 : Utilisez des contrôles compensateurs partout ailleurs

Un contrôle compensateur est ce que les auditeurs appellent toute étape de révision que vous ajoutez lorsque la séparation complète des tâches n'est pas réaliste. Ils ne sont pas aussi robustes qu'une véritable séparation, mais cumulés, ils sont étonnamment efficaces. Les principaux pour une petite entreprise :

  • Examen du relevé bancaire par le propriétaire avant que le rapprochement ne soit effectué. C'est le contrôle le plus puissant de toute cette liste. Demandez à la banque d'envoyer le relevé par courrier (ou un PDF directement par e-mail) au propriétaire chaque mois. Le propriétaire l'ouvre, recherche les bénéficiaires inconnus, les transferts inhabituels ou les montants anormaux, puis le remet pour le rapprochement. Apposer ses initiales et la date sur le relevé = contrôle effectué.
  • Rapprochement bancaire mensuel revu et signé par le propriétaire. Même si le comptable l'effectue, le propriétaire examine le rapprochement terminé et signe au bas du document. Vérifiez les chèques en circulation : y en a-t-il qui traînent depuis trop longtemps ? Vérifiez les dépôts en transit : sont-ils réellement crédités le mois suivant ?
  • Congés annuels obligatoires d'au moins une semaine consécutive pour toute personne touchant à la comptabilité, période durant laquelle quelqu'un d'autre assure son travail. La grande majorité des détournements de fonds de longue durée s'effondrent dès qu'une seconde personne ouvre les comptes. De nombreuses fraudes comptables ont été découvertes spécifiquement parce que l'auteur a été contraint de prendre des congés.
  • Contrôles inopinés. De temps en temps, sélectionnez au hasard les décaissements d'une semaine et remontez jusqu'à la facture, l'approbation et l'écriture comptable. Vous n'avez pas besoin de le faire souvent — même une fois par trimestre suffit — mais le fait que cela puisse arriver est un moyen de dissuasion.
  • Un canal de signalement ou d'alerte. Cela peut paraître très formel, mais ce n'est pas forcément le cas. Informez vos employés par écrit qu'ils peuvent vous signaler leurs préoccupations directement (ou à votre expert-comptable) sans crainte de représailles. Les signalements permettent de détecter 43 % de toutes les fraudes professionnelles — soit plus de trois fois plus que n'importe quelle autre méthode de détection. Vos employés voient des choses que vous ne voyez pas.

Étape 4 : Verrouillez le système, pas seulement les personnes

Même avec un personnel limité, votre logiciel de comptabilité, votre portail bancaire et votre système de paie vous offrent un levier énorme si vous les configurez bien :

  • Identifiants de connexion distincts pour chaque personne. Aucun compte partagé. Jamais. Si un problème survient, vous devez savoir quel utilisateur en est à l'origine.
  • Autorisations basées sur les rôles dans le système comptable. Votre comptable n'a pas besoin de l'autorisation de supprimer des transactions, d'annuler des chèques après leur encaissement, de modifier les coordonnées bancaires des fournisseurs ou de modifier le plan comptable. La plupart des systèmes modernes permettent de désactiver chacune de ces options.
  • Journaux d'audit activés et examinés. Si votre logiciel conserve un journal des modifications, apprenez à le lire. Jetez périodiquement un coup d'œil aux suppressions, aux modifications de périodes passées et aux changements apportés aux données de référence des fournisseurs.
  • Double autorisation bancaire pour les virements au-dessus d'un certain seuil. La plupart des portails bancaires professionnels le permettent. Utilisez-le. Le comptable initie ; le propriétaire libère les fonds.
  • Paiement positif (Positive Pay) sur le compte courant. Vous téléchargez la liste des chèques émis ; la banque refuse de payer tout ce qui ne figure pas sur la liste. Cela élimine presque entièrement la fraude par falsification de chèques et est souvent gratuit avec un compte professionnel.

Étape 5 : Faites appel à un intervenant extérieur à temps partiel

Si vous ne pouvez pas séparer totalement les tâches en interne, empruntez cette séparation à l'extérieur de l'entreprise. Voici des options généralement abordables, même pour les petites entreprises :

  • Un cabinet de comptabilité à temps partiel qui gère le travail, tandis que vous vous chargez des approbations et de la révision des rapprochements.
  • Un directeur financier (CFO) à temps partagé ou un expert-comptable externe qui examine les états financiers mensuels, teste des transactions par échantillonnage et sert discrètement de second regard.
  • Un examen annuel (une mission d'examen, plus légère qu'un audit) par un expert-comptable, qui fait souvent ressortir les faiblesses de contrôle bien avant qu'elles ne se transforment en pertes.

L'externalisation de l'une des quatre fonctions est souvent moins coûteuse que l'embauche d'un autre employé et offre un contrôle bien plus robuste que tout ce que vous pourriez construire en interne avec trois personnes.

Un exemple concret : renforcer le contrôle des décaissements

Passons en revue un processus complet — le paiement des factures — pour rendre cela concret dans une structure de trois personnes.

Avant renforcement :

Le comptable reçoit les factures, les saisit dans le système comptable, imprime les chèques, les signe avec le tampon de signature du propriétaire, les envoie par courrier et effectue le rapprochement bancaire à la fin du mois.

Cela représente les quatre fonctions entre les mains d'une seule personne, en plus de la garde du tampon de signature. C'est la configuration classique de fraude.

Après renforcement :

  1. L'office manager (ou le comptable) reçoit les factures et les saisit dans le système en tant que factures fournisseurs, mais ne peut pas les payer.
  2. Le propriétaire consulte les factures impayées chaque semaine, examine chacune d'entre elles par rapport aux pièces justificatives, et valide celles approuvées pour le paiement.
  3. Le comptable génère le lot de paiement uniquement pour les factures approuvées (chèques et/ou virements ACH).
  4. Le propriétaire signe physiquement chaque chèque. Le tampon de signature est détruit.
  5. Les paiements ACH exigent que le propriétaire se connecte au portail bancaire et libère le fichier préparé par le comptable.
  6. Le relevé bancaire est envoyé (par courrier ou e-mail) directement au propriétaire, qui l'ouvre, l'examine, le paraphe, puis le remet au comptable pour le rapprochement.
  7. Le rapprochement terminé revient au propriétaire, qui examine et signe la page de garde.

Vous êtes passé d'une seule personne contrôlant chaque étape à un processus où voler un dollar nécessiterait soit (a) de falsifier la signature du propriétaire sur un chèque (le service de "positive pay" permet de détecter cela), soit (b) d'amener le propriétaire à approuver activement une facture frauduleuse (l'examen des pièces justificatives permet de détecter cela), soit (c) de recruter un complice. Le risque de fraude ne tombe pas à zéro — rien n'est infaillible — mais il passe de « trivialement facile » à « réellement difficile et susceptible d'être détecté ».

Comment une bonne comptabilité rend tout cela possible

Chaque contrôle ci-dessus dépend d'un prérequis silencieux : vos comptes doivent être suffisamment propres pour que les anomalies sautent aux yeux. Si votre grand livre est un chaos de transactions mal imputées, de catégories regroupées et d'écritures non catégorisées du type « À demander au comptable », alors le propriétaire qui examine le relevé bancaire n'a aucun point de comparaison. Les paiements suspects se cachent dans le bruit.

Une comptabilité solide et bien organisée est ce qui transforme ces contrôles d'une simple mise en scène en une véritable protection. Les rapprochements ne permettent de détecter la fraude que lorsqu'ils tombent juste au centime près. L'examen des fournisseurs ne fonctionne que si les fournisseurs sont saisis de manière cohérente. La détection de schémas anormaux ne fonctionne que s'il existe une structure réelle dans les données.

La comptabilité en texte brut, sous contrôle de version, est particulièrement puissante ici, car chaque modification est enregistrée dans l'historique du fichier. Vous pouvez voir exactement ce qui a changé, quand et par qui — une piste d'audit intégrée sans avoir à acheter une plateforme de GRC d'entreprise. C'est un avantage structurel pour les petites entreprises qui n'ont pas les moyens de s'offrir un contrôleur de gestion ou un service d'audit.

Une liste de contrôle trimestrielle des contrôles internes

Imprimez ceci. Scotchez-le à l'intérieur d'un classeur. Suivez-le tous les trois mois.

  • Parcourez une transaction complète dans chaque cycle majeur (encaissements, décaissements, paie) et vérifiez qu'elle a suivi votre processus documenté.
  • Prenez le rapprochement bancaire du mois le plus récent et confirmez que le relevé bancaire correspond au solde final du grand livre, sans aucun élément de rapprochement inexpliqué datant de plus de 60 jours.
  • Examinez le fichier central des fournisseurs. Enquétez sur tout fournisseur ajouté au cours du dernier trimestre que vous ne reconnaissez pas. Comparez les adresses des fournisseurs aux adresses des employés.
  • Examinez le registre de paie pour un cycle. Identifiez chaque nom. Enquétez sur tout nouvel employé ou changement de taux.
  • Vérifiez le journal d'audit du système comptable pour les transactions supprimées ou annulées. Enquétez sur celles effectuées dans des périodes clôturées.
  • Confirmez que chaque personne figurant dans les livres a pris au moins ses jours de congé obligatoires au cours du dernier trimestre.
  • Confirmez que les pouvoirs de signature sur les comptes bancaires correspondent toujours à vos intentions.
  • Prenez les relevés de cartes de crédit et vérifiez que chaque dépense a un but professionnel documenté et un reçu.

Vingt à trente minutes, quatre fois par an. La comptable de Plant Nutrition Services a mené son stratagème jusqu'à la mort du propriétaire. Ne laissez pas le moment de la détection dépendre de la chance.

Quand relâcher — et quand renforcer davantage

Les contrôles internes ne relèvent pas de la paranoïa ; il s'agit d'adapter le contrôle au risque. Quelques conseils de calibrage :

  • Renforcez les contrôles lorsque le volume de trésorerie augmente, lorsque vous embauchez un nouveau comptable, après tout incident évité de justesse, lorsque vous accueillez des investisseurs externes, lorsque vous commencez à gérer des fonds en fiducie pour des tiers (par exemple, dépôts de clients, honoraires provisionnels), ou lorsque vous découvrez que vous ne pouvez pas expliquer une ligne sur le relevé bancaire.
  • Relâchez (légèrement) les contrôles lorsqu'ils causent de réelles difficultés opérationnelles et que vous disposez d'un contrôle compensateur robuste ailleurs. Chaque contrôle a un coût ; l'objectif est l'ensemble minimal qui vous offre une couverture adéquate.
  • Ne relâchez jamais l'autorité de signature des chèques, l'approbation des fournisseurs ou l'examen préalable du relevé bancaire. Ces trois éléments sont les murs porteurs de toute la structure.

Gardez vos finances organisées dès le premier jour

Des contrôles internes solides ne fonctionnent que sur une comptabilité propre et bien organisée. Si vous ne pouvez pas faire confiance aux chiffres, vous ne pouvez pas faire confiance aux rapprochements — et tout le système de contrôle s'effondre. Beancount.io propose une comptabilité en texte brut qui vous offre une transparence totale et un historique complet de chaque modification de votre grand livre, le genre de piste d'audit intégrée pour laquelle les petites entreprises doivent normalement acheter des logiciels coûteux. Commencez gratuitement et découvrez pourquoi les développeurs et les professionnels de la finance passent à la comptabilité en texte brut — et consultez nos tableaux de bord Fava hébergés pour des visualisations instantanées de vos comptes.

Le contrôle interne le moins cher que vous puissiez mettre en place est la discipline d'une comptabilité propre revue par une deuxième paire d'yeux. Le plus coûteux est le procès que vous intenterez trois ans plus tard, en espérant récupérer dix centimes pour chaque dollar perdu.