Projets

L'impuissance de l'ERP de Macy's face au vol de plus de 130 M$ par un employé

La chaîne de magasins américains Macy's a dû retarder la publication de ses résultats, après l'annonce du vol de plus de 134 M$ par un employé. Un méfait qu'aucun logiciel n'a pu prévenir. (Photo M.Strand/Wikipedia)

Un salarié de Macy's a réussi à cacher entre 132 et 154 millions de dollars de frais de livraison dans la comptabilité de la société l'obligeant à retarder la publication de ses résultats. L'affaire montre les limites des ERP et des logiciels de comptabilité pour détecter ces erreurs.

PublicitéEn début de semaine la chaîne de magasin américaine Macy's a annoncé retarder la publication de ses résultats financiers. Le motif : un employé a dissimulé pendant trois ans des frais de livraison pour un montant compris entre 132 et 154 millions de dollars. Une annonce qui tombe au plus mal à quelques jours des fêtes (Thanksgiving et du Black Friday) et qui met en évidence les lacunes des contrôles sur les logiciels de comptabilité et des ERP.

Dans un communiqué, le distributeur précise avoir identifié un ex-comptable à l'origine de la faute qui « a intentionnellement passé des écritures comptables erronées pour dissimuler environ 132 à 154 millions de dollars de frais de livraison cumulés du quatrième trimestre 2021 au trimestre fiscal terminé le 2 novembre 2024 » Il ajoute pour rassurer que « rien n'indique que les écritures comptables erronées aient eu un quelconque impact sur les activités de gestion de trésorerie de l'entreprise ou sur les paiements des fournisseurs. La personne qui s'est livrée à ces agissements n'est plus employée par la société. L'enquête n'a pas permis d'identifier l'implication d'un autre employé ».

Un tour de passe-passe comptable

Dans la communication de Macy's, des spécialistes de la comptabilité ont noté que le document ne contenait pas la phrase habituelle indiquant que les forces de l'ordre ont été informées. Cela pourrait suggérer qu'aucune intention criminelle n'a été découverte. Un scénario probable est que l'employé incriminé se soit servi d'une astuce comptable pour améliorer les chiffres, sans se rendre compte que cette action n'était pas autorisée par la SEC.

Pour JR Kunkle, auditeur et spécialiste de la GRC (gestion des risques et de la conformité) explique que les auditeurs détestent que les entreprises enregistrent leurs données financières en compte de régularisation plutôt que dans la trésorerie. « Les comptes de régularisation sont l'un des domaines préférés [des auditeurs] parce que les entreprises s'amusent à les manipuler. Il est possible d'augmenter ou de diminuer les montants au fur et à mesure que le trimestre avance », explique l'expert. Il ajoute, « c'est un domaine difficile à contrôler ». Plus important, pour les DSI, il est très difficile pour les logiciels d'entreprise de contrôler ce domaine, en ne sachant pas quand les mouvements d'argent sont autorisés par les règles ou pas. Selon JR Kunkle et plusieurs experts en comptabilité, la motivation probable de l'employé était d'améliorer l'image des finances de l'entreprise, pour obtenir une meilleure prime pour sa division.

Les logiciels ERP n'aiment pas les nuances

De son côté Stefan van Duyvendijk, directeur du secteur chez l'éditeur de logiciels de comptabilité FloQast pense que « quelqu'un était censé avoir accumulé cette somme, mais qu'il a cherché à le réaffecter pour ne pas à avoir à les publier ». Il complète en soulignant, « vous seriez surpris de voir à quel point les paiements des fournisseurs peuvent être retardés. Ils peuvent dire qu'ils payent le fournisseur à l'avance afin que les chiffres n'apparaissent pas dans le trimestre et que rien n'apparaisse dans le compte de résultat. Il est également possible de répartir les dépenses entre les différentes activités et divisions ».

PublicitéEn ce qui concerne les défenses de Macy's et d'autres entreprises, il a déclaré que ces tactiques comptables ne sont souvent pas découvertes. « Les ERP ne sont pas vraiment conçus pour les détecter. Ce que la technologie trouve difficile, c'est la nuance », et les tactiques comptables sont pleines de nuances. « KPMG [NDLR : l'auditeur de Macy] ne l'a pas non plus identifiée », a déclaré Stefan van Duyvendijk. Il insiste sur le fait que « les ERP et la plupart des logiciels de reporting ne sont pas conçus pour détecter une comptabilité erronée, et encore moins une comptabilité délibérément frauduleuse ». C'est pourquoi les équipes comptables « consacrent autant de temps au processus de clôture mensuelle afin d'identifier et de corriger ces erreurs », glisse-t-il.

Une simple modification de code comptable ?

Une autre spécialiste de la comptabilité, Adriana Carpenter, directrice financière d'Emburse, a quelques idées précises sur ce qui s'est passé. « Ce qui a été révélé, c'est que les flux de trésorerie ne sont pas affectés, mais seulement le compte de résultat. Cela m'amène à supposer que le comptable a modifié le code de ces transactions de livraison pour imputer les paiements à un compte de bilan plutôt qu'à un compte de pertes et profits. Par conséquent, bien que les paiements aient été correctement enregistré en tant que sorties de trésorerie, les dépenses n'ont jamais été déclarées » confie la dirigeante. « Ce codage a pu avoir lieu au moment de la transaction, ce qui signifie qu'il était lié à la transaction elle-même, ou il a pu être initialement enregistré dans le compte de résultat et une deuxième écriture de journal a ensuite été passée pour annuler la charge et la déplacer vers le bilan ».

Adriana Carpenter a suggéré que les entreprises pourraient éviter cela en modifiant leurs procédures. La comptabilité pourrait exiger que les achats soient approuvés et qu'un code de compte soit attribué « avant que la dépense ou la transaction n'ait lieu ». Dans ce scénario, lorsque la transaction a lieu, elle a déjà été pré-affectée à l'enregistrement d'une dépense dans le compte de résultat. Cela éviterait que quelqu'un vienne et attribue un autre code comptable, par exemple à un compte de bilan ».

La piste criminelle n'est pas écartée

Frank Dickson, vice-président du groupe chargé de la sécurité et de la confiance chez IDC, est l'un des rares à penser que les actions de l'employé allaient probablement au-delà d'une comptabilité agressive et relevaient du crime. Il a estimé que l'absence de référence aux forces de l'ordre visait simplement à permettre à Macy's de contrôler la situation un peu plus longtemps. L'Américain « a maintenant le contrôle de la situation. S'ils déclarent qu'il s'agit d'un acte criminel, l'entreprise perd le contrôle », constate le consultant. « Si quelqu'un modifie intentionnellement ses principes comptables pour obtenir une meilleure prime, c'est un acte criminel ». La situation de Macy's illustre également le problème des activités des insiders. « Lorsque vous avez un salarié malveillant, il connaît les systèmes mieux que l'entreprise », a déclaré M. Dickson.

Par exemple, selon ce dernier, chaque entreprise va surveiller des écarts financiers de montants variables. Si un salarié connaît les seuils exacts, il peut constamment opérer juste en dessous de ce niveau. « Dans une entreprise de cette taille, qu'est-ce qui passe inaperçu ? C'est le cas des erreurs d'arrondi, des bords. Quelles sont les limites ? Où puis-je cacher des choses ? Du point de vue de l'IT, une grande partie du problème ne réside pas nécessairement dans la faiblesse des différents systèmes comptables, mais dans les fissures qui se forment entre ces systèmes. « Le problème se situe à l'intersection de deux systèmes : ERP et comptabilité financière.

Casser les silos

Que peuvent faire les DSI pour éviter ce problème ? Redoubler d'efforts en matière de gouvernance, de risque et de conformité », observe Franck Dickson. « Abattez les murs entre les groupes, tels que les systèmes ERP et comptables et la cybersécurité. Il y aura des lacunes entre ces silos. Ce qui se produit dans ces interstices, c'est la complexité. C'est là que le bruit se transforme en signal ». Un autre analyste, Robert Kramer, vice-président de Moor Insights & Strategy, met l'accent sur le fait que « les systèmes ERP n'auront pas la capacité de détecter ce genre de choses. La seule façon d'y remédier est de renforcer les contrôles internes avec des éléments tels que les flux de travail multi-employés ». Tout en reconnaissant que Macy's dispose « d'un système de dépense de livraison très complexe ».