Les faits : une fraude de 94 millions de livres
Octobre 2018. Patisserie Holdings plc découvre des irrégularités comptables. Trois mois plus tard, la chaîne s'effondre.
L'entreprise exploitait 200 magasins sous les marques Patisserie Valerie, Druckers et Philpotts, cotée sur l'AIM (Alternative Investment Market) de Londres depuis 2006. Le conseil affichait une croissance régulière. Luke Johnson présidait. Paul May tenait la direction financière. L'auditeur Grant Thornton UK avait certifié les comptes huit mois plus tôt sans réserve, sur des bénéfices déclarés de 15 millions de livres.
L'enquête a révélé une fraude orchestrée par le DAF sur plusieurs exercices. Les manipulations principales :
- Création de faux comptes bancaires pour dissimuler les découverts - Falsification des rapprochements bancaires - Surévaluation artificielle des stocks et créances clients - Dissimulation de dettes fournisseurs importantes - Manipulation des provisions pour charges
L'écart final : 94 millions de livres. La société est mise en liquidation en janvier 2019. 3 000 personnes perdent leur emploi.
Ce que l'audit a manqué selon l'enquête FRC
Pour le commissaire aux comptes français qui lit ce dossier, la question n'est pas britannique. C'est honteux quand on voit que les failles pointées par le FRC se retrouvent presque mot pour mot dans les rapports H2A sur les mandats PME français. Le rapport FRC de juin 2021 est l'occasion de tester votre propre méthodologie face aux mêmes pressions structurelles : honoraires serrés, équipe junior, DAF coopératif.
Évaluation insuffisante du contrôle interne (ISA 315)
Voici ce qui s'est passé en pratique. Paul May contrôlait seul l'ensemble de la chaîne financière : tenue de comptabilité, rapprochements bancaires, préparation des comptes, relations avec les banques. Toute la chaîne. Une seule personne.
L'équipe Grant Thornton a vu cette concentration. Elle l'a documentée. Elle l'a qualifiée de « point d'attention » et a poursuivi les procédures planifiées sans les adapter.
La norme dit autre chose. ISA 315.13 oblige à identifier les déficiences significatives du contrôle interne et à modifier la stratégie d'audit en conséquence. ISA 315.A129 traite spécifiquement de la concentration des pouvoirs financiers comme déficience majeure. En pratique, voir « DAF qui contrôle tout » sur un mandat AIM-listed devrait déclencher un changement de scope, pas une note de bas de page.
La zone grise commence ici. Sur une PME où la concentration est inévitable (effectif réduit, structure familiale), où placer le curseur ? Quels contrôles compensatoires sont crédibles ? La présence d'un président actif ? Un comité d'audit qui se réunit deux fois par an ? Le rapport FRC a tranché : sur Patisserie Valerie, les compensatoires invoqués n'étaient pas testés.
Scepticisme professionnel insuffisant (ISA 240)
L'équipe a accepté les explications du DAF sur trois anomalies récurrentes :
- Écarts de rapprochements bancaires expliqués par des « différences de timing » - Évolution des stocks justifiée par l'ouverture de nouveaux magasins - Variations de marges expliquées par des changements de mix produits
Ces explications n'ont pas été corroborées par des sources indépendantes.
ISA 240.12 exige le maintien du scepticisme professionnel sur toute la mission. ISA 240.13 est plus précis : l'auditeur ne peut accepter sans corroboration des éléments fournis par la direction lorsque des facteurs de risque de fraude existent. Sur le papier, c'est clair. Dans les dossiers que nous voyons, le scepticisme s'érode dès que la relation client se tisse — surtout en année 3 ou 4 d'un mandat où le senior connaît le DAF par son prénom.
Il ne s'agit pas de présumer que chaque DAF coopératif ment. Il s'agit de tester ses dires comme on testerait n'importe quel élément probant : par recoupement avec une source indépendante.
Procédures de corroboration inadéquates (ISA 330)
Les procédures de corroboration ont reposé principalement sur des documents internes :
- Confirmations bancaires limitées aux comptes « officiels » (ceux que le DAF avait déclarés) - Vérifications stocks basées sur des inventaires internes - Circularisation clients restreinte aux créances importantes
ISA 330.18 exige des procédures de fond suffisantes sur les zones de risque significatif. ISA 505.7 ajoute que le contrôle direct sur la sélection des destinataires de confirmations externes est obligatoire. Ce que ça signifie en pratique : c'est l'auditeur qui choisit la liste des banques à interroger, pas le client. Sur Patisserie Valerie, les confirmations bancaires sont parties uniquement vers les banques que le DAF avait listées. Les comptes occultes n'étaient nulle part. Le dossier ne pouvait pas raconter l'histoire complète parce qu'il manquait la moitié des banques.
L'exemple pratique : comment la fraude a fonctionné
Scénario : Boulangeries Moderne S.A.S.
Transposons dans un contexte français pour comprendre les mécanismes et les procédures qui auraient dû alerter.
Profil de l'entité : - Boulangeries Moderne S.A.S., 85 points de vente en région parisienne - Chiffre d'affaires : 47 M€ - Effectifs : 920 salariés - Direction financière centralisée : un DAF et deux comptables
Étape 1 : Création de faux comptes bancaires
Paul May ouvrait des comptes bancaires au nom de l'entreprise sans en informer le conseil. Ces comptes servaient à masquer les découverts croissants.
Note de documentation : « Obtenir la liste exhaustive des comptes bancaires directement auprès de chaque banque, pas seulement auprès de la direction. Contrôler les procurations et autorisations d'ouverture de comptes. »
Étape 2 : Falsification des rapprochements bancaires
Les relevés des « vrais » comptes (ceux connus du conseil) étaient manipulés. Les découverts étaient transférés vers les comptes cachés avant les clôtures mensuelles.
Note de documentation : « Obtenir les relevés directement des banques. Contrôler la séquence des virements en fin de mois. Vérifier la cohérence des soldes avec les confirmations bancaires. »
Étape 3 : Surévaluation des stocks
Les stocks étaient gonflés de 15 à 20 % par manipulation des quantités et valorisations. Sur 47 M€ de chiffre d'affaires, cela représente 3 à 4 M€ d'impact sur le résultat.
Note de documentation : « Effectuer des comptages surprises. Contrôler les mouvements de stocks entre sites. Analyser l'évolution des ratios de rotation par rapport aux standards du secteur. »
La complication réaliste : où l'associé A et l'associé B divergent
Imaginons que le manager remonte une marge brute en baisse de 1,8 point, expliquée par le DAF par « lancement d'une gamme bio à marge plus faible ». Vous avez les chiffres. Vous avez l'explication. La gamme bio existe (visible en magasin). L'associé A signe la procédure analytique : explication plausible, source identifiable, point. L'associé B refuse : il veut le mix produit chiffré par le système de caisse, ventilé par magasin et par mois, avant validation. L'associé B a probablement raison sur Patisserie Valerie. Mais sur un mandat PME à honoraires serrés, est-il proportionné de demander une extraction de caisse ventilée chaque trimestre ? Les deux associés ont des arguments défendables. La norme ne tranche pas. Le dossier doit montrer pourquoi vous avez choisi l'un ou l'autre.
Cette manipulation a permis de présenter des comptes bénéficiaires pendant trois exercices consécutifs.
Checklist : les vérifications qui auraient évité l'échec
1. Contrôle exhaustif des comptes bancaires : obtenir la liste directement de chaque banque, pas de la direction. Vérifier les procurations et autorisations (ISA 330.20).
2. Confirmations bancaires étendues : inclure tous les comptes, même ceux à solde zéro ou fermés récemment. Demander les mouvements des 30 derniers jours (ISA 505.10).
3. Analyse des ratios par trimestre : décomposer les variations annuelles par période. Les manipulations créent souvent des évolutions atypiques en fin d'exercice (ISA 520.5). Trop de procédures analytiques sont calibrées au doigt mouillé sur la variation N-1 globale ; sur un mandat PME, c'est insuffisant.
4. Revue des autorisations IT : vérifier qui peut créer, modifier ou supprimer des écritures comptables. La concentration des droits est un facteur de risque majeur (ISA 315.21).
5. Contrôle des fournisseurs nouveaux : analyser les créations de tiers dans les 12 derniers mois. Les entreprises en difficulté créent parfois de faux fournisseurs pour justifier des sorties de trésorerie (ISA 240.32).
6. Le point décisif : ne jamais accepter qu'une seule personne contrôle l'intégralité du processus financier, quelle que soit sa compétence apparente ou sa relation avec la direction.
La thèse, le contre-argument et le verdict
La position défendue ici est précise : sur Patisserie Valerie, les procédures Grant Thornton auraient pu détecter la fraude. Elles ne l'ont pas détectée parce que le scope retenu était celui d'un audit PME standard sur une entité présumée à faible risque, alors que les facteurs de risque ISA 240 (concentration des pouvoirs, croissance régulière atypique du secteur, pression cours boursier AIM) auraient dû déclencher un scope élargi.
Le contre-argument est connu. Il a été plaidé par Grant Thornton et par une partie de la profession britannique : la fraude était sophistiquée, orchestrée par le DAF avec falsification de relevés bancaires, et un audit raisonnablement diligent ne peut pas garantir la détection d'une fraude organisée à ce niveau. C'est un argument sérieux. ISA 240.5 reconnaît explicitement que la détection de la fraude orchestrée par la direction est intrinsèquement plus difficile.
Mais le rapport FRC de juin 2021 a nommé des procédures spécifiques que Grant Thornton n'avait pas exécutées : circularisation directe des banques avec sélection indépendante des destinataires, comptage surprise des stocks sur sites échantillonnés, recalcul indépendant des marges par magasin. Ces procédures sont dans toute méthodologie standard. Les exécuter n'est pas un effort héroïque. C'est l'application normale de la NEP 240 (alignée ISA 240) et de la NEP 505 sur un mandat où les facteurs de risque étaient présents.
Verdict : la défense « fraude trop sophistiquée » ne tient pas quand le rapport régulateur identifie des procédures de base manquantes. Le dossier était trop léger.
La pression structurelle que le rapport FRC ne dit pas
Voici l'insight que le rapport FRC ne formule pas explicitement, mais que tout praticien sur des mandats PME mid-cap connaît : le forfait sur un mandat AIM-listed à 15 M£ de profit, en année 5 d'engagement, est typiquement calé pour permettre une équipe légère à scope réduit, parce que la concurrence des cabinets non-Big 4 sur ce segment a comprimé les honoraires de 30 à 40 % sur la décennie. Le manager sait que l'élargissement du scope coûtera son budget. L'associé sait que le client partira si les honoraires augmentent. Personne ne décide consciemment d'alléger les procédures ; le forfait les allège pour eux.
Erreurs communes révélées par l'enquête
• Confiance excessive dans les contrôles compensatoires : l'équipe a considéré que l'implication du président Luke Johnson compensait les déficiences du contrôle interne, sans vérifier qu'il avait effectivement accès aux informations nécessaires.
• Procédures analytiques superficielles : les analyses se limitaient aux variations annuelles globales, sans décomposition mensuelle ou par magasin qui aurait révélé les anomalies.
• Acceptation des justificatifs internes : l'équipe n'a pas suffisamment remis en question la source des documents fournis par la direction financière. Sur les missions où la revue indépendante existe formellement mais reste sans tests substantifs sur les zones critiques, c'est du tampon — et la H2A le constate régulièrement dans ses inspections françaises sur des configurations équivalentes.
Contenu connexe
• Glossaire : Scepticisme professionnel : Les obligations précises d'ISA 240 et comment les appliquer concrètement sur les missions PME.
• Kit d'évaluation des risques de fraude ISA 240 : Questionnaires et matrices de risques calibrés pour les entreprises de 50 à 500 salariés.
• Guide pratique des confirmations externes ISA 505 : Procédures étape par étape pour sécuriser les confirmations bancaires et tiers.