Logo Parlement Buxellois

Question écrite concernant l'application bancaire en ligne utilisée par l'ASBL IRISteam ET le risque de fraude

de
Emin Özkara
à
Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°985)

 
Date de réception: 15/06/2022 Date de publication: 05/08/2022
Législature: 19/24 Session: 21/22 Date de réponse: 15/07/2022
 
Date Intitulé de l'acte de Référence page
1/06/2022 Recevable Bureau élargi du Parlement
 
Question   

Dans le 26e cahier de la Cour des comptes adressé au Parlement de la Région de Bruxelles-Capitale et à l’Assemblée réunie de la Commission communautaire commune ( 1), la Cour des comptes attire l’attention, entre autres, sur le point suivant :

« Telle qu’elle est configurée, l’application bancaire en ligne utilisée par Iristeam offre également la possibilité de créer et d’exécuter des virements manuels, sans limite de montant et sans que ce système informatique contrôle l’existence d’un ordre de paiement régulier émanant d’un ordonnateur compétent. Dès lors, le risque de fraude n’est pas totalement maîtrisé.

Le risque est cependant mitigé car chaque virement requiert une double signature, sans que la signature du comptable-trésorier soit requise. Ceci est irrégulier au regard des dispositions de l’article 69 de l’OOBCC : « les comptables-trésoriers sont chargés, sous leur propre signature, manuelle ou électronique, de l’exécution des opérations de trésorerie ». » ( 2)

Afin de compléter mon information, je souhaiterais vous poser les questions suivantes en rapport avec l'application bancaire en ligne utilisée par l'ASBL IRISteam ET le risque de fraude :

  1. Depuis que la Cour des comptes a, à nouveau, attiré votre attention et celle de votre cabinet, quels ont été les moyens mis en œuvre et concrètement implémentés pour minimiser le risque de fraude ? Le cas échéant, une limite de montant est-elle maintenant imposée ?

  2. Suite à cette nouvelle remarque de la Cour des comptes, l'actuelle configuration de l'application bancaire en ligne est-elle conforme aux dispositions de l'OOBCC et permet-elle d'empêcher totalement le risque de fraude ? Une nouvelle configuration plus fiable a-t-elle été implémentée ?

(1) Cour des comptes, "26e cahier de la Cour des comptes adressé au Parlement de la Région de Bruxelles-Capitale et à l’Assemblée réunie de la Commission communautaire commune", octobre 2021, https://www.ccrek.be/FR/Publications/Fiche.html?id=11774984-f66f-4ea0-841f-1d0eb0d52bce , consulté le 16 mai 2022.
(2) Idem, page 144.

 
 
 
Réponse    1/
Comme nous vous l’avons mentionné dans notre réponse à votre question fin 2021, l’asbl IRISteam utilise l’application bancaire développée par la banque Belfius et est donc soumise aux limitations de configuration imposées par cette application (comme toute autre institution utilisatrice).

Cette application, comme d’autres (Isabel par exemple) ne permet pas de bloquer les virements manuels directement sur le plateforme.

Pour rappel, les mesures suivantes  de limitation du risque de fraude sont en place au CIRB :

- Double signature de tous les paiements générés par l’application comptable du CIRB ou manuellement avec obligatoirement dans les 2 signatures celle du l’administrateur délégué ou de l’administrateur délégué adjoint et celle du comptable trésorier.
- Toutes les propositions de paiement (générées par l’application comptable ou manuelles) ont fait au préalable l’objet d’un engagement et d’une liquidation comptables approuvés par l’ordonnateur dans le système comptable.

- L’asbl IRISteam utilise la possibilité offerte par l’application bancaire de Belfius d’émettre des virements manuels mais exclusivement dans le cas de virements internationaux qui ne sont pas gérés automatiquement par l’application comptable.
La Cour des Comptes a été informée de ces éléments.


2/
Au niveau fonctionnel, l’asbl IRISteam est limitée par ce que permet l’application Belfius comme expliqué au point 1, tout comme toute autre institution qui utilise la même application.

A ce jour, aucune fraude ou usage en double n’a été constaté. Néanmoins, afin de mitiger ce risque, l’asbl IRISteam a revu, fin 2021, les droits des différents utilisateurs de manière à ce qu’une même personne ne puisse pas créer manuellement un virement et le signer :

- Le droit exclusif en écriture : une ou deux personnes n’a (on)t le droit que de uploader et/ou faire des virements manuels.
- Le droit exclusif en signature : plusieurs personnes n’ont le droit que de signer les propositions de paiement collectif ou manuel.
- Aucune personne n’a les droits à la fois en écriture et en signature.

Ceci permet d’encore limiter le risque de fraude, en mettant un niveau de sécurité supplémentaire en surplus de la double signature obligatoire et requérant au minimum celle de l’administrateur délégué ou de l’administrateur délégué adjoint.