Quels contrôles mettre en place avant l'approbation d'une facture fournisseur ?

Chez Astotel, groupe de 18 hôtels parisiens, les contrôles de prix fournisseurs se faisaient par échantillonnage. Jusqu'au jour où un contrôle pré-approbation a révélé environ 400€ de surfacturation par mois sur un seul fournisseur, soit près de 5 000€ par an. L'approbateur n'avait jamais vu l'écart pour une raison simple : l'approbateur n'a jamais été la ligne de défense. Le contrôle l'était.

C'est précisément le déplacement de regard que cet article propose. L'approbation d'une facture fournisseur est le dernier checkpoint du circuit, pas le premier. La vraie protection se joue avant qu'un humain ne pose les yeux sur la facture : validation des données, détection des doublons, vérification du référentiel fournisseurs, contrôle des changements bancaires, rapprochement avec le bon de commande, comparaison avec la mercuriale, routage par tolérance, application de la matrice de délégation, séparation des tâches. Lorsque ces neuf contrôles s'exécutent automatiquement, l'approbateur ne voit plus que des factures propres, justifiées, et flaggées sur les exceptions.

Voici l'ordre dans lequel ils doivent se déclencher, pourquoi la majorité des workflows passe à côté, et comment les agents IA permettent désormais de les faire tourner sur 100% des factures, plus seulement sur un échantillon d'audit annuel.

Pourquoi l'approbation est le dernier checkpoint, pas le premier

L'enquête AFP 2025 sur la fraude aux paiements indique que 79% des organisations ont subi une tentative ou un cas avéré de fraude aux paiements en 2024. Pourtant, la plupart des équipes finance continuent de faire tourner leurs contrôles factures sur des échantillons : un auditeur revoit 20 factures par trimestre, un contrôleur de gestion vérifie dix lignes prises au hasard, le DAF scrute uniquement la file des montants élevés.

Ce n'est pas du contrôle. C'est une posture d'audit.

Un véritable circuit d'approbation des factures fournisseurs traite l'approbateur comme l'ultime rempart, pas comme le seul rempart. Au moment où une facture arrive sur son bureau, elle a déjà franchi neuf contrôles pré-approbation. L'humain valide parce que la donnée est déjà fiable, pas pour rendre la donnée fiable.

Cela reformule complètement la question. La liste des contrôles à mettre en place n'est pas une liste d'étapes d'approbation. C'est la pile de filtres qui décide si une facture mérite seulement l'attention d'un humain.

Les 9 contrôles pré-approbation, dans l'ordre où ils doivent se déclencher

1. Validation des champs obligatoires et intégrité de la donnée

Le premier contrôle est d'une simplicité brutale : la facture contient-elle tout ce qu'elle doit contenir ? Nom du fournisseur, numéro de facture, date d'émission, descriptif des lignes, montants, TVA, conditions de paiement, référence de bon de commande quand elle s'applique. Une donnée manquante doit déclencher un retour fournisseur, pas une décision de routage. La plupart des workflows zappent cette étape et accumulent des piles d'exceptions qui ressurgissent au moment du closing mensuel.

2. Détection des factures en double

Les doublons constituent le risque d'intégrité le plus volumétrique en comptabilité fournisseurs, et ils se cachent bien au-delà du simple numéro de facture. Un contrôle robuste de détection des factures en double compare le nom fournisseur, le montant, les dates, les motifs de lignes et le compte bancaire de destination, pas uniquement l'identifiant de la pièce. Un seul doublon payé par erreur peut effacer une année d'efforts d'optimisation du process.

3. Vérification du référentiel fournisseurs

Avant qu'une facture ne parte en routage, le fournisseur lui-même doit être vérifié. Est-il bien inscrit dans le référentiel ? La raison sociale est-elle exacte, et pas un homonyme légèrement différent ? Le compte bancaire correspond-il à celui enregistré ? Les attaques de type "shell company" (société écran) réussissent parce que la facture paraît plausible et que personne n'a vérifié le master fournisseur avant traitement. L'onboarding indépendant de chaque nouveau fournisseur, avec double approbation et vérification hors-bande, constitue la défense structurelle.

4. Vérification des changements de coordonnées bancaires

Les modifications de RIB fournisseur sont aujourd'hui le vecteur de fraude le plus exploité en comptabilité fournisseurs. Le contrôle est balisé : tout changement de coordonnées bancaires d'un fournisseur déclenche une étape de vérification (rappel sur un numéro connu, second approbateur, blocage du paiement) exécutée hors-bande, jamais via le canal email qui a porté la demande. L'agent Détection des fraudes au faux RIB de Phacet a été conçu autour de ce schéma précis, parce que le coût d'un seul changement raté peut atteindre plusieurs centaines de milliers d'euros.

5. Rapprochement à 2 ou 3 voies

Pour les dépenses adossées à un bon de commande, le contrôle de fond est le rapprochement. Le rapprochement à 2 voies confronte la facture au bon de commande (prix et quantités). Le rapprochement à 3 voies y ajoute le bon de livraison, pour confirmer que les biens ont bien été reçus. Le matching 3 points est précisément ce qui sépare le fait de payer ce qu'on a commandé du fait de payer ce que le fournisseur affirme avoir livré. Pour les prestations de service ou les abonnements récurrents sans bon de commande, le rapprochement bascule sur les conditions contractuelles plutôt que sur le BL.

6. Contrôle des écarts vs. la mercuriale

C'est le contrôle que la majorité des workflows ne fait tout simplement pas tourner. Une comparaison avec la mercuriale vérifie chaque ligne facturée contre le prix négocié avec le fournisseur. Elle attrape les erreurs à hémorragie lente que le rapprochement BC ne peut pas voir : prix qui dérivent d'une livraison à l'autre, substitutions hors contrat, changements de conditionnement, surcharges cachées sur le bordereau. Les 5 000€ par an récupérés chez Astotel sur un seul fournisseur sortent exactement de cette catégorie. Sans un agent de contrôle de la mercuriale fournisseurs, l'écart vit dans la facture et meurt en silence dans le grand livre.

7. Routage des exceptions par seuils de tolérance

Un contrôle binaire qui répond "OK ou KO" produit de la fatigue d'exception. Le bon pattern est un routage par seuils : un écart de 0,5% en ligne peut s'auto-clearer, un écart de 5% remonte au responsable du centre de coût, un écart de 15% remonte directement à la finance avec documentation obligatoire. Les bandes de tolérance transforment le rapprochement en fonction de triage, plus en mur de blocage.

8. Matrice d'approbation et délégation de pouvoir

La matrice d'approbation (parfois appelée schéma de délégation de pouvoir ou DoA) définit qui peut approuver quoi : par montant, par centre de coût, par catégorie de dépense. C'est le contrôle de seuil. Sans matrice documentée, chaque approbateur applique sa propre échelle, et l'inconsistance elle-même devient une surface d'attaque. La matrice doit être écrite, versionnée, et appliquée dans le workflow, pas dans la mémoire des managers.

9. Séparation des tâches (SoD)

Le neuvième contrôle est structurel : des personnes différentes doivent saisir, approuver et payer une facture. La séparation des tâches (SoD pour Segregation of Duties) est le principe selon lequel aucun individu ne contrôle une transaction de bout en bout. Dans les équipes finance réduites où une SoD pure est impossible, des contrôles compensatoires (revue à quatre yeux au-delà d'un seuil, congés obligatoires, audits-surprise par échantillon) tiennent le même rôle.

Pourquoi ces contrôles échouent en pratique

Tout DAF acquiesce devant cette liste. Très peu d'équipes la font effectivement tourner sur 100% des factures. Trois raisons structurelles :

Les contrôles manuels scalent linéairement avec le volume. Un contrôleur qui vérifie les prix sur 200 factures par mois s'en sort. Le même contrôleur à 2 000 factures par mois fait des échantillons. Le contrôle par échantillonnage n'est pas un contrôle, c'est une posture d'audit déguisée.

Les workflows email + tableurs perdent les preuves. Un doublon flaggé dans un fil d'email, un changement bancaire vérifié par téléphone mais jamais loggé, un dépassement de tolérance approuvé à l'oral : aucun ne devient une piste d'audit. Les commissaires aux comptes trouvent ce qui a été documenté, pas ce qui a été fait.

Les exceptions consomment l'équipe censée les prévenir. Au-delà d'un certain volume, l'équipe AP arrête d'investiguer et se met à traiter à la chaîne. L'écart devient du bruit. Les contrôles existent sur le papier, plus dans le workflow réel.

C'est précisément pour cette raison que les contrôles avant paiement doivent tourner à vitesse machine et sur 100% du volume, pas à vitesse humaine sur un échantillon de 5%.

Comment les agents IA changent la pile de contrôles pré-approbation

L'automatisation comptable à base de règles s'en sortait honnêtement sur les étapes 1, 2 et 8 : validation des champs, détection des doublons par numéro exact, routage par seuil. Elle calait sur tout ce qui touchait à la sémantique : rapprocher quand les libellés de lignes ne correspondent pas caractère par caractère, détecter une dérive mercuriale quand l'unité change, distinguer un changement légitime de fournisseur d'un signal frauduleux.

Les agents IA ferment ce gap. Chez Phacet, les contrôles sont décomposés en agents spécialisés, chacun responsable d'une étape de la pile :

L'agent Inbox factures fournisseurs gère l'intake : extraction, identification du fournisseur, validation des champs obligatoires, signalement des doublons, le tout en une passe. Il tourne en continu, pas sur le rythme d'un contrôleur.

L'agent de rapprochement à 3 voies effectue un matching sémantique entre la facture, le bon de commande et le bon de livraison, avec une justification exposée à chaque étape. Quand les libellés de lignes ne s'alignent pas exactement, l'agent raisonne sur la donnée au lieu d'envoyer mécaniquement la facture dans la file d'exceptions.

L'agent de contrôle de la facturation fournisseur fait tourner le contrôle mercuriale sur chaque ligne de chaque facture, plus sur des échantillons. L'écart est remonté avant l'approbation, avec le prix négocié, le prix facturé, et le delta affichés côte à côte.

L'agent Détection des fraudes au faux RIB intercepte les demandes de changement bancaire et déclenche le protocole de vérification avant le moindre mouvement de paiement.

L'agent Contrôle de la complétude des dossiers documentaires vérifie que les pièces justificatives (BC, contrat, BL) sont attachées et cohérentes avec la facture.

Chaque agent suit le même pattern : il structure l'input (extrait et standardise la donnée), contrôle contre une référence (BC, contrat, mercuriale, base fournisseurs), puis expose le résultat avec sa justification. Chaque rapprochement, chaque écart, chaque override sont horodatés dans la piste d'audit, ce qui veut dire que les contrôles eux-mêmes sont inspectables a posteriori, pas seulement leurs résultats. Combinez cela avec une couche de contrôles financiers automatisés et l'approbateur reçoit une décision packagée, plus une facture brute à instruire.

Ce que donne une couverture à 100% en production

Trois résultats clients illustrent ce qui change quand les contrôles pré-approbation tournent sur 100% des factures :

Astotel (18 hôtels) a récupéré environ 5 000€ par an sur un seul fournisseur grâce au contrôle mercuriale. Sa Directrice Achats résume : "Je repère des erreurs que je n'aurais jamais vues seule."

La Nouvelle Garde (10 brasseries) a intercepté 28 000€ de tentative de fraude et éliminé environ 1 800 opérations manuelles par an. Son CFO décrit Phacet comme "un membre de l'équipe qui opère 24h/24".

Vivason (audioprothésiste, retail multi-sites) a identifié 180 000€ par an de surfacturation fournisseurs avec exactement la même pile de contrôles.

Le pattern commun : la variance n'est pas devenue plus importante après Phacet, elle est devenue visible. Des contrôles pré-approbation qui tournent sur 100% du volume font remonter ce qu'un audit par échantillonnage allait nécessairement laisser passer. C'est précisément la différence structurelle qu'apporte un contrôle avant décision : la décision d'approbation s'instruit avant que le moindre euro ne bouge.

Foire aux questions

Quelle est la différence entre les contrôles pré-approbation et l'approbation elle-même ?

Les contrôles pré-approbation sont les vérifications automatisées qui s'exécutent avant qu'une facture n'arrive devant un approbateur humain : validation des données, détection des doublons, vérification du fournisseur et du RIB, rapprochement, écart de prix, routage par tolérance. L'approbation elle-même est la signature humaine, posée après que ces contrôles ont validé la facture ou flagué les exceptions. L'objectif d'un circuit de validation des factures fournisseurs bien construit est de réduire la décision humaine à un acte court et justifié, posé sur une pile de contrôles automatisés exhaustive.

Qu'est-ce qu'un rapprochement à 3 voies (3-way match) ?

Un rapprochement à 3 voies confronte la facture fournisseur au bon de commande et au bon de livraison. Il vérifie trois choses simultanément : le prix convenu (BC), la quantité reçue (BL) et le montant facturé. Quand les trois s'alignent dans la tolérance, la facture est validée pour paiement. Quand l'un des trois sort de la fenêtre, l'écart part en investigation. Plus de détail dans notre guide sur l'automatisation du rapprochement à 3 voies.

Qu'est-ce que la séparation des tâches en comptabilité fournisseurs ?

La séparation des tâches (SoD pour Segregation of Duties) est le principe selon lequel aucune personne unique ne contrôle une transaction AP de bout en bout. Différents collaborateurs doivent saisir les factures, les approuver, gérer le référentiel fournisseurs et libérer les paiements. La SoD réduit à la fois le risque de fraude et les erreurs non intentionnelles. Dans les équipes réduites où une SoD complète est impossible, des contrôles compensatoires (revue obligatoire au-delà d'un seuil, congés obligatoires, audits-surprise par échantillon) jouent le même rôle.

En quoi les agents IA diffèrent-ils de l'automatisation comptable à base de règles pour ces contrôles ?

L'automatisation à base de règles est efficace sur les tâches à correspondance exacte : validation de champs, détection de doublon par numéro identique, routage par seuil chiffré. Elle se casse dès que le contrôle devient sémantique : rapprocher des libellés qui varient en formulation, comparer des prix quand l'unité change, distinguer un changement légitime de fournisseur d'un signal de fraude. Les agents IA prennent en charge cette couche sémantique, tournent sur 100% des factures plutôt que sur des échantillons, et produisent une trace de justification que les commissaires aux comptes peuvent inspecter ligne par ligne. Plus de détail dans notre panorama des agents IA pour le contrôle financier.

Une PME doit-elle vraiment exécuter les neuf contrôles ?

Oui, par ordre de priorité. La validation des champs, la détection des doublons, la vérification du référentiel fournisseurs et le contrôle des changements de RIB (contrôles 1 à 4) sont non négociables à toute taille : ils préviennent les catégories de fraude et d'erreur les plus coûteuses. Le rapprochement BC, la mercuriale et le routage par tolérance (5 à 7) montent en puissance avec la complexité des achats. La matrice d'approbation et la SoD (8 à 9) doivent exister sous une forme ou une autre, même avec une ou deux personnes en finance, souvent via des contrôles compensatoires.

Construisez la pile avant de recruter l'approbateur

La question "quels contrôles mettre en place avant l'approbation d'une facture fournisseur ?" est en réalité une question sur l'emplacement de votre dernière ligne de défense. Si l'approbateur est cette ligne, vous avez déjà perdu la bataille du volume. Si la ligne est une pile de contrôles automatisés qui tournent sur chaque facture, l'approbateur redevient ce que le rôle a toujours dû être : un professionnel finance qui revoit les exceptions, plus un saisisseur qui valide de la donnée brute.

Les clients Phacet déploient typiquement l'agent Inbox factures et l'agent de contrôle de la facturation fournisseur en premier, avec un premier agent en production en moins de deux semaines. Ensuite, les agents de matching, de fraude et de contrôle contractuel étendent la pile au rythme où le workflow l'appelle. Les 40+ agents du catalogue ont été construits sur 100+ déploiements réels, ce qui veut dire que les contrôles reflètent ce dont les équipes finance ont effectivement besoin en production, pas ce qui rend bien sur une page produit.

L'approbation reste le moment humain. Le contrôle, c'est ce que vous mettez devant.