Evaluation individuelle des risques : commentaires et recommandations de la BNB

1. Contexte

L’exigence de disposer d’une approche fondée sur les risques en matière de prévention du BC/FT, dont le principe est énoncé à l’article 7 de la Loi anti-blanchiment, constitue l’un des fers de lance des recommandations du GAFI révisées en 2012 et de la Directive 2015/849. Au niveau belge, cette exigence a notamment été transposée, pour ce qui concerne les mesures de prévention à mettre en œuvre par les entités assujetties, dans l’obligation de réaliser une évaluation des risques à un double niveau, à savoir :

  • une évaluation globale des risques auxquels elles sont exposées (« business-wide risk assessment»), conformément aux dispositions des articles 16 et 17 de la Loi anti-blanchiment, d’une part, et du titre 2 du Règlement BNB anti-blanchiment, d’autre part  (voir la page « Approche fondée sur les risques et évaluation globale des risques »); et
  • une évaluation des risques associés à chaque relation d’affaires ou opération occasionnelle (voir infra).

Désormais, conformément à l’article 19 de la Loi anti-blanchiment, la décision d’entrer en relation d’affaires ou d’exécuter l’opération envisagée, ainsi que la nature et l’intensité des mesures de vigilance qui y sont visées (voir infra, point 2.3) et appliquées par une entité assujettie, doit être fonction d’une évaluation des risques de BC/FT associés à chaque relation d’affaires ou à chaque opération occasionnelle. Cette évaluation, dite « évaluation individuelle des risques », est un élément central de la nouvelle Loi anti-blanchiment et constitue un instrument qui, en complément de l’évaluation globale des risques, doit permettre aux institutions financières d’identifier et de gérer de manière appropriée ou, le cas échéant, de limiter les risques de BC/FT auxquels elles sont exposées, ainsi que d’optimaliser l’allocation de leurs ressources.

Une approche appropriée fondée sur les risques implique donc, outre l’acquisition d’une connaissance approfondie et actualisée ainsi que la compréhension des risques de BC/FT auxquels l’institution est objectivement exposée, tenant compte de son activité et de la manière dont elle l’exerce (type de clientèle, zone géographique…), celles des risques de BC/FT associés à chaque relation d’affaires, tenant compte des différentes opérations réalisées par le client concerné dans le cadre de cette relation, ou à chaque opération occasionnelle.

2. Processus

2.1. Evaluation individuelle des risques

L'évaluation individuelle des risques de BC/FT implique que ces risques soient, premièrement, identifiés, et qu’ensuite, ils soient évalués.

Conformément à l’article 19, § 2, de la Loi anti-blanchiment, les institutions financières tiennent comptent au minimum, lorsqu’elles identifient les risques de BC/FT liés à une relation d’affaires ou à une opération occasionnelle :

  • de l’évaluation globale des risques, réalisée au préalable conformément à l’article 16 de la Loi anti-blanchiment, ainsi que de l’ensemble des éléments pris en compte dans le cadre de cette évaluation globale. Il s’agit ici, notamment :
    • des variables énoncées à l’annexe I de ladite Loi,
    • des facteurs indicatifs d’un risque potentiellement plus élevé énoncés à l’annexe III de la même loi et, éventuellement, de ceux énoncés à l’annexe II comme étant indicateurs d’un risque potentiellement plus faible,
    • mais également des conclusions pertinentes du rapport établi par la Commission européenne et de l’évaluation nationale des risques, des orientations des AES sur les facteurs de risques, etc (voir les documents de référence repris à la page « Approche fondée sur les risques et évaluation globale des risques») ;
  • des particularités du client et de la relation d’affaires ou de l’opération occasionnelle concernée. Il s’agit pour l’institution financière de prendre en compte l’ensemble des informations recueillies en exécution des obligations de vigilance, telle que les informations relatives :
    • à l’identité du client, de ses mandataires et de ses bénéficiaires effectifs,
    • aux caractéristiques du client, à l’objet et à la nature de la relation d’affaires ou de l’opération concernée,
    • et toutes autres informations recueillies dans le cadre de la vigilance continue.

Dès lors qu’elles ont une vue globale des facteurs de risques de BC/FT qu’elles ont identifiés, les institutions financières peuvent déterminer le niveau de risque de BC/FT associé à la relation d’affaires ou à l’opération occasionnelle envisagée. Une façon de procéder à cette évaluation consiste à attribuer un score à chacun des facteurs de risque identifiés et à combiner ceux-ci afin de déterminer le niveau de risque de BC/FT. Comme le soulignent les Orientations précitées des AES du 4 janvier 2018 sur les facteurs de risque (p.18, §§ 36 et 37), lorsque les entités assujetties pondèrent ainsi les facteurs de risques, elles « devraient porter un jugement éclairé sur la pertinence des différents facteurs de risque dans le cadre d’une relation d’affaires ou d’une transaction conclue à titre occasionnel. (…) par exemple, les établissements peuvent décider que les liens personnels d’un client avec un pays ou territoire associé à un risque plus élevé de BC/FT sont moins pertinents au regard des caractéristiques du produit demandé ». En outre, elles soulignent également que : « le poids accordé à chacun de ces facteurs est susceptible de varier d’un produit à l’autre et d’un client à l’autre (ou d’une catégorie de client à l’autre) et d’un établissement à l’autre. Lorsqu’ils pondèrent les facteurs de risque, les établissements devraient veiller :

  • à ce que la pondération ne soit pas influencée de manière excessive par un seul facteur;
  • à ce que la notation du risque ne soit pas influencée par des considérations d’ordre économique ou de profit;
  • à ce que la pondération ne crée pas à une situation dans laquelle il est impossible de classer une relation d’affaires comme présentant un risque élevé;
  • à ce que la pondération de l’établissement ne puisse pas l’emporter sur les dispositions de la directive (UE) 2015/849 ou du droit national concernant les situations qui présentent toujours un risque élevé de blanchiment de capitaux; et
  • à ce qu’ils puissent, si nécessaire, annuler toute notation de risque générée automatiquement. Les raisons de la décision d’annulation de ces notations devraient être documentées de manière adéquate».

En ce qui concerne l’avant-dernier point mentionné ci-dessus, on souligne en effet que, conformément à la Directive 2015/849, sont identifiées aux articles 37 à 41 de la Loi anti-blanchiment des situations dans lesquelles les risques doivent en toute hypothèse être considérés comme élevés et qui requièrent l’application des mesures spécifiques de vigilance accrue qui y sont prévues (voir les pages consacrées aux « Cas particuliers de vigilance accrue »). Néanmoins, une évaluation individuelle des risques, tenant compte de l’ensemble des facteurs de risque associés à la relation d’affaires ou à l’opération occasionnelle demeure requise dans ces cas particuliers de vigilance accrue afin, notamment, de déterminer l’intensité appropriée des mesures renforcées de vigilance qui doivent être mises en œuvre en vue d’une gestion adéquate de ces risques et de leur réduction. 

2.2. Classement des risques dans les catégories de risques

Dans le prolongement de l’évaluation individuelle des risques, les institutions financières classent la relation d’affaires ou l’opération occasionnelle concernée dans une (ou plusieurs) des catégories de risques définies à la suite de l’évaluation globale des risques (voir la page « Classification des risques »), selon le niveau perçu de risque de BC/FT. Ainsi, chaque relation d’affaires ou opération occasionnelle se verra attribuer un profil de risque (élevé, standard ou éventuellement faible). Quelle que soit la méthode de classification des risques définie par les procédures internes de l’institution financière, cette méthode doit lui permettre de déterminer l’étendue adéquate des mesures de vigilance continue à mettre en œuvre pour tenir compte, le cas échéant, des niveaux et natures différenciées des risques de BC/FT associés aux divers produits et services fournis au client.

A cet égard, on rappelle que les institutions financières doivent veiller à être en mesure de modifier le classement initial d’une relation d’affaires ou d’une opération qui a été effectué par application des procédures internes en se fondant sur les informations initialement recueillies à l’entrée en relation, et de reclasser cette relation d’affaires ou opération dans une autre catégorie de risques si des informations complémentaires recueillies en vue de l’évaluation individuelle des risques les conduisent à identifier des risques plus élevés ou de nature différente ou, le cas échéant, des cas de risques faibles. En effet, si ce sont les risques inhérents aux activités exercées, tels qu’ils sont identifiés de manière générique dans le cadre de l’évaluation globale des risques  qui doivent, en premier lieu, être reflétés dans la classification initialement attribuée, l’analyse concrète du niveau de risque présenté par chaque relation d’affaires ou opération occasionnelle, tenant compte de toutes ses particularités et de toutes les informations spécifiques obtenues en vue de l’évaluation individuelle des risques, doit pouvoir conduire au glissement de cette relation d’affaires ou opération de sa  catégorie de risque initiale à une autre, plus adéquate en vue de réduire et gérer efficacement, non pas des risques génériques et théoriques, mais les risques spécifiques et concrets de BC/FT qui sont associés à ladite relation d’affaires ou à ladite opération.

2.3. Application de mesures de vigilance appropriées

A l’issue de l’évaluation individuelle des risques, les institutions financières doivent définir les mesures de vigilance appropriées pour gérer ou atténuer les risques de manière adéquate.

L’attribution d’un profil de risque à une relation d’affaires ou à une opération occasionnelle et sa classification dans une ou plusieurs des catégories de risque permettra à l’institution financière de déterminer, conformément au cadre organisationnel qu’elle a défini (voir la page « Politiques, procédures, processus et mesures de contrôle interne ») et, en particulier, conformément à sa politique d’acceptation des clients, le niveau de vigilance (standard, accrue ou simplifiée) à appliquer aux opérations réalisées en l’espèce.

Les obligations de vigilance ainsi soumises à l’approche fondée sur les risques sont rappelées à l’article 19, § 1er, de la loi et définies au Titre 3 de celle-ci. Alors que, sous l’ancienne loi du 11 janvier 1993, ces obligations ont souvent pu être perçues, à tort, comme réduites à l’identification et à la connaissance du client (mesures dites de « KYC »), il ressort désormais clairement du cadre légal qu’elles se composent de trois volets distincts, à chacun desquels est attaché un régime propre : 

3. Documentation et actualisations

L’article 19, § 2 , alinéa 3, de la Loi anti-blanchiment prévoit que, dans tous les cas – c’est-à-dire quel que soit le niveau de risque présenté par une relation d’affaires ou une opération occasionnelle –  les institutions financières doivent faire en sorte d’être en mesure de démontrer à la BNB que les mesures de vigilance qu’elles appliquent sont appropriées au regard des risques de BC/FT qu’elles ont identifiés.

Par ailleurs, il convient de noter que l’évaluation individuelle des risques que les institutions financières sont tenues d’effectuer en application de l’article 19, § 2, de la Loi anti-blanchiment à l’égard de chaque relation d’affaires ou opération occasionnelle ne constitue pas un exercice unique, mais un processus permanent. Ainsi, cette évaluation des risques – tout comme, le cas échéant, l’évaluation globale des risques – doit être mise à jour chaque fois que se produisent un ou plusieurs événements susceptibles d’avoir une influence significative sur les risques associés à la situation donnée.

Il s’indique par conséquent que soient décrits dans les procédures internes de chaque institution financière, tenues à la disposition de la BNB :

  • la méthodologie qui a été suivie pour procéder à l’évaluation individuelle des risques associés à la relation d’affaires ou à l’opération occasionnelle considérée.

    A cet égard, la procédure interne décrit les modalités d’analyse de l’ensemble des informations collectées concernant le client et la relation d’affaires ou l’opération occasionnelle envisagées afin de déterminer, dans chaque cas d’espèce, celle des classes de risque définies dans le prolongement de l’analyse globale des risques qui est adéquate (voir infra, point 3.2), afin que les mesures de vigilance les plus pertinentes soient appliquées à la relation d’affaires ou à l’opération occasionnelle pour tenir compte de ses caractéristiques et particularités (voir infra, point 3.3) ;

  • le processus destiné à assurer le suivi et la mise à jour dans les délais impartis du processus d'évaluation individuelle des risques, de manière à en assurer en permanence l’exactitude, en ce compris en ce qui concerne les clients existants.

    Ce processus doit prévoir les mesures mises en œuvre pour identifier les événements qui, en cours de relation d’affaires, sont susceptibles d’influencer l’évaluation individuelle des risques liés à chaque relation, pour en prendre acte et pour déclencher, en conséquence, le processus de mise à jour de ladite évaluation.

    Complémentairement, afin de s’assurer de la pertinence actuelle des évaluations individuelles des risques, les procédures internes peuvent utilement prévoir en outre, lorsque cela est approprié au regard des activités exercées, une révision périodique de ces évaluations et des informations détenues sur lesquelles elles se fondent. La périodicité de ces revues peut être différente et est à  déterminer en fonction du profil de risque attribué à la relation d’affaires concernée.  

    Il appartient à chaque institution financière de déterminer ces périodicités différenciées sur la base de son expérience dans la perspective d’une gestion adéquate des risques de BC/FT. Néanmoins, à titre indicatif, lorsque la relation d’affaires implique l’exécution d’un flux continu ou régulier d’un nombre important d’opérations dont les caractéristiques sont susceptibles de se modifier fortement dans le temps, la BNB considère qu’il pourrait être raisonnable que des revues périodiques soient opérées au moins annuellement en cas de risques élevés, voire plus fréquemment lorsque des risques particulièrement élevés le requièrent (par exemple, dans le cas de déclarations à la CTIF), au moins tous les trois ans dans le cas de relations d’affaires présentant un profil de risque standard, et au moins tous les cinq ans dans le cas de de relations d’affaires présentant un profil de risque faible. Il importe toutefois de souligner que les périodicités pouvant être prévues par les procédures constituent des mesures de prudence complémentaires qui ne peuvent en aucun cas être invoquées pour justifier l’absence de mise à jour de l’évaluation individuelle des risques liés à une relation d’affaires lorsque surviennent des événements susceptibles d’influencer significativement cette évaluation.

    Dans le cas des contrats d’assurances-vie qui n’impliquent pas l’exécution d’un grand nombre d’opérations successives et ne présentent pas de risques élevés de BC/FT, il peut être plus opportun que les procédures internes prévoient que la révision de l’évaluation individuelle des risques est opérée dès que survient un des événements prédéterminés par les procédures internes qui, bien que n’étant pas susceptibles par eux-mêmes d’influencer l’évaluation individuelle des risques liés à la relation d’affaires concernée, déclenchent le processus de révision pour s’assurer de la pertinence actuelle de cette évaluation.

    A cet égard également, la BNB rappelle que les dispositions de la Loi anti-blanchiment s’appliquent non seulement aux relations d’affaires ou aux opérations occasionnelles que les institutions financières nouent avec de nouveaux clients, mais également, sans période transitoire, aux relations d’affaires en cours qui ont été nouées avec des clients avant l’entrée en vigueur de ces nouvelles dispositions légales. La BNB attend dès lors des institutions financières qu’elles réévaluent leurs relations d’affaires nouées avant l’entrée en vigueur de la Loi et ce, en accordant la priorité aux relations d’affaires qui étaient considérées comme à haut risque avant cette réévaluation.

Il est renvoyé :

  • à la page « Politiques, procédures, processus et mesures de contrôle interne», pour plus d’informations sur les procédures internes ;
  • à la page « Obligation de vigilance continue et détection des faits et opérations atypiques», pour plus d’information sur l’obligation d’actualiser les évaluations individuelles des risques.

Il s’indique par ailleurs que l’évaluation individuelle des risques liés à chaque relation d’affaires ou opération réalisée à titre occasionnel, en ce compris les modifications dont elle ferait l’objet dans le cadre d’une mise à jour, soit documentée, dans un document écrit ou sur la base de données conservées dans un système informatique, de telles sorte qu’elle puisse être reconstituée à tout instant sans altération, et tenue à la disposition de la BNB.

4. Mesures de contrôle interne

Il est attendu des institutions financières qu’elles contrôlent de manière périodique que les procédures internes en matière d’évaluation individuelle des risques soient en permanence bien respectées et que le processus de mise en œuvre de l’obligation d’actualisation qui est liée est adéquat. 

La BNB recommande ainsi à la fonction d’audit interne de porter une attention particulière sur : 

  • le caractère adéquat des facteurs de risque pris en compte par l’institution financière, ainsi que la pondération attribuée à chacun de ces facteurs, pour procéder à l’évaluation des risques de BC/FT liés aux relations d’affaires ou aux opérations occasionnelles ;
  • la prise en compte, lors de l’évaluation des risques liés à une relation d’affaires, de la diversité éventuelle des services et produits offerts dans le cadre de cette relation et de la pertinence de l’évaluation distincte des risques associés à chacun de ces produits ou services ;
  • le caractère adéquat de la mise à jour des évaluations individuelles réalisées;