Approche fondée sur les risques et évaluation globale des risques : commentaires et recommandations

1. Contexte

L’exigence de disposer d’une approche fondée sur les risques en matière de prévention du BC/FT, dont le principe est énoncé à l’article 7 de la Loi anti-blanchiment, constitue l’un des fers de lance des recommandations du GAFI révisées en 2012 et de la Directive 2015/849. Au niveau belge, cette exigence a notamment été transposée, pour ce qui concerne les mesures de prévention à mettre en œuvre par les entités assujetties, dans l’obligation de réaliser une évaluation des risques à un double niveau, à savoir :

  • une évaluation globale des risques auxquels elles sont exposées, conformément aux dispositions des articles 16 et 17 de la Loi anti-blanchiment, d’une part, et du titre 2 du Règlement BNB anti-blanchiment, d’autre part (voir infra) ;
  • une évaluation des risques associés à chaque client (voir la page « Evaluation individuelle des risques »).

L’article 16 de la Loi anti-blanchiment prévoit que les entités assujetties sont tenues de prendre des mesures appropriées et proportionnées à leur nature et à leur taille pour identifier et évaluer les risques de BC/FT auxquels elles sont exposées. À cet égard, les entités doivent tenir compte des caractéristiques de leurs clientèles, des produits, services ou opérations qu’elles proposent, des pays ou zones géographiques concernées, ainsi que des canaux de distribution auxquels elles ont recours.

L’évaluation globale des risques (ou « business-wide risk assessment ») que les institutions financières sont ainsi tenues d’effectuer constitue un instrument qui doit leur permettre d’identifier et de gérer de manière appropriée les risques inhérents en matière de BC/FT auxquels leurs activités les exposent ou, le cas échéant, de les limiter. L’approche fondée sur les risques permet également aux institutions de prendre des mesures moins poussées dans des situations où ces risques sont faibles, de sorte que les ressources ainsi libérées peuvent être allouées à l’application obligatoire de mesures renforcées à l’égard des situations où les risques sont plus élevés. Ce faisant, l’allocation des ressources disponibles peut être optimalisée.

Dès lors que l’évaluation globale des risques doit permettre à l’institution financière de s’assurer que les politiques, procédures et mesures de contrôle interne et, d’une manière générale, l’organisation dont l’institution financière s’est dotée sont appropriées et suffisamment granulaires pour faire face aux risques génériques de BC/FT auxquels ses activités l’exposent, cette évaluation globale des risques se différencie clairement de l’évaluation individuelle des risques effectuée conformément à l’article 19 de la loi dans le but de décider, au cas par cas, tenant compte de manière adéquate des spécificités éventuelles de chacun d’entre eux, de l’intensité des mesures de vigilance qui doivent être appliquées ou, le cas échéant, de refuser de nouer la relation d’affaires ou d’exécuter l’opération occasionnelle envisagée.

Il découle également de ce qui précède qu’une approche appropriée fondée sur les risques commence par l’acquisition d’une connaissance approfondie et actualisée des risques de BC/FT auxquels est exposée l’institution, d’une part, et par une compréhension de ces risques, d’autre part.

Conformément à l’article 3, 3°, du Règlement BNB anti-blanchiment, l’évaluation globale des risques doit porter sur toutes les activités de l’institution financière établie en Belgique qui est soumise à la législation en matière de BC/FT, y compris ses activités transfrontières, exercées en libre circulation des services dans un autre Etat membre, ou dans un pays tiers. Lorsque l’institution opère au sein d’un groupe, l’article 6 du Règlement BNB anti-blanchiment prévoit que l’ensemble de ses succursales et de ses filiales transmettent leur évaluation globale des risques à l’institution, afin que cette dernière puisse en tenir compte lors de la détermination de la politique globale des risques au niveau du groupe. À cet égard, le Règlement prévoit que les établissements de paiement et les établissements de monnaie électronique sont tenus de veiller également à ce qu’il soit procédé à une évaluation globale des risques de BC/FT liés aux activités qu’ils exercent dans un autre État membre ou dans un pays tiers par l’intermédiaire d’une ou plusieurs personnes qui y sont établies et les y représentent (par exemple, un réseau d’agents, etc.).

Lorsque cela s’avère pertinent pour leur secteur, les institutions financières sont tenues, dans l’évaluation globale des risques, de tenir compte au minimum (voir les documents de référence mentionnés ci-dessus) :

  • des variables énoncées à l’annexe I de la Loi anti-blanchiment ;
  • des facteurs indicatifs d’un risque potentiellement plus élevé énoncés à l’annexe III de la même loi ;
  • de l’avis sur les risques de BC/FT pour le secteur financier de l’Union, formulé par les AES en vertu de l’article 6, paragraphe 5, de la Directive 2015/849 (« ESAs joint Opinion dated 20 February 2017 on the risks of money laundering and terrorist financing affecting the Union’s financial sector »), ainsi que des orientations publiées par les AES concernant les facteurs indicatifs d’un risque moins élevé (en application de l’article 17 de la Directive) et les facteurs indicatifs d’un risque plus élevé (en application de l’article 18, paragraphe 4, de la Directive) (« Orientations des AES du 4 janvier 2018 sur les facteurs de risque ») ;
  • des conclusions pertinentes du rapport établi par la Commission européenne en vertu de l’article 6 de la Directive 2015/849 (« Rapport du 24 juillet 2019 de la Commission au Parlement européen et au Conseil sur l’évaluation des risques de blanchiment de capitaux et de financement du terrorisme pesant sur le marché intérieur et liés aux activités transfrontières »);
  • du rapport établi par les organes de coordination en application de l’article 68 de la Loi anti-blanchiment, chacun pour ce qui le concerne, et
  • de toute autre information pertinente dont elles disposent.

Par ailleurs, la Loi anti-blanchiment prévoit également la possibilité de tenir compte, dans l’exercice précité, des facteurs énoncés à son annexe II (risque potentiellement plus faible).

L’évaluation globale des risques relative au BC/FT doit être réalisée sous la responsabilité de l’AMLCO (voir la page « Gouvernance ») et approuvée par la direction effective (article 3, 1°, du Règlement BNB anti-blanchiment).

En outre, l’article 17 de la Loi anti-blanchiment prévoit que l’évaluation globale des risques doit être documentée, mise à jour et tenue à la disposition de la BNB. À cet égard, les institutions financières doivent être en mesure de démontrer à la BNB que les politiques, les procédures et les mesures de contrôle interne qu’elles définissent conformément à l’article 8 de la Loi, y compris, le cas échéant, les politiques d’acceptation des clients (voir la page « Politiques, procédures, processus et mesures de contrôle interne »), sont appropriées au regard des risques de BC/FT qu’elles ont identifiés. La mise à jour de l’évaluation globale des risques implique, le cas échéant, que soient également mises à jour les évaluations individuelles des risques visées à l’article 19, § 2, alinéa 1er, de la Loi (voir la page « Evaluation individuelle des risques »).

Enfin, il convient de noter que l’évaluation globale des risques que les institutions financières sont tenues d’effectuer en application de l’article 16 de la Loi anti-blanchiment ne constitue pas un exercice unique, mais un processus permanent. Ainsi, cette évaluation des risques – et, le cas échéant, également l’évaluation individuelle des risques – doit être mise à jour chaque fois que se produisent un ou plusieurs événements susceptibles d’avoir une influence significative sur les risques (voir art. 3, 3°, du Règlement BNB anti-blanchiment et point 3.4 infra).

2. Gouvernance

Comme indiqué plus haut, l'évaluation globale des risques doit être établie dans un document écrit (sur support papier ou électronique) tenu à la disposition de la BNB (voir article 17 de la Loi anti-blanchiment). Ce document doit également comporter une description du processus qui a été utilisé pour procéder à l'évaluation, et notamment :

  • la méthodologie qui a été utilisée pour réaliser l'évaluation globale des risques, et qui devrait inclure au moins les éléments de base mentionnés au point 3 ci-dessous ;
  • la manière dont ce processus est intégré dans le système plus large de gestion des risques et la gouvernance d'entreprise de l'institution, y compris la manière dont l’éventuelle dimension de groupe a été intégrée dans l'exercice ;
  • une description des procédures qui assureront le suivi et la mise à jour dans les délais impartis du processus d'évaluation des risques, de manière à en assurer en permanence l’exactitude ;
  • une description de la mesure dans laquelle l'AMLCO, le compliance officer, la direction effective et les éventuels autres intervenants ont participé à l'identification et à l'analyse des risques, à la réalisation de l'évaluation effective des risques et à toute mesure y liée, ainsi qu’à la prise de connaissance et à la validation de l’ensemble.

3. Processus

L'évaluation globale des risques suppose que l'institution mette en œuvre trois grandes phases successives :

  • l'identification et l'analyse des risques liés au blanchiment de capitaux, au financement du terrorisme et au respect de la réglementation en matière de sanctions internationales, d’embargos et d’autres mesures restrictives, auxquels est exposé l'institution (« phase d'identification des risques ») ;
  • l'analyse et l'évaluation de l'adéquation des mesures existantes de gestion des risques en la matière (« analyse du gap ») ;
  • l’adoption, au besoin, de mesures de gestion des risques nouvelles ou complémentaires pour maîtriser les risques qui ne sont pas couverts ou le sont insuffisamment (« phase d'ajustement »).

La manière dont l'institution met en œuvre ce processus, ainsi que le degré de granularité, doivent également être proportionnels à sa nature et à sa taille.

Dans sa Communication NBB_2020_002 du 23 janvier 2020 contenant les conclusions de l’analyse horizontale d’un échantillon de tableaux récapitulatifs de l’évaluation globale des risques de blanchiment de capitaux et/ou de financement du terrorisme, la BNB insiste sur l’importance de suivre les différentes étapes de l’évaluation globale des risques dans l’ordre méthodologique. La BNB y reprend en outre des constatations liées à ces différents étapes du processus d’évaluation globale des risques, par ordre méthodologique.

 

3.1 Phase d’identification des risques

3.1.1. Catégories de risque – Sous-catégories

Comme indiqué précédemment, une bonne évaluation globale des risques requiert en premier lieu une connaissance et une compréhension approfondies de l’ensemble des risques de BC/FT auxquels est exposée l'institution. Celle-ci devra dès lors identifier tous les risques de BC/FT qui sont pertinents en ce qui la concerne et les classer par catégories et sous-catégories, en fonction d'une ou plusieurs des caractéristiques déterminées à l'article 16 de la Loi anti-blanchiment. Outre les caractéristiques visées à l'article 16, l'institution doit également tenir compte de toute autre caractéristique complémentaire susceptible de s'appliquer à sa situation spécifique, telle que les risques spécifiques pouvant résulter de relations intra-bancaires avec d'autres entités du groupe, les risques liés aux activités de l'institution pour compte propre (la salle de marché, par exemple), etc.

Pour des exemples de bonnes pratiques rencontrées par la BNB lorsqu’elle a mené son analyse horizontale d’un échantillon de tableaux récapitulatifs de l’évaluation globale des risques, voir la Communication NBB_2020_002 (notamment le point IV.a).

3.1.2. Exposition aux risques

Une fois que l'institution a inventorié et catégorisé les différents risques, elle est tenue d’évaluer le risque inhérent, en combinant la probabilité de survenance du risque et l’impact d’une éventuelle matérialisation du risque, compte tenu de l’activité effectivement exercée. À cet égard, l'institution tient compte des variables et facteurs minimaux visés au point 1 ci-dessus, ainsi que d’éventuels autres variables et facteurs susceptibles de s’appliquer à sa situation spécifique.

La BNB ne prescrit pas les valeurs ou unités dont l’institution financière doit se servir, l’objectif principal étant que l’institution financière (ainsi que la BNB) puisse obtenir une vue cohérente et compréhensible de son exposition au risque. Cet exercice doit permettre à l’institution financière de définir ensuite des mesures de gestion des risques conformément à l’appétit au risque déterminé par son conseil d’administration. Dans tous les cas, la BNB souhaite voir ressortir clairement de la documentation liée au processus d’évaluation globale des risques la manière dont sont scorés la probabilité de survenance ainsi que l’impact d’une éventuelle matérialisation du risque.

Quant à la probabilité de survenance, les institutions financières doivent veiller à ne pas sous-estimer leurs risques. Par exemple, un établissement de crédit peut, dans sa base de clientèle, n’avoir que peu de clients qui sont des personnes politiquement exposées en termes absolus mais représentant néanmoins un pourcentage substantiel de la base de clientèle totale.

Pour plus d’informations à ce sujet, voir la Communication NBB_2020_002 (notamment le point IV. b).

3.2 Analyse du gap

3.2.1. Mesures de gestion des risques existantes

Dans un deuxième temps, l'institution doit faire un inventaire des mesures de gestion des risques qu'elle applique déjà pour gérer ou limiter les différents risques identifiés. Cet inventaire des mesures de gestion des risques (qui couvrent l'ensemble des obligations de vigilance et de déclaration et peuvent donc porter sur un ou plusieurs des éléments suivants : obligation d'identification et de vérification de l’identité, obligation de vigilance continue, analyse des transactions atypiques et déclaration de soupçons et d’informations complémentaires à la CTIF) doit également inclure la conformité avec le cadre légal défini par la Loi anti-blanchiment et le Règlement BNB anti-blanchiment (à savoir la maîtrise du risque de compliance - voir en particulier l’article 8 de la Loi anti-blanchiment et la page « Gouvernance »).

3.2.2. Adéquation de la gestion des risques

Ensuite, l'institution doit soumettre ces procédures et contrôles internes à un examen critique permettant soit de conclure qu’ils sont suffisants au regard des risques inhérents qui ont été recensés, soit d’identifier les améliorations (potentiellement substantielles) qui doivent y être apportées dans un but de réduction effective des risques (« mitigation » et question du risque résiduel). À cet égard, il convient également de tenir compte de la manière dont ces mesures de gestion des risques sont effectivement appliquées et respectées dans la pratique. Il y a lieu en outre de tenir compte des mesures de gestion des risques recommandées par :

  • l'avis sur les risques de BC/FT pour le secteur financier de l'Union, formulé par les AES en vertu de l'article 6, paragraphe 5, de la Directive 2015/849, ainsi que les orientations des AES sur les facteurs de risque ;
  • le rapport établi par la Commission européenne conformément à l'article 6 de la Directive 2015/849 ;
  • le rapport établi par les organes de coordination en vertu de l'article 68 de la Loi anti-blanchiment ;
  • les éventuelles autres bonnes pratiques pertinentes en la matière (par exemple, les lignes directrices adoptées par le secteur, le GAFI, le Comité de Bâle, etc.).

Pour plus d’informations à ce sujet, voir la Communication NBB_2020_002 (notamment le point V).

3.3 Phase d’ajustement (plan d’action)

Si, à l’issue de la deuxième phase, il s’avère que les mesures existantes de gestion des risques sont insuffisantes, les institutions financières doivent définir des mesures nouvelles ou complémentaires pour gérer ou atténuer les risques de manière adéquate. Le plan d’action doit être suffisamment ambitieux pour apporter, dans les meilleurs délais, des solutions appropriées aux faiblesses identifiées (qu’il s’agisse de la mise en place d’une nouvelle procédure ou encore, de la révision du système automatisé de monitoring des transactions). Il peut dès lors être opportun d’établir ce plan d’action sur la base d’une priorisation des actions à entreprendre en fonction de l’impact des gaps identifiés sur l’efficacité globale des mécanismes de LBC/FT mis en œuvre, en particulier s’il comprend un grand nombre de nouvelles mesures à instaurer.

Enfin, les institutions financières doivent veiller à la cohérence globale du plan d’action : ainsi, les institutions financières seront logiquement tenues de prévoir plus d’actions ou des actions plus substantielles au niveau des activités ou des facteurs de risque pour lesquels le risque résiduel a été évalué comme étant élevé lors de la phase d’analyse du gap que pour les activités ou les facteurs de risque pour lesquels le risque résiduel a été évalué comme étant faible.

3.4 Calendrier du processus et actualisation de l’évaluation globale des risques

S’agissant de la première mise en œuvre du processus suivant l’entrée en vigueur de la Loi anti-blanchiment, la BNB considère qu’en tout état de cause, toutes les mesures correctives nécessaires recensées dans le cadre de cette première évaluation globale des risques doivent être mises en œuvre pour le 1er juillet 2019 au plus tard. Les institutions qui estiment qu’elles ne peuvent mettre en œuvre certaines mesures de remédiation dans le délai susvisé sont tenues d’introduire auprès de la BNB une demande motivée de report pour le 31 mai 2019 au plus tard. Dans ce cas, la BNB peut, en fonction des circonstances concrètes et pour autant que cela se justifie eu égard au risque, décider de prolonger le délai de remédiation jusqu’au 1er janvier 2020 au plus tard.

L’article 17 de la Loi anti-blanchiment requiert en outre que l’évaluation globale des risques soit mise à jour. A cet égard, la BNB estime que cette obligation implique que les institutions financières réitèrent le processus décrit ci-dessus :

  • chaque fois que se produisent des événements notables, tant en leur sein que dans leur environnement, qui sont susceptibles de modifier de manière significative la nature et l'ampleur des risques de BC/FT ou leur évaluation. A titre d’exemples, peuvent ainsi générer de telles modifications des événements tels que la décision de développer et d’offrir de nouveaux produits ou services, de solliciter de nouvelles catégories de clients, de recourir à de nouveaux canaux ou à de nouveaux outils de distribution ou à de nouvelles techniques d’identification et de vérification de l’identité des clients, d’étendre les activités dans d’autres pays sous le couvert de la libre prestation de services, etc. A titre d’exemples d’événements externes pouvant avoir des conséquences significatives sur les risques ou leur évaluation, on peut notamment citer des modifications significatives du cadre légal et réglementaire national ou celui d’autres pays significatifs au regard des activités exercées, des modifications importantes du contexte socio-économique, l’émergence de nouvelles formes de criminalité ou la révélation de nouvelles typologies et techniques de BC/FT, etc.
  • si, après vérification des effets des mesures de réduction du risque (« mitigation ») déjà existantes et/ou prises dans le cadre du plan d’action de l’évaluation globale des risques, il s’avère que celles-ci ne sont pas (assez) effectives ou efficaces et que d’autres mesures semblent dès lors s’imposer.

Il se peut cependant aussi que la nature et l’ampleur des risques soient modifiées significativement par des évolutions plus lentes et progressives, tant au sein de l’institution financière que dans son environnement. La BNB estime par conséquent que, même en l’absence d’événements importants tels que décrits ci-dessus, il appartient à chaque institution financière de s’assurer périodiquement que les informations quantitatives et qualitatives sur lesquelles s’est fondée sa dernière évaluation globale des risques de BC/FT n’ont pas évolué de telle manière que cette évaluation, sur laquelle se fondent son organisation, ses politiques, ses procédures et ses contrôles internes actuels, ne serait plus actuellement pertinente. La BNB considère qu’en règle générale, cette revue de la pertinence de l’évaluation globale des risques devrait être opérée annuellement. Dans l’hypothèse où une périodicité plus longue est prévue par les procédures internes, l’institution financière devrait être à même de justifier cette décision au regard du principe de proportionnalité, tenant compte de sa nature et de sa taille, d’une part, et au regard de la stabilité vraisemblable du niveau général des risques qu’elle a antérieurement identifié.

Lorsqu’une actualisation de l’évaluation globale des risques s’avère nécessaire, il convient d’y procéder dans les meilleurs délais en appliquant les trois phases décrites aux points 3.1 à 3.3 ci-dessus, de telle manière que les éventuelles mesures correctrices nécessaires pour réduire les nouveaux risques identifiés soient mises en œuvre dans des délais raisonnables, tenant compte de la sévérité de ces nouveaux risques. Selon les circonstances, cette actualisation peut devoir porter sur l’intégralité de l’évaluation globale des risques ou être limitée à celles de ses composantes qui sont susceptibles d’avoir connu des variations significatives du niveau des risques.

4. Communication à la BNB

L'article 17 de la Loi anti-blanchiment prévoit que l'évaluation globale des risques doit être documentée, mise à jour et tenue à la disposition de la BNB. 

Les documents qui doivent être complétés et transmis à la BNB dans ce cadre, ainsi que les modalités de leur communication, sont publiés sur la page « Reporting des institutions financières ».

S’agissant des actualisations ultérieures de l’évaluation globale des risques, la BNB s’attend à ce qu’elles soient mentionnées et fassent l’objet d’explications suffisantes dans le rapport d’activité de l’AMLCO, et qu’une version actualisée des documents précités lui soit transmise (tenant compte du contenu de la Communication NBB_2020_002).