Le Haut conseil du commissariat aux comptes (H3C) et TRACFIN ont publié des lignes directrices à destination des commissaires aux comptes et relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT), qu’ils ont élaborées conjointement. En voici les points essentiels.
Contexte : publication de lignes directrices par le H3C et TRACFIN explicitant les textes en vigueur applicables aux commissaires aux comptes relatifs à la lutte antiblanchiment – Depuis 2019, TRACFIN et le Haut conseil du commissariat aux comptes (H3C) travaillent à la rédaction de lignes directrices en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT), à destination des commissaires aux comptes. Ces lignes directrices constituent des normes interprétatives du dispositif LCB/FT : elles explicitent les textes en vigueur au 24 juin 2021, notamment la NEP 9605 relative aux obligations du commissaire aux comptes en la matière, et apportent un éclairage aux professionnels dans la mise en œuvre de leurs obligations de vigilance et de déclaration.
Mise en place de dispositifs d’identification et d’évaluation des risques de blanchiment des capitaux et de financement du terrorisme (BC/FT) : précisions – Le commissaire aux comptes définit et met en place des dispositifs d’identification et d’évaluation des risques de BC/FT auxquels il est exposé, ainsi qu’une politique adaptée à ces risques (c. mon. et fin. art. L. 561-4-1). Les lignes directrices précisent que ces dispositifs :
-servent en particulier de support aux politiques d’acceptation, de maintien ou de refus des missions et des prestations, ainsi qu’aux politiques d’adoption, le cas échéant, d’un niveau de vigilance renforcé ;
-seront plus ou moins complexes et formalisés de façon plus ou moins détaillée selon la taille du cabinet, le volume et la nature de ses activités, ainsi que son organisation et son appartenance, ou non, à un réseau.
Pour classifier les risques de BC/FT, les commissaires aux comptes s’appuient, notamment, sur les analyses nationale et sectorielle des risques (ANR et ASR) – Pour rappel, les CAC élaborent une classification des risques de BC/FT leur permettant de déterminer le niveau de vigilance à exercer avant d’accepter d’entrer en relation d’affaires avec un client ou de fournir un service à un client occasionnel, et également tout au long de la relation d’affaires ou de l’exécution du service (NEP 9605, § 2). Les lignes directrices insistent donc sur l’importance de sensibiliser aux risques de BC/FT les collaborateurs intervenant sur la mission ou la prestation, afin qu’ils puissent informer sans délai le CAC signataire de tout fait de nature à remettre en cause l’évaluation initiale du risque.
La classification des risques s’opère sur la base des quatre critères que sont les caractéristiques des clients ou des clients occasionnels, leur activité, leur localisation ainsi que celle de leur activité et les missions et prestations proposées par le CAC.
Les lignes directrices indiquent que cette classification s’effectue également à partir de facteurs de risques que le CAC choisit et évalue en fonction de l’analyse de l’ensemble des informations dont il dispose, tant internes qu’externes, et notamment de :
-l’analyse nationale des risques (ANR) publiée par le Conseil d’orientation de la lutte contre le blanchiment des capitaux et le financement du terrorisme (COLB) ;
-l’analyse sectorielle des risques (ASR), qui est une déclinaison de l’ANR, publiée par le H3C.
Le COLB et le H3C ont analysé les risques de BC/FT pour les commissaires aux comptes.
Selon l’ANR, le risque global pour les CAC est modéré. Le risque global pour les professionnels du chiffre et du droit est la combinaison du risque de menace et de la vulnérabilité résiduelle. À ce titre, l’ANR estime que :
-l’évaluation de la menace et des risques en matière de BC est modérée et qu’elle n’est pas caractérisée en matière de FT ;
-bien qu’elle identifie des situations de vulnérabilité intrinsèques potentiellement élevées (activité de gestion de compte ou de séquestre, trop grande proximité avec un client notamment personne exposée, missions de conseil juridique et fiscal pour la mise en place de montages complexes, cas de détournements d’actifs et d’abus de biens sociaux, utilisation de logiciels de double-comptabilité ou de double caisse), s’agissant de professions réglementées, la vulnérabilité résiduelle de ces professions est évaluée à un niveau modéré ;
-le risque global ressort donc à un niveau modéré.
Selon l’ASR, les CAC sont confrontés aux risques de concours indirect à une action de BC et de non-détection d’une opération de BC/FT. L’ASR relève que les commissaires aux comptes encourent deux types de risques :
-le concours indirect à une action de BC, lorsqu’ils produisent des attestations au profit des entreprises ;
-la non-détection d’une opération de BC ou de FT, à l’occasion de toute diligence qu’ils mettent en œuvre.
L’ASR précise, à cet égard, que si le commissaire aux comptes n’est pas spécifiquement chargé de rechercher l’existence de fraudes ou d’opérations de BC ou de FT, il doit néanmoins faire preuve de vigilance sur ces sujets dans l’exercice de ses missions et prestations. Il en est ainsi, par exemple, lorsqu’il identifie des montages complexes susceptibles d’opacifier des flux financiers ou de présenter un risque de fraude fiscale.
L’ASR rappelle que les secteurs présentant un risque élevé sont, notamment, les secteurs financiers (secteurs des services bancaires et financiers, du financement participatif, etc.), de l’art et du luxe et associatif.
Une grille d’évaluation des risques sera établie pour chaque mission ou prestation. Pour chaque mission ou prestation, une grille d’évaluation des risques, établie sur la base de cette classification des risques, pourra être renseignée préalablement à son acceptation, afin de définir le niveau de risque attribué au client ou au client occasionnel (faible, moyen ou élevé) (des précisions sur la notion de « client occasionnel » sont données ci-après). Cette grille pourra, le cas échéant, être intégrée aux questionnaires utilisés par la structure pour documenter les décisions d’acceptation ou de maintien de la mission ou prestation.
L’appréciation finale du risque de BC/FT d’un client relève du jugement professionnel du CAC.
Le CAC devra examiner régulièrement les risques attachés aux clients pour décider de mettre fin, ou non, à une mission ou une prestation. Autant que de besoin, le CAC examinera les risques attachés à son portefeuille de clients ou clients occasionnels afin de s’assurer notamment de la pertinence de la classification des risques retenue, de la grille d’évaluation des risques de BC/FT utilisée ainsi que du respect de la politique de risques. Au vu de cet examen, il pourra décider, le cas échéant, de mettre fin à certaines missions ou prestations jugées trop risquées, tout en veillant au respect des règles définies par le code de déontologie.
Il pourra également revoir la classification des risques ainsi que la grille d’évaluation des risques utilisée pour apprécier individuellement les risques de BC/FT d’un client ou client occasionnel pour intégrer toute modification qui se révèlerait nécessaire.
Responsable de la mise en place et du suivi des systèmes d’évaluation et de gestion des risques, correspondant et déclarant(s) TRACFIN : qui désigner ? La structure d’exercice du commissariat aux comptes désigne :
-un responsable de la mise en place et du suivi des systèmes d’évaluation et de gestion des risques. Est désignée une personne occupant une position hiérarchique élevée au sein de la structure et possédant une expérience et une connaissance suffisante de l’exposition de la structure aux risques de BC/FT ;
-un correspondant TRACFIN, qui n’est pas obligatoirement CAC mais qui doit disposer de solides connaissances en matière de LCB/FT, d’une disponibilité suffisante ainsi que de moyens appropriés pour exercer ses attributions ;
-un(des) déclarant(s) TRACFIN, obligatoirement commissaire(s) aux comptes. Il s’agit de la personne physique mandatée par l’entité pour exécuter la mission ou la prestation ou, si l’entité a mandaté une personne morale, la personne physique désignée par la personne morale pour réaliser, en son nom, la mission ou la prestation.
Lorsqu’il exerce en nom propre, le commissaire aux comptes assume, en pratique, lui-même ces trois rôles.
Recrutement de collaborateurs, formation et information du personnel sur les obligations en matière de LCB/FT : précisions – Les lignes directrices précisent que, dans sa politique de recrutement du personnel, le commissaire aux comptes doit considérer les risques que présentent les personnes au regard de la LCB/FT. En particulier, lors des entretiens préalables à l’embauche, selon les fonctions, les activités et la position hiérarchique que le candidat est destiné à exercer et à occuper, le CAC doit, le cas échéant, apprécier le fait que ce candidat dispose d’une bonne connaissance du dispositif de LCB/FT et en particulier de la NEP 9605, qu’il a été formé sur le sujet et qu’il en a acquis une bonne compréhension.
Par ailleurs, le CAC doit assurer l’information régulière de son personnel en matière de LCB/FT à tous les niveaux de la hiérarchie, en ce compris les associés, et mettre en place toute action de formation utile. Le respect de ces obligations de formation est périodiquement contrôlé par le responsable de la mise en place et du suivi des systèmes d’évaluation et de gestion des risques (voir ci-avant).
Relations d’affaires ou clients occasionnels : comment les distinguer ? Une relation d’affaires est une relation professionnelle qu’un CAC noue avec un client pour réaliser une mission légale (contrôle légal ou autres missions légales ou réglementaires telles que le commissariat aux apports, à la fusion ou à la transformation) ou une prestation, dans le cadre ou en dehors d’une mission légale (dans ce dernier cas, la prestation doit être réalisée de manière régulière ; par exemple, attestation, tous les mois, d’un élément de comptes à la demande du client pour les besoins d’un tiers) (NEP 9605, § 10).
Les lignes directrices ajoutent que dès lors que le commissaire aux comptes exerce une mission de contrôle légal des comptes, une relation d’affaires est nouée et entrent alors dans la relation d’affaires toutes les missions et prestations effectuées pour le client dont les comptes sont certifiés.
A contrario, le client occasionnel désigne la personne ou l’entité à laquelle un CAC fournit une prestation sans qu’une relation d’affaires soit nouée (par exemple, audit financier contractuel) (NEP 9605, § 7).
Éclairages concernant la vérification de l’identité du client et, le cas échéant, des personnes agissant pour son compte – Avant d’accepter la relation d’affaires, le commissaire aux comptes procède à l’identification et la vérification des éléments d’identification du client ainsi que, le cas échéant, des personnes agissant pour son compte. Les lignes directrices apportent les éclairages suivants.
Les modalités de l’identification électronique utilisée pour vérifier l’identité du client sont clarifiées. Que le client soit physiquement présent ou non, le CAC peut vérifier l’identité du client en recourant à un moyen d’identification électronique (NEP 9605, § 16 ; c. mon. et fin. art. R. 561-5-1) dont le niveau de garantie correspond au moins au niveau « substantiel » défini par le règlement eIDAS. Pour ce faire, il peut se servir des schémas d’identification électronique listés par la Commission européenne, qui ont été notifiés à cette dernière, conformément au règlement eIDAS, par les autorités des différents États membres (par exemple l’ANSSI, en France).
Des exemples de mesures en cas d’impossibilité de vérifier l’identité du client par la présentation de sa carte d’identité ou par l’identification électronique sont donnés. Si le CAC ne peut pas vérifier les éléments d’identification du client par la présentation de l’original d’un document officiel en cours de validité comportant sa photographie, ou en recourant à un moyen d’identification électronique (voir ci-avant), il applique au moins deux mesures parmi celles prévues à l’article R. 561-5-2 du code monétaire et financier (NEP 9605, § 17). Deux exemples supplémentaires de modalités d’application de ces mesures de vigilance sont fournis :
-pour exiger que le premier paiement des opérations soit effectué en provenance ou à destination d’un compte ouvert au nom du client auprès d’une banque européenne, le CAC obtient du client un virement effectué par l’intermédiaire de cette banque pour le paiement d’une facture symbolique de frais de dossier qu’il émet ;
-le CAC peut obtenir directement une confirmation de l’identité du client de la part d’un autre commissaire aux comptes, d’un expert-comptable, d’un notaire ou d’un avocat, à la condition que cet autre professionnel ait lui-même identifié et vérifié l’identité du client.
S’agissant des personnes agissant pour le compte du client, le CAC vérifie qu’elles sont bien habilitées à engager l’entité. Le commissaire aux comptes vérifie les éléments d’identification des personnes agissant pour le compte du client (représentant légal ou statutaire ou personne disposant d’une délégation de pouvoirs) selon les mêmes modalités que pour le client et vérifie aussi leurs pouvoirs. À cet effet, avant d’accepter la relation d’affaires, il recueille tout document justifiant de la qualité de représentant et de son habilitation à engager l’entité (statuts, délégation de pouvoir établie en bonne et due forme…).
Le CAC procède à ces vérifications uniquement pour la personne qui agit pour le compte du client pour la mission ou la prestation envisagée, et non pour toutes les personnes qui peuvent agir pour le compte du client.
Vigilance au cours de la relation d’affaires : précisions concernant les opérations particulières – Pendant toute la relation d’affaires, le commissaire aux comptes exerce une vigilance constante sans rechercher spécifiquement des opérations susceptibles de comporter un risque de BC/FT (NEP 9605, § 42). Lorsqu’une opération semble incohérente, il analyse la situation sur la base de sa connaissance de l’entité et de son activité.
Une opération qui semble incohérente est qualifiée d’« atypique ». Lorsqu’il a connaissance d’une opération qu’il estime particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite, le CAC se renseigne sur l’origine et la destination des fonds concernés par l’opération ainsi que sur l’objet de l’opération et l’identité de la personne qui en bénéficie (NEP 9605, § 43). Une telle opération était déjà souvent qualifiée d’« opération atypique » par les établissements de crédit. Les lignes directrices consacrent ce terme.
Le CAC doit réexaminer les seuils de signification fixés pour la conduite de ses travaux s’il modifie son appréciation du risque de BC/FT. Le commissaire aux comptes détermine, pour définir la nature et l’étendue de ses travaux, un ou des seuils de planification, qu’il peut modifier au cours de la mission s’il a connaissance de faits nouveaux qui remettent en cause l’évaluation initiale de ces seuils (NEP 320, §§ 19 et 22).
Lorsqu’il certifie les comptes, le CAC doit porter une attention particulière à la pertinence du seuil de signification retenu au regard du risque de BC/FT. Si, au cours de sa mission, il est amené à modifier son appréciation du risque de BC/FT, en particulier si le risque est plus élevé que celui qui avait été prévu, il devra réexaminer la pertinence des seuils initialement fixés et, le cas échéant, les revoir à la baisse.
Exemples d’éléments déclenchant la modification de l’appréciation du risque de BC/FT et l’adaptation des mesures de vigilance – Pendant toute la relation d’affaires, le CAC recueille, met à jour et analyse les éléments d’information qui lui permettent de conserver une connaissance appropriée et actualisée du client (NEP 9605, § 49). Ainsi, en cas de survenance d’un élément le conduisant à estimer que les éléments précédemment obtenus ne sont plus exacts ou pertinents, il doit mettre à jour l’identification et la vérification des éléments d’identification du client et du bénéficiaire effectif, mettre en œuvre, le cas échéant, les mesures de vigilance renforcées ou complémentaires et modifier son appréciation initiale du risque de BC/FT.
Les éléments déclencheurs d’une telle situation peuvent être, notamment :
-un changement d’actionnariat de la société, de domiciliation du client ou des organes de direction ou du représentant légal de la société ;
-un bénéficiaire effectif devenu personne exposée ;
-l’exercice, par le client, de nouvelles activités présentant des risques de BC/FT, notamment avec des pays figurant sur les listes du GAFI ou de la Commission européenne.
Déclaration de soupçon à TRACFIN : points d’attention et lien avec les obligations de vigilance – Pour rappel, doivent être déclarées à TRACFIN les sommes ou opérations portant sur des sommes dont le CAC sait, soupçonne ou a de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou sont liées au financement du terrorisme ainsi que celles qui proviennent d’une fraude fiscale lorsqu’il y a présence d’au moins un critère défini par décret (c. mon. et fin. art. L. 561-15 ; NEP 9605, § 60). Les lignes directrices rappellent le caractère essentiel de la correcte rédaction des déclarations de soupçon (clarté, concision, pertinence et précision) et soulignent, notamment, que :
-la loi ne prévoyant pas de seuil déclaratif pour effectuer une déclaration de soupçon, le CAC doit l’effectuer s’il ne peut écarter le doute sur l’origine des sommes ou la licéité de l’opération, et donc s’il ne peut exclure que ces sommes puissent provenir d’une infraction sous-jacente ou sont liées au financement du terrorisme ;
-lorsque le CAC envisage de mettre un terme à la relation d’affaires (impossibilité d’identifier le client ou soupçons tels que définis ci-avant), l’éventualité d’effectuer une déclaration de soupçon est systématiquement examinée, mais n’est pas automatique. En tout état de cause, la rupture de la relation d’affaires ne peut se substituer à l’envoi d’une déclaration ;
-la déclaration de soupçon est la matérialisation d’un travail d’analyse. Dès lors, le CAC s’abstient de faire des déclarations uniquement motivées par des éléments de contexte (réception d’une réquisition judiciaire, contrôle fiscal, pays de domiciliation ou d’enregistrement du client, montant élevé d’une opération…).
H3C / TRACFIN, « Lignes directrices conjointes du Haut Conseil du Commissariat aux Comptes et de TRACFIN sur les obligations des commissaires aux comptes relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) », 13 juillet 2021