La classification des risques

Livres Blancs
January 22, 2024
La classification des risques

La classification des risques : définition

Selon l’article L.561-32 du Code Monétaire et financier, les professionnels assujettis mentionnés à l’article L.561-2 doivent mettre en place des procédures internes dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).

Ces procédures s’appuient sur une classification des risques (qui doit donc être établie avant les procédures). Celle-ci s’articule autour de cinq axes qui, sur la base de critères de risque, permettront de déterminer le niveau de risque du client et de ses opérations, ainsi que les mesures de vigilance à adopter en conséquence.

Comment structurer sa classification ?

La classification s’articule autour de 5 axes d’analyse : les caractéristiques de la clientèle, des produits/services offerts, les canaux de distribution, les conditions d’exécution des opérations et les risques géographiques.

Afin de la construire, un premier exercice doit être opéré : l’analyse des risques ; l’objectif de cet exercice étant d’identifier les risques (d’infractions pénales notamment) sous-jacents pour chacun de ces axes, par exemple :

- Dans l’axe « Clientèle », posez-vous la question des différents éléments qui constituent l’identité du client tels que : Personne physique ou morale, Revenus, Patrimoine, Catégorie socio-professionnelle, Secteur d’activité, etc.

Tous ces éléments doivent être passés au crible de la question suivante : Quels sont les évènements qui peuvent l’impacter ?

Par exemple, un auto-entrepreneur (clientèle B2B) bénéficie d’une fiscalité allégée pour autant que son chiffre d’affaires soit inférieur à un certain seuil. Si cet auto entrepreneur n’a qu’un seul compte, il est facile pour sa banque / son établissement de paiement (Prestataire de Service de paiement - “PSP”) de surveiller le respect de ce montant. En revanche, s'il dispose de plusieurs comptes, chacun de ces comptes (inconnus des autres PSP) peut être crédité d’un montant proche du seuil maximum. Dans cette situation, une fraude fiscale peut être avérée.

A l’inverse, une société cotée doit faire certifier ces comptes et les publier, ceux-ci sont donc soumis à un double contrôle (externe de surcroît), ce qui limite les risques d’infraction pénales des affaires (détournement de fonds, abus de biens sociaux, fraude fiscale, etc.). Elle sera donc moins risquée que l’autoentrepreneur.

De la même manière, dans le cadre d’une clientèle B2C, une personne dite “vulnérable” (par son âge ou du fait qu’elle soit protégée - tutelle ou curatelle) peut faire l’objet d’un abus de confiance de la part de celui ou celle qui gère ses biens (et donc ses comptes, assurances, etc.)

- Dans l’axe « Produits et services », il faut non seulement regarder les services et produits régulés proposés (qu’ils soient de paiement - dépôt et retrait d’espèces, virement, transfert d‘argent, etc. ; d’investissement - RTO, conseil en investissement financier, etc. ; d’assurance - assurance-vie, non-vie, etc.) mais aussi les services et produits qui entourent les précédents (cartes prépayées, “open-loop” ou au contraire “filtered” par MCC ou MID1).

Les retraits d’espèces ainsi que les cartes de monnaie électronique peuvent être utilisées pour  financer le terrorisme mais aussi pour payer des travailleurs non déclarés (travail dissimulé) ou des travaux non officiels (fraude fiscale).

- Dans l’axe « Canaux de distribution », l’analyse va porter sur les contraintes règlementaires (en LCB-FT) qui s’imposent à l’intermédiaire auquel il est fait appel pour acquérir de nouveaux clients ou pour entretenir les relations commerciales avec ceux existants en portefeuille.

Ainsi, une banque, soumise au contrôle (souvent accru, notamment en France !) d’un superviseur appliquera d’elle-même des mesures de vigilance adaptées aux relations qu’elle noue ou entretient avec ses clients.

Un agent de service de paiement, bien que censé être sous votre contrôle, n’est pas en contact direct avec une telle autorité et n’est pas toujours en mesure de comprendre les enjeux d’une telle réglementation.

Enfin, un intermédiaire personne physique (type IOBSP) est encore moins aguerri aux obligations applicables et aux vérifications et contrôles à déployer.  

De la même manière, une pièce d’identité présentée par un client derrière votre comptoir est plus facilement vérifiable que celle transmise par voie électronique de la part d’un client qui souhaite ouvrir son compte depuis l’autre bout du pays (ou de la planète) sans qu’aucune visioconférence ne puisse vous permettre de voir véritablement le visage de celui-ci.

- Dans l’axe « Conditions d’exécution des opérations », l’analyse va porter sur tous les éléments sous-jacents des opérations qui seront à exécuter dans le cadre de votre relation d’affaires, qu’il s’agisse des modalités d’approvisionnement (par prélèvement, par virement, par dépôt d’espèces, par crypto-actifs depuis un portefeuille sur la blockchain ou depuis un exchange qui peut ou non être régulé) ou de règlement de cotisations (chèque, carte - prépayée ou non, etc.).

Comment être sûr que le propriétaire de la monnaie électronique anonyme est bien celui qui détient le compte ? Le chèque à créditer / encaisser est-il celui de votre client ?

- Enfin, dans l’axe « Risques géographiques » : ce sont tous les paramètres géographiques qui entourent vos relations avec vos clients, les produits et services délivrés, les canaux de distribution, etc.

Ainsi, la résidence (du client, des bénéficiaires effectifs), la domiciliation bancaire (provenance et/ou destination des fonds), la localisation de l’actif sous-jacent à une opération d’investissement, etc. sont à analyser par rapport aux listes pays que vous avez mises en place (et qui doivent nécessairement intégrer les données des publications officielles du GAFI, de l’UE ou encore de vos autorités nationales.

Une fois cet exercice effectué, vous allez obtenir pour chaque axe, une liste de catégories (type de client, tranche de revenus par exemple), dans lesquelles vos différents critères seront listés et auxquels sont associés, les risques sous-jacents. Vous serez donc en mesure de procéder à la partie “notation” des critères pour définir votre méthode de scoring client.

Etablir le scoring client

Comment fonctionne le scoring ?

Tous les risques sous-jacents identifiés permettent de classer les critères (dans chaque catégorie de chaque axe) du plus risqué au moins risqué et donc d’y associer une note (un score donc).

Plus le niveau de risque de l’élément considéré est important, plus le score le concernant sera élevé. Vous pouvez bien évidemment adopter une logique positive (plus le score est élevé, plus le risque est fort) ou à l’inverse, négative (plus le score est faible, plus le risque est fort), du moment que l’ensemble est logiquement compréhensible.

A titre d’exemple, en reprenant, dans l’axe “Caractéristiques de la clientèle”, la catégorie “nature juridique des clients B2B”, vous pourriez obtenir :

→ Société Anonyme : score 1,

→ Entreprise Unipersonnelle à Responsabilité Limitée (EURL) : score 2,

→ Auto-entrepreneur : score 3,

→ Association : score 4. ; le statut "Personne Politiquement Exposée" (PPE) va lui aussi ajouter des points.

L’approche par les risques induite par la réglementation accorde une grande marge de manœuvre aux professionnels assujettis. Si le vrai problème réside dans la difficulté de conduire un tel exercice sans guidelines précises, l’avantage, c’est que vous avez une grande flexibilité pour “jouer” sur les facteurs réglementaires. Ainsi, afin d’illustrer cet exemple de flexibilité, concernant le statut de Personne Politiquement Exposée (PPE), vous pourriez avoir :

→ Client personne physique PPE ou RCA2 : 5 points,

→ Client personne physique anciennement PPE (de plus d’un an) : 2 points

→ Client non PPE (et qui ne l’a jamais été) : 0 point.

De multiples méthodes et modalités existent au sein des professionnels assujettis :

→ Recours à la fois des scores positifs pour certains (+5 ; +7) et négatifs pour d’autres (-4 ; -10),

→ Usage de pondérations différenciées entre les axes (par exemple, l’axe Clientèle avec un poids 2 fois plus fort que celui des canaux de distribution) ou entre les catégories de critères (Tranche de revenus 3 fois plus importante que Nature juridique),

→ Etc.

Libre à vous d’être créatifs donc ! Toutefois, construire une “usine à gaz” ou d’une grande complexité de compréhension n’est pas toujours le plus opportun que ce soit pour permettre aux collaborateurs (ou aux algorithmes!) de mettre en œuvre cette méthode de scoring ou encore, face au régulateur qui (en contrôle sur place) pourrait “s’arracher les cheveux” en essayant de décrypter comment votre méthode fonctionne.

Quel lien entre scoring et mesures de vigilance ?

Avec l’ensemble des critères ainsi scorés, vous obtenez une note minimale et une note maximale, donc une fourchette de scores possibles (par exemple de 0 à 50, de 45 à 125, de 0 à 850, etc.). L’étape qui s’annonce est donc de définir les fourchettes de score qui vont déterminer le niveau de risque.

La première question est bien évidemment le nombre de niveaux de risque que vous souhaitez obtenir (3,  4, 5 ?) pour vous permettre d’attribuer un niveau de risque et donc un niveau de vigilance pour chacune des fourchettes définies.

Par exemple, sur une fourchette globale comprise entre 0 et 50, vous pourriez obtenir:

- De 0 à 16 : risque faible - vigilance allégée

- De 17 à 33 : risque moyen - vigilance normale

- De 34 à 50 : risque fort - vigilance renforcée  

N’oubliez pas de créer un niveau de vigilance qui soit indépendant de ces fourchettes concernant les situations (réglementaires) imposant la mise en place des mesures de vigilance complémentaires.

KYC et KYT : quelles implications ?

L’impact de la classification des risques sur le KYC

Tout d’abord, certaines règles vont être adoptées et seront différentes selon que le profil est plus ou moins fort. Ainsi en est-il du niveau de validation de l’entrée en relation (front / middle office, équipe compliance, direction par exemple), de la fréquence de revue des dossiers KYC (1 - 2 - 3 ans ou 1 - 2 - 3 - 4 ans) ou encore du nombre et de la qualité des documents à collecter.

De plus, la classification (et la méthode de scoring qui en découle) permet d’évaluer le risque LCB-FT de chacune de vos relations d’affaires et ce, que ce soit à l’entrée en relation ou encore tout au long de celle-ci.

Ainsi, face à un futur client X, vous allez récolter des informations sur l’ensemble des axes d’analyse (clientèle, produit offert, canal de distribution, etc.) et chaque critère « coché » va permettre de calculer le score de ce client X.

Client X (Axe Clientèle) :

→ Client (personne morale) EURL : 2 points,

→ Chiffre d’affaires (<50.000€ - 100.000€>) : 3 points,

→ Pas de statut PPE : 0 point,

→Secteur d’activité (BTP donc sensible) : 3 points

Score du client X sur la partie Clientèle = 8 points

En reprenant nos exemples précédents : si le score du client est de 37, alors il sera catégorisé comme présentant un risque fort, avec application de la vigilance renforcée et ce seront (par exemple) 7 documents à récolter (contre 3 en risque faible). L’entrée en relation sera alors soumise à l’approbation de la Direction et le dossier KYC sera à renouveler dans 1 an.

Si cela semble assez simple, il ne faut quand même pas oublier que certains critères sont discriminants parce que prévus comme telle par la réglementation : par exemple, une relation avec un client domicilié dans un pays tiers à haut risque, même s’il obtient 12 points, devra être classée en risque fort.

Ce profilage du risque client doit être maintenu à jour tout au long de vos relations d’affaires. Le score dudit client peut en effet évoluer d’un jour à l’autre et ce, pour différentes raisons:

→ Une évolution de la situation du client : il peut être devenu PPE (donc + 5 points),

→ Une évolution de vos normes : l’EURL est désormais au score 5 (donc +3),

→ un changement règlementaire : le BTP est sorti des secteurs sensibles (donc -3 points).

Il n’est donc pas exclu que votre client change de niveau de risque du jour au lendemain auquel cas, prenez garde à bien compléter son dossier (avec de nouvelles informations et des documents supplémentaires) pour toujours correspondre à son profil de risque. Rien n’agace plus le régulateur qu’une incohérence entre vos règles internes et la mise en œuvre de celles-ci. Une reprise de stock des dossiers KYC est donc nécessairement systématique pour chaque modification normative et chaque évolution réglementaire…

Outre les impacts sur la gestion de la connaissance client, la classification des risques, en établissant le niveau de vigilance à déployer sur chaque relation d’affaires va aussi et surtout déterminer l’intensité du suivi de la relation d’affaires, dont l’un des piliers est le système de monitoring des transactions, dont les scenarii doivent s’adapter au profil de risque du client…

L’impact KYT

Grâce à votre classification, vous avez identifié vos principaux 𝗳𝗮𝗰𝘁𝗲𝘂𝗿𝘀 𝗱𝗲 𝗿𝗶𝘀𝗾𝘂𝗲. Ces derniers doivent nécessairement se refléter dans vos scénarios d’analyse des transactions. Ainsi, 𝗹𝗲𝘀 𝗰𝗿𝗶𝘁𝗲̀𝗿𝗲𝘀 𝗹𝗲𝘀 𝗽𝗹𝘂𝘀 𝗿𝗶𝘀𝗾𝘂𝗲́𝘀 (donc ceux qui ont les notes les plus élevées) 𝗱𝗼𝗶𝘃𝗲𝗻𝘁 𝗳𝗮𝗶𝗿𝗲 𝗹’𝗼𝗯𝗷𝗲𝘁 𝗱’𝘂𝗻 𝘀𝗰é𝗻𝗮𝗿𝗶𝗼 permettant de générer des alertes sur ce critère pré-identifié (ou a minima être inclus dans un scénario plus vaste).

Par exemple, si vous avez décidé qu’une domiciliation bancaire dans un pays tiers à haut risque est un des critères les plus risqués (et si ce n’est pas encore le cas, on vous conseille de le faire !), alors 𝘃𝗼𝘂𝘀 𝗱𝗲𝘃𝗿𝗶𝗲𝘇 𝗮𝘃𝗼𝗶𝗿 𝘂𝗻 𝘀𝗰𝗲𝗻𝗮𝗿𝗶𝗼 𝗾𝘂𝗶 𝗽𝗲𝗿𝗺𝗲𝘁𝘁𝗲 𝗱𝗲 𝗴𝗲́𝗻𝗲́𝗿𝗲𝗿 𝘂𝗻𝗲 𝗮𝗹𝗲𝗿𝘁𝗲 lorsque l’opération est en provenance et/ou à destination d’un de ces pays (avec ou non d’autres conditions / exclusions permettant un scénario plus complexe).

De la même manière, le profil de risque de chaque client devrait lui aussi se refléter dans cette partie monitoring des transactions que ce soit au niveau de l’analyse de l’alerte ou encore de sa définition en tant que tel.

Vous pourriez donc, au sein d’un même scénario :

→ 𝗗𝗶𝗳𝗳𝗲́𝗿𝗲𝗻𝗰𝗶𝗲𝗿 𝗱𝗲𝘀 𝘀𝗲𝘂𝗶𝗹𝘀 𝗱𝗶𝗳𝗳𝗲́𝗿𝗲𝗻𝘁𝘀 (en montant, en fréquence ou autre) selon le profil de risque faible – moyen – fort.

→ 𝗢𝘂 𝗲𝗻𝗰𝗼𝗿𝗲 𝗱𝗲́𝘁𝗲𝗿𝗺𝗶𝗻𝗲𝗿 𝗾𝘂𝗲 𝗹’𝗮𝗹𝗲𝗿𝘁𝗲 𝗴𝗲́𝗻𝗲́𝗿𝗲́𝗲 𝘀𝗼𝗶𝘁 𝗽𝗿𝗲́-𝗾𝘂𝗮𝗹𝗶𝗳𝗶𝗲́𝗲 : Alerte simple pour les clients en risque faible, Examen renforcé pour les clients en risque moyen et Déclaration de soupçon en risque fort.

→ Dernier point à prendre en considération : 𝗻𝗶 𝗹𝗲𝘀 𝘀𝗰é𝗻𝗮𝗿𝗶𝗼𝘀, 𝗻𝗶 𝗹𝗮 𝗰𝗹𝗮𝘀𝘀𝗶𝗳𝗶𝗰𝗮𝘁𝗶𝗼𝗻 𝗱𝗲𝘀 𝗿𝗶𝘀𝗾𝘂𝗲𝘀 𝗻𝗲 𝗱𝗼𝗶𝘃𝗲𝗻𝘁 𝗿𝗲𝘀𝘁𝗲𝗿 𝘀𝘁𝗮𝘁𝗶𝗾𝘂𝗲𝘀 ! L’un et l’autre se nourrissant mutuellement. Si les alertes révèlent qu’un critère est régulièrement présent dans les alertes mais que celui-ci avait initialement un score faible, alors ce score devrait être revu à la hausse, la réalité du terrain démontrant que ce critère est peut-être plus risqué qu’il n’y paraît.

Et la cartographie des risques dans tout ça ?

La cartographie des risques identifie, évalue et hiérarchise les critères de risques et les profils clients, ce qui permet d’établir le niveau d’exposition d’un établissement ou d’une société face à certains risques.

Elle peut toujours être modifiée et permet de se rendre compte qu’un critère est trop souvent en risque faible, ou au contraire qu’il est souvent en risque élevé (auquel cas il faut renforcer les contrôles).

C’est un outil important pour les sociétés car il leur permet de vérifier que leurs mesures de vigilance sont bien adaptées. C’est aussi un outil pour évaluer la qualité et l’efficacité de leur classification des risques.

Si vous souhaitez en savoir plus sur la cartographie des risques, rendez-vous le 31 mai à 11h pour un webinar sur le sujet !

Commencez dès aujourd'hui

Profitez d'un audit gratuit avec un de nos experts.

Demander une démo
Nos Services
Compliance
KYC / KYB
TMS
Alertes
AML Academy
Ressources
Academy
Confidentialité
CGU
Social
Linkedin
Youtube
Certification
Logo certification Qualiopi
Dernière Mise à Jour Mars 2024 (v.1.0.1)
All rights reserved. AML Factory 2023.