Communication FINMA sur la surveillance 04/2026 : exigences accrues en matière d’analyse des risques
Communication FINMA sur la surveillance 04/2026 : exigences accrues en matière d’analyse des risques
L’analyse des risques de blanchiment d’argent constitue l’instrument de pilotage central du dispositif de lutte contre le blanchiment d’argent d’un intermédiaire financier. L’Autorité fédérale de surveillance des marchés financiers (FINMA) a une nouvelle fois examiné un grand nombre d’analyses des risques de blanchiment d’argent. La présente communication complète la communication FINMA sur la surveillance 05/2023 par de nouvelles observations et expériences concernant aussi bien les banques que les établissements soumis à la LEFin. L’article ci-dessous présente les faiblesses identifiées par la FINMA ainsi que les recommandations qui en découlent.
Champ d’application de la communication FINMA sur la surveillance
Alors que cette communication s’applique directement aux banques, elle peut également être utilisée par analogie pour les établissements soumis à la LEFin 1 Maisons de titres (art. 41 LEFin), Directions de fonds (art. 32 LEFin), Gestionnaires de fortune collective (art. 24 LEFin), Gestionnaires de fortune et Trustees (art. 17. LEFin) . Sa mise en œuvre doit tenir compte de l’exposition effective aux risques de l’établissement concerné. La granularité et la structure de l’analyse des risques doivent être adaptés à la nature, à l’ampleur, à la complexité et au niveau de risque des activités exercées. Plus les risques inhérents auxquels un établissement est exposé sont élevés, plus l’analyse des risques doit être détaillée.
Le niveau de tolérance au risque applicable aux activités commerciales a-t-il été défini?
La FINMA a constaté que de nombreux établissements financiers ne disposent pas d’une définition suffisamment claire et adaptée de leur tolérance au risque. Des exclusions explicites devraient être définies pour certains pays, segments de clientèle, services et/ou produits. Une simple référence aux risques devant obligatoirement être exclus ne répond pas à cette exigence (par exemple exclusion de la Corée du Nord ou de l’Iran). La tolérance au risque doit être documentée de manière transparente pour qu' un tiers indépendant puisse la comprendre.
Un processus exception to policy (ETP) a-t-il été défini?
Lorsque des dérogations à la tolérance au risque sont autorisées, elles doivent être encadrées par un processus ETP formalisé. Chaque dérogation doit être approuvée par la direction et soumise à la surveillance de l’organe responsable de la haute direction. Le processus ETP ne doit être utilisé qu'à titre exceptionnel. Toutes les dérogations doivent être enregistrées dans un registre centralisé, faire l’objet d’un suivi approprié et être régulièrement portées à la connaissance de l’organe responsable de la haute direction.
Des indicateurs clés appropriés ont-ils été définis?
L’accent doit être mis sur les indicateurs les plus pertinents pour évaluer les risques significatifs. Ces indicateurs doivent être définis comme des indicateurs clés. Tous les indicateurs ne sont pas nécessairement des indicateurs clés.
Quelles catégories de risques faut-il prendre en compte dans l’analyse des risques et comment évaluer les risques?
Pour chaque risque de blanchiment d’argent identifié au sein des différentes catégories de risque, il convient de veiller à ce que l'évaluation du risque inhérent, du risque de contrôle et du risque résiduel (risque net) soit présentée de manière distincte et transparente. L'analyse doit couvrir l'ensemble des risques de blanchiment d’argent pertinents, quel que soit leur niveau d’exposition (faible, moyen ou élevé). Les catégories de risques liées aux segments de clientèle, au siège ou au domicile des clients, ainsi qu’aux produits et services doivent impérativement être prises en compte (voir également l’art. 25, al. 2, OBA-FINMA). L'analyse doit également couvrir les risques spécifiques au modèle d’affaires de l'établissement. Plus la tolérance au risque est élevée, plus les critères de risque doivent être définis de manière détaillée et précise.
Lorsque différents niveaux de risques existent pour un même critère, ils doivent être présentés séparément dès lors qu'ils correspondent à des niveaux de risque inhérent distincts. À titre d'exemple, les pays présentant un risque faible, moyen ou élevé ne devraient pas être regroupés dans une seule catégorie intitulée «Risque pays (siège/domicile du client)».
Il convient également de s'assurer que les risques inhérents associés aux différents critères de risque de blanchiment d'argent sont évalués de manière adéquate. En principe, les structures complexes, les personnes politiquement exposées (PEP) ainsi que les services liés aux crypto-actifs devraient être considérés comme présentant un risque inhérent élevé.
Par ailleurs, le niveau du risque net doit être déterminé de manière cohérente. À cet égard, il convient de se référer à l’annexe 3 de l’Ordonnance de la FINMA sur l’audit prudentiel du 31 octobre 2024, qui précise la méthodologie à utiliser pour l'évaluation des risques.
Comment faut-il documenter les mesures d'atténuation des risques (risque de contrôle)?
Il faut décrire l’effet des mesures de contrôle sur l'atténuation des risques inhérents avec un niveau de détail suffisant. À cet effet, il convient notamment de s'appuyer sur des indicateurs pertinents ainsi que sur des informations relatives à l’efficacité des contrôles effectués («controls of controls»). Les références générales à des directives internes ou à des processus ne sont pas suffisantes. Les mesures d'atténuation des risques doivent être décrites de manière concrète ou rattachées aux contrôles correspondants figurant dans l’inventaire des contrôles.
Comment faut-il définir les indicateurs destinés à surveiller l’exposition aux risques?
Il est essentiel de définir des indicateurs pertinents afin d’évaluer l’exposition aux risques. Ces indicateurs doivent permettre de mesurer le niveau de risque au sein de l’ensemble de la clientèle et des services proposés, mais aussi de vérifier dans quelle mesure les activités exercées sont conformes à la stratégie commerciale et la politique de risque de l'établissement.
L'évaluation de l’exposition aux risques devrait reposer sur une combinaison de plusieurs indicateurs afin d'obtenir une analyse aussi représentative que possible. En règle générale, il faudrait au moins prendre en compte les actifs sous gestion (Assets under Management, AuM) ainsi que le nombre de relations d’affaires.
Comment faut-il définir et surveiller les limites de risque?
Des limites de risque sont à définir afin de garantir le respect de la tolérance au risque et de permettre l'identification précoce de situations nécessitant des mesures correctrices.
Il convient d'éviter les limites fondées uniquement sur l'évolution par rapport à l’exercice précédent. En cas de dépassement des seuils fixés, la mise en œuvre de mesures d'atténuation des risques adaptées vise à rétablir le niveau de risque dans les limites de la tolérance définie. L'octroi d'une dérogation dans le cadre du processus ETP ne constitue pas une mesure adéquate pour remédier à un dépassement des limites de risque.
Faut-il comparer le risque net à la tolérance au risque?
Il est indispensable de comparer le risque net à la tolérance au risque définie afin de détecter tout dépassement du niveau de risque accepté et de mettre en œuvre les mesures appropriées.
La comparaison ne doit pas se limiter aux différentes catégories de risque. Un risque net global de blanchiment d’argent doit également être déterminé et comparé à la tolérance au risque de blanchiment d’argent fixée par l'établissement. Lorsque le risque net associé à un critère de risque spécifique ou lorsque le risque net global excède la tolérance au risque définie, il faut impérativement mettre en œuvre des mesures d'atténuation des risques.
Comment faut-il présenter les évolutions des risques de blanchiment d’argent par rapport à exercice précédent?
L'évolution des risques doit être présentée de manière claire et distincte par rapport à l'exercice précédent, notamment en ce qui concerne les risques inhérents, les risques de contrôle et les risques nets. Cette présentation comparative est essentielle pour identifier correctement les changement intervenus, évaluer les besoins d'action qui en découlent et définir les mesures nécessaires à un suivi efficace des risques.
Quelles sont les exigences en matière d’analyse des ressources ?
Afin de garantir l'efficacité du dispositif de lutte contre le blanchiment d’argent, les ressources disponibles doivent faire l'objet d'une évaluation critique, tant sur le plan quantitatif que qualitatif, dans le cadre de l’analyse des risques. Cette démarche permet de s’assurer que les ressources disponibles restent adaptées et puissent être renforcées en temps utile lorsque cela s’avère nécessaire.
L'évaluation des ressources devrait s'appuyer sur des indicateurs pertinents, tant qualitatifs que quantitatifs, afin de permettre un suivi continu des de leur adéquation, de détecter rapidement les évolutions significatives et d'identifier d'éventuels goulets d’étranglement.
Que faut-il désormais prendre en compte ?
Les banques ainsi que les établissements soumis à la LEFin devraient procéder à un examen critique de leur analyse des risques de blanchiment d’argent au regard des exigences de la FINMA. Il est notamment essentiel de vérifier que l'ensemble des risques pertinents est identifié de manière exhaustive, évalué de façon transparente et accompagné de mesures d'atténuation des risques adaptées. Une attention particulière devrait être portée à la définition des indicateurs de risques et des seuils de tolérance.

