Liste de vérification de la diligence raisonnable des clients pour les banques et les fintechs

Article de blog : Liste de vérification de la diligence raisonnable des clients pour les banques et les fintechs

Pourquoi les banques et les fintechs ont besoin d'une liste de vérification de la diligence raisonnable des clients

La diligence raisonnable des clients (CDD) est le processus que les institutions financières utilisent pour vérifier l'identité et les antécédents de leurs clients. C'est une partie essentielle de tout programme de lutte contre le blanchiment d'argent (AML). L'objectif est de réduire la criminalité financière en vérifiant les identités des clients, en établissant un profil de risque client et en signalant les activités suspectes avant qu'elles ne causent des dommages.

Les exigences en matière de diligence raisonnable des clients varient selon les juridictions, mais les principes fondamentaux sont universels. Chaque institution doit adopter une approche basée sur le risque pour évaluer le risque de blanchiment d'argent ou de financement du terrorisme. Cela signifie collecter suffisamment d'informations pour comprendre chaque relation KYC avec le client et appliquer un examen plus approfondi lorsque le risque est plus élevé.

Les examens réglementaires révèlent systématiquement la même constatation : les institutions qui manquent de processus de diligence raisonnable des clients structurés et documentés commettent plus d'erreurs, manquent plus de risques et font face à plus d'actions d'application liées au blanchiment d'argent ou au financement du terrorisme. Une liste de vérification standardisée garantit que chaque relation client est évaluée de manière cohérente, complète et conformément aux exigences de votre programme AML.

Pour les banques, le Manuel d'examen BSA/AML du FFIEC évalue explicitement l'adéquation des procédures de CDD. Pour les fintechs — dont beaucoup opèrent sous des partenariats de banking-as-a-service (BaaS) — les banques sponsors exigent de plus en plus des processus de CDD documentés comme condition de la relation. Une liste de vérification bien conçue est à la fois une protection de conformité et un outil d'efficacité opérationnelle.

La liste de vérification de la diligence raisonnable des clients

Section 1 : Identification du client

Pour les clients individuels :

• Collecter le nom légal complet (y compris les alias ou anciens noms)
• Collecter la date de naissance
• Collecter l'adresse résidentielle (les cases postales seules ne sont pas suffisantes pour la plupart des fins réglementaires)
• Collecter le numéro d'identification émis par le gouvernement (SSN pour les personnes américaines ; passeport ou carte d'identité nationale pour les personnes non américaines)
• Vérifier l'identité en utilisant au moins un des éléments suivants : pièce d'identité avec photo émise par le gouvernement, service de vérification d'identité électronique, ou vérification documentaire plus vérification croisée dans une base de données
• Confirmer que le document d'identité est valide et non expiré
• Conserver une copie du document de vérification ou un enregistrement du résultat de la vérification électronique

Pour les clients entités :

• Collecter le nom de l'entité légale, le numéro d'enregistrement et la juridiction de formation
• Collecter l'adresse enregistrée et le principal lieu d'affaires
• Obtenir les documents de formation (certificat de constitution, articles d'organisation, contrat de partenariat)
• Identifier tous les directeurs, dirigeants et signataires autorisés
• Vérifier le statut d'enregistrement de l'entité par le biais d'un registre des entreprises ou d'une base de données commerciale
• Confirmer que l'entité est en règle (active, non dissoute ou radiée)

Section 2 : Identification de la propriété bénéficiaire

• Identifier toutes les personnes physiques qui possèdent ou contrôlent 25 % ou plus de l'entité (directement ou indirectement)
• Si aucune personne ne répond au seuil de propriété de 25 %, identifier la ou les personnes exerçant un contrôle effectif (par exemple, un dirigeant supérieur)
• Pour chaque propriétaire bénéficiaire : collecter le nom, la date de naissance, l'adresse et le numéro d'identification
• Vérifier l'identité de chaque propriétaire bénéficiaire en utilisant les mêmes normes appliquées aux clients individuels
• Documenter la structure de propriété (organigramme ou description narrative)
• Pour les structures complexes (trusts, fondations, entités à plusieurs niveaux), retracer la propriété jusqu'à la ou les personnes physiques ultimes
• Vérifier tous les propriétaires bénéficiaires contre les bases de données de sanctions, PEP et médias défavorables

Section 3 : Comprendre la relation

• Documenter le but du compte ou de la relation
• Enregistrer la nature et le volume prévus des transactions
• Identifier la source des fonds pour le compte
• Pour les clients entités, confirmer la nature de l'activité et les principales activités commerciales
• Identifier les contreparties attendues et l'empreinte géographique des transactions
• Évaluer si le but déclaré est cohérent avec le profil du client et les activités connues

Section 4 : Évaluation des risques

• Évaluer le risque par type de client (individuel, petite entreprise, grande entreprise, trust, organisme sans but lucratif, etc.)
• Évaluer le risque géographique (pays de résidence, nationalité, pays d'opération)
• Évaluer le risque produit/service (produits simples vs. complexes, services intensifs en espèces, financement commercial, banque privée)
• Évaluer le risque par canal de livraison (en personne vs. intégration à distance)
• Calculer le score de risque composite en utilisant la méthodologie approuvée de votre institution
• Attribuer un niveau de risque : Faible, Moyen, Élevé ou Interdit
• Pour les clients à haut risque, obtenir l'approbation de la direction avant d'établir la relation
• Documenter la justification de l'évaluation des risques et le profil de risque client résultant

Section 5 : Vérification

• Vérifier le nom du client (et tous les alias connus) contre les listes de sanctions SDN de l'OFAC et d'autres listes de sanctions applicables
• Vérifier contre la liste consolidée des sanctions de l'UE (le cas échéant)
• Vérifier contre la liste des sanctions du Conseil de sécurité de l'ONU
• Vérifier contre les listes de sanctions nationales pertinentes (HMT pour le Royaume-Uni, SECO pour la Suisse, etc.)
• Vérifier contre les bases de données de personnes politiquement exposées (PEPs) (nationales et internationales)
• Effectuer une vérification des médias défavorables pour les indicateurs de risque pertinents
• Examiner et résoudre tous les correspondances potentielles (correspondances réelles, faux positifs)
• Documenter les résultats de la vérification et les décisions de disposition
• Pour les correspondances de sanctions réelles : bloquer la relation et déposer les rapports requis
• Pour les correspondances PEP : appliquer des mesures EDD et obtenir l'approbation de la direction

Section 6 : Diligence raisonnable améliorée (EDD) (lorsque requis)

Si le client est classé comme à haut risque, les étapes supplémentaires suivantes s'appliquent :

• Enquêter et documenter la source des fonds et de la richesse. La source de richesse signifie comment le client a accumulé ses actifs. La source des fonds signifie l'origine spécifique de l'argent pour le compte.
• Obtenir et examiner des documents supplémentaires soutenant les activités commerciales déclarées par le client
• Effectuer des recherches plus approfondies sur les médias défavorables et les antécédents
• Obtenir l'approbation de la direction pour la relation
• Établir des paramètres de surveillance améliorée (seuils plus bas, examens de transactions plus fréquents)
• Définir une fréquence de révision d'au moins annuelle

Section 7 : Conservation des dossiers et documentation

• Créer un dossier client complet contenant tous les documents d'identification, les enregistrements de vérification, les évaluations des risques, les résultats de vérification et les décisions d'approbation
• S'assurer que tous les documents sont datés et attribués à l'agent de conformité responsable
• Stocker les dossiers dans un format facilement récupérable pour les examens réglementaires
• Définir des calendriers de conservation conformes aux réglementations applicables (minimum de 5 ans après la fin de la relation dans la plupart des juridictions ; 7 ans selon la BSA)

Section 8 : Surveillance continue

• Inscrire le client à la surveillance des transactions avec des paramètres alignés sur son niveau de risque
• Planifier des examens périodiques en fonction de la classification des risques :
  • Risque élevé : annuellement
  • Risque moyen : tous les 2 ans
  • Risque faible : tous les 3 à 5 ans
• Définir des événements déclencheurs qui initient des examens ad hoc (anomalies de transactions significatives, alertes de médias défavorables, mises à jour des listes de sanctions, demandes de clients pour de nouveaux produits à haut risque)
• À chaque examen : actualiser les informations sur le client, relancer la vérification, réévaluer la note de risque, mettre à jour la documentation
• Signaler toute activité suspecte aux autorités compétentes rapidement
• Documenter toutes les activités de surveillance et les résultats

Adapter la liste de vérification pour les fintechs

Les fintechs font face à des considérations de CDD uniques :

Dominance de l'intégration à distance. La plupart des clients des fintechs ne visitent jamais une succursale. La vérification d'identité électronique, les contrôles biométriques (correspondance de selfie, détection de vivacité) et la vérification de documents numériques deviennent des composants essentiels du CIP.

Volume élevé, contact réduit. Les fintechs peuvent intégrer des milliers de clients quotidiennement. La décision automatisée pour les demandes à faible risque, avec un examen manuel réservé aux exceptions et aux cas à risque plus élevé, est nécessaire pour maintenir à la fois la rapidité et la conformité.

Obligations de conformité BaaS. Les fintechs opérant par l'intermédiaire de partenaires bancaires doivent aligner leurs processus de CDD sur les exigences de la banque sponsor. La liste de vérification doit correspondre aux politiques de la fintech ainsi qu'aux attentes de la banque partenaire.

Risques spécifiques aux produits. Les cryptomonnaies, les paiements transfrontaliers, le prêt et la finance intégrée comportent chacun des profils de risque distincts que la liste de vérification de CDD doit aborder.

Assurance qualité

Une liste de vérification n'est efficace que si elle est suivie de manière cohérente. Mettez en œuvre des contrôles de qualité :

• Examen de première ligne — Les superviseurs examinent les dossiers de CDD complétés pour leur exhaustivité et leur exactitude avant l'approbation de la relation
• Tests de seconde ligne — La conformité effectue un échantillonnage périodique des dossiers de CDD à travers les lignes d'affaires pour identifier les lacunes et les besoins en formation
• Audit de troisième ligne — L'audit interne évalue indépendamment la conception et l'efficacité opérationnelle du programme de CDD

Suivez des indicateurs tels que : taux de complétion des dossiers de CDD, temps moyen d'intégration, délai de résolution des correspondances de vérification, taux de complétion des examens périodiques et taux de réussite de l'assurance qualité.

Foire aux questions

Qu'est-ce qu'une liste de vérification de la diligence raisonnable des clients ?

Une liste de vérification de la diligence raisonnable des clients est un outil structuré qui guide les institutions financières à travers chaque étape du processus de CDD. Elle garantit qu'aucune étape critique n'est omise lors de l'intégration d'un nouveau client ou de l'examen d'un client existant. La liste de vérification couvre généralement la vérification d'identité, la propriété bénéficiaire, l'évaluation des risques, la vérification et la surveillance continue.

Quand la diligence raisonnable améliorée est-elle requise ?

La diligence raisonnable améliorée est requise pour les clients à haut risque. Cela inclut les personnes politiquement exposées, les clients provenant de juridictions à haut risque et les relations qui montrent des modèles de transactions inhabituels. L'EDD implique une enquête plus approfondie sur la source des fonds, une surveillance plus étroite et l'approbation de la direction.

À quelle fréquence les examens de CDD doivent-ils être effectués ?

La fréquence des examens dépend du niveau de risque du client. Les clients à haut risque doivent être examinés au moins annuellement. Les clients à risque moyen tous les deux ans. Les clients à faible risque tous les trois à cinq ans. Tout changement significatif dans le comportement ou le profil d'un client doit également déclencher un examen immédiat.

Quelle est la différence entre CDD et KYC ?

KYC, ou Know Your Customer, se concentre sur la vérification de l'identité d'un client au début de la relation. La CDD est plus large. Elle inclut le KYC mais couvre également l'évaluation des risques, l'identification de la propriété bénéficiaire et la surveillance continue tout au long du cycle de vie du client. Pensez au KYC comme la première étape et à la CDD comme le processus complet et continu.

Quels dossiers doivent être conservés pour la CDD ?

Les institutions financières doivent conserver tous les dossiers de CDD pendant au moins cinq ans après la fin de la relation. Dans certaines juridictions, le minimum est de sept ans. Les dossiers incluent les documents d'identification, les résultats de vérification, les évaluations des risques, les résultats de vérification, les alertes de surveillance des transactions et toutes les décisions prises au cours du processus de CDD. Ces dossiers doivent être disponibles pour un examen réglementaire à tout moment.

De la liste de vérification à la culture

Une liste de vérification de la diligence raisonnable des clients fournit structure et responsabilité, mais elle fonctionne mieux lorsqu'elle est intégrée dans une culture de conformité où chaque membre de l'équipe — du personnel de première ligne à la direction — comprend pourquoi la CDD est importante et assume la responsabilité personnelle de son exécution. Lorsque la conformité est perçue comme une valeur organisationnelle partagée plutôt que comme un exercice administratif, la CDD devient un véritable outil de gestion des risques qui protège l'institution et ses clients.