CompanyBelgium

Évaluation des risques AML : méthodologie pratique pour les professions assujetties

L'évaluation globale des risques de blanchiment est l'exigence la plus regardée par les autorités de contrôle belges. Voici une méthodologie en 5 étapes utilisable par les comptables, notaires, avocats et agents immobiliers pour produire un document qui résiste à l'inspection.

12 mai 20268 min de lecture

En bref

L'évaluation globale des risques de blanchiment (article 16 de la loi du 18 septembre 2017) est le premier document demandé par le SPF Économie, la BNB ou la FSMA lors de toute inspection AML. Elle doit analyser 4 dimensions (risque-client, risque-produit, risque-géographie, risque-canal), être rédigée en 5 étapes documentées, signée par la direction, mise à jour annuellement et cohérente avec les procédures KYC et CTIF de la structure. Un document générique ou incomplet conduit directement à une constatation de carence structurelle.

Pourquoi l'évaluation des risques est le document n°1 demandé en inspection

Quand le SPF Économie, la BNB ou la FSMA inspecte une entité assujettie, la première pièce demandée n'est pas le registre des clients ni les fiches KYC : c'est l'évaluation globale des risques de blanchiment, prévue par l'article 16 de la loi du 18 septembre 2017.

Ce document n'est pas un formulaire administratif : c'est la carte mère de tout le dispositif AML. Il décrit comment la profession identifie, mesure et atténue les risques de blanchiment et de financement du terrorisme propres à son activité. Sans ce document, ou avec un document générique copié sur internet, l'inspection conclut à une carence structurelle — et l'amende suit. Son contenu doit être cohérent avec les obligations de la loi du 18 septembre 2017 et alimenter directement les dossiers KYC tenus par chaque assujetti.

Les 4 dimensions à analyser

Toute évaluation sérieuse repose sur le croisement de quatre facteurs de risque, communs aux orientations de l'Autorité bancaire européenne (EBA) et au cadre belge :

1. Le risque-client

Qui sont vos clients ? Catégorisez-les :

  • Particuliers vs sociétés
  • Belges vs étrangers
  • Structures simples vs complexes (holdings, fiducies, sociétés écrans)
  • Personnes politiquement exposées (PEP)
  • Clients dont l'activité économique réelle est difficile à vérifier
  • Clients dont la relation est nouée à distance sans face-à-face

Une fiduciaire qui sert majoritairement des PME locales avec actionnariat transparent présente un risque-client faible. Une étude notariale qui traite régulièrement des sociétés étrangères avec UBO non-résidents → risque élevé.

2. Le risque-produit (ou service)

Quels services rendez-vous ? Certains sont intrinsèquement à risque :

  • Constitution de sociétés et domiciliation (capacité à créer des structures opaques)
  • Opérations immobilières (canal historique du blanchiment)
  • Gestion de fonds de tiers (compte rubrique des avocats, fonds des notaires)
  • Conseil fiscal international, optimisation de structures
  • Opérations en espèces au-dessus des seuils

D'autres services présentent un risque structurellement faible : tenue de comptabilité simple pour micro-entreprise, conseil RH, audit légal pur.

3. Le risque-géographie

Vos clients ou leurs contreparties opèrent-ils dans :

  • Les pays tiers à haut risque identifiés par la Commission européenne (liste publiée et mise à jour)
  • Les juridictions à fiscalité privilégiée (ex-paradis fiscaux, listés par l'OCDE)
  • Les zones sous sanctions internationales (Russie, Iran, Corée du Nord, Belarus...)
  • Les pays présentant des faiblesses dans leur dispositif AML (rapport GAFI)

Un client domicilié à Bruxelles avec activité belge-française : risque géographique faible. Une société belge dont 80 % des flux entrants viennent de Dubai ou des Seychelles : risque élevé.

4. Le risque-canal

Comment la relation s'est-elle nouée et comment se déroule-t-elle ?

  • Face-à-face dans vos locaux (risque faible)
  • Introduit par un confrère ou un correspondant connu (risque mesuré)
  • 100 % à distance via plateforme en ligne (risque accru si pas d'identification forte)
  • Via un intermédiaire (apporteur d'affaires) — qui est cet intermédiaire ?

La méthodologie en 5 étapes

Étape 1 — Cartographier l'activité

Décrivez factuellement votre activité :

  • Quels services exactement (liste exhaustive, avec proportions du chiffre d'affaires)
  • Combien de clients actifs, et leur typologie (PME locales / particuliers / sociétés internationales)
  • Quelles zones géographiques (où sont vos clients, où sont leurs contreparties)
  • Quels canaux d'entrée en relation

Cette cartographie est la base factuelle de tout le reste. Elle se met à jour annuellement.

Étape 2 — Identifier les risques inhérents

Pour chaque combinaison client × produit × géographie × canal, listez les risques de blanchiment avant toute mesure d'atténuation. Exemples :

  • Constitution d'une société pour un client non-résident d'une juridiction opaque → risque de société-écran
  • Opération immobilière au comptant avec virements multiples de comptes différents → risque de structuration (smurfing)
  • Mandat fiscal pour un client recevant des revenus de crypto-actifs → risque d'origine douteuse des fonds

Étape 3 — Évaluer le niveau de risque inhérent

Adoptez une grille à 3 ou 5 niveaux : faible / standard / élevé (ou 1-5). Documentez les critères qui placent chaque combinaison dans tel niveau. Ne mettez pas tout en "faible" : un assujetti qui prétend n'avoir aucune zone de risque élevé sera regardé avec scepticisme.

Étape 4 — Décrire les mesures d'atténuation

Pour chaque niveau de risque, quels contrôles mettez-vous en œuvre ?

  • Risque faible : KYC standard, surveillance annuelle, archivage normal
  • Risque standard : KYC complet avec vérification UBO et registre, surveillance semestrielle
  • Risque élevé : KYC renforcé, vérification de la source des fonds, approbation par la direction avant entrée en relation, surveillance trimestrielle, déclaration CTIF facilitée

Soyez concret : « surveillance renforcée » ne suffit pas. Précisez : « relecture trimestrielle du dossier par l'AMLCO, comparaison des flux avec les déclarations TVA du client, validation écrite ».

Étape 5 — Calculer le risque résiduel et conclure

Après mesures d'atténuation, le risque résiduel est-il acceptable ? Si oui, le dispositif est cohérent. Si non, deux options : renforcer les mesures, ou refuser le type d'activité.

Concluez sur le niveau de risque global de votre profession et listez les points d'attention prioritaires pour les 12 mois à venir.

Format et fréquence

L'évaluation des risques doit être :

  • Écrite — pas d'analyse orale, pas de "c'est dans la tête de l'AMLCO"
  • Datée et signée par la direction
  • Mise à jour annuellement au minimum, ou immédiatement après un changement significatif (nouveau service, nouvelle clientèle cible, nouvelle réglementation)
  • Cohérente avec les procédures écrites KYC, surveillance, déclaration CTIF
  • Conservée pendant la durée d'exploitation + 10 ans

En pratique, un document de 10 à 30 pages, structuré par les 4 dimensions ci-dessus, suffit pour la plupart des cabinets de taille moyenne.

Erreurs fréquentes vues en inspection

  • Document générique non adapté — phrases standard sans lien avec l'activité réelle du cabinet
  • Niveau de risque uniformément faible — manque de discernement, donc de réalité opérationnelle
  • Mesures d'atténuation vagues ("nous vérifions", "nous restons attentifs") — non auditables
  • Pas de lien avec les procédures écrites — l'évaluation parle de "surveillance trimestrielle" mais aucune procédure ne l'organise
  • Pas de mise à jour annuelle — la dernière révision date de 2020, le risque géographique a évolué
  • Pas d'analyse écrite des dossiers refusés ni des déclarations CTIF émises, qui sont pourtant des signaux de calibrage
  • Le rôle de l'AMLCO

    L'Anti-Money Laundering Compliance Officer (AMLCO) est le rédacteur principal et le gardien de l'évaluation des risques. Sa désignation est obligatoire pour toutes les structures assujetties, formellement nommée par décision du conseil d'administration ou de l'organe équivalent.

    Pour les petites structures, l'AMLCO peut être un dirigeant lui-même. Pour les plus grandes, c'est une fonction dédiée. Dans tous les cas : accès direct à la direction, indépendance fonctionnelle, formation initiale et continue documentée.

    Comment Company Belgium structure votre évaluation des risques

    L'évaluation des risques exigée par l'article 16 devient un livrable maîtrisé avec Company Belgium :

    • Cartographie automatique de votre clientèle : répartition par taille (BCE), forme juridique, codes NACE, géographie des sièges et établissements
    • Modèles d'évaluation spécifiques par profession (comptable, notaire, avocat, agent immobilier, prestataire de services aux sociétés)
    • Matrice de risque pré-configurée sur les 4 dimensions client × produit × géographie × canal
    • Alertes pays haut risque : croisement automatique avec les listes officielles (UE, Trésor belge, sanctions internationales)
    • Suivi des révisions : rappels d'échéance annuelle, versions horodatées, traçabilité complète des décisions de l'AMLCO
    • Export PDF signé prêt à présenter en cas d'inspection

    Votre AMLCO produit un document conforme et défendable en quelques heures, pas en quelques semaines.

    En résumé

    L'évaluation des risques est l'exercice qui fait la différence entre un assujetti conforme par le fond et un assujetti qui coche des cases. C'est aussi l'unique document qui démontre à l'inspecteur que la profession a compris son exposition et a déployé des mesures proportionnées. Soyez factuel, soyez spécifique, soyez à jour — et cette pièce devient un atout, pas un risque.

    Questions fréquentes

    Qu'est-ce que l'évaluation globale des risques AML et qui doit la produire en Belgique ?

    L'évaluation globale des risques de blanchiment est un document écrit, daté et signé par la direction, prévu à l'article 16 de la loi du 18 septembre 2017. Elle est obligatoire pour toutes les entités assujetties : cabinets d'avocats, comptables, notaires, agents immobiliers, centres de domiciliation, prestataires de services aux sociétés et institutions financières. C'est l'AMLCO qui la rédige et la met à jour, sous la responsabilité formelle de la direction. Sans ce document, toute inspection conclut à une carence structurelle.

    Quelles sont les 4 dimensions d'une évaluation des risques AML conforme en Belgique ?

    Une évaluation des risques AML conforme analyse 4 dimensions : le risque-client (qui sont vos clients, leur nationalité, leur complexité structurelle, la présence éventuelle de PEP), le risque-produit (quels services vous rendez, notamment constitution de sociétés, domiciliation, gestion de fonds), le risque-géographie (vos clients ou leurs contreparties sont-ils liés à des pays tiers à haut risque ou sous sanctions), et le risque-canal (comment la relation s'est-elle nouée, à distance ou en face-à-face). L'EBA et le cadre belge exigent que ces 4 dimensions soient croisées dans une matrice documentée.

    À quelle fréquence une évaluation des risques AML doit-elle être mise à jour en Belgique ?

    La loi exige une mise à jour au minimum annuelle. Une mise à jour immédiate est également requise après tout changement significatif : lancement d'un nouveau service, élargissement de la clientèle cible, modification réglementaire (nouvelle directive AML, nouvelle liste de pays à haut risque), ou incident notable (déclaration CTIF, enquête externe). Les autorités de contrôle vérifient la cohérence entre la date de la dernière révision et les évolutions réelles de l'activité.

    Quelles sont les erreurs les plus fréquentes dans une évaluation des risques AML lors d'une inspection belge ?

    Les erreurs les plus souvent sanctionnées sont : un document générique non adapté à la réalité de l'activité, un niveau de risque uniformément faible sans justification, des mesures d'atténuation vagues non auditables (par exemple mentionner une surveillance sans décrire comment elle est organisée), l'absence de lien avec les procédures écrites KYC et CTIF, l'absence de mise à jour depuis plus d'un an, et l'absence d'analyse des dossiers refusés ou des déclarations CTIF émises qui constituent pourtant des signaux de calibrage de la matrice.

    Prêt à commencer ?

    Créez votre compte gratuitement et obtenez vos clés API en quelques minutes.

    Commentaires

    Chargement des commentaires…

    Laisser un commentaire

    Non publié — sert uniquement à vous notifier.

    Les commentaires sont modérés avant publication.

    Articles similaires

      Évaluation des risques AML Belgique : méthode en 5 étapes | CompanyBelgium