Les législations dans les domaines de la LBA, de la LEFIn et de la LSFIn laissent une importante marge de manœuvre à l’autorégulation des différents acteurs concernés. Les intermédiaires financiers et les établissements financiers sont ainsi libres de choisir leurs organismes d’affiliation, que sont les organisations d’autorégulation (OAR) et les organismes de surveillance (OS). En parallèle, ils sont également libres de choisir leurs auditeurs LBA et prudentiels, dans le cadre prévu par les OAR et OS.
Au fil du temps, ces règlementations deviennent toujours plus complexes. A l’origine, les audits LBA s’apparentaient à un contrôle de conformité documentaire du type «check the box». Tempi passati! Un audit LBA doit désormais être planifié et exécuté sur la base d’une évaluation des risques, qui implique d’examiner de manière critique l’organisation, les procédures et les contrôles internes des audités. En outre, les modèles d’affaires dans les transferts de fonds, les actifs virtuels et crypto-actifs requièrent des procédures particulières d’audit. Les règlementations prudentielles concernant les établissements financiers (LEFin) et les services financiers (LSFin), entrées en vigueur en 2020, évoluent également vers plus de complexité.
Pour un intermédiaire ou établissement financier, il est normal de s’adresser à son auditeur statutaire pour lui demander de réaliser l’audit LBA ou l’audit prudentiel complet. La relation de confiance, le coût de la prestation et la synergie des audits constituent des critères essentiels de ce choix. Mais qu’en est-il des exigences et obligations concernant les auditeurs?
Afin d’être agréé par un OAR, un auditeur responsable LBA doit disposer d’un agrément de réviseur, d’une expérience de 5 ans dans la révision, de 200 heures d’audit d’intermédiaires financiers, et suivre 4 heures de formation annuelle en matière LBA. Dans le nouveau domaine prudentiel LEFin et LSFin, le législateur a voulu une entrée en matière assez souple. Les experts-réviseurs agréés ASR exerçant déjà comme auditeurs responsables LBA ont pu obtenir leur agrément initial auprès d’un OS. Pour le maintien de cet agrément, ils doivent justifier à l’avenir de 8 heures de formation continue en matière LEFin, LSFin et LBA, et d’une expérience de100 heures d’audit prudentiel sur une période de 4 ans.
Une application trop stricte de l’exigence de l’expérience préalable dans le domaine prudentiel aurait exclu une grande partie des sociétés d’audit de ce marché. La plupart des sociétés d’audit agréées par les OAR se sont donc lancées dans les audits prudentiels en accompagnant leurs clients suite à leur autorisations FINMA en tant qu’établissements financiers. Vis-à-vis d’un OS, elles sont engagées par un contrat d’agrément à disposer d’au minimum deux auditeurs responsables et de deux mandats d’audits prudentiels, chaque auditeur devant justifier de la formation et de l’expérience mentionnée précédemment. A cela s’ajoute l’exigence renforcée de l’indépendance des auditeurs et de l’absence d’incompatibilité avec d’autres mandats dans les marchés financiers.
Pour une société d’audit comptant quelques collaborateurs, le challenge pour respecter les conditions d’agrément, en disposant d’un nombre suffisant de mandats et de collaborateurs qualifiés, est donc important. En effet, de même qu’un audit de conformité LBA n’a que peu de rapports avec un audit statutaire ou financier, un audit prudentiel n’a que peu de rapports avec un audit LBA! En pratique, les procédures d’audit sont encore loin d’être standardisées, sauf pour les règles de base des échantillonnages. Il en résulte que pour une même prestation d’audit LBA ou d’audit prudentiel, le nombre total d’heures d’audit peut facilement varier du simple au triple.
Les OAR et OS se doivent d’examiner chaque ligne des rapports d’audit, et, le cas échéant, d’interpeler les auditeurs ayant rendu des rapports incomplets ou inexacts. Au sein de l’ARIF, les lacunes courantes dans les rapports d’audit LBA concernent typiquement des omissions (par ex. des manquements régularisés et non signalés), le manque de constatations sur une organisation interne inefficiente, ou une mauvaise appréciation des risques. Du côté des OS, on rapporte que nombre de premiers rapports d’audits prudentiels contiennent des inexactitudes, notamment en rapport avec les annonces de mutations. Pour un premier audit prudentiel, l’auditeur a donc intérêt à valider tous les points de la demande en autorisation.
On commence à mesurer la complexité de la tâche. La société d’audit locale «all-in-one» et ses auditeurs responsables devront faire des choix. Les contrôles de qualité par les OS vont s’intensifier. Pas tous ne pourront continuer à faire du «prudentiel».
Dans l’immédiat, un grand effort de formation devra être entrepris par les auditeurs prudentiels pour mieux comprendre les métiers réglementés de la gestion de fortune ou des trustees. A cet effet, on rappellera que L’OAR ARIF propose, depuis de nombreuses années, un large éventail de formations continues dans le domaine.
Marc Brendow interviendra lors du séminaire «Audits LBA, LSFin et LEFin» proposé par l'ARIF à Genève le 4 mars prochain. Cette formation d’une durée de 4 heures a pour but de dispenser aux intermédiaires financiers, aux sociétés d'audit et aux auditeurs responsables agréés une formation continue en matière de surveillance et d’audit LBA, LSFin et LEFin. Un certificat sera délivré à cet effet. Programme complet du séminaire disponible ici. Renseignements et inscriptions sur le site de l'ARIF.