Directive sur l'évaluation des risques


Janvier 2021

CANAFE a élaboré la présente directive afin de vous aider à comprendre, à titre d'entité déclarante (ED) :

Cette directive fournit aussi des outils que vous pouvez utiliser pour élaborer et mettre en œuvre des mesures d'atténuation pour traiter les éléments à risque élevé identifiés dans le cadre de votre évaluation des risques. Vous pouvez utiliser ces outils ou vous pouvez élaborer vos propres outils d'évaluation des risques. Cette directive s'applique à toutes les ED assujetties à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la Loi) et aux règlements connexes. Cependant, certaines obligations en matière d'évaluation des risques ou certains exemples pourraient ne s'appliquer qu'à des secteurs particuliers.  

Dans le cadre de vos exigences relatives au programme de conformité en vertu de la Loi et des règlements connexes, vous devez effectuer une évaluation de votre exposition aux risques de BA/FAT.Note de bas de page 1 Les ED sont responsables d'effectuer et de documenter leur propre évaluation des risques. Pour obtenir plus d'informations au sujet de vos obligations en matière d'évaluation des risques, consultez la directive de CANAFE sur les exigences relatives au programme de conformité.

La présente directive répond aux questions suivantes :  

Vous trouverez aussi d'autres références, des exemples et des outils pour vous aider à élaborer votre AAR dans les annexes qui suivent.

1. Qu'est-ce que le risque? 

Le risque peut être défini comme la probabilité qu'un évènement négatif se produise et ses conséquences. Simplement, un risque est une combinaison des possibilités qu'une chose se produise et de l'étendue des dommages ou des pertes pouvant être entraînés par cette occurrence. Dans le contexte du blanchiment d'argent (BA) et du financement des activités terroristes (FAT), un risque signifie :

Menaces : Une personne (un groupe), ou un objet qui pourrait causer un dommage. Dans le contexte du BA/FAT, des criminels, des facilitateurs, leur argent ou même des groupes terroristes peuvent constituer une menace.

Vulnérabilités : Les éléments d'une entreprise ou de ses processus qui sont susceptibles de nuire et qui pourraient être exploités par une menace. Dans le contexte du BA/FAT, les vulnérabilités peuvent correspondre à une faiblesse dans les contrôles de l'ED, à son offre de produits et services à haut risque.

2. Que sont les risques inhérents et les risques résiduels?

Un risque inhérent est le risque d'un évènement ou d'une situation existant avant la mise en œuvre de contrôles ou de mesures d'atténuation.Note de bas de page 2 Alors qu'un risque résiduel est le degré de risque qui perdure après la mise en œuvre de mesures d'atténuation et de contrôles.

Lors de l'évaluation des risques, il importe de distinguer les risques inhérents et les risques résiduels. Ces concepts sont définis et expliqués plus loin dans la directive. Cependant, il importe de préciser que l'exercice d'évaluation des risques décrit dans le présent document met l'accent sur les risques inhérents liés à votre entreprise, à vos activités et à vos clients.

3. Qu'est-ce qu'une AAR?

Une AAR est un moyen pour vous d'effectuer votre évaluation des risques en tenant compte de certains éléments de vos activités, de vos clients ou de vos relations d'affaires pour identifier l'incidence potentielle des risques de BA/FAT et appliquer des contrôles et des mesures pour atténuer ces risques.  

Le Groupe d'action financière (GAFI), a élaboré une série de Recommandations qui sont considérées comme la norme internationale en matière de lutte contre le blanchiment d'argent, le financement des activités terroristes et les autres menaces à l'intégrité du système financier international. Plus précisément, la Recommandation 1 concernant l'AAR, reconnaît qu'une AAR constitue un moyen efficace de lutter contre le blanchiment d'argent et le financement des activités terroristes.

L'utilisation d'une AAR vous permettra de :

La Loi et les règlements connexes n'interdissent pas l'exercice d'activités ou le fait d'entretenir des relations d'affaires présentant un risque élevé. Toutefois, si vous en repérez, il est important de les documenter et de mettre en place des contrôles appropriés pour atténuer ces risques et d'appliquer les mesures spéciales prescrites.

Il est primordial de se rappeler que l'évaluation et l'atténuation des risques de BA/FAT ne sont pas des exercices statiques. Les risques qui ont été relevés peuvent changer ou évoluer avec le temps à mesure que de nouveaux produits, services, entités de même groupe ou de nouveaux développements et de nouvelles technologies apparaissent dans le contexte de vos activités. Par conséquent, vous devez réévaluer régulièrement les risques de BA/FAT de votre entreprise et documenter cette évaluation pour la tenir à jour. Par exemple, si vous ajoutez un nouveau produit, service ou une nouvelle technologie à votre entreprise, ou si vous ouvrez un nouvel emplacement, vous devez évaluer et documenter les risques associés à ce changement pour votre entreprise.

4. Quel est le cycle d'une AAR?

Le cycle d'une AAR comporte six étapes à suivre pour effectuer une évaluation des risques. Le diagramme ci-dessous illustre le cycle d'une AAR. Des informations supplémentaires sur chaque étape sont disponibles ci-dessous.

Il est important de noter qu'il n'existe pas de méthodologie prescrite pour l'évaluation des risques. Le modèle proposé par CANAFE présente les évaluations des risques fondées sur les activités et sur les relations d'affaires séparément. Bien qu'elles soient présentées séparément dans la présente directive, vous pouvez effectuer des évaluations fondées sur les activités et sur les relations d'affaires simultanément. Vous devrez adapter ce modèle à votre entreprise si vous décidez de l'utiliser.

Diagramme 1 : Cycle d'une AAR

Le diagramme suivant montre un cycle comprenant les six étapes de l'approche axée sur le risque. Chacune des étapes est décrite dans les pages suivantes.

Cycle d'une AAR — Étape 1 : Détermination de vos risques inhérents au BA/FAT

Pour déterminer vos risques inhérents au BA/FAT, vous devriez commencer par évaluer les éléments suivants de votre entreprise :

Évaluation des risques liés à l'entreprise

Commencez votre évaluation des risques en adoptant un point de vue à l'échelle de l'entreprise. Cette mesure vous permet de prendre en compte les risques qui recoupent divers secteurs d'activités, la clientèle ou des produits ou services particuliers. Les domaines relevés comme présentant un risque élevé exigent des stratégies d'atténuation documentées.Note de bas de page 12 Le nombre de risques relevés variera selon le type d'activités que vous exercez et selon les produits et services que vous offrez.

La détermination des risques inhérents à votre entreprise exige que vous examiniez vos vulnérabilités en matière de BA/FAT. Votre évaluation des risques liés à l'entreprise doit inclure les risques posés par les facteurs suivants :

  1. la combinaison de vos produits, services et modes de prestation;
  2. les emplacements géographiques où votre entreprise mène ses activités;
  3. l'impact des nouveaux développements et des nouvelles technologies qui affectent vos activités;
  4. les risques qui sont liés aux entités du même groupe (les activités qu'elles mènent);
  5. tout autre facteur pertinent.
1. Produits, services et modes de prestation

Vous devez reconnaître les produits, les services et les modes de prestation, ou les combinaisons de produits, services et modes de prestation, qui peuvent poser un risque plus élevé de BA/FAT. Un mode de prestation constitue un moyen pouvant être utilisé pour obtenir un produit ou un service, ou par lequel des opérations sont effectuées. Voir l'annexe 2 — Tableau 1 : Exemples d'indicateurs de risque élevé et de points à considérer pour les produits, services et modes de prestations dans votre évaluation des risques liés à l'entreprise.

2. Géographie

Vous devez déterminer dans quelle mesure les emplacements géographiques où vous menez vos activités pourraient présenter un risque élevé de BA/FAT. Selon votre entreprise et vos activités, cela peut aller de votre environnement immédiat, qu'il soit rural ou urbain, à une province ou un territoire, à plusieurs compétences au Canada (national) ou dans d'autres pays. Voir l'annexe 2 — Tableau 2 : Exemples d'indicateurs de risque élevé et de points à considérer pour les aspects géographiques dans votre évaluation des risques liés à l'entreprise.

3. Nouveaux développements et nouvelles technologies

Vous devez déterminer les risques liés aux nouveaux développements et à l'adoption de nouvelles technologies dans votre entreprise. En d'autres termes, si votre entreprise a l'intention de mettre en place un nouveau service, une nouvelle activité, un nouveau site ou d'introduire une nouvelle technologie, vous devez l'évaluer afin d'analyser les risques potentiels de BA/FAT qu'elle peut entraîner pour votre entreprise, avant de la mettre en œuvre. Voir l'annexe 2 — Tableau 3 : Exemples d'indicateurs de risque élevé et de points à considérer pour les nouveaux développements et les nouvelles technologies dans votre évaluation des risques liés à l'entreprise.

4. Entités étrangères et nationales du même groupe

Si vous êtes une entité financière, une société d'assurance-vie ou un courtier en valeurs mobilières, vous devez déterminer les risques liés aux entités étrangères et nationales faisant partie du même groupe que vous, si elles qui exercent des activités similaires à celles d'une entité financière, d'une société d'assurance-vie ou d'un courtier en valeurs mobilières. Les entités sont du même groupe, lorsque l'une d'elles est entièrement propriétaire de l'autre, lorsqu'elles sont entièrement la propriété de la même entité ou lorsque leurs états financiers sont consolidés. Voir l'annexe 2 — Tableau 4 : Exemples d'indicateurs de risque élevé et de points à considérer pour les entités nationales et étrangères de même groupe dans votre évaluation des risques liés à l'entreprise.

5. Tout autre facteur pertinent (s'il y a lieu) :

Vous devez déterminer les autres facteurs qui peuvent s'avérer pertinents à votre entreprise et avoir une incidence sur les risques de BA/FAT, comme :

Voir l'annexe 2 — Tableau 5 : Exemples d'indicateurs de risque élevé et de points à considérer pour tout autre facteur pertinent dans votre évaluation des risques liés à l'entreprise.

Coter l'évaluation des risques liés à votre entreprise

Une fois que vous avez déterminé et documenté tous les risques inhérents à votre entreprise, vous pouvez attribuer un niveau ou une cote à chaque risque en utilisant une échelle ou une méthode de notation adaptée à la taille et au type de votre entreprise. Par exemple, les très petites entreprises effectuant des opérations simples et occasionnelles pourraient n'avoir qu'à distinguer que les catégories de risque faible et élevé. CANAFE s'attend à ce que les grandes entreprises établissent des échelles de risque ou des méthodes de notation plus sophistiquées, qui pourraient inclure des catégories de risque supplémentaires.

En vertu de la loi, vous devez appliquer et documenter des mesures spéciales pour les éléments à risque élevé de votre entrepriseNote de bas de page 13. Vous devez également être en mesure de démontrer à CANAFE que vous avez mis en place des contrôles et des mesures pour traiter ces éléments à risque élevé (par exemple, dans vos politiques et procédures ou votre programme de formation), et qu'ils sont efficaces (cela pourrait être fait par le biais de votre examen interne ou indépendant). Voir l'annexe 3 — Tableau 6 : Exemples de ségrégation des risques pour une évaluation des risques liés à l'entreprise.

De plus, vous pouvez utiliser un outil similaire à la matrice de probabilité et d'incidence fournie à l'annexe 4, dans le cadre de l'évaluation des risques liés à votre entreprise.

Feuille de travail d'évaluation des risques liés à l'entreprise

L'utilisation d'une feuille de travail d'évaluation des risques liés à l'entreprise pourrait être un moyen facile de documenter les risques inhérents à votre entreprise. La feuille de travail ci-dessous est donnée à titre d'exemple. Vous pouvez également élaborer votre propre feuille de travail ou méthode pour documenter les risques inhérents à votre entreprise.

Diagramme 2 : feuille de travail d'évaluation des risques liés à l'entreprise
Colonne A :

Liste des facteurs

Déterminer tous les facteurs de risque qui s'appliquent à votre entreprise (notamment les produits, les services et les modes de prestation, la géographie, les nouveaux développements et nouvelles technologies, les entités étrangères et nationales de même groupe et d'autres facteurs pertinents).

Colonne B :

Cote de risque

Coter chaque facteur de risque (par exemple, faible, modéré ou élevé).

Colonne C :

Justification

Expliquer pourquoi vous avez attribué une cote de risque particulière à chaque facteur de risque.

  • Roulement élevé d'employés qui interagissent directement avec les clients au sein de votre entreprise.
Risque élevé Les nouveaux employés peuvent avoir moins de connaissances sur certains clients et moins d'expérience avec les indicateurs de BA/FAT.
  • Proximité des passages frontaliers
Risque élevé Votre entreprise peut être le premier point d'entrée dans le système financier local.

Évaluation des risques liés aux relations d'affaires

Une fois l'évaluation des risques liés à votre entreprise terminée, vous pouvez mettre l'accent sur le dernier élément de votre évaluation des risques, c'est-à-dire vos clients et les relations d'affaires que vous avez avec eux.

Lorsque vous établissez une relation d'affaires avec un client, vous devez consigner dans un document l'objet et la nature envisagée de la relation d'affaires.Note de bas de page 14 Il vous faut également revoir périodiquement ces renseignements. Cette mesure vous aidera à déterminer les risques de BA/FAT, et à comprendre les tendances opérationnelles et les activités transactionnelles de vos clients.Note de bas de page 15 Il est possible que votre entreprise traite avec des clients en dehors des relations d'affaires. Les interactions avec ces clients peuvent être sporadiques (par exemple, peu d'opérations au fil du temps qui sont en dessous du seuil de vérification de l'identité). Il n'y aura donc pas beaucoup d'informations disponibles pour évaluer ces clients. L'évaluation des risques de ces clients peut être axée sur les informations transactionnelles ou contextuelles dont vous disposez, plutôt que sur un dossier client détaillé.

Si vous n'avez pas de relations d'affaires, il n'est pas nécessaire que vous remplissiez une fiche de travail sur l'évaluation des risques liés aux relations d'affaires pour les clients à faible et moyen risque. Toutefois, si vous avez des clients présentant des risques élevés en dehors de vos relations d'affaires, vous devez les inclure dans une évaluation des risques liés aux relations d'affaires. Par exemple, les clients mentionnés dans une déclaration d'opérations douteuses (DOD) que vous avez soumise à CANAFE.

Pour effectuer une évaluation des risques liés aux relations d'affaires, vous devez déterminer les risques inhérents au BA/FAT pour vos clients. Vous pouvez évaluer les risques de BA/FAT pour des clients individuels ou pour des groupes de clients présentant des caractéristiques similaires. Votre évaluation globale des risques liés aux relations d'affaires comprend le risque posé par les éléments suivants :  

  1. la combinaison de produits, de services et de modes de prestation que les clients utilisent;
  2. l'emplacement géographique des clients et leurs opérations;
  3. les nouveaux développements et nouvelles technologies que vous mettez à la disposition des clients;
  4. les caractéristiques des clients, les tendances opérationnelles ou activités transactionnelles.
1. Produits, services et modes de prestation

Dans le cadre de l'évaluation des risques liés aux relations d'affaires, vous examinez les produits, services et modes de prestation que vos clients ou relations d'affaires utilisent et l'incidence de ceux-ci sur le risque global posé.

Risques associés aux produits :

Les produits présentent des risques inhérents élevés lorsque le client est anonyme ou que la provenance des fonds est inconnue.

Dans la mesure du possible, il est recommandé qu'un examen des produits soit réalisé avec les employés les utilisant afin d'assurer l'exhaustivité de l'évaluation des risques

Risques associés aux services :

Lorsque des autorités gouvernementales ou d'autres sources dignes de foi indiquent qu'un service présente potentiellement un risque élevé de BA/FAT, cela doit être pris en compte lors de l'évaluation des risques.

Parmi les services à risque élevé, on trouve, par exemple : les télévirements internationaux, les services de correspondant bancaire internationaux, les services bancaires internationaux privés, les services faisant appel au commerce et à la livraison de billets de banque et de métaux précieux, les comptes de montant initial pour les casinos, etc.

Risques associés aux modes de prestation :

Les modes de prestation doivent être considérées comme partie intégrante de votre évaluation des risques, compte tenu de l'incidence potentielle des nouveaux développements et nouvelles technologies.

Les modes de prestation permettant les opérations à distance comportent un risque inhérent élevé. De nombreux modes de prestation n'exigent pas de contact en personne entre vous et le client (par exemple, Internet, le téléphone ou les nouveaux produits comme les devises virtuelles, les applications de clavardage, la signature de documents en ligne, etc.) et sont accessibles 24 heures sur 24, sept jours par semaine, de presque partout dans le monde. Cet éloignement peut servir à masquer la véritable identité d'un client ou d'un bénéficiaire effectif et donc, présenter un risque élevé. Alors que certains modes de prestation peuvent devenir la norme (par exemple, l'utilisation d'Internet pour les opérations bancaires), ils doivent quand même être étudiés avec un ensemble d'autres facteurs afin de déterminer les risques que présente un élément ou un client précis ou un groupe de clients.

Certains produits, services et modes de prestation posent des risques inhérents élevés. Voir l'annexe 5 — Tableau 9 : Exemples d'indicateurs de risque élevé et de points à considérer pour les produits, services et modes de prestations dans votre évaluation des risques liés aux relations d'affaires.

2. Géographie

Durant l'évaluation des risques liés à votre entreprise, vous avez déterminé les éléments à risque élevé liés à l'emplacement géographique de votre entreprise. Durant l'évaluation des risques liés aux relations d'affaires, nous examinons les caractéristiques géographiques de vos clients ou relations d'affaires et l'incidence sur le risque global qu'elles présentent.

Votre entreprise fait face à des risques accrus de BA/FAT lorsque des fonds proviennent de régions à risque élevé ou sont destinés à celles-ci, ou lorsqu'un client entretient des liens commerciaux avec un pays à risque élevé. Ainsi, vous devez évaluer les risques liés à vos clients et à vos relations d'affaires, tels que le fait de résider dans un pays à risque élevé ou les opérations avec ces pays.  

Voir l'annexe 5 — Tableau 10 : Exemples d'indicateurs de risque élevé et de points à considérer pour les aspects géographiques dans votre évaluation des risques liés aux relations d'affaires.

3. Incidence des nouveaux développements et nouvelles technologies

Dans le cadre de l'évaluation des risques liés à l'entreprise, vous avez évalué les éléments à risque élevé potentiels liés à l'introduction de nouveaux développements et nouvelles technologies dans votre modèle d'entreprise, avant de les mettre en œuvre. Dans l'évaluation des risques liés aux relations d'affaires, vous examinerez les impacts potentiels que les nouveaux développements (mise en place d'un nouveau service/activité/emplacement) et les nouvelles technologies (introduction d'une nouvelle technologie) pourraient avoir sur vos clients, les entités de même groupe et toute personne avec laquelle vous avez une relation d'affaires.

Les nouveaux développements et nouvelles technologies peuvent accroître les risques, car elles peuvent fournir une autre couche d'anonymat. Par exemple, votre entreprise est confrontée à un risque accru de BA/FAT lorsque les fonds proviennent ou sont destinés à des pays à risque élevé, et lorsque la provenance des fonds ne peut être déterminée ou est inconnue, etc. 

Voir l'annexe 5 — Tableau 11 : Exemples d'indicateurs de risque élevé et de points à considérer pour les nouveaux développements et les nouvelles technologies dans votre évaluation des risques liés aux relations d'affaires.

4. Caractéristiques des clients et tendances opérationnelles ou d'activités transactionnelles

Au début d'une relation d'affaires avec un client, et périodiquement tout au long de cette relation, vous devriez examiner l'objet et la nature escomptée de cette relation d'affaires. Cela vous aidera à comprendre les tendances opérationnelles et les activités de votre client afin de déterminer le niveau de risque de BA/FAT qu'elles présentent. Ce processus doit être reflété dans vos politiques et vos procédures.

Certains modèles ou caractéristiques d'activités comportent des risques inhérents de BA/FAT plus élevés et doivent être pris en compte lors de l'évaluation des risques globaux associés à un client ou à une relation d'affaires. Afin de mieux évaluer le risque global que présente un client ou un groupe de clients, vous devriez également prendre en compte les facteurs de risque connus pouvant accroître les risques globaux de BA/FAT, notamment :

De la même manière, vous devriez aussi examiner les facteurs susceptibles de réduire les risques de BA/FAT, comme :

Certaines tendances opérationnelles ou caractéristiques d'activités comportent des risques inhérents de BA\FAT plus élevés. Par exemple : 

Coter l'évaluation des risques liés à vos relations d'affaires

Vous pouvez évaluer les risques de BA/FAT pour chaque client ou pour des groupes de clients. Ainsi, cette évaluation peut se composer de groupes de clients ayant des caractéristiques semblables. Par exemple, des clients de revenus ou de portefeuilles semblables ou effectuant des types d'opérations semblables peuvent être groupés. Cette approche s'avère particulièrement utile pour les institutions financières.

Il est important de ne pas oublier que la détermination d'un indicateur de risque élevé pour un client n'implique pas nécessairement que votre relation avec ce client présente un risque élevé (à l'exception des trois indicateurs soulignés dans le tableau 12. En dernier ressort, votre modèle d'évaluation des risques liés aux relations d'affaires regroupe les produits, les services et les modes de prestation que votre client utilise; les risques liés aux caractéristiques géographiques de votre client; et ses caractéristiques et tendances opérationnelles. Il ne tient qu'à vous de déterminer la meilleure façon d'évaluer les risques associés à chaque client ou groupe de clients.

Tous les clients (ou les groupes de clients) à risque élevé nécessitent la mise en œuvre de mesures spéciales prévues (voir l'étape 3). Ces mesures doivent être documentées dans vos politiques et procédures et s'appliquer à vos clients et relations d'affaires à risque élevé.Note de bas de page 16

Lors de l'évaluation des risques liés à vos relations d'affaires, vous pouvez utiliser une matrice de probabilité et d'incidence semblable à celle présentée à l'annexe 4.

Feuille de travail d'évaluation des risques liés aux relations d'affaires

L'utilisation d'une feuille de travail d'évaluation des risques liés aux relations d'affaires pourrait être un moyen facile de documenter les risques inhérents à vos clients et à vos relations d'affaires avec eux. La feuille de travail ci-dessous est donnée à titre d'exemple. Vous pouvez également élaborer votre propre feuille de travail ou méthode pour documenter les risques inhérents à vos clients.

Diagramme 3 : feuille de travail d'évaluation des risques liés aux relations d'affaires
Colonne A :

Relations d'affaires et/ou clients à risque élevé

Identifier toutes vos relations d'affaires et/ou vos clients à risque élevé (individuellement ou en groupe).

Colonne B :

Cote de risque

Évaluer chaque relation d'affaires et/ou client (ou groupe de clients) (par exemple, risque faible, modéré ou élevé).

Colonne C :

Justification

Expliquer pourquoi vous avez attribué cette note particulière à chaque relation d'affaires et/ou client (ou groupe de clients)

  • Groupe A / Client A
Faible risque Groupe ou client connu effectuant des opérations standard en fonction de son profil.
  • Groupe B / Client B
Risque élevé Effectue plusieurs opérations importantes en espèces qui semblent être au-dessus de ses moyens.

Cycle d'une AAR — Étape 2 : Établir votre tolérance au risque

La tolérance au risque est une composante importante d'une gestion des risques efficace. Il est primordial de prendre en compte votre tolérance au risque avant de procéder à l'examen des moyens permettant d'aborder les risques. Lors de la considération des menaces, le concept de tolérance au risque vous aidera à déterminer le niveau d'exposition que vous jugez acceptable.

Pour ce faire, vous pouvez prendre en compte les catégories de risque suivantes pouvant avoir une incidence sur votre organisation :

La Loi et les règlements connexes stipulent que les entités déclarantes sont assujetties à des obligations dans les cas où des activités commerciales et des relations d'affaires à haut risque sont déterminées. Le fait d'avoir une tolérance aux risques élevés n'autorise pas les entités déclarantes à se soustraire à ces obligations. 

Voici certaines questions à prendre en considération pour établir votre tolérance au risque :

Les réponses doivent vous aider à déterminer votre tolérance au risque global (indépendamment de vos obligations réglementaires).

Cycle d'une AAR — Étape 3 : Créer des mesures d'atténuation des risques et des contrôles clés

L'atténuation des risques concerne la mise en œuvre de contrôles visant à limiter les risques de BA/FAT que vous avez relevés dans le cadre de votre évaluation des risques. Cela signifie :

  1. Dans tous les cas, votre entreprise devrait envisager des contrôles internes permettant l'atténuation de votre risque global.
  2. En ce qui concerne votre évaluation des risques liés à l'entreprise, tous les éléments à haut risque que vous avez relevés dans le cadre de votre évaluation doivent être atténués par des contrôles ou des mesures et être documentés.Note de bas de page 17
  3. En ce qui concerne vos clients et vos relations d'affaires, vous devez :Note de bas de page 18
    1. assurer un contrôle continu de toutes vos relations d'affaires;
    2. tenir un dossier relatif aux mesures et aux renseignements obtenus.
  4. En ce qui touche vos clients et relations d'affaires à haut risque, vous devez adopter les mesures spéciales prévues suivantes :Note de bas de page 19
    1. assurer un contrôle accru de ces clients et relations d'affaires;
    2. prendre des mesures renforcées pour vérifier l'identité des clients et/ou tenir à jour les renseignements sur les clients.

L'atténuation des risques permet également à votre entreprise de respecter le degré de tolérance au risque que vous avez défini. Il importe de noter que le fait d'avoir une tolérance au risque élevée et de consentir à composer avec des situations et/ou des clients à haut risque doit entraîner la mise en place de mesures d'atténuation et de contrôles renforcés.

Pour des informations détaillées sur les mesures d'atténuation des risques, veuillez consulter la directive sur les exigences relatives au programme de conformité de CANAFE.

Cycle d'une AAR — Étape 4 : Évaluer de vos risques résiduels

Les risques résiduels doivent correspondre à votre tolérance au risque. Quelle que soit la solidité de votre programme d'atténuation des risques et de gestion des risques, il importe d'observer que votre entreprise sera toujours exposée dans une certaine mesure à des risques de BA/FAT résiduels qu'il vous faudra gérer. Si votre niveau de risques résiduels est supérieur à votre tolérance au risque; ou que vos mesures et contrôles n'atténuent pas suffisamment les situations à risque élevé ou les risques élevés associés à certains clients, vous devez revenir à l'étape 3 et revoir les mesures d'atténuation mises en place.

Si votre entreprise est prête à faire face à une situation/un client à risque élevé, CANAFE s'attend à ce que les mesures d'atténuation ou les contrôles en place (voir l'étape 3) tiennent compte de cette décision et que les risques résiduels soient raisonnables et acceptables.

Types de risque résiduel :

Voici un exemple d'entreprise qui atténue davantage les risques, car au fil du temps, ses risques et ses clients ont évolué :

L'entreprise A offre des services de télévirement à ses clients. Un système de déclaration est en place pour saisir les opérations de 10 000 $ ou plus, et des politiques et procédures ont été élaborées pour vérifier correctement l'identité des clients lorsqu'ils transmettent ou reçoivent des sommes de 1000 $ ou plus. Un système de déclaration est également en place pour cibler les opérations potentiellement liées à une infraction de BA/FAT (afin de déclarer ces opérations douteuses).

Puisque l'entreprise A juge que les télévirements sont un service à risque élevé, elle a ajouté des mesures d'atténuation afin de contrôler les risques en lien avec ce service. On rappelle régulièrement aux employés (par l'entremise d'un programme de formation) les risques associés aux télévirements et on les avise des mises à jour/changements dans les pays à risque élevé, tel que recommandé dans divers avis publiés par le gouvernement. Ces mesures ont été mises en place il y a quelques années et sont bien comprises et respectées par les employés.

Dans cet exemple, les mesures d'atténuation mises en place à l'époque tenaient compte de la tolérance au risque de l'entreprise A en ce qui a trait aux télévirements. Le risque résiduel était donc acceptable pour l'entreprise A.

Toutefois, alors que les risques et la clientèle ont évolué au fil du temps, l'entreprise A croit maintenant que ses mesures d'atténuation ne sont plus suffisantes pour respecter son niveau de tolérance. En fait, la tolérance au risque de l'entreprise A est maintenant plus faible qu'avant (c.-à-d. elle est moins encline à accepter des éléments à risque élevé). Cela signifie que le risque résiduel des mesures d'atténuation précédentes dépasse maintenant le niveau de tolérance face au risque.

L'entreprise A ajoutera de nouvelles mesures d'atténuation pour harmoniser de nouveau le risque résiduel selon le nouveau niveau de tolérance. Des exemples de ces mesures comprennent :

Cycle d'une AAR — Étape 5 : Mettre en œuvre votre AAR

Vous mettrez en œuvre votre approche axée sur les risques dans le cadre de vos activités quotidiennes.

Votre évaluation des risques doit être documentée comme faisant partie de votre programme de conformité. Note de bas de page 20 Un programme de conformité détaillé et bien documenté démontre votre engagement à prévenir, détecter et prendre en compte tous les risques de BA/FAT de votre organisation.

La gestion des risques et les mesures d'atténuation des risques requièrent le leadership et l'engagement de la haute direction (le cas échéant). Enfin, les décisions en matière de politiques, de procédures et de processus permettant d'atténuer et de contrôler les risques de BA/FAT auxquels est exposée l'entreprise relèvent de la haute direction ou du propriétaire de l'entreprise.

Pour plus d'informations, veuillez consulter la directive de CANAFE sur les exigences relatives au programme de conformité.

Cycle d'une AAR — Étape 6 : Examiner votre AAR

Votre évaluation des risques doit aussi comporter un examen périodique (au minimum, tous les deux ans) afin de vérifier l'efficacité de votre programme de conformité, lequel comprend :Note de bas de page 21

Par conséquent, si votre modèle d'entreprise change et que de nouveaux produits et services sont offerts, votre évaluation des risques devrait être mise à jour, de même que vos politiques et procédures, mesures d'atténuation et contrôles.

Lors de l'examen de l'efficacité de votre évaluation des risques de BA/FAT, vous devez prendre en compte toutes les composantes, y compris vos politiques et vos procédures sur l'évaluation des risques, les mesures d'atténuation des risques et les mesures spéciales, lesquelles incluent vos procédures de contrôle continu renforcé. Cela vous aidera à déterminer s'il est nécessaire de modifier vos politiques et vos procédures actuelles ou d'en instaurer de nouvelles. C'est pourquoi le respect de cette étape et son application est crucial pour la mise en œuvre d'une AAR efficace.

Pour plus d'informations, veuillez consulter la directive de CANAFE sur les exigences relatives au programme de conformité.

Annexe 1 — Attentes de CANAFE relativement à l'AAR

Attentes globales

Il n'y a pas de méthode d'évaluation des risques standard. Le présent document devrait vous être utile pour réaliser l'évaluation de vos risques lors de la création d'une nouvelle AAR ou de la validation d'une AAR existante. Toutefois, les entités ne doivent pas se limiter à l'information comprise dans le présent document pour élaborer leur approche.

Les attentes ci-dessous sont à un niveau élevé. Les attentes de CANAFE en matière d'évaluation des risques pour chaque étape du cycle d'AAR sont décrites plus en détail dans la présente annexe.

Attentes relatives à l'étape 1 — Identification de vos risques inhérents

CANAFE s'attend à ce que :

Attentes pour l'étape 2 — Établir votre tolérance au risque

CANAFE s'attend à ce que :

Établir votre tolérance au risque comporte d'obtenir l'approbation de votre haute direction (selon votre structure d'entreprise).

Attentes pour l'étape 3 — Créer des mesures d'atténuation des risques et des contrôles clés

CANAFE s'attend à ce que :

Appliquez ces contrôles et ces procédures de manière cohérente, puisque CANAFE peut les évaluer par un échantillonnage des opérations.

Attentes pour l'étape 4 — Évaluer vos risques résiduels

CANAFE s'attend à ce que :

Attentes pour l'étape 5 — Mettre en œuvre votre AAR

CANAFE s'attend à ce que :

Attentes pour l'étape 6 — Examiner votre AAR

CANAFE s'attend à ce que :

Annexe 2 — Exemples d'indicateurs de risque élevé et de points à considérer pour votre évaluation des risques liés à l'entreprise

Tableau 1 : Exemples d'indicateurs de risque élevé et de points à considérer pour les produits, services et modes de prestations dans votre évaluation des risques liés à l'entreprise
Exemples d'indicateurs de risque élevé Points à considérer

Produits et services à risque élevé, comme :

  • les télévirements;
  • l'argent électronique (par exemple, des cartes à valeur stockée ou de paye);
  • les lettres de crédit;
  • les traites bancaires;
  • les comptes de montant initial;
  • les produits offerts par l'entremise; d'intermédiaires ou de mandataires;
  • le secteur bancaire privé;
  • les applications mobiles.

Les produits et les services légitimes peuvent servir à masquer l'origine illicite des fonds, à déplacer des fonds afin de financer des activités terroristes ou à dissimuler la véritable identité des propriétaires ou des bénéficiaires effectifs de produits et services.

Vous devez évaluer les produits et services selon le marché auquel ils se destinent (p. ex. personnes morales, particuliers, gens d'affaires, commerces de gros ou de détail, etc.) puisque cet élément peut avoir une incidence sur les risques.

Vous devez aussi vous demander si les produits et services permettent à vos clients de faire des affaires ou d'effectuer des opérations avec des secteurs d'activités à haut risque, ou s'ils peuvent être utilisés par vos clients au nom d'un tiers.

Les produits et services offerts qui sont basés sur les nouveaux développements et les nouvelles technologies, tels que les portefeuilles électroniques, les paiements mobiles ou les monnaies virtuelles, peuvent être considérés comme présentant un risque plus élevé, car ils permettent de transmettre des fonds rapidement et de manière anonyme.

Modes de prestation, comme les opérations où la personne n'est pas physiquement présente, notamment :

  • un réseau de mandataires;
  • le commerce en ligne.

Vous pouvez être exposé à des risques inhérents élevés relativement à vos modes de prestation si vous offrez le service d'opérations effectuées à distance, faites appel à des mandataires ou si les clients peuvent faire la demande de produits et initier une relation d'affaires en ligne. Cela est particulièrement vrai si vous avez recours à un mandataire (qui peut être assujetti ou non à la Loi) pour vérifier l'identité de vos clients.

Aux fins de la Loi, une entité déclarante est tenue responsable des activités de ses mandataires.

De plus, de nouveaux modes de prestation (p. ex. pour des produits ou des services comme la monnaie virtuelle) peuvent entraîner des risques inhérents plus élevés de blanchiment d'argent/de financement des activités terroristes compte tenu du caractère anonyme des opérations se réalisant à distance.

Tableau 2 : Exemples d'indicateurs de risque élevé et de points à considérer pour les aspects géographiques dans votre évaluation des risques liés à l'entreprise
Exemples d'indicateurs de risque élevé Points à considérer

Postes frontaliers :

  • aériens (c.-à-d. aéroports);
  • maritimes (c.-à-d. ports, marinas);
  • terrestres (c.-à-d. postes frontaliers terrestres);
  • ferroviaires (c.-à-d. transport de passagers et de marchandises).

Si votre entreprise se trouve près d'un poste frontalier, il se peut que vos risques inhérents soient plus élevés étant donné que votre entreprise peut constituer un premier point d'entrée dans le système financier canadien.

Cela ne signifie pas que vous devez évaluer toutes les activités et tous les clients comme présentant des risques élevés parce qu'ils se trouvent près d'un poste frontalier ou d'un aéroport important. CANAFE veut simplement souligner le fait que de telles entreprises peuvent vouloir porter une attention particulière au fait que leur emplacement géographique peut avoir des répercussions sur leurs activités. Par exemple, en offrant de la formation afin que les employés comprennent mieux l'étape du placement du blanchiment d'argent et son incidence.

Emplacement géographique et démographie :

  • grande ville;
  • région rurale;

L'emplacement géographique de votre entreprise peut avoir une incidence sur les risques globaux liés à votre entreprise. Par exemple, une région rurale où vous connaissez les clients peut présenter de moindres risques qu'une grande ville où l'arrivée de nouveaux clients et l'anonymat sont plus probables.

Toutefois, la présence du crime organisé dans une région rurale aurait clairement l'effet contraire.

Certains gouvernements provinciaux disposent de cartes interactives qui décrivent le crime par région, ce qui peut être utile pour votre évaluation. Par exemple, pour le Québec : http://geoegl.msp.gouv.qc.ca/dpop/. D'autres sites Web offrent de l'information pertinente sur le crime au Canada, ainsi que des statistiques et des tendances par province. Par exemple, les crimes selon le type d'infraction, par province et territoire : http://www.statcan.gc.ca/tables-tableaux/sum-som/l02/cst01/legal50b-fra.htm.

Votre entreprise se trouve dans un quartier reconnu pour son taux élevé de criminalité

L'évaluation globale de votre entreprise doit prendre en compte les quartiers où le taux de criminalité est élevé, car ils peuvent entraîner des risques de BA/FAT supplémentaires.

Tous les clients provenant d'un secteur plus criminalisé ne doivent pas être considérés comme présentant un risque élevé. Par contre, les entités déclarantes devraient être conscientes de leur environnement et de la façon dont il pourrait avoir une incidence sur leurs activités.

Vous pouvez trouver en ligne des statistiques sur le crime dans votre ville ou région, comme les bases de données des services de police municipaux ou d'autres. Les sites Web suivants donnent un aperçu de ce qui se trouve en ligne sur le crime dans des régions urbaines ou des quartiers :

Il est important de noter que ce genre de statistiques ne porte pas nécessairement sur des infractions de BA/FAT, mais donne plutôt un aperçu d'où les crimes ont lieu dans une ville.>

Événements et tendances Compte tenu de la population et des caractéristiques démographiques liées à votre entreprise, existe-t-il des évènements ou des tendances (soit nationaux ou internationaux) pouvant avoir une incidence sur votre entreprise? Par exemple, vous pouvez avoir à composer avec des clients qui ont un lien avec un pays présentant des risques élevés ou d'autres pays qui sont actuellement aux prises avec une situation particulière (p. ex. terrorisme, guerre, etc.). Toutes les activités et tous les clients ne doivent pas être classifiés comme présentant un risque élevé à cause d'un événement, d'un conflit ou d'un pays à risque élevé. Cependant, les entreprises doivent porter une attention particulière à ces activités ou opérations afin de déceler toute opération inhabituelle ou douteuse.

Liens avec des pays à risque élevé :

  • Loi sur les mesures économiques spéciales (LMES);
  • Liste du Groupe d'action financière (GAFI) des pays à haut risque et des administrations non coopératives;
  • Résolutions du Conseil de sécurité des Nations Unies;
  • Sanctions prévues par la Loi sur le blocage des biens de dirigeants étrangers corrompus (LBBDEC).

Les conventions et normes internationales peuvent avoir une incidence sur les mesures d'atténuation futures visant la détection et la dissuasion en matière de BA/FAT. Certains pays doivent être ciblés comme posant un risque élevé de BA/FAT étant donné, entre autres choses, le niveau de corruption existant, la prévalence de la criminalité dans leur région, la faiblesse de leur programme de contrôle du BA/FAT, ou parce qu'ils ont été identifiés par des autorités compétentes comme le GAFI ou CANAFE par l'entremise d'avis concernant ces pays. Cependant, si vous ou vos clients n'avez pas de liens avec ces pays, il est probable que ces risques soient faibles ou non existants.

Si vous transférez des fonds vers ou recevez des fonds d'un pays soumis à des sanctions économiques, des embargos ou d'autres mesures, vous devez considérer ce pays comme à haut risque. Par exemple, vous devez être conscient de ce qui suit :

Tableau 3 : Exemples d'indicateurs de risque élevé et de points à considérer pour les nouveaux développements et les nouvelles technologies dans votre évaluation des risques liés à l'entreprise
Exemples d'indicateur de risque élevé Points à considérer

L'utilisation de technologies, comme :

  • Méthodes de paiements :
    • les portefeuilles électroniques en monnaie fiduciaire (CAD, USD, etc.)
    • les portefeuilles électroniques en devises virtuelles
    • les cartes prépayées
    • les services de paiement par Internet
    • les paiements mobiles
    • les virements de fonds entre particuliers via des appareils mobiles et l'Internet
  • Méthodes de communication ou d'identification :
    • téléphone
    • courriel
    • applications de clavardage
    • l'échange d'informations électronique
    • la signature de documents sur un serveur en nuage tel que DocuSign

Vos risques inhérents globaux peuvent être plus élevés si votre entreprise adopte de nouvelles technologies ou opère dans un environnement soumis à de fréquents changements technologiques. Les nouvelles technologies peuvent inclure des systèmes ou des logiciels utilisés dans la stratégie d'atténuation du BA/FAT de votre entreprise, tels qu'un système de surveillance des opérations ou un outil d'intégration ou d'identification des clients.

La mise en œuvre de nouvelles technologies telles que les services de paiement mobile pourraient soumettre votre entreprise à un large éventail de vulnérabilités qui peuvent être exploitées pour le BA. Par exemple, l'utilisation de nouvelles technologies peut entraîner une diminution des interactions en personne avec les clients, ce qui permet un plus grand anonymat et peut accroître les risques de BA/FAT. Par conséquent, lorsque vous mettez en œuvre de nouvelles technologies dans votre entreprise, il est important que vous évaluiez les risques de BA/FAT connexes, et que vous documentiez et mettiez en œuvre des contrôles appropriés pour atténuer ces risques.

Méthodes de paiement

Les exemples de méthodes de paiements énoncées dans la colonne des indicateurs peuvent être utilisés pour transférer des fonds plus rapidement et de manières anonymes, ce qui augmente les risques de BA/FAT.

Si votre entreprise offre de tels produits, services et modes de prestations, vous devez déterminer les risques de BA/FAT qu'ils posent pour votre entreprise.

Méthodes de communication ou d'identification

Votre entreprise peut communiquer avec ses clients par des moyens autres que par téléphone et par courriel ou vos clients peuvent utiliser de nouveaux moyens pour communiquer avec vous ou s'identifier auprès de vous. Les moyens de communication sont en constante évolution et peuvent avoir une incidence sur l'ensemble de vos risques inhérents.

Nouveaux développements Prenez en considération les acquisitions, les changements apportés au modèle d'affaires, ou la restructuration de l'entreprise.
Tableau 4 : Exemples d'indicateurs de risque élevé et de points à considérer pour les entités nationales et étrangères de même groupe dans votre évaluation des risques liés à l'entreprise
Exemples d'indicateur de risque élevé Points à considérer

Modèle d'entreprise de l'entité étrangère de même groupe :

  • structure opérationnelle;
  • risque d'atteinte à la réputation.

Examinez le modèle d'entreprise, la taille, le nombre d'employés et les produits et services des entités de même groupe pour déterminer si elles représentent un risque pouvant affecter votre entreprise. Par exemple :

  • Si une entreprise compte des centaines de succursales et des milliers d'employés, elle présente des risques différents de ceux d'une entreprise ayant un seul site et deux employés.
  • Si les médias mentionnent négativement l'une de vos filiales, votre réputation pourrait également être affectée, étant donné le lien qui existe entre vous et cette entité de même groupe.
Tableau 5 : Exemples d'indicateurs de risque élevé et de points à considérer pour tout autre facteur pertinent dans votre évaluation des risques liés à l'entreprise
Exemples d'indicateur de risque élevé Points à considérer
  • Loi sur les mesures économiques spéciales (LMES);
  • Directives ministérielles;
  • Organismes de réglementation;
  • Évaluation nationale des risques.

Les restrictions telles que les sanctions économiques peuvent avoir une incidence sur votre entreprise :

  • en interdisant le commerce et autre activité économique avec un marché étranger;
  • en restreignant les opérations financières, comme les investissements ou les acquisitions étrangers;
  • en entraînant la saisie d'un bien au Canada.

Ces restrictions peuvent s'appliquer à un pays entier, à une région complète, à des acteurs non étatiques; comme des organisations terroristes, ou à des personnes désignées provenant d'un pays visé.

Dans le cadre de votre évaluation des risques, vous devez tenir compte des directives ministérielles .

L'organisme de réglementation de votre secteur peut aussi imposer des mesures supplémentaires (par exemple, des normes prudentielles, provinciales, etc.).

L'évaluation nationale des risques porte sur les risques liés au BA/FAT au Canada et vous permet d'obtenir des informations qui peuvent vous être utiles pour mettre en lumière les liens qui peuvent exister avec vos propres activités commerciales.

Tendances, typologies du BA/FAT et menaces potentielles de BA/FAT :

  • méthodes de BA/FAT utilisées dans des secteurs particuliers;
  • principaux acteurs en matière de BA/FAT, dont les groupes criminels organisés, les organisations terroristes, les facilitateurs, etc.;
  • corruption et autres crimes.

Parmi les tendances et les typologies pour votre secteur d'activités, on trouve des éléments particuliers de risque que votre entreprise doit prendre en considération.

Vous ne serez pas concernés par tous les éléments énumérés dans ces tendances et typologies, mais vous devriez être au courant des indicateurs de risque élevé pouvant avoir une incidence sur votre entreprise.

Modèle d'entreprise :

  • Structure opérationnelle;
  • tiers ou fournisseurs de service.

Il vous faut examiner votre modèle d'entreprise, la taille de votre entreprise, le nombre de succursales et d'employés afin de déterminer s'il existe des risques liés à cet élément. Par exemple :

  • Une entreprise comptant des centaines de succursales et des milliers d'employés est exposée à des risques différents qu'une entreprise comptant un seul emplacement et deux employés.
  • Une entreprise avec un fort roulement d'employés.

Ces exemples soulignent le fait que d'autres éléments du programme de conformité, comme la formation, sont étroitement liés à votre exercice d'AAR. Puisque la formation doit permettre aux employés de comprendre les exigences en lien avec la déclaration, la vérification de l'identité des clients et la tenue de documents, ainsi que les pénalités qu'entraîne le non-respect de ces exigences, le fait d'avoir plusieurs succursales ou un roulement de personnel élevé présentent un risque qui doit être traité dans votre programme de conformité.

Il est également important de ne pas oublier que même si l'utilisation d'un tiers ou d'un fournisseur de services peut être une bonne pratique d'affaires, il relève de votre entreprise de se conformer à vos obligations en vertu de la Loi et des règlements connexes. Vous devez vous assurer de bien comprendre la façon dont le tiers ou le fournisseur de services opère.

Annexe 3 — Exemples de ségrégation des risques pour une évaluation des risques liés à l'entreprise

Le tableau suivant énumère des facteurs de risque auxquels vous pouvez faire face dans le cadre de l'évaluation des risques liés à votre entreprise. Il fournit également une justification vous permettant de faire la distinction entre différentes cotes de risque.

Veuillez noter que :

  1. La Loi et les règlements connexes n'exigent pas l'utilisation de l'échelle « faible, modéré, élevé ». Vous pouvez décider de partager les risques entre les catégories « risque faible » et « risque élevé » seulement. Il faut définir une échelle de risque et, comme il est mentionné précédemment, celle-ci doit être adaptée à la taille et au type de votre entreprise.
  2. L'utilisation d'un tableau semblable à celui-ci ne constitue pas en soi une AAR puisque l'exigence formulée dans la réglementation n'est pas respectée. Le tableau suivant décrit un exemple d'évaluation des risques liés à l'entreprise et ne tient pas compte de vos clients ou relations d'affaires.

La présente liste fournit quelques facteurs de risque inhérent n'ayant pas encore fait l'objet de mesures d'atténuation. Conformément à la loi, des contrôles et des mesures d'atténuation sont requis pour tous les facteurs que vous avez ciblés comme étant à haut risque.

Tableau 6 : Exemples de ségrégation des risques pour une évaluation des risques liés à l'entreprise
Facteurs Faible Modéré Élevé
Produits et services — Opérations électroniques Pas de services offerts électroniquement/en ligne Vous offrez quelques services électroniquement/en ligne et un éventail restreint de produits et services Vous offrez un vaste éventail de services électroniquement/en ligne
Produits et services — Opérations en espèces Aucune ou peu d'opérations importantes Volume modéré d'opérations importantes Volume important d'opérations importantes ou structurées
Produits et services — Télévirements

Nombre limité de télévirements de faible valeur pour des clients et des non-clients

Opérations pour le compte de tiers limitées et aucun télévirement à l'étranger ou en provenance de l'étranger

Nombre régulier de télévirements de valeur moyenne

Peu de télévirements internationaux provenant de comptes personnels ou d'entreprise dans des pays à faible risque

Nombreux télévirements de valeur élevée, provenant de comptes d'entreprise ou personnels, à destination ou en provenance de pays à haut risque ou de territoires s respectant le secret financier
Produits et services (modèle d'entreprise) — Exposition internationale Peu de comptes internationaux ou très peu d'opérations associées à ces comptes Nombre de comptes internationaux pour lesquels les opérations ne sont pas expliquées Nombreux comptes internationaux pour lesquels les opérations ne sont pas expliquées
Géographie (emplacement) — Prévalence de la criminalité Tous vos emplacements se trouvent dans un quartier où le taux de criminalité est reconnu comme faible L'un ou quelques-uns de vos emplacements se trouvent dans des quartiers où le taux de criminalité est reconnu comme moyen L'un ou quelques-uns de vos emplacements se trouvent dans des quartiers où le taux de criminalité ou la présence d'organisation(s) criminelle(s) est reconnu comme élevé
Technologie

Aucune nouvelle technologie n'est utilisée pour mener les activités en termes de produits et services aux clients

Aucune nouvelle technologie n'est utilisée pour contacter les clients
Certains domaines de l'entreprise utilisent de nouvelles technologies pour contacter les clients, mais les produits, services et méthodes de paiements n'utilisent pas de nouvelles technologies De nouvelles technologies sont utilisées pour la majorité des produits, des services, des modes de prestations, des méthodes de paiements et des méthodes pour contacter les clients

Remarque : Certaines des descriptions dans ce tableau peuvent être interprétées comme étant vagues (p. ex. moyen, important). Toutefois, un tel tableau doit être personnalisé en fonction du contexte de votre entreprise. Par exemple, CANAFE précise que « Nombre important d'opérations avec des pays à haut risque » représente un risque élevé. On doit donc comparer le nombre d'opérations avec un pays à haut risque au nombre total d'opérations effectuées par l'entreprise. Si l'entreprise effectue 1000 opérations par mois, et que 600 sont avec des pays à haut risque, il est possible d'affirmer que ce nombre est « important ». Les qualificatifs dépendent du contexte particulier de votre entreprise.

Annexe 4 — Matrice de probabilité et d'incidence

Pour évaluer les risques liés à votre entreprise ou les risques liés à vos clients, vous pouvez utiliser la matrice de probabilité et d'incidence ci-dessous. Cette matrice peut vous aider à déterminer le degré d'efforts ou de contrôle requis pour gérer les risques inhérents. Vous pouvez élaborer votre propre matrice de probabilité et d'incidence afin de mieux tenir compte des réalités de votre entreprise.

On entend par probabilité les chances qu'un risque de BA/FAT soit présent. Quelle est la probabilité que les risques relevés soient réellement présents? La « probabilité » est en fait le niveau de risque que vous avez déterminé dans le cadre de votre évaluation des risques liés à votre entreprise ou de votre évaluation des risques liés à vos relations d'affaires (p. ex. un client auquel est associé un risque moyen). Vous pouvez utiliser une échelle semblable à celle-ci :

Tableau 7 : Cote et probabilité d'un risque de BA/FAT
Cote Probabilité d'un risque de BA/FAT
Élevée Probabilité élevée que le risque est présent
Modérée Probabilité raisonnable que le risque est présent
Faible Risque n'est probablement pas présent

On entend par incidence, le dommage entraîné par l'occurrence du risque de BA/FAT. Selon la situation de l'entreprise, l'incidence pourrait prendre la forme d'une perte financière, d'une incidence réglementaire ou juridique, d'un risque d'atteinte à la réputation, ou autre. Vous pouvez utiliser une échelle semblable à celle-ci pour déterminer l'incidence de risques de BA/FAT :

Tableau 8 : Cote et incidence d'un risque de BA/FAT
Cote Incidence d'un risque de BA/FAT
Élevée Le risque entraîne des conséquences graves
Modérée Le risque entraîne des conséquences modérées
Faible Le risque entraîne des conséquences mineures ou inexistantes

La matrice peut être utilisée pour décider des mesures à prendre compte tenu du risque global. Chaque case de la matrice décrit le niveau des ressources qui sont requises en matière :

Diagramme 4 : Matrice de probabilité et d'incidence

Matrice de probabilité et d'incidence
Voir l'équivalent textuel

Le diagramme suivant est appelé la matrice de probabilité et d'incidence. Il contient deux axes. L'axe vertical correspond à la probabilité d'occurrence du BA/FAT et l'axe horizontal, à l'incidence du BA/FAT. Chacun des axes contient trois niveaux de risque – faible, modéré et élevé. La matrice compte donc un total de 9 cases.

Pour ce qui est de l'axe correspondant à l'incidence, le côté gauche représente la catégorie « risque faible », les cases du milieu, la catégorie « risque modéré » et le côté droit, la catégorie « risque élevé ». Pour ce qui est de l'axe vertical, les cases du bas représentent la catégorie « risque faible », celles du milieu, la catégorie « risque modéré » et celles du haut, la catégorie « risque élevé ».

Les 9 cases de la matrice représentent diverses combinaisons de risque. En outre, chacune des cases contient un niveau de ressources nécessaires pour les mesures (c.-à-d. le besoin de se prémunir contre le risque), les efforts (c.-à-d. le niveau d'effort nécessaire pour atténuer le risque) et le contrôle (c.-à-d. le niveau de contrôle nécessaire). Le niveau de ressources est représenté par l'échelle suivante : 0 étant le niveau le plus faible et 3, le niveau le plus élevé.

  1. La case située au coin inférieur gauche (incidence faible et probabilité faible) représente le risque global le plus faible. Le niveau de mesure correspond à 0 et les niveaux d'effort et de contrôle correspondent à 1.
  2. La case située immédiatement à sa droite (incidence moyenne et probabilité faible) est aussi considérée comme un risque global plus faible. Le niveau de mesure correspond à 0 et les niveaux d'effort et de contrôle correspondent à 1.
  3. La case située dans le coin droit inférieur (incidence élevée et probabilité faible) représente un risque global faible / modéré. Les niveaux de mesure et d'effort correspondent à 1 et le niveau de contrôle correspond à 2.
  4. La case représentant une incidence faible et une probabilité moyenne est considérée comme faisant partie de la catégorie de risque global plus faible. Le niveau de mesure correspond à 0 et les niveaux d'effort et de contrôle correspondent à 1.
  5. La case située immédiatement à sa droite, soit au centre de la matrice (incidence moyenne et probabilité moyenne) est considérée comme présentant un risque global modéré. Les niveaux de mesure, d'effort et de contrôle correspondent à 2.
  6. La case représentant une incidence élevée et une probabilité moyenne est considérée comme présentant un risque global plus élevé. Les niveaux de mesure, d'effort et de contrôle correspondent à 3.
  7. La case du coin supérieur gauche (incidence faible et probabilité élevée) représente un risque global faible / modéré. Les niveaux de mesure et d'effort correspondent à 1 et le niveau de contrôle correspond à 2.
  8. La case située immédiatement à sa droite (incidence moyenne et probabilité élevée) est considérée comme présentant un risque global plus élevé. Les niveaux de mesure, d'effort et de contrôle correspondent à 3.
  9. La case du coin droit supérieur (incidence élevée et probabilité élevée) représente le risque global le plus élevé. Les niveaux de mesure, d'effort et de contrôle correspondent à 3.

Comment lire la matrice

Il se peut qu'un risque de la case no 6 n'exige pas de mesures, d'efforts, ni de contrôle étant donné que vous considérez la probabilité et l'incidence comme faibles.

Un risque de la case no 3 exigera que vous prévoyiez des ressources en matière de mesures, d'efforts et de contrôle. On suggère de surveiller tous les risques liés à l'entreprise et aux relations d'affaires apparaissant dans la case no 3 pour s'assurer que tous les risques relevés ne passent pas aux catégories rouges (cases no 1 et no 2).

À la case no 1, vous avez déterminé les risques présentant une forte probabilité d'incidence grave sur votre entreprise. Tous les éléments dans cette case (c.-à-d., les risques liés à l'entreprise, les relations d'affaires, etc.) exigent l'allocation du niveau le plus élevé de ressources en matière de mesures, d'efforts et de contrôle.

Exemples

Aux fins de l'exemple ci-dessous, vous devez considérer tous les facteurs de risque ou les clients comme présentant :

Exemple 1

Vous réalisez l'évaluation des clients A et B et vous déterminez que tous deux présentent la même probabilité de BA/FAT : soit modérée.

En examinant de plus près leurs comptes, vous vous apercevez que tous deux ont des télévirements inscrits au dossier (produit/service auquel est associé un risque élevé inhérent). Cependant, le client A n'a pas effectué de télévirement depuis des mois et vous savez également que ces télévirements étaient destinés à des membres de sa famille à l'étranger. En revanche, le client B effectue régulièrement des télévirements, mais vous n'avez pas beaucoup d'informations au sujet des bénéficiaires ou des raisons des télévirements.

C'est pourquoi, vous pouvez évaluer l'incidence potentielle des activités de BA/FAT du client B comme étant supérieure à celle du client A. Vous pouvez ensuite décider de laisser le client A dans la catégorie d'incidence modérée (placer le client dans la case no 3) tandis que le client B peut passer à la catégorie d'incidence élevée (placer ce client dans la case no 2). Vous devez documenter et justifier votre décision.

Dans cet exemple, il vous faut mettre en œuvre des mesures d'atténuation pour le client B, qui constitue maintenant un client à risque élevé.

Exemple 2

Une fois l'évaluation des clients A et B réalisée, vous déterminez que tous deux présentent la même probabilité de BA/FAT : soit élevée.

En examinant de plus près le volume des opérations que tous deux effectuent, vous vous apercevez que le client A effectue en moyenne une opération par semaine tandis que le client B effectue plusieurs opérations tous les jours. Dans cet exemple, l'incidence de quelques indicateurs de déclaration d'opérations douteuses et de la non-production de déclarations est supérieure avec le client B étant donné son volume d'opérations.

Vous pouvez ensuite décider de placer le client A dans une catégorie d'incidence faible (placer ce client dans la case no 4) tandis que le client B peut demeurer dans la catégorie d'incidence élevée (placer ce client dans la case no 1 ou no 2). Vous devez documenter et justifier votre décision.

Dans cet exemple, il vous faut mettre en œuvre des mesures d'atténuation pour le client B, qui représente maintenant un client à haut risque.

Exemple 3

Voici un scénario où l'entité applique la matrice de risques aux éléments de risque qui ont été relevés dans le cadre de l'évaluation des risques :

Diagramme 5 — Exemple d'une matrice de risque
Facteur de risque Probabilité Incidence Risque global Mesures d'atténuation
Les clients utilisent toujours le paiement en espèces comme méthode de paiement. Élevée Modérée Élevé (case no 2)
  • Renforcer le contrôle continu des opérations ou des relations d'affaires
  • Obtenir des renseignements supplémentaires, au-delà des exigences minimales, sur la nature prévue et l'objet de la relation d'affaires, y compris le type d'activités
Les clients ont fréquemment recours aux télévirements sans raison apparente Modérée Élevée Élevé (case no 2)
  • Instaurer des limites aux opérations pour les produits à risque élevé comme les télévirements dans les régions à risque élevé
  • Obtenir des renseignements supplémentaires, au-delà des exigences minimales, sur la nature prévue et l'objet de la relation d'affaires, y compris le type des activités
  • Mettre en œuvre un processus visant à mettre fin aux relations d'affaires existantes posant un risque élevé qui dépassent le niveau de tolérance au risque de l'entreprise

Annexe 5 — Exemples d'indicateurs de risque élevé et de points à considérer pour votre évaluation des risques liés aux relations d'affaires

Tableau 9 : Exemples d'indicateurs de risque élevé et de points à considérer pour les produits, services et modes de prestations dans votre évaluation des risques liés aux relations d'affaires
Exemples d'indicateurs de risque élevé Points à considérer

Vos clients utilisent des services de paiement électroniques comme :

  • les télévirements;
  • l'argent électronique.

Les télévirements peuvent être effectués dans un contexte d'opérations à distance. De plus, de gros montants d'argent peuvent être transférés à l'extérieur du Canada ou à destination du Canada, entraînant la dissimulation possible de l'origine des fonds.

L'argent électronique constitue un service à risque élevé, car il peut permettre aux parties de réaliser des opérations sans s'identifier.

Vos clients utilisent des produits comme des traites bancaires et des lettres de crédit

Les traites bancaires permettent le mouvement de gros montants d'argent payables au porteur en évitant l'encombrement de l'argent comptant. Ces produits se rapprochent de l'argent comptant, car le porteur de la traite est le propriétaire de l'argent. Par exemple, une personne obtient une traite bancaire de 100 000 $ (indiquant une institution bancaire comme agent payeur) et la transmet à une autre personne. Le processus peut efficacement brouiller la piste de l'argent.

Toutefois, si les traites bancaires sont à l'ordre de bénéficiaires précis uniquement et que les renseignements de la personne ayant demandé la traite bancaire sont inclus (nom, numéro de compte, etc.), le risque inhérent de ce produit est atténué.

Les lettres de crédit sont essentiellement une garantie de la banque que le vendeur recevra un paiement pour les biens qu'il vend. Même si elles sont garanties par une banque, les lettres de crédit présentent un risque inhérent plus élevé en ce qui a trait au BA/FAT, car elles peuvent être utilisées dans le cadre d'opérations commerciales afin de leur donner davantage une apparence de légitimité et de réduire le risque de détection. Les blanchisseurs d'argent qui ont recours à une opération commerciale (p. ex. vendeur/importateur) peuvent aussi faire appel à des stratagèmes de sous-évaluation ou de surévaluation, ce qui leur permet de déplacer leur argent en lui donnant une apparence de légitimité.

Le risque s'accroît également lorsque l'utilisation d'une lettre de crédit ne correspond pas à la structure habituelle des activités du client.

Vos clients utilisent quelques produits et services que vous offrez par l'entremise de modes de prestation à distance ou par l'utilisation d'intermédiaires, de mandataires ou de courtiers (clients ou entreprises qui vous sont référés pour des produits ou services particuliers).

Les opérations à distance rendent plus difficile la vérification de l'identité de vos clients.

De plus, le recours à des intermédiaires ou à des mandataires peut augmenter vos risques inhérents, étant donné que ceux-ci peuvent ne pas être assujettis aux lois et mesures en matière de lutte contre le blanchiment d'argent et le financement des activités terroristes et ne pas être adéquatement supervisés.

Il est important de noter qu'aux fins de la Loi, une entité déclarante est responsable des activités effectuées par tous ses mandataires. Les entités déclarantes doivent donc s'assurer que leurs mandataires respectent leurs obligations en matière de conformité de façon continue. De plus, les entités déclarantes doivent avoir des mesures de diligence raisonnable (p. ex. vérification des antécédents et surveillance continue) en place pour atténuer le risque d'être utilisées à des fins de BA/FAT par l'entremise de leur réseau de mandataires.

Tableau 10 : Exemples d'indicateurs de risque élevé et de points à considérer pour les aspects géographiques dans votre évaluation des risques liés aux relations d'affaires
Exemples d'indicateurs de risque élevé Points à considérer
La proximité de votre client d'une succursale ou de votre emplacement Un client qui mène des activités d'affaires ou effectue des opérations ailleurs qu'à sa succursale locale sans explication raisonnable doit attirer votre attention. Par exemple, l'un de vos clients effectue des dépôts le même jour à différentes succursales sur un vaste territoire géographique, contrairement à ce qui semblerait pratique.
Votre client est non-résident. La vérification de l'identité de ces clients peut s'avérer difficile, car ils peuvent ne pas être présents, et pour cette raison le niveau de risque inhérent devrait être plus élevé.
Votre client exerce des activités commerciales ou entretient des intérêts à l'étranger. Existe-t-il un motif légitime expliquant cela? Une personne peut exercer des activités à l'étranger pour ajouter un élément de complexité aux opérations, augmentant ainsi le risque global de BA/FAT.
Les liens de votre client avec des pays à haut risque. Les liens de votre client avec des pays à haut risque doivent être pris en compte étant donné que certains pays disposent de normes de lutte contre le BA/FAT inadéquates, d'une supervision réglementaire insuffisante, ou présentent tout simplement de plus grands risques relativement à la criminalité, à la corruption ou au FAT.

Tableau 11 : Exemples d'indicateurs de risque élevé et de points à considérer pour les nouveaux développements et les nouvelles technologies dans votre évaluation des risques liés aux relations d'affaires
Exemples d'indicateurs de risque élevé Points à considérer
Méthodes de paiement changeantes La variété de méthodes de paiements rendue possible par les avancées technologiques est un risque potentiel de BA/FAT. Plusieurs pays et entreprises ont adopté une approche de « monde sans argent comptant ». Par conséquent, les clients utilisent des méthodes de paiements alternatives telles que les portefeuilles électroniques. Il est important d'analyser les risques liés à ces méthodes de paiement (par exemple, l'anonymat, opérations sans frontières, rapidité des opérations, vulnérabilités en termes d'exigences de bien connaître son client) pour déterminer comment la technologie utilisée par nos clients peut accroître leur niveau de risque.
Un nouveau service ou une nouvelle activité qui assure l'anonymat des opérations Il est important d'évaluer l'incidence d'un nouveau service ou d'une nouvelle activité sur le comportement de vos clients, qui pourraient l'utiliser pour se distancier d'une opération.
Tableau 12 : Exemples d'indicateurs de risque élevé et de justification des caractéristiques des clients et des tendances opérationnelles dans votre évaluation des risques liés aux relations d'affaires
Exemples d'indicateurs de risque élevé Justification
Votre client a en sa possession ou à sa disposition des biens dont vous savez ou croyez qu'ils appartiennent ou sont à la disposition, directement ou non, d'un terroriste ou d'un groupe terroriste

Vous devez envoyer une déclaration de bien appartenant à un groupe terroriste (DBGT) à CANAFE si vous avez en votre possession ou à votre disposition des biens dont vous savez ou croyez qu'ils appartiennent ou sont à la disposition, directement ou non, d'un terroriste ou d'un groupe terroriste. Cela inclut les renseignements concernant des opérations réelles ou projetées, mettant en cause ces biens. Une fois la DBGT soumise, le client devient automatiquement un client à risque élevé.

Votre client est un étranger politiquement vulnérable (EPV). Un EPV est une personne qui est ou qui a été chargée d'une fonction importante. Étant donné la nature de son poste et l'influence qu'il pourrait exercer, un EPV, ou un membre de la famille ou une personne étroitement associée à un EPV est exposé au BA/FAT et à d'autres infractions, comme la corruption. À titre d'entreprise, vous devez considérer un EPV, les membres de sa famille et les personnes qui lui sont étroitement associées comme des clients à risque élevé.  
L'entité dispose d'une structure complexe dissimulant l'identité des bénéficiaires effectifs.

Quand il vous est impossible d'obtenir ou de confirmer les informations relatives à la propriété et au contrôle d'une personne morale ou d'une entité, vous êtes tenu de vérifier l'identité du plus haut dirigeant de l'entité et de traiter celle-ci comme une entité à risque élevé, et d'appliquer les mesures spéciales prescrites, comme indiqué dans le règlement sur le blanchiment d'argent et le financement du terrorisme.

Pour plus d'informations, veuillez consulter la directive de CANAFE sur les exigences relatives aux bénéficiaires effectifs.

Il est important de noter que lorsque vous disposez des informations sur les bénéficiaires effectifs, il peut y avoir d'autres informations ou indicateurs qui font que cette relation présente un risque plus élevé.

Tableau 13 : Autres exemples d'indicateurs de risque élevé et de points à considérer dans votre évaluation des risques liés aux relations d'affaires
Exemples d'indicateur de risque élevé Points à considérer
Une déclaration d'opération douteuse (DOD) a été soumise ou a été considérée.

Des opérations douteuses (ou des tentatives d'opération douteuse) sont des opérations financières pour lesquelles vous avez des motifs raisonnables de soupçonner qu'elles sont liées à la perpétration, réelle ou tentée, d'une infraction de BA/FAT. Pour plus d'information sur les DOD et les indicateurs de BA/FAT, veuillez consulter la directive de CANAFE sur les DOD.

Les clients qui effectuent des opérations douteuses signalées dans des DOD doivent être considérés comme présentant un risque plus élevé.

Opérations faisant intervenir des tiers. Les opérations faisant intervenir des tiers peuvent indiquer un risque élevé lorsque le lien entre le tiers et le client n'est pas évident.
Les activités des comptes ne correspondent pas au profil du client.

Les activités des comptes qui ne correspondant pas au profil du client peuvent indiquer un risque plus élevé de BA/FAT.

Votre entité peut faire face à des cas où elle a soumis plusieurs déclarations d'opérations importantes en espèces (DOIE) à CANAFE concernant un client dont la profession ne correspond pas à ce type d'opération (p. ex. étudiant, chômeur, etc.)

Les activités de votre client génèrent de l'argent comptant pour des opérations qui normalement ne sont pas réglées en espèces. Le fait qu'il n'existe pas de raison légitime expliquant que l'entreprise génère de l'argent comptant indique un risque élevé de BA/FAT.

L'entreprise de votre client comporte des opérations qui sont généralement réglées en espèces (p. ex. bars, boîtes de nuit, etc.).

Certains types d'entreprises, particulièrement celles générant de grandes quantités d'argent comptant, peuvent présenter un risque élevé de BA/FAT. Par exemple, des clients possédant un guichet automatique privé.

Votre client offre des sites de jeu en ligne.

Les données relatives à ce secteur, y compris des rapports de la Gendarmerie royale du Canada, indiquent qu'étant donné la nature des entreprises, le secteur des jeux est susceptible de donner lieu à des activités de BA. De plus, le GAFI a signalé que les systèmes de paiement par Internet constituent un risque émergent dans le secteur du jeu. Les systèmes de paiement par Internet sont utilisés pour réaliser des opérations associées au jeu en ligne, la conjonction de ces deux facteurs fait que le secteur du jeu en ligne comporte des risques inhérents élevés.

Des risques inhérents plus élevés peuvent exister si les activités de jeu en ligne ne sont pas gérées par une des sociétés des loteries et jeux de hasard provinciales.

La structure d'entreprise de votre client (ou même celle de ses opérations) semble anormalement ou inutilement complexe. Une structure inutilement complexe ou la complexité des opérations d'un client (comparativement à ce que vous voyez dans des circonstances semblables) peut signifier que le client tente de dissimuler des opérations et/ou des activités douteuses.

Votre client est une institution financière étrangère avec laquelle vous entretenez des relations de correspondance bancaire.
ou
Votre client est une banque correspondante qui a fait l'objet de sanctions.

Certains pays ont des normes de lutte contre le BA/FAT plus faibles ou inadéquates, une supervision réglementaire insuffisante ou présentent de hauts risques relativement à la criminalité, la corruption ou le FAT.

De plus, la nature des activités dans lesquelles votre banque correspondante cliente participe, de même que le type de marchés auxquels elle offre des services, peuvent présenter de grands risques.

Le fait que votre client a fait l'objet de sanctions devrait entraîner une hausse du niveau de risque et des mesures appropriées devraient être mises en place pour surveiller le compte.

Votre client est une entité déclarante en vertu de la Loi et n'est assujetti à aucune autre réglementation. Certaines entités déclarantes qui ne sont assujetties à aucune réglementation fédérale ou provinciale (autre que celle de la Loi) peuvent présenter de hauts risques de BA/FAT. De plus, certaines de ces entités exercent des activités générant beaucoup d'argent comptant, entraînant une hausse du risque de BA/FAT.
Votre client est un intermédiaire ou un contrôleur d'accès (p. ex. un avocat ou un comptable) détenant des comptes pour d'autres personnes qui vous sont inconnues Les comptables, les avocats et d'autres professionnels détiennent parfois des comptes de regroupement d'actifs pour lesquels l'identité des bénéficiaires effectifs peut être difficile à vérifier. Cela ne signifie pas que tous les clients qui exercent ces professions présentent des risques élevés. Vous devez comprendre que ces professions présentent des risques, mais c'est à de vous de déterminer si les activités et/ou caractéristiques du client correspondent à ce qui est prévu (par exemple un compte personnel, d'entreprise ou de fiducie).

Votre client est un organisme de bienfaisance non inscrit.

Les organismes de bienfaisance peuvent être employés par des personnes ou d'autres organisations pour favoriser des systèmes de BA ou pour financer/soutenir des activités terroristes. Il importe d'être conscient des risques liés aux organismes de bienfaisance, et d'être diligent en confirmant que l'organisme de bienfaisance est enregistré auprès de l'Agence du revenu du Canada.
National politiquement vulnérable (NPV) et dirigeant d'une organisation internationale (DOI)

La corruption peut être définie sommairement comme un abus du pouvoir public à des fins personnelles. Il est important de comprendre que le risque de corruption existe aussi bien au Canada qu'à l'étranger et que les personnes politiquement vulnérables (PEP) ou les DOI sont susceptibles de commettre des infractions de BA/FAT ou d'être utilisés à cette fin.

Une fois que vous avez déterminé qu'une personne est un NPV, un DOI, un membre de la famille d'un NPV ou d'un DOI ou une personne étroitement associée à un NPV ou à un DOI, vous devez réaliser une évaluation pour déterminer si la personne présente un risque élevé de commettre une infraction de BA/FAT. Si vous déterminez que la personne présente un risque élevé, vous devez prendre les mesures qui s'imposent pour ce type de client.

Pour de plus amples informations, veuillez vous reporter à la ligne directrice sur les personnes politiquement vulnérables et les dirigeants d'une organisation internationale de votre secteur (s'il y a lieu).

Date de modification :