Table des matières

1. Ce qui échoue : le filtrage « au doigt mouillé » à l'acceptation 2. Ce que les normes exigent réellement 3. Mise en situation : Leblanc Industries S.A.S. 4. Check-list opérationnelle 5. Erreurs courantes 6. Contenu connexe

Ce qui échoue : le filtrage « au doigt mouillé » à l'acceptation

Allez voir un dossier d'acceptation pris au hasard dans n'importe quel cabinet de taille moyenne. Vous trouverez, neuf fois sur dix, le même artefact : un PDF imprimé, un surligneur jaune passé sur le nom de l'entité, et la mention manuscrite « pas de match » dans la marge. Date de la vérification : un jour. Périmètre : l'entité auditée, et c'est tout. Pas la holding mère luxembourgeoise. Pas les trois dirigeants. Pas les contreparties export.

Ce filtrage est fait au doigt mouillé. C'est un signal pour la H2A, pas un dispositif. Et le pire, c'est que ces dossiers passent souvent les revues internes parce que la procédure formelle du cabinet exige juste « une vérification documentée à l'acceptation ». La procédure est respectée à la lettre. Le risque ne l'est pas.

Je trouve cela honteux, et je le dis. Quand un confrère me dit qu'il « fait du LCB-FT » avec un PDF surligné, je sais que le dossier est trop léger. Pas parce qu'il manque une signature. Parce que la pensée derrière manque.

La contradiction structurelle

Le budget-temps d'acceptation client dans un cabinet mid-tier français tourne autour de 2 à 4 heures pour un mandat standard. Le filtrage sanctions sérieux d'un groupe avec une chaîne d'actionnariat à trois étages, deux filiales étrangères et quinze contreparties significatives ne tient pas dans ce budget. Quelque chose doit céder. Ce qui cède, c'est la profondeur du périmètre.

Les collaborateurs en charge de l'acceptation le savent. L'associé signataire le sait. Personne ne le dit pendant la réunion d'acceptation, parce que personne ne veut être celui qui réclame une journée supplémentaire pour vérifier la holding luxembourgeoise dont le BE est domicilié à Chypre. Et c'est exactement là que la H2A trouve les insuffisances dix-huit mois plus tard.

Ce que les normes exigent réellement

ISA 220.19 impose à l'associé responsable de la mission de s'assurer que l'équipe respecte les exigences d'indépendance et d'éthique pertinentes, ce qui inclut les sanctions économiques. ISA 220.21 exige une évaluation de l'intégrité de la direction et des propriétaires lors de l'acceptation. ISA 220.22 exige une réévaluation périodique pour les missions récurrentes. ISA 220.24 exige la documentation tracée. ISA 315.13 exige la mise à jour de la compréhension de l'entité en cas de changement significatif.

Ce sont les paragraphes. Maintenant, ce que ça signifie en pratique.

> H2A, synthèse des contrôles 2024 (formulation type) : « Le dispositif de filtrage des sanctions n'a pas été actualisé entre la date d'acceptation initiale et la date de signature de l'opinion, alors même que la structure actionnariale du groupe avait évolué en cours d'exercice. »

Ce que ça signifie en pratique : la H2A ne reproche pas l'absence de vérification initiale. Elle reproche l'absence de re-vérification déclenchée par un événement précis. Le calendrier annuel ne suffit pas si l'événement déclencheur (modification du capital, ajout d'une contrepartie significative, parution d'un règlement UE) tombe au milieu de l'exercice.

Les listes à filtrer

Quatre catégories de listes pèsent sur un mandat français : les sanctions UE (CFSP, mises à jour via le Journal officiel UE), les sanctions OFAC (la SDN List, plus le SSI et le CMIC), la liste consolidée de l'ONU, et les listes nationales (Trésor français, gels d'avoirs). Pour un client EIP avec exposition USD, l'OFAC SDN n'est pas optionnel. Pour un client export vers la Russie ou la Biélorussie, la liste UE bouge littéralement chaque mois depuis 2022.

Et c'est là le cataclysme post-2022 que la profession n'a pas digéré : avant l'invasion de l'Ukraine, la liste UE bougeait peut-être deux fois par an. Aujourd'hui, le 14e paquet de sanctions est entré en vigueur en juin 2024, le 15e est en discussion. Un cabinet qui filtre annuellement filtre, par construction, dix mois de retard sur la liste UE. Ce n'est pas conforme. Ce n'est même pas proche d'être conforme.

La fréquence : ce que dit la norme, ce que disent les confrères

ISA 220.22 ne donne pas de fréquence. La 4AMLD, transposée par l'ordonnance du 1er décembre 2016, parle de « vigilance constante ». La NEP 9605 parle de « contrôle continu ». Aucun texte ne dit « trimestriellement ».

C'est ici qu'un désaccord légitime existe entre confrères. Pour moi, un client export-lourd comme un industriel français avec 40 % de chiffre d'affaires hors UE justifie un filtrage mensuel de la liste UE et trimestriel sur SDN/ONU. Un confrère raisonnable peut tenir l'inverse : monitoring annuel pour le client lambda, déclenchement événementiel uniquement (ajout d'un BE, nouvelle filiale, nouvelle juridiction). La position B est défendable juridiquement. Elle est plus fragile en inspection. À chacun sa lecture du risque, mais il faut documenter le raisonnement, pas le calendrier.

Mise en situation : Leblanc Industries S.A.S.

Contexte : Leblanc Industries S.A.S., fabricant d'équipements industriels basé à Lyon, 38 M EUR de chiffre d'affaires, 180 salariés. Le cabinet Moreau & Associés évalue l'acceptation d'un mandat de CAC. L'entité exporte 40 % de sa production vers l'Asie et l'Europe de l'Est. Famille Leblanc 65 % via holding familiale, filiale tchèque (Leblanc Eastern Europe s.r.o.) à 100 %, trois fonctions clés : PDG, directeur financier, directeur export.

Étape 1 : Périmètre de filtrage

Cinq couches à vérifier : Leblanc Industries S.A.S., Leblanc Eastern Europe s.r.o., les trois dirigeants, la holding familiale Leblanc, et chaque BE de la holding (les enfants Leblanc et leurs conjoints, soit sept personnes physiques au total).

Documentation : tableau du périmètre avec pourcentages de détention, fonctions, juridictions de résidence fiscale.

Étape 2 : Filtrage UE (CFSP)

Recherche par nom exact, variantes orthographiques, SIREN, numéro de TVA intracommunautaire, identifiants tchèques (IČO). Aucune correspondance pour l'entité française et la filiale tchèque.

Documentation : captures horodatées, termes de recherche conservés, version de la liste UE référencée par numéro de Journal officiel.

Étape 3 : Filtrage OFAC SDN et ONU

Consultation SDN, SSI, CMIC, et liste consolidée ONU. Et là, première complication. Le directeur export, M. Petr Novak, ressort en near-match avec un Petr Novak figurant sur une liste secondaire ONU pour une affaire de financement du terrorisme datée de 2018. Date de naissance différente, lieu de naissance différent, mais le nom est commun en République tchèque.

Décision : escalader pour analyse manuelle. L'associé signataire et le responsable LCB-FT du cabinet examinent les pièces d'identité fournies par M. Novak (passeport tchèque, KBIS de la filiale, justificatif de domicile). Conclusion : ce n'est pas la même personne. Documentation détaillée du raisonnement de désambiguïsation, conservée au dossier permanent.

C'est exactement la situation où un dispositif au doigt mouillé échoue. Un collaborateur junior coche « pas de match » et passe à la suite. Un dispositif sérieux escalade, documente la désambiguïsation, et conserve la trace.

Étape 4 : BE indirects et la complication russe

En remontant la chaîne d'actionnariat de la holding familiale, l'équipe découvre qu'une cousine éloignée de la famille Leblanc, mariée à un ressortissant biélorusse, détient 8 % indirect via un véhicule luxembourgeois. Le mari biélorusse n'est pas sur la liste UE. Mais son frère, dirigeant d'une banque biélorusse, l'est depuis le 5e paquet de sanctions de mars 2022.

Le seuil UE de filtrage des BE est généralement compris à 25 %. Ici, on est à 8 %. La position « pas obligatoire » est tenable. La position pratique : si la H2A trouve cette cousine et le frère sanctionné en inspection, le cabinet aura une discussion difficile, même si techniquement le seuil n'est pas atteint.

Décision : escalader au comité d'acceptation du cabinet. Demander au client une déclaration formelle sur l'absence de relations économiques entre Leblanc Industries et la branche biélorusse. Conditionner l'acceptation à la communication de cette déclaration et à un monitoring mensuel renforcé sur la filiale tchèque.

Étape 5 : Évaluation des liens sectoriels

Leblanc Industries fabrique des équipements de forage. Vérification que ces équipements ne tombent pas sous les annexes de biens à double usage des règlements UE 2021/821 et 833/2014. Analyse de la liste clients export fournie par la direction.

Documentation : analyse sectorielle, confirmation écrite de la direction sur les utilisations finales, vérification croisée avec la liste DGDDI des opérateurs autorisés.

Étape 6 : Dispositif de monitoring

Filtrage UE mensuel automatisé sur l'entité, la filiale tchèque et la holding. Filtrage SDN/ONU trimestriel. Alerte événementielle sur : modification de l'actionnariat de la holding, nouvelle filiale, nouvelle juridiction d'export, parution d'un nouveau paquet de sanctions UE touchant la Russie/Biélorussie/Iran.

Conclusion : Leblanc Industries est acceptée, sous conditions. Le risque est qualifié de modéré (pas faible, à cause de la branche biélorusse découverte au step 4 et de l'exposition export). Monitoring renforcé. Réévaluation complète en cas de modification de l'actionnariat de la holding ou parution d'un nouveau paquet UE.

Check-list opérationnelle

1. Inventaire du périmètre : listez l'entité auditée, ses filiales (toutes, pas seulement les significatives), ses dirigeants, les BE directs et indirects au-delà de 10 % (pas 25 %, sauf si vous voulez expliquer cela à la H2A en cas d'inspection). Cette liste constitue votre périmètre selon ISA 220.21 et l'article 13 de la 5AMLD.

2. Filtrage multi-listes versionné : consultez UE (CFSP), OFAC SDN, ONU consolidée, gels d'avoirs Trésor français. Conservez le numéro de version de chaque liste (Journal officiel UE, date OFAC). Sans numéro de version, votre documentation ne tient pas en inspection.

3. Documentation de désambiguïsation : un near-match sur un nom commun n'est pas une non-conformité. Une absence de documentation du raisonnement de désambiguïsation en est une. Tracez le raisonnement, pas seulement la conclusion.

4. Monitoring déclenché par événement : programmez le filtrage périodique (mensuel UE pour les clients export-sensibles, trimestriel sinon), mais ajoutez les déclencheurs événementiels : modification d'actionnariat, nouveau BE, nouveau paquet de sanctions UE, ajout SDN d'une contrepartie significative.

5. Procédure de match positif : définissez les étapes en cas de correspondance confirmée. Suspension des prestations, déclaration TRACFIN si applicable, consultation juridique externe. Une correspondance confirmée n'est pas un constat anodin.

6. Réévaluation à chaque lettre de mission : l'ISA 220.22 ne dit pas seulement « périodique ». Elle dit que la réévaluation doit éclairer la décision de continuation. Sans filtrage actualisé avant la signature de la lettre annuelle, la décision n'est pas éclairée.

Erreurs courantes

Périmètre limité à l'entité principale : omettre les filiales, dirigeants et BE indirects expose le cabinet. Les sanctions visent fréquemment les structures de contrôle, pas les opérationnelles. Le cas du BE biélorusse à 8 % de Leblanc est typique.

Calendrier mécanique sans déclencheur événementiel : un filtrage trimestriel programmé qui ne se déclenche pas quand le 14e paquet UE est publié est un dispositif qui produit du papier, pas de la sécurité. La H2A ne se laisse pas avoir.

Documentation sans versioning : une capture d'écran SDN sans la date de la liste consultée et sans le terme de recherche utilisé n'est pas un élément probant. C'est un artefact.

Confiance excessive dans la déclaration du client : la liste des BE communiquée par la direction est un point de départ, pas une vérification. Croisez avec le RBE national, les actes uploadés au greffe, les comptes annuels publiés.

Contenu connexe

- Glossaire : Sanctions économiques : définitions et typologie des différents régimes de sanctions applicables aux cabinets d'audit - Outil : Matrice d'évaluation des risques clients : template pour évaluer et documenter les risques d'acceptation client, incluant les aspects sanctions - Article : ISA 220 et contrôle qualité des missions : guide complet des obligations de contrôle qualité, dont le filtrage sanctions fait partie intégrante

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.