Table des matières

1. Exigences Wwft applicables aux auditeurs 2. Procédures de diligence raisonnable selon le type de mission 3. Exemple pratique : évaluation des risques pour un portefeuille type 4. Liste de contrôle pour la conformité Wwft 5. Erreurs courantes identifiées par la DNB 6. Contenu connexe

Exigences Wwft applicables aux auditeurs

Commençons par ce qui ne marche pas. Un confrère parisien nous racontait récemment avoir reçu une lettre d'observation de l'AFM sur un dossier de filiale. Pas de remontée jusqu'au bénéficiaire effectif personne physique, juste l'identification de la holding luxembourgeoise. Le dossier était signé depuis dix-huit mois. Personne, dans l'équipe, n'avait ouvert l'article 3 de la Wwft.

L'article 1 classe les auditeurs et les commissaires aux comptes parmi les "instellingen" soumises à la loi. Cette désignation impose quatre obligations principales, chacune avec ses propres exigences de documentation. Pour un CAC français, c'est l'équivalent fonctionnel de la LCB-FT (transposée par la NEP-9605 côté CNCC), en plus contraignant sur la conservation et plus explicite sur la responsabilité personnelle de l'associé signataire.

Nous voyons régulièrement des associés français traiter cette différence comme une nuance documentaire. Elle ne l'est pas. Aux Pays-Bas, l'absence de remontée au BO ultime déclenche la sanction administrative ; en France, sous Tracfin, le même défaut peut générer une déclaration de soupçon défaillante.

Obligation de diligence raisonnable client

Voici l'erreur la plus fréquente. Le cabinet identifie le client direct (la SAS française qui détient la BV néerlandaise), considère le travail fait, et ferme le dossier KYC. L'article 3 Wwft exige bien plus : identification et vérification de l'identité de chaque client avant d'accepter une mission, et pour les personnes morales, identification des bénéficiaires effectifs détenant plus de 25 % du capital ou des droits de vote. Le seuil est le même qu'en France sous l'article R.561-1 du Code monétaire. La rigueur d'application ne l'est pas.

Cette obligation s'applique différemment selon le type de mission. Les audits légaux pour des entités néerlandaises cotées présentent un profil de risque maîtrisé : actionnariat lisible, registre KvK à jour, dépôts annuels publics. Les missions d'assurance volontaire sur des structures offshore ou des holdings à plusieurs étages exigent une diligence raisonnable renforcée au sens de l'article 9.

Ce qui se passe réellement : dans nos dossiers, l'écart vient rarement de la mission cotée. Il vient de la PME néerlandaise détenue par un trust anglo-saxon ou une fondation curaçaolaise, où l'associé signe l'acceptation parce que "le client est connu depuis dix ans." Connu de qui ? Du précédent associé partant à la retraite. C'est du tampon.

Notre opinion sur ce point : la transmission de portefeuille entre associés n'est pas une diligence Wwft, parce qu'elle ne s'appuie sur aucune pièce externe vérifiable. Le savoir tacite ne nourrit pas un dossier d'inspection.

Obligation de surveillance continue

L'article 8 impose un suivi continu de la relation d'affaires. En clair : actualiser l'évaluation des risques à chaque renouvellement de mandat et identifier les changements significatifs dans la structure de propriété ou l'activité du client.

Le mot "continu" ne signifie pas "à chaque clôture." Il signifie qu'un changement détecté en cours de mission, même informellement par un collaborateur sur le terrain, déclenche une réévaluation. Chez les cabinets de notre profil, c'est précisément ce point qui pèche : les collaborateurs remontent l'information à l'oral, l'associé l'absorbe, mais rien n'atterrit dans le fichier KYC.

Procédures de diligence raisonnable selon le type de mission

La Wwft reconnaît trois niveaux de diligence raisonnable : standard, simplifié, renforcé. Le niveau approprié dépend de l'évaluation des risques du client, pas du type de mission. C'est une nuance que la plupart des manuels français ratent. Un audit légal peut très bien réclamer une diligence renforcée si le client le justifie.

Diligence raisonnable standard

S'applique à la majorité des audits légaux pour des entités néerlandaises ou européennes. L'article 3 exige :

- Identification du client par un document officiel - Vérification de l'adresse du siège social - Identification des bénéficiaires effectifs jusqu'à la personne physique - Documentation de l'objet et de la nature de la relation d'affaires

La documentation peut être intégrée au dossier de mission existant. Aucun formulaire spécifique n'est requis tant que l'information est traçable et actualisée.

Ce qui se passe réellement : c'est précisément là que les cabinets se font reprendre. L'information existe, dispersée dans dix mails et trois sous-dossiers, mais ne se reconstruit pas en 48 heures lors d'une inspection. Si vous ne pouvez pas répondre en deux jours ouvrés, le dossier est trop léger, indépendamment du contenu réel.

Diligence raisonnable renforcée

L'article 9 l'impose pour les clients à risque élevé selon votre évaluation. Les indicateurs incluent :

- Entités établies dans des juridictions à haut risque - Structures de propriété complexes à plusieurs couches - Activités dans des secteurs à risque (espèces, métaux précieux, immobilier) - Clients politiquement exposés

Les mesures renforcées incluent l'obtention d'informations sur la source des fonds, l'approbation de l'associé responsable pour l'acceptation du client, et une surveillance accrue pendant la mission.

Ce qui se passe réellement : la "source des fonds" est l'item qui dérape le plus. Sur le papier, on demande au client une attestation. En pratique, le client renvoie un mail de deux lignes ("provient du résultat opérationnel") et personne ne corrobore avec les états financiers historiques. Pour moi, ce n'est pas suffisant. Si vous ne pouvez pas reconstituer la source des fonds à partir de pièces externes (états financiers consolidés des trois derniers exercices, relevés bancaires, contrats de cession), parce que la corroboration externe est précisément ce que l'AFM cherchera à reconstituer en inspection, le dossier est trop léger.

Documentation et conservation

L'article 33 exige la conservation de tous les documents de diligence raisonnable pendant cinq ans après la fin de la relation d'affaires. Cette période court à partir de la dernière mission réalisée, pas de la première. Une distinction qui paraît anodine, et qui décale en réalité la date de purge de plusieurs années pour un client à mandat long.

Je l'avoue : nous-mêmes avons sous-estimé ce point pendant des années, archivant les KYC à la date d'acceptation initiale. Une revue interne nous a obligés à reprendre quatre ans de dossiers.

Là où les associés expérimentés divergent

L'associé A, dans un grand cabinet d'Amsterdam (l'un des Bigs), applique systématiquement la diligence renforcée à toute structure dont l'un des bénéficiaires effectifs réside hors UE, parce que le coût de remédiation post-AFM dépasse de loin le coût marginal de la procédure renforcée.

L'associé B, dans un cabinet régional, considère que cette approche transforme la Wwft en usine à gaz et préfère une analyse au cas par cas, parce que l'application uniforme produit des dossiers cosmétiques qui ne tiennent pas mieux à l'inspection.

Les deux ont des arguments défendables. Notre lecture : l'approche A protège mieux le cabinet ; l'approche B protège mieux la qualité réelle de l'analyse, à condition que le jugement soit documenté. Dans les dossiers que nous voyons, l'approche B échoue rarement à cause du jugement initial. Elle échoue parce que le jugement n'est pas écrit.

Exemple pratique : évaluation des risques pour un portefeuille type

Contexte : Cabinet Martin & Associés SARL, 12 associés, portefeuille de 180 clients d'audit légal et missions d'assurance volontaire en région parisienne avec une dizaine de filiales néerlandaises.

Étape 1 — Segmentation du portefeuille par niveau de risque

Documentation : matrice Excel avec critères de risque pondérés

- Risque faible (65 % du portefeuille) : PME françaises, actionnaires identifiés, secteurs traditionnels - Risque standard (30 %) : Filiales de groupes européens, activités en espèces limitées - Risque élevé (5 %) : Entités avec bénéficiaires effectifs offshore, secteurs réglementés

Étape 2 — Attribution des procédures par segment

Documentation : procédures écrites par niveau de risque

Clients à risque faible : diligence raisonnable standard, actualisation tous les trois ans. Clients à risque élevé : diligence renforcée, révision annuelle obligatoire.

Étape 3 — Mise en place du monitoring

Documentation : calendrier de révision dans le système de gestion des dossiers

La complication qui rend l'exemple réaliste : sur les neuf clients classés "risque élevé," deux ont basculé en cours d'année après l'entrée d'un nouvel investisseur basé à Dubaï dans le capital d'une filiale néerlandaise. Le collaborateur sur le terrain a remonté l'information lors d'une revue intermédiaire ; l'associé a hésité à reclasser, parce que le mandat était en pleine campagne et le client jugé "historique." Reclassement effectué finalement sous deux semaines, avec rétro-documentation. C'est exactement ce type de situation qui distingue un dispositif Wwft vivant d'une grille faite au doigt mouillé.

Cette approche graduée concentre les ressources sur les clients à risque réel tout en respectant l'article 8 Wwft pour l'ensemble du portefeuille.

Liste de contrôle pour la conformité Wwft

1. Désignez un responsable conformité avec autorité pour refuser ou suspendre une mission selon l'article 26 Wwft 2. Établissez des procédures écrites couvrant l'évaluation des risques, la diligence raisonnable et la déclaration des opérations suspectes 3. Créez un système de documentation permettant de retrouver tous les documents de diligence raisonnable dans les 48 heures 4. Intégrez l'évaluation Wwft dans votre processus d'acceptation et de maintien des clients 5. Prévoyez la formation annuelle de toute l'équipe sur l'identification des signaux d'alerte 6. Établissez une procédure claire pour l'escalade vers la FIU-Nederland en cas de soupçon de blanchiment (équivalent néerlandais de Tracfin pour les CAC français)

Erreurs courantes identifiées par la DNB

Documentation insuffisante des bénéficiaires effectifs. L'AFM observe fréquemment des dossiers où l'identification s'arrête aux actionnaires directs sans remonter aux personnes physiques ultimes. C'est honteux, vraiment, qu'un cabinet certifie des comptes sans savoir au profit de qui le résultat est consolidé. Ce n'est pas une erreur technique. C'est un défaut de curiosité professionnelle.

Évaluation des risques générique. Beaucoup de cabinets appliquent la même grille d'évaluation sans tenir compte des spécificités sectorielles de leurs clients. Une grille faite au doigt mouillé ne survit pas à la première inspection.

Absence de mise à jour. Les informations de diligence raisonnable datent souvent de l'acceptation initiale du client, sans actualisation lors des renouvellements de mandat. Cinq ans plus tard, le fichier KYC décrit un actionnariat qui n'existe plus depuis trois cessions.

Pourquoi ces écarts persistent-ils malgré dix ans d'inspections publiées ? Parce que la pression économique sur les honoraires d'acceptation pousse les associés à compresser le temps de KYC en début de mandat. La Wwft est facturée comme un coût fixe non refacturable au client. Tant que le modèle économique du cabinet traite le KYC comme une perte sèche plutôt qu'un investissement de protection, l'écart restera structurel. Aucune circulaire AFM ne résoudra cela. C'est le modèle de tarification qui doit changer en amont.

Contenu connexe

- Glossaire : Bénéficiaire effectif: Définition selon la 4e directive AML et critères d'identification - Outil : Matrice d'évaluation des risques clients: Grille de scoring adaptée aux cabinets d'audit - Article : Procédures KYC pour les missions ISAE 3402: Application spécifique aux missions d'assurance sur les contrôles

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.