L’évaluation des tiers répond à un processus précis et fourni en data.
Les obligations réglementaires d’évaluation des tiers
Le processus d’évaluation des tiers découle d’obligations réglementaires, transposées en droit national et précisées par les autorités de tutelle :
- les directive européennes LCB-FT évoquent des mesures de vigilance (au-delà de l’évaluation des tiers) à l’égard de la relation d’affaires : identification du tiers, vérification de son identité et évaluation,
- le droit national français, au travers de la Loi Sapin 2 précise que des procédures d’évaluation des tiers sont à mettre en place par les assujetties (entreprises de plus de 500 salariés et 100 millions d’euros de chiffre d’affaires) pour leurs clients, fournisseurs et intermédiaires,
- les autorités de tutelles (AFA, ACPR, AMF) précisent ces textes au travers de recommandations pour aider entreprises à les textes – l’AFA précise que l’évaluation consiste à apprécier le risque induit par la relation entretenue ou envisagée avec un tiers.
L’évaluation des tiers : un processus unique
L’évaluation des tiers est un processus commun à toutes les mesures réglementaires, mais qui doit être personnalisé par les entreprises en fonction de leur cartographie des risques.
Dans le cadre d’un référentiel anti-corruption ou LCB-FT, il est nécessaire de mettre en place ce dispositif d’évaluation de l’intégrité des tiers pour agir en prévention des risques. L’entreprise va alors mettre en œuvre des procédures d’évaluation adaptées au niveau de risque duquel elle veut se prémunir (due diligence), à partir de la cartographie des risques. Ces procédures concernent aussi bien les clients que les fournisseurs et les intermédiaires pour permettre de décider de l’entrée en relation ou de la poursuite ou non de la relation en cours, et permettent d’optimiser les mesures de prévention et de détection de la corruption et autres typologies de risques.
Ces évaluations sont à coupler avec mesures prudentielles ou mesures de prévention comme l’introduction dans les contrats des clauses spécifiques en fonction du secteur d’activité du tiers.
L’AFA précise dans ses recommandations que l’évaluation des tiers au regard de la lutte contre la corruption doit être distinguée des mesures de vigilance à l’égard de la clientèle.
Au cours de l’évaluation des tiers, il va falloir collecter des informations et documents sur le tiers pour l’identifier, actualiser et apprécier les risques ; ces vérifications doivent être effectuées avant l’entrée en relation et mises à jour tout au long de celle-ci. La quantité et la nature des informations collectées sont à déterminer en fonction des groupes de tiers dont le profil de risque est similaire au sein de la cartographie des risques. Les tiers pas ou peu risqués vont faire l’objet d’une évaluation simplifiée, tandis que les tiers plus risqués vont nécessiter une évaluation plus approfondie.
Au sein de chaque catégorie, chaque tiers sera évalué individuellement en fonction de ses particularités, permettant à l’entreprise d’apprécier chaque situation, ce que ne permet pas de faire la cartographie seule (un tiers peu risqué dans la cartographie peut être qualifié de tiers à risque après son évaluation des tiers, il ne faut donc pas se contenter d’évaluer uniquement les tiers risqués d’après la cartographie).
Identifier le tiers
Il s’agit de s’assurer de l’existence juridique de l’entité et de vérifier son identité et les documents relatifs à celle-ci.
L’AFA et les autorités de tutelle listent un certain nombre d’informations à recenser sur l’identité des tiers :
- identifiant, raison sociale,
- nature juridique,
- objet social, date de création,
- effectifs, chiffre d’affaires, capital,
- secteur(s) d’activité, domaines de compétences
- implantation(s) géographique(s).
Les documents officiels relatifs à ces informations doivent être des extraits de registres officiels datant de moins de 3 mois.
Collecter
Collecter pour enrichir le dossier KYC / KYS de connaissance du tiers.
L’AFA précise que la nature des informations et des documents utiles est déterminée sur le fondement de la cartographie des risques, sur son modèle économique et sur ses enjeux.
Voici les éléments essentiels à collecter :
Actionnaires
- noms, prénoms et date de naissance des principaux actionnaires,
- Bénéficiaires Effectifs : toute personne physique ou morale détenant directement ou indirectement plus de 25% du capital ou des droits de votes.
A ce titre, le registre des Bénéficiaires Effectifs est un élément d’aide important mais les organismes ne sauraient se reposer sur un extrait de registre à des fins de vérification d’identité, sauf en cas de risque faible.
Dirigeants
Représentant légal ou statutaire, ou personne disposant d’une délégation de pouvoirs : recueil de son nom, ses prénoms, sa date et son lieu de naissance.
La nature des informations et des documents utiles est déterminée par l’organisation, sur le fondement de sa cartographie des risques de corruption, de son modèle économique et de ses enjeux.
A cela peuvent s’ajouter des éléments d’analyse financière qui peuvent constituer des facteurs de risque supplémentaires pour enrichir le dossier de connaissance du tiers.
Analyser / évaluer
Plusieurs points entre en jeu dans ce processus :
- sensibilité du secteur d’activité du tiers (appuyé sur la cartographie des risques mais aussi l‘expérience, des analyses externes d’entreprises, des publications d’organisations non gouvernementales, etc),
- sensibilité du pays d’implantation de l’entreprise au risque de corruption, de blanchiment de capitaux ou de financement du terrorisme, les listes de sanctions internationales publiées par les ministères économiques peuvent permettre d’apprécier le risque pays,
- identifier les relations public / privé, qui peuvent représenter un risque en termes de corruption (relations du tiers avec des agents publics tels que les Personnes Politiquement Exposées),
- rechercher si le tiers (dirigeants, actionnaires et BE) a fait l’objet d’informations défavorables, de poursuites, de condamnations pour des faits délictueux.
Ces éléments complètent le dossier de connaissance du tiers et permettent de l’évaluer de manière complète. A l’issue de cette évaluation, on obtient un niveau de risque déterminé avec l’évaluation basée sur ces critères objectifs et quantifiables, et l’analyse d’un expert conformité qui va analyser le dossier de manière plus approfondie et émettre un jugement. Ce niveau de risque va être modulé en fonction des investigations, les tiers seront classés en niveaux de risques : faible, moyen ou élevé (score de compliance Altares), qui peuvent différer de la cartographie comme vu précédemment.
Archiver et surveiller
Le processus d’évaluation doit être reconduit de manière périodique en fonction du niveau de risque du tiers. Il est important de fixer dès l’entrée en relation une date de renouvellement de l’évaluation mais aussi lors des changements significatifs de la situation du tiers (changement de BE, fusion ou acquisition d’une nouvelle entité…). Une simple mise à jour des informations sur le tiers peut suffire, mais il faut suivre les indicateurs qui évoluent. L’intégralité du dossier d’évaluation et l’historique des modifications doivent être conservés tout au long de la relation et pendant 5 ans après la fin de la relation d’affaires.