Mécanismes de dissuasion et de détection du recyclage des produits de la criminalité et du financement des activités terroristes

Propriétés du document

• Type de publication : Ligne directrice
• Catégorie : Saines pratiques commerciales et financières
• Date : décembre 2008
• No : B-8
• Public : Banques / SBE / SFP / SAV

INTRODUCTION

La lutte contre le crime financier demeure une préoccupation constante de bien des pays dans le monde. La capacité de personnes et d'organisations criminelles d'avoir recours aux institutions financières pour recycler des fonds, ainsi que le risque d'atteinte à la réputation des institutions financières qui se répercute, en fin de compte, sur la sûreté et la solidité de ces dernières, préoccupent toujours autant les organismes de réglementation, notamment ceux du secteur financier. Depuis des années, de nombreux pays déploient de grands efforts en vue de la mise en place de mécanismes permanents de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes (LRPC-FAT). Ces efforts sont en grande partie attribuables à l'influence qu'exerce le Groupe d'action financière (GAFI), dont le Canada est un membre fondateur.

Le GAFI est l'organisme intergouvernemental qui dicte les normes en matière de LRPC-FAT, en surveille l'observation et évalue la pertinence des mesures prises pour s'y conformer. Ces normes, stipulées dans les quarante recommandations du GAFI en matière de LRPC et ses neuf recommandations relatives à la LFAT, instaurent un rigoureux régime de LRPC-FAT et permettent de mettre en place des mesures préventives axées sur les risques.

Le gouvernement du Canada, guidé par le ministère des Finances, a mis sur pied un comité consultatif mixte des secteurs privé et public chargé de recueillir en permanence des renseignements sur les mécanismes à mettre en place pour vérifier, de façon continue, le programme de LRPC-FAT du Canada. En 2007-2008, le gouvernement fédéral a également procédé à une importante refonte de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) et de son règlement d'application, le Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes (RRPCFAT), dans le but d'harmoniser le cadre législatif de la LRPC-FAT aux normes internationales.

Le BSIF a notamment pour mandat de surveiller la solidité du secteur financier et de promouvoir l'adoption de politiques et procédures visant à atténuer les risques. Le BSIF croit que les mécanismes de gestion des risques décrits dans la présente ligne directrice permettront de réduire davantage la vulnérabilité des IFF face aux personnes ou entreprises qui voudraient se servir d'elles pour recycler les produits de la criminalité, et de lutter contre le financement des activités terroristes, ce qui réduira le risque d'atteinte à leur réputation, un élément essentiel dans le secteur des services financiers.

Dans toute la mesure du possible, le BSIF a fait concorder la présente ligne directrice au régime des mesures préventives en matière de LRPC-FAT énoncées dans les recommandations du GAFI. Le BSIF estime que cela contribuera à mettre l'accent sur les objectifs principaux des mesures de dissuasion et de détection axées sur les risques.

Observation de la présente ligne directrice

Le Centre d'analyse des opérations et déclarations financières du Canada (CANAFE) veille à l'observation de la Partie 1 de la LRPCFAT et du RRPCFAT. Ces documents prévoient la mise en œuvre d'un programme de conformité doté d'une composante axée sur le risque, conçu pour assurer le contrôle efficace des risques d'exposition à des activités de RPC et de FAT.

La présente ligne directrice ne crée aucune nouvelle obligation réglementaire. Elle vise à aider les institutions financières fédérales à connaître et à respecter les exigences et les mesures applicables en matière de LRPC-FAT, prévues dans la LRPCFAT et le RRPCFAT. Elle a également pour but d'aider les institutions à satisfaire aux attentes du BSIF en matière de gouvernance et de contrôle.

L'efficacité du contrôle des risques d'exposition à des activités de RPC et de FAT, ainsi que des risques réglementaires, opérationnels et d'atteinte à la réputation connexes, est essentielle.

Afin d'exercer un contrôle efficace, les IFF personnaliseront leur programme de LRPC-FAT en fonction de la nature, de l'importance, de la complexité et du profil de risque de leurs activités. Les IFF doivent tenir compte de la présente ligne directrice lors de l'établissement de leur programme de LRPC-FAT. La méthode d'évaluation des programmes de LRPC-FAT qu'il a retenue permettra au BSIF d'obtenir l'assurance que les mesures de contrôle instaurées dans chaque institution sont efficaces et tiennent compte des éléments susmentionnés.

En vertu de la Loi sur le BSIF, le BSIF et le CANAFE sont autorisés à échanger des renseignements à propos de la conformité des IFF à la Partie 1 de la LRPCFAT. À cette fin, le 14 juin 2004, le BSIF et le CANAFE ont signé un protocole d'entente sur l'échange de renseignements. Les IFF doivent savoir qu'à compter de décembre 2008, le CANAFE sera en mesure d'imposer des sanctions monétaires administratives contre ses entités de déclaration, y compris les IFF, en cas de non-respect des dispositions de la LRPCFAT et du RRPCFAT.

Les IFF doivent prendre note que le CANAFE, en qualité d'organisme chargé de veiller au respect de la Partie 1 de la LRPCFAT, et du RRPCFAT, publie et met à jour ses propres lignes directrices sur la conformité à la LRPCFAT et au RRPCFAT. Le BSIF s'est efforcé de ne pas reproduire en substance les lignes directrices du CANAFE. Il faut donc lire la présente ligne directrice de concert avec les lignes directrices du CANAFE, s'il y a lieu. Quand nous faisons renvoi à des questions abordées dans les lignes directrices du CANAFE, nos renvois sont conformes à ceux utilisés par le CANAFE.

Exigences concernant l'aptitude des propriétaires importants, des administrateurs et des dirigeants des IFF

Les recommandations du GAFI comprennent des mesures visant à atténuer le risque que des criminels et d'autres personnes mal inspirées puissent devenir propriétaires d'institutions financières ou influer indûment sur celles-ci.

Le BSIF procède à un examen de toutes les personnes qui détiennent ou contrôlent, directement ou indirectement, des intérêts substantiels dans les IFF. Cet exercice se fait avant que ne soit approuvée une nouvelle IFF, et également quand les participations changent. En outre, le BSIF examine les antécédents des administrateurs et des dirigeants qui seront en place quand une IFF commencera ses activités. Cependant, le Bureau s'efforce de s'en remettre aux processus internes des IFF pour évaluer la pertinence et l'intégrité des administrateurs et des dirigeants qui sont nommés après la période initiale de démarrage de l'IFF.

Les attentes du BSIF à l'égard des processus internes des IFF servant à examiner les antécédents des administrateurs et des dirigeants une fois l'IFF autorisée sont énoncées dans la ligne directrice E-17 du BSIF intitulée Évaluation des antécédents des administrateurs et dirigeants d'une entité fédérale. Le BSIF applique, s'il le juge justifié, une approche axée sur les risques pour évaluer les processus d'évaluation des IFF. La méthode d'évaluation du BSIF à l'égard des mesures de LRPC-FAT tiendra compte de la conformité à la ligne directrice E-17 relativement aux aspects pertinents.

Directives sur la recherche des noms des personnes désignées et les sanctions

Aux termes de certaines dispositions de la LRPCFAT et du Code criminel, il incombe à la fois au CANAFE et au BSIF de traiter de questions liées au financement des activités terroristes.

Le mandat du CANAFE comprend la prévention, la détection et la répression du financement des activités terroristes, tandis que le BSIF s'est vu confier le rôle de réseau central de déclaration aux fins de l'ensemble des exigences prévues à cet égard par le paragraphe 83.11(2) du Code criminel.

En ce qui a trait aux obligations imposées aux IFF à l'égard de la déclaration des biens appartenant à des terroristes, le BSIF publie sur son site Internet (www.osfi-bsif.gc.ca) la liste des particuliers et des groupes terroristes et continuera de recevoir les déclarations mensuelles des IFF faisant état des résultats de leurs recherches continues des avoirs des terroristes, et du gel de ces avoirs, comme le stipule le règlement pris sous la Loi sur les Nations Unies ou le paragraphe 83.11(1) du Code criminel à l'égard des entités désignées. En outre, le CANAFE et certaines organisations internationales ont publié de l'information relative au financement des activités terroristes. Le CANAFE a également émis une ligne directrice sur la déclaration de biens appartenant aux groupes terroristes.

Au cours des dernières années, le Canada a instauré plusieurs nouvelles sanctions économiques et anti-prolifération (armes de destruction massive) contre un certain nombre de pays, d'entités et de personnes désignées. De plus, le GAFI a diffusé des consignes à propos de certaines de ces questions et de questions connexes. La gamme des obligations imposées aux IFF par les exigences de déclaration, les sanctions et les mesures procédurales mérite que les questions de la recherche des noms des personnes désignées, des listes, de la déclaration et des sanctions économiques et anti-prolifération fassent l'objet d'une ligne directrice distincte. Le BSIF prévoit que cette ligne directrice sera diffusée en 2009.^{Note de bas de page 1}

Gestion du respect de la législation

L'IFF doit intégrer à son régime de gestion du respect de la législation (GRL) les composantes de son programme de LRPC-FAT qui sont conçues pour garantir la conformité à la LRPCFAT et au RRPCFAT ou y faire renvoi. Bien que ce soit l'agent principal de la conformité qui est responsable du régime de GRL dans son ensemble (ligne directrice E-13, intitulée Gestion du respect de la législation), les composantes LRPC-FAT du cadre de travail de la GRL doivent relever du CLRPC.

Directives diffusées par le GAFI et les organismes de surveillance internationaux au sujet de la LRPC-FAT

Le GAFI, le Comité de Bâle sur le contrôle bancaire et l'Association internationale des contrôleurs d'assurance ont chacun publié des directives axées sur les risques relativement à la LRPC-FAT à l'intention du secteur financier. Les IFF devraient consulter les directives pertinentes émises par ces organismes pour obtenir plus d'information sur l'évaluation des risques et les mécanismes de contrôle efficaces.

L'APPROCHE FONDÉE SUR LE RISQUE DANS LE CADRE DE LA LRPCFAT ET DU RRPCFAT

Le principe de base qui sous-tend le Cadre de surveillance du BSIF est l'obligation imposée aux IFF d'élaborer et d'instaurer des mécanismes efficaces de contrôle de la gestion des risques pour gérer leur exposition au risque financier et, en fin de compte, assurer leur stabilité et solidité financières.

La présente ligne directrice vise à aider les IFF à élaborer et à instaurer des mécanismes efficaces de contrôle en matière de LRPC-FAT afin de contrôler les risques d'exposition à des activités de RPC et de FAT.

La LRPCFAT et le RRPCFAT prévoient divers résultats que les IFF doivent atteindre dans la détection et la répression du RPC et du FAT. Ces résultats sont énoncés comme des exigences réglementaires qui, dans l'ensemble, constituent le volet conformité à intégrer au programme de LRPC-FAT des IFF. Les exigences réglementaires comprennent notamment : l'identification des clients; la nomination du chef des services de lutte contre le recyclage des produits de la criminalité (CLRPC); la détection des clients étrangers politiquement vulnérable (EPV) et l'interdiction de traiter avec des banques fantômes. Certaines exigences se fondent avec des résultats plus globaux; d'autres constituent des résultats en soi.

Dans tous les cas, la manière d'atteindre ces résultats est prévue. En général, la LRPCFAT et le RRPCFAT prévoient trois façons d'atteindre le résultat escompté.

• 1. Au moyen d'une ou de plusieurs mesures normatives

En pareil cas, une ou plusieurs mesures sont prévues. Toutes les mesures prévues par règlement doivent être mises en application. Exemple : la détection d'un EPV – si le client est identifié comme un EPV, certaines mesures prévues par règlement doivent être prises.

• 2. Au moyen d'un choix de mesures normatives

En pareil cas, plusieurs mesures de rechange sont prévues. Ces mesures procurent aux IFF de la souplesse pour atteindre le résultat prévu. Outre la faculté de choisir les mesures à adopter, aucune autre option ou possibilité n'est offerte aux IFF. Exemples : types prévus par règlement de pièce d'identité acceptables pour les particuliers et ensemble de mesures de rechange prévues par règlement pour identifier le client détenteur de carte de crédit en son absence.

• 3. Au moyen de mesures raisonnables

En pareil cas, la LRPCFAT et le RRPCFAT accordent aux IFF plus de souplesse pour décider elles-mêmes comment atteindre les résultats prévus par règlement à condition que les mesures choisies soient « raisonnables ». Pour être considérées comme raisonnables, les mesures mises en place doivent atteindre le résultat prévu par règlement. Exemple : mesures raisonnables pour déterminer la provenance des fonds de certains clients présentant un risque élevé.

La présente ligne directrice indique les mesures que le BSIF juge raisonnables lorsqu'elles sont appliquées de façon efficace – c'est-à-dire lorsqu'elles atteignent les résultats prévus. Tirées d'une grande diversité de sources, comme le GAFI, ces mesures ne doivent pas être considérées comme une liste de contrôle.

Tel qu'indiqué ci-dessous, le BSIF s'attend à ce que les IFF mettent en place des programmes de LRPC-FAT comportant des mesures qui ne sont pas expressément prévues par la LRPCFAT et le RRPCFAT, mais qui sont conformes aux directives et au Cadre de surveillance émanant du BSIF.

PROGRAMME DE LRPC-FAT

Le programme de LRPC-FAT est le principal véhicule pour instaurer et maintenir un contrôle efficace des risques d'exposition à des activités de RPC et de FAT dans tous les secteurs pertinents de l'IFF.

Voici une description plus détaillée des attentes du BSIF et du contenu déterminé par règlement du programme de LRPC-FAT.

Principaux éléments du programme de LRPC-FAT

Les IFF doivent veiller à ce que leur programme de LRPC-FAT comprenne les éléments suivants, chacun d'eux étant précisé dans la présente ligne directrice. Les éléments requis par la LRPCFAT et par le RRPCFAT sont marqués d'un astérisque :

• Supervision par la haute direction, notamment *Déclaration à la haute direction^{Note de bas de page 2};
• *Personne compétente responsable de la mise en œuvre du programme. ^{Note de bas de page 3} Voir aussi « CLRPC ».
• *Évaluation des risques inhérents de RPC et de FAT ^{Note de bas de page 4}. Voir aussi « Évaluation des risques inhérents ».
• *Politiques et procédures de contrôle qui sont tenues à jour ^{Note de bas de page 5}. Voir aussi « Politiques et procédures de contrôle ».
• *Programme de formation continue, par écrit ^{Note de bas de page 6}. Voir ci-après, « Formation continue ». Auto-évaluation des mécanismes de contrôle. Voir ci-après, « Auto-évaluation des mécanismes de contrôle »;
• *Vérification de l'efficacité^{Note de bas de page 7}. Voir ci-après, « Vérification de l'efficacité ».

Portée

Le programme de LRPC-FAT doit instaurer une norme d'entreprise aux fins de l'évaluation des risques inhérents et des mesures de contrôle des risques à l'échelle de tous les secteurs d'activités pertinents de l'IFF.

La nature officielle et la complexité du programme de LRPC-FAT doivent être proportionnelles à la taille et à la complexité de l'IFF et de ses segments d'affaires. Comme principe général, la norme d'entreprise devrait s'harmoniser avec les exigences réglementaires canadiennes ^{Note de bas de page 8}. La LRPCFAT^{Note de bas de page 9} exige que des normes concordant avec ses articles 6, 6.1 et 9.6 soient appliquées à toutes ses succursales et filiales en propriété exclusive situées dans des pays non membres du GAFI, lorsque les lois de ces pays le permettent. Les IFF devraient veiller à ce que ces normes soient appliquées, à moins d'interdiction expresse.

Lorsqu'un pays interdit expressément l'adhésion aux exigences stipulées aux articles 9.7 ou 9.8 de la LRPCFAT, les IFF devraient en informer le BSIF afin d'aider ce dernier à analyser la situation de ce pays.

SUPERVISION EXERCÉE PAR LA HAUTE DIRECTION

La haute direction devrait avoir la charge et la responsabilité de ce qui suit : coordination quotidienne de la mise en place et de la gestion du programme de LRPC-FAT; vérification que le programme atténue adéquatement les risques d'exposition à des activités de RTC et de FAT, qu'il satisfait comme il se doit aux prescriptions de la LRPCFAT et du RRPCFAT et qu'il est mis en application efficacement dans tous les secteurs d'activité.

La haute direction doit s'assurer que :

• Le CLRPC possède les compétences nécessaires pour élaborer le programme de LRPC-FAT et que ses responsabilités et les pouvoirs dont il dispose sont clairement et dûment documentés.
• Le CLRPC ne relève pas de l'auditeur ni des secteurs d'activités générant des revenus afin d'éviter tout conflit éventuel au niveau des responsabilités. Dans les petites IFF, où il peut être difficile de séparer les fonctions, il faut établir des mécanismes de contrôle compensatoires pour atteindre ce but. Il y aurait lieu d'envisager la possibilité d'impartir la fonction de CLRPC s'il est impossible d'instaurer des mécanismes de contrôle compensatoires.
• Des personnes compétentes ont la responsabilité et la responsabilisation claires et documentées de la mise en œuvre du programme de LRPC-FAT dans tous les secteurs d'activités pertinents, ainsi que des ressources suffisantes pour gérer efficacement la mise en œuvre du programme.
• Le CLRPC et l'auditeur disposent de ressources suffisantes sur le plan de l'effectif, des systèmes de gestion des données et du budget pour mettre en œuvre et administrer efficacement les exigences du programme de LRPC-FAT et formuler des avis à la haute direction.
• Toutes les recommandations importantes au sujet des questions et des mécanismes de contrôle relativement au programme de LRPC-FAT formulées par le CLRPC, l'auditeur et la haute direction font l'objet d'un suivi en temps opportun.

Rapports

La haute direction doit recevoir suffisamment de renseignements pertinents de la part du CLRPC, de l'auditeur et d'autres sources, s'il y a lieu, pour lui permettre d'assurer la pertinence et l'efficacité du programme de LRPC-FAT.

Le RRPCFAT^{Note de bas de page 10} stipule la périodicité et la teneur des rapports écrits portant sur la vérification de l'efficacité, y compris les rapports sur la mise à jour des politiques et procédures relatives au programme de LRPC-FAT et l'état de la mise en œuvre des modifications en cause.

Dans les IFF plus grandes et plus complexes, il faut colliger les rapports sur la vérification de l'efficacité du programme de LRPC-FAT rédigés à des moments différents (p. ex., au cours du processus d'audit des divers secteurs d'activités) et les regrouper périodiquement. Cela concourra à l'objectif d'évaluation globale de la pertinence et de l'efficacité du programme.

Les IFF doivent veiller à ce que les informations transmises à la haute direction par le CLRPC et par l'auditeur au sujet du programme de LRPC-FAT ne sont pas indûment amalgamées afin de pouvoir distinguer le contenu et le but des relevés.

Les rapports du CLRPC devraient comprendre des renseignements au sujet de ce qui suit : la portée, à l'échelle de l'IFF, de l'évaluation des risques inhérents, y compris les tendances ou les schémas significatifs; l'auto-évaluation des mécanismes de contrôle et les changements importants subis par ces mécanismes; et les mesures correctrices à apporter ou les recommandations, s'il y a lieu, avec les étapes importantes et les dates prévues pour leur réalisation. S'il y a lieu, le CLRPC doit tirer des conclusions et formuler des conseils ou des recommandations au sujet de la structure globale et de la portée du programme de LRPC-FAT.

CLRPC

Introduction

Que la structure élargie de gestion des risques de l'IFF soit centralisée ou non, la responsabilité de la mise en application du programme de LRPC-FAT de l'entreprise doit être confiée au CLRPC, qui doit occuper un poste stratégique de cadre supérieur au sein de l'IFF. Aux fins de la présente ligne directrice, les IFF devraient considérer le CLRPC comme un organe de supervision indépendant, comme il est précisé dans la ligne directrice émise par le BSIF au sujet de la gouvernance d'entreprise.

Le CLRPC devrait être responsable à la fois de l'élément de conformité à la réglementation du programme de LRPC-FAT et de l'élément plus large de gestion des risques prudentiels.

Mandat

L'IFF doit veiller à ce que la responsabilisation et les responsabilités du CLRPC à l'égard du contenu, de la structure et de la mise en application du programme de LRPC-FAT à l'échelle de l'entreprise soient claires et documentées. Le mandat du CLRPC devrait notamment comporter les attributions suivantes :

• superviser les activités de contrôle de la LRPC-FAT dans tous les secteurs d'activités pertinents de l'IFF aux fins de l'établissement d'un seuil de contrôle uniforme et raisonnable à l'échelle de l'entreprise;
• tenir à jour le programme de LRPC-FAT relativement aux risques inhérents déterminés de l'IFF (clients et relations d'affaires, produits et réseaux de distribution, régions géographiques de l'activité et autres facteurs pertinents);
• élaborer et mettre en œuvre une méthode d'évaluation des risques inhérents de RPC et de FAT, y compris, sans restreindre la portée de ce qui précède, avoir acquis la conviction que les processus d'acquisition des nouveaux produits et services ou des nouvelles entreprises sont assujettis à une analyse en temps opportun des risques inhérents et que des mesures appropriées sont instaurées pour contrôler les risques relevés. Voir ci-après, « Évaluation des risques inhérents »;
• avoir acquis la conviction que les ressources informatiques, y compris les systèmes nécessaires à la détection et à la déclaration des opérations douteuses et des tentatives d'opérations douteuses, sont suffisantes dans tous les secteurs d'activités pertinents de l'IFF;
• élaborer et mettre en œuvre une méthode d'auto-évaluation des mécanismes de contrôle; voir ci-après, « Auto-évaluation des mécanismes de contrôle »;
• rédiger des politiques et procédures de contrôle relatives au programme de LRPC-FAT, qui sont tenues à jour et approuvées par un dirigeant;
• rédiger un programme de formation continue à l'intention des dirigeants, employés, agents et autres personnes autorisées à agir au nom de l'IFF;
• veiller à ce que l'auditeur soit au courant des exigences prévues dans par le RRPCFAT au sujet de la vérification de l'efficacité du programme de LRPC-FAT au moins aux deux ans;
• s'assurer que les systèmes et les autres processus qui génèrent des données utilisées dans les rapports à l'intention de la haute direction sont adéquats et appropriés, utilisent des critères raisonnablement uniformes dans l'établissement des relevés et génèrent des renseignements exacts;
• communiquer à la haute direction les renseignements appropriés au sujet de la pertinence du programme de LRPC-FAT, et lui faire part des difficultés survenues.

Si le CLRPC délègue et assigne des fonctions à d'autres personnes, ou si l'IFF confie des éléments du programme de LRPC-FAT à des secteurs d'activités qui ne relèvent pas du CLRPC, ce dernier doit prendre des mesures raisonnables pour acquérir la conviction que ces éléments sont mis en œuvre de façon satisfaisante. Voici des mesures raisonnables qui pourraient être appliquées pour y parvenir :

• Lorsque les personnes chargées de produire les rapports sur les opérations douteuses (ROD) ne relèvent pas du CLRPC, avoir acquis la conviction que les critères fondés sur le seuil sont uniformes et que les déclarations sont faites avec exactitude et en temps opportun, et veiller à ce que le CLRPC reçoive régulièrement des comptes rendus sommaires des ROD des secteurs en cause de l'IFF;
• Créer un comité de gestion chargé de coordonner la mise en œuvre du programme de LRPC-FAT.

Les IFF doivent veiller à ce que le CLRPC puisse :

• avoir l'accès absolu à la haute direction et au conseil d'administration et communiquer directement avec leurs membres;

• avoir l'accès absolu à tous les renseignements, dossiers et employés pertinents à l'échelle de l'IFF.

Compétences

La mise en œuvre du programme de LRPC-FAT exige de la part du CLRPC une solide connaissance pratique des risques d'exposition à des activités de RPC / FAT et des mesures de contrôle de l'IFF, ainsi que des exigences réglementaires en matière de LRPC-FAT, une connaissance approfondie des activités de l'IFF, des compétences professionnelles adéquates ainsi que de l'expérience et de solides aptitudes en gestion.

Les IFF devraient tenir compte de ces facteurs lorsqu'elles examinent l'ancienneté et le rapport hiérarchique du CLRPC.

ÉVALUATION DES RISQUES INHÉRENTS

La LRPCFAT^{Note de bas de page 11} exige que le programme de conformité prévoie l'élaboration et la mise en application de politiques et procédures d'évaluation, dans le cours des activités de l'IFF, du risque d'infractions de type RPC ou FAT.

Le RRPCFAT^{Note de bas de page 12} exige que les catégories suivantes du risque de RPC et du risque de FAT soient abordées dans l'évaluation des risques inhérents par l'IFF :

1. les clients et relations d'affaires de l'IFF;
2. les produits et les réseaux de distribution de l'IFF;
3. l'emplacement géographique des activités de l'IFF;
4. tout autre critère approprié.

Aux fins de l'application de l'alinéa (iv) ci-dessus, les IFF devraient tenir compte des facteurs de risque liés aux opérations, comme les opérations structurées ou d'autres opérations complexes, de même que des facteurs qui peuvent tomber dans plusieurs des trois autres catégories de risque.

L'évaluation des risques inhérents s'entend du processus qui permet :

• de recenser les risques inhérents courants et émergents en matière de RPC et de FAT dans les activités de l'IFF sans faire renvoi aux mécanismes de contrôle de ces risques, et de déterminer si les activités qui courent ces risques sont considérées comme importantes sur le plan financier;
• d'évaluer la gravité relative des risques relevés;
• de mettre en lumière les risques les plus importants.

En examinant les risques d'exposition à des activités de RPC et de FAT, il faut aussi déterminer s'il y a eu des changements importants depuis la dernière fois où les risques inhérents ont été évalués. Voici des mesures raisonnables qui pourraient être appliquées à cet effet.

• prise en considération des critères qui mènent à la production d'une déclaration d'opération douteuse et de tout schéma ou de toute tendance que se dessine;
• prise en compte de facteurs externes comme les modifications réglementaires et la typologie des risques d'exposition à des activités de RPC ou de FAT, de même que les avis réglementaires et avis de sécurité.

L'évaluation régulière des risques inhérents de RPC et de FAT permet aux IFF d'adapter ou d'ajuster les mécanismes de contrôle de l'entreprise en fonction du risque recensé et ainsi d'affecter plus de ressources de gestion des risques aux secteurs plus vulnérables. Voir aussi « Évaluation des mécanismes de contrôle » ci-après.

La méthode et les résultats escomptés du processus appliqué pour analyser les risques inhérents de RPC et de FAT sont expliqués dans les sections suivantes.

Méthode

Il n'y a aucune méthode d'évaluation des risques inhérents de RPC et de FAT qui est prévue par règlement ou unanimement utilisée. Cependant, la méthode utilisée devrait permettre d'évaluer le risque d'infractions de RPC ou celui d'infractions de FAT à l'échelle de l'IFF et inclure les catégories de risque précisées à l'alinéa 71(1)c) du RRPCFAT.

La méthode utilisée devrait produire une analyse rationnelle, bien organisée et bien documentée des risques inhérents.

Les mesures raisonnables intégrées à la méthode utilisée pourraient comprendre l'examen de ce qui suit :

• les branches d'activités et autres opérations de l'IFF;
• les opérations transfrontalières et internationales, le cas échéant, et les liens entre celles-ci;
• la typologie de la façon dont les institutions financières ont été victimes;
• tout autre renseignement pertinent dont dispose l'IFF.

Catégories de risque

Dans le cadre de l'évaluation des risques inhérents, il faut prendre en compte les diverses catégories d'expositions au risque de RPC et de FAT. Le RRPCFAT^{Note de bas de page 13} exige de tenir compte dans le cadre de l'évaluation des risques inhérents des catégories de risque spécifiques que voici. Dans chacune de ces catégories, le BSIF a indiqué des types de risque.

Risque lié aux clients :

Il s'agit du risque associé aux types de clients qui achètent ou utilisent les produits et services de l'IFF. Parmi les catégories de clients pouvant représenter un risque élevé pourraient figurer :

• les personnes politiquement vulnérables;
• les clients qui exploitent leurs relations d'affaires ou qui exécutent leurs opérations dans des circonstances inusitées, comme les clients qui se trouvent à une grande distance de l'IFF, sans qu'il y ait d'explication raisonnable;
• les clients pour lesquels il est difficile, en raison de leur nature, de leur structure ou de leur relation, de déterminer le véritable propriétaire (les véritables propriétaires) des participations majoritaires, y compris les clients qui sont des sociétés pouvant émettre des actions au porteur;
• les activités qui mettent en cause beaucoup d'argent en espèces (et d'équivalents en espèces), y compris :
  • les entreprises de transfert de fonds ou de vente de titres négociables (par exemple, maisons de transfert, entreprises de change de devises étrangères, agents de transferts monétaires, négociants de billets de banque, convoyeurs de fonds et autres entreprises offrant des services de transfert monétaire ou de mouvement de fonds);
  • les casinos, maisons de pari et autres entreprises de jeu;
  • les entreprises qui, même si elles ne mettent pas en cause beaucoup d'espèces, génèrent des montants substantiels en espèces à l'égard de certaines branches d'activités;
• les organismes de bienfaisance et les autres organisations à but non lucratif qui ne font l'objet d'aucun suivi et d'aucune surveillance (p. ex., ceux qui ne sont pas inscrits auprès de l'ARC).

Risque lié aux relations d'affaires :

Ce risque est associé au but visé par le client en faisant affaire avec l'IFF. Parmi les catégories de relations d'affaires pouvant représenter un risque élevé pourraient figurer :

• les structures intermédiaires, par exemple, des sociétés de portefeuille, des sociétés à dénomination numérique ou des fiducies qui n'ont aucun objet commercial apparent ou dont il est difficile d'identifier les véritables propriétaires;
• les comptables, avocats ou autres professionnels détenant des comptes de fonds composites dont le véritable propriétaire peut être difficile à vérifier;
• l'utilisation des produits et de services de l'IFF par des clients, par exemple, les clients des correspondants bancaires.

Risque lié aux produits et services :

Ce risque est associé aux produits et services de l'IFF qui permettent aux clients de transférer des fonds. Parmi les catégories de produits et services pouvant représenter un risque élevé

pourraient figurer :

• l'acceptation de dépôts, spécialement en espèces, et les produits d'assurance qui permettent des paiements ponctuels ou réguliers importants, des paiements au préalable ou dépôts, qui sont versés et par la suite retirés des comptes de dépôt ou des comptes semblables (par exemple, des comptes auxiliaires);
• les périodes de « réflexion » ou de « répit » jumelées à des remboursements de primes, par exemple, dans le cadre de certains produits d'assurance-vie;
• les valeurs au comptant, les valeurs de rachat au départ et les provisions pour prêts ainsi que les provisions pour dépôt, accumulation et retrait de fonds relativement facilement et rapidement, par exemple, les fonds distincts non enregistrés;
• les services de financement commercial, lorsque
  • l'IFF ne peut évaluer si la valeur des biens et services importés ou exportés est raisonnable; ou
  • l'IFF confirme, conseille ou effectue des paiements sous forme de lettres de crédit afin que leurs clients puissent acheter ou vendre des biens à l'échelle internationale.
• les comptes de crédit à l'égard desquels le maintien d'importants soldes de crédit est autorisé, par exemple, certains produits de crédit et produits de carte d'entreprise;
• les comptes de passage qui permettent aux clients d'un correspondant bancaire étranger de tirer des traites (ou des chèques) payables sur des comptes ouverts au Canada;
• les boîtes postales que peuvent utiliser les clients des correspondants bancaires étrangers et qui permettent à ces banques de percevoir les paiements que leur doivent les clients domiciliés au Canada;
• les services de valise et les autres services de paiement commercial international.

Risque lié aux réseaux de distribution :

Ce risque est associé à la manière dont les produits et services des IFF sont distribués aux clients, y compris les services distribués aux clients autrement qu'en personne. Parmi les catégories de réseaux de distribution pouvant représenter un risque élevé pourraient figurer :

• le recours à des intermédiaires ou des introducteurs (p. ex., des courtiers en hypothèques ou en dépôts) qui ne sont peut-être pas assujettis aux lois et mesures relatives à la LRPC-FAT et qui ne font pas l'objet d'une surveillance suffisante;
• l'Internet, le téléphone et le courrier postal, quand on les utilise pour remplacer complètement un entretien en personne avec le client dans le cadre de la prestation de services bancaires;
• les transferts payables sur présentation de pièces d'identité (TPPPI).

Risque lié à l'emplacement géographique :

Ce risque est associé aux endroits où les activités de l'IFF sont exécutées. Lorsque l'IFF a des filiales ou succursales dans ces endroits, cela peut atténuer ou augmenter le risque. Parmi les catégories de pays qui représentent un risque élevé figurent les pays :

• assujettis aux sanctions, embargos ou mesures similaires du Canada ou d'autres territoires nationaux, comme la Loi sur les mesures économiques spéciales ou comme les mesures prévues en vertu de la loi intitulée USA PATRIOT Act;
• assujettis aux sanctions du Conseil de sécurité des Nations Unies (CSNU) (au Canada, les sanctions du CSNU sont appliquées par l'entremise de règlements pris en vertu de la Loi sur les Nations Unies);
• considérés par des sources crédibles comme finançant ou appuyant des activités terroristes ou la prolifération d'armes de destruction massive;
• considérés par des sources crédibles comme présentant des niveaux significatifs de corruption ou d'autres activités criminelles;
• qui ne sont pas membres du GAFI, et en particulier les pays qui font l'objet d'une surveillance de la part du GAFI ou qui sont d'une autre façon reconnus par le GAFI comme dépourvus d'exigences réglementaires pertinentes en matière de LRPC-FAT;
• où la loi interdit ou restreint indûment l'accès du CLRPC aux renseignements sur les clients.

Autres critères pertinents :

Les IFF devraient veiller à prendre en considération d'autres critères pertinents lors de l'évaluation des risques inhérents, notamment les facteurs de risque liés aux opérations et la combinaison de facteurs pouvant tomber dans plusieurs des trois autres catégories.

Évaluation et notation

La méthode appropriée devrait attribuer des niveaux adéquats de risque de RPC et de risque de FAT aux activités pertinentes de l'IFF et, ce faisant, cerner les risques élevés à l'égard desquels une diligence raisonnable accrue et une surveillance continue doivent être appliquées.

Les critères servant à évaluer et coter doivent comporter une base rationnelle en risque de RPC et risque de FAT et tenir compte des facteurs de risque de RPC et de FAT qui sont particuliers à certains secteurs d'activités, régions et administrations de même que de facteurs de risque plus généraux.

Enfin, la méthode appliquée doit permettre à l'IFF de se conformer aux prescriptions réglementaires pour déceler l'activité des clients à haut risque^{Note de bas de page 14}, aux fins d'établir un seuil de diligence raisonnable accrue qui est adéquat dans les circonstances. Voir « Diligence raisonnable à l'endroit des clients », ci-après.

Utilisation des résultats de l'évaluation des risques inhérents comme point de départ pour élaborer les mesures de contrôle des risques

Les résultats de l'évaluation des risques inhérents doivent éclairer la mise au point des mesures de contrôle des risques et l'affectation des ressources, proportionnellement aux niveaux du risque de RPC et du risque de FAT de l'entreprise.

Certaines mesures de contrôle minimales sont prévues par la réglementation. L'évaluation des risques inhérents ne peut tempérer ou outrepasser ces mesures. Elles comprennent notamment :

• déterminer les clients clients et établissement leur identité avec certitude (sous réserve des exceptions prévues par règlement);
• déterminer, dans des circonstances visées par règlement, si un client est un EPV ou s'il agit au nom d'un tiers;
• déclarer les opérations douteuses ou les tentatives d'opérations douteuses, les importantes opérations en espèces et les télévirements;
• tenir les dossiers.

POLITIQUES ET PROCÉDURES DE CONTRÔLE

Les politiques et procédures de contrôle doivent établir et instaurer des mesures destinées à contrôler les risques inhérents.

Les IFF doivent veiller à la mise à jour des politiques et procédures de contrôle pour atténuer les risques. Ces politiques et procédures doivent se conformer aux autres exigences réglementaires; le RRPCFAT ^{Note de bas de page 15}, par exemple, prévoit que les politiques et procédures de conformité écrites font partie intégrante du programme de conformité en matière de LRPC-FAT, et doivent être approuvées par un dirigeant.

Les politiques et procédures de contrôle doivent être intégrées aux secteurs d'activités, à la hauteur des risques qu'elles visent à atténuer, sinon adaptées au contexte particulier dans lequel les unités évoluent.

Politiques

Il faut intégrer aux politiques en matière de LRPC-FAT des normes de gestion des risques régissant l'approche adoptée par l'IFF en matière de détection et de dissuasion du RPC et du FAT, et veiller à ce qu'elles soient conformes à la réglementation.

Les politiques établissant une norme d'entreprise doivent être approuvées par la haute direction et appliquées de manière uniforme à l'échelle de l'entreprise. Elles doivent préciser des obligations claires et définitives dans l'ensemble de l'organisation.

Respectant le principe général d'harmonisation de la norme d'entreprise avec les exigences réglementaires canadiennes (voir « Politiques » ci-dessus), les politiques devraient instaurer, à tout le moins, la norme d'entreprise correspondant aux exigences du programme de LRPC-FAT dans les succursales et les filiales en propriété exclusive situées à l'étranger, dans la mesure où elles ne sont pas interdites par la législation des pays en cause. Les politiques devraient également préciser qu'à défaut d'interdiction explicite, la norme d'entreprise, à tout le moins, devrait s'appliquer.

Il convient de souligner qu'il n'est pas justifié, en raison des différences dans les conditions des marchés locaux, d'abaisser ou d'éliminer les normes de l'entreprise. En pareils cas, les IFF doivent veiller à ce qu'une évaluation des risques propres à ces marchés soit faite pour déterminer si le fait de pratiquer des opérations sur ces marchés engendrerait un risque de RPC ou de FAT inacceptable pour l'IFF.

Voici des exemples de sujets qui devraient être abordés dans le cadre des politiques.

• En quoi consiste le recyclage des produits de la criminalité. Les IFF doivent veiller à ce que leurs politiques et procédures tiennent adéquatement compte des risques liés aux étapes du recyclage des produits de la criminalité (placement, dispersion et intégration) et qu'elles ne se limitent pas indûment aux mesures anti-placement (par exemple, interdiction d'accepter des espèces ou restrictions à ce chapitre);
• Les objectifs du programme de LRPC-FAT;
• Les principaux secteurs de risques inhérents;
• Les normes de diligence raisonnable à l'endroit de clients, concernant:
  • les exigences minimales acceptables à l'égard de l'identification des clients, les normes de vérification, la collecte et le suivi de l'information;
  • l'interdiction d'engager des relations avec les clients ou de traiter les opérations s'il est impossible d'établir leur identité avec certitude;
  • les restrictions pertinentes ou prévues par règlement sur le fait d'engager des relations avec les clients ou de traiter les opérations avant que l'identité ne soit établie; les types de clients réputés à risque plus élevé ou inacceptable;
  • une définition de diligence raisonnable accrue obligatoire envers ces clients à risque plus élevé, les rapports;
  • la conservation des dossiers.
• Le fait de traiter avec des clients représentant un niveau de risque inacceptable pour une IFF;
• L'identification de clients dont le compte a été ouvert avant l'entrée en vigueur des exigences réglementaires de 2002 et du RRPCFAT, et qui n'ont pas été identifiés selon les stipulations du RRPCFAT, si ces clients ou leurs activités sont jugés à risque élevé ^{Note de bas de page 16};
• Les règles commerciales définissant ce qu'est une opération inusitée et quelles opérations inusitées sont douteuses.
• Les attributions des principales fonctions de contrôle de la gestion des risques, comme les administrateurs, les dirigeants, le CLRPC, l'auditeur et les autres fonctions.

Procédures

Les procédures sont les outils qu'emploie l'IFF pour mettre en pratique les politiques de LRPC- FAT. Par conséquent, elles doivent énoncer clairement les mesures à prendre, l'identité de la personne ou du service qui doit prendre la mesure ainsi que les circonstances et le moment pour ce faire (en précisant les délais réglementaires, s'il y a lieu).

La nature évolutive de la réglementation sur la LRPC-FAT et les modifications qu'une IFF apporte à ses activités exigent que les procédures soient remaniées à intervalles réguliers pour demeurer pertinentes. Lorsque les procédures prévoient des possibilités de dérogation, elles doivent énoncer en toutes lettres les processus d'autorisation et les mécanismes de contrôle afférents.

DILIGENCE RAISONNABLE À L'ENDROIT DES CLIENTS (DRC)

La DRC s'entend notamment de l'identification des clients, de la collecte de renseignements, de l'établissement avec certitude de l'identité des clients et de la surveillance permanente. Ces composantes doivent être conformes aux exigences réglementaires pertinentes et doivent être accrues dans les situations présentant un risque plus élevé ^{Note de bas de page 17}. La portée de la DRC exercée doit correspondre au niveau relatif des risques d'exposition à des activités de RPC et de FAT déterminés dans les circonstances. Voir « Risques élevés spécifiques » ci-après.

Comme principe général, l'IFF ne doit engager ou maintenir une relation d'affaires avec un client que si elle est persuadée que les renseignements qu'elle a recueillis prouvent qu'elle connaît le client (c'est-à-dire que le client a communiqué sa véritable identité et qu'il a un motif légitime d'engager ou de maintenir la relation d'affaires avec l'IFF). Les ID sont tenues de tenir un registre de l'utilisation prévue de chaque compte ouvert, autre qu'un compte de carte de crédit^{Note de bas de page 18}.

En vertu des règles prévues par règlement comportant des exigences de DRC, les IFF ne sont pas autorisées à établir des comptes anonymes ^{Note de bas de page 19} pour les clients. Si les IFF offrent des services (par exemple, des services de numérotage ou de codage des comptes) qui, dans les faits, masquent l'identité d'un client pour des raisons commerciales (par exemple, en cas d'acquisition où la diffusion prématurée de l'information pourrait mettre l'opération en péril) ou quand l'identité d'un client est retenue pour des raisons exclusives, elles doivent s'assurer qu'elles ont adéquatement établi avec certitude l'identité du client et que le CLRPC a accès à cette information.

Lorsque la réglementation prévoit l'obligation d'établir le statut d'un client, en vérifiant par exemple s'il répond à la définition d'EPV, il faut réellement établir ce statut et les IFF doivent veiller à ce que le processus d'établissement soit effectué d'après l'évaluation des renseignements reçus.

Nature et portée

La nature et la portée des mesures de DRC doivent être appropriées à la nature des risques d'exposition à des activités de RPC et de FAT que représente le client dans les circonstances et proportionnelles au niveau de ces risques. Voir « Évaluation des risques inhérents » ci-dessus. Les mesures de DRC doivent, à tout le moins, être conformes aux exigences de la LRPCFAT et du RRPCFAT. Les normes de DRC doivent prévoir qu'en cas de doute^{Note de bas de page 20} au sujet de la véracité ou de l'exactitude des données déjà obtenues pour l'identification et la vérification d'identité du client, des mesures de DRC accrues doivent être appliquées.

Les IFF doivent renforcer les mesures de DRC lorsque les mesures normales donnent des résultats incohérents, voire incertains ou douteux. Le degré de renforcement des mesures de DRC doit être suffisant pour atténuer les incohérences et les résultats incertains ou douteux.

Identification des clients et établissement de leur identité avec certitude

Les IFF peuvent avoir des clients dont l'identité n'a pas été établie avec certitude, conformément au RRPCFAT parce qu'ils sont devenus clients avant l'entrée en vigueur des exigences relatives à la LRPC-FAT en 2002, ou parce qu'ils ont acheté des produits pour lesquels l'identification du client n'était pas requise par le RRPCFAT. Les IFF doivent veiller à ce que ces clients, lorsqu'ils souscrivent par la suite des produits pour lesquels s'applique l'obligation d'identification du client, fassent l'objet d'une vérification d'identité adéquate.

Les mesures raisonnables à prendre pour bien identifier ces clients pourraient comprendre ce qui suit :

• Établir avec certitude l'identité du client, et ce, pour chaque produit souscrit;
• Mettre en place des systèmes qui signalent les clients, non identifiés par ailleurs, qui souscrivent des produits assujettis aux exigences prévues par règlement au sujet de l'identification des clients.

Le RRPCFAT précise les versions originales des documents valides (ou types de documents valides) qui peuvent être examinés pour établir avec certitude l'identité des personnes ou l'existence d'entités dans des scénarios en personne et en l'absence de la personne ainsi que l'échéancier pour le faire. La politique de DRC instaurée par l'IFF doit donner des consignes claires qui sont conformes au RRPCFAT (s'il y a lieu), à propos de ce qui suit :

• à quel moment il faut établir avec certitude l'identité d'un client;
• comment on peut identifier le client et établir son identité avec certitude, en sa présence ou en son absence;
• quels documents d'identification originaux et valides doivent être utilisés pour établir avec certitude l'identité du client et quelle information y figurant il faut consigner.

Même si les normes et politiques d'identification et de vérification doivent satisfaire aux exigences minimales prévues par règlement, les IFF peuvent considérer que l'évaluation des risques inhérents justifie l'application de mesures d'identification supplémentaires à certaines catégories de clients.

Par exemple : le RRPCFAT^{Note de bas de page 21} prévoit les documents valides émis par l'État qu'il faut utiliser pour établir avec certitude l'identité du client. Parmi ces documents figurent, notamment, les certificats de naissance. Le RRPCFAT permet l'utilisation de la carte d'assurance sociale (NAS) pour établir avec certitude l'identité d'un client. Quand le seul document pouvant établir avec certitude l'identité d'un client est le certificat de naissance ou la carte NAS, et que le risque évalué de RPC ou de FAT du client est tout sauf minime, l'IFF doit envisager de prendre des mesures d'identification supplémentaires. Il pourrait s'agir de voir l'original d'autres documents d'identification acceptables émis par l'État, y compris une pièce d'identité avec photo, émise par l'État, ou, si en l'absence de tels documents, d'autres preuves crédibles de vérification de l'identité du client comme un relevé d'impôt foncier ou une facture de services publics.

S'agissant des personnes sans documents canadiens d'identification acceptables, des documents d'identification étrangers comparables ou équivalents peuvent être acceptables s'ils peuvent être lus et évalués en tant que documents d'identification valides (par exemple, par renvoi à de l'information publiquement accessible) et que l'IFF peut les comprendre.

Pour identifier un client qui est une personne morale ou une autre entité, il se peut qu'il faille recueillir beaucoup d'information dans certains cas. Outre confirmer l'existence de l'entité^{Note de bas de page 22}, les IFF doivent prendre des mesures raisonnables pour obtenir les nom et profession de ses administrateurs et les nom, adresse et profession de la personne qui détient (des personnes qui détiennent) au moins 25 % de celle-ci^{Note de bas de page 23}. Comme moyen raisonnable pour obtenir cette information, on peut :

• la demander à l'entité;
• consulter un fichier crédible, publique ou privé; ou
• les deux.

Lorsqu'une IFF est tenue de vérifier la profession d'une personne (p. ex., dans le cas d'un administrateur d'une entreprise cliente), l'IFF devrait s'assurer que la profession déclarée est la principale activité professionnelle de la personne et pas simplement le titre de la personne dans l'entreprise cliente.

Les mesures appliquées doivent être proportionnelles au niveau du risque évalué.

Les ID doivent aussi établir avec certitude l'identité de toutes les personnes qui signent la fiche-signature d'un compte d'affaires, sauf s'il y a plus de trois signataires, auquel cas il suffit d'établir avec certitude l'identité de trois d'entre eux^{Note de bas de page 24}. Les exigences d'identification des particuliers s'appliquent. Les sociétés d'assurance-vie devraient adopter une pratique similaire comme mesure de gestion prudente des risques, puisque le risque inhérent à la non-identification des cadres signataires des comptes d'entreprise est similaire.

Selon la LRPCFAT et le RRPCFAT, il est interdit à l'IFF d'ouvrir un compte au nom d'un client dans les circonstances visées si elle ne peut établir son identité conformément aux mesures prévues par règlement ^{Note de bas de page 25}.

Les IFF doivent aussi prendre des mesures raisonnables, dans les délais prescrits par le RRPCFAT^{Note de bas de page 26}, afin de déterminer si un client agit pour le compte ou au nom d'un tiers. Les mesures raisonnables pourraient comprendre ce qui suit :

• poser la question dans la demande d'ouverture de compte du produit en question; ou
• insérer une déclaration de fiabilité de forme négative au-dessus de la ligne de signature du client sur la demande d'ouverture de compte ou sur un autre document de souscription.

Sociétés d'assurance-vie

Les sociétés d'assurance-vie ne sont pas tenues d'établir avec certitude l'identité d'une personne, ou d'obtenir des renseignements à cet effet, quand elles ont des motifs raisonnables de croire que l'identité de la personne a été vérifiée de la manière réglementaire par une autre société d'assurance-vie ou par un courtier ou un agent d'assurance-vie à l'égard de la même opération ou à l'égard d'une opération qui fait partie d'une série d'opérations qui comprend l'opération initiale ^{Note de bas de page 27}. Dans ces situations, les sociétés d'assurance-vie doivent élaborer et mettre en œuvre des politiques et procédures visant à garantir que:

• La société fait preuve de diligence raisonnable initiale et permanente adéquate à l'endroit des autres sociétés d'assurance-vie et des courtiers et agents d'assurance-vie;
• Il y a des motifs raisonnables de croire que les procédures d'identification du client et de vérification de l'identité utilisées par ces autres sociétés d'assurance-vie, ou ces courtiers ou agents d'assurance-vie, sont conformes à la LRPCFAT, au RRPCFAT et aux propres politiques et procédures de la société d'assurance-vie.

Dans le cas des produits individuels, le BSIF sait qu'en pratique les sociétés d'assurance-vie reçoivent les renseignements sur l'identité du client dans les formulaires de proposition soumis par les agents ou courtiers d'assurance-vie. Les sociétés d'assurance-vie peuvent ainsi périodiquement déterminer que les motifs pour avoir recours à ces agents sont raisonnables.

Provenance de la richesse ou des fonds accumulés

Les IFF doivent être persuadées, de la manière qu'elles estiment justifiée dans les circonstances, que le montant de la richesse ou des fonds accumulés des clients semble raisonnable et conforme à l'information fournie. En cas de doute quant à la provenance de ces fonds ou de cette richesse, il faut savoir ce qu'il en est avant d'engager une relation ou de permettre le traitement des opérations. Voici des moyens raisonnables de mettre cette règle en application.

• Obtenir du client des renseignements plus détaillés et les étudier;
• Vérifier les renseignements recueillis auprès d'autres institutions financières ou des références.

Si les doutes persistent, il faudrait envisager de ne pas engager la relation ou de ne pas exécuter l'opération.

Si un client est évalué à risque élevé et que la provenance de la richesse ou des fonds accumulés ne semble pas raisonnable ou ne concorde pas avec l'information fournie, malgré les mesures raisonnables prises pour dénouer les incohérences, l'IFF doit songer à refuser de s'engager dans cette relation d'affaires, ou à y mettre fin, et à rédiger une déclaration de tentative d'opération douteuse.

Surveillance

Surveillance normale

Les IFF doivent être en mesure de détecter les opérations douteuses, ou les tentatives d'opérations douteuses, et les déclarer au CANAFE. En outre, les IFF doivent prendre des mesures raisonnables pour établir avec certitude l'identité de chaque personne avec qui elle traite une affaire qu'elle juge douteuse^{Note de bas de page 28}. Ces obligations signifient que les activités de tous les clients, quel que soit le niveau du risque qu'ils représentent, doivent faire l'objet de quelque forme de surveillance permanente afin que les opérations ou les tentatives d'opérations qui sont possiblement douteuses soient détectées.

Les mesures raisonnables de surveillance normale pourraient comprendre ce qui suit :

• le recensement et la vérification des types d'opération ou tentatives d'opération (selon l'importance, la fréquence, la situation géographique, le mode de distribution, la relation commerciale ou d'autres critères) qui ne semblent pas concorder avec l'objectif recherché du compte ou avec la situation; et
• la modification des activités au compte qui peut, par elle-même ou à la lumière des changements enregistrés à l'égard des renseignements sur le client, être un indice du changement de la nature des affaires du client ou de l'utilisation prévue du compte.

Les IFF devraient faire des études de faisabilité, au besoin, pour déterminer si le volume d'opérations justifie l'utilisation de solutions informatiques pour la surveillance des opérations.

La surveillance doit faire ressortir les données, les opérations ou les tentatives d'opérations qui sont inhabituelles ou potentiellement douteuses et qui exigent une analyse attentive. Les critères de la surveillance devraient porter sur tous les indices pertinents. Les indices pertinents pourraient comprendre les suivants :

• transferts fréquents et inexpliqués des comptes dans différentes institutions financières;
• mouvements de fonds fréquents et inexpliqués entre différentes institutions financières de régions diverses;
• insuffisance ou manque de crédibilité de l'information fournie par le client, ou des explications données, au sujet de la provenance des fonds ou de la richesse accumulée;
• opérations qui sont structurées ou complexes pour une autre raison, ou anormalement importantes par rapport à la taille et à la nature de l'entreprise du client ou de la région où l'opération a été effectuée;
• type d'opérations, ou profil des opérations, ne cadrant pas avec l'objectif du compte ou l'entreprise du client;
• opérations qui n'ont pas de but économique apparent ni d'objet licite manifeste.

Surveillance accrue

La LRPCFAT et le RRPCFAT prévoient que lorsqu'une IFF estime que le risque de RPC ou de FAT est élevé, elle doit prendre les mesures spéciales prescrites aux fins de l'identification des clients, conserver les renseignements et surveiller les opérations financières ayant trait aux activités à risque élevé^{Note de bas de page 29}. Les mesures spéciales prescrites comprennent : des mesures raisonnables permettant de déterminer si le client à risque élevé est un EPV^{Note de bas de page 30}; le maintien à jour des renseignements sur l'identité du client et des renseignements mentionnés à l'article 11.1 du RRPCFAT^{Note de bas de page 31}; l'exercice d'une surveillance continue des opérations douteuses et des tentatives d'opération douteuse^{Note de bas de page 32}; et, de façon générale, l'atténuation des risques élevés ^{Note de bas de page 33}.

Les IFF devraient songer à créer plus d'une catégorie de clients à risque élevé, et plus d'un niveau de diligence raisonnable accrue, si la nature, l'importance, la complexité et le profil de risque des activités de l'institution financière le justifient. Chaque niveau de surveillance accrue devrait tenir compte de façon appropriée de l'évaluation du niveau de risque.

Les mesures raisonnables de surveillance accrue pourraient comprendre ce qui suit :

• l'examen plus fréquent des activités des clients et des types d'activités;
• la mise à jour ou vérification plus fréquente de l'information sur les clients;
• la mise en application de mesures supplémentaires d'identification des clients;
• la collecte d'information auprès des sources publiques ou ouvertes, comme les bases de données commerciales;
• le signalement plus fréquent d'opérations inusitées ou d'autres renseignements;
• le renvoi à un dirigeant de l'IFF occupant un poste plus élevé de l'examen des activités et des opérations des clients.

Les mesures supplémentaires qui pourraient être prises pour renforcer la surveillance des activités à risque élevé comprennent ce qui suit :

• examen des rapports d'activités, y compris des relevés d'anomalies, établis par les systèmes d'information de gestion (p. ex., les systèmes anti-fraude) afin d'y déceler d'éventuels indices d'activités inhabituelles ou douteuses;
• analyse des renseignements figurant sur les ROD pour y déceler des tendances et d'autres indices d'activités douteuses en vue de l'élaboration de mesures de contrôle pertinentes fondées sur les risques en cause dans les unités où sont détectées ces activités.

RISQUES ÉLEVÉS SPÉCIFIQUES

Il est question, dans cette section, des attentes du BSIF et des mesures prévues par règlement à l'égard du renforcement de la DRC et des mesures de contrôle connexes applicables aux secteurs présentant un risque plus élevé.

Recours à des agents ou des mandataires

Bien des IFF ont recours à des introducteurs, des intermédiaires ou d'autres tiers^{Note de bas de page 34} pour recueillir de l'information sur les clients et la vérifier. Il s'agit notamment de courtiers en dépôts et en hypothèques et d'avocats. Les mesures d'atténuation des risques d'exposition à des activités de RPC et de FAT peuvent être compromises si les IFF omettent de veiller à ce que les introducteurs, les intermédiaires et d'autres tiers appliquent les normes pertinentes d'identification des clients.

Sauf pour les sociétés d'assurance-vie, dont il est question plus haut, la responsabilité pour ce qui est d'établir avec certitude l'identité du client et d'obtenir les renseignements utilisés pour son identification demeure celle de l'IFF lorsqu'elle a recours à un tiers pour établir avec certitude l'identité du client. À l'égard de cette responsabilité, les IFF doivent conclure par écrit une entente ou un accord avec l'agent ou le mandataire si cette personne est chargée d'identifier les clients et de vérifier leur identité. Les dispositions de cette entente ou de cet accord doivent être conformes aux exigences du RRPCFAT^{Note de bas de page 35} et obliger l'agent ou le mandataire à :

• appliquer les exigences de l'institution de dépôts (ID) ou de la société d'assurance-vie en matière d'identification des clients et de vérification de l'identité (qui doivent être conformes aux exigences réglementaires);
• veiller, quand le client est présent au moment où son identité est établie avec certitude, à ce que l'agent ou le mandataire applique les procédures d'identification des clients, notamment qu'il examine l'original des documents d'identification;
• veiller, quand le client est absent au moment où son identité est établie avec certitude, à ce que l'agent ou le mandataire applique les règles prévues par règlement d'identification en l'absence de la personne^{Note de bas de page 36};
• transmettre rapidement l'information servant à identifier les clients après l'avoir obtenue.

Les ID et les sociétés d'assurance-vie doivent aussi :

• garantir que si l'agent ou le mandataire est chargé de recueillir l'information requise pour vérifier l'identité d'un tiers ou d'un EVP, ces responsabilités sont aussi mises par écrit;
• veiller à recevoir l'information servant à identifier les clients dans les délais requis;
• vérifier périodiquement, de manière systématique, la qualité de l'information recueillie au sujet des clients et notée par l'agent ou le mandataire pour s'assurer qu'elle demeure conforme à ses exigences.

La documentation sur les relations et les communications avec les agents et mandataires et les travaux de diligence raisonnable à l'endroit des clients de ceux-ci doivent être complets et à jour, et l'information concernant les clients doit être rangée dans le dossier des clients tout de suite après l'avoir reçue. Voir aussi « Tenue et conservation des dossiers » ci-après.

Les IFF doivent songer à mettre fin à leurs relations avec les agents et mandataires qui ne peuvent s'acquitter des responsabilités convenues au sujet de l'identification des clients ou fournir en temps opportun à l'ID ou à la société d'assurance-vie les renseignements requis sur les clients.

Il faut examiner et mettre à jour, s'il y a lieu, les contrats avec les agents et les mandataires pour en assurer la conformité aux dispositions du RRPCFAT^{Note de bas de page 37} au sujet du recours aux agents et mandataires.

La portée de l'exposition de l'ID ou de la société d'assurance-vie à l'agent ou au mandataire pour ce qui est des résultats de la diligence raisonnable à l'endroit des clients doit être expressément prise en compte dans l'évaluation des risques inhérents de l'ID ou de la société d'assurance-vie.

Fraude relative aux prêts hypothécaires et à d'autres produits

Les fausses déclarations frauduleuses ayant trait aux produits des IFF prennent diverses formes, notamment :

• lettres d'employeur ou lettres de recommandation contrefaites ou falsifiées, ou fausses déclarations quant au statut de travailleur autonome;
• bordereaux de paie, relevés T4 et avis de cotisation de l'ARC contrefaits ou falsifiés;
• pièces d'identité contrefaites ou falsifiées;
• utilisation d'un nom fictif (c.-à-d. d'une personne qui n'existe pas);
• dossiers de crédit contrefaits ou falsifiés;
• propriété légale ou véritable dissimulée;
• provenance du dépôt initial camouflée;
• patrimoine ou actif gonflé.

Les IFF devraient veiller à ce que leurs processus d'acceptation des clients et de diligence raisonnable comprennent l'évaluation du risque de fraude, la fraude constituant une infraction sous-jacente au recyclage des produits de la criminalité. Les IFF doivent alors prendre des mesures raisonnables pour atténuer le risque, qui pourraient comprendre ce qui suit :

• Appliquer des moyens d'identification plus rigoureux, comme la vérification d'une deuxième pièce d'identité ou d'une pièce avec photo émise par l'État.
• Demander à un agent ou mandataire d'appliquer les mesures d'identification plus rigoureuses utilisées lorsqu'on n'est pas en présence de la personne.
• Veiller à bien comprendre et à consigner l'information sur la propriété légale ou véritable des biens ou de l'entreprise.
• S'assurer que le montant des fonds accumulés par le client ou la valeur de son patrimoine semble raisonnable et cadre avec l'information fournie (voir aussi « Provenance de la richesse ou des fonds accumulés » ci-dessus).
• Former le personnel, les agents et les mandataires à reconnaître les pièces d'identité valides et les signes de falsification de documents.
• Faire confirmer au besoin les renseignements figurant dans les lettres d'employeur ou les lettres de recommandation, les bordereaux de paie ou les dossiers de crédit.
• Obtenir confirmation de l'existence et de la valeur des éléments d'actif déclarés.

Les sociétés d'assurance-vie doivent veiller à ce que les prêts hypothécaires soient assujettis au programme de LRPC-FAT.

Étrangers politiquement vulnérables (EPV)

Les recommandations du GAFI stipulent que les personnes politiquement vulnérables (PPV) sont éventuellement plus susceptibles de commettre des crimes financiers que les autres clients des IFF. Au Canada, la LRPCFAT oblige les IFF à établir, dans les circonstances prévues par règlement, si elles font affaire avec des EPV et prévoit aussi des mesures de diligence raisonnable accrues obligatoires à prendre à l'égard des EPV. ^{Note de bas de page 38}

Le terme EPV s'entend, selon la définition de la LRPCFAT, de la personne qui occupe ou a occupé une charge ou un poste visé par règlement au sein d'un État étranger ou pour son compte ou qui est membre de la famille de cette personne^{Note de bas de page 39}.

Aux fins de l'interprétation du paragraphe précédent, le terme « État étranger » comprend les principales subdivisions politiques des pays étrangers dans le cadre de la définition d'EPV.

Une fois qu'il est établi que le client est un EPV, les mesures prévues par règlement doivent être prises le plus rapidement possible.

Délai d'établissement du statut d'EPV – ID

Voici les trois situations dans lesquelles l'ID doit établir si un client est un EPV.

• À l'ouverture d'un compte^{Note de bas de page 40}.
• Quand un client actuel est réputé à risque élevé ^{Note de bas de page 41}.
• Quand un client effectue ou reçoit un télévirement de 100 000 $ ou plus^{Note de bas de page 42}.

L'établissement du statut d'EPV et l'approbation du maintien du compte par un dirigeant doivent se faire au plus tard 14 jours après que le compte a été activé^{Note de bas de page 43} ou dans les 14 jours suivant la réception ou l'envoi du télévirement^{Note de bas de page 44}. Il n'y a pas de délai précis aux fins de l'établissement par suite d'une évaluation des risques. Les IFF devraient veiller à ce que la vérification du statut d'EPV requise lorsqu'un compte déjà ouvert est considéré comme à risque élevé soit faite dans un délai de 14 jours de façon à être conforme aux autres exigences prévues par règlement.

Délai d'établissement du statut d'EPV – Sociétés d'assurance-vie

Les sociétés d'assurance-vie doivent prendre des mesures raisonnables pour établir si une personne qui fait un dépôt de 100 000 $ ou plus lors de la souscription d'une rente immédiate ou différée ou d'une police d'assurance-vie pour son propre compte ou celui d'un tiers est un EPV ^{Note de bas de page 45}. Cette personne n'est peut-être pas le titulaire de la police.

L'établissement du statut d'EPV doit se faire dans les 14 jours suivant l'opération de paiement^{Note de bas de page 46}.

Points dont il faut tenir compte au moment d'établir un statut d'EPV

La LRPCFAT et le RRPCFAT obligent les IFF à prendre des « mesures raisonnables » pour faire l'établissement d'un statut d'EPV. Les mesures raisonnables pourraient comprendre ce qui suit :

• Demander à la personne des renseignements qui pourraient indiquer son statut d'EPV, par exemple, liens actuels ou précédents aux relations prévues par règlement;
• À l'aide du nom et des autres renseignements personnels de la personne, faire des recherches dans un fichier accessible par abonnement ou ouvert au grand public afin de recueillir plus d'information à son sujet; ou
• Une combinaison des deux.

Demande de renseignements au client

Si les IFF choisissent de demander des renseignements à la personne, elles doivent se rappeler qu'elles ne doivent pas s'attendre à ce que les clients connaissent les critères qui déterminent s'ils sont des EPV. Les IFF doivent aussi savoir qu'elles n'ont aucune obligation de dire au client qu'elles doivent le classer dans une catégorie, ou qu'il est nécessaire de le faire.

Une approche raisonnable consisterait à demander au client s'il a actuellement, ou s'il a déjà eu, une relation prévue par règlement avec un État ou un gouvernement étranger, militaire ou judiciaire. La portée des questions pourrait être élargie aux membres de la famille ayant des liens semblables. Si les réponses ne sont pas claires et convaincantes, il peut être nécessaire d'approfondir l'analyse et d'exercer une diligence raisonnable accrue avant d'arrêter une décision. On pourrait, par exemple, demander au requérant plus de renseignements, faire des recherches sur Internet et consulter un fichier public pour trouver le nom de la personne (les noms des personnes).

Le CANAFE a publié une brochure dont peuvent se servir les IFF pour expliquer à leurs clients, s'il y a lieu, la raison pour laquelle elles doivent faire une recherche au sujet de leurs antécédents. La brochure en question est publiée sur le site Internet du CANAFE.

Consultation d'un fichier commercial

Les IFF qui décident de passer au crible le nom de la personne et d'autres renseignements personnels en se servant d'un fichier commercial ou accessible au public doivent s'assurer de :

• déterminer si le fournisseur indique dans la base de données les personnes correspondant à la définition d'EPV au sens de la LRPCFAT et du RRPCFAT. La plupart de ces bases de données sont élaborées au moyen d'information publique. Si les membres de la famille d'un EPV ne sont pas bien connus, il n'y a aucune garantie que leur nom figurera dans la base de données;
• établir la fréquence et la méthode utilisées pour mettre à jour les renseignements figurant dans la base de données, y compris si le fournisseur retire les noms des titulaires d'une charge quand ils quittent leur fonction ou décèdent. Si c'est le cas, le nom des personnes ayant déjà été un EPV pourrait ne pas figurer dans la base de données en question;
• instaurer un processus pour supprimer les fausses correspondances positives et déterminer d'autres mesures à prendre si l'information contenue dans la base de données ne permet pas de tirer une conclusion;
• être en mesure de passer au crible la liste de nom des clients de tous les secteurs d'activités, spécialement si les procédures de l'IFF sont manuelles, si ses systèmes sont anciens ou si elle a recours à la base de données pour passer au crible le nom des personnes désignées en vertu de la réglementation sur la lutte contre le financement des activités terroristes.

Le BSIF ne s'attend pas à ce que les IFF consultent un fichier sur les clients pour établir qu'une personne est un EPV quand les renseignements obtenus du client démontrent qu'il est un EPV. Les clients qui, au départ, fournissent des renseignements établissant sans l'ombre d'un doute qu'ils sont des EPV doivent recevoir le statut d'EPV et il est inutile de consulter des bases de données à leur sujet si ce n'est que pour obtenir des renseignements généraux ou plus de détails.

Se reporter aux observations sur les « mesures raisonnables » à la rubrique « Diligence raisonnable à l'endroit des clients » ci-dessus. Les IFF doivent veiller à ce que la détermination soit effectuée d'après l'évaluation des renseignements reçus d'un client ou tirés d'un fichier.

Lorsqu'il est établi qu'un client est un EPV et que l'IFF est au courant que des membres de sa famille le sont aussi selon la définition figurant dans la LRPCFAT, l'IFF doit aussi veiller à ce que le nom de ces membres de la famille soit passé au crible dans ses bases de données sur les clients pour déterminer s'il y a des comptes ouverts à leur nom par l'IFF.

Les IFF qui font appel à des agents ou mandataires (courtiers en dépôts, courtiers en hypothèques et autres) pour identifier leurs clients et qui remettent à ceux-ci les données d'identification des clients demeurent responsables de déterminer si une personne est un EPV. Les IFF peuvent confier la responsabilité de recueillir l'information nécessaire pour qu'elles puissent établir si le client est un EPV, mais c'est l'IFF, et non l'agent qui est chargé d'établir et d'appliquer les mesures prévues par règlement en conséquence. Les IFF doivent veiller à ce que les agents ou mandataires chargés de recueillir l'information comprennent ce qu'ils doivent faire et être persuadées qu'ils le font.

Si le nom du client figure dans un fichier public, mais que l'IFF établit que le client n'est pas un EPV, l'IFF pourrait prendre la chose en note pour pouvoir dans l'avenir la consulter ou pour la guider dans une future évaluation des risques.

Ce qui se passe une fois qu'une personne est établie comme étant un EPV

Une fois qu'il est établi qu'un client est un EPV, cette désignation est irréversible et immuable, sauf s'il s'agit d'une erreur. La définition d'EPV précise que le ou les critères qui déterminent la qualité d'EPV demeurent pour toujours.

Quand il est établi qu'un client est un EPV, l'IFF doit :

• Prendre des mesures raisonnables pour déterminer la provenance des fonds de l'EPV (c.-à-d., comment le client a acquis les fonds déposés dans le compte); voir ci-après, « Application de l'établissement d'une personne à titre d'EPV à la provenance au Canada des fonds ou des paiements »;
• Dans le cas des ID, obtenir l'approbation d'un dirigeant pour garder le compte ouvert; les sociétés d'assurance-vie doivent veiller à ce que l'opération soit vérifiée par un dirigeant;
• Surveiller de manière accrue et permanente le compte de l'EPV pour cerner les éventuelles opérations douteuses.

Dans les mesures raisonnables à prendre pour déterminer la provenance des fonds, l'IFF pourrait demander au client comment il en est arrivé à détenir les fonds. Les fonds pourraient provenir de diverses sources : économies réalisées grâce à un emploi; vente de placements; vente d'une entreprise; héritage; primes salariales et honoraires d'expert-conseil.

En ce qui concerne l'approbation par un dirigeant, cette personne doit être une personne occupant un poste de cadre supérieur habilitée à prendre une telle décision.

Les mesures raisonnables aux fins de la surveillance accrue et permanente des comptes de l'EPV pourraient s'agir de processus manuels ou automatisés ou d'une combinaison des deux, selon les ressources et les besoins, et pourraient comprendre les mesures suivantes :

• Préparer des rapports sur l'activité du compte de l'EPV ou examiner cette activité plus fréquemment et signaler les activités qui dévient des attentes et suscitent plus de préoccupations, s'il y a lieu.
• Mettre sur pied un comité de gestion chargé d'examiner périodiquement tous les EPV identifiés et leurs opérations.
• Examiner plus souvent les opérations en fonction des indicateurs d'opérations douteuses.

EPV au Canada et PPV du pays

La définition d'EPV prévue par la LRPCFAT précise que le pays de résidence ou la citoyenneté d'une personne n'a pas d'incidence sur l'établissement de sa qualité d'EPV. Les IFF devraient donc s'assurer que la méthode qu'elles utilisent pour établir si une personne est un EPV n'exclut pas certaines personnes du simple fait qu'elles peuvent être des citoyens ou des résidents canadiens.

Les IFF doivent peut-être s'assurer qu'elles font la distinction entre les EPV et les PPV du pays. Les PPV du pays ne font pas l'objet d'une définition distincte dans la LRPCFAT, bien qu'un EPV puisse aussi être une PPV du pays. Toutefois, les IFF n'ont aucune obligation légale d'identifier les PPV canadiennes en tant que tel, soit en examinant soit en signalant les opérations importantes, ni de quelque autre façon. En outre, même si les IFF savent qu'elles font affaire avec une PPV canadienne, elles ne sont absolument pas tenues, en vertu de la loi, d'appliquer les mesures qui visent les comptes des EPV, sauf si cette personne est un EPV.

Si une IFF est au courant qu'un client est une PPV canadienne, l'IFF doit évaluer son incidence éventuelle sur le risque global évalué que représente le client. Si le risque évalué est élevé, l'IFF doit appliquer des mesures renforcées de diligence raisonnable qu'elle juge appropriées.

Identification des EPV dans les filiales et succursales étrangères

En vertu de la LRPCFAT et du RRPCFAT, les IFF ne sont pas tenues d'appliquer les mesures visant les EPV dans leurs filiales et succursales à l'extérieur du Canada.

Lorsqu'une IFF est au courant qu'un client d'une filiale ou d'une succursale à l'extérieur du Canada est un EPV, l'IFF doit évaluer son incidence éventuelle sur le risque global évalué que représente le client. Si le risque évalué est élevé, l'IFF doit appliquer des mesures renforcées de diligence raisonnable qu'elle juge appropriées.

Les opérations des succursales et filiales étrangères peuvent être assujetties aux lois locales en matière de LRPC-FAT, qui peuvent exiger l'identification et la surveillance des PPV, y compris les EPV.

Identification des EPV qui détiennent ou contrôlent 25 % ou plus des clients qui sont des personnes morales ou des entités ou qui sont des administrateurs ou cadres de ces personnes morales ou entités

Conformément à la LRPCFAT et au RRPCFAT, les IFF ne sont pas tenues d'appliquer le processus d'établissement de statut d'EPV aux personnes qui détiennent ou contrôlent 25 % ou plus des clients qui sont des personnes morales ou des entités ou qui sont des administrateurs ou cadres de ces personnes morales ou entités.

Si une IFF est au courant qu'une personne détenant ou contrôlant 25 % ou plus d'un client qui est une personne morale ou une entité ou qui est un directeur ou cadre de cette personne morale ou entité est un EPV, elle doit évaluer l'effet, le cas échéant, que cela pourrait avoir sur le risque évalué global de la personne morale ou de l'entité cliente. Si le risque évalué est élevé, l'IFF doit faire preuve de diligence raisonnable accrue qu'elle juge appropriée, ce qui pourrait se traduire ainsi :

• déterminer si l'EPV est un client de l'IFF et, si c'est le cas, s'il convient d'appliquer des procédures de surveillance accrue à l'égard des opérations du client et de l'EPV;
• surveiller plus étroitement le compte du client.

Application de l'établissement d'une personne à titre d'EPV aux sources canadiennes de fonds ou des paiements

Dans le cas des sociétés d'assurance-vie, le RRPCFAT ^{Note de bas de page 47} ne semble pas faire une distinction entre les paiements nationaux et étrangers. Il semble donc que les sociétés d'assurance-vie doivent appliquer le processus d'établissement à titre d'EPV aux fonds réglementaires provenant de toutes les sources, nationale ou étrangère.

Dans le cas des ID, les transferts nationaux déposés dans un compte ou prélevés sur un compte n'exigent pas de vérifier si une personne est un EPV^{Note de bas de page 48}.

Cependant, si une ID a déjà établi qu'un client est un EPV, le BSIF estime qu'il faut évaluer les risques pour déterminer s'il y a lieu de surveiller les transferts qui entrent au pays.

Sociétés clientes pouvant émettre des actions au porteur

L'identification d'une société cliente qui peut émettre des actions au porteur peut exiger des mesures d'identification particulières. Les actions au porteur peuvent cacher l'identité des propriétaires effectifs de la société cliente. Si ces actions devaient représenter dans l'ensemble plus de 25 % du capital de cette société, l'IFF pourrait ne pas être en mesure d'identifier le ou les propriétaires effectifs.

Lorsqu'une IFF estime (à l'aide des catégories de risque précisées ci-dessus) qu'il peut y avoir un risque à traiter avec cette société cliente, l'IFF doit appliquer des mesures raisonnables pour atténuer ce risque. Les mesures raisonnables devraient toujours comprendre l'obtention de l'identité de la ou des personnes ayant la propriété effective de 25 % ou plus des actions de la société, compte tenu de toutes les actions émises au porteur et en circulation, et pourraient comprendre aussi une ou plusieurs des mesures suivantes :

• Demander à la société cliente d'immobiliser toutes actions émises au porteur et en circulation : par exemple, en prenant des arrangements pour que les certificats de ces actions soient placés chez un dépositaire, comme un fiduciaire. Ces arrangements devraient permettre à l'IFF de :
  • Vérifier sur demande que les actions sont toujours détenues chez le dépositaire;
  • Se faire notifier, en temps opportun, tout changement dans la propriété des actions pouvant modifier cette information.
• Demander à la société cliente de modifier sa charte, en y supprimant la faculté d'émettre des actions au porteur et en restreignant l'émission de nouvelles actions;
• Demander à la société cliente d'annuler toutes les actions émises au porteur et en circulation et de les remplacer par des actions dûment enregistrées.

Les IFF doivent s'assurer que les mesures prises sont consignées par écrit.

Correspondant bancaire

Aux fins de la présente ligne directrice, le terme « relation de correspondant bancaire » est utilisé dans le sens qui lui est donné dans la LRPCFAT.

Les banques établissent entre elles des relations de correspondant bancaire pour faciliter notamment les opérations effectuées entre les banques en leur propre nom et les opérations effectuées au nom de leurs clients, et pour rendre leurs services directement accessibles aux clients des autres banques. Ces services comprennent les activités de dépôt interbancaire, les transferts de fonds électroniques internationaux; la gestion du numéraire; les services de compensation et de paiement; le recouvrement de sommes d'argent; le paiement des services de change; le traitement des paiements des clients (en monnaie nationale ou en devises); et les comptes de transit.

Le GAFI estime que les relations de correspondant bancaire avec les institutions financières étrangères (IFE) sont un secteur à risque élevé spécifique, et par conséquent, la LRPCFAT et le RRPCFAT prévoient des mesures^{Note de bas de page 49} que doivent appliquer les IFF qui entreprennent une relation de correspondant bancaire avec des IFE et les clients de celles-ci.

Les IFF qui offrent des comptes de transit aux clients des IFE doivent prendre des mesures raisonnables pour vérifier si les IFE satisfont aux exigences qui les obligent à établir avec certitude l'identité de ces clients et si ces exigences sont conformes aux prescriptions du RRPCFAT; les IFF doivent également veiller à ce que les IFE leur transmettent, sur demande, des renseignements pertinents d'identification des clients. Les mesures raisonnables à prendre pour satisfaire ces exigences sont les suivantes :

• Obtenir copie des politiques des IFE concernant le RPC, notamment sa politique relative à l'acceptation des clients, et vérifier si elles sont conformes aux exigences du RRPCFAT;
• S'assurer que le contrat intervenu avec l'IFE impose à cette dernière l'obligation de fournir à l'IFF, sur demande^{Note de bas de page 50}, les renseignements pertinents au sujet de l'identification des clients.

Les mesures raisonnables à prendre pour assurer une surveillance générale des relations de correspondant bancaire pourraient notamment comprendre ce qui suit :

• Instaurer et mettre périodiquement à jour un système de notation du risque de RPC par pays et attribuer une note à chaque pays dans lequel une relation de correspondant bancaire a été établie en vue d'assurer un niveau de surveillance approprié;
• Examiner le rapport d'évaluation mutuelle faite par le GAFI (ou par un organisme régional du genre du GAFI) ou une autre évaluation des mesures prises par le pays d'attache de l'IFE pour mettre en œuvre les 40 recommandations du GAFI et les neuf recommandations spéciales.
• Examiner la propriété et les antécédents de l'IFE.
• Acquérir la conviction que les activités de l'IFE sont autorisées, réglementées et surveillées par l'autorité de réglementation pertinente de son pays d'attache.
• Rencontrer les cadres de l'IFE, ou établir avec eux une autre forme de communication, pour comprendre jusqu'à quel point ils s'engagent à contrôler efficacement le RPC et le FAT ainsi que les principales dispositions des politiques et procédures de LRPC-FAT de l'IFE, par exemple, celles portant sur l'acceptation des clients.
• Avoir recours aux services de tiers crédibles (par exemple, ceux fournissant un recueil de documents ou des cotes de LRPC-FAT) comme source de renseignements supplémentaires sur l'IFE et le contexte réglementaire dans lequel elle évolue.

Lorsqu'une IFF acquiert la certitude, conformément à l'art. 55.1 du RRPCFAT, qu'une sanction a été imposée au civil ou au criminel contre une IFE par suite d'un manquement aux exigences relatives à la LRPC-FAT, ou lorsqu'une IFF acquiert la certitude que l'IFE n'a pas instauré les politiques et procédures prévues par le paragraphe 15.1(3) de la LRPCFAT, alors l'IFF, afin de détecter toute opération douteuse devant être déclarée au CANAFE en vertu de l'article 7 de la LRPCFAT, doit exercer une surveillance continue de toutes les opérations ayant trait à la relation de correspondant bancaire pour atténuer les risques élevés ^{Note de bas de page 51}. Le niveau de surveillance à exercer en cas de sanctions reconnues contre l'IFE doit être déterminé en fonction du contexte, de la gravité et du type de sanctions imposées à l'IFE. Les mesures raisonnables à instaurer pourraient comprendre ce qui suit :

• Examiner plus en détail le processus utilisé par l'IFE pour l'acceptation des clients et l'évaluation des risques que représentent ses clients, produits et services;
• Offrir de la formation aux agents de l'IFF au sujet des exigences de surveillance accrue des opérations qu'il faut appliquer à l'égard de la relation, y compris les opérations des clients de l'IFE qui sont autorisés à accéder aux services bancaires de l'IFE;
• Confier la responsabilité de la relation à un cadre d'un niveau plus élevé;
• Vérifier les opérations dont le montant dépasse un certain seuil (au moyen d'une méthode fondée sur le risque) déterminé en analysant le risque lié au client, le risque lié à la relation commerciale, le risque lié aux produits/services, le risque lié au mode de distribution, le risque géographique ou d'autres facteurs de risque pertinents;
• Examiner la méthode utilisée par l'IFE pour surveiller les opérations, en particulier celles qui en fin de compte génèrent une opération devant être traitée par l'ID (p. ex., un virement télégraphique international et le paiement en vertu d'une lettre de crédit), préparer un résumé des principales politiques et procédures de LRPC-FAT de l'IFE et fournir des détails sur la diligence raisonnable exécutée;
• Faire preuve de diligence raisonnable axée sur les risques rétrospective à l'égard des clients ayant recours à une relation de correspondant bancaire en utilisant les normes et critères de l'IFF instaurés en accord avec la LRPCFAT et le RRPCFAT;
• Considérer la possibilité de restreindre les services relatifs aux comptes de transit ou d'y mettre fin, s'il ressort de l'analyse de la relation par l'IFF que les politiques et procédures de l'IFE ne satisfont pas aux normes prévues à l'article 55.2 du RRPCFAT.

L'IFF qui sert de banque intermédiaire n'est peut-être pas en position de comprendre le but des télévirements demandés par des clients des IFE ou d'autres banques, ni de procéder à un examen de la DRC au sujet de ces clients. Par conséquent, cette IFF qui reçoit un paiement de couverture pour des opérations n'est peut-être pas en mesure de déterminer si les télévirements liés à ce paiement de couverture sont douteux, à la lumière de son interprétation des activités du demandeur (et du bénéficiaire, si le bénéficiaire n'est pas un client de l'IFF). Il est possible cependant, pour les IFF servant d'intermédiaire, de vérifier les opérations qu'elles traitent pour déceler un profil d'activités qui serait douteux, de déclarer les opérations douteuses ou les tentatives d'opération douteuse et, lorsque les opérations sont associées à une IFE en particulier, de revoir la relation avec cette IFE.

Traitement des télévirements

Tous les renseignements prévus par la LRPCFAT et le RRPCFAT, y compris l'information concernant le demandeur^{Note de bas de page 52}, doivent être joints à tous les télévirements internationaux et tous les paiements nationaux effectués au moyen du système SWIFT provenant des IFF.

En outre, les IFF doivent prendre des mesures raisonnables pour garantir que les télévirements reçus comprennent l'information concernant le demandeur. Les IFF qui servent de banque intermédiaire devraient élaborer et mettre en place des politiques et procédures raisonnables pour surveiller les données des messages de paiement après le traitement. Ces mesures devraient faciliter la détection des cas où les champs de message obligatoires sont remplis, mais manquent de clarté, ou des cas où les données inscrites dans les champs de message sont dépourvues de sens. Les mesures raisonnables pourraient comprendre ce qui suit :

• Communiquer avec la banque du demandeur ou la banque intermédiaire précédente pour obtenir des éclaircissements ou compléter les renseignements inscrits dans les champs obligatoires;
• Considérer la possibilité (dans les cas d'incidents répétés impliquant le même correspondant ou dans les cas où le correspondant refuse de fournir des renseignements supplémentaires) de restreindre la relation avec le correspondant ou avec la banque intermédiaire ou d'y mettre fin; et/ou
• Produire une déclaration d'opération douteuse.

Les motifs des décisions prises devraient être consignés par écrit.

Financement commercial

Les services traditionnels de financement commercial comprennent les lettres de crédit et d'autres produits financiers qui donnent aux IFF l'occasion de visionner et d'évaluer les détails de l'opération qui entraîne un paiement international.

Les IFF qui impartissent les services de financement commercial à d'autres institutions financières devraient s'assurer que cette impartition est prise en compte dans l'évaluation de ses risques inhérents. Si l'évaluation indique que le risque de RPC et de FAT est élevé, l'IFF devrait mettre en place des mesures raisonnables pour contrôler le risque. Les mesures raisonnables pourraient comprendre ce qui suit :

• Procéder à une analyse des politiques et des pratiques du fournisseur;
• Indiquer au fournisseur les mesures de contrôle que l'IFF s'attend à voir instaurées par ce dernier en matière de LRPC-FAT. L'IFF devrait se réserver le droit de vérifier ces mesures.

Le BSIF reconnaît que les IFF dont les services sont utilisés pour faire des paiements liés au financement commercial sur un compte ouvert n'ont peut-être pas l'occasion de vérifier la nature de l'opération commerciale sous-jacente du client. Les mesures raisonnables à prendre contre ce risque pourraient comprendre ce qui suit :

• Vérification périodique des activités du client qui rendent nécessaires de tels paiements, au moyen de documents ou de renseignements provenant d'une source ouverte crédible;
• Examen périodique des renseignements sur les télévirements pour vérifier si l'entreprise du client comporte une importante activité sur le plan des opérations;
• Examen périodique des opérations du client et comparaison avec les dossiers de l'IFF faisant état du but recherché du compte;
• Rencontre avec le client ou autre forme d'interaction avec ce dernier;
• Confirmation périodique que le client ne correspond pas à l'un des types d'entreprise auxquels l'IFF a décidé, pour une question de politique, de ne pas fournir de services.

Sous-facturation et surfacturation des biens et services

Le GAFI a signalé^{Note de bas de page 53} que le recyclage des produits de la criminalité sous forme de sous- et sur-facturation est l'une des plus anciennes méthodes de transférer frauduleusement des fonds d'une frontière à l'autre et demeure une pratique courante. L'élément clé de la technique est la représentation faussée du prix du bien ou du service en vue de transférer une valeur supplémentaire entre l'importateur et l'exportateur. Le GAFI a repéré bien des cas du genre.

Facturation multiple des biens et services

En facturant plus d'une fois le même bien ou service, un auteur du recyclage des produits de la criminalité pourrait être en mesure de justifier de multiples paiements pour la même livraison de biens ou exécution de services, spécialement si plus d'une institution financière est utilisée. La facturation multiple évite de devoir mal représenter les prix.

Livraison de biens et services en trop ou en moins

Une troisième méthode pour transférer illicitement des fonds consiste à transférer davantage ou moins de biens ou pas du tout.

Autres techniques plus complexes de recycler les produits de la criminalité par le commerce

Les techniques qui précèdent peuvent être combinées en une série d'accords plus complexes. Par exemple, le soi-disant marché noir du peso est une technique connue pour recycler les produits de la vente de drogues. Pour plus de précisions sur les techniques et les typologies associées à cette forme de recyclage ou à toute autre forme de recyclage des produits de la criminalité par le commerce, les IFF sont invitées à consulter les documents du GAFI affichés sur le site Web de l'organisme.

Évaluer les risques des services de financement commercial et les mesures améliorées pour atténuer le risque évalué

Quand le risque évalué de RPC ou de FAT dans un financement commercial est élevé, les IFF doivent mettre en œuvre des mesures raisonnables pour atténuer le risque d'emploi abusif des mécanismes de financement international. Voici des mesures raisonnables qui pourraient être appliquées.

• Évaluer périodiquement sur place les risques liés aux clients et aux procédures qu'ils appliquent;
• Examiner l'acheminement des expéditions et noter les ports d'escale et les points de transbordement qui ne sont pas conformes à une opération commerciale standard; par exemple, une expédition d'acier en provenance du Canada et à destination de l'Asie acheminée par un port européen ou un pays où il n'y a aucune raison apparente de le faire ou quand le routage ou le transporteur se trouve dans un pays à risque élevé;
• Soumettre des demandes mettant en cause des lettres de crédit pour couvrir des expéditions de biens qui ne sont pas conformes aux modèles commerciaux habituels du requérant pour examiner plus en détail et noter les résultats dans les dossiers du client;
• Recenser les écarts importants (entre les divers clients, les diverses expéditions ou les cours du marché) dans les prix d'un bien ou d'une marchandise financé sous forme d'une lettre de crédit et déterminer le bien-fondé commercial de ces écarts;
• Présenter d'autres demandes de renseignements au sujet de la justification commerciale des opérations mettant en cause de multiples banques et paiements circulant par l'entremise d'intermédiaires plutôt que directement de la banque de l'importateur à la banque de l'exportateur.

Technologies nouvelles et en développement

Il arrive souvent que l'évolution technologique entraîne la création de nouveaux produits et services financiers. Cela peut abaisser les coûts, améliorer le service à la clientèle et élargir les marchés. Les IFF devraient instaurer des politiques et des procédures pour veiller à ce que ces technologies nouvelles ou en cours de développement soient prises en compte dans leur processus d'évaluation des risques inhérents. Les IFF peuvent ainsi s'assurer que des mécanismes de contrôle de LRPC-FAT pertinents sont en place et, s'il y a lieu, élaborer ou modifier les mécanismes de contrôle pour prendre les nouveaux risques en compte. Voici des exemples de technologies nouvelles ou en cours de développement : cartes à valeur stockée qui peuvent permettre aux clients de télécharger ensuite les fonds dans un compte de dépôt ou de crédit, la technologie des téléphones mobiles et les divers services de monétique présentant des caractéristiques similaires.

TENUE ET CONSERVATION DES DOSSIERS

Les procédures de tenue des documents et des dossiers électroniques contenant de l'information pertinente au sujet des clients et des opérations doivent garantir que l'IFF se conforme à toutes les exigences de tenue de dossiers de la LRPCFAT et du RRPCFAT, notamment :

• En ce qui a trait aux clients qui sont des sociétés : renseignements prévus par règlement, s'ils sont obtenus, au sujet des propriétaires effectifs des sociétés clientes et autres renseignements prévus par règlement concernant les sociétés par actions et autres entités ^{Note de bas de page 54}.
• En ce qui a trait aux importantes opérations en espèces : relevés d'opération importante en espèces^{Note de bas de page 55}; dossiers connexes des clients^{Note de bas de page 56}.
• En ce qui a trait aux ouvertures de comptes : renseignements prévus par règlement au sujet des personnes et des entités qui ouvrent un compte sans carte de crédit^{Note de bas de page 57}; renseignements prévus par règlement au sujet des titulaires de carte de crédit qui ouvre un compte^{Note de bas de page 58}.
• En ce qui a trait à la tenue de compte : ententes concernant la tenue de comptes^{Note de bas de page 59} et autres renseignements prévus^{Note de bas de page 60} pour les comptes sans carte de crédit et données à tenir pour les comptes avec carte de crédit^{Note de bas de page 61}.
• En ce qui a trait aux opérations de crédit : nouveaux dossiers de crédit^{Note de bas de page 62}.
• En ce qui a trait aux opérations de change : billets d'opération de change^{Note de bas de page 63}.
• En ce qui a trait aux opérations de 3 000 $ et plus avec des non-titulaires de compte : renseignements prévus par règlement concernant les chèques de voyage, mandats ou instruments négociables semblables ^{Note de bas de page 64}.
• En ce qui a trait aux télévirements reçus prévus par règlement : renseignements prévus par règlement^{Note de bas de page 65}.
• En ce qui a trait aux fiducies dont les sociétés de fiducie sont des fiduciaires : copie de l'acte de fiducie et autres renseignements prévus par règlement^{Note de bas de page 66}.
• En ce qui a trait aux comptes des EPV : bureau ou poste de l'EPV et autres renseignements prévus par règlement^{Note de bas de page 67}.
• En ce qui a trait aux opérations des EPV : bureau ou poste de l'EPV et autres renseignements prévus par règlement^{Note de bas de page 68}.
• En ce qui a trait aux comptes de carte de crédit, aux ouvertures de compte et aux comptes des EPV: bureau ou poste de l'EPV et autres renseignements prévus par règlement^{Note de bas de page 69}.
• En ce qui a trait aux relations de correspondant bancaire étranger : nom, adresse et autres renseignements prévus par règlement^{Note de bas de page 70}.
• En ce qui a trait aux achats de rentes immédiates ou différées ou de polices d'assurance-vie auprès de sociétés d'assurance-vie pour lesquelles le client peut verser 10 000 $ ou plus pendant la durée de la rente ou de la police : renseignements au dossier au sujet du client^{Note de bas de page 71}.
• En ce qui a trait aux opérations douteuses et aux tentatives d'opérations douteuses : enquêtes et conclusions.

Le BSIF s'attend à ce que les IFF utilisent les méthodes et formats de tenue de dossiers qui conviennent à leur situation particulière, pourvu que les dossiers qui doivent être conservés, en vertu de la LRPCFAT et du RRPCFAT, soient en règle générale conservés pendant au moins cinq ans ^{Note de bas de page 72} et qu'ils soient mis à la disposition des autorités compétentes en temps opportun, ce qui correspond à un délai de 30 jours à compter de la présentation de la demande. ^{Note de bas de page 73}

Il faut tenir à jour les renseignements concernant les clients pour refléter les exigences réglementaires et le fait que l'IFF connaît toujours le client, les activités du client et l'objet de la relation avec le client, ce qui facilite la surveillance des opérations douteuses et des tentatives d'opérations douteuses.

Il faudrait mettre en œuvre un processus relativement à la documentation incomplète pour la compléter et la tenir à jour avant d'effectuer plus d'opérations ou des opérations non restreintes.

DÉCLARATION DES OPÉRATIONS

Généralités

La LRPCFAT et le RRPCFAT exigent de présenter au CANAFE des rapports sur les opérations importantes en espèces, les télévirements, les opérations douteuses et les tentatives d'opérations douteuses.

Les IFF doivent veiller à ce que leurs processus de déclaration internes soient conçus de façon à se conformer aux exigences de déclaration réglementaires ayant trait aux systèmes d'établissement des relevés d'opérations. Il faut consigner par écrit les problèmes de conformité généralisés, les acheminer au CLRPC et les porter à l'attention du CANAFE. Les mesures de contrôle devraient comprendre l'indication de mesures correctives conçues pour éradiquer les problèmes de conformité. Par exemple, les IFF doivent rapidement aviser le CANAFE des erreurs ou omissions qui se sont glissées dans les rapports sur les opérations importantes en espèces, les rapports sur les télévirements ou les ROD. Lorsqu'elles produisent un rapport, les IFF devraient accorder une attention spéciale aux codes d'erreur du CANAFE et prendre les mesures correctives en temps opportun lorsque le CANAFE mentionne des erreurs dans les rapports ou d'autres problèmes de conformité. Les IFF doivent confirmer auprès du CANAFE le moment où les mesures correctrices produisent les résultats escomptés.

Opérations douteuses, tentatives d'opérations douteuses et rapports sur les biens appartenant à des terroristes

Au sens de la LRPCFAT, les opérations douteuses et les tentatives d'opérations douteuses s'entendent des opérations à l'égard desquelles il y a des motifs raisonnables de soupçonner que l'opération ou la tentative d'opération est liée à la perpétration, réelle ou tentée, d'une infraction de RPC ou de FAT.^{Note de bas de page 74} Il n'y a pas de montant seuil applicable aux opérations douteuses ou aux tentatives d'opération douteuse.

Une opération ou une tentative d'opération que le BSIF soupçonne de manière raisonnable être liée à une infraction de recyclage des produits de la criminalité doit être déclarée au CANAFE. Un bien que détient ou contrôle une IFF et que l'IFF sait, ou a des motifs raisonnables de croire, qu'il est détenu ou contrôlé par ou au nom d'un terroriste ou d'un groupe terroriste doit être déclaré au CANAFE. Il s'agit notamment de l'information au sujet de toute opération ou opération proposée en rapport avec ce bien.

L'obligation de déclarer les opérations douteuses, les tentatives d'opérations douteuses et les biens des terroristes ^{Note de bas de page 75} vise à aider les autorités canadiennes chargées de l'application de la loi dans le cadre de leurs enquêtes et poursuites pour infraction de RPC et de FAT et des infractions sous-jacentes. Il est primordial pour les IFF d'instaurer des processus robustes de surveillance, d'examen et de déclaration continus pour contribuer à ces efforts d'application de la loi.

Les IFF doivent relever les opérations douteuses et les tentatives d'opérations douteuses à la lumière des activités ou des opérations inusitées. Les procédures appliquées pour repérer les activités inusitées doivent refléter le contexte et l'objet de l'opération (des opérations), des personnes en cause, du moment et de l'endroit où elle s'est produite, des produits et services en cause et de la manière dont elle était structurée et devrait être consignée.

Les ROD doivent être déposés rapidement, conformément aux exigences réglementaires. Il faut conserver la documentation à l'appui ^{Note de bas de page 76}, conformément aux prescriptions réglementaires, et la mettre à la disposition des autorités responsables de l'application de la loi dans les délais prévus par règlement.

Les IFF doivent s'assurer que l'information concernant les ROD, y compris le fait qu'il y a une opération douteuse et (ou) un ROD, demeure strictement confidentielle. Le nom du ou des clients en cause ne doit pas ressortir dans une déclaration et les renseignements détenus par l'IFF

doivent être exclusivement communiqués au CLRPC et à d'autres intervenants en cas de nécessité absolue.

Le RRPCFAT^{Note de bas de page 77} exige que les IFF prennent des mesures raisonnables pour établir avec certitude l'identité de toutes les personnes qui sont intervenues dans une opération douteuse ou une tentative d'opération douteuse, sauf si leur identité a déjà été établie avec certitude conformément à la réglementation. Bien que les mesures raisonnables puissent comprendre les pratiques normales d'identification du client, on doit faire attention à ce que ces pratiques, si elles sont utilisées, n'aient pas pour effet de rendre public le nom du client.

Regroupement des opérations en espèces

Le RRPCFAT stipule^{Note de bas de page 78} que lorsque deux ou plus de deux opérations en espèces de moins de 10 000 $ chacune sont faites sur une période de 24 heures et se montent globalement à 10 000 $ ou plus, l'ensemble des opérations est considéré comme une seule et même opération de 10 000 $ ou plus aux fins de déclaration, si l'IFF sait que les opérations sont effectuées par la même personne ou société, ou en son nom, ou si un employé ou un dirigeant de l'IFF sait que les opérations sont effectuées par la même personne ou société, ou en son nom.

Aux fins de l'interprétation de la présente règle, les IFF qui ont des systèmes leur permettant de savoir, en créant un fichier des multiples opérations en espèces visées par la présente règle, que les opérations sont effectuées par le même client, ou en son nom, doivent veiller à ce que ces opérations soient amalgamées et déclarées au CANAFE comme une importante opération en espèces.

FORMATION

Des programmes de formation efficaces à l'intention du personnel et d'autres (au besoin) sont un volet obligatoire et important des programmes de LRPC-FAT des IFF.

Les IFF doivent veiller à ce que des programmes de formation concernant la LRPC-FAT soient rédigés et maintenus à jour. Une formation appropriée doit être envisagée pour la haute direction, les employés, les mandataires et toutes autres personnes éventuellement chargées des activités de contrôle, des résultats ou de la supervision, ou habilitées à agir au nom de l'IFF dans le cadre du RRPCFAT^{Note de bas de page 79}. La nature et le contenu de la formation doivent être fonction des responsabilités de chaque groupe visé en matière de LRPC-FAT et des relations de l'IFF avec le groupe. Plus particulièrement, le programme de formation doit être adapté sur mesure afin de donner aux participants le genre d'information, les compétences et le niveau de détail nécessaires pour s'acquitter efficacement de leurs fonctions ayant trait à la LRPC-FAT dans chaque cas.

Les programmes de formation de la haute direction doivent fournir suffisamment d'information sur les risques inhérents et sur les mécanismes de contrôle pour leur permettre d'évaluer efficacement l'information qui leur est transmise par le CLRPC et l'auditeur, et d'exercer une supervision efficace du programme de LRPC-FAT.

AUTO-ÉVALUATION DES MÉCANISMES DE CONTRÔLE

Les IFF doivent veiller à procéder à une auto-évaluation des mécanismes de contrôle, permanente de préférence, mais à tout le moins annuelle. L'évaluation des mécanismes de contrôle de la LRPC-FAT est un volet important de la supervision du programme de LRPC-FAT, puisqu'il en assure la qualité.

Bien que les évaluations dans chacun des secteurs d'activités puissent, et devraient, être faites par des personnes qui y sont affectées, les IFF devraient veiller à ce que le processus d'évaluation soit conçu pour permettre la consolidation des résultats de chaque secteur, pour fins d'analyse et d'autres fins.

L'auto-évaluation au sein de chaque secteur pertinent de l'IFF doit porter, à tout le moins, sur la pertinence de l'évaluation des risques inhérents, les politiques et les procédures de LRPC-FAT, la formation et les autres mécanismes de contrôle mis en place pour atténuer les risques liés au RPC et au FAT.

Les IFF doivent veiller à ce que l'auto-évaluation ne soit ni trop précise ni trop générale. Par exemple, une évaluation précise fondée sur la loi/réglementation pourrait omettre de traiter des mesures de contrôle plus larges du RPC et du FAT. De la même façon, une évaluation fondée sur les opérations pourrait omettre de traiter des mécanismes de contrôle prévus par règlement.

Tous les renseignements importants utilisés dans le cadre du processus d'auto-évaluation doivent être vérifiés ou facilement vérifiables. Les méthodes utilisées à cette fin sont fonction de la taille, de la complexité et de la structure de gouvernance de l'IFF. Les mesures raisonnablement efficaces observées par le BSIF semblent s'inscrire dans une ou plusieurs des catégories suivantes :

1. Le CLRPC oblige les secteurs d'activités à fournir de l'information sur la méthodologie utilisée pour l'évaluation ou la réévaluation des mesures de contrôle du RPC et du FAT pour appuyer les résultats de leur évaluation;
2. Le CLRPC oblige les secteurs d'activités à démontrer qu'ils ont, pièces à l'appui, des résultats de leurs évaluations.
3. Le CLRPC analyse et confirme les résultats des évaluations;
4. Une combinaison de ces catégories.

L'auto-évaluation des mesures de contrôle doit procurer à l'IFF :

• Des indications intéressantes sur l'efficacité des moyens de contrôle du programme de LRPC-FAT, et une appréciation du succès global du programme dans la réduction adéquate des risques inhérents déterminés de RPC et de FAT.
• Des renseignements pour l'aider à établir des priorités dans ses efforts de rectification si des mécanismes de contrôle ne donnent pas les résultats escomptés et des occasions de réaliser des économies d'échelle en réaffectant davantage de ressources aux secteurs à haut risque.

VÉRIFICATION DE L'EFFICACITÉ

À l'instar de l'évaluation des risques inhérents et des mécanismes de contrôle de la gestion des risques, la vérification de l'efficacité du programme de LRPC-FAT est un volet important du contrôle de la qualité du programme de LRPC-FAT et doit faire partie intégrante du programme de LRPC-FAT de l'IFF aux termes de la loi.

En vertu du RRPCFAT^{Note de bas de page 80}, les composantes suivantes du programme de LRPC-FAT doivent faire l'objet d'un examen pour fin de vérification de l'efficacité aux deux ans :

• Politiques et procédures
• Évaluations des risques
• Programmes de formation

Le RRPCFAT^{Note de bas de page 81} précise aussi le contenu minimal des rapports sur la vérification de l'efficacité ainsi que les délais de présentation à un dirigeant.

En outre, il serait prudent de la part des IFF de veiller à la vérification de l'efficacité de tous les autres éléments du programme de LRPC-FAT dans des délais similaires.

Les IFF ont accès à des auditeurs internes ou externes (ou les deux) et doivent donc s'assurer que l'auditeur soit responsable de la vérification de l'efficacité. Or, cela n'empêche pas l'auditeur d'impartir en tout ou en partie la vérification de l'efficacité à des tiers compétents, tout en demeurant responsable du programme de vérification de l'efficacité. Les IFF doivent veiller à intégrer dans le mandat de l'auditeur, et dans le programme d'audit, la vérification de l'efficacité du programme de LRPC-FAT.

La vérification de l'efficacité peut se faire seule ou dans le cadre de vérifications élargies. Peu importe l'approche choisie, la vérification doit porter sur toutes les composantes clés du programme de LRPC-FAT, y compris les politiques et procédures, l'évaluation des risques et les programmes de formation, au moins aux deux ans.

Les IFF doivent veiller à ce que la vérification de l'efficacité :

• vienne s'ajouter aux évaluations des risques inhérents et des mécanismes de contrôle de la gestion des risques (et non les remplacer);
• soit adéquatement axée sur les risques, la vérification de l'efficacité étant effectuée plus souvent et(ou) de manière plus approfondie pour les catégories à risque élevé à l'échelle de l'IFF mises en lumière par l'évaluation des risques inhérents de l'IFF;
• soit planifiée et réalisée par un ou plusieurs auditeurs ayant reçu une formation appropriée en LRPC-FAT et possédant de l'expérience dans l'analyse des risques d'exposition à des activités de RPC et de FAT, ainsi qu'un niveau de connaissance pertinent des exigences réglementaires et des lignes directrices;
• soit communiquée aux membres de la haute direction compétents, y compris de l'information sur la portée de la vérification, les constatations et les mesures correctrices recommandées ou exigées, ainsi que la réponse de la direction à cet égard.

Vérification de l'efficacité versus évaluation des risques et des mécanismes de contrôle

Le tableau qui suit compare l'objet, le contenu, la responsabilité et les résultats de la vérification de l'efficacité et les auto-évaluations des risques et des mesures de contrôle.

GLOSSAIRE

Aux fins de la présente ligne directrice, les termes et expressions ci-après doivent être pris au sens suivant.