La FINMA précise les exigences relatives à l'analyse des risques de blanchiment d'argent

Regulatory & Compliance Financial Services

Par: Khaled Elfeshawey, Mathias Müller

18 juin 20265 min de lecture

Le 4 juin 2026, la FINMA a publié la communication prudentielle 04/2026, qui complète la communication sur la surveillance 05/2023 relative à l’analyse des risques de blanchiment d’argent au sens de l’art. 25, al. 2, OBA-FINMA. Cette communication s’appuie sur des contrôles effectués par la FINMA auprès de banques et d’établissements relevant de la loi sur les institutions financières (LFI) et précise ses attentes quant au contenu, à la méthodologie et à la fonction de pilotage et de supervision de l’analyse des risques.
Contenu

Classification1

table gwg risk
1 Il s'agit d'une présentation très simplifiée, destinée à permettre une première approche rapide du sujet. Chaque établissement devrait déterminer de manière individuelle et concrète la pertinence de ces éléments et les mesures concrètes à prendre.

 

Contexte et objectifs

La FINMA souligne que l’analyse des risques de blanchiment d’argent constitue l’instrument de pilotage central de la gestion des risques. Elle sert de point de départ à la mise en place du dispositif de lutte contre le blanchiment d’argent (LBA), en définissant la tolérance au risque et en fixant des lignes directrices contraignantes pour l’organisation, les processus et les contrôles. L’objectif de la communication actualisée est notamment

  • de lever les ambiguïtés méthodologiques existantes ;
  • d'améliorer la comparabilité et la cohérence des analyses de risques ;
  • et de renforcer leur effet de pilotage au sein de l’établissement.

 

Principaux constats issues de la pratique de surveillance de la FINMA

La FINMA reconnaît que les établissements ont réalisé des progrès depuis 2023, notamment s’agissant de la structuration des analyses de risques et de la définition de la tolérance au risque. Parallèlement, des faiblesses récurrentes persistent :

  • Tolérance au risque insuffisamment précisée :
    Il manque souvent des dispositions claires précisant quels risques sont explicitement exclus (p. ex. pays, segments de clientèle ou produits), ou celles-ci ne sont pas en adéquation avec le modèle d’affaires.

  • Lacunes méthodologiques dans l’identification des risques :
    La distinction entre risque inhérent, contrôles et risque résiduel est parfois floue ou incohérente, ce qui limite considérablement la pertinence de l'analyse des risques. 

  • Identification insuffisante des risques élevés :
    Certains domaines de risque, notamment les PPE, les structures complexes ou les modèles d'affaires liés aux cryptomonnaies, ne sont parfois pas classés de manière appropriée comme présentant un risque élevé. 

  • Faiblesses dans la mise en œuvre :
    Les indicateurs de risque (KRI), les limites et les mécanismes de surveillance ne sont souvent pas suffisamment pertinents ni systématiquement liés à la tolérance au risque. 

  • Procédures d'exception trop souples :
    les dérogations (« exception-to-policy ») sont parfois accordées trop fréquemment et contournent de facto la politique de risque définie.

 

Précisions apportées par la FINMA

Sur la base de ces constatations, la FINMA précise ses attentes concernant les éléments essentiels de l’analyse des risques :

  • Définition claire de la tolérance au risque :
    Les établissements doivent définir explicitement les risques qu’ils acceptent et ceux qu’ils excluent. Les mesures d’atténuation des risques ne remplacent pas les exclusions délibérées de certains risques.
    Exemple : un gestionnaire de fortune exclut systématiquement les relations d’affaires avec des clients issus de pays à haut risque, au lieu de simplement les atténuer par des obligations de diligence accrues.

  • Identification systématique des risques inhérents :
    L'analyse des risques doit recenser de manière exhaustive et détaillée tous les facteurs de risque pertinents du modèle d'affaires (clients, produits, marchés, canaux de distribution). 
    Exemple : évaluation séparée des risques liés aux clients PEP, aux structures complexes et aux relations d'affaires initiées par voie numérique, au lieu d'une évaluation globale du « segment de clientèle des particuliers ».

  • Séparation méthodologique claire :
    Les risques inhérents, la qualité des contrôles et les risques résiduels doivent être clairement distingués et évalués de manière transparente. 
    Exemple : un établissement évalue d'abord le risque inhérent d'un client PEP comme « élevé », le réduit grâce à des contrôles efficaces et présente le risque résiduel de manière transparente, au lieu d'attribuer directement un « risque global moyen ».

  • Orientation renforcée vers le pilotage :
    L'analyse des risques, la stratégie commerciale, la politique de gestion des risques et la mise en œuvre opérationnelle doivent être étroitement liées. Il convient notamment de définir efficacement les indicateurs clés de risque (KRI), les limites et les mécanismes d'escalade.
    Exemple : définition d’un KRI pour la part des relations à haut risque dans le portefeuille global, par exemple 10 % de la clientèle ou des actifs sous gestion (AuM), avec des mécanismes d’escalade clairs en cas de dépassement.

  • Surveillance et gouvernance :
    Le respect de la tolérance au risque doit faire l'objet d'une surveillance continue. Les écarts doivent être systématiquement enregistrés, approuvés et contrôlés. 
    Exemple : mise en place d'un processus formalisé « d'exception à la politique » avec autorisation au niveau de la direction en cas de dépassement des limites de risque définies et rapport régulier au conseil d'administration.

 

Implications pour les établissements soumis à la LEFin (en particulier les gestionnaires de fortune)

La FINMA précise expressément que les principes méthodologiques de l’analyse des risques s’appliquent également aux établissements soumis à la loi fédérale sur les établissements financiers (LEFin). Les différences portent uniquement sur le niveau de détail, conformément au principe de proportionnalité, et non sur la qualité ou la méthodologie.

Pour les gestionnaires de fortune, cela signifie notamment que :

  • Les analyses de risques doivent être aussi solides et méthodologiquement fondées que celles des banques.
  • Des exclusions de risques explicites et une tolérance au risque claire sont impératives.
  • L'analyse des risques doit être utilisée comme un instrument de pilotage actif et ne doit pas revêtir un caractère purement formel.

 

Conclusion

Avec la communication sur la surveillance 04/2026, la FINMA ne renforce certes pas les exigences réglementaires formelles, mais elle définit des attentes prudentielles nettement plus claires quant à la qualité des analyses de risques de blanchiment d’argent. La communication précise que la FINMA considérera à l'avenir l'analyse des risques de blanchiment d'argent encore davantage comme un instrument central de gouvernance et de pilotage. Les établissements sont donc tenus de revoir de manière critique leurs analyses de risques existantes et, en particulier, de renforcer de manière ciblée leur méthodologie, leur granularité et leur efficacité opérationnelle.

 

Comment nous vous accompagnons

Grant Thornton accompagne les entreprises dans la compréhension des nouvelles dispositions réglementaires et dans leur mise en œuvre concrète. Nous sommes également à votre disposition pour répondre à vos questions d’ordre conceptuel et technologique.

MOTS-CLÉS  

AUTEURS