Checklist d'audit de conformité en Belgique : FSMA
Checklist complète pour préparer un audit de conformité KYC/AML en Belgique. Documents requis et bonnes pratiques pour réussir un contrôle FSMA ou...
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokUn audit de conformité en Belgique ne s'improvise pas. Que l'inspection soit diligentée par la FSMA (Autorité des services et marchés financiers), par la BNB (Banque nationale de Belgique) ou qu'elle s'inscrive dans le cadre d'un signalement transmis à la CTIF (Cellule de traitement des informations financières), chaque contrôle met à l'épreuve la solidité opérationnelle de votre dispositif antiblanchiment. Les établissements financiers, les prestataires de services d'investissement et les professions réglementées sont soumis à la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme, texte fondateur du droit belge en matière de lutte contre le blanchiment de capitaux (LBC/FT).
Cette checklist vous permet d'anticiper les exigences documentaires, d'identifier les lacunes avant l'arrivée des inspecteurs et de structurer la réponse de votre organisation. L'enjeu est double : éviter des sanctions pouvant atteindre 5 millions d'euros en cas de manquements graves, et démontrer une culture de conformité robuste.
Qu'est-ce qu'un audit de conformité en Belgique ?
Un audit de conformité est une vérification formelle du respect, par une entité assujettie, de l'ensemble des obligations légales et réglementaires applicables à son activité. En Belgique, deux autorités de supervision exercent ce rôle de manière complémentaire.
La FSMA supervise les entreprises d'investissement, les gestionnaires d'organismes de placement collectif, les intermédiaires d'assurance et les prestataires de services de crowdfunding. La BNB contrôle les établissements de crédit, les entreprises d'assurance et les établissements de paiement. La CTIF, quant à elle, est l'unité de renseignement financier belge : elle reçoit les déclarations de soupçon, les analyse et les transmet aux autorités judiciaires si nécessaire — elle n'effectue pas d'inspection sur site mais ses statistiques alimentent les priorités de contrôle des deux superviseurs.
Un audit peut être déclenché de façon programmée (inspection cyclique), thématique (focus sur un risque spécifique tel que l'exposition aux personnes politiquement exposées ou PEP) ou réactive (suite à un incident, une plainte ou un signalement). Dans tous les cas, l'établissement dispose d'un préavis généralement compris entre 15 et 30 jours ouvrables, ce qui rend la préparation continue indispensable.
Pour une cartographie complète des obligations KYC applicables aux entreprises belges, consultez notre guide KYC complet pour les entreprises.
Les trois phases d'un contrôle FSMA ou BNB
Un contrôle se déroule en trois temps distincts, et chaque phase appelle une posture différente.
Notre plateforme traite chaque mois plus de 180 000 documents dans 32 juridictions, avec un taux de rappel en détection de fraude de 94,8 % et un taux de faux positifs limité à 3,2 %.
Phase 1 – La demande documentaire préalable. Les inspecteurs transmettent une liste de documents à fournir avant la visite. Cette liste couvre typiquement : la politique LBC/FT interne, les procédures de vigilance à l'égard de la clientèle (CDD/EDD), les rapports d'audit interne des 24 derniers mois, les registres de formation du personnel et les statistiques de déclarations à la CTIF. Tout document manquant ou obsolète constitue un signal d'alerte immédiat.
Phase 2 – Les entretiens sur site. Les inspecteurs rencontrent le responsable de la conformité (compliance officer), les équipes opérationnelles et la direction générale. Ils testent la cohérence entre les procédures écrites et les pratiques réelles, examinent des dossiers clients tirés au sort et évaluent la capacité des collaborateurs à appliquer les règles au quotidien.
Phase 3 – Le rapport de conclusions et le suivi. Un rapport préliminaire est communiqué à l'établissement pour observations. La version définitive liste les manquements constatés, leur niveau de gravité (observation, recommandation, injonction) et le délai de remédiation. En cas de manquement grave, la FSMA ou la BNB peuvent ouvrir une procédure administrative susceptible d'aboutir à une amende, une restriction d'activité ou une publication de la sanction.
Checklist complète : documents à préparer avant l'audit
Voici les catégories documentaires à rassembler systématiquement avant tout contrôle réglementaire en Belgique.
| Catégorie | Documents clés | Fréquence de mise à jour |
|---|---|---|
| Gouvernance LBC/FT | Politique antiblanchiment approuvée par le conseil, mandat du compliance officer, cartographie des risques | Annuelle ou lors de changement majeur |
| Procédures KYC/CDD | Procédure d'entrée en relation, procédure EDD (personnes politiquement exposées, pays tiers à haut risque), procédure de surveillance continue | Annuelle |
| Dossiers clients | Pièces d'identité en cours de validité, justificatifs de domicile, documentation des bénéficiaires effectifs (registre UBO), évaluation du risque client | Mis à jour à chaque événement déclencheur |
| Registre des transactions suspectes | Journal des alertes, décisions documentées (déclaration CTIF ou non-déclaration motivée), accusés de réception CTIF | Continu |
| Formation du personnel | Programme annuel, listes de présence, attestations, évaluations des connaissances | Annuelle |
| Audit interne | Rapports d'audit LBC/FT des 3 dernières années, plans d'action de remédiation, suivi de clôture | Selon programme |
| Outils et contrôles | Documentation des outils de screening (sanctions, PEP), paramétrage des seuils d'alerte, journaux de contrôle automatisé | Selon version |
| Incidents et incidents évités | Registre des incidents de conformité, communications aux autorités, corrections apportées | Continu |
Chaque document doit être daté, signé par l'autorité compétente et accessible en moins de 48 heures. Les pièces d'identité expirées ou les extraits UBO non actualisés sont parmi les premières sources de remarques lors des contrôles.
Pour une approche structurée de la vérification documentaire, notre guide de vérification des documents détaille les bonnes pratiques applicables à chaque type de pièce justificative.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitLa vérification documentaire : maillon faible de la conformité
La défaillance documentaire est la principale cause de non-conformité relevée lors des audits belges.
L'analyse interne de CheckFile.ai portant sur 2 400 dossiers révèle que 34 % des défauts de conformité surviennent à l'étape de vérification documentaire — pièces expirées (18 %), copies non certifiées (9 %) et documents manquants (7 %).
Ces chiffres illustrent une réalité bien connue des compliance officers : la collecte initiale des documents est soignée, mais leur maintien à jour dans la durée est souvent sacrifié au profit d'autres priorités opérationnelles. Or la loi belge du 18 septembre 2017 impose une obligation de vigilance continue : l'article 7 de la loi exige que les entités assujetties actualisent régulièrement les données relatives à leurs clients et réévaluent leur profil de risque lorsque des événements déclencheurs surviennent (changement de dirigeant, opération inhabituelle, modification de la structure d'actionnariat).
Les erreurs documentaires les plus fréquemment sanctionnées lors des contrôles FSMA et BNB sont :
- Pièces d'identité expirées : une carte nationale d'identité belge ou un passeport étranger dont la date de validité est dépassée ne satisfait plus à l'obligation d'identification.
- Absence de documentation du bénéficiaire effectif : l'identification des bénéficiaires effectifs au sens du registre UBO est obligatoire pour toute personne morale cliente. Un extrait UBO de plus de 12 mois sans confirmation de mise à jour est insuffisant.
- Déclarations de soupçon non documentées : l'établissement doit pouvoir justifier pourquoi une alerte a abouti à une déclaration à la CTIF ou, au contraire, a été classée sans suite.
- Absence de traçabilité des décisions EDD : pour les clients à risque élevé, chaque décision d'acceptation ou de maintien de la relation d'affaires doit être approuvée par un niveau hiérarchique approprié et documentée dans le dossier.
CheckFile.ai automatise la détection des documents expirés, des copies non conformes et des pièces manquantes, réduisant ainsi le risque documentaire avant même l'ouverture d'un dossier.
Préparer les équipes aux entretiens avec les inspecteurs
La cohérence entre les procédures écrites et la pratique réelle est le critère central évalué lors des entretiens.
Les inspecteurs de la FSMA et de la BNB ne se contentent pas de lire les politiques internes : ils interrogent les collaborateurs directement impliqués dans l'onboarding clients, le traitement des alertes et la gestion des dossiers sensibles. Un écart entre ce que prescrit la procédure et ce que décrit l'employé suffit à générer une observation formelle.
Voici les actions à mener dans les deux semaines précédant un audit :
Organiser des sessions de rappel procédural. Réunissez les équipes front-office et compliance pour revoir les étapes clés de l'identification client, les critères de classification des PEP et les seuils de déclaration à la CTIF. Ces sessions ne doivent pas être des séances de bachotage mais une occasion de vérifier que chacun comprend le sens des règles.
Tester la connaissance pratique par des cas concrets. Soumettez aux équipes deux ou trois scénarios (client présentant une nationalité à risque, opération inhabituelle sur un compte dormant, demande d'entrée en relation d'une structure fiduciaire) et évaluez la qualité des réponses.
Désigner un point de contact unique pour les inspecteurs. Le compliance officer doit être l'interlocuteur principal et s'assurer que les collaborateurs savent à qui rediriger les questions techniques.
Vérifier l'accès aux systèmes. Les inspecteurs demandent souvent à consulter directement les outils de screening ou les systèmes de gestion documentaire. Assurez-vous que les droits d'accès temporaires peuvent être ouverts rapidement et que les journaux d'activité sont exportables.
Notre article sur l'évaluation des risques de conformité propose un cadre méthodologique pour hiérarchiser les risques avant un audit.
Évolutions réglementaires 2025-2026
Le cadre réglementaire belge évolue rapidement sous l'impulsion de trois textes européens majeurs.
| Texte | Entrée en application | Impact principal pour les entités belges |
|---|---|---|
| AMLD6 / Règlement AML européen | 2027 (transposition en cours) | Création de l'AMLA (Autorité européenne de lutte contre le blanchiment), harmonisation des obligations EDD, extension du champ des entités assujetties à de nouveaux prestataires de crypto-actifs |
| DORA (Digital Operational Resilience Act) | Janvier 2025 | Exigences renforcées de résilience opérationnelle numérique pour les entités financières, tests de pénétration obligatoires, registre des prestataires TIC |
| AI Act | Application progressive 2025-2027 | Encadrement des systèmes d'IA à haut risque utilisés dans le scoring client ou le screening transactions ; obligation de transparence et de supervision humaine |
Pour les établissements belges, l'année 2026 marque une période de double contrainte : les obligations issues de DORA sont désormais pleinement applicables et les premières inspections thématiques sur la résilience numérique ont débuté, tandis que les travaux de transposition de l'AMLD6 avancent au Parlement belge. Les entités qui n'ont pas encore aligné leur cartographie des risques sur ces nouveaux textes s'exposent à des déficits de conformité dès 2026.
La BNB a publié des orientations spécifiques sur DORA à l'adresse nbb.be, tandis que la FSMA détaille ses priorités de supervision annuelles sur fsma.be. Les statistiques annuelles de la CTIF relatives aux déclarations de soupçon sont consultables sur ctif-cfi.be. Le texte consolidé de la loi du 18 septembre 2017 est accessible sur ejustice.just.fgov.be.
Pour anticiper ces évolutions, les établissements ont intérêt à intégrer dès maintenant les exigences DORA dans leur plan d'audit interne et à mandater le compliance officer pour suivre les travaux législatifs de transposition de l'AMLD6.
FAQ
Quelle est la différence entre un contrôle FSMA et un contrôle BNB en matière de conformité ?
La FSMA supervise principalement les entreprises d'investissement, les intermédiaires financiers et les prestataires de services de crowdfunding, tandis que la BNB contrôle les établissements de crédit, les compagnies d'assurance et les établissements de paiement. Les deux autorités disposent de pouvoirs d'inspection similaires et peuvent infliger des sanctions administratives, mais leurs priorités thématiques diffèrent : la FSMA se concentre davantage sur la protection des investisseurs et le respect des règles de conduite, tandis que la BNB met l'accent sur la solidité du dispositif prudentiel et la robustesse des procédures LBC/FT.
Quels sont les délais pour remédier aux manquements constatés après un audit ?
Les délais de remédiation sont fixés dans le rapport définitif de l'inspecteur et varient selon la gravité du manquement. Une observation mineure peut requérir une correction sous 30 jours. Une injonction formelle impose généralement un plan de remédiation détaillé dans un délai de 60 à 90 jours, avec suivi trimestriel. En cas de manquement grave susceptible de générer un risque immédiat, l'autorité peut exiger des mesures conservatoires dans un délai de 15 jours ouvrables.
Quelles sanctions financières sont prévues par la loi belge en cas de non-conformité ?
La loi belge du 18 septembre 2017 et les textes sectoriels applicables permettent à la FSMA et à la BNB d'infliger des amendes administratives pouvant atteindre 5 millions d'euros ou, lorsque ce montant est plus élevé, 10 % du chiffre d'affaires annuel total de l'établissement. Des sanctions accessoires, telles que la publication de la décision sur le site de l'autorité (name and shame), peuvent accompagner l'amende et affecter la réputation de l'entité.
Quels documents sur les bénéficiaires effectifs sont exigés lors d'un audit ?
Les inspecteurs vérifient systématiquement la conformité du dossier bénéficiaire effectif avec le registre UBO (Ultimate Beneficial Owner) belge. Le dossier doit contenir un extrait récent du registre UBO, la documentation interne identifiant les bénéficiaires effectifs au sens de l'article 4 de la loi de 2017 (toute personne physique détenant plus de 25 % du capital ou des droits de vote), ainsi que la justification de la cohérence entre les données du registre et les informations recueillies lors de l'entrée en relation. Tout écart doit être documenté et signalé.
Comment CheckFile.ai aide-t-il à préparer un audit de conformité ?
CheckFile.ai automatise la vérification documentaire en temps réel : détection des pièces expirées, contrôle de l'authenticité des documents d'identité, identification des copies non certifiées et génération automatique de rapports de conformité documentaire. Ces rapports constituent une preuve de diligence raisonnable présentable lors d'un contrôle FSMA ou BNB. Consultez notre page solutions pour une présentation détaillée des fonctionnalités ou nos tarifs pour adapter le service à la taille de votre organisation.
Passez à l'action avant votre prochain contrôle
Un audit réussi est le résultat d'une préparation continue, pas d'une mobilisation de dernière minute. Commencez par auditer votre propre documentation dès aujourd'hui : identifiez les pièces expirées, les dossiers incomplets et les procédures non mises à jour, puis établissez un calendrier de remédiation.
Découvrez comment CheckFile.ai automatise la conformité documentaire ou consultez directement nos solutions dédiées aux équipes conformité.
Consultez également notre article sur la gouvernance, risques et conformité (GRC) pour intégrer la checklist d'audit dans un dispositif de gouvernance global.
Cet article est publié à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.