L’Autorité de Régulation des Actifs Virtuels de Dubaï (VARA) a publié le 12 juin le « Guide des bonnes pratiques pour l’évaluation des risques des activités AML/CFT pour les VASP », qui exige clairement que tous les fournisseurs de services d’actifs virtuels agréés (VASP) réalisent, une fois tous les trois mois, un examen de l’évaluation des risques liés aux activités AML/CFT (BRA) et qu’ils obtiennent une approbation formelle du conseil d’administration (ou d’une instance de gouvernance équivalente) — une simple approbation par la direction ne répond pas aux exigences.
Obligations juridiques de la BRA confirmées par l’article III.D de la VARA
Conformément aux exigences juridiques confirmées par l’article III.D du « Manuel des règles de conformité et de gestion des risques de la VARA » :
Délai maximal d’examen : pas plus de trois mois (Rule III.D.3)
Mises à jour déclenchées par des changements significatifs : tout changement significatif dans les domaines listés à la Rule III.D.2 doit faire l’objet d’une mise à jour immédiate
Obligation de vérification de l’efficacité : le VASP doit démontrer à la VARA que les résultats de la BRA guident directement l’élaboration et la mise à jour des politiques, procédures, systèmes et contrôles AML/CFT (Rule III.D.4)
Périmètre : la BRA doit refléter les activités commerciales spécifiques du VASP, sa base clients, sa gamme de produits, la répartition géographique, ainsi que l’environnement de menaces reflété par l’évaluation nationale des risques (NRA) des Émirats arabes unis
La VARA confirme : une approbation uniquement par la direction ne fournit pas un défi indépendant équivalent ni une responsabilité en matière de gouvernance ; la BRA doit être formellement approuvée par le conseil d’administration, avec la date précise d’approbation consignée et le contenu des discussions substantielles ou des défis menés par le conseil d’administration.
Modèle des trois lignes de défense et exigences de validation de la propriété par le MLRO
Les exigences de gouvernance confirmées par les lignes directrices de la VARA :
Première ligne de défense : la fonction de conformité et la fonction du MLRO sont responsables de la préparation et de la propriété du contenu de la BRA
Deuxième ligne de défense : la fonction risques ou le conseil d’administration apporte un défi indépendant
Troisième ligne de défense : l’audit interne vérifie indépendamment la méthodologie de la BRA et l’efficacité des contrôles ; si les capacités de l’audit interne sont limitées, cette fonction peut être confiée à un tiers indépendant externe selon un cycle fondé sur le risque
Les lignes directrices confirment également : pour l’examen thématique de la BRA 2026 de la VARA, une approche double est utilisée — un questionnaire structuré (couvrant huit thèmes, dont la gouvernance et la responsabilisation de la haute direction, la portée et la méthodologie, les sources de données et la base probante, etc.) et une analyse réglementaire détaillée des documents de BRA soumis par les VASP.
Exigences de confirmation de la méthodologie d’évaluation quantitative et de l’intégration des données
Les exigences de bonnes pratiques et de méthodologie confirmées par le guide de la VARA :
Cadre de notation quantitative : utilisation d’une matrice de notation numérique (généralement une échelle de probabilité et de conséquences à cinq niveaux) ; l’efficacité des contrôles utilise une notation multi-niveaux définie ; la notation des catégories de risque individuelles est agrégée vers la note globale de risque de la BRA via des heatmaps documentées
Exigences d’intégration des données : intégration de la répartition de la notation du risque client, des données relatives aux alertes de surveillance des transactions, des tendances et quantités STR/SAR, des résultats du filtrage des sanctions, des volumes de transactions par produit et de la répartition géographique, ainsi que du niveau d’exposition aux juridictions à haut risque
Sources de référence externes : la NRA des EAU, la liste des juridictions à haut risque de la FATF, les rapports de typologie de la FATF, les lignes directrices de MENAFATF et les documents d’analyse stratégique de la FIU des EAU doivent tous être cités explicitement dans la BRA
FAQ
À quelle échéance maximale la mise à jour trimestrielle de la BRA exigée par la VARA doit-elle être finalisée ?
Conformément à l’article III.D.3 du « Manuel des règles de conformité et de gestion des risques de la VARA », l’intervalle d’examen de la BRA ne doit pas dépasser trois mois (soit au moins une fois par trimestre). En outre, si un changement significatif survient dans les domaines listés à la règle III.D.2, alors une mise à jour immédiate est requise, quel que soit le temps écoulé depuis la dernière évaluation.
Pourquoi l’approbation de la BRA uniquement par la haute direction ne respecte-t-elle pas les exigences de la VARA ?
D’après le guide de la VARA, le rôle central du conseil d’administration est d’apporter un défi indépendant aux conclusions du MLRO (notamment sur le niveau de risque résiduel, l’adéquation des hypothèses d’efficacité des contrôles et la pertinence du cadre d’appétit pour le risque). Une approbation uniquement par la haute direction ne permet pas d’apporter un défi indépendant de la même qualité ni une responsabilité équivalente en matière de gouvernance ; par conséquent, cela ne répond pas aux exigences.
Le contrôle thématique de la BRA de la VARA couvre-t-il tous les VASP agréés ?
D’après la description du guide, la VARA effectue régulièrement, sur l’ensemble des VASP agréés, des contrôles thématiques de la BRA à l’échelle du secteur, selon une approche double : un questionnaire structuré (couvrant huit domaines de thèmes) et une analyse réglementaire détaillée des documents de BRA soumis par les VASP. Le présent guide a justement été publié sur la base des observations réglementaires issues de l’examen thématique de la BRA 2026.
