L’audit prudentiel est un rituel de passage obligé pour tous les acteurs de la gestion de fortune. Vu la multiplication des questions à résoudre pour chaque domaine traité    (Organisation, Suitability, LBA et Sanctions), l’exercice est lourd pour les GFI et leurs auditeurs. Il devient même fastidieux lorsqu’on sert comme nous une multitude d’établissements financiers en délégation (Compliance Outsourcing). Reste que la mécanique est imposée par la loi et que les recommandations formulées dans ce contexte contribuent à protéger l’entreprise et ses clients.

Des audits d’accord, mais à quelle fréquence ?

La loi sur les établissements financiers (LEFin) et son ordonnance d’exécution (OEFin) prescrivent que l’organisme de surveillance (OS) se fonde sur les risques liés à l’activité et à l’organisation du GFI pour fixer la fréquence et l’intensité des audits. L’évaluation se fonde sur les directives de la FINMA qui avait communiqué sur le sujet lors d’un séminaire d’avril 2021, document qui reste disponible sur le site web du régulateur. Pour rappel, voilà les circonstances qui présentent des risques élevés pour un gérant de fortune :

• Gestion de minimis de fonds ou d’avoirs d’institutions de prévoyance ;
• Utilisation de banques dépositaires étrangères ;
• Structure de clientèle étrangère hétérogène ou structure de clientèle axée sur une région étrangère spécifique ;
• Utilisation d’instruments d’investissement présentant de potentiels conflits d’intérêts ou des risques particuliers (produits-maisons, dette privée ou private equity) ;
• Rémunération de tiers (rétrocessions, etc.) ;
• Procuration illimitée ;
• Volume élevé d’actifs sous gestion : AuM > CHF 1 Mia

La FINMA est restée mutique sur sa manière d’apprécier ces critères, selon un système de rating de chaque GFI qu’elle garde secret et qu’elle interdit même aux OS de publier ou communiquer individuellement. Tout ce qu’on sait, ou qu’on peut déduire des textes réglementaires, c’est qu’au cours des deux premières années suivant l’octroi de l’autorisation par la FINMA, un audit doit être effectué pour chaque année de surveillance. L’OS peut ensuite porter la fréquence des audits à une fois tous les quatre ans au plus en fonction de l’activité de l’assujetti et de son exposition aux risques précités (audit dit pluriannuel).

Vers un audit biennal ?

On voit ainsi arriver les premiers allégements et les GFI en bénéficiant ont le plus souvent un audit dit biennal, soit une fois tous les deux ans à la place de chaque année. Pendant l’année sans audit, la surveillance continue bien sûr, mais elle prend la forme d’une auto-déclaration dont le contenu s’inspire du rapport d’audit.

Pour nous, cette « pause » dans le formalisme des contrôles est bienvenue : Cela nous permet de réaliser des inspections approfondies comme par exemple des tests d’intrusion IT ou la revue de la classification des produits tels que remontée dans le CRM/PMS par les banques dépositaires, ou encore de mettre en place chez les clients notre concept-cadre automatisé des risques (Assign by Uldry RC). Audit ou pas, le but est de prévenir les risques pour éviter dans la mesure du possible qu’ils surviennent : Croyez-nous, 2025 a vu son lot d’incident partout en Suisse aussi dans la communauté GFI (cyberattaques, refus unilatéral de contrat de collaboration par les banques dépositaires, collaborateurs indélicats, impact des sanctions, fraude dans des AMC non-bancaires, dette privée et autres produits illiquides désormais valorisés à 0, etc.).

La défiance de la FINMA

En théorie, un GFI solide financièrement, bien organisé, et exposé à des risques limités ou qu’il gère bien, devrait pouvoir accéder dès maintenant à une fréquence d’audit allégée, conformément à l’esprit du législateur qui souhaitait réduire la charge administrative pour les établissements démontrant un niveau de maîtrise suffisant ; soit typiquement ceux qui obtiennent deux exercices réguliers d’audit les années suivant leur autorisation (pas d’irrégularité ou de recommandation élevée).

En pratique, pourtant, on ne sait pas répondre à cette question simple que nos clients nous posent : Suis-je éligible à un audit tous les deux ans ?

Si donc les deux derniers exercices d’audit ont été réguliers, nous serions censés dire oui. Or, en pratique, les OS nous opposent fréquemment leur véto, sans explication, vu que le fameux rating et l’évaluation qui s’ensuit pour le GFI concerné doivent rester confidentiels…. La vérité est qu’il n’est plus acceptable pour les entrepreneurs que sont les GFI de ne pas savoir à quelle sauce ils vont être audités. Cette opacité dans la pratique de la FINMA se manifeste par ailleurs dans d’autres domaines tels que le suivi des sanctions / embargos ou la gestion collective sous les seuils de minimis, domaines dans lesquels les règles évoluent unilatéralement ou ne sont pas claires.

Bref, le culte du secret autour des critères de risques GFI n’est plus compris par le marché. Il semble même être perçu comme une marque de défiance, qui éloignerait précisément les assujettis de ceux qui les surveillent, soit en première ligne les auditeurs, les OS, puis ultimement la FINMA (ce qui est de nature à crée de nouveaux risques). Certes, le régulateur doit conserver sa marge de manœuvre ; ce qu’on appelle en jargon juridique son pouvoir d’appréciation que lui confère d’ailleurs expressément la loi. Sachant que le marché de la gestion de fortune indépendante représente quelques CHF 850 milliards d’actifs de clients, qu’il comprend plus de 1300 GFI autorisés et qu’il est fortement fragmenté (voir l’étude WealthSummit « Gestionnaires de fortune indépendants en Suisse » du 19 mars 2026), ce pouvoir d’appréciation de l’autorité doit être d’autant plus important et respecté. Mais dans une industrie où la gestion du risque repose sur l’anticipation, ces véritables zones d’ombre de la pratique de la FINMA nuisent à la nécessaire prévention et la surveillance des menaces. En fait, il suffirait d’expliquer clairement les enjeux aux GFI, soit leur témoigner de la confiance, pour résoudre le problème.

En attendant que la transparence se fasse, nous continuerons à demander aux OS l’audit biennal pour nos clients qui le peuvent selon nous et qui le souhaitent.

Sergio Uldry, Uldry RC