Audit BCT · Playbook détaillé
Pour qui : compliance officers, CISO, responsable sécurité et management des IF clientes VitaKYC soumises au contrôle BCT. Pour VitaKYC : référentiel d’appui au CSM quand un client nous demande d’assister sur un contrôle en cours.
1. Types de contrôle BCT
Section intitulée « 1. Types de contrôle BCT »| Type | Préavis | Objet |
|---|---|---|
| Contrôle sur pièces (on-site inspection) | 15 jours minimum | Demande documentaire formelle, puis interviews |
| Contrôle inopiné (flash audit) | aucun | Équipe BCT se présente dans l’établissement |
| Enquête spécifique (thematic) | 7 jours | Suite à un signalement, un incident, ou une campagne sectorielle (ex : revue FATCA 2025, circulaire 06/2025) |
| Contrôle de suivi (follow-up) | 15 jours | Vérification des actions correctives post-audit précédent |
| Mission mixte BCT-CTAF | 15 jours | Volet LCB-FT porté conjointement par la CTAF |
Source juridique : loi organique n°2015-26 art. 129-132, loi bancaire n°2016-48, circulaire BCT 2017-08 sur le contrôle interne LCB-FT.
2. Calendrier J-30 → J+30
Section intitulée « 2. Calendrier J-30 → J+30 »J-30 ┤ Notification reçue → DG + CISO + CompOff + juridiqueJ-25 ┤ Nomination coordinateur audit + désignation équipe interneJ-20 ┤ Revue documentaire interne : politiques, registres, KPIJ-15 ┤ Dry-run #1 : simulation questions BCT typeJ-10 ┤ Préparation salle dédiée BCT + accès restreints pour inspecteursJ-7 ┤ Dry-run #2 : interviews simulées, revue des faillesJ-3 ┤ Récap final, distribution des rôles, briefing employésJ-1 ┤ Préparation de la liasse documentaire J-0J-0 ┤ Accueil équipe BCT + réunion d'ouvertureJ+1 à J+n ┤ Durée du contrôle (variable : 3 à 15 jours)J+n+1 ┤ Réunion de clôture, observations préliminairesJ+14 ┤ Réception du rapport provisoire BCTJ+21 ┤ Réponse motivée aux observations (délai de 7 à 15 jours)J+30 ┤ Rapport définitif + plan d'action corrective3. Rôles et RACI
Section intitulée « 3. Rôles et RACI »| Rôle | Responsabilité principale |
|---|---|
| Directeur général | Interlocuteur officiel + validation réponses critiques |
| Coordinateur audit (souvent CompOff) | Point focal BCT, planning interne, suivi demandes |
| CISO | Questions sécurité informatique, preuves de contrôles techniques |
| Compliance Officer (LCB-FT) | Dispositif LCB-FT, screening, alertes, STR |
| DPO | Conformité GDPR / loi 2004-63 |
| Directeur informatique | Architecture SI, fournisseurs, continuité |
| Responsable risques | Cartographie des risques, matrices, plans d’action |
| Juridique | Validation des formulations de réponse |
| Support VitaKYC (si applicable) | Démonstration produit, extraction de preuves, matrice de conformité |
Rule #1 : une seule personne (le coordinateur) parle par thème. Les autres fournissent les éléments en amont.
4. Questions types BCT — matrice avec réponses VitaKYC
Section intitulée « 4. Questions types BCT — matrice avec réponses VitaKYC »4.1 Dispositif LCB-FT (circulaire 2017-08)
Section intitulée « 4.1 Dispositif LCB-FT (circulaire 2017-08) »| # | Question BCT type | Réponse attendue | Preuve VitaKYC à produire |
|---|---|---|---|
| 1 | Présentez la cartographie des risques LCB-FT actualisée | Document signé DG datant < 12 mois | Matrice Excel + signature DG |
| 2 | Comment est classifié un client à haut risque ? | Règles documentées + exemples | Config Form Designer + workflow VitaKYC + screenshot du scoring |
| 3 | Montrez-moi le parcours de validation d’un client X | Dossier KYC avec timeline complète | Back-office → export PDF du dossier avec timeline + audit trail |
| 4 | Combien de STR avez-vous déposés en 2025 ? Quelles typologies ? | Chiffre + ventilation + proofs transmission | Dashboard back-office VitaKYC → rapport annuel STR |
| 5 | Comment gérez-vous les hits sur OFAC SDN ? | Procédure gel + délai | Playbook 4 + exemple traité |
| 6 | Vos listes sanctions sont-elles à jour ? | Fraîcheur + fournisseur | Métrique aml_list_last_ingested_seconds_ago du dashboard ops |
| 7 | Comment formez-vous vos employés LCB-FT ? | Plan annuel + taux de complétion | LMS extract + feuilles de présence |
| 8 | Documentez 3 alertes classées faux positifs. Justifiez. | Back-office extract + narrative compliance officer | aml_alert DB export → PDF signé |
| 9 | Votre dispositif de revue périodique des clients existants | Plan de rescreening + fréquence | Batch Screening — attestation signée Ed25519 |
| 10 | Que se passe-t-il si une transaction suspecte a lieu un dimanche ? | Procédure d’astreinte AML | Runbook + log exemple |
4.2 Circulaire 06/2025 (enrôlement électronique)
Section intitulée « 4.2 Circulaire 06/2025 (enrôlement électronique) »| # | Question | Réponse | Preuve |
|---|---|---|---|
| 11 | Montrez un parcours d’enrôlement électronique complet | Démo live | Form Designer version publiée + SDK Web embed |
| 12 | Comment garantissez-vous l’intégrité de la pièce d’identité capturée ? | OCR + anti-tampering + stockage WORM | Config kyc_document + MinIO Object Lock |
| 13 | Quels contrôles biométriques ? | Liveness + face match + seuils | Config liveness_threshold + iBeta ISO 30107-3 niveau 2 |
| 14 | Que se passe-t-il en cas d’échec liveness ? | Workflow documenté | Screenshot workflow + dossier exemple |
| 15 | Où est stocké le selfie du client ? | Chiffrement par tenant + rétention | DPIA §2.5 + clé KMS tenant |
| 16 | Avez-vous le droit de stocker la biométrie ? | Base légale art. 9.2.g GDPR + LCB-FT | DPIA §2.1 + clauses tenant-client |
| 17 | Durée de conservation des données KYC ? | 10 ans minimum | DPIA §2.5 + policy de rétention |
4.3 Circulaire 2025-06 (conditions minimales d’entrée en relation)
Section intitulée « 4.3 Circulaire 2025-06 (conditions minimales d’entrée en relation) »| # | Question | Preuve |
|---|---|---|
| 18 | Quelles pièces minimum exigées pour un client retail ? | Form Designer → version active du formulaire « compte retail » |
| 19 | Quelles pièces pour un entrepreneur ? | Version « KYB + dirigeant » |
| 20 | Comment vérifiez-vous l’identifiant RNE d’une entreprise ? | Connecteur RNE WS-KYC live → démonstration |
| 21 | Les BE sont-ils systématiquement consultés ? | Flag RNE declaration_BENEFICIAIRES_EFFECTIFS → auto-appel WS-BE |
| 22 | Comment traitez-vous un refus de fournir le BE ? | Workflow rejet + motif traçable |
4.4 FATCA (cahier des charges DGI 2019)
Section intitulée « 4.4 FATCA (cahier des charges DGI 2019) »| # | Question | Preuve |
|---|---|---|
| 23 | Fournissez le fichier FATCA XML déposé le 15/09/2025 | Extraction depuis tcr_declaration + AD DGI |
| 24 | Comment avez-vous corrigé l’erreur IRS ICMM 8008 du 03/10/2025 ? | Chaînage FATCA 3 + FATCA 1 avec CorrMessageRefId tracé |
| 25 | Votre certificat ANCE pour IDES est-il à jour ? | Métadonnées cert + date expiration |
| 26 | Comment identifiez-vous les US persons parmi vos clients existants ? | Module TCR — indicia detection script + résultats |
| 27 | Combien de W-8BEN / W-9 signés en 2025 ? | Extract tcr_form |
4.5 Contrôle interne et sécurité
Section intitulée « 4.5 Contrôle interne et sécurité »| # | Question | Preuve |
|---|---|---|
| 28 | Séparation des fonctions KYC / AML / comptabilité | Matrice RBAC VitaKYC + SoD policy |
| 29 | Politique de sécurité de l’information | ISMS |
| 30 | Dernier pen-test externe | Rapport daté + plan de remédiation |
| 31 | Plan de continuité en cas de panne SI | BCP/DR + tests |
| 32 | Qui a accès à l’historique AML pour les 5 dernières années ? | RBAC + rôles auditor |
| 33 | Les agents back-office ont-ils des actions tracées ? | Audit WORM + hash chain + extract échantillon |
| 34 | Une modification d’un ancien dossier clos est-elle détectable ? | Demo audit trail : modification + vérification chaîne hashée |
| 35 | Vos sauvegardes sont-elles testées ? | Rapport mensuel de restauration |
4.6 Gouvernance et organisation
Section intitulée « 4.6 Gouvernance et organisation »| # | Question | Preuve |
|---|---|---|
| 36 | Qui est le responsable LCB-FT de votre établissement ? | Désignation formelle + CV |
| 37 | Reporting du CompOff au conseil d’administration | PV des réunions |
| 38 | Plan de conformité annuel | Document signé DG |
| 39 | Comité de conformité : fréquence, membres | Règlement intérieur |
| 40 | Budget conformité 2025-2026 | Annexe budget |
4.7 Sous-traitance et tiers
Section intitulée « 4.7 Sous-traitance et tiers »| # | Question | Preuve |
|---|---|---|
| 41 | Vos sous-traitants sont-ils conformes LCB-FT ? | DPA signés + certif ISO/SOC |
| 42 | Qui a accès aux données KYC chez VitaKYC ? | Liste personnelle VitaKYC avec clearance + logs |
| 43 | Où sont hébergées vos données ? | Résidence par tenant + localisation DC |
| 44 | Pouvez-vous récupérer vos données si VitaKYC disparaît ? | Clause de réversibilité + export JSON + escrow code (option contractuelle) |
| 45 | Avez-vous un plan de sortie vendor ? | Exit plan documenté |
4.8 Reporting CTAF (volet conjoint)
Section intitulée « 4.8 Reporting CTAF (volet conjoint) »| # | Question | Preuve |
|---|---|---|
| 46 | Horodatage du dernier STR | str_report DB |
| 47 | Délai moyen entre détection d’alerte et transmission STR | Métrique moyenne + distribution |
| 48 | Avez-vous reçu des retours CTAF sur vos STR ? | str_report.ack_received + exemples |
| 49 | Taux de faux positifs sur alertes AML 2025 | Dashboard compliance KPI |
| 50 | Comment prouvez-vous le respect de l’interdiction de tipping-off ? | Back-office : rôles excluant la visibilité STR pour staff commercial |
5. Liasse documentaire — 13 pièces incontournables
Section intitulée « 5. Liasse documentaire — 13 pièces incontournables »| # | Pièce | Format | Source VitaKYC |
|---|---|---|---|
| 1 | Politique LCB-FT de l’établissement | PDF signé DG | Tenant |
| 2 | Cartographie des risques | Excel / PDF | Tenant + inputs VitaKYC |
| 3 | Registre des traitements RGPD (art. 30) | Tenant (template VitaKYC fourni) | |
| 4 | Rapport annuel de conformité 2025 | PDF signé | Tenant |
| 5 | Liste des STR transmis avec accusés | ZIP | Export VitaKYC str_report |
| 6 | 10 dossiers KYC échantillonnés par BCT | PDF + annexes | Export VitaKYC case par case |
| 7 | Matrice de conformité circulaires BCT | Excel | Fournie par VitaKYC (cf. ci-dessous §6) |
| 8 | Rapports batch screening 12 derniers mois | ZIP | Export avec attestations PDF signées |
| 9 | Statistiques AML 2025 (alertes, true/false positive) | Dashboard → export | |
| 10 | Déclarations FATCA 2025 (XML + AD IDES) | ZIP | tcr_declaration archive |
| 11 | Rapports formation personnel | Tenant | |
| 12 | Dernier pen-test + plan remédiation | Tenant + VitaKYC (si infra VitaKYC) | |
| 13 | Contrat VitaKYC + DPA + SLA | VitaKYC contract repo |
6. Matrice de conformité circulaires BCT — prête à l’emploi
Section intitulée « 6. Matrice de conformité circulaires BCT — prête à l’emploi »| Exigence BCT | Circulaire | Couverture VitaKYC | Preuve |
|---|---|---|---|
| Obligation de KYC initial | 2025-06 art. X | Module KYC + Form Designer | Dossier échantillon |
| Collecte biométrique sécurisée | 06/2025 | Liveness + face match niveau 2 | iBeta cert + config |
| Conservation 10 ans | 2017-08 + loi 2015-26 | WORM + Object Lock | Policy + audit |
| Screening sanctions | 2017-08 | Module AML | Abonnement data + log |
| Ongoing monitoring | 2017-08 | aml-svc + Temporal cron | Métriques fraîcheur |
| STR CTAF | loi 2015-26 | Playbook 1 + API STR | Exemples transmis |
| Séparation des fonctions | 2017-08 | RBAC + ABAC | Matrice rôles |
| Formation annuelle | 2017-08 | Plan tenant | Feuilles de présence |
| Dispositif d’alerte interne | 2017-08 | Canal compliance | Procédure |
| Reporting au conseil | 2017-08 | Rapports trimestriels | PV |
7. Pièges à éviter
Section intitulée « 7. Pièges à éviter »7.1 Ne jamais répondre à côté
Section intitulée « 7.1 Ne jamais répondre à côté »Exemple :
- Question BCT : « Comment validez-vous l’identité d’un mineur ? »
- ❌ Mauvaise réponse : « Notre module KYC supporte la biométrie faciale. »
- ✅ Bonne réponse : « Notre procédure impose le représentant légal comme signataire, avec vérification CNI du représentant + livret de famille. Voici un dossier exemple… »
7.2 Ne pas improviser
Section intitulée « 7.2 Ne pas improviser »Si la question est technique et sort du périmètre, la réponse type est :
« Nous devons vérifier ce point. Nous vous transmettrons la réponse écrite dans les 24 heures. »
Les inspecteurs préfèrent une réponse écrite précise à une improvisation floue.
7.3 Pas d’email / Slack pendant le contrôle
Section intitulée « 7.3 Pas d’email / Slack pendant le contrôle »Salle dédiée sans distraction. Les écrans des interviewés doivent afficher uniquement ce qui est consulté par l’inspecteur. Rien d’autre visible.
7.4 Préparer les logs d’audit avant l’arrivée
Section intitulée « 7.4 Préparer les logs d’audit avant l’arrivée »L’export du hash chain audit + la vérification d’intégrité est un exercice à rôder avant contrôle. Ne pas le faire en live devant l’inspecteur.
7.5 Anti-tipping-off
Section intitulée « 7.5 Anti-tipping-off »Aucun employé en dehors du compliance officer, du juridique et de la DG ne doit savoir qu’un contrôle est en cours s’il porte sur un client spécifique. Les accès VitaKYC à str_report doivent être restreints avant, pendant et après le contrôle.
7.6 Documentation en français
Section intitulée « 7.6 Documentation en français »Tous les documents remis doivent être en français (ou en arabe selon préférence BCT). Les rapports techniques VitaKYC en anglais doivent être traduits ou annotés au préalable.
8. Réunion de clôture — checklist
Section intitulée « 8. Réunion de clôture — checklist »- Écouter attentivement les observations préliminaires sans interrompre.
- Noter chaque observation avec numéro et formulation exacte.
- Demander clarification sur les points flous.
- Ne pas contester en séance (cela se fait par écrit dans la réponse au rapport provisoire).
- Demander le délai de réception du rapport provisoire.
- Remercier sincèrement l’équipe BCT.
- Annoncer qu’une lettre de remerciement écrite suivra (geste professionnel).
9. Réponse au rapport provisoire
Section intitulée « 9. Réponse au rapport provisoire »Structure type (à respecter scrupuleusement) :
1. Accusé de réception du rapport2. Récapitulatif des observations (numérotées)3. Pour chaque observation : 3.1 Observation BCT (citation textuelle) 3.2 Analyse 3.3 Action corrective prévue (avec responsable + échéance) 3.4 Éléments complémentaires ou contre-argumentation documentée4. Plan d'action consolidé (tableau)5. Engagement du DGTon : factuel, constructif, jamais défensif. Chaque observation reconnue = pas de problème. Chaque désaccord = argumenté par écrit avec preuves.
10. Plan d’action corrective — template
Section intitulée « 10. Plan d’action corrective — template »| # | Observation BCT | Action corrective | Responsable | Échéance | Statut |
|---|---|---|---|---|---|
| 1 | Fréquence de rescreening insuffisante | Passage à bimensuel | CompOff | 2026-05-15 | En cours |
| 2 | Documentation formation incomplète | Refonte LMS + feuilles | RH + CompOff | 2026-06-30 | Planifié |
| 3 | Délai de réponse CTAF > cible | Renforcement astreinte | CompOff + DPO | 2026-05-01 | En cours |
| … |
Suivi trimestriel : reporting au conseil d’administration de l’avancement.
11. Ressources
Section intitulée « 11. Ressources »11.1 Textes de référence
Section intitulée « 11.1 Textes de référence »- Loi organique n°2015-26 du 07/08/2015 relative à la lutte contre le terrorisme et la répression du blanchiment d’argent (modifiée par la loi organique n°2019-9).
- Loi n°2016-48 du 11/07/2016 relative aux banques et établissements financiers.
- Circulaire BCT 2017-08 du 19/09/2017 — règles de contrôle interne LCB-FT.
- Circulaire BCT 06/2025 — enrôlement électronique.
- Circulaire BCT 2025-06 — conditions minimales d’entrée en relation.
- Cahier des charges DGI V1.0-2019 — transfert FATCA par procédé informatique.
11.2 Contacts utiles
Section intitulée « 11.2 Contacts utiles »- BCT — Supervision bancaire : +216 71 122 000 (standard) · supervision@bct.gov.tn
- CTAF — Commission Tunisienne d’Analyses Financières : contact@ctaf.gov.tn
- INPDP — Protection données : contact@inpdp.nat.tn
- Support VitaKYC CSM :
csm@vitakyc.io· disponible 24/7 pendant un contrôle BCT d’un client (clause contractuelle Enterprise / Regulated)
12. Retour d’expérience — à compléter après chaque contrôle
Section intitulée « 12. Retour d’expérience — à compléter après chaque contrôle »Document interne obligatoire après chaque contrôle :
- Chronologie réelle vs prévue
- Questions réellement posées (à enrichir §4 de ce playbook)
- Observations retenues et pourquoi
- Actions correctives efficaces ou non
- Améliorations du playbook proposées
Ce document est le principal livrable d’apprentissage de l’équipe compliance, partagé en lecture avec l’ensemble des clients VitaKYC qui préparent un contrôle à venir.
Playbook vivant · à enrichir après chaque contrôle réel. Dernière mise à jour : 2026-04-22.