Audit conformité cabinet CGP : checklist complète 2026

Vous préparez un audit de conformité de votre cabinet CGP en 2026 ? Que ce soit pour anticiper un contrôle AMF ou ACPR, structurer une revue interne ou répondre à une demande de votre association professionnelle (CNCGP, ANACOFI, La Compagnie des CGP), un audit méthodique reste la meilleure protection contre le risque réglementaire. Un audit conformité CGP consiste à passer en revue, dossier par dossier et procédure par procédure, l'ensemble des obligations issues de la DDA, de MiFID II, de la LCB-FT et du RGPD. Ce guide vous propose une checklist complète de 50 points, organisée par pilier réglementaire, pour sécuriser votre cabinet et passer un éventuel contrôle sans stress. Pour aller plus loin, consultez aussi notre guide conformité AMF & ACPR et la fiche obligations réglementaires.

Qu'est-ce qu'un audit de conformité pour un cabinet CGP ?

Un audit de conformité CGP est une revue systématique des documents, procédures et pratiques d'un cabinet de conseil en gestion de patrimoine. Son objectif : vérifier que chaque dossier client respecte les obligations réglementaires applicables à votre statut (CIF, IAS, IOBSP, mandataire CIB) et que les procédures internes du cabinet sont à jour, formalisées et appliquées.

Concrètement, l'audit couvre quatre dimensions :

• La revue documentaire : DER, lettre de mission, recueil patrimonial, rapport d'adéquation, fiche LCB-FT, registre des conflits d'intérêts, plan de contrôle interne.
• La revue dossiers clients : sondage statistique sur 10 à 30 dossiers (selon la taille du cabinet) pour vérifier la complétude, la cohérence et la traçabilité.
• La revue procédures : existence, datation et application effective des procédures KYC, LCB-FT, gestion des réclamations, sous-traitance, formation continue.
• La revue système d'information : sécurité des données, archivage, traçabilité des accès, conformité RGPD et plan de continuité d'activité (PCA/PRA).

Un audit interne annuel est aujourd'hui considéré comme un standard de marché pour les cabinets CGP. Il peut être mené en interne (par le RCCI ou un associé), en externe (cabinet spécialisé), ou de manière hybride avec l'aide d'un outil d'auto-audit comme la Suite Majors®.

Pourquoi auditer son cabinet CGP en 2026 ?

En janvier 2026, l'Autorité des marchés financiers a publié ses priorités de supervision pour l'année. Trois axes ressortent particulièrement :

1. Renforcement des contrôles CIF et CGP indépendants : l'AMF concentre ses inspections sur la qualité du devoir de conseil, la traçabilité des recommandations et la correspondance entre profil client et produit recommandé.
2. Mise en œuvre de DORA : le règlement sur la résilience opérationnelle numérique impose désormais aux cabinets de formaliser leur cartographie des risques IT et leur plan de continuité.
3. Finance durable et obligations ESG : intégration des préférences durables du client dans le test d'adéquation MiFID II et taxonomie SFDR.

Côté ACPR, les contrôleurs continuent de cibler les obligations DDA et LCB-FT : défaut de conseil en assurance-vie, traçabilité du devoir d'information, vigilance LCB-FT renforcée pour les clients à risque (PEP, opérations atypiques, structures patrimoniales complexes).

Les sanctions financières prononcées en 2025 par les commissions des sanctions AMF et ACPR ont en moyenne dépassé 50 000 € par dossier, avec des pics au-delà de 200 000 € pour les manquements graves au devoir de conseil. À cela s'ajoute le risque réputationnel : les décisions sont publiées et indexées par les moteurs de recherche.

Un audit interne annuel, complété par l'usage continu d'un logiciel de conformité CGP, reste le levier le plus efficace pour réduire ce risque.

Les 4 piliers réglementaires à auditer

La checklist d'audit conformité CGP doit couvrir quatre piliers réglementaires distincts :

Selon votre statut effectif (CIF, IAS, IOBSP), un cabinet CGP cumule typiquement les quatre piliers. C'est ce qui rend l'audit complexe : une même obligation (par exemple le recueil d'informations client) répond à des règles partiellement différentes selon le pilier concerné.

Checklist complète : 50 points à vérifier en 2026

Voici la checklist d'audit de conformité cabinet CGP, organisée en 5 sections de 10 points. Cochez chaque point en interne avant tout contrôle AMF ou ACPR.

1. Documents d'entrée en relation et statut (10 points)

1. Le DER est-il à jour, daté, signé et conforme aux mentions obligatoires ?
2. Une lettre de mission est-elle signée pour chaque mission de conseil ?
3. Les frais ex-ante sont-ils calculés et présentés au client avant toute opération ?
4. Vos statuts ORIAS (CIF, IAS, IOBSP, mandataire CIB) sont-ils à jour sur le registre orias.fr ?
5. Votre adhésion à une association professionnelle (CNCGP, ANACOFI, La Compagnie des CGP, CNCEF) est-elle valide ?
6. Votre RC professionnelle couvre-t-elle l'ensemble des activités effectivement exercées ?
7. La capacité professionnelle (formation initiale, expérience) est-elle documentée pour chaque collaborateur conseil ?
8. Les obligations de formation continue (15 h/an pour CIF, 15 h pour IAS) sont-elles tracées ?
9. Un registre des conflits d'intérêts est-il tenu et revu annuellement ?
10. La politique de rémunération et inducements est-elle documentée et communiquée ?

2. KYC, recueil patrimonial et profil de risque (10 points)

11. Le recueil patrimonial couvre-t-il identité, situation familiale, revenus, charges, actif, passif ?
12. Les objectifs et l'horizon de placement sont-ils formalisés ?
13. Le profil de risque MiFID II est-il complet et signé par le client ?
14. Les préférences ESG (taxonomie, SFDR, principales incidences négatives) sont-elles recueillies ?
15. Les pièces d'identité sont-elles vérifiées et archivées (CNI, justificatif de domicile -3 mois) ?
16. Le statut PEP (Personne Politiquement Exposée) est-il systématiquement vérifié ?
17. Les fiches clients sont-elles mises à jour au moins une fois par an ?
18. Les changements de situation client (mariage, divorce, succession, vente) sont-ils tracés ?
19. Une fiche KYC LCB-FT spécifique existe-t-elle pour chaque client ?
20. L'origine des fonds est-elle documentée pour les versements significatifs (> 15 000 €) ?

3. Devoir de conseil, adéquation et traçabilité (10 points)

21. Le rapport d'adéquation est-il systématiquement remis avant souscription ?
22. Justifiez-vous, par écrit, la cohérence entre profil client et produit recommandé ?
23. Les supports d'investissement sont-ils analysés (DIC, KID, frais, performances) ?
24. Les recommandations sont-elles datées et archivées de manière non modifiable ?
25. L'analyse comparative (au moins 2 à 3 solutions étudiées) est-elle formalisée ?
26. Les avertissements de risque sont-ils explicitement présentés au client ?
27. L'historique des emails et échanges avec le client est-il archivé ?
28. Les rendez-vous (physiques, visio, téléphone) sont-ils tracés avec compte rendu ?
29. La cohérence entre profil ESG du client et caractéristiques durables du produit est-elle vérifiée ?
30. Le suivi annuel des contrats (revue d'adéquation) est-il documenté ?

4. LCB-FT, lutte anti-blanchiment et financement du terrorisme (10 points)

31. Une procédure interne LCB-FT écrite et datée existe-t-elle ?
32. Une cartographie des risques LCB-FT (clients, produits, géographie, distribution) est-elle formalisée ?
33. Des contrôles de vigilance complémentaires sont-ils appliqués aux PEP ?
34. Les sanctions internationales sont-elles vérifiées (listes UE, ONU, OFAC) ?
35. Les opérations atypiques font-elles l'objet d'un examen renforcé documenté ?
36. La déclaration de soupçon Tracfin est-elle connue et la procédure tracée ?
37. Un correspondant Tracfin est-il désigné ?
38. Les collaborateurs reçoivent-ils une formation LCB-FT annuelle ?
39. Les conservations de pièces (5 à 10 ans) sont-elles assurées et auditables ?
40. Le rapport annuel de contrôle interne LCB-FT est-il rédigé et archivé ?

5. RGPD, sécurité des données et résilience opérationnelle (10 points)

41. Le registre des traitements (article 30 RGPD) est-il tenu et à jour ?
42. Une mention RGPD claire figure-t-elle dans le DER et la lettre de mission ?
43. Un DPO ou référent RGPD est-il désigné et joignable ?
44. Les droits d'accès, rectification et effacement sont-ils opérationnels ?
45. Les sous-traitants (logiciels, hébergeur, courriers) signent-ils un contrat conforme article 28 ?
46. Les données patrimoniales sont-elles chiffrées (AES-256 au repos, TLS en transit) ?
47. L'hébergement est-il situé en France ou en UE (souveraineté des données) ?
48. Un plan de continuité (PCA) et un plan de reprise (PRA) sont-ils formalisés (DORA) ?
49. La traçabilité des accès et des consultations est-elle effective ?
50. Une procédure de gestion des incidents de sécurité (notification CNIL 72h) existe-t-elle ?

Un cabinet CGP qui passe ces 50 points sans réserve majeure peut aborder sereinement un contrôle AMF ou ACPR. Pour les points qui posent difficulté, un accompagnement spécialisé ou un outil dédié comme la Suite Majors® peut combler les lacunes en quelques semaines.

Comment automatiser votre audit conformité avec la Suite Majors®

La Suite Majors® a été conçue pour transformer la conformité d'une charge administrative en un avantage compétitif. L'auto-audit y est intégré au cœur des fonctionnalités :

• Parcours de conformité : chaque dossier client suit un workflow guidé qui couvre DER, lettre de mission, recueil patrimonial, profil de risque, rapport d'adéquation et fiche LCB-FT.
• Notation de conformité : chaque dossier reçoit un score automatique. Les écarts (champ manquant, document expiré, signature absente) sont signalés en temps réel.
• Compliance automatisée : génération en un clic du DER, du recueil, de la lettre de mission et du rapport d'adéquation, alimentés par les données KYC du client.
• Assistant IA contrôle AMF : simule un contrôle réel, demande les pièces correspondantes et identifie les sujets à traiter en priorité.
• Coffre-fort numérique : archivage chiffré AES-256, hébergement en France, traçabilité complète des accès et conservation longue durée.
• Rapport d'audit exportable : à tout moment, vous pouvez générer un PDF récapitulatif du niveau de conformité de votre cabinet, prêt à être présenté à un contrôleur ou à votre association professionnelle.

Résultat : les cabinets équipés de la Suite Majors® réduisent leur temps consacré à la conformité de plus de 60 % tout en augmentant la qualité des dossiers. Pour comparer, consultez notre comparatif des logiciels conformité CGP.

Erreurs fréquentes en audit CGP et bonnes pratiques 2026

Les inspecteurs AMF et ACPR observent les mêmes faiblesses année après année. Voici les 10 erreurs les plus fréquentes identifiées lors des contrôles 2024-2025 :

1. DER générique : document peu personnalisé, ne mentionnant pas tous les statuts effectifs.
2. Profil de risque déclaratif uniquement : absence de cohérence avec la situation patrimoniale réelle.
3. Rapport d'adéquation absent ou postérieur : remis après souscription au lieu d'avant.
4. Préférences ESG non recueillies : oubli depuis l'entrée en vigueur du règlement délégué.
5. Suivi annuel non documenté : revue d'adéquation annuelle théorique mais non tracée.
6. LCB-FT : cartographie des risques absente ou simplement copiée d'un modèle générique.
7. Conflits d'intérêts : registre tenu une fois et jamais mis à jour.
8. RGPD : absence de mention dans le DER et de registre des traitements.
9. Formation continue : heures déclarées mais non justifiées par des attestations.
10. Contrôle interne : plan théorique non appliqué et rapport annuel inexistant.

Les bonnes pratiques 2026 consistent à :

• Mettre en place un plan de contrôle interne annuel avec un échantillon aléatoire de dossiers.
• Former chaque collaborateur conseil 15 heures/an minimum (y compris LCB-FT et ESG).
• Centraliser tous les documents dans une GED intelligente avec horodatage et versioning.
• Conserver un journal d'audit exportable, montrant qui a accédé à quoi, quand et pourquoi.
• S'appuyer sur un outil intégrant la jurisprudence AMF et les textes Legifrance en temps réel.

La Suite Majors® couvre l'ensemble de ces bonnes pratiques nativement. Pour préparer un contrôle AMF dans le détail, consultez aussi notre guide dédié à la mise en conformité d'un cabinet CGP.

Calendrier d'audit annuel recommandé

Plutôt qu'un audit ponctuel chaque année, nous recommandons un calendrier réparti sur 12 mois :

Cette répartition étale la charge sur l'année et évite l'effet "crash test" en décembre. Avec un outil comme la Suite Majors®, plusieurs de ces étapes s'exécutent en continu et automatiquement.

Tester la Suite Majors® Consulter le support