Waarom 80% van de AML/CFT audits eigenlijk niet werkt (en hoe je bij de andere 20% hoort)
De illusie van compliance
Stel je het volgende voor. Je organisatie heeft een ogenschijnlijk perfect AML/CFT-auditprogramma. Alles is netjes vastgelegd, rapportages worden op tijd opgeleverd en de toezichthouder vertrekt na het laatste onderzoek met een geruststellend oordeel. Op papier klopt alles.
En toch – een jaar later – volgt een miljoenenboete. Of erger: je organisatie haalt de krant vanwege betrokkenheid bij een witwasschandaal dat jarenlang onopgemerkt bleef.
Wat ging hier (waarschijnlijk) mis?
De ongemakkelijke waarheid is dat het zelden ontbreekt aan regels, processen of zelfs deskundigheid. Het probleem zit in de fundamentele insteek. Onze observatie in de markt is dat circa 80% van de audits onbewust is gaan geloven in schijnzekerheid: compliance als een administratief einddoel, in plaats van risicobeheersing als continu proces. Het resultaat? Auditprogramma’s die draaien op vinkjes en tickets, maar falen in het detecteren van échte risico’s en afwijkend gedrag. In dit artikel ontrafelen we:
- Waarom audits vaak aan de oppervlakte blijven (en hoe je daar doorheen doorprikt).
- De drie grootste valkuilen voor audit teams.
- Hoe je de verschuiving maakt naar de 20% van de organisaties die wél waarde toevoegt.
1. De valse zekerheid: “We zijn compliant”
In de praktijk wordt een AML/CFT-audit nog te vaak gezien als een verplicht nummer. Deze mindset leidt tot audits die vooral aantonen dát processen bestaan, maar niet of ze onder druk standhouden.
Rapporten staan vol bevestigingen dat beleid aanwezig is, dat controles zijn ingericht en dat procedures worden gevolgd. Maar de vraag die zelden echt wordt beantwoord is: werkt het ook in de praktijk?
Daarbij richten audits zich vaak op de ‘low hanging fruit’, zoals de administratieve volledigheid van klantacceptatie. Complexere onderwerpen – zoals de effectiviteit van geavanceerde transactiemonitoring of de integriteit van de besluitvorming bij afwijkende gedragspatronen – blijven vaak onderbelicht. Het gevolg is een gevaarlijke vorm van zelfvertrouwen. Een organisatie kan “compliant” lijken, terwijl onder de oppervlakte significante risico’s blijven bestaan.
Een effectief auditprogramma draait daarom niet om het afvinken van regels, maar om het blootleggen van kwetsbaarheden. Dat vraagt om een verschuiving: van controleren naar doorgronden, van documenteren naar verbeteren.
De 20% die impact maakt, verlegt de focus van proces-compliance naar effectiviteits-compliance. Een effectief programma draait niet om het afvinken van regels, maar om het blootleggen van kwetsbaarheden voordat een crimineel ze vindt.
2. De drie grootste valkuilen in AML/CFT-audits
Waarom gaat het zo vaak mis? In de kern zijn er drie patronen die telkens terugkomen.
I. Tunnelvisie: kijken naar wat je al kent
Auditors richten zich vaak op bekende risico’s en bestaande checklists. Dat geeft houvast, maar creëert ook blinde vlekken. Nieuwe dreigingen – zoals complexe fraudeconstructies, crypto-gerelateerde risico’s of geavanceerde witwasmethoden – blijven daardoor buiten beeld.
Wanneer een audit afsluit met de conclusie dat er “geen significante bevindingen” zijn, is dat lang niet altijd geruststellend. Het kan juist een signaal zijn dat er niet diep genoeg is gekeken.
Hoe pak je dit aan?
- Stuur op ‘Event-driven’ scopes: Stop met auditen “omdat het op de jaarplanning staat”. Focus op gebieden waar de markt of de organisatie verandert (bijv. nieuwe product-market combinaties).
- Gebruik technologie als spiegel: Zet data-analyse in om patronen te ontdekken die handmatige steekproeven missen, maar blijf kritisch op de datakwaliteit.
- Verbreed de blik: Betrek externe specialisten (bijv. SIRA- of sanctie-experts) om de eigen aannames uit te dagen.
II. Papieren compliance: Het verschil tussen beleid en praktijk
Veel organisaties hebben hun processen uitstekend gedocumenteerd. Op papier klopt het allemaal. Maar in de praktijk ontstaan afwijkingen.
Medewerkers slaan stappen over omdat processen te omslachtig zijn. Monitoringtools genereren zoveel meldingen dat echte signalen verloren gaan in de ruis. Trainingen worden gevolgd, maar leiden niet tot ander gedrag.
Dit is misschien wel de meest verraderlijke valkuil: de overtuiging dat iets werkt, omdat het zo is opgeschreven en is geïmplementeerd.
Hoe pak je dit aan?
- Mystery Shopping / Walk-through tests: Test het proces door een fictieve, risicovolle klant door de onboarding te loodsen. Hoe makkelijk glipt deze erdoorheen?
- Meet de ‘Output-kwaliteit’: Kijk niet alleen of een melding is afgehandeld, maar of de afhandeling ook daadwerkelijk het risico heeft gemitigeerd.
- Haalbaarheidstoets: Als een regel niet nageleefd wordt, is de medewerker vaak niet het probleem, maar het proces. Durf dit te benoemen.
III. De “audit als eindpunt” valkuil
Een auditrapport wordt opgeleverd, besproken en vervolgens opgeborgen. Aanbevelingen verdwijnen naar de achtergrond, opvolging blijft uit en de organisatie gaat over tot de orde van de dag.
In zo’n omgeving wordt audit gezien als controlemechanisme, niet als verbeterinstrument. Medewerkers ervaren het als iets externs, soms zelfs als bedreigend, in plaats van als kans om processen te versterken.
De echte waarde van audit ontstaat pas wanneer bevindingen leiden tot concrete verandering. Dat vraagt om duidelijke, meetbare acties, betrokkenheid van de business en actieve opvolging.
Hoe pak je dit aan?
- Maak auditbevindingen SMART: Specifiek, Meetbaar, Acceptabel, Relevant, Tijdgebonden.
- Betrek de business bij de oplossing – laat degenen die het proces uitvoeren, meedenken over verbeteringen. Wijs daarnaast iemand aan die verantwoordelijk is voor de oplossing.
- Communiceer de resultaten – laat zien dat audit niet alleen “controleren” is, maar ook waarde toevoegen.
3. Hoe je bij die 20% komt: Praktische stappen voor een werkende audit
Stap 1: Prioriteer op impact, niet op volledigheid
Niet elk risico verdient dezelfde aandacht. Toch worden audits nog vaak breed ingestoken, waardoor tijd en capaciteit versnipperen.
Effectieve auditteams maken scherpe keuzes. Ze richten zich op de gebieden waar de kans én impact het grootst zijn: hoog-risicoklanten, complexe of afwijkende transacties en gedrag binnen de organisatie dat regels onder druk zet.
Dat vraagt om het durven loslaten van standaardchecklists. In plaats daarvan staat de vraag centraal: waar kan het hier echt misgaan?
Stap 2: Gebruik data om blind spots te ontdekken
Veel audits bevestigen wat al bekend is. Maar de echte waarde zit in het ontdekken van blinde vlekken.
Door actief gebruik te maken van data-analyse kunnen patronen zichtbaar worden die anders verborgen blijven. Denk aan ongebruikelijke transactiestromen, afwijkingen in klantgedrag of structurele uitzonderingen in processen.
Hiermee verschuift de rol van audit: van controleren of iets klopt, naar het signaleren van wat níet klopt – ook als niemand er nog naar kijkt.
Stap 3: Maak audit een continu proces, geen eenmalige check
Risico’s veranderen voortdurend, maar audits vinden vaak slechts periodiek plaats. Dat creëert een vertraging tussen wat er gebeurt en wat wordt gezien.
Organisaties die impact maken, behandelen audit als een doorlopend proces. Ze herijken regelmatig hun risicoanalyse, monitoren continu kritieke processen en zorgen dat inzichten direct worden teruggekoppeld.
Door kritieke processen continu te monitoren en kortere, thematische ‘deep dives’ te doen, wordt audit een integraal onderdeel van de risicobeheersing in plaats van een jaarlijks examen.
Tip:
Stel een ‘auditroadmap’ op met prioriteiten en deadlines, en communiceer deze naar het management.
Stap 4: Meet de impact van je audit
Uiteindelijk draait het niet om het opleveren van rapporten, maar om het realiseren van verbetering.
Dat betekent dat je verder moet kijken dan afgeronde audits of opgeloste bevindingen. Relevantere vragen zijn: worden risico’s sneller gesignaleerd? Leiden signalen tot actie? Verandert gedrag binnen de organisatie daadwerkelijk?
Door dit soort effecten meetbaar te maken, wordt audit niet alleen zichtbaar, maar ook aantoonbaar waardevol.
4. Conclusie: Van oppervlakkig naar echte risicobewustzijn
In deze aanpak verschuift audit van een controlerende functie naar een strategische partner in risicobeheersing. Niet door meer werk te doen, maar door het juiste werk te doen en daar consequent op te sturen.
De meeste AML/CFT-audits werken niet omdat ze:
- Alleen vinkjes zetten in plaats van risico’s te ontdekken.
- Zich richten op papier in plaats van op gedrag.
- Geen actie wordt ondernomen na de audit.
De 20% die wél het verschil maakt, begrijpt dat hun rol niet is om te bevestigen dat alles goed gaat, maar om de plekken te vinden waar het mis kán gaan.
De oplossing? Een auditprogramma dat:
- Risico’s écht blootlegt (niet alleen checkt of ze “gedocumenteerd” zijn).
- Technologie en data gebruikt om blind spots te vinden.
- Betrokkenheid van de business stimuleert en actie afdwingt.
Uitnodiging tot consultatie
We kunnen ons voorstellen dat u na het lezen van dit artikel vragen heeft en graag van gedachte wilt wisselen over bepaalde onderwerpen. Of dat u met een concrete casus zit waarover u van gedachte wilt wisselen. We nodigen u uit om vrijblijvend contact met ons op te nemen om kennis te maken met u (en/of uw casus). Onze contactgegevens vindt u op onze website.
Vooruitblik naar het volgende artikel
In het volgende artikel duiken we dieper in de drie grootste ‘blind spots’ die zelfs de scherpste AML/CFT-auditor over het hoofd kunnen zien. We ontrafelen waarom een audit die op papier perfect lijkt, in de praktijk vaak systematisch risico’s mist – denk aan cultuur, data en menselijk gedrag. Hoe komt het dat organisaties denken compliant te zijn, terwijl criminelen juist hier de grootste kansen vinden? Bereid je voor op een eerlijke check: welke blind spot herken jij in jouw team?
Kom in contact
Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com
Boy Custers | +31649935735 | boy.custers@compliancechamps.com
Lees hier meer artikelen.
