Skyline Rotterdam

De drie grootste blinde vlekken in AML/CFT-audits (en hoe ze je organisatie kunnen ruïneren)

Introductie: Waarom je AML/CFT audit tekort kan schieten

De AML/CFT-audit is succesvol afgerond en de uitkomst in het rapport ziet er goed uit. Ook compliance heeft zijn reviews gedaan voor het jaar en we vinden met zijn alle dat we in control zijn. En toch… blijken een aantal klanten onderdeel van een witwasnetwerk van een paar honderd miljoen euro, miste jouw monitoringtool transacties die wel door de concurrent werden opgemerkt, en heeft een medewerker jarenlang PEP transacties goedgekeurd zonder verscherpte controle handelingen. 

Hoe kan dat? 

AML/CFT audits zijn in de praktijk vaak kwetsbaar voor een aantal fundamentele blinde vlekken: de cultuur binnen de organisatie, menselijk gedrag onder druk, en de manier waarop data wordt gebruikt en geïnterpreteerd. 

In dit artikel ontrafelen we:
Blinde vlek 1: Cultuur: Waarom een “compliance-vinkjescultuur” échte risico’s maskeert.
Blinde vlek 2: Mensen: De psychologie achter het negeren van rode vlaggen.
Blinde vlek 3: Data: Waarom je monitoringtools meer missen dan ze vinden. 

Blinde vlek 1: De “Compliance-Vinkjescultuur” – Waarom je organisatie denkt dat ze compliant is, terwijl ze dat niet is 

In veel organisaties is AML/CFT-compliance langzaam verschoven van een risico gedreven discipline naar een administratief proces. Wat ooit bedoeld was om risico’s zichtbaar en beheersbaar te maken, is in de praktijk vaak gereduceerd tot het volgen van stappen en het afvinken van checklists. Medewerkers doen wat er van hen gevraagd wordt, maar staan zelden stil bij de vraag wat het daadwerkelijk betekent, voor risico’s, voor de organisatie, of voor de effectiviteit van het geheel. Het gevolg? 

  • Rapporten vol bevestigingen dat processen bestaan en zijn geïmplementeerd, maar nauwelijks duidelijk bewijs dat ze effectief werken. 
  • Audits die zich richten op “makkelijke” onderdelen (bijvoorbeeld klantacceptatie en policy checks), terwijl complexe risico’s (bijvoorbeeld transactiemonitoring en cultuur) worden genegeerd. 
  • Een valse zekerheid: “We zijn compliant, want we volgen de regels.” 

Voorbeeld uit de praktijk: 
De Volksbank kreeg in 2025 een boete van €20 miljoen van de DNB, omdat hun compliance-systeem niet up-to-date was en risico’s niet effectief werden gemitigeerd. Het probleem? De bank had wel processen, maar die werden niet kritisch beoordeeld op effectiviteit. Medewerkers volgden de regels, maar begrepen niet waarom – en dus misten ze signalen die op mogelijk witwassen duidden. 

Waarom is dit een blinde vlek? 

Cultuur bepaalt de mate en diepgang van compliance

In organisaties waar compliance wordt gezien als een verplichting, ontstaat al snel een minimale invulling: “doen wat nodig is om door de controle te komen.” Medewerkers volgen processen, maar voelen zich niet verantwoordelijk voor het onderliggende doel. Het signaleren van risico’s vraagt echter nieuwsgierigheid, eigenaarschap en vaak ook lef. Als die elementen ontbreken, blijven afwijkingen onopgemerkt — niet omdat ze er niet zijn, maar omdat niemand actief op zoek is of de vinger op de zere plek te leggen en zich uit te spreken. 

Geen eigen verantwoordelijkheid

Wanneer compliance wordt gepositioneerd als een aparte afdeling, ontstaat een impliciete scheiding: “zij gaan over de regels, wij over de business.” In theorie blijft iedereen verantwoordelijk, maar in de praktijk verwatert dat. Risicobeheersing wordt iets wat je kunt doorverwijzen, in plaats van iets wat integraal onderdeel is van dagelijks handelen. Het gevolg is dat signalen blijven hangen tussen teams, of simpelweg niet worden opgepakt omdat niemand zich echt eigenaar voelt. 

Angst voor conflict

Kritische vragen stellen over klanten, transacties of interne processen vraagt ruimte en veiligheid. In veel organisaties wordt die ruimte door medewerkers beperkt gevoeld. Medewerkers die doorvragen, worden soms gezien als lastig, vertragend of “niet commercieel genoeg”. Zeker in omgevingen met hoge werkdruk of sterke focus op targets kan dat effect worden versterkt. De rationele keuze wordt dan om binnen de lijntjes te blijven en geen discussie aan te gaan, ook als er twijfel is. 

Hoe pak je dit aan? 

Maak compliance ieders verantwoordelijkheid: Leg uit waarom regels bestaan en waarom ze belangrijk zijn voor de organisatie (bijv. “Dit voorkomt dat we gebruikt worden voor witwassen”) en wat ieders rol daarin zou moeten zijn. Kijk bij je volgende audit is naar het verantwoordelijkheidsgevoel bij de verschillende teams.
 Maak een compliance KPI: Stimuleer medewerkers om rode vlaggen te melden, ook als dat ongemakkelijk is. Om die vlaggen te kunnen herkennen zijn compliance trainingen cruciaal. Duik als auditor ook is in hoe compliance wordt gestimuleerd.
 Test de cultuur: Voer anonieme werknemerstevredenheidsonderzoek uit: Durven medewerkers kritiek te uiten? Voelen ze zich veilig om afwijkingen te melden?
 Laat (hoger) management de toon zetten: Als het management compliance negeert, zal de rest dat ook doen. Durf als auditor ook te benoemen wat de impact kan zijn van de toon van het management. 

 

Blinde vlek 2: Menselijk Gedrag – De psychologie achter het negeren van rode vlaggen 

We zijn niet rationeel – ook niet in compliance. Zelfs als systemen en processen perfect zouden zijn, mensen maken nu eenmaal fouten. En die fouten worden vaak veroorzaakt door psychologische valkuilen: 

 

Psychologische bias

Hoe het werkt

Voorbeeld
Confirmation bias  We zoeken naar informatie die onze overtuiging bevestigt.  Een auditor ziet dat een klant “op papier” in orde is en negeert signalen die anders zijn. 
Overconfidence bias  We overschatten onze eigen vermogen om risico’s te herkennen.  “Wij kennen onze klanten, dus wij weten welke transacties veilig zijn.” 
Groupthink  Groepsdruk zorgt ervoor dat afwijkende meningen worden onderdrukt.  Een team negeert een rode vlag omdat “Iedereen het erover eens is dat dit geen risico is”. 
Alert fatigue  Te veel valse alarmmeldingen leiden tot negeren van alle signalen.  Medewerkers klikken automatisch “veilig” aan, omdat 99% van de meldingen niets blijkt. 
Authority bias  We vertrouwen blind op gezag (bijv. senior management).  Een medewerker twijfelt aan een transactie, maar doet niets omdat de manager zegt: “Dit is in orde.” 

 

Deze kwetsbaarheid (‘de biases’) zit niet in systemen of procedures, maar in menselijk gedrag. En juist daarom is het zo hardnekkig: 

Mensen zijn geen machines

Zelfs de meest ervaren auditors en compliance officers maken continu inschattingen op basis van onvolledige informatie. Daarbij spelen onbewuste aannames en cognitieve biases een grotere rol dan vaak wordt erkend. Denk aan confirmation bias (we zoeken bevestiging van wat we al denken te weten) maar bijvoorbeeld ook ‘normalisation of deviance’ (afwijkingen die vaak genoeg voorkomen, gaan als “normaal” voelen). In een auditcontext betekent dit dat signalen die niet direct in het verwachte patroon passen, sneller worden weg gefilterd of gerationaliseerd. 

Cultuur versterkt biases

Die natuurlijke neiging wordt versterkt door de omgeving waarin mensen werken. Cultuur, de eerst benoemde blinde vlek, is daarin bepalend. In organisaties waar fouten primair worden gezien als iets dat bestraft moet worden, ontstaat terughoudendheid. Medewerkers worden voorzichtiger met het stellen van kritische vragen of het escaleren van twijfelgevallen. Niet omdat ze de risico’s niet zien, maar omdat de persoonlijke of organisatorische kosten van “lastig doen” als hoger worden ervaren dan de potentiële opbrengst. Het gevolg is dat risico’s wel worden opgemerkt, maar niet altijd worden uitgesproken. 

Druk om resultaten te boeken

Daar komt nog bij dat prikkels binnen organisaties niet altijd in lijn zijn met risicobeheersing. Wanneer snelheid, commerciële targets of klanttevredenheid zwaarder wegen in beoordeling en beloning, ontstaat er spanning. Medewerkers die worden afgerekend op doorlooptijden of volumes, zullen – bewust of onbewust – geneigd zijn om minder strikt te zijn in hun beoordeling. Niet per se uit onwil, maar omdat het systeem hen die richting op duwt. Hier zou een compliance KPI ook goed van pas kunnen komen om de boel te balanceren. 

In combinatie zorgen deze factoren voor een omgeving waarin risico’s niet altijd verdwijnen, maar wel minder zichtbaar worden. En dat maakt dit tot een van de meest verraderlijke blinde vlekken: iedereen doet zijn werk, en toch ontstaat er een structurele onderschatting van wat er werkelijk speelt. 

Hoe je dit oplost: 

 Train op gedrag, niet alleen op regels: Leer medewerkers kritisch na te denken en aannames uit te dagen. Controleer bij een audit de trainingsmaterialen op dit thema.
 Gebruik “red teaming”: Laat een team opzettelijk proberen om je systemen te omzeilen. Wat lukt er? Waar lopen ze tegen aan? Kijk als auditor hoe een organisatie zich kan wapenen tegen biases.
 Beloon het melden van fouten: Creëer een cultuur waar fouten melden wordt beloond, niet bestraft. Altijd goed om dit te pijlen in interviews en ‘walkthroughs’.
 Automatiseer waar mogelijk: Vervang menselijk oordeel door objectieve criteria waar dat kan (bijv. “Als transactie X, Y en Z kenmerken heeft, dan altijd escaleren”).
 Meet de kwaliteit van beslissingen: Analyseer achteraf hoe vaak menselijke beoordelingen fout waren en leer ervan. 

Vraag aan jou:

Welke psychologische valkuilen herken je in je eigen team? En hoe zorg je dat medewerkers durven te twijfelen? 

Blinde vlek 3: Data – Waarom je monitoringtools meer missen dan ze vinden 

Organisaties vertrouwen op geavanceerde monitoringtools om verdachte transacties op te sporen. Maar wat als die tools niet zijn afgestemd op de échte risico’s van je organisatie? Of als de data die je het systeem voert onvolledig of verouderd is, of zelfs verkeerd geïnterpreteerd wordt? 

Voorbeelden uit de praktijk: 

  • Bunq (Nederlandse neobank) kreeg in 2025 een boete van €2,6 miljoen van de DNB, omdat hun AML-controles herhaaldelijk tekortschoten. Eén van de problemen: de monitoringtools misten patronen die wel verdacht waren, omdat ze niet waren afgestemd op de specifieke risico’s van een fintech. 
  • De Volksbank kon klantactiviteiten niet goed monitoren tussen 2020 en 2023, omdat hun systemen niet meegingen met nieuwe witwasmethodes (bijvoorbeeld structurering via kleine bedragen). 

Op papier lijkt data gedreven monitoring één van de sterkste verdedigingslinies binnen AML/CFT. In de praktijk zit juist hier een fundamentele kwetsbaarheid. Niet omdat er te weinig data is, maar omdat de manier waarop we die data gebruiken beperkingen heeft die vaak worden onderschat: 

 

False Negatives

Een eerste probleem zit in wat níet wordt gezien: de zogenaamde false negatives. Monitoringtools zijn per definitie gebaseerd op modellen, scenario’s en historische patronen. Ze herkennen wat eerder al als risico is geïdentificeerd. Maar witwassen en fraude ontwikkelen zich continu. Nieuwe methoden passen vaak nét buiten de bestaande parameters en blijven daardoor onzichtbaar. Het systeem geeft dan geen signaal, terwijl er wel degelijk iets speelt. En omdat “geen alert” vaak wordt geïnterpreteerd als “geen risico”, ontstaat een gevaarlijke vorm van schijnzekerheid. 

False Positives

Aan de andere kant is er het tegenovergestelde probleem: false positives. Veel systemen genereren grote hoeveelheden alerts, waarvan een aanzienlijk deel uiteindelijk niet relevant blijkt. Dat leidt tot een operationele realiteit waarin medewerkers dagelijks enorme volumes moeten beoordelen. Na verloop van tijd treedt onvermijdelijk ‘alertmoeheid’ op. Signalen die aanvankelijk met aandacht worden onderzocht, worden steeds sneller afgedaan als “waarschijnlijk weer niets”. Niet uit onwil, maar uit efficiëntie. Het risico is duidelijk: juist het ene échte signaal kan verdwijnen in de massa. 

Data Silos

Daarbovenop komt dat data zelden één samenhangend geheel vormt. In veel organisaties is informatie verspreid over verschillende systemen: klantdata in het ene platform, transactiegegevens in een ander, risicobeoordelingen weer ergens anders. Deze silo’s maken het moeilijk om verbanden te leggen. Een transactie kan op zichzelf onschuldig lijken, net als een klantprofiel. Maar in combinatie, over tijd en systemen heen, kan er wel degelijk een patroon zichtbaar zijn. Als die puzzelstukken niet bij elkaar komen, blijft het grotere geheel verborgen. 

Hoe pak je dit aan? 

 Valideer je data: Zorg dat je monitoringtools daadwerkelijk de risico’s detecteren die relevant zijn voor jouw organisatie. Test regelmatig met realistische scenario’s. Ga bij een audit ook dieper in op hoe de ‘rules’ (de daarbij horende scenario’s) tot stand zijn gekomen.
 Combineer mens en machine: AI en data-analyse zijn krachtig, maar menselijk oordeel is nodig om context toe te voegen (bijvoorbeeld “Deze bestuurder is een PEP, maar zijn assets hebben niks te maken met de klantorganisatie”).
 Monitor de effectiviteit: Meet hoeveel echte risico’s je tool vindt en hoeveel het mist. Duik als auditor ook is in de statistieken van de monitoring tool.
 Integreer data: Zorg dat klantdata, transactiedata en risicodata met elkaar verbonden zijn, zodat patronen zichtbaar kunnen worden. Neem in je audit ook de data typen mee. 

 

Conclusie: Van blinde vlekken naar scherp zicht 

De drie blinde vlekken – cultuur, menselijk gedrag en data – staan niet los van elkaar. Ze versterken elkaar. Een organisatie met een vinkjescultuur zal minder kritisch kijken naar de effectiviteit van haar monitoring. Mensen die onder druk staan of gestuurd worden op snelheid, zullen sneller vertrouwen op systemen zonder die te bevragen. En systemen die niet effectief werken, maar wel worden gebruikt, voeden vervolgens weer de overtuiging dat “alles onder controle is”. Zo ontstaat een gesloten cirkel van schijnzekerheid. 

De pijnlijke realiteit is dat veel audits deze dynamiek niet doorbreken. Ze bevestigen dat processen bestaan, dat controles zijn uitgevoerd, en dat rapportages kloppen. Maar ze stellen zelden die scherpe vraag: Werkt dit systeem ook als het er echt toe doet? 

Een effectieve AML/CFT-audit kijkt daarom niet alleen naar wat er is ingericht, maar vooral naar hoe het in de praktijk functioneert — onder druk, bij twijfel, en op de momenten dat het spannend wordt. Dat vraagt iets anders van auditors: 

  • Niet alleen toetsen, maar doorvragen  
  • Niet alleen controleren, maar begrijpen  
  • Niet alleen rapporteren, maar ook confronteren  

Want uiteindelijk zit het verschil niet in nóg betere policies of nóg meer data. Het zit in de bereidheid om te zien wat je liever niet ziet. De vraag is dus niet of jouw organisatie blinde vlekken heeft. De vraag is: durf je ze echt zichtbaar te maken? 

Als je deze blinde vlekken negeert, blijf je reactief in plaats van proactief. Je organisatie is dan niet slecht beschermd – maar wel kwetsbaar op plekken waar je het niet verwacht. De 20% die écht impact maakt, begrijpt dat een goede AML/CFT-audit niet draait om het afvinken van regels, maar om het blootleggen van kwetsbaarheden voordat er misbruik van kan worden gemaakt. 

 

Uitnodiging tot consultatie

We kunnen ons voorstellen dat u na het lezen van dit artikel vragen heeft en graag van gedachte wilt wisselen over bepaalde onderwerpen. Of dat u met een concrete casus zit waarover u van gedachte wilt wisselen. We nodigen u uit om vrijblijvend contact met ons op te nemen om kennis te maken met u (en/of uw casus). Onze contactgegevens vindt u op onze website.  

 

Vooruitblik naar het volgende artikel

In het volgende artikel duiken we in de ongemakkelijke waarheid: Internal Audit vs. de Business. Waarom auditteams vaak als “remmende factor” worden gezien – en hoe je dat omdraait.  

 

Kom in contact

Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com

Boy Custers | +31649935735 | boy.custers@compliancechamps.com

 

Lees hier meer artikelen.