U bevindt zich hier: / / Compliance audits: van incident naar systeem 

Compliance audits: van incident naar systeem 

Dit is het laatste artikel in de reeks ‘Het landschap van compliance onderzoeken’. In de eerdere artikelen in deze reeks stonden de individuele dossiers en relaties centraal. Integriteitsonderzoeken, due diligence, IDD en AML/KYC gingen telkens over specifieke partijen, transacties of klantrelaties. De kernvraag was tastbaar: wat is hier gebeurd, met déze klant, déze deal of dít signaal? 

Bij compliance audits verschuift het perspectief radicaal. Niet de losse zaak staat centraal, maar het raderwerk eromheen: het beleid, de processen, de controles, de cultuur en de rapportagelijnen. De vraag is niet langer “is dit specifieke dossier op orde?”, maar “werkt ons compliance-raamwerk als geheel zoals bedoeld, en waar zitten de blinde vlekken?”. 

Waar de focus in deze reeks ligt op het brede landschap van onderzoeken binnen één organisatie, zoomt de parallelle serie AML/CFT internal audits – De onzichtbare strijd juist in op de specifieke dynamiek van AML/CFT-audits zelf. Daarin bespreken we waarom zoveel audits verworden tot een papieren werkelijkheid, en wat er nodig is om tot echt risicogedreven toetsing te komen. 

1. Wat verstaan we onder een compliance audit?

Het begrip ‘compliance audit’ is rekbaar. In de praktijk varieert de reikwijdte van een gerichte flitstoets op één thema (zoals sanctiescreening of belangenverstrengeling) tot een omvangrijk onderzoek naar het complete compliance managementsysteem. 

Een gedegen audit ontleedt de organisatie op drie niveaus: 

  • Opzet: Zijn het beleid, de procedures, de rollen en de systemen in theorie zó ingericht dat naleving überhaupt mogelijk is? 
  • Bestaan: Zijn die elementen ook daadwerkelijk geïmplementeerd, of leven ze uitsluitend op papier? 
  • Werking: Functioneren de controles in de weerbarstige praktijk zoals bedoeld, en worden afwijkingen tijdig opgemerkt en gecorrigeerd? 

Waar een forensisch onderzoek hoofdzakelijk achteromkijkt (“wat ging er mis?”), kijkt een compliance audit juist vooruit: “als we op deze voet doorgaan, waar gaan de volgende incidenten vallen?”. In de AML/CFT-auditreeks komt dit scherp terug als het verschil tussen afvinklijstjes en audits die daadwerkelijk de verborgen risico’s blootleggen.

2. De audit als spiegel van het systeem

Integriteits- en compliance-issues staan zelden op zichzelf. Een incident, een rode vlag in IDD, een klant met een verhoogd sanctierisico of een moeizaam KYC-dossier is vrijwel altijd het symptoom van een dieperliggend systeemprobleem. Denk aan: 

  • Een onduidelijke of niet-gedragen risk appetite. 
  • Beleid dat achter een bureau is bedacht en totaal niet aansluit bij de praktijk. 
  • Gebrekkige data of haperende tooling. 
  • Vage grenzen tussen de business, legal, compliance en audit. 
  • Een cultuur waarin kritische vragen worden gezien als lastig of vertragend. 

Compliance audits brengen deze patronen genadeloos in beeld. Ze laten zien waarom dezelfde type fouten of omissies telkens terugkeren in verschillende dossiers, teams of landen. Daarmee vormt de audit het logische sluitstuk van deze reeks: het verlegt de aandacht definitief van het incident naar het systeem.

3. Drie smaakjes in de praktijk

Hoewel de praktijk vloeibaar is, onderscheiden we conceptueel drie typen compliance audits. 

3.1 Themagebonden audits 

Deze audits bijten zich vast in één specifiek onderwerp. Bekende voorbeelden zijn: 

  • Sancties en exportcontrole 
  • Belangenverstrengeling en nevenfuncties 
  • Klokkenluidersregelingen en speak-up 
  • Gifts & hospitality 
  • Third-party due diligence 
  • Dataprivacy en informatiebeveiliging 

Hierbij toets je of de processen en dossiervorming rond dat thema standhouden tegenover interne en externe normen—en of de waan van de dag de praktijk niet stiekem heeft ingehaald. 

Bij zwaardere onderwerpen zoals sancties en transactiemonitoring schuurt zo’n thema-audit dicht aan tegen de reguliere monitoring. In de serie AML/CFT Internal audits – De onzichtbare strijd zoomen we in op de specifieke valkuilen hiervan: de verleiding van het checklist-denken, blinde vlekken in data en de subtiele druk om scherpe bevindingen af te zwakken. 

3.2 Proces- en ketenaudits 

Hier staat niet de norm, maar de stroom centraal. We kijken naar de end-to-end keten, zoals: 

  • Het volledige klantacceptatie- en KYC-proces. 
  • De inkoop- en leveranciersketen. 
  • M&A- en integratietrajecten. 
  • Trade- en exportprocessen. 

De centrale vraag: waar in de keten hopen de risico’s zich op, waar leunen we te zwaar op één kwetsbaar controlepunt, en waar ontbreekt een duidelijke eigenaar? Vaak zie je hier de fouten uit individuele dossiers in het groot terug: structurele achterstanden, slordige dossiervorming of cruciale controles die onder tijdsdruk simpelweg worden overgeslagen. 

3.3 Framework- of systeemaudits 

Dit is de helikopterview. Deze audits nemen het complete compliance-raamwerk onder de loep: 

  • De governance rond integriteit en compliance. 
  • De feitelijke inrichting en effectiviteit van de three lines of defence. 
  • De methodiek achter risico-identificatie en -monitoring. 
  • Training, awareness en de algehele compliancecultuur. 
  • De escalatie en rapportage naar het bestuur, het auditcommittee en de toezichthouder. 

Dit type audit sluit aan bij externe standaarden (zoals internationale guidance voor effective compliance programs of corporate governance codes). Hier wordt vastgesteld of de basis van de organisatie zó staat dat de andere onderzoeken uit deze reeks überhaupt hun werk wel kunnen doen.

4. Van bevinding naar verbeterplan

Een open deur, maar de praktijk is weerbarstig: een compliance audit is pas waardevol als bevindingen leiden tot echte verandering. Te vaak resulteert een audit in een dik pak papier dat direct in een la verdwijnt: een waslijst aan observaties, maar geen vlijmscherp actieplan. 

Een effectief auditrapport hanteert een strakke driedeling: 

  1. Bevinding: Wat is er feitelijk en objectief geconstateerd? 
  2. Risico: Wat kan er concreet misgaan als we dit zo laten? 
  3. Aanbeveling: Wat is er nodig om het gat structureel te dichten? 

Het rapport moet bovendien een realistische inschatting geven van impact en haalbaarheid. Het doel is dat bestuurders en lijnmanagers direct begrijpen wat er op hun bord ligt. Het mag geen technisch compliance-feestje worden. In de AML/CFT-reeks behandelen we dit onder de noemer “van rapport naar actie”: hoe krijg je het management écht in beweging? Gelijk hebben op papier is leuk, verandering realiseren in de organisatie is waar het om gaat.

5. De rolverdeling: het speelveld tussen compliance en audit

Net als bij de andere onderzoeken in deze reeks, kent een compliance audit meerdere hoofdrolspelers. Dit vereist een strakke regie. 

  • Compliance is de eigenaar van het framework en de inhoudelijke normstelling. Vanuit die rol voert compliance vaak zelf reviews of thema-assessments uit, of bereidt de gebieden voor waar internal audit later dieper op inhaalt. 
  • Internal Audit behoudt de onafhankelijke blik op de opzet en werking van de controls, vaak met compliance als inhoudelijke sparringpartner. 
  • Externe specialisten schuiven aan wanneer specifieke dieptekennis nodig is (denk aan complexe sanctiewetgeving, FCPA/UKBA of IT-security), of wanneer maximale onafhankelijkheid vereist is richting de toezichthouder of de Raad van Commissarissen. 

Niets is zo funest voor de effectiviteit—en de onderlinge sfeer—als audit en compliance die onbedoeld in hetzelfde vijvertje vissen of elkaars werk dupliceren. Heldere afbakening vooraf is geen luxe, maar bittere noodzaak. In de AML/CFT-artikelen dagen we dit nog scherper uit bij de “mythe van onafhankelijkheid”: hoe interne politiek en druk van bovenaf de uitkomst van audits kunnen kleuren, en hoe je daar als auditor tegenwicht aan biedt.

 

6. Leren van de praktijk: de root-cause-benadering

Incidenten, integriteitsmeldingen, due-diligencebevindingen en KYC-issues zijn stuk voor stuk vensters die kijken op onderliggende risico’s. Een volwassen compliance audit benut die data systematisch door middel van: 

  • Casuïstiek-analyse: Welke typen incidenten poppen herhaaldelijk op, en wat zegt dat over de gaten in ons beleid? 
  • Trendanalyses: Welke patronen worden zichtbaar als we kijken naar data over verschillende landen, businesslines of productgroepen heen? 
  • Root-cause-onderzoek: Als op drie verschillende afdelingen dezelfde fout wordt gemaakt, wat is dan de gemeenschappelijke oorzaak? 

De organisatie leert hierdoor om te stoppen met dweilen, en de kraan daadwerkelijk dicht te draaien. De AML/CFT-auditreeks bouwt hierop voort door specifiek te kijken naar de blind spots in data en cultuur die maken dat rode vlaggen in de praktijk tóch worden gemist of genegeerd.

7. Compliance audits en de grens van het redelijke

Bij compliance audits rijst vroeg of laat de onvermijdelijke vraag: “wanneer is het genoeg?”. Een auditor kan altijd méér vinden: nog een extra controle, een aangescherpte policy, een extra rapportagelaag. Zonder een helder gekaderde risk appetite loop je het risico op een topzwaar compliance-apparaat dat de organisatie volledig verlamt. 

Een volwassen auditaanpak durft keuzes te maken: 

  • Het spiegelt bevindingen direct aan de vastgestelde risk appetite. 
  • Het benoemt niet alleen waar de praktijk afwijkt van het handboek, maar relativeert ook waar de risico’s verwaarloosbaar zijn. 
  • Het faciliteert het gezonde gesprek tussen bestuur, business en compliance over de balans tussen veiligheid, werkbaarheid en kosten. 

Deze discussie zie je één-op-één terug in de AML/CFT-audits: strenger monitoren en méér alerts genereren lijkt op papier altijd beter, totdat het systeem verstopt raakt en de échte risico’s door de ruis worden opgeslokt.

8. Slotakkoord: de cirkel is rond

Met de compliance audit is de cirkel van deze reeks rond. Waar we begonnen in de haarvaten van de organisatie—bij het concrete incident, het stroeve KYC-dossier of de integriteitsmelding—eindigen we bij het zenuwstelsel. 

De dynamiek is helder: incidenten leggen de acute wonden bloot, due diligence en KYC houden de achterdeur dicht, maar de compliance audit controleert of het fundament van het hele huis wel bestand is tegen de storm. Het verlegt de focus definitief van brandjes blussen naar structurele brandveiligheid. De ultieme vraag voor het bestuur is immers niet of er vandaag toevallig aan de regels is voldaan, maar of de organisatie zó is ingericht dat ze dat morgen en over een jaar ook nog kan. 

 

Uitnodiging tot consultatie

We kunnen ons voorstellen dat u na het lezen van dit artikel vragen heeft en graag van gedachte wilt wisselen over bepaalde onderwerpen. Of dat u met een concrete casus zit waarover u van gedachte wilt wisselen. We nodigen u uit om vrijblijvend contact met ons op te nemen om kennis te maken met u (en/of uw casus). Onze contactgegevens vindt u op onze website.  

 

Kom in contact

Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com

Boy Custers | +31649935735 | boy.custers@compliancechamps.com

 

Lees hier meer artikelen.

 

AMLA Update