U bevindt zich hier: / / Iedereen wil compliance… totdat het schuurt met de business

Iedereen wil compliance… totdat het schuurt met de business

Vrijwel iedere organisatie zegt hetzelfde: 

“Compliance is belangrijk.”
“We nemen AML/CFT serieus.”
“We willen risico’s beheersen.” 

Er wordt geïnvesteerd in beleid, monitoringtools, awareness trainingen en periodieke audits. Op papier ziet het er vaak goed uit: processen bestaan, controles zijn ingericht en rapportages worden netjes besproken in governance-overleggen. Toch zien we in de praktijk nog steeds dezelfde problemen terugkomen. Grote dossiers waarin witwasrisico’s jarenlang onopgemerkt blijven, transacties die nooit kritisch zijn bekeken of organisaties die compleet verrast zijn wanneer een toezichthouder concludeert dat de beheersing ernstig tekortschiet.

Dat gebeurt zelden, omdat niemand wist wat de regels waren. Veel vaker ontstaat het probleem door iets anders: de spanning tussen Internal Audit en de business. 

Die spanning is meestal niet openlijk zichtbaar. Niemand zegt letterlijk dat risico’s niet belangrijk zijn of dat compliance in de weg zit. Maar zodra auditbevindingen raken aan commerciële doelstellingen, klantrelaties, capaciteit of omzet, verandert de dynamiek vaak snel. Bevindingen worden genuanceerd, prioriteiten verschuiven en discussies gaan ineens minder over risico’s en meer over haalbaarheid, timing of “de realiteit van de business”.

En precies daar ontstaat een kwetsbaarheid die veel organisaties onderschatten. 

Wanneer Internal Audit en de business tegenover elkaar komen te staan, verdwijnen risico’s niet. Ze worden alleen minder zichtbaar. Dat geldt overigens niet alleen voor interne auditafdelingen. Ook bij externe internal audit zie je regelmatig dezelfde dynamiek ontstaan, waarbij onafhankelijkheid onder druk komt te staan zodra conclusies commercieel of bestuurlijk ongemakkelijk worden.

 

In dit artikel kijken we naar die spanning, waarom die zo hardnekkig is en hoe organisaties kunnen voorkomen dat audit verwordt tot een proces waar iedereen aan meewerkt, maar waar uiteindelijk niemand echt naar luistert. 

De kern van het probleem: Audit en business praten vaak een andere taal 

Op papier hebben Internal Audit en de business hetzelfde doel: een (commercieel) gezonde, veilige en duurzame organisatie. In de praktijk worden beide functies echter vaak afgerekend op totaal verschillende belangen. 

Internal Audit wordt geacht risico’s zichtbaar te maken, processen kritisch te toetsen en onafhankelijk te beoordelen of beheersmaatregelen daadwerkelijk effectief zijn. De business wordt daarentegen vooral gestuurd op groei, klanttevredenheid, snelheid en commerciële resultaten. Zolang die belangen in balans blijven, vullen audit en business elkaar goed aan. Het probleem ontstaat wanneer risicobeheersing direct botst met commerciële realiteit. 

Een auditbevinding betekent namelijk zelden alleen een theoretisch risico. In de praktijk betekent het vaak extra werk, strengere controles, vertraging in onboarding, discussies met klanten of hogere operationele kosten. En precies daarom ontstaat weerstand. 

Die weerstand is niet altijd bewust. Sterker nog: veel business managers zijn ervan overtuigd dat zij risico’s serieus nemen. Alleen voelen zij tegelijkertijd de druk om processen werkbaar te houden, targets te halen en concurrentie voor te blijven. Daardoor ontstaat langzaam een situatie waarin risico’s niet actief worden genegeerd, maar wel structureel worden afgezwakt of gerelativeerd. 

Dat zie je meestal terug in drie terugkerende spanningen. 

 

Drie spanningsvelden tussen Internal Audit en de business 

De kloof tussen theorie en praktijk 

Eén van de grootste frustraties vanuit de business is het gevoel dat audit onvoldoende begrijpt hoe processen in de praktijk werken. Auditors kijken naar dossiers, procedures en regelgeving, terwijl commerciële teams dagelijks te maken hebben met klantdruk, deadlines, omzetdoelstellingen en operationele beperkingen. Daardoor worden auditbevindingen regelmatig ervaren als theoretisch of moeilijk uitvoerbaar. 

Die frustratie is soms begrijpelijk. Een auditadvies kan op papier volledig logisch zijn, maar in de praktijk leiden tot langere onboardingtrajecten, meer escalaties of extra werkdruk voor operationele teams. Het risico ontstaat echter wanneer uitvoerbaarheid structureel belangrijker wordt gemaakt dan risicobeheersing. 

Dan zie je dat organisaties bewust of onbewust concessies gaan doen. Bevindingen worden “geherprioriteerd”, deadlines worden vooruitgeschoven of tekortkomingen worden genuanceerd met argumenten als: “anders verliezen we klanten” of “dit is operationeel niet haalbaar”. Op korte termijn voelt dat pragmatisch, maar op langere termijn creëert het precies de omstandigheden waarin risico’s kunnen groeien zonder dat iemand echt ingrijpt. 

 

Audit als politie in plaats van partner 

Een tweede spanningsveld ontstaat wanneer audit vooral wordt gezien als een functie die fouten komt aanwijzen. Veel organisaties zeggen wel dat audit een “business partner” is, maar in de praktijk ervaren medewerkers audit nog vaak als controleur, politieagent of vinkjesmachine. 

Dat beeld ontstaat vooral wanneer audits sterk gericht zijn op afwijkingen, tekortkomingen en rapportages, zonder voldoende aandacht voor de onderliggende oorzaken van gedrag of procesproblemen. Medewerkers voelen zich daardoor eerder beoordeeld dan geholpen. 

Het gevolg daarvan zie je vaak subtiel terug in gedrag. Twijfels worden minder snel uitgesproken, escalaties blijven uit en risico’s worden intern opgelost in plaats van formeel gemeld. Niet omdat medewerkers bewust risico’s willen verbergen, maar omdat mensen van nature defensiever worden in een omgeving waar fouten vooral negatieve consequenties lijken te hebben. 

Binnen AML/CFT is dat een serieus probleem. Veel grote incidenten ontstaan namelijk niet doordat signalen volledig ontbreken, maar doordat medewerkers twijfels niet meer durven uitspreken of afwijkingen langzaam normaal gaan vinden. Wanneer audit uitsluitend wordt geassocieerd met controle en afrekening, verdwijnt precies die openheid die nodig is om risico’s tijdig zichtbaar te maken. 

 

Overmoed en het idee dat “het hier wel meevalt” 

Het derde spanningsveld is misschien wel het meest verraderlijk: organisatorische overmoed. Veel organisaties die later geconfronteerd worden met ernstige AML/CFT-tekortkomingen, waren er jarenlang van overtuigd dat hun beheersing eigenlijk goed op orde was. 

Dat gevoel ontstaat vooral bij organisaties die nog nooit een grote boete hebben gehad, jarenlang dezelfde processen gebruiken of vertrouwen op bestaande monitoringtools en ervaren medewerkers. Langzaam ontstaat dan de overtuiging dat de organisatie haar risico’s wel begrijpt en dat grote incidenten vooral iets zijn dat bij andere partijen gebeurt. 

Precies daar schuilt het gevaar.

Want risico’s ontwikkelen zich meestal geleidelijk. Tijdelijke workarounds worden structureel, alerts worden routine, uitzonderingen worden normaal en systemen raken langzaam achterhaald. Omdat incidenten uitblijven, voelt het alsof de beheersing blijkbaar effectief is. Totdat een toezichthouder, opsporingsdienst of intern onderzoek laat zien dat bepaalde signalen jarenlang zijn gemist. 

Achteraf blijkt dan vaak dat de organisatie de signalen wél had kunnen zien. Auditbevindingen waren eerder benoemd, medewerkers hadden twijfels uitgesproken of systemen functioneerden al langer onvoldoende. Alleen voelde niemand voldoende urgentie om echt kritisch naar de situatie te kijken. 

En juist daarom is overmoed binnen AML/CFT zo gevaarlijk: het zorgt ervoor dat organisaties risico’s niet actief negeren, maar simpelweg steeds minder serieus nemen. 

 

Hoe voorkom je dat audit en business tegenover elkaar blijven staan? 

De oplossing ligt niet in minder audit of minder kritische bevindingen. Het probleem verdwijnt namelijk niet door risico’s zachter te formuleren. Organisaties worden juist sterker wanneer audit en business elkaar beter begrijpen, zonder hun eigen rol uit het oog te verliezen.

Dat begint bij auditors die voldoende gevoel hebben voor de praktijk van de business. Een audit die geen rekening houdt met operationele realiteit verliest snel geloofwaardigheid, hoe inhoudelijk sterk de bevindingen ook zijn. Tegelijkertijd moet de business accepteren dat risicobeheersing soms ongemakkelijk, tijdrovend of commercieel onhandig is. 

 

Externe Internal Auditor: onafhankelijkheid blijft ingewikkeld 

Sommige organisaties gebruiken externe partijen voor de internal audit functie. Dan worden deze spanningsvelden vaak nog complexer. Een externe partij moet immers (ook) onafhankelijk opereren, terwijl diezelfde partij tegelijkertijd afhankelijk blijft van de opdrachtgever voor budget, verlenging van opdrachten en de commerciële relatie. 

Dat betekent niet dat externe auditors bewust milder rapporteren, maar het creëert wel een spanningsveld dat in de praktijk moeilijk volledig te negeren is. Zeker wanneer organisaties gevoelig zijn voor kritische conclusies, ontstaat soms druk om formuleringen af te zwakken, bevindingen anders te prioriteren of audits meer te richten op “veilige” onderwerpen. 

Ook zie je regelmatig dat organisaties op zoek gaan naar auditors die beter aansluiten bij hun verwachtingen of cultuur. Dat hoeft niet problematisch te zijn, maar het kan wel leiden tot situaties waarin onafhankelijkheid langzaam verschuift van kritisch toetsen naar relationeel managen. 

Daarnaast helpt het wanneer auditgesprekken minder draaien om schuld en meer om onderliggende oorzaken. Niet alleen de vraag “wat ging fout?”, maar vooral “waarom ontstaat dit gedrag?” en “welke prikkels sturen deze keuzes?” levert vaak veel waardevollere inzichten op. 

Tot slot vraagt effectieve samenwerking om een cultuur waarin medewerkers veilig twijfels kunnen uitspreken. De gevaarlijkste organisaties zijn meestal niet de organisaties waar fouten worden gemaakt, maar de organisaties waar niemand fouten durft te benoemen. 

 

Conclusie: de echte strijd gaat niet tussen audit en business 

De echte strijd gaat uiteindelijk niet tussen Internal Audit en de business. Die strijd gaat tussen korte termijn en lange termijn, tussen commerciële druk en risicobewustzijn, en tussen comfort en confrontatie. 

Juist daarom heeft audit een lastige, maar belangrijke rol. Niet als politieagent of vinkjesmachine, maar als functie die zichtbaar maakt waar organisaties kwetsbaar worden — juist op de momenten dat commerciële belangen, tijdsdruk of bestuurlijke gevoeligheden het grootst zijn. 

Want uiteindelijk ontstaan de grootste problemen meestal niet doordat organisaties geen regels hebben. Ze ontstaan wanneer organisaties zichzelf langzaam gaan overtuigen dat de risico’s waarschijnlijk wel meevallen. 

En precies daar moet een goede audit doorheen prikken. 

 

Uitnodiging tot consultatie

We kunnen ons voorstellen dat u na het lezen van dit artikel vragen heeft en graag van gedachte wilt wisselen over bepaalde onderwerpen. Of dat u met een concrete casus zit waarover u van gedachte wilt wisselen. We nodigen u uit om vrijblijvend contact met ons op te nemen om kennis te maken met u (en/of uw casus). Onze contactgegevens vindt u op onze website.  

 

Kom in contact

Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com

Boy Custers | +31649935735 | boy.custers@compliancechamps.com

 

Lees hier meer artikelen.

Crypto en sancties in 2026: wanneer geopolitiek on-chain gaatCompliance Champs - Case Sourcing