Skip to content
KlantverhaalTarievenBeveiligingVergelijkingBlog

Europe

Americas

Oceania

Gids11 min leestijd

Compliance audit checklist: hoe u zich voorbereidt op een toezichtcontrole

Complete compliance audit checklist voor KYC/AML-controles. Stappen, vereiste documenten en beste praktijken voor DNB- en AFM-inspecties.

Erik van den Berg, Compliance specialist
Erik van den Berg, Compliance specialist·
Illustration for Compliance audit checklist: hoe u zich voorbereidt op een toezichtcontrole — Gids

Dit artikel samenvatten met

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Een compliance audit door De Nederlandsche Bank (DNB) of de Autoriteit Financiële Markten (AFM) is geen bureaucratische formaliteit — het is een gestructureerd onderzoek dat kan leiden tot boetes tot €4 miljoen of 10% van de jaaromzet wanneer tekortkomingen worden vastgesteld. Organisaties die actief zijn in de financiële sector, het notariaat, de vastgoedbranche of de accountancy zijn onderworpen aan de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Wet op het financieel toezicht (Wft). Wie onvoorbereid een controle ingaat, riskeert niet alleen sancties maar ook reputatieschade die moeilijk te herstellen is.

Deze gids biedt een praktische compliance audit checklist waarmee u systematisch kunt controleren of uw organisatie klaar is voor een toezichtcontrole. Van documentbeheer tot medewerkerstraining en actuele wetswijzigingen: elk onderdeel wordt stap voor stap behandeld.

Uit de interne analyse van CheckFile.ai van 2.400 verificatieprocessen blijkt dat 34% van de compliance-fouten optreedt in de fase van documentverificatie — verlopen documenten (18%), niet-gecertificeerde kopieën (9%) en ontbrekende documentatie (7%).

Dit artikel heeft uitsluitend informatief karakter en vormt geen juridisch, financieel of regelgevend advies.

Wat is een compliance audit?

Een compliance audit is een formeel onderzoek waarbij een toezichthouder — in Nederland primair DNB of de AFM — nagaat of een instelling voldoet aan de toepasselijke wet- en regelgeving. De focus ligt op de aantoonbare naleving van verplichtingen uit de Wwft, de Wft, de Sanctiewet 1977 en aanverwante regelgeving.

DNB houdt toezicht op banken, verzekeraars, pensioenfondsen, betaalinstellingen en trustkantoren. De AFM richt zich op beleggingsondernemingen, beleggingsfondsen, accountants en financieel adviseurs. Beide toezichthouders hanteren een risicogebaseerde aanpak: instellingen met een hoger inherent risicoprofiel krijgen vaker en intensiever aandacht. Zie voor een volledig overzicht van de toezichtmandaten de officiële toelichting van DNB en het toezichtregister van de AFM.

Een audit heeft drie mogelijke uitkomsten: geen bevindingen, herstelmaatregelen met een termijn, of directe handhaving met bestuurlijke boetes of aanwijzingen. De ernst van de uitkomst hangt grotendeels af van de kwaliteit van uw voorbereiding en de volledigheid van uw dossiers.

De fasen van een DNB/AFM-controle

Een toezichtcontrole verloopt doorgaans in vier afgebakende fasen, elk met eigen verplichtingen voor de instelling.

Fase 1 — Aankondiging en voorbereiding

DNB en de AFM kondigen een onderzoek doorgaans schriftelijk aan met een vragenlijst en een lijst van op te leveren documenten. De aankondigingstermijn varieert van twee weken tot drie maanden, afhankelijk van de urgentie. Gebruik deze periode om dossiers te completeren, verantwoordelijken aan te wijzen en een intern auditteam samen te stellen.

Fase 2 — Documentanalyse op afstand

De toezichthouder analyseert de aangeleverde stukken buiten uw kantoor. Tekortkomingen worden gesignaleerd in een tussentijdse bevindingsbrief. Het is gebruikelijk dat aanvullende informatie wordt opgevraagd. Reageer altijd schriftelijk en binnen de gestelde termijn.

Fase 3 — Inspectie ter plaatse

Tijdens het locatiebezoek voeren inspecteurs gesprekken met de compliance officer, de MLRO (Money Laundering Reporting Officer) en soms met lijnmanagers. Ze toetsen of de dagelijkse praktijk overeenstemt met de gedocumenteerde procedures. Inconsistenties tussen beleid en uitvoering zijn een veelvoorkomende bron van bevindingen.

Fase 4 — Rapportage en follow-up

De toezichthouder stelt een definitief rapport op. Bij bevindingen wordt een herstelplan verlangd met concrete maatregelen en een tijdlijn. DNB publiceert jaarlijks geanonimiseerde lessen uit haar toezichtpraktijk. Het niet of onvoldoende opvolgen van herstelmaatregelen leidt tot escalatie.

Volledige checklist: documenten klaar voor een audit

Een volledige en actuele documentatieset is de meest directe manier om een audit met een positieve uitkomst af te sluiten.

Gebruik de onderstaande tabel als werkinstrument. Vink elk onderdeel af vóór de aankondiging van een controle en zorg dat elk document voorzien is van een versiedatum en verantwoordelijke eigenaar.

Categorie Vereist document Wettelijke grondslag Status
Klantacceptatie KYC-dossier per cliënt (identiteitsbewijs, UBO-verklaring) Wwft art. 3, 4
Klantacceptatie Risicobeoordelingsformulier per cliënt Wwft art. 8
Klantacceptatie Bewijs van verificatie UBO-register Wwft art. 3 lid 5
Transactiemonitoring Drempelwaardebeleid ongebruikelijke transacties Wwft art. 16
Transactiemonitoring Logboek meldingen bij FIU-Nederland Wwft art. 16
Sanctiecontrole Screeningsprocedure Sanctiewet 1977 Sanctiewet art. 2
Sanctiecontrole Bewijs van recente sanctiescreening EU-verordeningen
Intern beleid Wwft-beleid en procedures (actueel) Wwft art. 2a
Intern beleid Integriteitsbeleid en gedragscode Wft art. 3:10
Intern beleid Dataretentiebeleid (minimaal 5 jaar) Wwft art. 33
Organisatie Beschrijving compliance-functie en MLRO Wwft art. 2b
Organisatie Organogram met compliance-verantwoordelijkheden Wft art. 3:17
Training Trainingsregisters per medewerker Wwft art. 35
Training Bewijs van recente Wwft-training (< 12 maanden) Wwft art. 35
Rapportage Jaarlijks compliance-rapport aan bestuur Wft art. 3:17
Rapportage Notulen compliance-overleg met datum en deelnemers Best practice

De volledige tekst van de Wwft is raadpleegbaar via wetten.overheid.nl. Voor de meest recente wijzigingen verwijst de AFM naar haar Wwft-themapagina.

Twee aanvullende aandachtspunten voor de checklist:

  • Retentietermijnen: De Wwft schrijft een bewaartermijn van vijf jaar voor na het einde van de zakelijke relatie (art. 33). Documenten die ouder zijn dan vijf jaar mogen — en moeten in sommige gevallen — worden vernietigd conform uw dataretentiebeleid en de AVG.
  • Certificering van kopieën: Niet-gecertificeerde kopieën van identiteitsbewijzen worden door toezichthouders consequent als onvoldoende beschouwd. Zorg voor een gedocumenteerd certificeringsproces.

Voor een bredere context over documentbeheer bij compliance verwijzen wij naar onze gids documentcompliance en de anti-witwassen compliance gids.

Documentverificatie: het zwakste punt

Documentverificatie is statistisch het meest kwetsbare onderdeel van het compliance-proces: fouten hier leiden direct tot Wwft-overtredingen die aantoonbaar zijn voor de toezichthouder.

De interne analyse van CheckFile.ai bevestigt dat verlopen documenten de grootste enkelvoudige foutcategorie vormen (18%). Dit is vermijdbaar met geautomatiseerde vervaldatumcontroles. Niet-gecertificeerde kopieën (9%) wijzen op een procesprobleem: de medewerker die het document ontvangt, kent de certificeringsverplichting niet of hanteert de procedure inconsistent. Ontbrekende documentatie (7%) duidt op onvolledige klantacceptatieprocedures.

Wwft artikel 3 verplicht instellingen tot cliëntenonderzoek bij het aangaan van een zakelijke relatie. Artikel 5 regelt het verscherpt cliëntenonderzoek voor hoog-risicosituaties, waaronder PEP-statushouders en cliënten uit derde landen met een verhoogd risico. Artikel 8 verplicht tot een gedocumenteerde risicobeoordeling per cliënt.

Praktische maatregelen om documentverificatiefouten structureel te verminderen:

  1. Implementeer een gecentraliseerde documentopslagomgeving met automatische vervaldatumwaarschuwingen minimaal 60 dagen voor het verlopen van een document.
  2. Stel een vierogenprincipe in voor de acceptatie van nieuwe cliënten: één medewerker verzamelt, een tweede verifieert.
  3. Documenteer elke verificatiestap met tijdstempel en naam van de uitvoerende medewerker.
  4. Voer halfjaarlijkse dossierreviews uit om bestaande cliëntdossiers te actualiseren.

De CheckFile-verificatieoplossing ondersteunt geautomatiseerde documentcontrole, inclusief echtheidsverificatie en vervaldatumbewaking. Meer achtergrond over documentverificatie als proces vindt u in onze uitgebreide gids documentverificatie.

Hoe bereidt u medewerkers voor op gesprekken met toezichthouders?

Medewerkers die niet voorbereid zijn op inspectiegesprekken, vormen een groter risico dan incomplete dossiers — inconsistente antwoorden geven toezichthouders aanleiding voor diepgravender onderzoek.

DNB en de AFM spreken tijdens een locatiebezoek niet uitsluitend met de compliance officer. Inspecteurs voeren ook gesprekken met frontoffice-medewerkers, relatiebeheerders en soms met leden van de raad van bestuur. Het doel is te toetsen of de dagelijkse praktijk overeenkomt met het gedocumenteerde beleid.

Voorbereiding op inhoud

Elke medewerker die cliëntencontact heeft, moet de Wwft-basisverplichtingen kennen: wat is cliëntenonderzoek, wanneer is verscherpt onderzoek verplicht, hoe meld ik een ongebruikelijke transactie? Organiseer interne trainingen specifiek gericht op het beantwoorden van vragen over dagelijkse werkprocessen.

Communicatie tijdens het gesprek

Train medewerkers om alleen te antwoorden op wat wordt gevraagd. Uitgebreide toelichting zonder aanleiding leidt tot vervolgvragen. Als een medewerker een antwoord niet zeker weet, is het geoorloofd om aan te geven dat de informatie nageslagen zal worden — dit is beter dan een onjuist antwoord.

Rolverdeling vooraf vastleggen

Stel voor de inspectieperiode schriftelijk vast wie het primaire aanspreekpunt is (doorgaans de compliance officer of MLRO), wie aanwezig is bij de openingsvergadering en wie verantwoordelijk is voor het aanleveren van aanvullende documenten. Communiceer deze rolverdeling aan alle betrokkenen.

Simulaties en scenario-oefeningen

Voer minimaal vier weken voor een verwachte audit een interne mock-inspectie uit. Gebruik daarvoor de vragenlijsten die DNB en de AFM publiek beschikbaar stellen. De AFM-leidraad Wwft bevat concrete toetsingscriteria die als basis dienen voor simulatieoefeningen.

Regulatoire ontwikkelingen 2025-2026

De Europese en nationale regelgeving rondom anti-witwassen en compliance is in 2025-2026 ingrijpend gewijzigd — instellingen die hun beleid niet tijdig hebben aangepast, lopen verhoogd risico bij een audit.

Het meest ingrijpende pakket is het Europese AML/CFT-pakket, bestaande uit de Zesde Anti-witwasrichtlijn (AMLD6), de AML-verordening en de oprichting van de Anti-Money Laundering Authority (AMLA). De verordening is rechtstreeks toepasselijk in alle EU-lidstaten en vervangt op termijn delen van de nationale Wwft-implementatie. Zie de volledige tekst op EUR-Lex.

Ontwikkeling Toepassingsdatum Impact op Nederlandse instellingen
AML-verordening (EU) 2024/1624 Gefaseerd vanaf 2027 Uniforme KYC-drempels, uitbreiding verplichte sectoren
AMLA — centraal AML-toezicht EU Operationeel 2026 Directe supervisie grote grensoverschrijdende instellingen
Wwft-herziening (nationaal) 2025 (deels) Aanscherping UBO-verificatieplicht, uitbreiding PEP-definitie
Digitale identificatie (eIDAS 2.0) 2026 Acceptatie EU-digitale identiteitsportemonnee voor KYC
DORA (financiële cyberweerbaarheid) Januari 2025 ICT-risicobeheereisen ook relevant voor compliance-systemen
Crypto-activa (MiCA) Volledig van kracht 2025 Aanbieders van cryptodiensten onder Wwft-regime

DNB heeft in haar toezichtprogramma 2025 expliciet aangegeven dat de kwaliteit van transactiemonitoring en de volledigheid van UBO-dossiers prioritaire toetsingspunten zijn. Instellingen die deze onderdelen niet op orde hebben, kunnen rekenen op intensiever toezicht in de komende auditcyclus.

Voor een gedetailleerde analyse van risicobeoordeling als onderdeel van compliance verwijzen wij naar de compliance risicobeoordeling gids.

Veelgestelde vragen (FAQ)

Hoe lang duurt een compliance audit door DNB of AFM?

De duur varieert sterk op basis van de omvang van de instelling en het type onderzoek. Een thematisch onderzoek naar een specifiek onderdeel — bijvoorbeeld transactiemonitoring — duurt doorgaans twee tot vier maanden van aankondiging tot definitief rapport. Een volledig integriteitonderzoek kan zes tot twaalf maanden in beslag nemen. De aankondigingsfase biedt doorgaans twee tot acht weken voorbereidingstijd.

Wat zijn de maximale boetes bij Wwft-overtredingen in Nederland?

DNB en de AFM kunnen bij Wwft-overtredingen bestuurlijke boetes opleggen tot €4 miljoen per overtreding of, indien dat hoger is, 10% van de jaaromzet van de instelling. Bij recidive of ernstige overtredingen kunnen ook aanwijzingen, stille curatele of intrekking van de vergunning worden opgelegd. Boetes worden in de meeste gevallen gepubliceerd op de website van de toezichthouder, wat reputatieschade toevoegt aan de financiële sanctie.

Welke documenten moet ik minimaal vijf jaar bewaren?

Op grond van Wwft artikel 33 moeten alle cliëntenonderzoeksgegevens, transactiedossiers en bewijsstukken van uitgevoerde verificaties minimaal vijf jaar na het einde van de zakelijke relatie worden bewaard. Dit omvat kopieën van identiteitsbewijzen, UBO-verklaringen, risicobeoordelingsformulieren en schriftelijke correspondentie over ongebruikelijke transacties. De AVG stelt wel een maximumbewaartermijn: bewaar niet langer dan noodzakelijk voor het compliance-doel.

Hoe weet ik of mijn UBO-dossiers volledig zijn volgens de Wwft?

Wwft artikel 3 lid 5 verplicht tot verificatie van de uiteindelijk belanghebbende (UBO) via het Handelsregister van de Kamer van Koophandel en via onafhankelijke brondocumenten. Een volledig UBO-dossier bevat: een actueel uittreksel KvK met UBO-registratie, een kopie van het identiteitsbewijs van de UBO, een beschrijving van de eigendomsstructuur of zeggenschapsstructuur, en een gedocumenteerde risicobeoordeling van de UBO. Bij UBO's die meer dan 25% eigendom of zeggenschap hebben én een hoog-risicoprofiel, is verscherpt onderzoek verplicht op grond van Wwft artikel 5.

Wat doe ik als mijn organisatie een bevinding ontvangt na een audit?

Reageer altijd schriftelijk binnen de door de toezichthouder gestelde termijn, ook als u bezwaar wilt maken. Stel een herstelplan op met concrete maatregelen, verantwoordelijken en realistische deadlines. Communiceer tussentijdse voortgang proactief aan de toezichthouder — dit wordt doorgaans positief gewaardeerd. Raadpleeg juridisch advies als u bezwaar overweegt tegen een bevinding of opgelegde maatregel. Het niet of te laat reageren op een bevinding is op zichzelf al een overtreding die aanleiding kan geven tot verdere handhaving.

Klaar voor uw volgende audit?

Een geslaagde compliance audit begint niet op de dag van de aankondiging — het is het resultaat van structureel documentbeheer, goed getrainde medewerkers en een compliance-cultuur die verankerd is in de dagelijkse bedrijfsvoering.

CheckFile.ai ondersteunt financiële instellingen, notarissen, vastgoedprofessionals en andere Wwft-plichtige organisaties met geautomatiseerde documentverificatie, vervaldatumbewaking en audittrails die voldoen aan de Nederlandse en Europese vereisten.

Ontdek hoe u uw compliance-proces kunt versterken via onze oplossingen voor documentverificatie of bekijk onze prijsplannen voor een pakket dat past bij uw organisatieomvang. Meer informatie over de basisprincipes van compliance vindt u op onze hoofdpagina.

Klaar om uw controles te automatiseren?

Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.

Gerelateerde artikelen

Gids13 min

Dataprivacy compliance voorbij de AVG: CCPA, LGPD, POPIA en wereldwijde kaders

Nederlandse bedrijven met internationale activiteiten moeten naast de AVG ook de CCPA, LGPD, POPIA en andere wereldwijde privacywetgeving naleven. Praktische vergelijking van acht regelgevingen, boetestelsels en compliance-vereisten.

Lezen
Gids8 min

Elektronisch archiveren: wettelijke vereisten, best practices en tools

Volledige gids over elektronisch archiveren in Nederland: wettelijke verplichtingen, bewaartermijnen, technische normen, tools en best practices voor bedrijven in 2026.

Lezen
Gids10 min

Antifraude documentverwerking: best practices voor teams

Best practices antifraude voor documentverwerkingsteams. Detectie van valse documenten, interne controles, training en AI-tools binnen het Nederlands juridisch kader.

Lezen