Skip to content
KlantverhaalTarievenBeveiligingVergelijkingBlog

Europe

Americas

Oceania

Compliance15 min leestijd

Compliance risicobeoordeling: praktische gids voor Nederlandse organisaties

Hoe u regelgevingsrisico's identificeert, beoordeelt en beperkt. Stapsgewijze compliance risk management gids afgestemd op DNB, AFM en de Wwft.

Erik van den Berg, Compliance specialist
Erik van den Berg, Compliance specialist·
Illustration for Compliance risicobeoordeling: praktische gids voor Nederlandse organisaties — Compliance

Dit artikel samenvatten met

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Compliance risk management is het systematisch proces van het identificeren, beoordelen en beheersen van risico's die voortvloeien uit niet-naleving van wet- en regelgeving, interne beleidsregels en sectorstandaarden. Voor Nederlandse organisaties die vallen onder toezicht van De Nederlandsche Bank (DNB) of de Autoriteit Financiële Markten (AFM), is een gedocumenteerde risicobeoordeling geen optionele best practice — het is een wettelijke verplichting onder de Wwft en de Wft. Wie dit proces verwaarloost, loopt het risico op toezichtmaatregelen, reputatieschade en sancties die kunnen oplopen tot 10% van de jaaromzet onder het nieuwe EU AML-pakket.

Dit artikel is uitsluitend informatief van aard en vormt geen juridisch, financieel of regelgevend advies. Raadpleeg een gekwalificeerde juridisch of compliance-adviseur voor situatiespecifiek advies.

Wat is compliance risk management?

Compliance risk management is de gestructureerde aanpak waarmee een organisatie inzicht krijgt in haar blootstelling aan regelgevingsrisico's en maatregelen treft om die risico's te beheersen tot een aanvaardbaar niveau. Het gaat verder dan het naleven van een checklist: het vergt een doorlopend proces van monitoring, beoordeling en aanpassing naarmate regelgeving en bedrijfsactiviteiten evolueren.

In de kern beantwoordt compliance risk management drie fundamentele vragen: welke regelgevingsverplichtingen zijn van toepassing op onze activiteiten, wat is de kans en impact van niet-naleving, en welke beheersmaatregelen zijn aanwezig om dat risico te mitigeren? Het antwoord op die vragen wordt vastgelegd in een compliance risicobeoordeling — een levend document dat periodiek wordt herzien.

Het onderscheid tussen compliance risk management en algemeen risicobeheer is relevant. Algemeen risicobeheer omvat strategische, operationele, financiële en reputatierisico's. Compliance risk management richt zich specifiek op het risico dat de organisatie in conflict komt met externe toezichthouders, wetgeving of sectorgedragscodes. In de praktijk overlappen beide disciplines: een boete van de AFM heeft ook operationele en reputatiegevolgen.

Onderzoek van Thomson Reuters toont aan dat organisaties zonder geformaliseerd compliance risk management-kader gemiddeld 2,7 keer vaker te maken krijgen met regelgevingsmaatregelen dan organisaties met een gedocumenteerde risicobeoordelingsmethodologie. Dit cijfer onderstreept dat procesinvesteringen in compliance risk management een directe risicoreductie opleveren, niet slechts een administratieve last.

Voor een bredere context over de relatie tussen governance, risicobeheer en compliance verwijzen wij naar onze uitgebreide GRC-gids voor Nederlandse organisaties, die de drie pijlers van het GRC-kader in detail beschrijft.

De vijf stappen van een effectieve compliance risicobeoordeling

Een effectieve compliance risicobeoordeling volgt een vaste methodologie die aansluit bij internationale standaarden zoals ISO 31000 en de toezichtverwachtingen van DNB en AFM. De vijf onderstaande stappen vormen de ruggengraat van elk robuust compliance risk management-programma.

Stap 1: Inventarisatie van toepasselijke regelgeving

De eerste stap is het in kaart brengen van alle regelgevingsverplichtingen die op uw organisatie van toepassing zijn. Dit omvat primaire wetgeving (Wwft, Wft, AVG), sectorspecifieke regelgeving (CRR/CRD IV voor banken, Solvency II voor verzekeraars), Europese verordeningen die rechtstreeks gelden (AMLR, DORA, MiCA) en soft law zoals DNB-richtsnoeren en AFM-leidraden.

De inventarisatie is geen eenmalige oefening. Regelgeving verandert continu: de inwerkingtreding van de Anti-witwasverordening (EU) 2024/1624 en Richtlijn (EU) 2024/1640 (AMLD6, omzetting uiterlijk juli 2027) voegt nieuwe verplichtingen toe aan het bestaande Wwft-kader. Een geactualiseerde regelgevingsinventaris is daarmee een voorwaarde voor een accurate risicobeoordeling.

Stap 2: Inherente risicobeoordeling

Het inherente risico is het risico dat bestaat zonder rekening te houden met bestaande beheersmaatregelen. De beoordeling van het inherente risico combineert twee variabelen: de kans dat een risico zich voordoet en de potentiële impact als het risico zich materialiseert. Beide variabelen worden gescoord op een schaal — doorgaans van laag naar hoog, of numeriek van 1 tot 5.

Relevante factoren bij de beoordeling van het inherente compliancerisico zijn onder meer: de complexiteit van de product- en dienstenportfolio, de geografische reikwijdte van activiteiten, de aard van de klantenpopulatie (particulieren versus zakelijk, binnenland versus hoogrisicojurisdicties) en de afhankelijkheid van derde partijen in de dienstverlening.

Stap 3: Beoordeling van de controle-effectiviteit

De controle-effectiviteit meet in welke mate bestaande beheersmaatregelen het inherente risico daadwerkelijk mitigeren. Een maatregel kan formeel aanwezig zijn — een cliëntenonderzoeksprocedure, een transactiemonitoringsysteem, een compliance-trainingskalender — maar in de praktijk onvoldoende effectief zijn door gebrekkige uitvoering, verouderde technologie of onvoldoende capaciteit.

De beoordeling van controle-effectiviteit vereist objectief bewijs: auditbevindingen, testresultaten, key risk indicators (KRI's) en uitkomsten van toezichtonderzoeken. Een hoge formele kwaliteit van beleidsdocumenten zonder operationeel bewijs van werking geeft een vertekend beeld van de werkelijke risicobeheersing.

Stap 4: Berekening van het residuele risico

Het residuele risico is wat overblijft nadat de beheersmaatregelen zijn meegewogen. Het is de werkelijke blootstelling van de organisatie. De formule is conceptueel eenvoudig: residueel risico = inherent risico minus de effectiviteit van de beheersmaatregelen. In de praktijk wordt dit uitgedrukt in een risicomatrix.

Risiconiveau Inherent risico Controle-effectiviteit Residueel risico Vereiste actie
Laag Laag Hoog Acceptabel Monitoring, jaarlijkse review
Gemiddeld Gemiddeld Gemiddeld Beheersbaar Verbeterplan binnen 6 maanden
Hoog Hoog Laag Onaanvaardbaar Directe mitigerende maatregelen
Kritiek Hoog Onvoldoende Kritiek Escalatie naar bestuur, onmiddellijke actie

Residuele risico's die het risicobereidheidsniveau van de organisatie (risk appetite) overstijgen, vereisen een actieplan met eigenaar, deadline en meetbare doelstelling.

Stap 5: Rapportage, monitoring en periodieke herziening

De compliance risicobeoordeling is pas waardevol als zij wordt gecommuniceerd aan de juiste beslissers en periodiek wordt herzien. DNB verwacht van instellingen onder de Wwft dat zij hun risicobeoordeling ten minste jaarlijks herzien én bij materiële wijzigingen in de bedrijfsvoering of het regelgevingslandschap. Tussentijdse herziening is vereist bij, onder andere: nieuwe producten of diensten, acquisities, uitbreiding naar nieuwe markten en significante wijzigingen in klantenpopulatie.

De rapportage aan het bestuur en de raad van commissarissen bevat ten minste: een samenvatting van de hoogste residuele risico's, de status van lopende actieplannen en wijzigingen ten opzichte van de vorige beoordelingsperiode. Zie onze pillar-gids over documentcompliance voor specifieke documentatievereisten die aansluiten bij deze rapportagecyclus.

Nederlands regelgevingskader: DNB, AFM en de Wwft

Het Nederlandse compliance-landschap wordt gevormd door drie overlappende toezichtkaders: de prudentiële toezichtverwachtingen van DNB, de gedragstoezichtverwachtingen van de AFM en de specifieke witwaspreventieregels van de Wwft. Elk kader stelt eigen eisen aan de inrichting van de compliance risicobeoordeling.

DNB: risicogericht toezicht onder de Wwft

Per maart 2026 vereist de DNB van alle meldingsplichtige instellingen een expliciete, gedocumenteerde risicobeoordeling als grondslag voor hun Wwft-compliance-inspanningen. De wettelijke basis hiervoor is Wwft artikel 2a, dat instellingen verplicht om een beoordeling te maken van de risico's op witwassen en financiering van terrorisme waaraan zij zijn blootgesteld, rekening houdend met factoren als klanten, landen of geografische gebieden, producten, diensten, transacties en distributiekanalen.

DNB hanteert bij haar toezicht op de Wwft-risicobeoordeling een aantal kerntoetsingspunten: de volledigheid van de risicocategorie-inventarisatie, de objectiviteit van de risicoscoringmethodologie, de koppeling tussen de uitkomst van de beoordeling en de intensiteit van het cliëntenonderzoek, en de kwaliteit van de documentatie en governanceprocedures rondom de beoordeling. Instellingen die deze toets niet doorstaan, riskeren een aanwijzing, een last onder dwangsom of een boete.

DNB legde in de periode 2021–2025 in totaal meer dan € 45 miljoen aan Wwft-gerelateerde boetes op, waarvan een significant deel betrekking had op tekortkomingen in de gedocumenteerde risicobeoordeling. Dit maakt de kwaliteit van de compliance risicobeoordeling niet alleen een toezichtvereiste maar een directe financiële risicofactor.

Meer informatie over de toezichtverwachtingen van DNB is beschikbaar via de DNB-leidraad Wwft, die periodiek wordt geactualiseerd en specifieke guidance biedt over de inrichting van de risicobeoordeling.

AFM: gedragstoezicht en risicobeoordeling voor beleggingsondernemingen

De AFM vereist van beleggingsondernemingen onder de Wft een gedocumenteerde analyse van de compliance-risico's die specifiek voortvloeien uit hun bedrijfsmodel en klantpopulatie. De wettelijke grondslag is Wft artikel 3:17, dat eisen stelt aan de beheerste en integere bedrijfsvoering, inclusief de inrichting van de compliancefunctie.

De AFM legt bijzonder gewicht op de onafhankelijkheid van de compliancefunctie ten opzichte van de commerciële lijnen, de adequaatheid van de rapportagelijnen naar het bestuur en de kwaliteit van de periodieke compliance-risicobeoordelingen. Beleggingsondernemingen die ook onder de Wwft vallen — wat voor de meeste het geval is — moeten beide risicobeoordelingskaders integreren om duplicatie en blinde vlekken te voorkomen.

De meest recente AFM-leidraad over de inrichting van de compliance risk management-functie is beschikbaar op afm.nl.

AMLD6 en het EU AML-pakket: nieuwe dimensies per 2027

Het EU AML-pakket van juni 2024 — bestaande uit de AMLR, AMLD6 en de AMLA-verordening — voegt nieuwe dimensies toe aan het compliance risk management-landschap. De oprichting van AMLA (Anti-Money Laundering Authority) als nieuwe EU-toezichthouder, gevestigd in Frankfurt, betekent dat de grootste en hoogstrisico-instellingen direct toezicht krijgen van een EU-orgaan naast nationaal toezicht van DNB.

Voor de brede categorie van meldingsplichtige instellingen zijn de meest relevante wijzigingen: de geharmoniseerde CDD-triggers en drempels (waaronder een € 1.000-drempel voor cryptotransacties), de uitbreiding van de reikwijdte naar sectoren zoals professionele voetbalclubs en handelaren in waardevolle goederen, en de verplichte koppeling van nationale UBO-registers via het Europees Centraal Platform.

AMLD6 moet door Nederland worden omgezet in nationale wetgeving uiterlijk juli 2027. De aanpassing van de Wwft die hieruit voortvloeit, zal naar verwachting de vereisten voor de compliance risicobeoordeling verder aanscherpen, met name op het gebied van gedocumenteerde risicocategorie-analyse en de koppeling met CDD-intensiteit. Zie onze gedetailleerde analyse in de AMLD6 compliancegids voor meldingsplichtige instellingen voor een volledig overzicht van de tijdlijn en gevolgen.

Veelgemaakte fouten bij compliance risicobeheer

De meest kostbare fouten in compliance risk management zijn geen technische vergissingen maar structurele tekortkomingen in hoe organisaties het proces inrichten en beleggen. Vier fouten komen het vaakst voor in de Nederlandse praktijk.

Compliance als afvinklijst behandelen

De meest fundamentele fout is de behandeling van compliance risk management als een jaarlijkse documentatieoefening in plaats van een doorlopend beheersproces. Organisaties die hun risicobeoordeling invullen om aan een formele verplichting te voldoen — zonder de uitkomsten te gebruiken als input voor cliëntenonderzoek, productacceptatie of transactiemonitoring — missen het doel volledig.

DNB beoordeelt expliciet of de compliance risicobeoordeling daadwerkelijk gekoppeld is aan operationele processen. Een goed geschreven document dat organisatorisch geïsoleerd staat, levert minder bescherming dan een eenvoudiger document dat consequent wordt toegepast in de dagelijkse bedrijfsvoering.

Departementale silo's

Compliance risk management werkt alleen effectief als informatie stroomt tussen de compliancefunctie, de eerste lijn (commerciële teams en klantenrelatiebeheerders), de risicofunctie, juridische zaken en interne audit. In de praktijk opereren deze functies vaak in silo's, waardoor de compliance risicobeoordeling een incompleet beeld geeft van de werkelijke blootstelling.

Uit onderzoek van Deloitte onder 150 Nederlandse financiële instellingen bleek dat 58% van de compliance-incidenten die leidden tot toezichtmaatregelen, te herleiden waren tot gebrekkige informatiedeling tussen de eerste en tweede lijn. Een formeel Three Lines of Defence-model, met helder gedefinieerde rollen en rapportagelijnen, is de structurele oplossing voor dit silo-probleem.

Onvoldoende capaciteit en expertise

Veel middelgrote organisaties onderschatten de capaciteit die nodig is voor een adequate compliance risk management-functie. Een voltijdse compliance officer die tegelijkertijd verantwoordelijk is voor beleidsschrijving, training, toezichtrapportage en risicobeoordeling, heeft simpelweg onvoldoende tijd voor de diepgaande analyse die een effectieve beoordeling vereist.

De groei van het regelgevingslandschap — met de gelijktijdige inwerkingtreding van DORA, AMLD6/AMLR, MiCA en de Europese AI Act — maakt het capaciteitsprobleem nijpender. Organisaties die investeren in technologie ter ondersteuning van het compliance risk management-proces, kunnen de impact van capaciteitsgebrek gedeeltelijk compenseren.

Statische risicobeoordeling in een dynamisch landschap

Een risicobeoordeling die eenmaal per jaar wordt herzien en tussentijds niet wordt aangepast bij materiële wijzigingen, biedt een vals gevoel van zekerheid. De werkelijkheid van het compliancelandschap vereist een meer dynamische aanpak: nieuwe producten, nieuwe klantgroepen, nieuwe geografische markten en wijzigingen in het regelgevingslandschap moeten leiden tot tussentijdse herziening.

Instellingen dienen concrete triggers te definiëren die een interim-herziening initiëren: een fusie of overname, de introductie van een nieuw product, signalering van een ongebruikelijke transactie die een systeemfout suggereert, of een significante wijziging in de regelgeving. Zonder deze triggers wordt de risicobeoordeling al snel achterhaald.

Hoe technologie uw compliance versterkt

Technologie lost geen complianceprobleem op dat een organisatorisch of cultureel karakter heeft. Maar voor organisaties met een solide compliance risk management-kader biedt technologie substantiële mogelijkheden om de kwaliteit, snelheid en consistentie van het complianceproces te verbeteren.

Geautomatiseerde documentverificatie als eerste verdedigingslinie

Een significant deel van de compliance-risicoblootstelling in de cliëntenonderzoeksfase ontstaat door handmatige documentverwerking: identiteitsdocumenten die niet worden geverifieerd op authenticiteit, KvK-uittreksels die niet worden gecheckt op actualiteit, of inkomensdocumenten die niet worden gevalideerd op consistentie. Geautomatiseerde documentverificatie elimineert een groot deel van dit operationele risico.

CheckFile.ai biedt geautomatiseerde verificatie van identiteitsdocumenten, bedrijfsdocumenten en inkomensdocumenten, afgestemd op de vereisten van de Wwft en het cliëntenonderzoekskader. De KYC-oplossingen van CheckFile integreren direct in de onboarding-workflow, waardoor het risico op handmatige fouten in het cliëntenonderzoeksproces structureel wordt verminderd.

Continue monitoring versus periodieke steekproeven

Traditionele compliancecontrole steunt op periodieke steekproeven: een percentage van de dossiers wordt achteraf gecontroleerd op volledigheid en correctheid. Technologische monitoring maakt continue controle mogelijk: elk document dat het systeem binnenkomt, wordt direct geverifieerd, en afwijkingen worden onmiddellijk geflagd voor handmatige beoordeling.

Dit heeft directe gevolgen voor de kwaliteit van de compliance risicobeoordeling: continue monitoring genereert feitelijke data over de kwaliteit van de documentenstroom, de frequentie van afwijkingen en de sectoren of klantgroepen die het hoogste foutpercentage vertonen. Die data verrijkt de risicobeoordeling met objectief bewijs in plaats van schattingen.

Organisaties die geautomatiseerde documentverificatie inzetten als onderdeel van hun cliëntenonderzoeksproces, rapporteren gemiddeld een reductie van 65% in de doorlooptijd van het cliëntenonderzoek en een verbetering van 40% in de volledigheid van de dossiers bij eerste beoordeling, volgens intern benchmarkonderzoek van CheckFile op basis van klantdata 2025.

Audit trails en regelgevingsrapportage

Toezichthouders verwachten niet alleen dat compliance-processen adequaat zijn ingericht, maar ook dat de organisatie kan aantonen dat die processen daadwerkelijk zijn gevolgd. Een audit trail — een chronologisch gedocumenteerde geschiedenis van elke actie in het cliëntenonderzoeks- en documentverificatieproces — is het concrete bewijs van operationele compliance.

Geautomatiseerde systemen genereren standaard een volledige audit trail, inclusief tijdstempels, gebruikersidentificatie en de uitkomsten van elke verificatiestap. Dit vereenvoudigt de voorbereiding op toezichtonderzoeken en de periodieke rapportage aan het bestuur aanzienlijk. De beveiligingsarchitectuur van CheckFile is specifiek ontworpen om te voldoen aan de databeschermingsvereisten van de AVG en de gegevensretentievereisten van de Wwft.

Schaalbaarheid en kostenefficiëntie

Voor groeiende organisaties biedt technologie een oplossing voor het capaciteitsprobleem dat hierboven werd beschreven. Manuele compliance-processen schalen lineair: meer klanten vereisen meer capaciteit. Geautomatiseerde processen schalen zonder proportionele kostenstijging. Bekijk de prijsopties van CheckFile voor een overzicht van beschikbare modules afgestemd op organisatieomvang en transactievolume.

Veelgestelde vragen

Wat is een compliance risicobeoordeling?

Een compliance risicobeoordeling is een gestructureerde analyse waarbij een organisatie inventariseert welke regelgevingsverplichtingen op haar van toepassing zijn, hoe groot het risico is dat zij die verplichtingen niet naleeft, en welke beheersmaatregelen aanwezig zijn om dat risico te beperken. De uitkomst is een gedocumenteerd overzicht van inherente risico's, controle-effectiviteit en residuele risico's, gecategoriseerd naar prioriteit. Onder de Wwft is een gedocumenteerde risicobeoordeling een wettelijke verplichting voor alle meldingsplichtige instellingen.

Hoe vaak is een compliance risicobeoordeling vereist?

DNB en de Wwft vereisen ten minste een jaarlijkse herziening van de compliance risicobeoordeling. Daarnaast is een tussentijdse herziening verplicht bij materiële wijzigingen in de bedrijfsvoering — zoals de introductie van nieuwe producten of diensten, uitbreiding naar nieuwe markten, significante wijzigingen in de klantenpopulatie of relevante wijzigingen in het regelgevingslandschap. Praktisch betekent dit dat de meeste actieve organisaties meerdere malen per jaar de risicobeoordeling geheel of gedeeltelijk herzien.

Wat zijn de gevolgen van een ontoereikende Wwft-risicobeoordeling?

DNB kan bij een ontoereikende of ontbrekende Wwft-risicobeoordeling een formele aanwijzing uitvaardigen, een last onder dwangsom opleggen of een bestuurlijke boete opleggen. Boetes kunnen onder de bestaande Wwft oplopen tot € 4 miljoen of 10% van de jaaromzet, en onder het nieuwe EU AML-pakket (van kracht per 2027) tot € 10 miljoen of 10% van de jaaromzet. Naast de directe financiële sanctie heeft een toezichtmaatregel aanzienlijke reputatiegevolgen, met name voor instellingen waarvan de vergunning publiek zichtbaar is.

Wat is het verschil tussen inherent risico en residueel risico?

Het inherente risico is de blootstelling aan een compliance-risico zonder rekening te houden met enige beheersmaatregelen — het risico in een onbeheerste situatie. Het residuele risico is de resterende blootstelling nadat de effectiviteit van de bestaande beheersmaatregelen is meegewogen. De kloof tussen inherent en residueel risico geeft aan hoe effectief de organisatie haar compliancerisico's beheert. Een groot inherent risico gecombineerd met robuuste, goed-werkende beheersmaatregelen kan resulteren in een aanvaardbaar residueel risico. Een laag inherent risico met gebrekkige beheersmaatregelen kan resulteren in een onaanvaardbaar residueel risico.

Hoe integreert de compliance risicobeoordeling met het cliëntenonderzoeksproces (CDD)?

De compliance risicobeoordeling bepaalt de risicoclassificatie van klantgroepen, producten en geografische markten. Die classificatie is direct van invloed op de intensiteit van het cliëntenonderzoek (CDD): klanten of transacties die vallen in een hoog-risicosegment op basis van de risicobeoordeling, vereisen verscherpt cliëntenonderzoek (EDD); klanten in laag-risicosegmenten kunnen in aanmerking komen voor vereenvoudigd cliëntenonderzoek (SDD). De risicobeoordeling is daarmee de schakel tussen de strategische compliancefunctie en de operationele uitvoering van het cliëntenonderzoek in de dagelijkse bedrijfspraktijk. Een zwakke risicobeoordeling leidt automatisch tot een inadequate kalibrering van de CDD-intensiteit — precies het soort tekortkoming dat DNB bij toezichtsonderzoeken als ernstig beschouwt.

Klaar om uw controles te automatiseren?

Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.

Gerelateerde artikelen

Compliance9 min

Third-Party Risk Management (TPRM): complete gids 2026

Complete gids third-party risk management (TPRM): DORA-verplichtingen, DNB-toezicht, leveranciersbeoordeling, doorlopende monitoring en compliance in Nederland 2026.

Lezen
Compliance8 min

GRC: governance, risicobeheer en compliance — complete gids 2026

Wat is governance risk management compliance (GRC)? De drie pijlers, DNB- en AFM-vereisten in Nederland, en hoe u een effectief GRC-kader implementeert.

Lezen
Compliance14 min

Documentcompliance in Nederland: complete gids 2026

Documentcompliance voor Nederlandse bedrijven: Wwft, KYC, AVG, AMLD6, DORA en eIDAS 2. Verplichtingen, sancties en automatisering. Bijgewerkte gids 2026.

Lezen