De AMLR maakt de interne auditfunctie verplicht voor vrijwel alle Wwft-instellingen. In dit artikel lees je wat de verordening voorschrijft, hoe dat verschilt van de huidige Wwft-praktijk, en hoe je deze functie proportioneel én strategisch kunt inrichten — al dan niet uitbesteed.
Van ‘voor zover passend’ naar verplicht
Bij veel instellingen ontbreekt een formele onafhankelijke Wwft-auditfunctie. Toch is deze functie in de huidige Wwft al verplicht — voor zover passend is bij de aard en omvang van de instelling.
Die formulering klinkt flexibel, maar schept wel degelijk verplichtingen. In leidraden van toezichthouders (zoals de Belastingdienst, DNB, het BFT en Bureau Toezicht Wwft) wordt duidelijk gemaakt dat instellingen met:
- meer dan 50 medewerkers,
- veel hoog risicoklanten,
- of met complexe of grensoverschrijdende dienstverlening,
verwacht worden een onafhankelijke, structurele toetsing in te richten in de vorm van een interne auditfunctie. Daarnaast wordt afzonderlijk nog de interne review genoemd die meestal door de compliance functie of beleidsbepaler wordt uitgevoerd (als deze al wordt uitgevoerd).
Dat gebeurt nu vaak via:
- jaarlijkse dossiertoetsen,
- thematische compliance-audits,
- of externe reviews door een specialist of accountant.
In veel gevallen wordt een onafhankelijke auditor aangesteld die de audits regelmatig uitvoert. Maar onder de AMLR verandert de status van deze functie fundamenteel en wordt dit verder aangescherpt.
Wat doet de interne auditfunctie?
De functie gaat verder dan alleen ‘controleren’. Een goed ingerichte auditfunctie:
- checkt de effectiviteit van de compliance functie,
- beoordeelt of de organisatie zich aan de Wettelijk vereisten houdt,
- toetst of je beleid goed is ontworpen (opzet),
- controleert of het daadwerkelijk wordt uitgevoerd (bestaan),
- en onderzoekt of het ook effectief is in de praktijk (werking).
Dat gebeurt op terreinen zoals:
- risicobeleid
- cliëntenonderzoek en klantacceptatie,
- transactiemonitoring, meldprocedures en sanctiebeheersing,
- UBO-controle, opleiding en governance,
- én de werking van de compliance functie zelf.
Een goed functionerende audit levert niet alleen bewijs van naleving, maar ook inzichten in verbeterpotentieel. Denk aan blinde vlekken, risicovolle patronen of systeemfouten die zonder audit onopgemerkt blijven.
Wat verandert er onder de AMLR?
De AMLR schrijft expliciet voor dat instellingen beschikken over een interne auditfunctie die:
- onafhankelijk opereert,
- periodiek toetst of het anti-witwaskader werkt,
- en rapporteert aan het hoogste bestuursniveau.
Deze verplichting geldt voor alle instellingen, met ruimte voor proportionele invulling. Alleen als je onderbouwd kunt aantonen dat het voor jouw organisatie disproportioneel is, mag je (tijdelijk) afwijken. Bijvoorbeeld bij micro-ondernemingen of entiteiten zonder reëel risico.
De nadruk verschuift dus van “waar passend” naar: verplicht, tenzij je helder kunt motiveren waarom niet. Dat is een significante verandering. Wellicht is het daarom belangrijk om de Wwft-auditfunctie meer te benaderen vanuit toegevoegde waarde.
Strategische waarde: meer dan verplichting
Hoewel de Wwft-auditfunctie in de wet is verankerd, zit de echte waarde in de bijdrage aan continuïteit, reputatiebescherming en stuurinformatie.
Instellingen die hun audit serieus nemen:
- signaleren eerder risico’s,
- voorkomen herhaling van fouten,
- en maken betere keuzes over procesinrichting, tooling of personeelsinzet.
Voor bestuurders en toezichthouders biedt een onafhankelijke auditfunctie bovendien betere controle en verantwoording zeker in een tijd waarin publieke verwachtingen en juridische aansprakelijkheid toenemen.
Kortom: wie Wwft-audit ziet als strategisch hulpmiddel in plaats van afvinkverplichting, bouwt aan een veerkrachtige en betrouwbare organisatie.
Hoe richt je de functie praktisch in?
Interne invulling
- bij middelgrote of grote instellingen met voldoende capaciteit,
- functioneel onafhankelijk van compliance of uitvoering,
- rapporterend aan directie of toezichthoudend orgaan.
Externe invulling (meest gangbaar bij mkb-instellingen)
- door onafhankelijke compliance partij of AML-specialist,
- op basis van duidelijke opdracht, toetsingsmodel en rapportage,
- bijv. via jaarlijkse audit, thema-review of toets op ‘opzet, bestaan en werking’.
Zorg altijd voor:
- aantoonbare onafhankelijkheid,
- formele rapportage,
- en vastlegging van conclusies én opvolging.
Veelgestelde vragen
Is de auditfunctie verplicht voor mijn instelling?
Ja — volgens de AMLR geldt de verplichting in beginsel voor álle instellingen. Alleen als de aard en omvang het disproportioneel maken, kun je onder voorwaarden afwijken.
Kan compliance ook de audit uitvoeren?
Nee. De auditfunctie moet onafhankelijk zijn van de uitvoering en beoordeling van naleving. Dat sluit functievermenging in beginsel uit.
Wat als ik te klein ben voor een aparte functie?
Dan is uitbesteding of gecombineerde toetsing (bijvoorbeeld jaarlijks door een extern specialist) toegestaan, mits je de onafhankelijkheid waarborgt en aan kunt tonen dat er periodiek en inhoudelijk wordt getoetst.
Verder lezen
- Transactiemonitoring onder de Wwft; zo voorkom je valkuilen
- Wwft-risicoprofilering: klant, product en dienst onder de loep
- De compliancefunctie onder de AMLR: meer dan iemand die verantwoordelijk is
Assurvia helpt bij inrichting en toetsing van de auditfunctie
Wij helpen je bij het proportioneel inrichten van je auditfunctie, of dat nu intern of extern gebeurt. Van toetsingsplan tot uitvoering, van rapportage tot opvolging.
Stuur je vraag naar info@assurvia.com of bekijk onze kennisbank voor meer inzichten over governance onder de AMLR.
