Werkt uw export compliance programma ook in de praktijk?
Een compliance audit voor export control is een onafhankelijke, gestructureerde toetsing van uw export compliance programma. De audit beantwoordt de vraag die toezichthouders ook stellen: werkt uw ICP in de praktijk, of bestaat het alleen op papier? Het verschil is relevant. Procedures die niet aantoonbaar worden uitgevoerd, bieden geen bescherming bij een douanecontrole, een handhavingsprocedure of een vergunningaanvraag bij CDIU.
Een compliance audit beoordeelt uw organisatie aan de hand van de geldende regelgeving: EU Verordening 2021/821 voor dual-use goederen, de EAR voor producten met US-origin technologie, en ITAR waar van toepassing. Het resultaat is een auditrapport met een gestructureerd overzicht van bevindingen, tekortkomingen en een verbeterplan met prioritering.
Een externe compliance audit weegt zwaarder dan een interne zelfbeoordeling. Bij een aanvraag voor een globale vergunning bij CDIU, bij een fusie of overname waarbij export control compliance deel uitmaakt van due diligence, of bij een handhavingsprocedure is een onafhankelijk uitgevoerde audit een aanzienlijk sterker signaal van aantoonbare naleving.
EU Verordening 2021/821 Art. 26 (recordkeeping 5j)
BIS/EAR Export Compliance Guidelines
ITAR: DDTC Compliance Program Guidelines (2022)
CDIU globale vergunning criteria
OFAC Framework for Compliance Commitments (2019)
De scope van een compliance audit is afhankelijk van uw organisatie, maar omvat standaard de volgende onderdelen:
Internal Compliance Program
Volledigheid, actualiteit en praktische toepasbaarheid van uw ICP-documentatie. Sluit het programma aan op uw werkelijke producten, markten en transactiestructuur?
Classificatiedossiers
Worden classificatiebeslissingen gedocumenteerd? Zijn de toegekende ECCN- of ML-nummers correct onderbouwd met technische documentatie?
Screeningsprocedures
Worden handelspartners systematisch gescreend? Zijn de screeningslogs compleet en worden matches adequaat beoordeeld en gedocumenteerd?
Vergunningenregister en rapportage
Zijn vergunningen correct geregistreerd? Worden zendingen onder de vergunning bijgehouden en wordt aan rapportageverplichtingen aan CDIU voldaan?
Training en bewustzijn
Zijn de relevante medewerkers aantoonbaar getraind? Zijn trainingsregistraties beschikbaar en worden nieuwe medewerkers ingewerkt op compliance procedures?
Escalatieprocedures en red flags
Is er een werkende procedure voor twijfelgevallen? Weten medewerkers wanneer ze moeten escaleren en naar wie?
Wanneer hebt u een compliance audit nodig?
Voorbereiding op een aanvraag voor een globale vergunning
CDIU toetst uw compliance programma bij de aanvraag van een globale vergunning. Een compliance audit vooraf maakt zwakke punten zichtbaar voordat CDIU dat doet, en vergroot de kans op verlening aanzienlijk.
Douanecontrole of handhavingsprocedure in aantocht
Bij een aangekondigde controle of na een incident is een onafhankelijke compliance audit een instrument om uw positie te onderbouwen. Aantoonbare naleving weegt mee bij de beoordeling door de toezichthouder.
Fusie, overname of nieuwe aandeelhouder
Export control compliance is onderdeel van due diligence bij M&A-transacties. Een compliance audit levert het exportcontroledeel van het due diligence rapport en brengt overgenomen risico’s in kaart.
Periodieke review van uw ICP
Regelgeving verandert. Een jaarlijkse of tweejaarlijkse compliance audit toetst of uw programma nog aansluit op de actuele regelgeving en op de ontwikkeling van uw organisatie.
Een exportcontrol nulmeting is een diagnostische beoordeling voor organisaties die nog geen formeel export compliance programma hebben, of die niet weten waar ze staan. Waar een compliance audit een bestaand ICP toetst, brengt een nulmeting de beginstand in kaart: wat is er al, wat ontbreekt, en wat is het risico.
Een nulmeting is het juiste startpunt bij een eerste verkenning van exportcontroleverplichtingen, na een fusie of overname waarbij de overgenomen entiteit nog geen ICP heeft, na een reorganisatie waarbij de compliance-verantwoordelijkheid is verschoven, of wanneer u vermoedt dat uw producten of technologie onder exportcontroleregelgeving vallen maar nog geen formele classificatie heeft uitgevoerd.
De nulmeting levert een rapport op met vier onderdelen: een inventarisatie van uw producten en technologie met een voorlopige classificatiebeoordeling, een overzicht van uw huidige procedures (of het ontbreken ervan), een gap-analyse afgezet tegen de vereisten van EU Verordening 2021/821, de EAR en eventuele sanctieregelgeving, en een geprioriteerde lijst van vervolgstappen. Dat zijn doorgaans: productclassificatie formaliseren, een ICP opzetten, vergunningtrajecten starten of een gerichte compliance audit uitvoeren op de meest risicovolle onderdelen.
EU Verordening 2021/821 (scope beoordeling)
EAR: BIS jurisdiction & classification
CDIU: vergunningplicht inventarisatie
Wanneer een interne review volstaat en wanneer een externe audit nodig is:
| Uw situatie | Aanbevolen aanpak |
|---|---|
| Jaarlijkse ICP-review | Intern (compliance officer + interne auditfunctie) |
| Aanvraag globale of OIEL-vergunning | Intern + externe validatie voor verwacht toezichtmoment |
| Na incident of voluntary disclosure | Extern — onafhankelijkheid en geloofwaardigheid richting toezichthouder |
| M&A due diligence | Extern — aansprakelijkheidsrisico en opvolgersrisico onder ITAR/EAR |
| Voorbereiding CDIU/ECJU/DDTC compliance visit | Interne pre-audit ter voorbereiding |
| Eerste ICP-opzet of groot regime-wijziging | Extern — onafhankelijke nulmeting en benchmark |
Hoe voert Trade Controls Compliance een compliance audit uit?
Een exportcontrole compliance audit volgt een vaste methodologie in zes fasen. Elke fase bouwt voort op de vorige: de documentreview bepaalt de interviewvragen, de interviews sturen de transactieselectie, en de transactietesting levert de bevindingen die het rapport onderbouwen.
Scopebepaling en auditplan
Scope, doelstellingen en methodologie worden vastgelegd voordat de audit begint. De scope bepaalt welke regimes worden getoetst (EU Dual-Use, EAR, ITAR, OFAC, of combinaties), welke periode wordt onderzocht, welke afdelingen worden betrokken en of het gaat om een programmatische review of transactiegerichte audit. Voor grotere organisaties met meerdere locaties kan een rotatieschema worden gehanteerd.
Documentreview
Beoordeling van het ICP-document, classificatiedossiers, vergunningenregister, eindgebruikersverklaringen, screeningresultaten en trainingsregisters. Deze fase bevestigt of lokale werkinstructies in lijn zijn met het corporate beleid én met de geldende regelgeving, en vormt de basis voor de te stellen interviewvragen.
Medewerkerinterviews
Interviews toetsen of medewerkers de procedures kennen en of die procedures ook in de dagelijkse praktijk worden gevolgd. De gap tussen papieren beleid en dagelijkse uitvoering is de meest voorkomende bevinding in exportcontrole audits. Gespreksgroepen omvatten sales, logistics, engineering, IT en senior management — elk met een eigen focus op classificatie, screening, red flags of governance.
Transactietesting
Een steekproef van exporttransacties wordt getoetst op classificatiedocumentatie, vergunningdekking, screeningresultaten, EUS/EUC-geldigheid en recordkeeping. Per transactie wordt gecontroleerd of de classificatie herleidbaar is tot een bevoegd persoon, of de vergunningvoorwaarden zijn nageleefd en of red flags zijn geïdentificeerd en geëscaleerd. De recordkeeping-eis bedraagt vijf jaar onder EAR, ITAR en EU Dual-Use Verordening.
IT-systeembeoordeling
Screening-tools worden beoordeeld op actualiteit van sanctielijsten (dagelijkse updatefrequentie), fuzzy-match instellingen en audittrail in ERP-systemen. Voor ITAR-gevoelige technische data wordt toegangsbeheer voor buitenlandse personen getoetst. Handmatige processen zijn het grootste risico: één gemiste screening is voldoende om een overtreding te creëren.
Bevindingen, rapportage en herstelplan
Bevindingen worden geclassificeerd naar ernst. Management reageert formeel en stelt tijdlijnen voor herstelacties vast. Bij kritische bevindingen — potentiële overtredingen van wet of vergunningvoorwaarden — wordt beoordeeld of voluntary disclosure bij CDIU, BIS, DDTC of OFAC aan de orde is. Voluntary disclosure is een directe uitkomst van de auditrapportage die de kans op mildere handhaving aanzienlijk vergroot.
BEVINDINGSCLASSIFICATIE
KRITISCH
Potentiële overtreding
Export zonder vergunning, gesanctioneerde partij niet geblokkeerd. Directe actie en voluntary disclosure vereist.
SIGNIFICANTE TEKORTKOMING
Structureel risico
Geen screeningprocedure voor intermediairs, verouderd classificatiedossier. Herstel op korte termijn vereist.
VERBETERPUNT
Procedurele gap
Training verouderd, ICP niet herzien na regelwijziging. Geen directe overtreding, wel aanbeveling.
Veelgestelde vragen over compliance audits voor export control
Wat is een compliance audit voor export control?
Een compliance audit voor export control is een onafhankelijke toetsing van uw export compliance programma. De audit beoordeelt of uw classificatieprocedures, screeningsprocessen, vergunningenbeheer en trainingsdocumentatie aansluiten op de geldende regelgeving, waaronder EU Verordening 2021/821, de EAR en eventueel ITAR. Het resultaat is een auditrapport met bevindingen en een concreet verbeterplan.
Wat wordt er gecontroleerd bij een compliance audit?
Een compliance audit toetst minimaal de volledigheid en actualiteit van uw ICP, de kwaliteit van classificatiedossiers, de opzet en uitvoering van screeningsprocedures, het vergunningenregister en rapportageverplichtingen aan CDIU, trainingsregistraties en bewijs van naleving, en de interne escalatieprocedures bij twijfelgevallen. De exacte scope wordt vooraf vastgesteld op basis van uw organisatie en het doel van de audit.
Hoe lang duurt een compliance audit?
De doorlooptijd hangt af van de omvang van de organisatie en de beschikbaarheid van documentatie. Een gefocuste audit bij een kleinere organisatie duurt twee tot vier werkdagen inclusief voorbereiding en rapportage. Voor grotere organisaties met meerdere productlijnen en exportmarkten is een week tot tien werkdagen realistisch. Een goede voorbereiding aan uw kant verkort de doorlooptijd aanzienlijk.
Wat is het verschil tussen een interne en een externe compliance audit?
Een interne compliance audit wordt uitgevoerd door medewerkers van de eigen organisatie. Een externe audit, uitgevoerd door een onafhankelijke partij, levert meer objectiviteit en weegt zwaarder bij toezichthouders. Bij een aanvraag voor een globale vergunning bij CDIU, bij een handhavingsprocedure of bij M&A due diligence is een extern uitgevoerde audit een aanzienlijk sterker bewijs van aantoonbare naleving dan een interne zelfbeoordeling.
Audit of nulmeting nodig?
Heeft u een bestaand programma dat getoetst moet worden, of wilt u eerst weten waar u staat? Ik stel de juiste aanpak voor en geef u een indicatie.
Robert van de Ruit
Export Control Consultant
Gecertificeerd Export Compliance Professional (ECoP EAR). 20 jaar exportcontrole in de industrie. Beschikbaar als ZZP consultant, projectmanager of interim officer.
Diensten
Compliance audit of exportcontrol nulmeting?
Heeft u een bestaand programma dat getoetst moet worden, of weet u nog niet waar u staat? Vertel me de situatie. Ik bepaal samen met u of een audit of een nulmeting de juiste aanpak is.
Gesprek inplannen →