My Essay

Categorie: Accountancy

  • Reputatie is uitgestelde causaliteit

    Reputatierisico hoort erbij, maar doet niet mee

    Accountants praten graag over risico. Kwaliteitsrisico’s, integriteitsrisico’s en compliance-risico’s worden in toenemende mate systematisch in kaart gebracht, geanalyseerd en beheerst. In modellen, risicoraamwerken en interne rapportages krijgen deze categorieën een duidelijke plek, met bijbehorende maatregelen en verantwoordelijken. Reputatierisico hoort formeel in dat rijtje thuis maar krijgt vaak nauwelijks een plaats in de risicomatrix van accountantsorganisaties.

    Het neemt in de praktijk een andere positie in. Waar kwaliteit en integriteit worden vertaald naar concrete normen, processen en controles, blijft reputatie vaak hangen in abstracties. Het wordt benoemd, soms zelfs zwaar aangezet, maar zelden op dezelfde manier uitgewerkt en beheerst als de andere risico’s. Daarmee doet reputatierisico wel mee op papier, maar veel minder in de dagelijkse praktijk van risicobeheersing.

    Belangrijk, maar ongrijpbaar

    Dat heeft alles te maken met de aard van reputatie zelf. Anders dan kwaliteit of integriteit laat reputatie zich moeilijk objectiveren. Er bestaat geen normenkader, geen toetsingskader en geen eenduidige maatstaf. Reputatie is per definitie extern en ontstaat in de perceptie van anderen, vaak pas op afstand van het moment waarop de onderliggende gebeurtenissen zich voordoen.

    Daarmee onttrekt reputatie zich aan de gebruikelijke logica van risicobeheersing. Waar andere risico’s kunnen worden teruggebracht tot processen, controles en meetbare afwijkingen, blijft reputatie diffuus. Dat maakt het verleidelijk om het wel te benoemen, maar niet echt te analyseren. Het is belangrijk genoeg om niet te negeren, maar te ongrijpbaar om stevig te verankeren.

    Een risico dat geen risico is

    In die ongrijpbaarheid schuilt een hardnekkige misvatting. Reputatie wordt behandeld als een zelfstandig risico, iets dat je naast kwaliteit, integriteit en compliance kunt positioneren en op vergelijkbare wijze kunt beheersen. Het krijgt een plek in risicoregisters, wordt benoemd in rapportages en duikt op in gesprekken met bestuur en toezichthouders. Daarmee lijkt het alsof reputatie een eigen bron van onzekerheid is, die je kunt identificeren, analyseren en mitigeren.

    Maar die veronderstelling houdt geen stand. Reputatie kent geen eigen oorzaak en geen eigen mechanisme. Er is geen gebeurtenis die op zichzelf een reputatierisico vormt. Wat als reputatierisico wordt aangeduid, is altijd terug te voeren op iets anders: een kwaliteitsgebrek, een integriteitsschending, een fout in de uitvoering of een verkeerd besluit. Zonder zo’n onderliggende gebeurtenis bestaat er geen reputatierisico.

    Toch wordt het vaak los daarvan benoemd en behandeld. Dat leidt tot een merkwaardige vorm van risicobeheersing, waarin iets wordt gemanaged dat geen zelfstandige bron heeft. In het beste geval blijft het bij abstracte formuleringen. In het slechtste geval verschuift de aandacht naar communicatie en beeldvorming, alsof reputatie daar zou ontstaan. Daarmee wordt niet alleen het probleem verkeerd gepositioneerd, maar ook de plek waar ingrijpen zinvol is.

    Reputatie is uitgestelde causaliteit

    Wat reputatie dan wel is, laat zich eenvoudiger beschrijven dan vaak wordt gedacht. Reputatie is geen zelfstandig risico, maar het zichtbare gevolg van eerdere gebeurtenissen. Of scherper geformuleerd: reputatie is uitgestelde causaliteit.

    Gedrag, besluiten en tekortkomingen in kwaliteit of integriteit werken niet altijd direct door naar de buitenwereld. Ze bouwen zich op, blijven soms lange tijd onder de radar en worden pas later zichtbaar. Op het moment dat ze zichtbaar worden, volgt het oordeel. Niet als een nieuwe gebeurtenis, maar als reactie op wat al eerder heeft plaatsgevonden.

    Daarmee verschuift ook het perspectief. Reputatie ontstaat niet op het moment dat er over gesproken wordt, maar op het moment dat de onderliggende oorzaak zich voordoet. Wat later zichtbaar wordt, is geen nieuw risico, maar de vertraagde manifestatie van een bestaande realiteit.

    Als het zichtbaar wordt, ben je te laat

    Die tijdsdimensie maakt reputatie fundamenteel anders dan de meeste risico’s waar accountants mee werken. Waar kwaliteits- en integriteitsrisico’s in principe direct te adresseren zijn, openbaart reputatie zich pas nadat de onderliggende oorzaak al effect heeft gehad.

    Op het moment dat reputatierisico zichtbaar wordt, is het in feite geen risico meer maar een gebeurtenis. De beoordeling vindt plaats, de reactie volgt en de schade wordt zichtbaar. Wat resteert is schadebeperking: toelichten, herstellen, communiceren. De beheersing zelf had eerder moeten plaatsvinden.

    De metafoor van lont en kruitvat is hier treffend. De ontploffing trekt alle aandacht, maar de lont is al veel eerder aangestoken. Wie zich pas op dat moment op reputatie richt, is per definitie te laat. De werkelijke sturing ligt in het moment waarop de lont nog zichtbaar en bereikbaar was.

    Van integriteit naar verlies

    Reputatie staat daarmee niet los van andere risico’s, maar verbindt ze in de tijd. Wat begint als een kwestie van kwaliteit of integriteit, ontwikkelt zich via reputatie tot een financieel en strategisch vraagstuk. Fouten in de uitvoering, gebrekkige oordeelsvorming of het overschrijden van normen werken eerst intern door, worden vervolgens extern zichtbaar en vertalen zich uiteindelijk in verlies van vertrouwen.

    Dat verlies van vertrouwen blijft zelden zonder consequenties. Opdrachtgevers haken af, toezichthouders verscherpen hun toezicht en de ruimte om professioneel te opereren neemt af. Wat begon als een inhoudelijk probleem, eindigt als een beperking van de organisatie zelf.

    In die zin is reputatie geen losstaand risico, maar de schakel tussen inhoud en impact. Integriteit en kwaliteit bepalen wat er gebeurt. Reputatie bepaalt hoe dat wordt gezien. En die perceptie vertaalt zich, vaak met vertraging, in financiële en strategische gevolgen.

    Geen magie, maar gevolg

    Daarmee verliest reputatie ook haar ogenschijnlijke grilligheid. Wat vaak wordt ervaren als een plotselinge kanteling, is in werkelijkheid het zichtbaar worden van een ontwikkeling die al langer gaande was. Reputatie is geen fragiel bezit dat van het ene op het andere moment kan worden beschadigd, maar de uitkomst van een keten van oorzaken en gevolgen die zich in de tijd ontvouwt.

    Die tijdsfactor werkt echter twee kanten op. Wat zich later manifesteert, ontstaat eerder, en is in die fase vaak nog beïnvloedbaar. Zolang de lont nog brandt en het kruitvat nog niet is bereikt, bestaat er ruimte om bij te sturen, te corrigeren en fouten recht te zetten. Wie die fase benut, kan voorkomen dat een inhoudelijk probleem uitgroeit tot een reputatieprobleem.

    Dat heeft consequenties voor de manier waarop ermee wordt omgegaan. Reputatie laat zich niet rechtstreeks managen en onttrekt zich aan pogingen om haar via communicatie of beeldvorming te sturen. Wie zich daarop richt, reageert op het effect en niet op de oorzaak. Daarmee verschuift de aandacht naar het verkeerde moment in de tijd.

    De enige manier om reputatie werkelijk te beïnvloeden, is door vooruit te kijken en de onderliggende causaliteit serieus te nemen. Dat betekent dat kwaliteit en integriteit niet alleen als op zichzelf staande risico’s worden gezien, maar ook als de bronnen van toekomstige reputatie. Reputatierisico wordt daarmee geen aparte categorie, maar een dimensie die in andere risico’s besloten ligt en zich pas later manifesteert.

  • Did I Become What I Hated as a Kid?

    As a teenager, I was drawn to punk. Not the fashion or the noise, but the music and the attitude: autonomy, distrust of authority, and a deep resistance to anyone who claimed the right to watch, judge, or control others. In that world, people who enforced rules or monitored behavior were not neutral. They were the problem. There is a song by the Dead Kennedys called I Am the Owl that captured that feeling perfectly. It is a satirical monologue from the perspective of someone who sees everything, knows everything, and quietly observes others under the guise of ordinary roles. The message was unmistakable: these are not protectors, but watchers. Not allies, but something closer to predators.

    At the time, that felt obviously true to me. If someone needs to watch you to make sure you do the right thing, something is already broken.

    That belief wasn’t just about music. It was a simple worldview. Good people don’t need supervision. If you have to monitor behavior, you are not dealing with integrity but with compliance, and that already feels like a loss. Trust should be the default, not something that has to be enforced. And if someone breaks that trust, that is a failure of character, not a reason to build systems around it. In the back of my mind, there was also a quieter idea, one I would not have called it that at the time: that your word matters, that you do what you said you would do, and that you don’t need anyone watching to hold you to it. In that sense, rules and oversight always felt like a kind of surrender, an admission that we had already given up on expecting people to do the right thing on their own.

    That view held up surprisingly well for a while. It felt clean, almost elegant. But over time, small cracks started to appear. Not because I suddenly encountered bad people, but because I kept running into situations where good people did things they themselves would not defend if you asked them directly. Nothing dramatic. Corners cut, responsibilities postponed, uncomfortable truths avoided. Not out of malice, but out of convenience, pressure, or simple human weakness. It had something of what Hannah Arendt once described: not evil as something monstrous, but as something ordinary. And that was harder to dismiss. If people who genuinely see themselves as decent can still drift into behavior they would not openly endorse, then the problem is not just character. Something else is at play.

    It took me a while to see what that “something else” was. It is tempting to explain it in terms of bad intentions or weak character, but that is too easy and, more importantly, incomplete. People do not just act based on what they believe is right. They also respond to incentives, to pressure, to ambiguity, and to what they think will or will not be noticed. Left entirely to themselves, even well-intentioned people will sometimes choose the easier path over the right one. Not because they reject integrity, but because integrity is often not the path of least resistance. That is where my earlier belief started to shift. Maybe the absence of oversight is not a sign of trust, but a test that systems, and people, do not always pass.

    At some point, I realized what that meant for me. The people I once saw as “the owl” were not necessarily the enemy. Not because surveillance suddenly became virtuous, but because the absence of it turned out to be less innocent than I had assumed. If people respond to what is visible and what is not, then making behavior visible is not just control. It is also a way of preventing the quiet drift that no one intends but still happens. In that sense, the owl is not only a watcher. It is also a witness.

    And somewhere along the way, I became part of that. Not the anonymous, all-seeing presence I once rejected, but someone whose role it is to make sure that what people think goes unseen, does not always remain unseen.

    So did I become what I hated as a kid? In a superficial sense, yes. I am now, in part, one of the people who watch, who ask questions, who make things visible that others might prefer to keep out of sight. But that is only half the story, and the least interesting half. What I hated was not the act of seeing. It was the idea of being watched by people who had no standards of their own. What changed is not that I abandoned that instinct, but that I redirected it. The problem was never visibility itself. It was visibility without integrity. And, perhaps more importantly, visibility is not there to replace integrity, but to support it, to make it easier for people to live up to the standards they already believe in, rather than to force behavior through control alone.

    I still understand the instinct I had back then. Part of me still shares it. There is something fundamentally uncomfortable about being watched, and that discomfort is not entirely misplaced. But I no longer see it as a simple opposition between freedom and control. What matters is not whether someone is watching, but who is watching, why, and whether they are bound by the same standards they expect from others.

    This is also where my work sits. In organizations, we cannot rely on integrity alone, and we should not try to replace it with control either. The role of compliance, at its best, is somewhere in between: not to force behavior, but to make it visible, to support people in living up to their own standards, and to step in where that proves insufficient.

    In the end, I did not abandon the idea of an inner code. If anything, I came to rely on it more. The difference is that I no longer believe it can stand entirely on its own.

  • The Illusion of the True & Fair view

    1. The comfort of the “true and fair view”

    Few phrases in the professional vocabulary of accountants carry as much authority as true and fair view.

    It appears reassuringly precise. Solid. Almost self-explanatory. Financial statements, we are told, must present a true and fair view of the entity’s financial position and performance. The wording suggests a direct relationship between numbers and reality, as if the figures themselves possess an intrinsic capacity to mirror the world they describe.

    Yet this apparent clarity conceals a remarkable ambiguity.

    What is true?
    What is fair?
    And perhaps most intriguingly: what exactly is a view?

    The modern reporting environment complicates these questions further. Financial information no longer originates on paper but in digital structures, taxonomies, and data models. Under frameworks such as IFRS, the conceptual foundation is not truth but faithful representation, a term that subtly but decisively shifts the emphasis. The objective is not to reproduce reality, but to represent it in a manner that is complete, neutral, and free from material error.

    Representation, however, is not a passive act.

    Between economic events and the polished coherence of a set of financial statements lies a dense layer of classification, aggregation, measurement, estimation, labeling, formatting, and presentation. Data are selected, ordered, structured, and rendered. Only then does something emerge that users recognize as a “financial picture”.

    This raises an uncomfortable possibility.

    What we routinely describe as a true and fair view may not be a reflection of reality, but the outcome of a series of interpretative transformations applied to underlying data. The “view” is not discovered; it is constructed.

    And once that thought is entertained, an unsettling question follows:

    If a view is constructed, in what sense can it be true?

    2. Before numbers become a picture

    It is tempting to think of accounting as the simple translation of reality into numbers.

    Something happens, it is recorded, aggregated, and eventually presented. The process appears linear: events → data → financial statements. Numbers, in this view, are treated as neutral carriers of fact.

    But reality does not become numbers directly.
    It first becomes value.

    Before a figure appears in a balance sheet or income statement, an act of valuation has already taken place. Assets are measured, liabilities estimated, revenues recognized, costs allocated. Physical objects, contractual relationships, and uncertain future outcomes are translated into monetary terms. The world of facts is transformed into a world of economic representations.

    Valuation is therefore not a technical afterthought.
    It is the decisive interpretative step.

    A building is not inherently worth €12 million.
    An impairment loss is not a naturally occurring quantity.
    Even historical cost, often perceived as solid and objective, is anchored in conventions about recognition, timing, and measurement.

    Each number presupposes a framework.

    Fair value, value in use, amortized cost, expected credit loss: these are not merely calculation techniques but structured lenses through which economic reality is made commensurable, comparable, and reportable. What emerges is not a direct imprint of the world, but a quantified interpretation of it.

    Only after this transformation do numbers begin to function as data.

    They are classified, aggregated, structured, and rendered into what users recognize as financial statements. Tables, subtotals, line items, ratios; the visual coherence of reporting is layered on top of values that were themselves layered on top of judgments, estimates, and assumptions.

    This reveals a double abstraction at the heart of financial reporting:

    Reality → valuation → numbers
    Numbers → presentation → picture

    By the time we encounter a “financial view”, we are already several conceptual steps removed from the underlying phenomena. The picture is constructed from numbers, but the numbers themselves are constructed from valuations.

    Which makes the familiar phrase true and fair view far less straightforward than it appears.

    If the numbers are interpretations,
    what exactly is the view true to?

    3. Data is not a picture

    In a digital reporting environment, financial information does not exist primarily as a document.

    It exists as data.

    Under standards such as XBRL, financial statements are encoded as structured datasets: tagged elements, taxonomies, relationships, definitions. The familiar visual form of a balance sheet or income statement, columns, subtotals, headings, is no longer the source but the output of reporting. What users see is a rendering, not the underlying reality.

    This distinction is easy to overlook, precisely because modern systems perform the transformation so seamlessly.

    A set of financial statements appears on a screen.
    Numbers align neatly.
    Labels make sense.
    A coherent picture emerges.

    Yet nothing in the data itself contains that picture.

    An XBRL instance document does not inherently display a balance sheet. It contains elements and relationships that allow software to construct one. The ordering, grouping, labeling, and visual hierarchy are imposed at the moment of presentation. Different renderings may produce different emphases, structures, or interpretations, while drawing from exactly the same dataset.

    Data, in other words, are pre-representational.

    They enable pictures.
    They do not constitute them.

    This has a subtle but profound implication.

    If the visual coherence of financial reporting arises only through acts of structuring and rendering, then the “view” encountered by users is not embedded in the numbers but emerges from the way those numbers are organized. The picture is neither discovered nor extracted; it is assembled.

    What appears self-evident, the financial position of the entity, the performance of the period, is inseparable from choices about classification, aggregation, and display.

    Even in a world of perfectly accurate data,
    the picture remains a construct.

    Which returns us, once again, to the language of accounting.

    Financial statements are said to provide a true and fair view.
    But a view is not the data.
    A view is what results from presenting the data.

    And presentation is never neutral.

    4. Classification is interpretation

    Financial reporting presents itself as a system of measurement.

    But before anything can be measured, it must first be classified.

    An expenditure becomes either an expense or an asset.
    An obligation becomes either a liability or a provision.
    A fluctuation becomes either volatility or noise.

    These distinctions appear technical, yet they are irreducibly interpretative. Classification determines not only where a number appears, but what kind of economic reality it is taken to represent. Recognition, aggregation, and presentation all depend on prior acts of categorization.

    IFRS makes this explicit, though its implications are rarely fully acknowledged.

    The standards define assets, liabilities, income, and expenses not as self-evident facts but as constructs shaped by criteria: control, probability of future economic benefits, reliable measurement. Economic phenomena do not announce their classification. They are assigned one.

    This assignment is not neutral.

    To classify is to decide what something counts as within the logic of reporting. The same underlying event may legitimately produce different accounting treatments depending on assumptions about intent, timing, uncertainty, or materiality. What changes is not the event itself, but the interpretative frame applied to it.

    Aggregation introduces a second layer of abstraction.

    Individual transactions disappear into line items. Line items dissolve into subtotals. Subtotals merge into performance indicators. Each step increases coherence while decreasing granularity. What is gained in readability is traded against visibility of underlying variation.

    Materiality functions as a further filter.

    Information judged immaterial is omitted, aggregated, or simplified. This is neither error nor manipulation; it is an operational necessity. Yet it reinforces a crucial insight: financial statements are not exhaustive representations of reality, but structured selections shaped by thresholds of significance.

    By this point, the notion of a “view” becomes increasingly layered.

    The picture is constructed from presented numbers.
    The numbers are constructed from valuations.
    Valuations are constructed from classifications.

    What users encounter is therefore not reality translated into financial statements, but reality as it becomes visible through successive acts of interpretation. The apparent solidity of reporting lies not in its direct correspondence with the world, but in the stability of the frameworks that organize it.

    5. Faithful to what?

    The language of financial reporting suggests a reassuring ambition.

    Financial statements are expected to provide a true and fair view. IFRS, more cautiously, speaks of faithful representation. Both expressions imply a relationship between reporting and reality; a promise that what is presented corresponds, in some meaningful sense, to the world it claims to describe.

    Yet neither term resolves the central ambiguity.

    Faithful to what?

    To the underlying economic phenomena?
    To the measurement techniques applied?
    To the classification decisions embedded in the standards?
    Or to the framework itself?

    Faithful representation, as defined in IFRS, does not require perfect accuracy. It requires completeness, neutrality, and freedom from material error. This formulation is both pragmatic and revealing. The objective is not to eliminate interpretation, but to discipline it. Representation is acknowledged as constructed, yet governed by criteria designed to produce comparability and decision-usefulness.

    But governance does not eliminate relativity.

    The ambiguity becomes more visible when comparing reporting frameworks. IFRS and US GAAP, while broadly aligned in purpose, embody different philosophies of recognition, measurement, and presentation. Identical economic events may yield different accounting outcomes, not because one system captures reality and the other distorts it, but because each framework defines relevance, reliability, and representation through its own internal logic.

    Reality, in this sense, is not merely reported. It is rendered.

    The “faithfulness” of financial statements cannot therefore be understood as a simple correspondence with an objective, framework-independent world. Faithfulness operates within a structured space defined by standards, definitions, thresholds, and conventions. What is achieved is not truth in an absolute sense, but coherence within a system of representation.

    A faithful representation is faithful not to raw reality, but to reality as filtered, measured, classified, and valued through the architecture of the reporting framework. The credibility of the view lies not in its immediacy, but in the transparency, consistency, and acceptability of the rules that shape it.

    Which leaves us with a subtly different understanding of what financial statements provide.

    Not a window onto reality itself, but a disciplined interpretation of reality; one that remains opaque without a genuine understanding of that discipline.

    6. The illusion of objectivity

    The interpretative nature of financial reporting is not a secret.

    It is embedded in standards, debated in academic literature, and acknowledged in professional education. Accountants, auditors, and regulators are trained to understand recognition criteria, measurement uncertainty, aggregation effects, and the limitations of representation.

    Yet outside those contexts, a different narrative quickly takes hold.

    Numbers acquire an aura of objectivity. Financial statements are treated as if they were direct reflections of reality rather than structured interpretations of it. Precision is confused with certainty, and quantification with truth. The presence of figures creates an impression of solidity that often exceeds the epistemic strength of what is being presented.

    This slippage is subtle but consequential.

    When users forget that numbers emerge from valuation, classification, and presentation choices, disagreement becomes harder to articulate. What is in fact contestable appears self-evident. Judgments embedded in measurement models masquerade as facts. The framework recedes from view, leaving only the reassuring surface of quantified outcomes.

    The effect is amplified by scale.

    Large numbers, complex models, and highly formatted reports enhance the perception of authority. A figure expressed in millions or billions appears more real, more factual, more immune to doubt. The discipline behind the number disappears precisely as the rhetorical force of the number increases.

    This is not merely a communication problem.
    It is a cognitive one.

    Human beings are predisposed to treat quantified information as inherently more reliable than qualitative reasoning. Numbers feel neutral, detached, and resistant to bias, even when they are the products of assumptions, estimates, and methodological choices. The interpretative labor that produced them becomes invisible.

    In organizational life, this creates a familiar pattern.

    Dashboards proliferate. Metrics multiply. Decision-making is framed as data-driven. Yet the underlying interpretative layers; what is measured, how it is defined, what is excluded, what is aggregated; are rarely examined with the same rigor as the figures themselves.

    Data displace judgment.
    Quantification displaces reflection.

    The irony is difficult to ignore.

    Financial reporting, designed as a disciplined practice of representation, risks becoming a source of intellectual complacency when its constructed nature is forgotten. The very tools created to structure uncertainty may encourage the illusion that uncertainty has been eliminated.

    Which returns us to the responsibility of those who work closest to the numbers.

    Not to deny their usefulness.
    But to resist the seduction of their apparent self-evidence.

    7. Information and decision potential

    If financial reporting is neither raw reality nor neutral measurement, what then is its function?

    A useful answer may be found in information theory.

    Data, strictly speaking, are merely recorded distinctions. Symbols, values, classifications. They acquire the status of information only when they possess the capacity to alter understanding, expectations, or decisions. Information is not defined by its format or precision, but by its potential to make a difference.

    In this sense, information can be understood as:

    Data + decision potential

    Financial statements do not exist simply to present numbers. Their purpose is to shape judgment under conditions of uncertainty. Concepts such as relevance, materiality, and faithful representation derive their meaning not from descriptive ambition, but from their orientation toward decision-usefulness.

    This perspective reframes the earlier discussion.

    The question is not whether numbers perfectly reflect reality. It is whether they meaningfully influence how reality is interpreted, evaluated, and acted upon. A dataset may be technically accurate yet informationally inert if it leaves judgments and decisions unchanged.

    Not all precision produces insight.
    Not all quantification produces information.

    Classification, valuation, aggregation, and presentation therefore perform a dual function. They structure economic phenomena within reporting, but they also structure the cognitive environment of the user. They determine what becomes visible, comparable, significant, or ignorable.

    Information, in practice, is never neutral.

    A figure disclosed, omitted, emphasized, or aggregated reshapes the landscape of decision-making. It affects perceptions of risk, performance, stability, and value. The influence of financial reporting lies not only in what it represents, but in what it enables, discourages, or renders plausible.

    Which brings us back to the language of accounting.

    A true and fair view, like faithful representation, cannot be understood as a claim of direct correspondence with an objective, framework-independent reality. Its meaning is inseparable from the function of financial statements as instruments of judgment. “Truth” and “fairness” operate not as metaphysical guarantees, but as evaluative criteria within a decision-oriented practice.

    A view is true and fair to the extent that it supports informed and defensible decisions under uncertainty.

    Faithfulness, in this sense, does not imply the absence of interpretation. It implies the disciplined governance of interpretation in the service of decision potential.

    Financial statements do not eliminate ambiguity.
    They structure it.

    They do not replace judgment.
    They inform it.

    Their value lies, ultimately, in their capacity to matter.

    8. Living with constructed realities

    To recognize that financial reporting is constructed is not to weaken it.

    On the contrary, it is to understand its strength more precisely.

    Financial statements remain among the most disciplined and collectively governed representations produced within modern institutional life. Their authority does not rest on naïve assumptions of direct correspondence with reality, but on shared frameworks, transparent methodologies, professional judgment, and the continuous refinement of conceptual standards.

    Construction is not a defect.
    It is an achievement.

    The difficulty arises only when this achievement becomes invisible, when representations harden into apparent facts and interpretation retreats from awareness. At that point, numbers risk acquiring a certainty they were never designed to carry.

    Living with constructed realities requires a particular intellectual posture.

    It requires resisting two symmetrical temptations. The first is credulity: treating numbers as if they were reality itself. The second is cynicism: dismissing them as mere fabrications. Both positions misunderstand the nature of representation. Financial reporting is neither an unmediated mirror nor an arbitrary fiction. It is a disciplined practice of rendering complex economic phenomena intelligible within agreed constraints.

    Within that discipline, uncertainty does not disappear.
    It is organized.

    Judgment is not eliminated.
    It is structured.

    Truth is not delivered in absolute form.
    It is approached through coherence, consistency, and transparency.

    For professionals closest to the preparation, audit, and governance of financial information, this awareness carries a distinct responsibility. Not only to apply standards correctly, but to preserve interpretative integrity. To remain conscious of where assumptions operate, where estimates shape outcomes, and where precision may exceed certainty.

    For users of financial statements, the implication is quieter but no less significant.

    Financial reporting does not resolve ambiguity.
    It offers a disciplined way of inhabiting it.

    It does not replace judgment.
    It provides grounds upon which judgment can be exercised.

    And perhaps this is the most realistic understanding available.

    Not that financial statements present reality as it is, but that they enable reality to be engaged, evaluated, and acted upon. Their value lies not in being unquestionable, but in being sufficiently reliable, sufficiently transparent, and sufficiently meaningful to sustain decision-making within a world that remains irreducibly uncertain.

  • Analyse en beheersing van risico’s

    Risico en risk appetite in context

    Risico’s krijgen pas betekenis wanneer zij worden bezien in relatie tot doelstellingen, context en bestuurlijke keuzes. Risicoanalyse is daarom geen op zichzelf staande exercitie, maar een manier om inzicht te krijgen in waar en waarom de organisatie kwetsbaar is, en in hoeverre die kwetsbaarheid aanvaardbaar wordt geacht.

    Een praktisch hanteerbare risicoanalyse kent in dit verband een samenhangende structuur die begint bij het bruto risico en eindigt bij de beoordeling van het netto risico ten opzichte van de geldende risk appetite.

    Risico

    Een risico kan worden omschreven als de mogelijkheid dat een gebeurtenis of omstandigheid de realisatie van doelstellingen negatief beïnvloedt. In veel benaderingen wordt risico daarbij uitgedrukt als een combinatie van kans en impact. Deze benadering is behulpzaam om risico’s te structureren, maar kent ook duidelijke beperkingen.

    In sectoren waar risico’s goed kwantificeerbaar zijn, zoals in delen van de financiële sector, kan risicoanalyse in belangrijke mate kwantitatief worden ingevuld. Kans en impact laten zich daar vaak in geld, frequenties of bandbreedtes uitdrukken. In professionele dienstverlening, en in het bijzonder in de accountancy, is een dergelijke kwantificering slechts beperkt mogelijk. Veel risico’s hebben betrekking op kwaliteit, oordeelsvorming, gedrag en reputatie, en laten zich niet zinvol reduceren tot cijfers.

    In die context is risicoanalyse primair kwalitatief van aard. Kans en impact worden niet exact berekend, maar ingeschat op basis van professionele ervaring, inzicht in processen en begrip van de organisatorische context. Pogingen om dergelijke risico’s alsnog te kwantificeren, bijvoorbeeld door scores of gewichten toe te kennen, creëren vaak een schijnzekerheid die het inzicht niet vergroot.

    Naast negatieve gevolgen kan risico ook een positieve dimensie hebben. Upside risk ziet op de mogelijkheid dat onzekerheid juist leidt tot kansen, bijvoorbeeld door innovatie, groei of nieuwe dienstverlening. Downside risk betreft de potentiële negatieve gevolgen van diezelfde onzekerheid. In professionele dienstverlening is het doorgaans de downside risk die centraal staat in compliance en risicobeheersing, omdat deze raakt aan kwaliteit, integriteit en publieke belangen. Upside risk speelt vooral een rol in strategische besluitvorming en behoort primair tot het domein van het bestuur.

    Bruto risico

    Het bruto risico betreft het risico dat zich zou voordoen indien geen enkele vorm van risicobeheersing aanwezig zou zijn. Het gaat hierbij om de aard en omvang van potentiële negatieve gevolgen, los van bestaande maatregelen, processen of controles. Bruto risico’s maken zichtbaar waar de organisatie van nature kwetsbaar is, gegeven haar diensten, cliënten, markten en werkwijze.

    Bruto risk appetite

    De bruto risk appetite geeft een indicatie van de mate waarin het bestuur bereid is risico’s te accepteren vóór toepassing van beheersmaatregelen. Deze appetite fungeert niet als directe stuurvariabele, maar als interpretatiekader. Zij zegt iets over de bestuurlijke houding ten opzichte van risico’s en de mate waarin men bereid is “stoer in de wedstrijd te staan”.

    Voor toezichthouders en andere belanghebbenden biedt de bruto risk appetite inzicht in:

    • de risicobereidheid van het bestuur;
    • de mate waarin risico’s bewust worden opgezocht of juist vermeden;
    • en het risico dat men bereid is te lopen indien beheersmaatregelen (tijdelijk) falen.

    De combinatie van een hoge bruto risk appetite met een lage netto risk appetite duidt op een organisatie die bereid is risico’s aan te gaan, maar sterk inzet op beheersing. Een lage bruto risk appetite wijst juist op een defensieve houding, waarbij risico’s al in een vroeg stadium worden vermeden.

    Interne risicobeheersing

    Interne risicobeheersing omvat het geheel aan maatregelen, processen, controles en gedragsnormen dat is ingericht om risico’s te mitigeren. Deze beheersing kan zowel formeel als informeel van aard zijn en strekt zich uit over verschillende organisatieniveaus. De effectiviteit van interne beheersing bepaalt in belangrijke mate in hoeverre bruto risico’s worden teruggebracht.

    Opzet, bestaan en werking

    Bij de beoordeling van interne risicobeheersing is het van belang onderscheid te maken tussen opzetbestaan en werking van beheersmaatregelen. Dit onderscheid voorkomt dat conclusies worden getrokken op basis van schijnbare effectiviteit en maakt inzichtelijk waar beheersing daadwerkelijk tekortschiet.

    Opzet ziet op de vraag of een beheersmaatregel, indien deze correct zou functioneren, het onderliggende risico daadwerkelijk mitigeert. Het gaat hier om de logische en inhoudelijke geschiktheid van de maatregel. Een maatregel kan correct zijn uitgevoerd en consequent worden toegepast, maar alsnog onvoldoende bijdragen aan het beheersen van het beoogde risico wanneer de opzet tekortschiet.

    Bestaan betreft de vraag of de beheersmaatregel daadwerkelijk is geïmplementeerd. Een goed ontworpen maatregel die slechts op papier bestaat, draagt niet bij aan risicobeheersing. Bestaan heeft daarmee betrekking op de feitelijke aanwezigheid van processen, controles of afspraken binnen de organisatie.

    Werking ziet op de vraag of de maatregel in de praktijk functioneert zoals bedoeld. Hierbij gaat het om de effectiviteit van de maatregel zoals deze is geïmplementeerd: wordt de maatregel consistent toegepast, en leidt dit tot het beoogde effect?

    Het onderscheid tussen deze drie aspecten is van belang omdat zij niet vanzelfsprekend samenlopen. In het bijzonder kan een situatie ontstaan waarin een maatregel aantoonbaar werkt, maar in opzet onvoldoende is afgestemd op het onderliggende risico. In dergelijke gevallen bestaat het risico dat incidenten uitblijven door toeval of aanvullende omstandigheden, terwijl het fundamentele risico onvoldoende is beheerst. Dit kan leiden tot een vals gevoel van zekerheid.

    Een zorgvuldige risicoanalyse vereist daarom dat beheersmaatregelen niet alleen worden beoordeeld op hun feitelijke werking, maar ook expliciet worden getoetst op hun opzet en bestaan.

    Netto risico en netto risk appetite

    Het netto risico is het risico dat resteert na toepassing van de interne beheersingsmaatregelen. Dit risico wordt afgezet tegen de netto risk appetite: het niveau van risico dat de organisatie daadwerkelijk bereid is te accepteren.

    De netto risk appetite vormt daarmee het daadwerkelijke toetsingskader. Zij is bepalend voor de vraag of aanvullende maatregelen nodig zijn, of dat het resterende risico als aanvaardbaar wordt beschouwd.

    Gap-analyse

    De vergelijking tussen het netto risico en de netto risk appetite resulteert in een gap-analyse. Deze analyse maakt zichtbaar waar sprake is van een overschrijding van de acceptabele risicogrenzen. Niet de omvang van het risico op zichzelf is daarbij doorslaggevend, maar het verschil tussen gewenst en feitelijk risiconiveau.

    Strategische, tactische en operationele risico’s

    Binnen professionele dienstverlening is het gebruikelijk onderscheid te maken tussen strategische, tactische en operationele risico’s. Dit onderscheid helpt om risico’s te plaatsen binnen verschillende organisatieniveaus en maakt zichtbaar waar keuzes worden gemaakt en waar effecten zich manifesteren.

    Strategische risico’s

    Strategische risico’s hebben betrekking op keuzes die het bestuur maakt ten aanzien van de koers en positionering van de organisatie. Deze risico’s hangen samen met onder meer:

    • het dienstenportfolio;
    • de doelgroepen en markten waarin wordt geopereerd;
    • groeiambities, fusies en overnames;
    • beloningsstructuren en verdienmodellen;
    • en de wijze waarop kwaliteit en integriteit worden gewogen ten opzichte van commerciële doelstellingen.

    Strategische risico’s kenmerken zich doordat zij vaak pas op langere termijn zichtbaar worden. De gevolgen manifesteren zich niet zelden op operationeel niveau, terwijl de oorsprong ligt in bestuurlijke keuzes.

    Tactische risico’s

    Tactische risico’s zien op de inrichting van de organisatie en de vertaling van strategische keuzes naar structuren, processen en systemen. Het betreft onder meer:

    • de inrichting van werkprocessen;
    • de verdeling van verantwoordelijkheden en bevoegdheden;
    • de beschikbaarheid van capaciteit en expertise;
    • de ondersteuning door IT-systemen;
    • en de wijze waarop beleid wordt uitgewerkt in procedures en richtlijnen.

    Tactische risico’s bepalen in belangrijke mate of strategische keuzes uitvoerbaar zijn. Onvoldoende doordachte inrichting kan ertoe leiden dat operationele risico’s structureel toenemen.

    Operationele risico’s

    Operationele risico’s doen zich voor in de dagelijkse uitvoering van werkzaamheden. Zij hebben betrekking op menselijke fouten, drukte, tijdsgebrek, onduidelijke instructies, systeemfouten en afwijkingen van vastgestelde werkwijzen. Operationele risico’s zijn doorgaans het meest zichtbaar, omdat zij zich manifesteren in incidenten, fouten of klachten.

    Operationele risico’s worden in de praktijk vaak afzonderlijk benaderd. Daarbij wordt echter gemakkelijk over het hoofd gezien dat veel operationele problemen het gevolg zijn van strategische of tactische keuzes die eerder zijn gemaakt.

    Risicodomeinen binnen professionele dienstverlening

    Bij de analyse en beheersing van risico’s binnen professionele dienstverleners is het behulpzaam onderscheid te maken tussen verschillende risicodomeinen. Deze domeinen overlappen elkaar in de praktijk regelmatig, maar hebben elk een eigen invalshoek en dynamiek. In deze paragraaf wordt ingegaan op kwaliteit, integriteit en financiële risico’s.

    Kwaliteit als risicodomein

    Kwaliteit vormt binnen professionele dienstverlening een kernrisico. Onvoldoende kwaliteit raakt direct aan het vertrouwen van cliënten, toezichthouders en het maatschappelijk verkeer, en kan leiden tot tuchtrechtelijke, civielrechtelijke en reputatieschade. Om kwaliteit hanteerbaar te maken, is het noodzakelijk dit begrip concreet te operationaliseren.

    Kwaliteit van een geleverde dienst of een product kan in de praktijk langs drie samenhangende vragen worden beoordeeld:

    1. Voldoet de dienst aan de vaktechnische normen die voor die dienst gelden? Dit betreft de inhoudelijke juistheid en zorgvuldigheid van de dienstverlening, bezien vanuit de toepasselijke professionele standaarden, beroepsregels en vaktechnische richtlijnen. Deze normen verschillen per discipline, maar vormen steeds het primaire referentiekader voor de beoordeling van kwaliteit.
    2. Ligt aan de dienst een dossier ten grondslag dat de dienst reproduceerbaar maakt? Reproduceerbaarheid betekent dat een derde, op basis van het dossier, kan begrijpen hoe de dienst tot stand is gekomen. Het gaat daarbij niet uitsluitend om het eindresultaat, maar om de gevolgde redeneringen, gemaakte afwegingen en relevante aannames. Zonder een deugdelijk dossier is kwaliteit niet toetsbaar en daarmee in professionele zin niet aantoonbaar.
    3. Is voldaan aan formele eisen en wettelijke verplichtingen? Dit betreft legal compliance: naleving van toepasselijke wet- en regelgeving, zoals eisen ten aanzien van onafhankelijkheid, privacy, dossierbewaring en andere formele randvoorwaarden. Deze eisen vormen geen substituut voor vaktechnische kwaliteit, maar zijn wel een noodzakelijke voorwaarde.

    Deze drie vragen maken zichtbaar dat kwaliteit meer omvat dan inhoudelijke juistheid alleen. Een dienst kan vaktechnisch correct zijn, maar alsnog tekortschieten wanneer zij niet navolgbaar is vastgelegd of wanneer niet aan formele eisen is voldaan.

    Dossiervorming bij adviesdiensten

    Bij bepaalde adviesdiensten is volledige reproduceerbaarheid van het resultaat niet altijd mogelijk. Strategisch advies, corporate finance-dienstverlening of andere vormen van maatwerkadvies kennen vaak een contextafhankelijk en niet-deterministisch karakter. Dit doet echter niets af aan de eis dat de totstandkoming van de dienst navolgbaar moet zijn.

    Ook bij dergelijke diensten moet het dossier ten minste inzicht geven in:

    • de aard en reikwijdte van de opdracht;
    • de relevante feiten en uitgangspunten;
    • de gehanteerde aannames;
    • de gemaakte afwegingen en keuzes;
    • en de wijze waarop tot het uiteindelijke advies is gekomen.

    Een praktische toetssteen hierbij is de vraag of de dienstverlening, op basis van het dossier, overtuigend kan worden toegelicht tegenover een derde, zoals een toezichthouder of rechter. Wanneer de totstandkoming van een dienst uitsluitend kan worden gereconstrueerd uit losse e-mails of een persoonlijke inbox, ontbreekt een dossier in professionele zin. Dossiervorming is geen archief van communicatie, maar een gestructureerde geschiedschrijving van professioneel handelen.

    Integriteit als risicodomein

    Integriteitsrisico’s hebben betrekking op de wijze waarop professionals omgaan met belangenconflicten, onafhankelijkheid, vertrouwelijkheid en ethische afwegingen. Deze risico’s manifesteren zich niet uitsluitend in incidenten, maar ook in structurele keuzes, beloningsprikkels en cultuur. Integriteit is daarmee zowel een individueel als organisatorisch risicodomein.

    Financiële risico’s

    Financiële risico’s zien op de continuïteit en weerbaarheid van de organisatie. Hieronder vallen onder meer risico’s met betrekking tot verdienmodellen, aansprakelijkheden, claims, financiering en afhankelijkheden van cliënten of markten. Financiële risico’s staan zelden op zichzelf en zijn vaak het gevolg van keuzes binnen andere risicodomeinen, met name kwaliteit en integriteit.

    Compliance als legal compliance

    In dit verband wordt met compliance uitsluitend legal compliance bedoeld: het voldoen aan toepasselijke wet- en regelgeving. Compliance vormt daarmee geen zelfstandig risicodomein naast kwaliteit en integriteit, maar een randvoorwaarde die deze domeinen doorkruist. De compliancefunctie als organisatorische rol wordt in latere paragrafen afzonderlijk besproken.

    Andere perspectieven op kwaliteit

    In de literatuur en praktijk bestaan uiteenlopende perspectieven op kwaliteit. Vanuit het perspectief van de cliënt wordt kwaliteit regelmatig gedefinieerd als het voldoen aan verwachtingen, of als ervaren toegevoegde waarde. Dit debat speelt al decennia binnen de professionele dienstverlening en is in zichzelf legitiem.

    In het kader van dit hoofdstuk wordt dat perspectief echter niet leidend geacht. De hier gehanteerde benadering van kwaliteit is primair normatief en toetsbaar van aard, en sluit aan bij de wijze waarop kwaliteit wordt beoordeeld door toezichthouders, tuchtrechters en in het civiele recht. Het betreft daarmee kwaliteit bezien vanuit het perspectief van compliance en professionele verantwoording, en niet vanuit klanttevredenheid of commerciële waardering.

    Risicoreacties

    Na het identificeren en analyseren van risico’s volgt de vraag hoe met deze risico’s wordt omgegaan. In de praktijk worden vier basisreacties onderscheiden: accepterenvermijdenoverdragen en beheersen. Deze reacties sluiten aan bij verschillende risicoprofielen en organisatieniveaus en zijn niet onderling hiërarchisch. Het kiezen van een risicoreactie is altijd een bewuste afweging.

    Accepteren

    Bij het accepteren van een risico wordt het risico bewust aanvaard zonder aanvullende beheersmaatregelen te treffen. Acceptatie impliceert niet dat het risico wordt genegeerd, maar dat het resterende risico wordt beschouwd als aanvaardbaar binnen de geldende risk appetite. Acceptatie kan zowel het gevolg zijn van een expliciete afweging als van de constatering dat verdere beheersing niet doelmatig of proportioneel is.

    Vermijden

    Vermijden houdt in dat activiteiten of omstandigheden die tot een risico leiden, geheel of gedeeltelijk worden beëindigd of niet worden aangegaan. Deze risicoreactie komt vooral in beeld wanneer risico’s de grenzen van de risk appetite structureel overschrijden of wanneer beheersmaatregelen onvoldoende effectief zijn. Vermijden kan ingrijpende gevolgen hebben voor de dienstverlening of strategische positionering van de organisatie. Vermijden ligt met name voor de hand als keuze wanneer een bruto risico de grenzen van de bruto risk appetite overschrijdt.

    Overdragen

    Bij overdracht wordt het risico geheel of gedeeltelijk bij een derde partij neergelegd. Dit kan bijvoorbeeld plaatsvinden door middel van verzekeringen, contractuele afspraken of uitbesteding. Overdracht betekent niet dat het risico volledig verdwijnt. In veel gevallen resteert een vorm van rest-risico, bijvoorbeeld ten aanzien van toezicht op de derde partij of reputatie-effecten.

    Beheersen

    Beheersen betreft het treffen van maatregelen die erop zijn gericht de kans op of de impact van een risico te verminderen. Dit kan variëren van procesaanpassingen en controles tot opleiding, cultuurmaatregelen en governance-interventies. Beheersing is zelden absoluut en vereist voortdurende aandacht om effectief te blijven.

    PDCA als leer- en beheersingsmechanisme

    De PDCA-cyclus (Plan-Do-Check-Act) wordt binnen professionele dienstverlening veelvuldig gebruikt als kader voor kwaliteitsborging en risicobeheersing. De cyclus biedt een logisch en overzichtelijk model om werkzaamheden te plannen, uit te voeren, te toetsen en waar nodig bij te stellen. In de context van risicobeheersing is PDCA primair te begrijpen als een leer- en verbetermechanisme, en niet als een afzonderlijk controle- of toezichtsinstrument.

    PDCA in de eerste lijn

    De PDCA-cyclus behoort integraal tot de verantwoordelijkheid van de eerste lijn. Het is de lijn die werkzaamheden uitvoert, risico’s veroorzaakt én beheerst. Dat geldt voor alle fasen van de cyclus. Plan, Do, Check en Act zijn geen afzonderlijke functies, maar onderdelen van één doorlopend proces binnen de primaire dienstverlening.

    Het plaatsen van (delen van) de PDCA-cyclus buiten de eerste lijn leidt tot rolverwarring en ondermijnt het leervermogen van de organisatie. In het bijzonder geldt dit voor de Check-fase.

    De Check-fase als interne controle

    De C uit PDCA betreft de interne toetsing van het eigen handelen. Het gaat hierbij om het vaststellen of werkzaamheden zijn uitgevoerd zoals bedoeld, of beheersmaatregelen zijn toegepast zoals ontworpen, en of uitkomsten aansluiten bij de gestelde normen en verwachtingen.

    Voor accountants en aanverwante professionals is deze fase herkenbaar als AO/IB: de administratieve organisatie en interne beheersing zoals die binnen de eerste lijn is ingericht. De Check-fase is daarmee geen externe beoordeling, maar zelfcontrole, ingebed in het primaire proces.

    PDCA en risicobeheersing

    Binnen het kader van risicobeheersing vervult PDCA een dubbele functie. Enerzijds ondersteunt de cyclus het consistent toepassen van beheersmaatregelen. Anderzijds maakt zij zichtbaar waar beheersing tekortschiet en waar bijsturing nodig is. De effectiviteit van risicobeheersing hangt daarmee in belangrijke mate af van de kwaliteit van de Check- en Act-fasen.

    PDCA biedt geen garantie dat risico’s worden uitgesloten. Wel faciliteert de cyclus dat afwijkingen worden gesignaleerd en dat van ervaringen wordt geleerd. In die zin is PDCA geen sluitstuk van risicobeheersing, maar een mechanisme om beheersing voortdurend te toetsen en aan te passen.

    Afbakening ten opzichte van monitoring en assurance

    Het is van belang PDCA scherp te onderscheiden van monitoring en assurance. Monitoring betreft het volgen en analyseren van processen en uitkomsten door een andere lijn dan de uitvoerende. Assurance ziet op het onafhankelijk geven van zekerheid over de opzet en werking van beheersing.

    Deze activiteiten maken geen onderdeel uit van de PDCA-cyclus zelf. Wanneer zij wel als zodanig worden gepositioneerd, ontstaat het risico dat verantwoordelijkheden verschuiven en dat de eerste lijn haar eigen leer- en controlefunctie verliest.

    Monitoring, assurance en de lijnen

    Bij de analyse en beheersing van risico’s wordt vaak onderscheid gemaakt tussen verschillende organisatielijnen. Dit onderscheid is bedoeld om verantwoordelijkheden te verduidelijken, maar leidt in de praktijk regelmatig tot verwarring, met name waar het gaat om monitoring en assurance.

    Monitoring

    Monitoring betreft het volgen, analyseren en signaleren van ontwikkelingen in processen, risico’s en beheersmaatregelen. Monitoring wordt uitgevoerd vanuit een andere positie dan de uitvoerende lijn en heeft tot doel inzicht te geven in de mate waarin beheersing functioneert.

    Monitoring maakt geen onderdeel uit van de PDCA-cyclus zelf. Waar PDCA is gericht op leren en bijsturen binnen de eerste lijn, is monitoring gericht op het verkrijgen van overzicht en het signaleren van patronen en afwijkingen vanuit een meer afstandelijke positie. Monitoring ondersteunt daarmee het bestuur en management bij hun verantwoordelijkheid voor risicobeheersing, maar vervangt deze niet.

    Assurance

    Assurance ziet op het onafhankelijk geven van zekerheid over de opzet, het bestaan en de werking van beheersmaatregelen. Dit vereist een positie die losstaat van zowel uitvoering als monitoring. Assurance veronderstelt daarmee het bestaan van een derde lijn.

    Binnen veel professionele dienstverleners, en in het bijzonder binnen accountantskantoren, is een dergelijke derde lijn in de praktijk beperkt aanwezig of geheel afwezig. Desondanks wordt in rapportages en governance-structuren regelmatig impliciet uitgegaan van een mate van assurance die feitelijk niet wordt geleverd.

    De feitelijke rolverdeling in de praktijk

    In de praktijk vervult de compliancefunctie vaak een hybride rol. In plaats van zich primair te richten op monitoring vanuit de tweede lijn, verschuift de compliancefunctie regelmatig naar activiteiten die behoren tot de Check-fase van de PDCA-cyclus binnen de eerste lijn. Daarmee wordt compliance feitelijk onderdeel van de uitvoering, terwijl de formele verantwoordelijkheid bij de eerste lijn blijft liggen.

    Deze verschuiving leidt tot een diffuus verantwoordelijkheidsbeeld. De eerste lijn verliest een deel van haar eigen leer- en controlefunctie, terwijl monitoring en assurance onvoldoende tot ontwikkeling komen. Het gevolg is dat risico’s wel worden besproken en gedocumenteerd, maar dat het zicht op de daadwerkelijke effectiviteit van beheersing beperkt blijft.

    Gevolgen voor risicobeheersing

    Wanneer monitoring en assurance niet helder zijn gepositioneerd, ontstaat het risico dat een organisatie zichzelf een mate van zekerheid toedicht die niet wordt waargemaakt. Het onderscheid tussen uitvoeren, volgen en beoordelen vervaagt, waardoor tekortkomingen in beheersing pas laat of niet worden onderkend.

    Een zorgvuldige risicoanalyse en -beheersing vereist daarom niet alleen aandacht voor maatregelen en processen, maar ook voor de positie van degene die deze observeert en beoordeelt.

    Audit, onderzoek en RCA

    Binnen het kader van risicobeheersing worden verschillende vormen van toetsing en analyse gebruikt. Audit, onderzoek en Root Cause Analysis (RCA) worden in de praktijk regelmatig door elkaar gehaald, terwijl zij een wezenlijk verschillende functie hebben. Een scherp onderscheid is nodig om deze instrumenten effectief en proportioneel in te zetten.

    Audit

    Een audit is gericht op het toetsen van de opzet, het bestaan en de werking van processen en beheersmaatregelen aan vooraf vastgestelde normen of criteria. De kern van een audit is normgerichtheid: het oordeel ontstaat door vergelijking met een referentiekader.

    Audits zijn bij uitstek geschikt om vast te stellen of beheersing aanwezig is en functioneert, maar minder geschikt om te verklaren waarom afwijkingen optreden. In het kader van risicobeheersing levert een audit daarmee inzicht in de mate van beheersing, niet in de achterliggende oorzaken van tekortkomingen.

    Onderzoek

    Onderzoek richt zich op het vaststellen van feiten en omstandigheden rondom een concrete gebeurtenis, melding of incident. Het doel is reconstructie: wat is er gebeurd, wanneer, door wie en onder welke omstandigheden.

    In tegenstelling tot audit is onderzoek niet primair normatief, maar descriptief. Het resultaat van een onderzoek is een feitelijk beeld, dat als basis kan dienen voor verdere beoordeling of besluitvorming. Onderzoek kan zowel binnen als buiten een formele auditcontext plaatsvinden.

    Root Cause Analysis

    Root Cause Analysis is gericht op het begrijpen van de onderliggende oorzaken van een probleem of incident. Waar audit en onderzoek zich richten op wat er is gebeurd of of beheersing aanwezig is, richt RCA zich op de vraag waarom een afwijking heeft kunnen ontstaan.

    RCA is geen schuld- of sanctiemechanisme, maar een leerinstrument. Het doel is niet het aanwijzen van individuen, maar het identificeren van structurele oorzaken, zoals gebrekkige processen, onduidelijke verantwoordelijkheden, culturele factoren of onjuiste aannames. In die zin sluit RCA direct aan bij het leerkarakter van de PDCA-cyclus.

    Samenhang en toepassing

    Audit, onderzoek en RCA vervullen elk een eigen rol binnen risicobeheersing. Zij zijn complementair, maar niet uitwisselbaar. Het toepassen van het verkeerde instrument op een probleem leidt tot beperkte of misleidende inzichten. Een audit zonder RCA laat oorzaken onverklaard; een RCA zonder feitelijke basis mist richting; onderzoek zonder normatief kader leidt niet tot beheersing.

    Effectieve risicobeheersing vraagt daarom om een bewuste keuze van het juiste instrument, passend bij het doel en de context.

    Terug naar de inhoudsopgave

    Klik hier voor de inhoudsopgave.

  • Compliance in Accountancy


    Introduction

    The role of the Compliance Officer (CO) within accounting firms is relatively young in the Netherlands. It gained prominence with the introduction of the Wta (the Dutch Audit Firms Supervision Act) and continues to evolve. While the Three Lines of Defence model is widely accepted in the financial sector, its application within accountancy remains at an early stage. The compliance function typically fulfills a dual role: on the one hand, supporting the practice and operating close to the first line; on the other, monitoring and controlling, with an orientation toward the third line. In my observation, a genuine third line is largely absent in practice.

    (Note: I do not address Public Interest Entities (PIEs). Everything I write pertains to non-PIE accounting firms, including firms without a Wta license.)

    In this series of articles, I describe what compliance means in accounting practice, the role risk management plays in this context, and how both functions can be effectively integrated within a governance and risk management framework. Central to my view is that the Compliance Officer should report and advise broadly — both upon request and proactively — based on the organization’s objectives, the risks that threaten those objectives, and insights derived from audits, investigations, assessments, and, in practice, anything that comes to the CO’s attention. The interaction between compliance and risk management is a key theme throughout this series, as is the question of the appropriate degree of functional separation between the two.

    Contents

    (Please note: the table of contents below will consist of links to individual chapters once they have been written. Until then, some links will not yet be clickable.)

    1. Compliance: Judo with Risks
    2. Compliance in Accountancy
    3. Accounting Firms and RV-Regulated Practices
    4. The Regulatory Jungle
    5. Roles and Responsibilities
    6. Culture and Governance: The Playing Field of Compliance
    7. Risk Analysis and Risk Control
    8. Accountability and Oversight
    9. Quality and the Public Interest
    10. Practice Areas: Compilation, Tax, and Payroll
    11. Practice Areas: Advisory and Valuation
    12. Specific Duties and Special Obligations
    13. Internal Reporting and Integrity Systems

  • 6. Cultuur en governance: het speelveld van compliance

    Begrippen en uitgangspunten

    Wie over cultuur en governance spreekt, begeeft zich snel op glad ijs. Begrippen worden vaag gebruikt, normatief ingevuld of gereduceerd tot slogans. Voor compliance is dat riskant. Juist omdat compliance geen abstracte rol vervult, maar opereert binnen organisaties, met reële machtsverhoudingen en belangen, is begripsdiscipline hier geen academische luxe maar een praktische noodzaak.

    In dit hoofdstuk worden daarom drie begrippen functioneel afgebakend: cultuur, governance en compliance. Niet om een theoretisch kader te bouwen, maar om scherp te krijgen waar compliance zich feitelijk bevindt en waarom zij daar soms effectief is en soms niet.

    Cultuur wordt hier niet opgevat als een set waarden of ambities, maar als het geheel van impliciete normen, routines en verwachtingen dat feitelijk gedrag stuurt. Cultuur blijkt niet uit wat organisaties opschrijven, maar uit wat zij belonen, tolereren of negeren. Wie carrière maakt, wie wordt beschermd bij fouten, wie mag afwijken en wie wordt aangesproken: daarin manifesteert zich de werkelijke cultuur van een organisatie. Voor compliance is cultuur geen instrument en geen project, maar een gegeven realiteit waarbinnen zij haar rol moet vervullen.

    Governance wordt in dit hoofdstuk niet benaderd als een organogram of een verzameling reglementen. Governance gaat over de wijze waarop macht, verantwoordelijkheid en tegenmacht zijn georganiseerd en uitgeoefend, waarbij tegenmacht niet primair oppositioneel is, maar corrigerend en begrenzend. Het betreft de verdeling van beslissingsbevoegdheden, toezicht, verantwoording en correctiemechanismen binnen een organisatie. Governance is daarmee niet statisch: zij functioneert in de dagelijkse praktijk, in besluitvorming, escalatie en het al dan niet serieus nemen van signalen.

    Compliance tenslotte wordt hier nadrukkelijk niet gedefinieerd als een normstellende of moraliserende functie. De kern van compliance ligt in een onderzoekende, toetsende en informerende rol. Compliance verzamelt, weegt en duidt relevante normen, feiten en risico’s, en stelt die informatie beschikbaar aan de partijen die binnen de governance verantwoordelijk zijn voor besluitvorming. Compliance neemt daarbij geen eigen bestuurlijk standpunt in. Dat betekent overigens niet dat compliance geen oordeel geeft, maar dat dit oordeel altijd gebaseerd is op normen die van buiten de compliancefunctie komen. Tegenspraak is geen uitgangspunt, maar kan het gevolg zijn van zorgvuldig onderzoek en heldere duiding. Conflict is dus nooit het doel, maar moet ook niet al te nadrukkelijk worden vermeden.

    Deze positionering is essentieel. Wanneer compliance wordt opgevat als interne tegenmacht of als moreel kompas, raakt zij al snel verstrikt in rolverwarring en weerstand. Wanneer compliance daarentegen wordt begrepen als een functie die transparantie creëert over normen, risico’s en consequenties, ontstaat ruimte voor volwassen besluitvorming. Dat maakt compliance minder spectaculair, maar structureel relevanter.

    Vanuit deze begripsafbakening wordt in de volgende paragrafen verkend hoe cultuur en governance het speelveld bepalen waarbinnen compliance opereert. Niet als vrij zwevende functie, maar als onderdeel van een organisatie waarin macht, belangen en verantwoordelijkheid onvermijdelijk samenkomen.

    Governance als verdeling van macht, verantwoordelijkheid en tegenmacht

    Governance bepaalt niet alleen wie formeel beslist, maar vooral hoe besluiten tot stand komen, worden getoetst en zo nodig worden gecorrigeerd. In dat opzicht is governance minder een stelsel van regels dan een ordening van macht, verantwoordelijkheid en tegenmacht. Juist dat kader vormt het speelveld waarbinnen compliance functioneert.

    In veel organisaties wordt governance nog primair begrepen als structuur: bestuur, toezicht, commissies, reglementen. Die structuur is noodzakelijk, maar zegt weinig over de feitelijke werking. Governance manifesteert zich pas in de praktijk, in wie gehoord wordt, welke signalen serieus worden genomen, hoe afwijkingen worden besproken en waar besluitvorming daadwerkelijk stopt. Daarin worden machtsverhoudingen zichtbaar die niet altijd samenvallen met formele posities.

    Voor compliance is dit onderscheid cruciaal. Compliance opereert nooit in een machtsvacuüm. Zij is afhankelijk van de ruimte die governance laat voor onderzoek, toetsing en duiding, én van de bereidheid van bestuur en toezicht om met die informatie iets te doen. Governance kan compliance ondersteunen door transparantie en aanspreekbaarheid te organiseren, maar kan haar ook neutraliseren door signalen te parkeren, te heretiketteren of te verdunnen in besluitvorming.

    Een belangrijk spanningsveld daarbij is dat tussen autonomie en onafhankelijkheid. Autonomie ziet op de handelingsruimte van de compliancefunctie: de mogelijkheid om eigen onderzoeken te doen, prioriteiten te stellen en onderwerpen te agenderen. Onafhankelijkheid ziet op de oordeelsvorming: de mate waarin conclusies kunnen worden getrokken en gedeeld zonder oneigenlijke beïnvloeding of repercussies. In de praktijk zijn deze begrippen niet identiek en zeker niet altijd verenigd.

    Volledige autonomie is voor compliance noch haalbaar, noch wenselijk. Compliance maakt onderdeel uit van de organisatie en functioneert binnen de kaders die bestuur en governance stellen. Functionele onafhankelijkheid daarentegen is essentieel. Zonder die onafhankelijkheid verwordt compliance tot uitvoerder van bestuurlijke voorkeuren of tot verlengstuk van andere functies. Governance moet die onafhankelijkheid expliciet borgen, juist omdat compliance zelf geen beslissingsmacht heeft.

    In organisaties met een Raad van Commissarissen of vergelijkbaar toezichthoudend orgaan krijgt dit spanningsveld een extra dimensie. De aanwezigheid van toezicht creëert een aanvullend referentiepunt voor compliance, los van de dagelijkse bestuurlijke lijn. Daarmee ontstaat overigens niet automatisch betere compliance, maar wel een bredere institutionele context waarin signalen kunnen worden gewogen en waarin betere compliance mogelijk wordt. De precieze invulling daarvan verschilt per organisatie en wordt in de volgende paragraaf nader uitgewerkt.

    Wat hier van belang is, is dat governance geen oplossing is voor compliancevraagstukken, maar een randvoorwaarde. Governance bepaalt of compliance informatie kan verzamelen, delen en laten landen. Waar governance vooral gericht is op snelheid, consensus of het vermijden van ongemak, zal compliance structureel moeite hebben haar rol te vervullen. Waar governance ruimte laat voor reflectie en begrenzing, kan compliance functioneren zonder zichzelf te hoeven overschreeuwen.

    Daarmee is governance geen neutrale achtergrond, maar een actieve factor in de effectiviteit van compliance. Niet door wat zij voorschrijft, maar door wat zij mogelijk maakt – of juist onmogelijk maakt.

    De positie van de compliance officer in de governance-structuur

    De positie van de compliance officer wordt in hoge mate bepaald door de governance-structuur waarbinnen zij opereert. Niet alleen door formele rapportagelijnen, maar door de samenhang tussen gezag, mandaat, toegang en bescherming. Juist omdat compliance geen beslissingsbevoegdheid heeft, is haar effectiviteit afhankelijk van de wijze waarop deze elementen institutioneel zijn geborgd.

    In de praktijk rapporteert de compliance officer doorgaans aan de Raad van Bestuur. Van het bestuur ontvangt zij haar opdracht, haar budget en het gezag om haar rol te vervullen binnen de organisatie. Die bestuurlijke inbedding is noodzakelijk: zonder toegang tot besluitvorming en zonder formele positionering kan compliance haar onderzoekende en toetsende rol niet effectief uitoefenen.

    Tegelijkertijd vraagt de aard van de compliancefunctie om een aanvullende borging. In goed ingerichte governance-structuren wordt de compliance officer daarom vaak benoemd en ontslagen door de Raad van Commissarissen of een daarmee vergelijkbaar toezichthoudend orgaan als dat tenminste bestaat. Bij kleine organisaties zie je vaak een externe compliance officer. Deze is dan weliswaar niet goed beschermd, maar evenmin van het bestuur afhankelijk voor diens carrière. Daarmee wordt onderstreept dat compliance geen verlengstuk is van het dagelijks bestuur, maar een functie met een zelfstandige verantwoordelijkheid binnen het bredere governance-kader.

    Deze constructie creëert een spanning die niet moet worden opgelost, maar beheerst. Enerzijds is compliance afhankelijk van het bestuur voor haar dagelijkse functioneren. Anderzijds biedt de toezichthoudende verankering bescherming tegen situaties waarin signalen structureel worden genegeerd of geneutraliseerd. De mogelijkheid tot escalatie richting toezicht is geen alternatief voor bestuurlijke besluitvorming, maar een noodmechanisme voor uitzonderlijke omstandigheden.

    Van belang is daarbij dat het bestaan van deze escalatieroute vaak belangrijker is dan het feitelijke gebruik ervan. Governance werkt hier preventief, de wetenschap dat signalen niet uitsluitend binnen de bestuurlijke lijn hoeven te blijven, beïnvloedt het gesprek nog vóórdat escalatie aan de orde is. Daarmee draagt governance bij aan de onafhankelijkheid van compliance zonder haar los te maken van de organisatie.

    De positie van de compliance officer wordt daarmee niet gekenmerkt door formele macht, maar door functionele legitimiteit. Die legitimiteit ontstaat uit een combinatie van duidelijke mandatering, bestuurlijke steun en toezichthoudende borging. Waar één van deze elementen ontbreekt, verschuift compliance mogelijk richting symboliek of formaliteit.

    In de volgende paragraaf wordt verkend hoe deze positionering in de praktijk samenkomt met cultuurconflicten die juist in groeiende organisaties zichtbaar worden, en welke spanning dat oplevert voor de dagelijkse invulling van de compliancefunctie.

    Cultuurconflicten in groeiende organisaties

    Cultuurconflicten worden vaak pas zichtbaar wanneer organisaties groeien. Niet omdat cultuur daarvoor afwezig is, maar omdat impliciete normen en informele werkwijzen onder druk komen te staan zodra schaal, complexiteit en externe verwachtingen toenemen. Wat lange tijd werkte op basis van nabijheid en vakmanschap, wordt dan geconfronteerd met de noodzaak tot explicitering, standaardisering en verantwoording.

    In groeiende organisaties bestaat cultuur vaak bij de gratie van persoonlijke relaties, professionele reputatie en wederzijds vertrouwen. Besluiten worden genomen op basis van gedeeld begrip, afwijkingen worden informeel besproken en fouten worden hersteld zonder formele escalatie. Die nabijheid kan krachtig zijn, maar is kwetsbaar. Naarmate de organisatie groeit, nemen afstand en differentiatie toe. Niet iedereen kent elkaar nog, belangen lopen uiteen en impliciete aannames worden minder vanzelfsprekend gedeeld.

    Juist op dat punt ontstaan cultuurconflicten die compliance direct raken. Wat door de één wordt ervaren als gezond professioneel oordeel, wordt door een ander gezien als onduidelijkheid of willekeur. Wat eerder gold als pragmatisme, kan onder externe druk worden herijkt als risico. Compliance bevindt zich in die situaties vaak op het snijvlak: niet als veroorzaker van de spanning, maar als degene die haar zichtbaar maakt.

    Een terugkerend spanningsveld is dat tussen vakmanschap en optimalisatie. Vakmanschap veronderstelt tijd, reflectie en professionele autonomie. Optimalisatie stuurt op snelheid, uniformiteit en schaalvoordelen. Beide zijn legitiem, maar zij verdragen elkaar niet altijd vanzelf. Waar groei leidt tot nadruk op efficiëntie en beheersing, kan dat botsen met bestaande professionele normen. Compliance krijgt dan al snel het verwijt formalistisch of vertragend te zijn, terwijl zij feitelijk wijst op grenzen die eerder impliciet werden gerespecteerd.

    In organisaties van beperkte schaal blijft cultuur vaak sterker bepalend dan formeel beleid. Zelfs bij organisaties die in absolute zin omvangrijk zijn maar met relatief korte lijnen en zichtbare personen wegen informele signalen zwaarder dan procedures. Voor compliance betekent dit dat formele instrumenten alleen effectief zijn wanneer zij aansluiten bij de bestaande cultuur, of wanneer governance expliciet ruimte creëert om die cultuur ter discussie te stellen.

    Deze spanning wordt versterkt wanneer groei gepaard gaat met externe invloeden: nieuwe toezichthouders, aangescherpte regelgeving, investeerders of maatschappelijke verwachtingen. Wat intern logisch en werkbaar was, wordt extern anders gewaardeerd. Compliance fungeert dan vaak als vertaler tussen werelden, maar ontmoet tegelijk weerstand van binnenuit. Niet omdat de boodschap onjuist is, maar omdat zij raakt aan diepgewortelde aannames over hoe het “altijd ging”.

    Het is van belang te onderkennen dat deze cultuurconflicten geen falen van compliance zijn. Zij zijn het gevolg van veranderende omstandigheden waarin bestaande normen niet langer vanzelfsprekend functioneren. Compliance kan deze spanning niet oplossen, maar wel expliciteren. Dat vraagt om bestuurlijke bereidheid om ongemak te verdragen en om governance die ruimte laat voor reflectie, juist wanneer de druk toeneemt.

    In die zin vormt cultuur geen achtergronddecor, maar een dynamisch krachtenveld. Naarmate organisaties groeien, verschuift dat veld. Compliance opereert daarin niet als scheidsrechter, maar als signaalfunctie. Of die signalen vervolgens leiden tot aanpassing, begrenzing of bevestiging van bestaand gedrag, is uiteindelijk een governancevraagstuk.

    Governance als randvoorwaarde voor effectieve compliance

    Governance is geen oplossing voor compliancevraagstukken, maar een noodzakelijke randvoorwaarde voor het functioneren van de compliancefunctie. Zij bepaalt of compliance kan waarnemen, onderzoeken en informeren, en of die informatie vervolgens betekenis krijgt in besluitvorming. Zonder passende governance kan compliance formeel aanwezig zijn, maar materieel tandeloos blijven.

    Binnen organisaties is governance verdeeld over verschillende organen, ieder met een eigen rol en verantwoordelijkheid. Aan de basis staat de aandeelhoudersvergadering of, in partnerschapsstructuren, de partnervergadering. Hier liggen de uiteindelijke zeggenschap en de economische belangen. In sommige organisaties wordt deze laag beïnvloed door externe partijen, zoals private equity, die aanvullende prikkels introduceren gericht op groei, rendement en tijdshorizon. Waar zeggenschap en economisch belang zijn gescheiden, bijvoorbeeld via een STAK, ontstaat een extra governance-laag die zowel stabiliserend als vertragend kan werken.

    Het bestuur draagt de verantwoordelijkheid voor de dagelijkse leiding en is de primaire gesprekspartner van compliance. Hier worden keuzes gemaakt, prioriteiten gesteld en risico’s geaccepteerd of gemitigeerd. De Raad van Commissarissen of een vergelijkbaar toezichthoudend orgaan houdt toezicht op het bestuur en vormt de institutionele tegenmacht. Niet door zelf te besturen, maar door te toetsen, te bevragen en zo nodig te begrenzen. In die gelaagde structuur krijgt compliance haar betekenis, niet als besluitvormer, maar als bron van informatie en duiding voor zowel bestuur als toezicht.

    In sommige organisaties speelt ook de ondernemingsraad een rol in het governance-landschap. Hoewel de OR geen formele rol heeft in compliancebesluitvorming, kan zij signalen afgeven over cultuur, werkdruk en sociale veiligheid die relevant zijn voor het functioneren van compliance. Ook hier geldt dat effectiviteit niet zit in formele bevoegdheden, maar in de bereidheid van andere governance-organen om signalen serieus te nemen.

    De plaats van compliance binnen dit geheel is daarmee niet los te zien van schaal en complexiteit. In grotere organisaties is functiescheiding vaak mogelijk en wenselijk. In kleinere en middelgrote organisaties ligt dat anders. Daar is het gebruikelijk dat compliance wordt gecombineerd met risicomanagement en soms ook met specialistische rollen zoals die van functionaris gegevensbescherming of CISO. Dat is geen tekortkoming, maar een realiteit. Functiescheiding is in zulke contexten een luxe; rolzuiverheid is een vereiste.

    Dat betekent dat helder moet zijn vanuit welke rol wordt gehandeld, welke belangen worden gediend en welke waarborgen zijn getroffen om belangenverstrengeling te voorkomen. Juist in gecombineerde functies is governance bepalend. Duidelijke mandaten, transparante rapportagelijnen en toegang tot bestuur en toezicht zijn belangrijker dan formele organisatorische scheiding.

    Effectieve compliance ontstaat daarmee niet door het optuigen van structuren, maar door samenhang. Samenhang tussen organen, tussen rollen en tussen formele bevoegdheden en informele praktijk. Governance creëert die samenhang niet automatisch, maar kan haar wel mogelijk maken. Waar governance fragmentarisch is of primair gericht op beheersing en snelheid, zal compliance moeite hebben haar rol te vervullen. Waar governance ruimte laat voor reflectie, begrenzing en aanspreekbaarheid, kan compliance functioneren zonder zichzelf te hoeven overschreeuwen.

    In die zin is governance geen decor en geen sluitstuk, maar een voorwaarde. Niet voor perfecte compliance, maar voor betekenisvolle compliance: een functie die bijdraagt aan geïnformeerde besluitvorming binnen een organisatie die bereid is haar eigen spanningen onder ogen te zien.

  • Innoveren we nog een beetje?

    Ik lees met enige regelmaat van binnen en buiten de sector commentaren als zou de accountancy niet innovatief zijn. Zit daar iets in?

    Ik denk dat dat vooral een kwestie van perspectief is. Komt het commentaar van mensen die dag in, dag uit in de sector werkzaam zijn of van omstanders en mensen die vanaf de kant hun commentaar geven? Niet dat de een meer gelijk heeft dan de ander, maar het perspectief van waaruit men spreekt is wel een indicatie voor hoe dit soort uitspraken te verstaan.

    Een ander punt dat naar mijn gevoel mee speelt is de leeftijd van de spreker. Als je, zoals ik, een vijftiger bent dan is er een redelijke kans dat je enerzijds ongeduldig bent en anderzijds denkt dat je alles al een keer gezien hebt. De verwondering van de jeugd maakt op enig moment plaats voor berusting of cynisme. Het kan er toe leiden dat je niets meer goed genoeg vindt, maar ook dat je haast begint te krijgen.

    Laat ik wat perspectieven benoemen, zonder daarmee een uitspraak te willen doen over of de sector innoveert, of dat genoeg is, of dat allemaal maar hijgerig gehype is. Gewoon, wat context en perspectief.

    Om met iets te beginnen dat in deze maand relevant is. Als ik terug denk aan de kerstboom die ik me als kleuter herinner, dan was dat een echte spar, met zilveren slingers, zilveren en rode ballen en een zilveren piek. En één “bijzondere” bal, een witte met zilveren en blauwe versierselen. Alle ballen van glas overigens. En verder waren er kaarsjes op kandelaartjes die je aan een tak kon klemmen. Levensgevaarlijk, maar wel mooi. De boom was zonder kluit en stond op een kruis van houten plankjes die op de onderkant van de boom waren gespijkerd.

    De kerstboom die we vandaag in huis hebben is nog steeds een echte spar, met slingers, ballen en een piek.

    Kerstboom

    Niet erg innovatief, zo beschouwd, in 50 jaar tijd gewoon nog hetzelfde concept. Maar, nu met bijzondere kerstballen, herinneringsballen noemen wij ze, die we hebben uitgezocht om bijzondere momenten te markeren. Vorig jaar bijvoorbeeld een kerstbal in de vorm van een tractor om te herinneren dat ik bij aaff ging werken

    aaff

    en dit jaar een kerstbal in de vorm van een rolkoffer ter herinnering aan onze vakantie in Canada en een in de vorm van een verlovingsring om de verloving van mijn oudste zoon en zijn vriendin te memoreren.

    De boom is verder versierd met lichtjes, elektrisch, met instelbare felheid. De kluitloze boom staat in een vernuftige voet die met een soort pedaal om de stam wordt geklemd en die gevuld wordt met water om stevigheid te geven en om de boom te voeden. Wie het wil zien, ziet innovaties genoeg. Wie het niet wil zien, ziet vooral een behoudende traditie.

    Een ander perspectief, om iets aan te geven over specifiek mijn generatie. Toen ik geboren werd was Soyuz 8 net terug uit de ruimte en stond Apollo 12 op het punt naar de maan te vertrekken. De IBM S/360 domineerde het computerlandschap, de S/370 moest nog komen. Het idee van thuiscomputers of computers voor normale kantoormensen was zacht gezegd nog hooguit een absurde gedachte bij een enkeling. 2001: A space odyssey was het toppunt van science fiction met voor de tijd grandioze special effects en een verteltempo waar iedereen nu bij in slaap valt.

    In de afgelopen 56 heb ik een paar dingen meegemaakt. De komst van de thuiscomputer en de PC in kantooromgevingen, de komst van internet, het fenomeen dat iedereen altijd en overal een smartphone (draadloos!!!!) bij zich heeft met internettoegang, ondenkbaar grote opslagcapaciteit, toegang tot media. De evolutie van Yahoo en AltaVista via Google naar ChatGPT. Ik heb het linkse terrorisme en de afscheidingsbewegingen in Europa meegemaakt, van RAF, IRA, ETA, PKK, CCC, Rode Brigades, en wat niet al tot aan de PLO en dergelijke, met bomaanslagen, vliegtuigkapingen en ontvoeringen, de val van de muur in Berlijn en de ondergang van Sovjet Unie en Warschau Pact. Vervolgens de opkomst van, en vooral angst voor, moslim-terrorisme, de hernieuwde agressie van Rusland en het einde van het vertrouwen in de VS binnen NATO-verband. In diezelfde periode ging Nederland van een stevige protestantse en iets lossere katholieke poot met ook nog liberalen en socialisten naar een seculiere samenleving die ineens moest wennen aan moslims, de verzuiling hield op, en na een periode van libertaire vrijheid zagen we de maatschappij weer behoorlijk preuts en conservatief worden. Ik herinner me de zwart/wit tv met daarop Nederland 1, Nederland 2, BRT 1, BRT 2, Duitsland 1, 2 en 3. En nu is TV kijken via kleur en oneindig veel netten alweer op zijn retour ten gunste van online entertainment, streamers en YouTube.

    Als je dat een beetje op je laat inwerken, en je kan dat nog met duizend andere onderwerpen aanvullen, dan valt moeilijk te ontkennen dat er best wat dingen veranderd zijn in de afgelopen decennia. Binnen dat perspectief kan je over alles verwonderd zijn, maar je kan ook alles afdoen als onbelangrijk, en niet groots en meeslepend genoeg om onder de indruk te zijn. Beide visies zijn legitiem, want beide visies zijn geen feitelijke constatering, maar een persoonlijke waardering afhankelijk van je perspectief.

    Zijn er feiten uit onze sector te benoemen? jazeker wel. Ik noem er een paar, en iedereen maakt zelf maar uit of ze innovatief genoeg zijn om verwonderd over te zijn. Ik beperk me tot de ontwikkelingen die ik in mijn professionele leven heb meegemaakt, dus een periode aanzienlijk korter dan mijn totale leven:

    • Definitieve vestiging van het risico-analyse-model en het einde van de synthetische controle-aanpak
    • Opkomst van de computer in de controle
    • Introductie van het elektronische dossier en het einde van het papieren dossier
    • E-mail
    • Electronische agenda’s en PDA’s
    • Mobiele telefoons
    • IFRS
    • Sarbanes-Oxley
    • De Wet computercriminaliteit
    • De Wet ter voorkoming van Witwassen en Financiering van Terrorisme
    • AVG
    • De Wet Toezicht Accountantsorganisaties
    • Afschaffing van de fraudemelding en het loket buiten de wettelijke controle
    • Invoering van de VGC en de VGBA
    • ISQC, ISQM, NVKS, NVKM, SKM
    • IDEA, ACL, Proces Mining, data-analyse
    • Verschuiving van systeemgerichte controle naar gegevensgerichte controle
    • Afbrokkelen natuurlijke adviesfunctie
    • Groei van ERP-systemen
    • Introductie van private equity in de sector
    • Big 8 worden big 5. Ondergang van Arthur Anderson
    • Consolidatie in de nationale kantoren, begin Europese consolidatie
    • CSRD en algeheel bewustzijn van bredere functie dan alleen de financiële functie voor sector en klanten
    • Werken op kantoor, bij de klant, thuis, toch weer op kantoor
    • Zoom. Teams.
    • De bastions van blanke mannen worden bestormd door vrouwen en iets minder blanke mannen
    • TUACC. BST.
    • Samengaan NOVAA en NIVRA tot NBA, ontstaan (nieuwe) NOVAA.

    En ja, ook deze lijst kan tot in het ondenkbare worden aangevuld, het is wat me zo snel te binnen schiet.

    Mijn punt? Innovatie genoeg, als je dat zo wil zien. Alles blijft bij het oude, voor wie dat zo wil zien.

  • Begripsverwarring in compliance

    Recent publiceerde Marcel Pheijffer een opinie over het mede tekenen van de accountantsverklaring door de OKB-er. Ik laat me hier niet uit over dat idee zelf, maar in de discussie die ontstond bleek begripsverwarring over enkele zaken. In een andere context liep ik ook al tegen wat begripsverwarring aan, daarom hier een korte uitleg bij enkele in de wereld van (accountants) compliance relevante begrippen.

    OKB, IKO, Review

    Een OKB is een opdrachtgerichte kwaliteitsbeoordeling. Het is een instrument dat is geïntroduceerd via de Wet toezicht accountantsorganisaties, en later ook een plaats heeft gekregen in de Nadere Voorschriften Kwaliteitssystemen van de NBA. De Wta en Bta bepaalden dat voorafgaand aan het afgeven van iedere verklaring voor een OOB, en voor een aantal op basis van kantoorbeleid te bepalen verklaringen voor niet-OOB’s, een OKB uitgevoerd diende te worden.

    Doel van de OKB is dus preventief vast te stellen dat de externe accountant redelijkerwijs tot diens beoogde verklaring kon komen. Wie exact de opdrachtgever van de OKB is staat niet vast. Anders dan vaker gedacht is het niet vanzelfsprekend de compliance officer. Dat kan ook niet, aangezien bij Reguliere Vergunninghouders een compliance officer niet door de wet wordt voorgeschreven, maar OKB’s wel.

    De OKB is gericht op het bevorderen van de kwaliteit van de accountantsverklaring en is daarmee dus onderdeel van het kwaliteitsstelsel. Daar is de accountantsorganisatie, de vergunninghouder, verantwoordelijk voor. Het lijkt redelijk voor de hand te liggen dat de functionaris die onder NVKS wordt aangeduid als kwaliteitsbepaler dus eindverantwoordelijk is voor de OKB. Dat neemt niet weg dat een compliance officer graag kennis zal nemen van het OKB-verslag en vooral van de verantwoording die de OKB-er aflegt aan de kwaliteitsbepaler.

    Een IKO is een Intern Kwaliteitsonderzoek, ook wel aangeduid als review. Het is in de praktijk een onderzoek met een dubbele functie. Het stelt achteraf vast of de kwaliteit van uitgevoerde controles afdoende was, en waar mogelijkheden zijn tot verbetering. In die zin is het onderdeel van het kwaliteitsstelsel en hoort dus net als de OKB bij de kwaliteitsbepaler. Maar de IKO heeft ook een formele insteek, de toetsing of bij de uitvoering van de controle aan de eisen van het kwaliteitsstelsel is voldaan. Vanuit dat perspectief is de IKO dus eerder een hulpmiddel voor compliance. In de praktijk zal je vaak zien dat beide doelen in één onderzoek worden gecombineerd, en zowel aansturing door de kwaliteitsbepaler, als door de compliance officer komt voor.

    Review is een wat onhandig begrip, omdat het in de accountantspraktijk een aantal betekenissen heeft:

    • De hiervoor genoemde IKO;
    • De beoordeling van het dossier door de tekenend accountant;
    • De beoordeling van secties, working papers, werkzaamheden van assistenten door de opdrachtleider;
    • De beoordeling van delen van de jaarrekening of andere door de klant aangeleverde informatie.

    Audit en onderzoek

    Een ander begrippenpaar dat nog wel eens tot verwarring kan leiden is onderzoek versus audit. Het zijn geen al te strak gedefinieerde begrippen, maar enige consensus kan wel gevonden worden in de volgende omschrijvingen, toegespitst op de rol van de compliance officer:

    Onderzoek betreft activiteiten door of namens de compliance officer waarbij inzicht wordt verkregen over een proces, organisatieonderdeel, informatie, etcetera, zonder dat getoetst wordt aan een norm. Populair is de term “verkennend onderzoek”, maar je mag je afvragen of dat niet vooral een soort verzachtende term is om duidelijk te maken dat het echt niet eng is om onderzocht te worden. Hoe dan ook, een onderzoek kan tot waarnemingen, inzichten, adviezen en allerhande andere rapportages leiden, maar zal in de regel niet tot een betrekkelijk scherp oordeel leiden. Daar is het andere instrument, de audit. Een audit is een gestructureerd onderzoek naar een feitelijkheid ten opzichte van een norm. Het heeft niet noodzakelijk de strikte structuur van assurance in de accountantspraktijk, maar het is wel vergelijkbaar, ook in de uitkomst. Een audit mondt uit in een oordeel door de compliance officer waarbij deze vaststelt dat de onderzochte feitelijkheid voldoet, niet voldoet, of beperkt voldoet aan de gehanteerde norm. Mocht een oordeel onmogelijk zijn, dan zal dat het resultaat van de audit zijn.

    Waar bij een onderzoek het gehanteerde normenkader vrij zacht en subjectief kan zijn, is dat bij een audit niet mogelijk. Althans, in de praktijk wordt een oordeel van het soort “de werkzaamheden van X in casus Y voldoen niet aan mijn onderbuikgevoel” zelden erg nuttig gevonden. De Autoriteit Financiële Markten vraagt, als toezichthouder, in voorkomende gevallen vrijwel altijd naar het gehanteerde normenkader. Ook bij een onderzoek is het alleen al daarom zinvol te overwegen of, en zo ja welk, een normenkader van toepassing is.

    Risico, Verslaggevingsrisico, Integriteitsrisico, Compliancerisico

    Tenslotte een begrippengroepje dat nog wel eens verwarring geeft. In algemene zin is een risico een begrip dat ziet op “iets” dat een bepaalde of inschatbare kans heeft zich voor te doen met een bepaalde of inschatbare impact. In formule gezegd: risico = kans x impact.

    Een verslaggevingsrisico is “iets” dat kan leiden tot een materiële afwijking in de jaarrekening. Zowel de controlerend accountant als de samenstellend accountant die risico-gericht samenstelt, heeft hier mee te maken. De werkzaamheden richten zich op het onderkennen van deze verslaggevingsrisico’s en op het vaststellen of deze zich daadwerkelijk hebben voorgedaan.

    Een integriteitsrisico zegt iets over de integriteit van een klant, een medewerker, een persoon. De impact kan velerlei zijn. Te denken valt aan de risico’s op witwassen en terrorismefinanciering uit de WWFT, of de risico’s die de beheerste en integere bedrijfsvoering van een accountantsorganisatie kunnen raken. Waar de verwarring kan ontstaan is in de impact die een integriteitsrisico kan hebben op de verslaggeving. Dat valt het eenvoudigst te zien via de route van fraude. Een integriteitsrisico leidt dan tot een frauderisico, dat vervolgens weer leidt tot een verslaggevingsrisico. Geen van deze risico’s zijn hetzelfde, maar ze kunnen dus wel samenhangen.

    Wat een compliancerisico precies is, lijkt vooral afhankelijk van degene aan wie je dat vraagt. Een overlappend begrip dat veel terug komt is dat het compliancerisico, mede, het risico betreft dat de organisatie interne en/of externe regels overtreedt. In de praktijk wordt dit regelmatig eng geïnterpreteerd, waarbij een compliancerisico rechtstreeks wordt gekoppeld aan een wet of een regel. Bijvoorbeeld als een WWFT audit wordt uitgevoerd, is voor vrijwel iedereen wel duidelijk dat dit een audit is gericht op een compliancerisico. Maar het begrip is breder. Ook het niet functioneren van interne systemen die niet direct gericht zijn of schijnen op compliance, kan leiden tot een compliancerisico. Stel bijvoorbeeld dat de cultuur binnen een kantoor erg informeel is, dan kan dat heel prettig zijn, maar het kan ook indirect leiden tot een al te losse omgang met vastleggingen die weer nodig zijn om te voldoen aan bepaalde wetgeving. Dan is “cultuur” dus een bron van een compliancerisico.

    Pietluttigheid is troef?

    Het is in dagelijks gebruik natuurlijk niet zo spannend als begrippen niet helemaal scherp zijn, zolang iedereen maar weet wat je bedoelt. In de discussie waarmee ik begon bleek echter dat de spraakverwarring over OKB en IKO wel degelijk tot inhoudelijk ontsporen van de discussie aanleiding gaf. Voor compliance officers is het de kunst pietluttigheid te vermijden maar wel degelijk nauwkeurig te zijn in formuleren.

  • 5. Rol en verantwoordelijkheden

    De compliancefunctie binnen het mkb-kantoor

    Inbedding in de kantoorstructuur

    In de meest uitgebreide vorm is de compliancefunctie binnen een accountantskantoor ingericht als zelfstandig orgaan, met een onafhankelijk mandaat dat statutair is vastgelegd. De compliance officer wordt in dat geval benoemd en ontslagen door de raad van commissarissen (of een vergelijkbaar intern toezichthoudend orgaan) en rapporteert rechtstreeks aan zowel het bestuur als de raad van commissarissen. De onafhankelijkheid is niet alleen formeel geborgd, maar ook zichtbaar in de manier waarop compliance mag opereren: vrij van commerciële druk, met toegang tot alle relevante informatie en met het recht om op elk niveau van de organisatie signalen af te geven. In de praktijk van het mkb-kantoor is zo’n model eerder uitzondering dan regel en worden dit soort varianten vooral bij de grootste kantoren gevonden. Toch functioneert het als ijkpunt: hoe is de compliancefunctie werkelijk ingebed, en in hoeverre is die in staat om haar taak onafhankelijk, gezaghebbend en effectief uit te voeren?

    Die taak kent meerdere verschijningsvormen. In de smalste interpretatie ziet compliance enkel toe op naleving van regels binnen de wettelijke controlepraktijk. Iets breder is het toezicht op de volledige accountancyfunctie, dus ook overige assurance opdrachten en aan assurance verwante opdrachten. Weer breder is een mandaat dat zich uitstrekt over álle externe dienstverlening, van fiscale advisering tot subsidieaanvragen en salarisverwerking. In de meest ruime vorm omvat compliance de gehele organisatie: niet alleen de dienstverlening aan cliënten, maar ook de interne structuur, bedrijfsvoering, informatiebeveiliging en cultuur. In zulke gevallen is de compliancefunctie nauw verbonden met het bredere risicomanagement, en raakt zij aan alle thema’s van governance en kwaliteitsbeheersing.

    Niet alleen de reikwijdte verschilt, ook de inhoudelijke insteek kan variëren. Sommige kantoren leggen het accent op vaktechniek en objectieve kwaliteitsborging, andere nadrukkelijker op integriteit, gedrag en cultuur. Soms ligt het zwaartepunt op het strikt voldoen aan wet- en regelgeving, soms op de werking van het gehele stelsel van interne beheersing. Ook hier geldt: het een sluit het ander niet uit, maar vraagt om een bewuste en consequente positionering. De praktijk laat zien dat compliance zelden als breed integraal geheel wordt opgezet. Niet zelden is de functie ondergebracht bij één medewerker, die het als neventaak uitvoert, of ligt ze bij de kwaliteitsbepaler. De positionering op het organogram zegt dan weinig. De wezenlijke vraag is of compliance als functie wordt beleefd: of er ruimte is om signalen af te geven, of er gezag wordt erkend, of betrokkenheid wordt gezocht, en of het bestuur niet alleen luistert, maar ook handelt.

    Relatie met het kwaliteitsstelsel en interne beheersing

    Een accountantsorganisatie beschikt over een stelsel van kwaliteitsbeheersing waarin zij zelf, via beleidsmaatregelen, processen en gedragsverwachtingen, borgt dat de dienstverlening voldoet aan professionele standaarden. In de accountantspraktijk is dat stelsel gebaseerd op de NVKM (voorheen NVKS), en op SKM1 (de Nederlandse implementatie van ISQM 1), maar ook in andere onderdelen van het kantoor zijn vergelijkbare beheersmaatregelen aanwezig. Denk aan interne instructies, vaktechnische procedures, integriteitsbeleid of informatiebeveiligingsmaatregelen. Het kwaliteitsstelsel is primair een verantwoordelijkheid van het bestuur en wordt uitgevoerd door de eerste lijn. Compliance maakt daar geen deel van uit, maar ziet toe op de werking ervan. Niet op de inhoud van het beleid zelf, maar op de wijze waarop het wordt nageleefd, onderhouden en toegepast.

    In die toezichthoudende rol heeft compliance raakvlakken met vrijwel alle aspecten van interne beheersing. Van dossierkwaliteit tot opdrachtacceptatie, van privacy tot belangenverstrengeling. Sommige kantoren beperken compliance tot een toets op wettelijke verplichtingen, andere kiezen bewust voor een bredere invalshoek en betrekken ook gedragsaspecten en cultuur. De mate waarin compliance zich mag bewegen op inhoudelijk terrein verschilt per organisatie, maar er moet altijd een duidelijke scheidslijn zijn met vaktechnisch oordeel en kwaliteitsbeoordeling. Wie én beleidsbepaler is, én monitor, én toetser, ondergraaft de functie. Vooral in kleinere organisaties is die rolvermenging een reëel risico. Dat vraagt om heldere afspraken over taken, bevoegdheden en rapportagelijnen.

    Een goed werkende compliancefunctie opereert niet geïsoleerd. Zij is onderdeel van het stelsel van interne beheersing in de zin dat zij zelf ook geborgd, gelegitimeerd en gecontroleerd moet zijn. Dat vergt periodieke evaluatie, een actueel werkprogramma, transparante verslaglegging en aansluiting bij andere interne sleutelfuncties. Alleen dan ontstaat het beeld van een gesloten systeem waarin compliance niet slechts signaleert, maar ook daadwerkelijk bijdraagt aan verbetering en verantwoordelijkheid.

    Praktische invulling in de mkb-praktijk

    De inrichting van de compliancefunctie binnen mkb-kantoren is sterk afhankelijk van schaalgrootte, complexiteit en bestuurlijke visie. In veel kantoren is compliance geen zelfstandige afdeling, maar een taak die wordt vervuld door één persoon of een klein team. Soms is dat een senior medewerker met een combinatie van taken, soms een kwaliteitsbepaler die ook compliance erbij doet, en soms een bestuurslid dat formeel verantwoordelijk is maar feitelijk weinig uitvoert. In deze vormen is compliance zelden institutioneel verankerd, maar ontstaat zij in de praktijk door betrokkenheid, vertrouwen en persoonlijke autoriteit. Dat maakt de functie kwetsbaar. Niet omdat de inhoudelijke kwaliteit per definitie tekortschiet, maar omdat continuïteit, onafhankelijkheid en draagvlak snel onder druk kunnen komen te staan bij personele wisselingen, bestuurlijke keuzes of commerciële belangen.

    Combinatiefuncties zijn eerder regel dan uitzondering. Een compliance officer is vaak ook accountant, vaktechnisch aanspreekpunt, kwaliteitsbepaler of risicomanager. Op zichzelf is dat in kleinere kantoren onvermijdelijk en niet problematisch, mits er voldoende rolbewustzijn, rolvastheid en scheiding in taken en bevoegdheden blijft bestaan. De dagelijkse praktijk laat zien dat het combineren van functies in de eerste en tweede lijn, bijvoorbeeld uitvoering en toezicht, vooral tot problemen leidt als de grenzen onduidelijk zijn of niet worden bewaakt. Wie beleid opstelt, de werking toetst en ook nog rapporteert over tekortkomingen, vervult in feite drie posities tegelijk. Dat maakt toetsing kwetsbaar en roept vragen op over onafhankelijkheid. Tegelijk zou het onzinnig zijn om van ieder kantoor een waterhoofd van functies te verlangen. De kracht van het mkb ligt juist in korte lijnen, overzicht en directe betrokkenheid. De kunst is niet om alles te scheiden, maar om helder te zijn over de momenten waarop functies botsen en daar iets aan te doen.

    De mate van formalisering varieert sterk. Sommige kantoren hebben een compliancebeleid, een takenmatrix en een vast werkprogramma, andere werken vooral ad hoc of reactief. De effectiviteit van compliance blijkt dan minder uit papieren vastleggingen dan uit zichtbare aanwezigheid: de mate waarin de compliance officer betrokken wordt bij besluitvorming, signalen serieus worden genomen en rapportages leiden tot concrete opvolging. Een functionaris die alleen mag schrijven maar niet wordt gehoord, is formeel aanwezig maar praktisch afwezig. In kleine organisaties is het risico van marginalisering reëel, zeker als compliance wordt gezien als rem of hinderpaal in plaats van als partner in kwaliteitsverbetering. Juist in die context is relationele stevigheid belangrijk, niet op basis van hiërarchie, maar door betrouwbaarheid, zorgvuldigheid en consistent optreden.

    Een complicerende factor is dat de compliancefunctie vaak moet functioneren binnen informele netwerken, met weinig formele escalatiemogelijkheden. Bestuurlijke lijnen zijn kort, dossiers circuleren snel en het onderscheid tussen toezicht, uitvoering en beleid is dun. Dat vraagt om tact, oordeelsvermogen en durf. De vraag is dan niet alleen of het kantoor een compliancefunctie heeft, maar of die ook functioneert: of zij spanning mag brengen, invloed uitoefent en ruimte krijgt om meer te zijn dan een administratief sluitstuk.

    Positionering in het three-lines model

    Het three-lines model biedt een nuttig denkkader voor de positionering van functies binnen een organisatie, maar is in de praktijk van mkb-kantoren zelden formeel uitgewerkt. De eerste lijn bestaat uit de uitvoerende praktijk: bestuur, directie, opdrachtverantwoordelijken, partners en teamleden die direct betrokken zijn bij de dienstverlening. De tweede lijn ondersteunt en toetst, en omvat functies als compliance, risicomanagement en vaktechniek. De derde lijn is formeel onafhankelijk en verricht interne audits op het functioneren van het stelsel als geheel. Die derde lijn ontbreekt in vrijwel alle mkb-kantoren. Ook de grootste hebben doorgaans geen interne auditfunctie. Hooguit is er sprake van control binnen de financiële administratie, gericht op begroting en liquiditeit, maar dat heeft zelden de breedte of onafhankelijkheid van een echte derde lijn.

    De afwezigheid van een derde lijn maakt de rol van compliance extra belangrijk, maar tegelijk ook precair. De compliancefunctie is immers zelf geen derde lijn, maar bevindt zich tussen uitvoering en bestuur in. Zij toetst, signaleert en rapporteert, maar verricht geen onafhankelijke herbeoordeling van het gehele stelsel. Wie dat verschil niet onderkent, loopt het risico dat te veel verantwoordelijkheid op de schouders van compliance terechtkomt. Zeker in kleinere organisaties, waar functies gecombineerd worden, kunnen verwachtingen snel vervagen. Als compliance wordt geacht niet alleen te signaleren maar ook te herstellen of te beoordelen, raakt zij verstrikt in uitvoerende taken en verliest zij haar positie als tweede lijn.

    Tegelijkertijd biedt het three-lines model juist in de mkb-praktijk houvast voor het maken van bewuste keuzes. Niet om structuren op te tuigen die niet passen bij de schaalgrootte, maar om helderheid te scheppen over rollen, verantwoordelijkheden en grenzen. Compliance als tweede lijn functioneert het best als zij voldoende afstand houdt tot de uitvoering, maar dicht genoeg bij de praktijk blijft om zicht te houden op wat er speelt. Niet formeel auditend, maar wel toetsend. Niet losstaand, maar ook niet meewerkend. In die tussenpositie schuilt haar waarde — mits die positie wordt erkend en bewaakt.

    Papieren werkelijkheid of levende functie?

    De formele aanwezigheid van een compliancefunctie zegt op zichzelf weinig. Een benoeming, een taakomschrijving of een plek op het organogram garandeert nog geen werking. Veel mkb-kantoren hebben inmiddels een beleidsdocument waarin de compliancefunctie wordt beschreven, soms met een takenmatrix of een werkprogramma. Maar daarmee is nog niet gezegd dat compliance in de praktijk ook een rol van betekenis speelt. De vraag is of de functie wordt beleefd. Wordt de compliance officer gekend, gehoord, geraadpleegd? Is er ruimte om signalen te geven, weerstanden te benoemen en ongemakkelijke vragen te stellen? Of blijft compliance een papieren construct, netjes ingevuld voor de vorm, maar zonder effect op het gedrag binnen de organisatie?

    Een compliancefunctie die niet mag schuren, blijft machteloos. De waarde van compliance zit niet in procedures of formats, maar in de ruimte om daadwerkelijk invloed uit te oefenen. Dat vraagt om betrokken bestuurders die openstaan voor kritische signalen, om een cultuur waarin afwijkingen niet worden weggemasseerd, en om een structuur waarin de compliance officer tijdig en volwaardig wordt betrokken bij beleid en besluitvorming. Wordt compliance pas ingeschakeld ná een incident, of bij voorkeur helemaal niet, dan is zij gedegradeerd tot schaduwfunctie. Pas waar zij spanning mag brengen, ongemak mag veroorzaken en toch wordt gewaardeerd, krijgt compliance betekenis.

    In kleinere kantoren is die ruimte niet vanzelfsprekend. De lijnen zijn kort, de belangen zijn vaak gedeeld, en de bereidheid om elkaar aan te spreken is niet altijd groot. Toch is juist daar het verschil tussen papieren werkelijkheid en levende functie het meest voelbaar. Het gaat dan niet om procedures, maar om gedrag. Om de vraag of compliance zich durft te roeren, en of het bestuur dat verwelkomt of neutraliseert. In die zin is compliance niet alleen een functie, maar ook een test. Een test van volwassenheid, van openheid en van integriteit. Een functionaris die alles mag opschrijven maar niets in beweging zet, vervult zijn rol slechts in naam. Een levende compliancefunctie is niet onfeilbaar, maar wel geloofwaardig. Zij is aanwezig, zichtbaar, en vormt een vanzelfsprekend onderdeel van het gesprek over kwaliteit, risico’s en verantwoordelijk gedrag.

    De rol van de complianceofficer

    Formele verantwoordelijkheid en positie

    De compliance officer is formeel belast met het toezicht op de naleving van wet- en regelgeving, interne normen en ethische standaarden binnen het kantoor. In die hoedanigheid is hij of zij een interne toezichthouder die zich niet primair richt op de uitvoering van opdrachten, maar op de randvoorwaarden waaronder die uitvoering plaatsvindt. De compliance officer bewaakt of het stelsel van interne beheersing voldoende is ingericht, onderhouden en nageleefd, en brengt daarover periodiek verslag uit aan het bestuur. In sommige gevallen bestaat er ook een rapportagelijn naar de raad van commissarissen of een ander intern toezichthoudend orgaan. De formele positionering is dan onafhankelijk van de uitvoerende lijn, met voldoende waarborgen om ongewenste beïnvloeding te voorkomen. Overigens kan het inhoudelijk toetsen van de uitvoering van opdrachten wel degelijk onder de verantwoordelijkheid van de compliance officer vallen. Maar dat gebeurt dan als test van de werking van het kwaliteitsstelsel. Daarin onderscheid deze toetsing zich van de review door de opdrachtverantwoordelijke en van de opdrachtgerichte kwaliteitsbeoordeling (OKB), die zelf onderdeel zijn van het kwaliteitsstelsel.

    In de mkb-praktijk is die formele positionering niet altijd helder of uitgewerkt. Vaak is de complianceofficer benoemd door het bestuur zelf, met een beperkte formele bevestiging van mandaat, takenpakket of rapportagelijn. De functie wordt dan veelal ingevuld vanuit een kwaliteitshandboek, en dus gezien als onderdeel van het kwaliteitsstelsel zonder specifiek afgebakende structuur. Toch is ook in kleinere kantoren een zekere structurering noodzakelijk. De compliance officer moet kunnen opereren met een zekere onafhankelijkheid, moet toegang hebben tot relevante informatie, en moet vrijelijk kunnen rapporteren over tekortkomingen of risico’s, ook als die het bestuur zelf betreffen. Een zuiver organogram is daartoe niet voldoende; er moet ook sprake zijn van cultuur, ruimte en erkenning.

    De verantwoordelijkheid van de compliance officer is geen eindverantwoordelijkheid voor de kwaliteit van dienstverlening. Die ligt bij de eerste lijn. De compliance officer is evenmin verantwoordelijk voor het oplossen van geconstateerde tekortkomingen. Zijn of haar taak is het signaleren, duiden en agenderen van structurele risico’s, patronen van non-conformiteit, en tekortschietende beheersmaatregelen. Daarbij hoort ook het opstellen van een jaarlijks werkprogramma, het verrichten van themaonderzoeken, het toetsen van dossiers of processen op naleving van interne en externe normen, en het adviseren over verbetermaatregelen. Waar nodig kan de compliance officer ook optreden als sparringpartner of begeleider, mits die rol geen afbreuk doet aan de onafhankelijke positie. Wie zelf het beleid schrijft, kan het niet onafhankelijk toetsen.

    De complianceofficer is geen verlengstuk van het bestuur, maar ook geen externe toezichthouder. Hij of zij bevindt zich binnen de organisatie, maar op een eigen positie. Die positie moet zodanig zijn dat de functie niet wordt weggedrukt in het operationele geweld, maar ook niet vervreemdt van de praktijk.

    Meervoudigheid van de rol

    De rol van de compliance officer laat zich niet vangen in één functieomschrijving. In de praktijk is sprake van een meervoudige rol die afhankelijk van de situatie uiteenvalt in verschillende gedaantes: toetsend, signalerend, begeleidend, soms ook adviserend of confronterend. De compliance officer ziet toe op naleving, maar moet ook begrijpen waarom naleving soms onder druk staat. Hij of zij is bewaker van normen, maar ook gespreksgenoot bij dilemma’s. Die gelaagdheid maakt de functie veeleisend. Niet omdat het werk inhoudelijk ingewikkeld is, maar omdat het optreden telkens opnieuw vraagt om positie, rolbewustzijn en situationeel oordeelsvermogen.

    In de ene situatie is de compliance officer een toetsende functionaris die met afstand vaststelt of processen en handelingen binnen de afgesproken kaders plaatsvinden. In een andere situatie is hij of zij sparringpartner van een praktijkgroep, begeleider van een beleidsverandering of gesprekspartner in een moreel dilemma. Die schakeling tussen inhoud en context, tussen norm en nuance, vereist flexibiliteit zonder vrijblijvendheid. De compliance officer mag zich niet laten meeslepen in uitvoerende of beleidsmatige verantwoordelijkheden, maar kan zich evenmin verschuilen achter abstracte regels. De kunst is om telkens de juiste toon te vinden: kritisch zonder afstandelijk te zijn, betrokken zonder belangen te vermengen.

    Die meervoudigheid is tegelijk kracht en valkuil. In kleinere organisaties, waar de compliance officer vaak meerdere petten draagt, ligt het risico op rolvermenging voortdurend op de loer. Het is dan des te belangrijker om expliciet te maken vanuit welke rol wordt opgetreden, en waar de grenzen liggen. Wie toetst, adviseert en meeschrijft aan beleid in één en dezelfde casus, kan niet met gezag optreden als er iets misgaat. Maar wie zich uitsluitend formeel opstelt, verliest al snel de aansluiting bij de praktijk. De geloofwaardigheid van compliance hangt in hoge mate af van deze balans. Niet in reglementen, maar in houding en gedrag.

    Onafhankelijk, betrokken, gezaghebbend

    De geloofwaardigheid van de compliance officer schuilt niet in mandaten of beleidsstukken, maar in de manier waarop hij of zij zich opstelt binnen het kantoor. Onafhankelijkheid is geen formele status, maar een werkhouding. Het gaat om de vrijheid om te spreken, om de ruimte om een afwijkende positie in te nemen, en om het vermogen om niet mee te deinen op het ritme van de organisatie. Tegelijk is afstand alleen niet voldoende. De compliance officer moet ook betrokken zijn bij de praktijk, begrijpen hoe het kantoor functioneert, en voeling houden met de dilemma’s van opdrachtverantwoordelijken en praktijkgroepen. Een compliance officer die te veel op afstand blijft, wordt al snel irrelevant. Een functionaris die te dicht op de lijn zit, verliest zijn toetskracht.

    Gezag ontstaat in dit spanningsveld. Niet door formele macht, maar door consistentie, zorgvuldigheid en moreel kompas. De compliance officer hoeft niet altijd gelijk te hebben, maar moet wel aanspreekbaar zijn op zijn oordeel. Hij of zij moet kunnen uitleggen waarom iets een risico is, waarom een maatregel niet toereikend is, of waarom gedrag dat ‘altijd zo ging’ niet langer acceptabel is. Dat vraagt niet alleen kennis, maar ook karakter. Gezagsuitoefening zonder hiërarchie is kwetsbaar. Juist daarom is het belangrijk dat de compliance officer herkend wordt als onafhankelijk én betrouwbaar. Niet iemand die alles anders wil doen, maar iemand op wie je kunt bouwen als het erop aankomt.

    In de dagelijkse praktijk komt dat tot uiting in kleine momenten: een telefoontje waarin iets gedeeld wordt, een overleg waarin de compliance officer wordt meegenomen, een besluit waarin een advies serieus wordt gewogen. Het gezag van compliance wordt niet opgebouwd in commissies of kwartaalrapportages, maar in de manier waarop wordt geluisterd, gesproken en gereageerd. Dat vraagt om iemand die niet alleen weet wat mag en moet, maar ook wanneer zwijgen schadelijk is, en spreken nodig.

    Een typische uitdaging voor accountants, en zeker voor compliance officers die als accountant zijn opgeleid, is de focus op “de deugdelijke grondslag”. In de accountantspraktijk is al zichtbaar dat accountants het regelmatig lastig vinden uitspraken te doen, bijvoorbeeld over fraude, zonder dat onomstotelijk bewijs beschikbaar is om een uitspraak te staven. Compliance officers die uitspraken doen die bijvoorbeeld een bestuur niet welgevallig zijn lopen al snel tegen het verwijt aan dat hun uitspraak een deugdelijke grondslag ontbeert. Om dat te voorkomen zegt de compliance officer dan maar niets. Dat past echter niet bij de gezaghebbende positie van de compliance officer. Deze dient te rapporteren zodra daar aanleiding voor is, niet pas als een deugdelijke grondslag beschikbaar is die een wetenschappelijke of strafrechtelijke toets zou kunnen doorstaan. Vanzelfsprekend behoort de compliance officer duidelijk te maken hoe zeker een bepaalde uitspraak is, maar een eigen waarneming of zelfs geruchten in de wandelgangen kunnen op zichzelf ruimschoots voldoende aanleiding zijn om te rapporteren. De compliance officer die nadat ongelukken gebeuren aan komt zetten met “ja, dat dacht ik al, maar ik had nog geen deugdelijke grondslag” faalt in diens taakuitoefening.

    Brug tussen systeem en praktijk

    De compliance officer beweegt zich tussen systeem en praktijk. Hij of zij vertaalt beleid naar gedrag, en signalen uit de praktijk naar bestuurlijke aandacht. Die rol is geen bemiddeling in de zin van compromis, maar een brugfunctie in de zin van verbinding. Het systeem vraagt structuur, normering en toetsbaarheid. De praktijk vraagt ruimte, inschatting en werkbaarheid. De compliance officer moet beide begrijpen, maar zich met geen van beide volledig identificeren. Geen vertegenwoordiger van de werkvloer, geen handhaver van het systeem, maar een functionaris die het verband tussen die twee zichtbaar maakt en in stand houdt.

    Dat vraagt om oordeelsvermogen en positionele souplesse. In een te systeemgerichte benadering verwordt compliance tot een lijstje normen en controles. In een te praktijkgerichte opstelling verliest compliance haar toetsende waarde. De brug is geen neutrale plek: zij verbindt, maar heeft richting. De compliance officer maakt gedrag bespreekbaar, brengt patronen aan het licht, en daagt het bestuur uit om verantwoordelijkheid te nemen voor grijze gebieden. In dat opzicht is de functie meer dan een doorgeefluik. Het is een kritische functie binnen het systeem, met kennis van de praktijk, en met de taak om beide werelden gespiegeld te houden.

    In mkb-kantoren is die brugfunctie vaak impliciet. Er zijn geen aparte beleidslagen, geen gelaagde bestuursstructuren, en het verschil tussen regel en uitvoering is kleiner dan op papier lijkt. Juist daarom is de rol van compliance als intermediair van betekenis. Niet als vertragende factor, maar als bewuste tussenruimte waar vragen mogen ontstaan. Voldoen we aan onze eigen normen? Begrijpen we waarom iets afwijkt? Is dit incident of patroon? In die vragen ligt de kern van de toegevoegde waarde. Niet door afstand, maar door verbinding, zonder vereenzelviging.

    Samenwerking en begrenzing: andere tweede lijnsfuncties

    Positionering en afbakening binnen de tweede lijn

    De tweede lijn binnen een accountantskantoor bestaat uit functionarissen die niet zelf verantwoordelijk zijn voor de uitvoering van opdrachten, maar wel bijdragen aan de inrichting, bewaking en ondersteuning van het stelsel waarbinnen die opdrachten tot stand komen. In de praktijk gaat het dan met name om compliance, vaktechniek, juridische ondersteuning en risicomanagement. Elk van deze functies heeft een eigen invalshoek en deskundigheid, maar zij opereren alle binnen hetzelfde spanningsveld: dichtbij de uitvoering, maar met een onafhankelijke toetsende of adviserende rol. Ze dragen bij aan kwaliteit, integriteit en beheersing, maar doen dat ieder op een eigen manier en met een eigen begrenzing.

    De compliance officer is verantwoordelijk voor het toezicht op naleving van wet- en regelgeving en interne normen. Bureau Vaktechniek adviseert over de toepassing van vaktechnische standaarden en beoordeelt de kwaliteit van inhoudelijke keuzes. Juridische ondersteuning richt zich op rechtszekerheid en risicobeheersing bij interne processen en externe dienstverlening, en vervult afhankelijk van de inrichting soms een tweede lijnsrol, soms een dienstverlenende. Risicomanagement analyseert onzekerheden die de doelstellingen van het kantoor kunnen bedreigen, en formuleert mitigerende maatregelen. De onderlinge afbakening tussen deze functies is niet altijd scherp, maar juist daarom is het van belang om hun rol en mandaat goed te positioneren. In de volgende alinea’s worden deze tweede lijnsfuncties afzonderlijk besproken.

    Bureau Vaktechniek: vakinhoudelijke normbewaking

    Binnen de tweede lijn neemt Bureau Vaktechniek een bijzondere positie in. Waar de compliance officer toeziet op naleving van wet- en regelgeving en het functioneren van het kwaliteitsstelsel als geheel, richt vaktechniek zich op de inhoudelijke kant van het vak. Het bureau ondersteunt de praktijk bij de toepassing van standaarden, fungeert als klankbord bij complexe opdrachten, stelt beleid op en beoordeelt dossiers op vaktechnische onderbouwing. Daarmee is vaktechniek geen intern toezichtorgaan, maar een inhoudelijk ankerpunt. De focus ligt niet op naleving als zodanig, maar op kwaliteit van oordeelsvorming en consistentie in de toepassing van beroepsregels.

    In veel kantoren is Bureau Vaktechniek ouder dan de andere tweede lijnsfuncties, en fungeert het ook als verzamelpunt voor taken die elders (nog) niet zijn belegd. In de praktijk vallen risicomanagement, juridische toetsing of zelfs compliance dan onder de paraplu van vaktechniek, al dan niet tijdelijk. Ook de compliance officer wordt nog regelmatig gepositioneerd als onderdeel van Bureau Vaktechniek, met een functionele scheiding van taken maar zonder formele organisatorische splitsing. Dat hoeft geen probleem te zijn, zolang duidelijk is vanuit welke rol wordt gehandeld en voldoende onafhankelijkheid is gewaarborgd.

    De rol van vaktechniek reikt vaak verder dan strikt vakinhoudelijke advisering. Het bureau is betrokken bij interne consultaties, verzorgt of begeleidt vaktechnische opleidingen, en speelt in veel kantoren een rol in het benoemen van tekenbevoegde medewerkers of partners. Ook bij klantacceptatie, continuering of dossiervorming kan vaktechniek een adviserende of toetsende stem hebben. Juist vanwege die centrale positie is afstemming met compliance van belang, zeker waar onderwerpen raken aan normstelling, onafhankelijkheid of integriteit.

    In de praktijk is de grens tussen vaktechniek en compliance niet altijd scherp. Beide functies houden zich bezig met kwaliteit, normering en toetsing. Zowel bij monitoring, thematische onderzoeken als incidentenanalyse komen zij elkaar tegen. Het is daarom van belang dat rollen goed zijn afgebakend. Bureau Vaktechniek adviseert over wat vaktechnisch juist en verantwoord is, en kan ook interne kwaliteitsreviews uitvoeren. Compliance toetst of het beleid in de praktijk werkt, en of vaktechnische keuzes voldoende zijn ingebed in het stelsel van kwaliteitsbeheersing. In die zin zijn de perspectieven complementair. Vaktechniek kijkt naar inhoudelijke juistheid, compliance naar systematische borging en naleving.

    Samenwerking is essentieel, maar vraagt om wederzijds respect en rolbewustzijn. De compliance officer mag geen schaduw-vaktechniek worden, en Bureau Vaktechniek geen parallelle toezichthouder. In kantoren waar beide functies goed op elkaar zijn afgestemd, versterken ze elkaar: vaktechniek als inhoudelijk kompas, compliance als spiegel van het systeem. Die verhouding werkt het best wanneer het Bureau Vaktechniek niet in een hiërarchische positie wordt geplaatst ten opzichte van compliance, maar als gelijkwaardige gesprekspartner wordt erkend. Juist dan ontstaat ruimte voor reflectie, wederzijds toezicht en gezamenlijke kwaliteitsbevordering.

    Legal en juridisch advies binnen het kantoor

    Niet elk mkb-kantoor beschikt over een afzonderlijke juridische functie, maar vrijwel elk kantoor heeft te maken met juridische vragen en risico’s. In sommige gevallen is er een jurist in dienst die fungeert als interne adviseur, in andere situaties wordt een beroep gedaan op externe specialisten of op collega’s met juridische ervaring binnen de praktijk. De juridische functie heeft in de kern een dienstverlenend karakter: zij ondersteunt het kantoor bij vraagstukken rond contracten, aansprakelijkheid, privacy, arbeidsrecht en geschillen. Tegelijk kan juridisch advies ook een tweedelijns karakter krijgen, bijvoorbeeld bij de inrichting van interne procedures of de beoordeling van integriteitsrisico’s. De grens tussen advisering en toetsing is dan dun.

    De samenwerking tussen legal en compliance is sterk afhankelijk van de inrichting van het kantoor. Waar beide functies zijn belegd, is afstemming cruciaal. Overlapping ligt op de loer, met name bij onderwerpen als de AVG, de meldregeling incidenten, integriteitsbeleid en interne klokkenluidersprocedures. Juristen brengen daarbij de juridische norm in, compliance toetst op naleving en borging in de praktijk. In het meest ideale geval vullen beide elkaar aan: legal bewaakt rechtszekerheid, compliance bewaakt gedragsmatige naleving. Maar als rollen niet zijn afgebakend, ontstaat al snel onduidelijkheid. Wie is verantwoordelijk voor de inhoud van het privacybeleid? Wie beoordeelt of contractuele bepalingen uitvoerbaar en conform wetgeving zijn? En wie toetst of daar ook naar wordt gehandeld?

    In de praktijk is de juridische functie binnen het kantoor zelden als zelfstandige tweede lijn gepositioneerd. Toch is het van belang dat juridische expertise niet alleen beschikbaar is voor cliënten, maar ook een duidelijke plek heeft binnen de interne structuur. Voor de compliance officer is het een belangrijke gesprekspartner; niet om mandaten te delen, maar om risico’s en normen beter te begrijpen. Zeker bij thema’s waar juridische en ethische afwegingen elkaar raken, is die samenwerking van wezenlijk belang.

    In sommige grotere kantoren is de juridische functie gepositioneerd als aparte stafrol onder het bestuur. Denk aan een general counsel of legal counsel die rechtstreeks rapporteert aan de bestuurder of de raad van commissarissen. Deze rol kan deels overlappen met compliance, bijvoorbeeld bij contractbeheer, AVG-implementatie of geschillenmanagement, maar heeft doorgaans een andere oriëntatie. Waar compliance gericht is op toetsing en borging binnen het kwaliteitsstelsel, richt legal zich primair op juridische correctheid en risicobeheersing. Juist in dit model is het van belang dat beide functies elkaar erkennen, consulteren en begrenzen. Wederzijdse afstemming voorkomt dat juridische juistheid wordt verward met integrale compliance, en andersom.

    Risicomanagement als verwante maar onderscheiden functie

    Vaak is risicomanagement geen aparte functie. De verantwoordelijkheid voor het identificeren en beheersen van risico’s ligt dan verspreid over het bestuur, de praktijk, Bureau Vaktechniek en in toenemende mate bij de compliance officer. Soms is er sprake van een bewuste samenvoeging: risk & compliance als gedeelde functie, ingevuld door één persoon of klein team. In andere gevallen komt risicomanagement eenvoudigweg terecht bij degene die zich als eerste met risico’s bezighoudt, meestal compliance. Daarmee vervalt het formele onderscheid tussen het analyseren van onzekerheden en het bewaken van normconformiteit, maar niet de inhoudelijke spanning daartussen.

    Risicomanagement richt zich primair op de vraag welke gebeurtenissen, omstandigheden of gedragingen de doelstellingen van het kantoor kunnen bedreigen. Dat kunnen normoverschrijdingen zijn, maar ook externe ontwikkelingen, personele kwetsbaarheden, cultuurproblemen of technologische afhankelijkheden. Compliance daarentegen kijkt vanuit wet- en regelgeving: wordt voldaan aan de norm, en functioneert het stelsel waarin dat moet gebeuren? In de praktijk lopen deze perspectieven in elkaar over. Een compliance officer die signalen krijgt over toenemende werkdruk, integriteitstwijfels of structurele uitval, kan die moeilijk negeren omdat ze niet ‘juridisch relevant’ zijn. Tegelijk vraagt een risicogerichte benadering om een bredere blik dan naleving alleen.

    Waar risk en compliance zijn samengevoegd, is rolbewustzijn essentieel. Niet alles wat een risico is, is ook een non-conformiteit. Niet alles wat formeel klopt, is risicobeheerst. De gecombineerde functionaris moet kunnen schakelen tussen perspectieven, zonder de helderheid van rol en doel te verliezen. Die combinatie biedt voordelen: overzicht, integraliteit, en een natuurlijke plek in de strategische dialoog. Maar ze vergt ook discipline. Als alles risk én compliance is, is het risico groot dat uiteindelijk niets meer scherp getoetst wordt.

    Voor het bestuur is het dan ook van belang om expliciet te kiezen: wat verwachten we van deze functie? Wat hoort bij compliance, wat bij risicomanagement, en waar overlappen ze? Juist in een omgeving zonder formele drie lijnen moet dat gesprek bewust worden gevoerd. Niet om structuren te creëren, maar om duidelijkheid te scheppen over verantwoordelijkheden, mandaat en rol.

    Persoonlijkheid en bekwaamheid van de CO

    De persoon achter de rol

    Een goed functionerende compliance officer ontleent zijn of haar gezag niet aan formele positie, maar aan persoonlijkheid en optreden. De rol vraagt om een autonome persoonlijkheid die in staat is om onafhankelijk te denken, standpunten te vormen op basis van inhoud, en die standpunten ook uit te dragen wanneer dat ongemakkelijk is. Tegelijk vereist de functie empathie en diplomatie: de compliance officer moet kunnen oordelen zonder te veroordelen, ruimte geven zonder vrijblijvend te worden, en signaleren zonder te escaleren; tenzij dat nodig is. Weerbaarheid, zorgvuldigheid en rolvastheid zijn daarbij kernbegrippen. Wie te meegaand is, verliest zijn toetsende waarde; wie zich opstelt als buitenstaander, raakt de praktijk kwijt.

    Een compliance officer opereert zelden in een zuiver stelsel. Bestuurlijke, commerciële en persoonlijke belangen lopen in de dagelijkse praktijk vaak door elkaar. Dat vraagt om iemand die niet alleen het formele kader begrijpt, maar ook het krachtenveld waarin besluiten worden genomen. Bestuurlijke sensitiviteit, gepaard aan morele standvastigheid, is essentieel. Begrip voor het perspectief van het bestuur of van de praktijkverantwoordelijken mag nooit leiden tot het wegnuanceren van risico’s, maar is wel noodzakelijk om tijdig invloed uit te oefenen. Wie te vroeg roept, wordt genegeerd; wie te laat is, mist het moment. Tussen die uitersten moet de compliance officer zijn weg vinden.

    Tegelijk vraagt de functie om scherp analytisch vermogen. De compliance officer moet kunnen onderzoeken, verbanden leggen, hoofd- en bijzaken onderscheiden, en signalen op waarde schatten. Rapportages moeten helder, zakelijk en zorgvuldig zijn opgebouwd, met oog voor detail én context. In mondelinge overleggen is overtuigingskracht van belang, maar geen dominantie: de kunst is om ruimte te geven aan het gesprek zonder de boodschap te verliezen. Niet het volume maakt een compliance officer gezaghebbend, maar het vermogen om rust, scherpte en betrouwbaarheid uit te stralen in situaties die spanning oproepen.

    In die zin is de compliance officer geen regelneef, geen jurist met een vinger in de lucht, en ook geen verkapte kwaliteitsbepaler. De functie vraagt om vakvolwassenheid, om innerlijke rust, en om de bereidheid verantwoordelijkheid te dragen voor het oordeel dat wordt uitgesproken. Soms vraagt dat om zwijgen, soms om optreden, maar altijd om zorgvuldigheid. Het is geen gemakkelijk profiel, en dat hoeft ook niet.

    Vakbekwaamheid en contextkennis

    Een compliance officer binnen een accountantsorganisatie moet beschikken over stevige vakinhoudelijke kennis. Dat begint met inzicht in de voor het kantoor relevante wet- en regelgeving: de Wta en de Wwft, de VGBA, de NVKS (die met ingang van volgend jaar wordt vervangen door de NVKM), SKM1 en de regels van het tuchtrecht en het toezicht. Maar ook bepalingen uit het Burgerlijk Wetboek, de privacywetgeving en onderdelen van het fiscale of strafrecht kunnen relevant zijn. Het gaat daarbij niet alleen om kennis van de norm, maar ook om het vermogen die norm te plaatsen in de dagelijkse praktijk: wat betekenen deze regels voor opdrachtacceptatie, voor onafhankelijkheid, voor signaleringsplicht en voor het omgaan met integriteitsdilemma’s?

    Naast kennis van externe kaders is ook inzicht in de werking van het kwaliteitsstelsel onmisbaar. De compliance officer moet begrijpen hoe beleid tot stand komt, hoe beheersmaatregelen worden geïmplementeerd, en waar het systeem kwetsbaar is voor ineffectiviteit, rituelen of schijnzekerheid. Kennis van risicoanalyse, interne beheersing, governanceprincipes en procesontwerp vormt daarbij een noodzakelijke basis. Compliance is geen eiland, maar maakt deel uit van het geheel van de organisatie en raakt aan de dagelijkse werkpraktijk van alle lijnen.

    Daarbij hoort ook een basaal, maar inhoudelijk verantwoord begrip van de kernactiviteiten van het kantoor. Een compliance officer hoeft geen controleverklaring te kunnen opstellen of een fiscale aangifte te kunnen indienen, maar moet wel voldoende begrijpen van de inhoud en de context van controlewerkzaamheden, samenstelopdrachten, fiscale advisering, salarisverwerking, juridische ondersteuning en corporate finance. Wie het verschil niet kent tussen een beoordelingsopdracht en een subsidiecontrole, of niet weet wat horizontaal toezicht betekent, kan moeilijk effectief opereren in het grensvlak tussen vaktechniek en governance.

    Minstens zo belangrijk is kennis van de interne context. Wie de structuur, cultuur en routines van het eigen kantoor niet begrijpt, zal zelden tot effectieve toetsing of advisering komen. Dat vraagt niet alleen om normkennis, maar ook om voelsprieten: hoe lopen de formele en informele lijnen, waar liggen de spanningen, hoe worden besluiten genomen, en waar zitten de blinde vlekken? In die zin is contextkennis geen bijzakenkennis, maar een voorwaarde om de juiste vragen te kunnen stellen.

    Dit wijst op een domein dat in compliance vaak onderbelicht blijft, maar van groot belang is: cultuur, organisatiesociologie, en de werking van soft controls. Wie risico’s alleen als normovertredingen benadert, mist de mechanismen waardoor normen worden gevormd, beleefd en al dan niet nageleefd.

    Opleidingsroutes en certificering

    De route naar het compliancevak is zelden lineair. Veel compliance officers in de accountancy zijn opgeleid als registeraccountant of accountant-administratieconsulent, en hebben hun vaktechnische loopbaan gaandeweg verbreed richting kwaliteitsbeheersing en compliance. Die achtergrond biedt een stevige basis, maar is zelden toereikend zonder aanvullende scholing. Wie uitsluitend is gevormd binnen de accountancy, mist doorgaans kennis van governance, toezichtrecht, integriteitsbeleid en sanctieregelgeving. Tegelijk biedt een universitaire opleiding in het recht of de bestuurskunde juist daar weer aanknopingspunten, maar ontbreekt dan vaak het inzicht in de vaktechnische praktijk van het accountantskantoor.

    Specifiek op de accountancy toegesneden complianceopleidingen zijn er op dit moment niet. Wie zich wil verdiepen in het vak, is aangewezen op bredere trajecten. De Executive Master Compliance & Integriteit Management aan de Vrije Universiteit biedt een stevige academische basis, met aandacht voor recht, ethiek, toezicht en gedrag. Commerciële aanbieders zoals NIBE-SVV en het Nederlands Compliance Instituut bieden respectievelijk de opleidingen tot Certified Compliance Officer (CCO) en Certified Compliance Professional (CCP), die praktijkgerichter zijn en zich veelal richten op de financiële sector. Daarnaast bestaan er kortere programma’s, zoals de collegereeks “Risk & Compliance” aan Nyenrode Business Universiteit. Dit zijn slechts voorbeelden: het aanbod aan opleidingen groeit en is divers. Voor compliance officers in de accountancy zijn deze opleidingen zelden volledig toereikend, maar wel waardevol als bouwsteen, mits aangevuld met sectorspecifieke kennis en reflectie op de eigen werkomgeving.

    Opleiding is geen sluitstuk, maar fundament. De complexiteit van het vakgebied, de veelheid aan normen en de noodzaak tot onafhankelijke oordeelsvorming vragen om voortdurende ontwikkeling. Een compliance officer moet niet alleen gevormd zijn, maar zich ook blijven vormen. Dat vraagt om bewuste keuzes, om ruimte voor scholing en om een organisatie die professionalisering van de tweede lijn serieus neemt.

    Permanente ontwikkeling en professionele reflectie

    De rol van de compliance officer vraagt om voortdurende ontwikkeling. Wetgeving verandert, toezicht scherpt aan, normen verschuiven, en ook de interne organisatie is in beweging. Wie denkt het vak eenmaal onder de knie te hebben, raakt al snel achterop. Permanente educatie is dan ook geen formele verplichting, maar een wezenlijk onderdeel van het vak. Niet alleen om kennis bij te houden, maar ook om het eigen oordeel te blijven bevragen. De complexiteit van compliance zit zelden in de norm zelf, maar juist in de toepassing ervan in weerbarstige situaties. Dat vraagt om oefening, reflectie en het delen van ervaringen.

    Goede compliance officers zoeken actief naar manieren om hun oordeel te scherpen. Intervisie met collega’s binnen of buiten het eigen kantoor kan helpen om blinde vlekken te signaleren, nieuwe perspectieven te ontdekken en het eigen standpunt beter te verwoorden. Deelname aan netwerken, themagroepen of studiedagen biedt niet alleen kennis, maar ook herkenning. Daarnaast is het belangrijk om vakliteratuur te blijven volgen, ontwikkelingen bij toezichthouders te monitoren en signalen uit de eigen organisatie serieus te blijven nemen. Wie in een vaste routine vervalt, loopt het risico zelf het contact met de norm te verliezen.

    Professionalisering van compliance vraagt niet alleen iets van de functionaris, maar ook van het kantoor. Er moet ruimte zijn om te leren, te vertragen en te reflecteren. Tijd voor verdieping en overleg, gelegenheid om op onderzoek uit te gaan, en de veiligheid om kritisch te blijven denken, ook als dat ongemak oplevert. Waar die ruimte ontbreekt, verschraalt het vak. Waar zij wel wordt benut, kan compliance uitgroeien tot een volwassen en gezaghebbende functie die bijdraagt aan vertrouwen, kwaliteit en verantwoordelijkheid.

    Teamvorming en taakverdeling

    Individuele functie of collectieve verantwoordelijkheid

    De inrichting van de compliancefunctie verschilt sterk per kantoor. In kleinere organisaties wordt compliance vaak opgevat als een individuele verantwoordelijkheid: één functionaris, al dan niet parttime, die toezicht houdt op naleving, adviseert bij dilemma’s en rapporteert aan het bestuur. In zekere zin is dat logisch. De schaal is overzichtelijk, de communicatielijnen zijn kort en het aanstellen van een apart team lijkt kostbaar of omslachtig. Toch is het de vraag of compliance in die vorm werkelijk toekomstbestendig is. Naarmate wetgeving, toezicht en maatschappelijke verwachtingen toenemen, groeit ook de belasting op de compliancefunctie. Signalering, analyse, monitoring, rapportage en advies vereisen tijd, oordeelsvorming en inhoudelijke diepgang.

    In grotere kantoren of meer volwassen organisaties wordt daarom steeds vaker gekozen voor een meer collectieve invulling. Dat kan variëren van een klein team met gedeelde taken tot een netwerk van specialisten rond een centrale compliance officer. De kern is dat compliance dan niet wordt gedragen door één persoon, maar structureel wordt ingebed in de organisatie. Niet alleen vanuit efficiëntie, maar ook vanuit veerkracht: personele wisselingen of ziekte ondermijnen de werking van compliance dan niet onmiddellijk. Een teamopzet maakt het bovendien mogelijk om verschillende invalshoeken te benutten, werk te spreiden en sneller te reageren op signalen uit de organisatie.

    Tegenover de kosten van zo’n team staat een vaak onderschatte meerwaarde. Juist omdat compliance in essentie preventief is, zijn de directe baten niet altijd zichtbaar. Maar uitval door integriteitsincidenten, reputatieschade, sancties of fouten in dienstverlening zijn doorgaans vele malen duurder dan structurele investering in goed toezicht. Een team van twee of drie personen bij een klein kantoor kan relatief veel kosten, maar levert bij goede inrichting inzicht, stabiliteit en vertrouwen op en voorkomt versnippering, overbelasting en genegeerde fouten.

    Belangrijk daarbij is dat ook binnen een gedeeld model altijd één persoon eindverantwoordelijk is voor de inhoudelijke aansturing van de compliancefunctie. Zonder dat raakt het team versnipperd, vervaagt de regie en wordt het moeilijk om tot heldere oordeelsvorming te komen. Die eindverantwoordelijke hoeft niet alles zelf te doen, maar moet wel in staat zijn om te overzien wat er speelt, wat prioriteit heeft en welke besluiten nodig zijn.

    Daarbij komt dat er geen opleiding bestaat die specifiek voorbereidt op het brede en complexe takenpakket van de compliance officer binnen accountantsorganisaties. Zoals eerder benoemd, is iedere invulling dus per definitie onvolledig. Een persoon die alle noodzakelijke kennis, vaardigheden en eigenschappen in zich verenigt, bestaat eenvoudigweg niet. Precies daarom is het bouwen van een complementair team geen luxe, maar een voorwaarde voor effectiviteit. Niet ieder teamlid hoeft alles te kunnen, als het geheel maar in staat is om met gezag, zorgvuldigheid en oordeelskracht op te treden.

    Rollen en specialisaties binnen het team

    Binnen een compliance team is het zelden nodig om voor elk aandachtsgebied een aparte specialist aan te stellen. Tegelijk is het onrealistisch om te verwachten dat iedere compliancefunctionaris over hetzelfde profiel beschikt. In de praktijk ligt de kracht in een doordachte taakverdeling. Sommige teamleden hebben affiniteit met juridische vraagstukken of privacy, anderen zijn sterk in monitoring en analyse, weer anderen in communicatie of integriteitsthema’s. Ook binnen een klein team kunnen dergelijke accenten worden aangebracht, zolang duidelijk is wie waarop aanspreekbaar is en hoe de werkzaamheden worden afgestemd.

    Een aantal rollen komt in de praktijk regelmatig voor. Bemoeienis in enige vorm met interne reviews of opdrachtgerichte kwaliteitsbeoordelingen (OKB) binnen de accountancy is vrij standaard, eventueel uitgebreid met domeinen als fiscaliteit. Ook specifieke rollen in relatie tot de Wwft komen vaak voor. Bij veel kantoren is binnen compliance expliciete aandacht belegd voor de naleving van de AVG. In sommige gevallen is een teamlid aangewezen als functionaris voor gegevensbescherming (FG), hoewel dit wettelijk doorgaans niet verplicht is. Deze rol vereist specifieke kennis van privacywetgeving, maar ook inzicht in procesinrichting en gedragsaspecten. Een minder expliciet voorkomende specialisatie betreft incidenten en integriteit. Wie deze taak op zich neemt, fungeert als meldpunt, begeleidt onderzoeken en adviseert over cultuurmaatregelen.

    Naast deze herkenbare rollen valt te denken aan andere aandachtsgebieden: duurzaamheid, klokkenluidersregeling, sanctielijsten of cyberbeveiliging. Die verbreding kan logisch zijn, maar vergt aandacht voor rolafbakening. Niet iedereen hoeft overal op ingezet te worden, zolang het team als geheel maar de gevraagde breedte en diepgang kan bieden.

    Essentieel is dat taakverdeling niet informeel of impliciet blijft. Wie doet wat, wie is aanspreekpunt bij vragen of signalen, en hoe wordt voorkomen dat zaken tussen wal en schip raken? Een gedeelde mailbox is geen vervanging voor heldere afspraken. Als rollen niet zijn uitgesproken, ontstaan gemakkelijk doublures, lacunes of onduidelijkheden in communicatie. Een compacte, maar functioneel uitgewerkte matrix van verantwoordelijkheden helpt het team niet alleen intern, maar ook in de herkenbaarheid binnen het kantoor.

    Diversiteit in achtergrond en denkrichting

    Een effectief compliance team bestaat niet uit gelijkgestemden. De kracht zit juist in de onderlinge verschillen: in achtergrond, benadering, temperament en overtuiging. Dat begint bij de vooropleiding. Het is een misvatting dat compliancefunctionarissen per definitie accountant zouden moeten zijn. In de praktijk is een accountant met vaktechnische ervaring een waardevolle aanvulling, maar geen vereiste voor iedere rol binnen het team. Juist juristen, bestuurskundigen, gedragswetenschappers of communicatieprofessionals kunnen waardevolle perspectieven inbrengen, zeker wanneer het gaat om integriteit, governance, cultuur, beleid of gedragsverandering. Een team waarin iedereen denkt als een accountant, kijkt ook als een accountant en mist daarmee mogelijk wat nodig is om structureel spanning, patronen en cultuur te begrijpen.

    Ook in houding en benadering is verscheidenheid een kracht. De onderzoekende analist, de taalvaardige rapporteur, de rustige luisteraar en de kritische uitdager: ieder brengt iets anders, en ieder vult het beeld aan. Dat vraagt om wederzijds respect en duidelijke afspraken, maar levert veel op. In de praktijk blijken goed functionerende teams niet homogeen, maar juist complementair. Verschillen worden niet weggepoetst, maar productief gemaakt. Wie alles alleen wil kunnen, faalt vroeg of laat. Wie samenwerkt met mensen die anders kijken, scherpt het eigen oordeel en voorkomt blinde vlekken.

    Een dergelijke samenstelling komt niet vanzelf tot stand. Ze vereist bewuste keuzes bij werving, taakverdeling en beoordeling. Dat vraagt ook iets van het bestuur: het vermogen om niet alleen te kijken naar titels, maar naar potentieel. Compliance is geen verlengstuk van de accountancy, maar een zelfstandig vak met raakvlakken aan vele disciplines. Wie dat erkent, bouwt aan een team dat niet alleen professioneel is, maar ook toekomstbestendig.

    Coördinatie en eindverantwoordelijkheid

    Een compliance team functioneert niet als optelsom van losse functionarissen. Ook in een gedeelde of thematisch opgebouwde structuur is coördinatie essentieel. Er moet iemand zijn die het overzicht bewaart, het jaarplan bewaakt, prioriteiten stelt en de afstemming verzorgt met bestuur, directie en praktijk. Zonder die rol verzandt het team gemakkelijk in losse acties, fragmentarische signalering of reactieve incidentbestrijding. Coördinatie is geen machtspositie, maar een noodzakelijke structuur om richting en samenhang aan te brengen in een functie die per definitie breed en complex is.

    In de praktijk bestaat een compliance team zelden uit junioren. De meeste teamleden zijn taakvolwassen professionals, vaak met ruime ervaring in de praktijk of in andere tweedelijnsrollen. Niet zelden werken zijparttime, op wisselende dagen en verspreid over meerdere vestigingen. Fysieke aanwezigheid op één locatie is eerder uitzondering dan norm. Daar komt bij dat hybride werken inmiddels de standaard is. Wie vasthoudt aan overlegstructuren die alleen functioneren als iedereen tegelijk op kantoor is, loopt al snel vast.

    Die realiteit stelt eisen aan de manier waarop het team is georganiseerd. Er is behoefte aan vertrouwen, zelfstandigheid en duidelijke rolverdeling, maar ook aan goede digitale ondersteuning. Met moderne office software zoals Teams, OneNote, SharePoint of Planner zijn veel van de praktische uitdagingen goed oplosbaar, mits het team weet wat het van elkaar mag verwachten. Een gedeelde notitieomgeving, een gezamenlijke planning, duidelijke afspraken over communicatie, waaronder dossiervorming, en overdracht zijn vaak belangrijker dan fysieke nabijheid. Coördinatie krijgt dan een andere kleur: minder direct aansturen, meer faciliteren, verbinden en borgen.

    Uiteindelijk vraagt ieder compliance team om een duidelijk aanspreekpunt. Niet alleen intern, maar ook richting bestuur, externe toezichthouders of vaktechniek. Die eindverantwoordelijke moet kunnen instaan voor de consistentie en zorgvuldigheid van het functioneren van de compliancefunctie als geheel. Dat betekent niet dat alle signalen, rapporten of adviezen door dezelfde persoon moeten worden opgesteld. Wel dat iemand in de organisatie zegt: hier staan wij voor, zo is onze afweging tot stand gekomen, en hierop mag u ons aanspreken.

    Samenwerking met eerste lijn en staf

    Een goed functionerend compliance team opereert niet in isolement. De toegevoegde waarde ontstaat juist in de interactie met de eerste lijn en met stafafdelingen zoals vaktechniek, finance, HR of ICT. Dat vraagt om afstemming, toegankelijkheid en wederzijds vertrouwen. Compliance moet weten wat er speelt, maar ook benaderbaar zijn wanneer zich vragen, dilemma’s of signalen voordoen. In de praktijk betekent dit een mix van gestructureerde overleggen, laagdrempelige aanspreekbaarheid en meebewegen met het ritme van de organisatie. Wie alleen zichtbaar is bij incidenten of rapportages, zal zelden als vanzelfsprekend gesprekspartner worden gezien.

    De samenwerking met de eerste lijn vraagt om duidelijkheid over rolverdeling. De lijn is verantwoordelijk voor uitvoering en kwaliteitsbewaking, compliance voor toetsing en borging. Dat kan alleen goed functioneren als beide elkaar serieus nemen. De compliance officer die zich opstelt als beterweter of controleur wordt gemeden. Maar ook de lijnfunctionaris die zijn verantwoordelijkheid wegschuift richting compliance ondermijnt het stelsel. Goede samenwerking vraagt om wederzijds respect, een gedeeld begrippenkader en regelmatige uitwisseling van inzichten. Het gesprek moet niet alleen gaan over wat mis ging, maar ook over wat beter kan.

    De verbinding met andere stafafdelingen is even belangrijk. Vaktechniek en compliance hebben deels overlappende werkterreinen, maar een andere invalshoek. Juridische ondersteuning en risicomanagement raken aan veel van dezelfde thema’s, maar hanteren andere methoden. Alleen als deze functies elkaar weten te vinden, ontstaat een samenhangend geheel. In de praktijk is dat geen vanzelfsprekendheid. Samenwerking ontstaat niet door het delen van een document, maar door het onderhouden van een relatie. Dat vraagt om ritme, taal, tijd en wederzijdse beschikbaarheid. Niet alles hoeft formeel vastgelegd te worden, maar niets functioneert zonder aandacht.

    Specifieke invullingen en hybride vormen

    Hybride combinaties en rolvermenging

    In de praktijk van mkb-kantoren is de compliancefunctie zelden zuiver afgebakend. Vaak wordt zij gecombineerd met andere taken, variërend van kwaliteitsbepaling tot risicomanagement, beleidsontwikkeling, vaktechniek of zelfs bestuursverantwoordelijkheid. Die combinaties ontstaan niet uit slordigheid, maar uit pragmatisme: beperkte schaal, beperkte capaciteit en het ontbreken van formeel onderscheid maken dat één persoon meerdere rollen vervult. Tegelijk schuilt daarin een wezenlijk risico. Wie verantwoordelijk is voor het opstellen van beleid, het toetsen van de uitvoering én het rapporteren over tekortkomingen, is in feite controleur van het eigen werk. En wie te dicht op de uitvoering zit, verliest de ruimte om onafhankelijk te oordelen wanneer dat nodig is.

    Rolvermenging hoeft echter niet altijd tot onwerkbaarheid te leiden. In veel kantoren is het nu eenmaal niet haalbaar om voor elke functie een aparte medewerker aan te stellen. De oplossing ligt dan niet in scheiding, maar in bewustzijn. Een hybride rol kan functioneren als de betrokken functionaris helder aangeeft vanuit welke pet hij of zij spreekt, en als het bestuur bereid is die nuance serieus te nemen. Het vraagt discipline, rolvastheid en bereidheid tot reflectie. Belangrijk is dat er altijd momenten van afstand zijn ingebouwd: terugkoppeling naar het bestuur, collegiale toetsing, of een periodieke second opinion van buiten het eigen team. Zonder die mechanismen wordt vermenging vroeg of laat ondermijning.

    De compliance officer als FG of risicomanager

    Twee hybride combinaties komen in de praktijk regelmatig voor: die van compliance officer met functionaris voor gegevensbescherming (FG) en die met risicomanager. Beide combineren een toetsende en adviserende taak, en kennen inhoudelijke overlap. In het geval van de FG-rol is die overlap zelfs substantieel. Zowel compliance als de FG houden zich bezig met naleving, interne beheersing, bewustwording en rapportage. In veel mkb-kantoren is de FG-rol daarom ondergebracht bij het complianceteam, en dat is in beginsel goed te verenigen. De AVG vereist wel dat de FG over voldoende autonomie beschikt om zonder belemmering te kunnen rapporteren, ook wanneer het onderwerp gevoelig ligt of raakt aan andere beleidsdoelen. De combinatie is dus niet verboden, maar vraagt ruimte en expliciete erkenning van de onafhankelijke positie van de FG binnen de bredere rolopvatting van compliance.

    De combinatie met risicomanagement ligt anders. Ook hier is sprake van overlap, zeker waar het gaat om signaleren, analyseren en adviseren over kwetsbaarheden in de organisatie. Maar het perspectief verschilt. Risicomanagement richt zich op de vraag welke risico’s de strategische en operationele doelstellingen van het kantoor bedreigen, en hoe die risico’s beheerst kunnen worden. De riskmanager faciliteert dat proces, ondersteunt bij het bepalen van risicobereidheid, en adviseert over maatregelen. Maar de verantwoordelijkheid voor het omgaan met risico’s ligt nadrukkelijk bij de eerste lijn en het bestuur. Compliance daarentegen toetst of het beleid en de maatregelen die zijn vastgesteld ook daadwerkelijk worden nageleefd. De één ondersteunt het denken over risico’s, de ander toetst de uitvoering ervan.

    Bij beide combinaties geldt: de meerwaarde zit in de verbinding, het risico zit in de vervlechting. Wanneer rollen niet expliciet onderscheiden worden, ontstaat verwarring. Dan wordt het onduidelijk wie toetst en wie adviseert, wie helpt en wie rapporteert, en waar de grens ligt tussen meedenken en beoordelen. Juist in dit soort combinatiefuncties is het van belang om die grenzen hardop te benoemen, en intern voortdurend onderling te toetsen of ze nog worden bewaakt.

    Toetsend versus faciliterend: schuivende grenzen

    De compliance officer is geen handhaver in klassieke zin. Zeker binnen mkb-kantoren komt de meeste impact niet voort uit formele toetsing of rapportages, maar uit het gesprek: het sparren met praktijkverantwoordelijken, het signaleren van spanningen, het begeleiden van verbeterprocessen. Daarmee schuift de rol vaak op richting advisering en ondersteuning. Dat is op zichzelf geen probleem, en zelfs wenselijk als het bijdraagt aan naleving, bewustwording en kwaliteitsverbetering. Maar het maakt de grens tussen toetsing en facilitering dunner. Wie vandaag adviseert over een aanpak, kan morgen moeilijk onafhankelijk toetsen of die aanpak wel passend was.

    Die schuivende grens vraagt om voortdurende alertheid. Niet ieder advies hoeft vermeden te worden, en niet elke suggestie ondermijnt de onafhankelijkheid. Maar het is van belang dat de compliance officer zich steeds afvraagt: vanuit welke rol spreek ik, en hoe borg ik dat mijn oordeelsvorming geloofwaardig blijft? Soms betekent dat: terughoudendheid betrachten. Soms: expliciet maken dat het gesprek verkennend is en niet bindend. En soms betekent het: het toetsen overlaten aan een collega of externe partij, om belangenverstrengeling te vermijden.

    De mate waarin de compliance officer optreedt als adviseur of begeleider verschilt per kantoor en per situatie. Belangrijk is dat die rol niet verwordt tot verlengstuk van de uitvoering. De kracht van compliance ligt juist in het spanningsveld: nabij genoeg om effect te hebben, maar onafhankelijk genoeg om te kunnen oordelen. Die spanning hoeft niet opgelost te worden, maar moet wel onderkend en actief beheerd worden. Niet door afstand te nemen van de praktijk, maar door open te blijven over de rol die wordt vervuld.

    Organisatorische positionering en verwachtingenmanagement

    Een hybride invulling van de compliancefunctie vraagt niet alleen iets van de functionaris zelf, maar ook van het bestuur. Uiteindelijk is het het bestuur dat de kaders stelt: welke rollen worden gecombineerd, welk mandaat wordt toegekend, hoe onafhankelijkheid wordt geborgd en hoe wordt omgegaan met mogelijke spanningen. Dat vereist meer dan een functiebeschrijving. Het vraagt om een gedeeld beeld van de rol die compliance binnen het kantoor vervult, en om realistische verwachtingen ten aanzien van tijd, capaciteit, ondersteuning en positionering.

    Die verwachtingen moeten passen bij de context van het kantoor. In een klein team is het onvermijdelijk dat de compliance officer meerdere petten draagt. Maar dat ontslaat het bestuur niet van de verantwoordelijkheid om te zorgen voor afbakening, reflectie en ondersteuning. Ook een parttime compliance officer die andere taken vervult, moet de ruimte krijgen om onafhankelijk te kunnen optreden wanneer dat nodig is. Dat vergt niet alleen formele mandatering, maar ook een cultuur waarin ongemakkelijke signalen welkom zijn en waarin toetsing niet wordt opgevat als kritiek, maar als vorm van betrokkenheid.

    Tegelijk moet ook de compliance officer realistisch zijn in wat mogelijk is. Wie een hybride functie vervult, kan niet overal onafhankelijk in optreden. Dat hoeft ook niet, zolang maar duidelijk is welke onderwerpen toetsbaar zijn en welke niet. De kracht zit in helderheid. Zeggen wat je wel kunt doen, en zeggen wat je bewust laat liggen. Dat vraagt om professioneel zelfinzicht, maar ook om ruimte voor reflectie en collegiale toetsing. In een goed functionerende organisatie is die ruimte aanwezig, juist omdat het bestuur begrijpt dat compliance niet primair over regels gaat, maar over vertrouwen.

    Maar die ruimte moet er niet alleen zijn, zij moet ook daadwerkelijk worden benut. Als een compliance officer structureel ervaart dat signalen worden genegeerd, dat onafhankelijk optreden wordt belemmerd of dat het bestuur zich onttrekt aan fundamentele verantwoordelijkheden, ontstaat een grens. In dat geval rust op de compliance officer de plicht om dit bespreekbaar te maken, te documenteren en, als er geen verbetering volgt, zich af te vragen of het nog verdedigbaar is om de functie te blijven vervullen. In het uiterste geval is het neerleggen van de rol geen vlucht, maar een professionele consequentie. Juist dat onderscheidt een functie met gezag van een titel zonder inhoud.

    Terug naar de inhoudsopgave

    Klik hier voor de inhoudsopgave.

  • De Bermudadriehoek van Simon van Teutem

    Simon van Teutem is de schrijver van De Bermudadriehoek van talent, een boek waarin hij verkent hoe het kan dat de grote zakenbanken, advocatenkantoren en consultancies een enorme aantrekkingskracht uitoefenen op de briljantste studenten, en deze als ze eenmaal binnen zijn ook nauwelijks meer laten gaan, terwijl de banen die ze bieden nogal ver afstaan van de idealen van veel van die studenten.

    Ik las zijn boek letterlijk in één nacht uit.

    Is het een diepdoordacht filosofisch werk, een doorwrochte economische analyse, of een strijdbaar pamflet? Nee. Niets van dat alles. Het is ruim 200 zeer leesbare en goed geannoteerde pagina’s herkenning.

    En laat me dat meteen relativeren. Ik ken de wereld van McKinsey, Goldman Sachs en de Clifford Chance niet, en ik heb Cambridge alleen als kind gezien tijdens een vakantie met mijn ouders. Maar ik ken de wereld van de Magic Circle, de Big Three, de Bulge Bracket Firms, en, daar zijn ze, de Big Four, wel van redelijk dichtbij. Als student was ik volgens de capaciteitentests van de TU/e waar ik een blauwe maandag Technische Natuurkunde studeerde geschikt om mee te draaien in die wereld, maar ik miste de ambitie en vooral de werklust om zelfs maar in de buurt te komen. Zes jaar PwC waren wel zes jaar in de accountancy en de IT audit. Dat zat wel tegen consultancy aan, maar zoals Van Teutem direct al bevestigt in zijn boek: accountancy maakt de Big Four tweederangs consultancy firms.

    En toch. Letterlijk ieder concept dat Van Teutem beschrijft, iedere ervaring, ieder systeem, ieder voorbeeld herken ik. Niet in dezelfde intensiteit als wat hij meemaakte, maar wel dezelfde vorm. Het verschil tussen de verhalen over maatschappelijke impact en eigen verantwoordelijkheid enerzijds en de geslotenheid van de firms en hun giftige reacties op mensen die publiekelijk zich uitspreken, hoe onschuldig het onderwerp ook. De werkuren. Het vertroetelen van de medewerkers, de gouden handboeien, de constante feedback, het bij de beste willen horen. En ja, de ervaring van nerd op de middelbare school naar gevierde hipo en wat dat doet met je sociale contacten. Zomaar wat voorbeelden.

    Wat Van Teutem beschrijft over de wereld van de top zakelijke dienstverleners in investment banks, consultancies en advocatuur, geldt evenzeer voor de wereld van accountancy. En net als in de door hem beschreven sectoren is de top van de pyramide heftiger dan de onderkant. Maar de overeenkomsten zijn minstens opmerkelijk.

    Daarmee was zijn boek voor mij enerzijds een feest van herkenning, en anderzijds toch een eye opener. Niet omdat wat hij beschrijft op anekdotisch niveau iets nieuws bevatte, maar omdat hij het systematiseert op een manier die ik nooit eerder gezien heb. En ook nooit eerder zo expliciet zelf herkend heb.

    Voor iemand die in de laatste fases van zijn werkzame leven is aangekomen, zoals ik, is het misschien alleen maar een vermakelijk boek. En voor wie deze wereld niet kent of er wel in zit maar zo ver van een partnership bij de Big 4 af dat het niet als “eigen” voelt is het misschien vooral een aanklacht om hoofdschuddend te lezen en daarna weg te leggen.

    Ik denk echter dat het meer is, of kan zijn. Hoewel van Teutem eindigt met een aantal suggesties over wat je zelf kan doen als overgetalenteerde high potential die niet in de Bermudadriehoek wil verdwijnen, vind ik wat hij schrijft vooral boeiend voor spelers in de wereld die hij beschrijft die net niet tot zijn Bermudadriehoek behoren, maar die er wel de goede dingen uit willen leren terwijl ze intussen ook betekenisvol werk willen doen, betekenisvolle banen willen bieden en jonge talenten echt de ruimte willen geven de wereld te helpen verbeteren.

    Want dat is iets waar ik vooraf wat bang voor was, maar wat Van Teutem niet doet. Zijn boek is niet een soort “weg met het grote geld” geworden. Hij ziet wel degelijk hoe ook de grote consultancies, investment banks en advocatenkantoren betekenisvol, maatschappelijk relevant werk kunnen doen. Alleen doen ze het niet zoveel als ze zelf beweren, of zouden kunnen.

    Wie zou dit boek echt moeten lezen? Wat mij betreft in ieder geval iedereen die een studie of een carrière is begonnen in de accountancy en de daaraan gerelateerde advisering, zoals fiscalisten, bedrijfsadviseurs, juristen, HR-adviseurs, subsidie-adviseurs, enzovoort, enzovoort. Maar ook de beroepsorganisaties, de toezichthouders, kantoren, HR-afdelingen vooral, en recruiters. De raden van bestuur en raden van commissarissen van die kantoren. Opleiders. Iedereen die zich afvraagt waarom niemand meer accountant wil worden. En waarom de Big 4 wel nog mensen weten te vinden.

    Het boek van Van Teutem heeft niet overal een antwoord op. Het geeft wel hulp bij het zelf beantwoorden van relevante vragen. Mijn afdronk, terwijl ik zijn boek nog echt niet verwerkt heb (ik heb het de afgelopen nacht gelezen en het is nu 9:30 zaterdagochtend, ik heb net ontbeten), voor een paar groepen:

    Studenten en young professionals

    Van Teutem helpt jullie rechtstreeks, dus ik citeer zijn lijstje met suggesties die hij in zijn boek uitwerkt:

    1. Redeneer vanuit je sterfbed
    2. Rijkdom is je leven langs je eigen meetlat kunnen leggen
    3. Met wie vergelijk je jezelf?
    4. Vind een accountability partner
    5. Wees conservatief met comfort
    6. Vind een niche
    7. Vind plekken waar aanzien en impact elkaar ontmoeten
    8. Wat is het ergste wat er kan gebeuren?
    9. Spreek je uit

    Misschien dat de ene suggestie al direct duidelijk is en de andere uitleg nodig heeft, Van Teutem geeft die, maar ik durf na pakweg 35 jaar in deze wereld wel te zeggen dat Van Teutem wat mij betreft 9 keer volstrekt gelijk heeft. Zijn suggesties gaan je niet naar een totaal ander leven brengen, ze gaan je leven in dit wereldje wel totaal beter maken. Veel beter.

    NBA, SRA, AFM, MinFin, en al die andere clubs om het beroep heen

    Wat is de gesel van het accountantsberoep vandaag de dag? Grote schandalen? Zorgen over fraude? Een gebrek aan zichtbare positieve impact? Of een angst over gebrek aan instroom en te grote uitstroom?

    Van Teutem biedt in zijn 9e hoofdstuk “Het kan anders” suggesties over hoe het wereldje anders kan. En hoewel hij zich niet richt op accountants zijn zijn ideeën daar wel degelijk bruikbaar. Goed om ter harte te nemen. En hoewel hij daar wel enigszins de revolutie predikt, ik denk dat veel van de problemen en de beweerde problemen in onze sector helemaal niet zoveel revolutie nodig hebben. Lees zijn boek en laat eens tot je doordringen dat wat hij beschrijft in meer of mindere mate ook de wereld van accountants is, van de young profs vooral, maar ook van de hele sector, de cultuur, de systemen. En bedenk dan dat daar minstens een deel van de sleutel tot verandering ligt.

    Wat zou er gebeuren als we de aantrekkingskracht van de sector kunnen behouden of zelfs vergroten door te begrijpen hoe je jonge talenten weet te lokken en te binden, maar daarbij de giftige methodes afwijst en de inhoudelijke betekenis voorrang geven?

    Kantoren

    De hele sector veranderen is misschien te veel gevraagd. En individuen die de ervaringen van Van Teutem al te goed herkennen worden misschien eerder de sector uitgejaagd waarmee de problemen alleen maar groter worden.

    Maar wat als je als individueel kantoor, als bestuurder, als HR-verantwoordelijke, als recruiter, als leidinggevende, als partner, als manager, als collega, nu eens radicaal nadenkt over wat die jonge talenten, young professionals, carrière tijgers en high potentials lokt, afschrikt, bindt en wegjaagt?

    Stel eens dat je het boek van Van Teutem leest en niet terzijde legt omdat het toch niet over jou gaat, m aar leest en jezelf dwingt te bekijken in hoeverre het wel over jou en jouw kantoor gaat?

    Wat nu als je gaat begrijpen wat de Big Four allang begrijpen over wat die jonge talenten lokt en bindt, die nog geen concreet idee hebben van de wereld, maar die wel een soort vage ambitie hebben betekenisvol te zijn, een bijdrage te leveren, uitgedaagd te worden? En wat als je inziet hoe onze sector bijzonder bedreven is in het slopen van die intrinsieke ambities? Vast meestal niet bewust, maar te vaak wel degelijk in het resultaat? Zou dat geen kansen bieden om talent te vinden, te binden, en een plek te bieden waarin ze echt betekenisvol werk doen en dat ook zo ervaren?

    Onzin?

    Praat ik onzin?

    Wellicht. Want we weten toch dat ons werk enorm belangrijk is? Maatschappelijk bijzonder relevant. We zijn immers impactmakers, we creëren duurzame groei, we zorgen voor ervaringen die mensen bewegen, samen bouwen we aan een weerbaar Nederland, …so you can outthink, outpace and outperform (om maar de kreten op de landingspagina’s van de Big 4 te citeren).

    Maar vraag het eens aan een individuele accountant. Wat doen we nu precies voor maatschappelijks relevants? Ik hoor opmerkelijk vaak dingen als “ja, het is een wettelijke verplichting, die controle”, “de klant moet nu eenmaal een jaarrekening hebben” en meer van dat soort bijzonder motiverende teksten.

    Ik ben een optimist in twee richtingen:

    Ik geloof oprecht dat veel accountantskantoren echt een maatschappelijke ambitie hebben, echt relevant willen zijn. Hoe die ambitie zich exact verhoudt tot de ambitie (veel) geld te verdienen zal variëren, maar geld stinkt niet op zichzelf.

    Ik geloof ook even oprecht dat het werk dat wij doen in audit, samenstel, advisering voor ondernemers en ondernemingen, not for profits, overheden, etcetera, echt nuttig is. Ons werk is niet betekenisloos.

    Maar weten we dat zichtbaar te maken? Weten we het waar te maken?

    Lees De Bermudadriehoek van talent van Simon van Teutem. En gun jezelf dat je het betrekt op jezelf, je eigen organisatie en je eigen sector. In het ergste geval kost het je een nachtje doorlezen. In het beste geval heb je er mooie nieuwe inzichten door en zet het je aan tot actie.