Tag: Compliance in de accountantspraktijk

6. Cultuur en governance: het speelveld van compliance

Begrippen en uitgangspunten

Wie over cultuur en governance spreekt, begeeft zich snel op glad ijs. Begrippen worden vaag gebruikt, normatief ingevuld of gereduceerd tot slogans. Voor compliance is dat riskant. Juist omdat compliance geen abstracte rol vervult, maar opereert binnen organisaties, met reële machtsverhoudingen en belangen, is begripsdiscipline hier geen academische luxe maar een praktische noodzaak.

In dit hoofdstuk worden daarom drie begrippen functioneel afgebakend: cultuur, governance en compliance. Niet om een theoretisch kader te bouwen, maar om scherp te krijgen waar compliance zich feitelijk bevindt en waarom zij daar soms effectief is en soms niet.

Cultuur wordt hier niet opgevat als een set waarden of ambities, maar als het geheel van impliciete normen, routines en verwachtingen dat feitelijk gedrag stuurt. Cultuur blijkt niet uit wat organisaties opschrijven, maar uit wat zij belonen, tolereren of negeren. Wie carrière maakt, wie wordt beschermd bij fouten, wie mag afwijken en wie wordt aangesproken: daarin manifesteert zich de werkelijke cultuur van een organisatie. Voor compliance is cultuur geen instrument en geen project, maar een gegeven realiteit waarbinnen zij haar rol moet vervullen.

Governance wordt in dit hoofdstuk niet benaderd als een organogram of een verzameling reglementen. Governance gaat over de wijze waarop macht, verantwoordelijkheid en tegenmacht zijn georganiseerd en uitgeoefend, waarbij tegenmacht niet primair oppositioneel is, maar corrigerend en begrenzend. Het betreft de verdeling van beslissingsbevoegdheden, toezicht, verantwoording en correctiemechanismen binnen een organisatie. Governance is daarmee niet statisch: zij functioneert in de dagelijkse praktijk, in besluitvorming, escalatie en het al dan niet serieus nemen van signalen.

Compliance tenslotte wordt hier nadrukkelijk niet gedefinieerd als een normstellende of moraliserende functie. De kern van compliance ligt in een onderzoekende, toetsende en informerende rol. Compliance verzamelt, weegt en duidt relevante normen, feiten en risico’s, en stelt die informatie beschikbaar aan de partijen die binnen de governance verantwoordelijk zijn voor besluitvorming. Compliance neemt daarbij geen eigen bestuurlijk standpunt in. Dat betekent overigens niet dat compliance geen oordeel geeft, maar dat dit oordeel altijd gebaseerd is op normen die van buiten de compliancefunctie komen. Tegenspraak is geen uitgangspunt, maar kan het gevolg zijn van zorgvuldig onderzoek en heldere duiding. Conflict is dus nooit het doel, maar moet ook niet al te nadrukkelijk worden vermeden.

Deze positionering is essentieel. Wanneer compliance wordt opgevat als interne tegenmacht of als moreel kompas, raakt zij al snel verstrikt in rolverwarring en weerstand. Wanneer compliance daarentegen wordt begrepen als een functie die transparantie creëert over normen, risico’s en consequenties, ontstaat ruimte voor volwassen besluitvorming. Dat maakt compliance minder spectaculair, maar structureel relevanter.

Vanuit deze begripsafbakening wordt in de volgende paragrafen verkend hoe cultuur en governance het speelveld bepalen waarbinnen compliance opereert. Niet als vrij zwevende functie, maar als onderdeel van een organisatie waarin macht, belangen en verantwoordelijkheid onvermijdelijk samenkomen.

Governance als verdeling van macht, verantwoordelijkheid en tegenmacht

Governance bepaalt niet alleen wie formeel beslist, maar vooral hoe besluiten tot stand komen, worden getoetst en zo nodig worden gecorrigeerd. In dat opzicht is governance minder een stelsel van regels dan een ordening van macht, verantwoordelijkheid en tegenmacht. Juist dat kader vormt het speelveld waarbinnen compliance functioneert.

In veel organisaties wordt governance nog primair begrepen als structuur: bestuur, toezicht, commissies, reglementen. Die structuur is noodzakelijk, maar zegt weinig over de feitelijke werking. Governance manifesteert zich pas in de praktijk, in wie gehoord wordt, welke signalen serieus worden genomen, hoe afwijkingen worden besproken en waar besluitvorming daadwerkelijk stopt. Daarin worden machtsverhoudingen zichtbaar die niet altijd samenvallen met formele posities.

Voor compliance is dit onderscheid cruciaal. Compliance opereert nooit in een machtsvacuüm. Zij is afhankelijk van de ruimte die governance laat voor onderzoek, toetsing en duiding, én van de bereidheid van bestuur en toezicht om met die informatie iets te doen. Governance kan compliance ondersteunen door transparantie en aanspreekbaarheid te organiseren, maar kan haar ook neutraliseren door signalen te parkeren, te heretiketteren of te verdunnen in besluitvorming.

Een belangrijk spanningsveld daarbij is dat tussen autonomie en onafhankelijkheid. Autonomie ziet op de handelingsruimte van de compliancefunctie: de mogelijkheid om eigen onderzoeken te doen, prioriteiten te stellen en onderwerpen te agenderen. Onafhankelijkheid ziet op de oordeelsvorming: de mate waarin conclusies kunnen worden getrokken en gedeeld zonder oneigenlijke beïnvloeding of repercussies. In de praktijk zijn deze begrippen niet identiek en zeker niet altijd verenigd.

Volledige autonomie is voor compliance noch haalbaar, noch wenselijk. Compliance maakt onderdeel uit van de organisatie en functioneert binnen de kaders die bestuur en governance stellen. Functionele onafhankelijkheid daarentegen is essentieel. Zonder die onafhankelijkheid verwordt compliance tot uitvoerder van bestuurlijke voorkeuren of tot verlengstuk van andere functies. Governance moet die onafhankelijkheid expliciet borgen, juist omdat compliance zelf geen beslissingsmacht heeft.

In organisaties met een Raad van Commissarissen of vergelijkbaar toezichthoudend orgaan krijgt dit spanningsveld een extra dimensie. De aanwezigheid van toezicht creëert een aanvullend referentiepunt voor compliance, los van de dagelijkse bestuurlijke lijn. Daarmee ontstaat overigens niet automatisch betere compliance, maar wel een bredere institutionele context waarin signalen kunnen worden gewogen en waarin betere compliance mogelijk wordt. De precieze invulling daarvan verschilt per organisatie en wordt in de volgende paragraaf nader uitgewerkt.

Wat hier van belang is, is dat governance geen oplossing is voor compliancevraagstukken, maar een randvoorwaarde. Governance bepaalt of compliance informatie kan verzamelen, delen en laten landen. Waar governance vooral gericht is op snelheid, consensus of het vermijden van ongemak, zal compliance structureel moeite hebben haar rol te vervullen. Waar governance ruimte laat voor reflectie en begrenzing, kan compliance functioneren zonder zichzelf te hoeven overschreeuwen.

Daarmee is governance geen neutrale achtergrond, maar een actieve factor in de effectiviteit van compliance. Niet door wat zij voorschrijft, maar door wat zij mogelijk maakt – of juist onmogelijk maakt.

De positie van de compliance officer in de governance-structuur

De positie van de compliance officer wordt in hoge mate bepaald door de governance-structuur waarbinnen zij opereert. Niet alleen door formele rapportagelijnen, maar door de samenhang tussen gezag, mandaat, toegang en bescherming. Juist omdat compliance geen beslissingsbevoegdheid heeft, is haar effectiviteit afhankelijk van de wijze waarop deze elementen institutioneel zijn geborgd.

In de praktijk rapporteert de compliance officer doorgaans aan de Raad van Bestuur. Van het bestuur ontvangt zij haar opdracht, haar budget en het gezag om haar rol te vervullen binnen de organisatie. Die bestuurlijke inbedding is noodzakelijk: zonder toegang tot besluitvorming en zonder formele positionering kan compliance haar onderzoekende en toetsende rol niet effectief uitoefenen.

Tegelijkertijd vraagt de aard van de compliancefunctie om een aanvullende borging. In goed ingerichte governance-structuren wordt de compliance officer daarom vaak benoemd en ontslagen door de Raad van Commissarissen of een daarmee vergelijkbaar toezichthoudend orgaan als dat tenminste bestaat. Bij kleine organisaties zie je vaak een externe compliance officer. Deze is dan weliswaar niet goed beschermd, maar evenmin van het bestuur afhankelijk voor diens carrière. Daarmee wordt onderstreept dat compliance geen verlengstuk is van het dagelijks bestuur, maar een functie met een zelfstandige verantwoordelijkheid binnen het bredere governance-kader.

Deze constructie creëert een spanning die niet moet worden opgelost, maar beheerst. Enerzijds is compliance afhankelijk van het bestuur voor haar dagelijkse functioneren. Anderzijds biedt de toezichthoudende verankering bescherming tegen situaties waarin signalen structureel worden genegeerd of geneutraliseerd. De mogelijkheid tot escalatie richting toezicht is geen alternatief voor bestuurlijke besluitvorming, maar een noodmechanisme voor uitzonderlijke omstandigheden.

Van belang is daarbij dat het bestaan van deze escalatieroute vaak belangrijker is dan het feitelijke gebruik ervan. Governance werkt hier preventief, de wetenschap dat signalen niet uitsluitend binnen de bestuurlijke lijn hoeven te blijven, beïnvloedt het gesprek nog vóórdat escalatie aan de orde is. Daarmee draagt governance bij aan de onafhankelijkheid van compliance zonder haar los te maken van de organisatie.

De positie van de compliance officer wordt daarmee niet gekenmerkt door formele macht, maar door functionele legitimiteit. Die legitimiteit ontstaat uit een combinatie van duidelijke mandatering, bestuurlijke steun en toezichthoudende borging. Waar één van deze elementen ontbreekt, verschuift compliance mogelijk richting symboliek of formaliteit.

In de volgende paragraaf wordt verkend hoe deze positionering in de praktijk samenkomt met cultuurconflicten die juist in groeiende organisaties zichtbaar worden, en welke spanning dat oplevert voor de dagelijkse invulling van de compliancefunctie.

Cultuurconflicten in groeiende organisaties

Cultuurconflicten worden vaak pas zichtbaar wanneer organisaties groeien. Niet omdat cultuur daarvoor afwezig is, maar omdat impliciete normen en informele werkwijzen onder druk komen te staan zodra schaal, complexiteit en externe verwachtingen toenemen. Wat lange tijd werkte op basis van nabijheid en vakmanschap, wordt dan geconfronteerd met de noodzaak tot explicitering, standaardisering en verantwoording.

In groeiende organisaties bestaat cultuur vaak bij de gratie van persoonlijke relaties, professionele reputatie en wederzijds vertrouwen. Besluiten worden genomen op basis van gedeeld begrip, afwijkingen worden informeel besproken en fouten worden hersteld zonder formele escalatie. Die nabijheid kan krachtig zijn, maar is kwetsbaar. Naarmate de organisatie groeit, nemen afstand en differentiatie toe. Niet iedereen kent elkaar nog, belangen lopen uiteen en impliciete aannames worden minder vanzelfsprekend gedeeld.

Juist op dat punt ontstaan cultuurconflicten die compliance direct raken. Wat door de één wordt ervaren als gezond professioneel oordeel, wordt door een ander gezien als onduidelijkheid of willekeur. Wat eerder gold als pragmatisme, kan onder externe druk worden herijkt als risico. Compliance bevindt zich in die situaties vaak op het snijvlak: niet als veroorzaker van de spanning, maar als degene die haar zichtbaar maakt.

Een terugkerend spanningsveld is dat tussen vakmanschap en optimalisatie. Vakmanschap veronderstelt tijd, reflectie en professionele autonomie. Optimalisatie stuurt op snelheid, uniformiteit en schaalvoordelen. Beide zijn legitiem, maar zij verdragen elkaar niet altijd vanzelf. Waar groei leidt tot nadruk op efficiëntie en beheersing, kan dat botsen met bestaande professionele normen. Compliance krijgt dan al snel het verwijt formalistisch of vertragend te zijn, terwijl zij feitelijk wijst op grenzen die eerder impliciet werden gerespecteerd.

In organisaties van beperkte schaal blijft cultuur vaak sterker bepalend dan formeel beleid. Zelfs bij organisaties die in absolute zin omvangrijk zijn maar met relatief korte lijnen en zichtbare personen wegen informele signalen zwaarder dan procedures. Voor compliance betekent dit dat formele instrumenten alleen effectief zijn wanneer zij aansluiten bij de bestaande cultuur, of wanneer governance expliciet ruimte creëert om die cultuur ter discussie te stellen.

Deze spanning wordt versterkt wanneer groei gepaard gaat met externe invloeden: nieuwe toezichthouders, aangescherpte regelgeving, investeerders of maatschappelijke verwachtingen. Wat intern logisch en werkbaar was, wordt extern anders gewaardeerd. Compliance fungeert dan vaak als vertaler tussen werelden, maar ontmoet tegelijk weerstand van binnenuit. Niet omdat de boodschap onjuist is, maar omdat zij raakt aan diepgewortelde aannames over hoe het “altijd ging”.

Het is van belang te onderkennen dat deze cultuurconflicten geen falen van compliance zijn. Zij zijn het gevolg van veranderende omstandigheden waarin bestaande normen niet langer vanzelfsprekend functioneren. Compliance kan deze spanning niet oplossen, maar wel expliciteren. Dat vraagt om bestuurlijke bereidheid om ongemak te verdragen en om governance die ruimte laat voor reflectie, juist wanneer de druk toeneemt.

In die zin vormt cultuur geen achtergronddecor, maar een dynamisch krachtenveld. Naarmate organisaties groeien, verschuift dat veld. Compliance opereert daarin niet als scheidsrechter, maar als signaalfunctie. Of die signalen vervolgens leiden tot aanpassing, begrenzing of bevestiging van bestaand gedrag, is uiteindelijk een governancevraagstuk.

Governance als randvoorwaarde voor effectieve compliance

Governance is geen oplossing voor compliancevraagstukken, maar een noodzakelijke randvoorwaarde voor het functioneren van de compliancefunctie. Zij bepaalt of compliance kan waarnemen, onderzoeken en informeren, en of die informatie vervolgens betekenis krijgt in besluitvorming. Zonder passende governance kan compliance formeel aanwezig zijn, maar materieel tandeloos blijven.

Binnen organisaties is governance verdeeld over verschillende organen, ieder met een eigen rol en verantwoordelijkheid. Aan de basis staat de aandeelhoudersvergadering of, in partnerschapsstructuren, de partnervergadering. Hier liggen de uiteindelijke zeggenschap en de economische belangen. In sommige organisaties wordt deze laag beïnvloed door externe partijen, zoals private equity, die aanvullende prikkels introduceren gericht op groei, rendement en tijdshorizon. Waar zeggenschap en economisch belang zijn gescheiden, bijvoorbeeld via een STAK, ontstaat een extra governance-laag die zowel stabiliserend als vertragend kan werken.

Het bestuur draagt de verantwoordelijkheid voor de dagelijkse leiding en is de primaire gesprekspartner van compliance. Hier worden keuzes gemaakt, prioriteiten gesteld en risico’s geaccepteerd of gemitigeerd. De Raad van Commissarissen of een vergelijkbaar toezichthoudend orgaan houdt toezicht op het bestuur en vormt de institutionele tegenmacht. Niet door zelf te besturen, maar door te toetsen, te bevragen en zo nodig te begrenzen. In die gelaagde structuur krijgt compliance haar betekenis, niet als besluitvormer, maar als bron van informatie en duiding voor zowel bestuur als toezicht.

In sommige organisaties speelt ook de ondernemingsraad een rol in het governance-landschap. Hoewel de OR geen formele rol heeft in compliancebesluitvorming, kan zij signalen afgeven over cultuur, werkdruk en sociale veiligheid die relevant zijn voor het functioneren van compliance. Ook hier geldt dat effectiviteit niet zit in formele bevoegdheden, maar in de bereidheid van andere governance-organen om signalen serieus te nemen.

De plaats van compliance binnen dit geheel is daarmee niet los te zien van schaal en complexiteit. In grotere organisaties is functiescheiding vaak mogelijk en wenselijk. In kleinere en middelgrote organisaties ligt dat anders. Daar is het gebruikelijk dat compliance wordt gecombineerd met risicomanagement en soms ook met specialistische rollen zoals die van functionaris gegevensbescherming of CISO. Dat is geen tekortkoming, maar een realiteit. Functiescheiding is in zulke contexten een luxe; rolzuiverheid is een vereiste.

Dat betekent dat helder moet zijn vanuit welke rol wordt gehandeld, welke belangen worden gediend en welke waarborgen zijn getroffen om belangenverstrengeling te voorkomen. Juist in gecombineerde functies is governance bepalend. Duidelijke mandaten, transparante rapportagelijnen en toegang tot bestuur en toezicht zijn belangrijker dan formele organisatorische scheiding.

Effectieve compliance ontstaat daarmee niet door het optuigen van structuren, maar door samenhang. Samenhang tussen organen, tussen rollen en tussen formele bevoegdheden en informele praktijk. Governance creëert die samenhang niet automatisch, maar kan haar wel mogelijk maken. Waar governance fragmentarisch is of primair gericht op beheersing en snelheid, zal compliance moeite hebben haar rol te vervullen. Waar governance ruimte laat voor reflectie, begrenzing en aanspreekbaarheid, kan compliance functioneren zonder zichzelf te hoeven overschreeuwen.

In die zin is governance geen decor en geen sluitstuk, maar een voorwaarde. Niet voor perfecte compliance, maar voor betekenisvolle compliance: een functie die bijdraagt aan geïnformeerde besluitvorming binnen een organisatie die bereid is haar eigen spanningen onder ogen te zien.

1 januari 2026
5. Rol en verantwoordelijkheden

De compliancefunctie binnen het mkb-kantoor

Inbedding in de kantoorstructuur

In de meest uitgebreide vorm is de compliancefunctie binnen een accountantskantoor ingericht als zelfstandig orgaan, met een onafhankelijk mandaat dat statutair is vastgelegd. De compliance officer wordt in dat geval benoemd en ontslagen door de raad van commissarissen (of een vergelijkbaar intern toezichthoudend orgaan) en rapporteert rechtstreeks aan zowel het bestuur als de raad van commissarissen. De onafhankelijkheid is niet alleen formeel geborgd, maar ook zichtbaar in de manier waarop compliance mag opereren: vrij van commerciële druk, met toegang tot alle relevante informatie en met het recht om op elk niveau van de organisatie signalen af te geven. In de praktijk van het mkb-kantoor is zo’n model eerder uitzondering dan regel en worden dit soort varianten vooral bij de grootste kantoren gevonden. Toch functioneert het als ijkpunt: hoe is de compliancefunctie werkelijk ingebed, en in hoeverre is die in staat om haar taak onafhankelijk, gezaghebbend en effectief uit te voeren?

Die taak kent meerdere verschijningsvormen. In de smalste interpretatie ziet compliance enkel toe op naleving van regels binnen de wettelijke controlepraktijk. Iets breder is het toezicht op de volledige accountancyfunctie, dus ook overige assurance opdrachten en aan assurance verwante opdrachten. Weer breder is een mandaat dat zich uitstrekt over álle externe dienstverlening, van fiscale advisering tot subsidieaanvragen en salarisverwerking. In de meest ruime vorm omvat compliance de gehele organisatie: niet alleen de dienstverlening aan cliënten, maar ook de interne structuur, bedrijfsvoering, informatiebeveiliging en cultuur. In zulke gevallen is de compliancefunctie nauw verbonden met het bredere risicomanagement, en raakt zij aan alle thema’s van governance en kwaliteitsbeheersing.

Niet alleen de reikwijdte verschilt, ook de inhoudelijke insteek kan variëren. Sommige kantoren leggen het accent op vaktechniek en objectieve kwaliteitsborging, andere nadrukkelijker op integriteit, gedrag en cultuur. Soms ligt het zwaartepunt op het strikt voldoen aan wet- en regelgeving, soms op de werking van het gehele stelsel van interne beheersing. Ook hier geldt: het een sluit het ander niet uit, maar vraagt om een bewuste en consequente positionering. De praktijk laat zien dat compliance zelden als breed integraal geheel wordt opgezet. Niet zelden is de functie ondergebracht bij één medewerker, die het als neventaak uitvoert, of ligt ze bij de kwaliteitsbepaler. De positionering op het organogram zegt dan weinig. De wezenlijke vraag is of compliance als functie wordt beleefd: of er ruimte is om signalen af te geven, of er gezag wordt erkend, of betrokkenheid wordt gezocht, en of het bestuur niet alleen luistert, maar ook handelt.

Relatie met het kwaliteitsstelsel en interne beheersing

Een accountantsorganisatie beschikt over een stelsel van kwaliteitsbeheersing waarin zij zelf, via beleidsmaatregelen, processen en gedragsverwachtingen, borgt dat de dienstverlening voldoet aan professionele standaarden. In de accountantspraktijk is dat stelsel gebaseerd op de NVKM (voorheen NVKS), en op SKM1 (de Nederlandse implementatie van ISQM 1), maar ook in andere onderdelen van het kantoor zijn vergelijkbare beheersmaatregelen aanwezig. Denk aan interne instructies, vaktechnische procedures, integriteitsbeleid of informatiebeveiligingsmaatregelen. Het kwaliteitsstelsel is primair een verantwoordelijkheid van het bestuur en wordt uitgevoerd door de eerste lijn. Compliance maakt daar geen deel van uit, maar ziet toe op de werking ervan. Niet op de inhoud van het beleid zelf, maar op de wijze waarop het wordt nageleefd, onderhouden en toegepast.

In die toezichthoudende rol heeft compliance raakvlakken met vrijwel alle aspecten van interne beheersing. Van dossierkwaliteit tot opdrachtacceptatie, van privacy tot belangenverstrengeling. Sommige kantoren beperken compliance tot een toets op wettelijke verplichtingen, andere kiezen bewust voor een bredere invalshoek en betrekken ook gedragsaspecten en cultuur. De mate waarin compliance zich mag bewegen op inhoudelijk terrein verschilt per organisatie, maar er moet altijd een duidelijke scheidslijn zijn met vaktechnisch oordeel en kwaliteitsbeoordeling. Wie én beleidsbepaler is, én monitor, én toetser, ondergraaft de functie. Vooral in kleinere organisaties is die rolvermenging een reëel risico. Dat vraagt om heldere afspraken over taken, bevoegdheden en rapportagelijnen.

Een goed werkende compliancefunctie opereert niet geïsoleerd. Zij is onderdeel van het stelsel van interne beheersing in de zin dat zij zelf ook geborgd, gelegitimeerd en gecontroleerd moet zijn. Dat vergt periodieke evaluatie, een actueel werkprogramma, transparante verslaglegging en aansluiting bij andere interne sleutelfuncties. Alleen dan ontstaat het beeld van een gesloten systeem waarin compliance niet slechts signaleert, maar ook daadwerkelijk bijdraagt aan verbetering en verantwoordelijkheid.

Praktische invulling in de mkb-praktijk

De inrichting van de compliancefunctie binnen mkb-kantoren is sterk afhankelijk van schaalgrootte, complexiteit en bestuurlijke visie. In veel kantoren is compliance geen zelfstandige afdeling, maar een taak die wordt vervuld door één persoon of een klein team. Soms is dat een senior medewerker met een combinatie van taken, soms een kwaliteitsbepaler die ook compliance erbij doet, en soms een bestuurslid dat formeel verantwoordelijk is maar feitelijk weinig uitvoert. In deze vormen is compliance zelden institutioneel verankerd, maar ontstaat zij in de praktijk door betrokkenheid, vertrouwen en persoonlijke autoriteit. Dat maakt de functie kwetsbaar. Niet omdat de inhoudelijke kwaliteit per definitie tekortschiet, maar omdat continuïteit, onafhankelijkheid en draagvlak snel onder druk kunnen komen te staan bij personele wisselingen, bestuurlijke keuzes of commerciële belangen.

Combinatiefuncties zijn eerder regel dan uitzondering. Een compliance officer is vaak ook accountant, vaktechnisch aanspreekpunt, kwaliteitsbepaler of risicomanager. Op zichzelf is dat in kleinere kantoren onvermijdelijk en niet problematisch, mits er voldoende rolbewustzijn, rolvastheid en scheiding in taken en bevoegdheden blijft bestaan. De dagelijkse praktijk laat zien dat het combineren van functies in de eerste en tweede lijn, bijvoorbeeld uitvoering en toezicht, vooral tot problemen leidt als de grenzen onduidelijk zijn of niet worden bewaakt. Wie beleid opstelt, de werking toetst en ook nog rapporteert over tekortkomingen, vervult in feite drie posities tegelijk. Dat maakt toetsing kwetsbaar en roept vragen op over onafhankelijkheid. Tegelijk zou het onzinnig zijn om van ieder kantoor een waterhoofd van functies te verlangen. De kracht van het mkb ligt juist in korte lijnen, overzicht en directe betrokkenheid. De kunst is niet om alles te scheiden, maar om helder te zijn over de momenten waarop functies botsen en daar iets aan te doen.

De mate van formalisering varieert sterk. Sommige kantoren hebben een compliancebeleid, een takenmatrix en een vast werkprogramma, andere werken vooral ad hoc of reactief. De effectiviteit van compliance blijkt dan minder uit papieren vastleggingen dan uit zichtbare aanwezigheid: de mate waarin de compliance officer betrokken wordt bij besluitvorming, signalen serieus worden genomen en rapportages leiden tot concrete opvolging. Een functionaris die alleen mag schrijven maar niet wordt gehoord, is formeel aanwezig maar praktisch afwezig. In kleine organisaties is het risico van marginalisering reëel, zeker als compliance wordt gezien als rem of hinderpaal in plaats van als partner in kwaliteitsverbetering. Juist in die context is relationele stevigheid belangrijk, niet op basis van hiërarchie, maar door betrouwbaarheid, zorgvuldigheid en consistent optreden.

Een complicerende factor is dat de compliancefunctie vaak moet functioneren binnen informele netwerken, met weinig formele escalatiemogelijkheden. Bestuurlijke lijnen zijn kort, dossiers circuleren snel en het onderscheid tussen toezicht, uitvoering en beleid is dun. Dat vraagt om tact, oordeelsvermogen en durf. De vraag is dan niet alleen of het kantoor een compliancefunctie heeft, maar of die ook functioneert: of zij spanning mag brengen, invloed uitoefent en ruimte krijgt om meer te zijn dan een administratief sluitstuk.

Positionering in het three-lines model

Het three-lines model biedt een nuttig denkkader voor de positionering van functies binnen een organisatie, maar is in de praktijk van mkb-kantoren zelden formeel uitgewerkt. De eerste lijn bestaat uit de uitvoerende praktijk: bestuur, directie, opdrachtverantwoordelijken, partners en teamleden die direct betrokken zijn bij de dienstverlening. De tweede lijn ondersteunt en toetst, en omvat functies als compliance, risicomanagement en vaktechniek. De derde lijn is formeel onafhankelijk en verricht interne audits op het functioneren van het stelsel als geheel. Die derde lijn ontbreekt in vrijwel alle mkb-kantoren. Ook de grootste hebben doorgaans geen interne auditfunctie. Hooguit is er sprake van control binnen de financiële administratie, gericht op begroting en liquiditeit, maar dat heeft zelden de breedte of onafhankelijkheid van een echte derde lijn.

De afwezigheid van een derde lijn maakt de rol van compliance extra belangrijk, maar tegelijk ook precair. De compliancefunctie is immers zelf geen derde lijn, maar bevindt zich tussen uitvoering en bestuur in. Zij toetst, signaleert en rapporteert, maar verricht geen onafhankelijke herbeoordeling van het gehele stelsel. Wie dat verschil niet onderkent, loopt het risico dat te veel verantwoordelijkheid op de schouders van compliance terechtkomt. Zeker in kleinere organisaties, waar functies gecombineerd worden, kunnen verwachtingen snel vervagen. Als compliance wordt geacht niet alleen te signaleren maar ook te herstellen of te beoordelen, raakt zij verstrikt in uitvoerende taken en verliest zij haar positie als tweede lijn.

Tegelijkertijd biedt het three-lines model juist in de mkb-praktijk houvast voor het maken van bewuste keuzes. Niet om structuren op te tuigen die niet passen bij de schaalgrootte, maar om helderheid te scheppen over rollen, verantwoordelijkheden en grenzen. Compliance als tweede lijn functioneert het best als zij voldoende afstand houdt tot de uitvoering, maar dicht genoeg bij de praktijk blijft om zicht te houden op wat er speelt. Niet formeel auditend, maar wel toetsend. Niet losstaand, maar ook niet meewerkend. In die tussenpositie schuilt haar waarde — mits die positie wordt erkend en bewaakt.

Papieren werkelijkheid of levende functie?

De formele aanwezigheid van een compliancefunctie zegt op zichzelf weinig. Een benoeming, een taakomschrijving of een plek op het organogram garandeert nog geen werking. Veel mkb-kantoren hebben inmiddels een beleidsdocument waarin de compliancefunctie wordt beschreven, soms met een takenmatrix of een werkprogramma. Maar daarmee is nog niet gezegd dat compliance in de praktijk ook een rol van betekenis speelt. De vraag is of de functie wordt beleefd. Wordt de compliance officer gekend, gehoord, geraadpleegd? Is er ruimte om signalen te geven, weerstanden te benoemen en ongemakkelijke vragen te stellen? Of blijft compliance een papieren construct, netjes ingevuld voor de vorm, maar zonder effect op het gedrag binnen de organisatie?

Een compliancefunctie die niet mag schuren, blijft machteloos. De waarde van compliance zit niet in procedures of formats, maar in de ruimte om daadwerkelijk invloed uit te oefenen. Dat vraagt om betrokken bestuurders die openstaan voor kritische signalen, om een cultuur waarin afwijkingen niet worden weggemasseerd, en om een structuur waarin de compliance officer tijdig en volwaardig wordt betrokken bij beleid en besluitvorming. Wordt compliance pas ingeschakeld ná een incident, of bij voorkeur helemaal niet, dan is zij gedegradeerd tot schaduwfunctie. Pas waar zij spanning mag brengen, ongemak mag veroorzaken en toch wordt gewaardeerd, krijgt compliance betekenis.

In kleinere kantoren is die ruimte niet vanzelfsprekend. De lijnen zijn kort, de belangen zijn vaak gedeeld, en de bereidheid om elkaar aan te spreken is niet altijd groot. Toch is juist daar het verschil tussen papieren werkelijkheid en levende functie het meest voelbaar. Het gaat dan niet om procedures, maar om gedrag. Om de vraag of compliance zich durft te roeren, en of het bestuur dat verwelkomt of neutraliseert. In die zin is compliance niet alleen een functie, maar ook een test. Een test van volwassenheid, van openheid en van integriteit. Een functionaris die alles mag opschrijven maar niets in beweging zet, vervult zijn rol slechts in naam. Een levende compliancefunctie is niet onfeilbaar, maar wel geloofwaardig. Zij is aanwezig, zichtbaar, en vormt een vanzelfsprekend onderdeel van het gesprek over kwaliteit, risico’s en verantwoordelijk gedrag.

De rol van de complianceofficer

Formele verantwoordelijkheid en positie

De compliance officer is formeel belast met het toezicht op de naleving van wet- en regelgeving, interne normen en ethische standaarden binnen het kantoor. In die hoedanigheid is hij of zij een interne toezichthouder die zich niet primair richt op de uitvoering van opdrachten, maar op de randvoorwaarden waaronder die uitvoering plaatsvindt. De compliance officer bewaakt of het stelsel van interne beheersing voldoende is ingericht, onderhouden en nageleefd, en brengt daarover periodiek verslag uit aan het bestuur. In sommige gevallen bestaat er ook een rapportagelijn naar de raad van commissarissen of een ander intern toezichthoudend orgaan. De formele positionering is dan onafhankelijk van de uitvoerende lijn, met voldoende waarborgen om ongewenste beïnvloeding te voorkomen. Overigens kan het inhoudelijk toetsen van de uitvoering van opdrachten wel degelijk onder de verantwoordelijkheid van de compliance officer vallen. Maar dat gebeurt dan als test van de werking van het kwaliteitsstelsel. Daarin onderscheid deze toetsing zich van de review door de opdrachtverantwoordelijke en van de opdrachtgerichte kwaliteitsbeoordeling (OKB), die zelf onderdeel zijn van het kwaliteitsstelsel.

In de mkb-praktijk is die formele positionering niet altijd helder of uitgewerkt. Vaak is de complianceofficer benoemd door het bestuur zelf, met een beperkte formele bevestiging van mandaat, takenpakket of rapportagelijn. De functie wordt dan veelal ingevuld vanuit een kwaliteitshandboek, en dus gezien als onderdeel van het kwaliteitsstelsel zonder specifiek afgebakende structuur. Toch is ook in kleinere kantoren een zekere structurering noodzakelijk. De compliance officer moet kunnen opereren met een zekere onafhankelijkheid, moet toegang hebben tot relevante informatie, en moet vrijelijk kunnen rapporteren over tekortkomingen of risico’s, ook als die het bestuur zelf betreffen. Een zuiver organogram is daartoe niet voldoende; er moet ook sprake zijn van cultuur, ruimte en erkenning.

De verantwoordelijkheid van de compliance officer is geen eindverantwoordelijkheid voor de kwaliteit van dienstverlening. Die ligt bij de eerste lijn. De compliance officer is evenmin verantwoordelijk voor het oplossen van geconstateerde tekortkomingen. Zijn of haar taak is het signaleren, duiden en agenderen van structurele risico’s, patronen van non-conformiteit, en tekortschietende beheersmaatregelen. Daarbij hoort ook het opstellen van een jaarlijks werkprogramma, het verrichten van themaonderzoeken, het toetsen van dossiers of processen op naleving van interne en externe normen, en het adviseren over verbetermaatregelen. Waar nodig kan de compliance officer ook optreden als sparringpartner of begeleider, mits die rol geen afbreuk doet aan de onafhankelijke positie. Wie zelf het beleid schrijft, kan het niet onafhankelijk toetsen.

De complianceofficer is geen verlengstuk van het bestuur, maar ook geen externe toezichthouder. Hij of zij bevindt zich binnen de organisatie, maar op een eigen positie. Die positie moet zodanig zijn dat de functie niet wordt weggedrukt in het operationele geweld, maar ook niet vervreemdt van de praktijk.

Meervoudigheid van de rol

De rol van de compliance officer laat zich niet vangen in één functieomschrijving. In de praktijk is sprake van een meervoudige rol die afhankelijk van de situatie uiteenvalt in verschillende gedaantes: toetsend, signalerend, begeleidend, soms ook adviserend of confronterend. De compliance officer ziet toe op naleving, maar moet ook begrijpen waarom naleving soms onder druk staat. Hij of zij is bewaker van normen, maar ook gespreksgenoot bij dilemma’s. Die gelaagdheid maakt de functie veeleisend. Niet omdat het werk inhoudelijk ingewikkeld is, maar omdat het optreden telkens opnieuw vraagt om positie, rolbewustzijn en situationeel oordeelsvermogen.

In de ene situatie is de compliance officer een toetsende functionaris die met afstand vaststelt of processen en handelingen binnen de afgesproken kaders plaatsvinden. In een andere situatie is hij of zij sparringpartner van een praktijkgroep, begeleider van een beleidsverandering of gesprekspartner in een moreel dilemma. Die schakeling tussen inhoud en context, tussen norm en nuance, vereist flexibiliteit zonder vrijblijvendheid. De compliance officer mag zich niet laten meeslepen in uitvoerende of beleidsmatige verantwoordelijkheden, maar kan zich evenmin verschuilen achter abstracte regels. De kunst is om telkens de juiste toon te vinden: kritisch zonder afstandelijk te zijn, betrokken zonder belangen te vermengen.

Die meervoudigheid is tegelijk kracht en valkuil. In kleinere organisaties, waar de compliance officer vaak meerdere petten draagt, ligt het risico op rolvermenging voortdurend op de loer. Het is dan des te belangrijker om expliciet te maken vanuit welke rol wordt opgetreden, en waar de grenzen liggen. Wie toetst, adviseert en meeschrijft aan beleid in één en dezelfde casus, kan niet met gezag optreden als er iets misgaat. Maar wie zich uitsluitend formeel opstelt, verliest al snel de aansluiting bij de praktijk. De geloofwaardigheid van compliance hangt in hoge mate af van deze balans. Niet in reglementen, maar in houding en gedrag.

Onafhankelijk, betrokken, gezaghebbend

De geloofwaardigheid van de compliance officer schuilt niet in mandaten of beleidsstukken, maar in de manier waarop hij of zij zich opstelt binnen het kantoor. Onafhankelijkheid is geen formele status, maar een werkhouding. Het gaat om de vrijheid om te spreken, om de ruimte om een afwijkende positie in te nemen, en om het vermogen om niet mee te deinen op het ritme van de organisatie. Tegelijk is afstand alleen niet voldoende. De compliance officer moet ook betrokken zijn bij de praktijk, begrijpen hoe het kantoor functioneert, en voeling houden met de dilemma’s van opdrachtverantwoordelijken en praktijkgroepen. Een compliance officer die te veel op afstand blijft, wordt al snel irrelevant. Een functionaris die te dicht op de lijn zit, verliest zijn toetskracht.

Gezag ontstaat in dit spanningsveld. Niet door formele macht, maar door consistentie, zorgvuldigheid en moreel kompas. De compliance officer hoeft niet altijd gelijk te hebben, maar moet wel aanspreekbaar zijn op zijn oordeel. Hij of zij moet kunnen uitleggen waarom iets een risico is, waarom een maatregel niet toereikend is, of waarom gedrag dat ‘altijd zo ging’ niet langer acceptabel is. Dat vraagt niet alleen kennis, maar ook karakter. Gezagsuitoefening zonder hiërarchie is kwetsbaar. Juist daarom is het belangrijk dat de compliance officer herkend wordt als onafhankelijk én betrouwbaar. Niet iemand die alles anders wil doen, maar iemand op wie je kunt bouwen als het erop aankomt.

In de dagelijkse praktijk komt dat tot uiting in kleine momenten: een telefoontje waarin iets gedeeld wordt, een overleg waarin de compliance officer wordt meegenomen, een besluit waarin een advies serieus wordt gewogen. Het gezag van compliance wordt niet opgebouwd in commissies of kwartaalrapportages, maar in de manier waarop wordt geluisterd, gesproken en gereageerd. Dat vraagt om iemand die niet alleen weet wat mag en moet, maar ook wanneer zwijgen schadelijk is, en spreken nodig.

Een typische uitdaging voor accountants, en zeker voor compliance officers die als accountant zijn opgeleid, is de focus op “de deugdelijke grondslag”. In de accountantspraktijk is al zichtbaar dat accountants het regelmatig lastig vinden uitspraken te doen, bijvoorbeeld over fraude, zonder dat onomstotelijk bewijs beschikbaar is om een uitspraak te staven. Compliance officers die uitspraken doen die bijvoorbeeld een bestuur niet welgevallig zijn lopen al snel tegen het verwijt aan dat hun uitspraak een deugdelijke grondslag ontbeert. Om dat te voorkomen zegt de compliance officer dan maar niets. Dat past echter niet bij de gezaghebbende positie van de compliance officer. Deze dient te rapporteren zodra daar aanleiding voor is, niet pas als een deugdelijke grondslag beschikbaar is die een wetenschappelijke of strafrechtelijke toets zou kunnen doorstaan. Vanzelfsprekend behoort de compliance officer duidelijk te maken hoe zeker een bepaalde uitspraak is, maar een eigen waarneming of zelfs geruchten in de wandelgangen kunnen op zichzelf ruimschoots voldoende aanleiding zijn om te rapporteren. De compliance officer die nadat ongelukken gebeuren aan komt zetten met “ja, dat dacht ik al, maar ik had nog geen deugdelijke grondslag” faalt in diens taakuitoefening.

Brug tussen systeem en praktijk

De compliance officer beweegt zich tussen systeem en praktijk. Hij of zij vertaalt beleid naar gedrag, en signalen uit de praktijk naar bestuurlijke aandacht. Die rol is geen bemiddeling in de zin van compromis, maar een brugfunctie in de zin van verbinding. Het systeem vraagt structuur, normering en toetsbaarheid. De praktijk vraagt ruimte, inschatting en werkbaarheid. De compliance officer moet beide begrijpen, maar zich met geen van beide volledig identificeren. Geen vertegenwoordiger van de werkvloer, geen handhaver van het systeem, maar een functionaris die het verband tussen die twee zichtbaar maakt en in stand houdt.

Dat vraagt om oordeelsvermogen en positionele souplesse. In een te systeemgerichte benadering verwordt compliance tot een lijstje normen en controles. In een te praktijkgerichte opstelling verliest compliance haar toetsende waarde. De brug is geen neutrale plek: zij verbindt, maar heeft richting. De compliance officer maakt gedrag bespreekbaar, brengt patronen aan het licht, en daagt het bestuur uit om verantwoordelijkheid te nemen voor grijze gebieden. In dat opzicht is de functie meer dan een doorgeefluik. Het is een kritische functie binnen het systeem, met kennis van de praktijk, en met de taak om beide werelden gespiegeld te houden.

In mkb-kantoren is die brugfunctie vaak impliciet. Er zijn geen aparte beleidslagen, geen gelaagde bestuursstructuren, en het verschil tussen regel en uitvoering is kleiner dan op papier lijkt. Juist daarom is de rol van compliance als intermediair van betekenis. Niet als vertragende factor, maar als bewuste tussenruimte waar vragen mogen ontstaan. Voldoen we aan onze eigen normen? Begrijpen we waarom iets afwijkt? Is dit incident of patroon? In die vragen ligt de kern van de toegevoegde waarde. Niet door afstand, maar door verbinding, zonder vereenzelviging.

Samenwerking en begrenzing: andere tweede lijnsfuncties

Positionering en afbakening binnen de tweede lijn

De tweede lijn binnen een accountantskantoor bestaat uit functionarissen die niet zelf verantwoordelijk zijn voor de uitvoering van opdrachten, maar wel bijdragen aan de inrichting, bewaking en ondersteuning van het stelsel waarbinnen die opdrachten tot stand komen. In de praktijk gaat het dan met name om compliance, vaktechniek, juridische ondersteuning en risicomanagement. Elk van deze functies heeft een eigen invalshoek en deskundigheid, maar zij opereren alle binnen hetzelfde spanningsveld: dichtbij de uitvoering, maar met een onafhankelijke toetsende of adviserende rol. Ze dragen bij aan kwaliteit, integriteit en beheersing, maar doen dat ieder op een eigen manier en met een eigen begrenzing.

De compliance officer is verantwoordelijk voor het toezicht op naleving van wet- en regelgeving en interne normen. Bureau Vaktechniek adviseert over de toepassing van vaktechnische standaarden en beoordeelt de kwaliteit van inhoudelijke keuzes. Juridische ondersteuning richt zich op rechtszekerheid en risicobeheersing bij interne processen en externe dienstverlening, en vervult afhankelijk van de inrichting soms een tweede lijnsrol, soms een dienstverlenende. Risicomanagement analyseert onzekerheden die de doelstellingen van het kantoor kunnen bedreigen, en formuleert mitigerende maatregelen. De onderlinge afbakening tussen deze functies is niet altijd scherp, maar juist daarom is het van belang om hun rol en mandaat goed te positioneren. In de volgende alinea’s worden deze tweede lijnsfuncties afzonderlijk besproken.

Bureau Vaktechniek: vakinhoudelijke normbewaking

Binnen de tweede lijn neemt Bureau Vaktechniek een bijzondere positie in. Waar de compliance officer toeziet op naleving van wet- en regelgeving en het functioneren van het kwaliteitsstelsel als geheel, richt vaktechniek zich op de inhoudelijke kant van het vak. Het bureau ondersteunt de praktijk bij de toepassing van standaarden, fungeert als klankbord bij complexe opdrachten, stelt beleid op en beoordeelt dossiers op vaktechnische onderbouwing. Daarmee is vaktechniek geen intern toezichtorgaan, maar een inhoudelijk ankerpunt. De focus ligt niet op naleving als zodanig, maar op kwaliteit van oordeelsvorming en consistentie in de toepassing van beroepsregels.

In veel kantoren is Bureau Vaktechniek ouder dan de andere tweede lijnsfuncties, en fungeert het ook als verzamelpunt voor taken die elders (nog) niet zijn belegd. In de praktijk vallen risicomanagement, juridische toetsing of zelfs compliance dan onder de paraplu van vaktechniek, al dan niet tijdelijk. Ook de compliance officer wordt nog regelmatig gepositioneerd als onderdeel van Bureau Vaktechniek, met een functionele scheiding van taken maar zonder formele organisatorische splitsing. Dat hoeft geen probleem te zijn, zolang duidelijk is vanuit welke rol wordt gehandeld en voldoende onafhankelijkheid is gewaarborgd.

De rol van vaktechniek reikt vaak verder dan strikt vakinhoudelijke advisering. Het bureau is betrokken bij interne consultaties, verzorgt of begeleidt vaktechnische opleidingen, en speelt in veel kantoren een rol in het benoemen van tekenbevoegde medewerkers of partners. Ook bij klantacceptatie, continuering of dossiervorming kan vaktechniek een adviserende of toetsende stem hebben. Juist vanwege die centrale positie is afstemming met compliance van belang, zeker waar onderwerpen raken aan normstelling, onafhankelijkheid of integriteit.

In de praktijk is de grens tussen vaktechniek en compliance niet altijd scherp. Beide functies houden zich bezig met kwaliteit, normering en toetsing. Zowel bij monitoring, thematische onderzoeken als incidentenanalyse komen zij elkaar tegen. Het is daarom van belang dat rollen goed zijn afgebakend. Bureau Vaktechniek adviseert over wat vaktechnisch juist en verantwoord is, en kan ook interne kwaliteitsreviews uitvoeren. Compliance toetst of het beleid in de praktijk werkt, en of vaktechnische keuzes voldoende zijn ingebed in het stelsel van kwaliteitsbeheersing. In die zin zijn de perspectieven complementair. Vaktechniek kijkt naar inhoudelijke juistheid, compliance naar systematische borging en naleving.

Samenwerking is essentieel, maar vraagt om wederzijds respect en rolbewustzijn. De compliance officer mag geen schaduw-vaktechniek worden, en Bureau Vaktechniek geen parallelle toezichthouder. In kantoren waar beide functies goed op elkaar zijn afgestemd, versterken ze elkaar: vaktechniek als inhoudelijk kompas, compliance als spiegel van het systeem. Die verhouding werkt het best wanneer het Bureau Vaktechniek niet in een hiërarchische positie wordt geplaatst ten opzichte van compliance, maar als gelijkwaardige gesprekspartner wordt erkend. Juist dan ontstaat ruimte voor reflectie, wederzijds toezicht en gezamenlijke kwaliteitsbevordering.

Legal en juridisch advies binnen het kantoor

Niet elk mkb-kantoor beschikt over een afzonderlijke juridische functie, maar vrijwel elk kantoor heeft te maken met juridische vragen en risico’s. In sommige gevallen is er een jurist in dienst die fungeert als interne adviseur, in andere situaties wordt een beroep gedaan op externe specialisten of op collega’s met juridische ervaring binnen de praktijk. De juridische functie heeft in de kern een dienstverlenend karakter: zij ondersteunt het kantoor bij vraagstukken rond contracten, aansprakelijkheid, privacy, arbeidsrecht en geschillen. Tegelijk kan juridisch advies ook een tweedelijns karakter krijgen, bijvoorbeeld bij de inrichting van interne procedures of de beoordeling van integriteitsrisico’s. De grens tussen advisering en toetsing is dan dun.

De samenwerking tussen legal en compliance is sterk afhankelijk van de inrichting van het kantoor. Waar beide functies zijn belegd, is afstemming cruciaal. Overlapping ligt op de loer, met name bij onderwerpen als de AVG, de meldregeling incidenten, integriteitsbeleid en interne klokkenluidersprocedures. Juristen brengen daarbij de juridische norm in, compliance toetst op naleving en borging in de praktijk. In het meest ideale geval vullen beide elkaar aan: legal bewaakt rechtszekerheid, compliance bewaakt gedragsmatige naleving. Maar als rollen niet zijn afgebakend, ontstaat al snel onduidelijkheid. Wie is verantwoordelijk voor de inhoud van het privacybeleid? Wie beoordeelt of contractuele bepalingen uitvoerbaar en conform wetgeving zijn? En wie toetst of daar ook naar wordt gehandeld?

In de praktijk is de juridische functie binnen het kantoor zelden als zelfstandige tweede lijn gepositioneerd. Toch is het van belang dat juridische expertise niet alleen beschikbaar is voor cliënten, maar ook een duidelijke plek heeft binnen de interne structuur. Voor de compliance officer is het een belangrijke gesprekspartner; niet om mandaten te delen, maar om risico’s en normen beter te begrijpen. Zeker bij thema’s waar juridische en ethische afwegingen elkaar raken, is die samenwerking van wezenlijk belang.

In sommige grotere kantoren is de juridische functie gepositioneerd als aparte stafrol onder het bestuur. Denk aan een general counsel of legal counsel die rechtstreeks rapporteert aan de bestuurder of de raad van commissarissen. Deze rol kan deels overlappen met compliance, bijvoorbeeld bij contractbeheer, AVG-implementatie of geschillenmanagement, maar heeft doorgaans een andere oriëntatie. Waar compliance gericht is op toetsing en borging binnen het kwaliteitsstelsel, richt legal zich primair op juridische correctheid en risicobeheersing. Juist in dit model is het van belang dat beide functies elkaar erkennen, consulteren en begrenzen. Wederzijdse afstemming voorkomt dat juridische juistheid wordt verward met integrale compliance, en andersom.

Risicomanagement als verwante maar onderscheiden functie

Vaak is risicomanagement geen aparte functie. De verantwoordelijkheid voor het identificeren en beheersen van risico’s ligt dan verspreid over het bestuur, de praktijk, Bureau Vaktechniek en in toenemende mate bij de compliance officer. Soms is er sprake van een bewuste samenvoeging: risk & compliance als gedeelde functie, ingevuld door één persoon of klein team. In andere gevallen komt risicomanagement eenvoudigweg terecht bij degene die zich als eerste met risico’s bezighoudt, meestal compliance. Daarmee vervalt het formele onderscheid tussen het analyseren van onzekerheden en het bewaken van normconformiteit, maar niet de inhoudelijke spanning daartussen.

Risicomanagement richt zich primair op de vraag welke gebeurtenissen, omstandigheden of gedragingen de doelstellingen van het kantoor kunnen bedreigen. Dat kunnen normoverschrijdingen zijn, maar ook externe ontwikkelingen, personele kwetsbaarheden, cultuurproblemen of technologische afhankelijkheden. Compliance daarentegen kijkt vanuit wet- en regelgeving: wordt voldaan aan de norm, en functioneert het stelsel waarin dat moet gebeuren? In de praktijk lopen deze perspectieven in elkaar over. Een compliance officer die signalen krijgt over toenemende werkdruk, integriteitstwijfels of structurele uitval, kan die moeilijk negeren omdat ze niet ‘juridisch relevant’ zijn. Tegelijk vraagt een risicogerichte benadering om een bredere blik dan naleving alleen.

Waar risk en compliance zijn samengevoegd, is rolbewustzijn essentieel. Niet alles wat een risico is, is ook een non-conformiteit. Niet alles wat formeel klopt, is risicobeheerst. De gecombineerde functionaris moet kunnen schakelen tussen perspectieven, zonder de helderheid van rol en doel te verliezen. Die combinatie biedt voordelen: overzicht, integraliteit, en een natuurlijke plek in de strategische dialoog. Maar ze vergt ook discipline. Als alles risk én compliance is, is het risico groot dat uiteindelijk niets meer scherp getoetst wordt.

Voor het bestuur is het dan ook van belang om expliciet te kiezen: wat verwachten we van deze functie? Wat hoort bij compliance, wat bij risicomanagement, en waar overlappen ze? Juist in een omgeving zonder formele drie lijnen moet dat gesprek bewust worden gevoerd. Niet om structuren te creëren, maar om duidelijkheid te scheppen over verantwoordelijkheden, mandaat en rol.

Persoonlijkheid en bekwaamheid van de CO

De persoon achter de rol

Een goed functionerende compliance officer ontleent zijn of haar gezag niet aan formele positie, maar aan persoonlijkheid en optreden. De rol vraagt om een autonome persoonlijkheid die in staat is om onafhankelijk te denken, standpunten te vormen op basis van inhoud, en die standpunten ook uit te dragen wanneer dat ongemakkelijk is. Tegelijk vereist de functie empathie en diplomatie: de compliance officer moet kunnen oordelen zonder te veroordelen, ruimte geven zonder vrijblijvend te worden, en signaleren zonder te escaleren; tenzij dat nodig is. Weerbaarheid, zorgvuldigheid en rolvastheid zijn daarbij kernbegrippen. Wie te meegaand is, verliest zijn toetsende waarde; wie zich opstelt als buitenstaander, raakt de praktijk kwijt.

Een compliance officer opereert zelden in een zuiver stelsel. Bestuurlijke, commerciële en persoonlijke belangen lopen in de dagelijkse praktijk vaak door elkaar. Dat vraagt om iemand die niet alleen het formele kader begrijpt, maar ook het krachtenveld waarin besluiten worden genomen. Bestuurlijke sensitiviteit, gepaard aan morele standvastigheid, is essentieel. Begrip voor het perspectief van het bestuur of van de praktijkverantwoordelijken mag nooit leiden tot het wegnuanceren van risico’s, maar is wel noodzakelijk om tijdig invloed uit te oefenen. Wie te vroeg roept, wordt genegeerd; wie te laat is, mist het moment. Tussen die uitersten moet de compliance officer zijn weg vinden.

Tegelijk vraagt de functie om scherp analytisch vermogen. De compliance officer moet kunnen onderzoeken, verbanden leggen, hoofd- en bijzaken onderscheiden, en signalen op waarde schatten. Rapportages moeten helder, zakelijk en zorgvuldig zijn opgebouwd, met oog voor detail én context. In mondelinge overleggen is overtuigingskracht van belang, maar geen dominantie: de kunst is om ruimte te geven aan het gesprek zonder de boodschap te verliezen. Niet het volume maakt een compliance officer gezaghebbend, maar het vermogen om rust, scherpte en betrouwbaarheid uit te stralen in situaties die spanning oproepen.

In die zin is de compliance officer geen regelneef, geen jurist met een vinger in de lucht, en ook geen verkapte kwaliteitsbepaler. De functie vraagt om vakvolwassenheid, om innerlijke rust, en om de bereidheid verantwoordelijkheid te dragen voor het oordeel dat wordt uitgesproken. Soms vraagt dat om zwijgen, soms om optreden, maar altijd om zorgvuldigheid. Het is geen gemakkelijk profiel, en dat hoeft ook niet.

Vakbekwaamheid en contextkennis

Een compliance officer binnen een accountantsorganisatie moet beschikken over stevige vakinhoudelijke kennis. Dat begint met inzicht in de voor het kantoor relevante wet- en regelgeving: de Wta en de Wwft, de VGBA, de NVKS (die met ingang van volgend jaar wordt vervangen door de NVKM), SKM1 en de regels van het tuchtrecht en het toezicht. Maar ook bepalingen uit het Burgerlijk Wetboek, de privacywetgeving en onderdelen van het fiscale of strafrecht kunnen relevant zijn. Het gaat daarbij niet alleen om kennis van de norm, maar ook om het vermogen die norm te plaatsen in de dagelijkse praktijk: wat betekenen deze regels voor opdrachtacceptatie, voor onafhankelijkheid, voor signaleringsplicht en voor het omgaan met integriteitsdilemma’s?

Naast kennis van externe kaders is ook inzicht in de werking van het kwaliteitsstelsel onmisbaar. De compliance officer moet begrijpen hoe beleid tot stand komt, hoe beheersmaatregelen worden geïmplementeerd, en waar het systeem kwetsbaar is voor ineffectiviteit, rituelen of schijnzekerheid. Kennis van risicoanalyse, interne beheersing, governanceprincipes en procesontwerp vormt daarbij een noodzakelijke basis. Compliance is geen eiland, maar maakt deel uit van het geheel van de organisatie en raakt aan de dagelijkse werkpraktijk van alle lijnen.

Daarbij hoort ook een basaal, maar inhoudelijk verantwoord begrip van de kernactiviteiten van het kantoor. Een compliance officer hoeft geen controleverklaring te kunnen opstellen of een fiscale aangifte te kunnen indienen, maar moet wel voldoende begrijpen van de inhoud en de context van controlewerkzaamheden, samenstelopdrachten, fiscale advisering, salarisverwerking, juridische ondersteuning en corporate finance. Wie het verschil niet kent tussen een beoordelingsopdracht en een subsidiecontrole, of niet weet wat horizontaal toezicht betekent, kan moeilijk effectief opereren in het grensvlak tussen vaktechniek en governance.

Minstens zo belangrijk is kennis van de interne context. Wie de structuur, cultuur en routines van het eigen kantoor niet begrijpt, zal zelden tot effectieve toetsing of advisering komen. Dat vraagt niet alleen om normkennis, maar ook om voelsprieten: hoe lopen de formele en informele lijnen, waar liggen de spanningen, hoe worden besluiten genomen, en waar zitten de blinde vlekken? In die zin is contextkennis geen bijzakenkennis, maar een voorwaarde om de juiste vragen te kunnen stellen.

Dit wijst op een domein dat in compliance vaak onderbelicht blijft, maar van groot belang is: cultuur, organisatiesociologie, en de werking van soft controls. Wie risico’s alleen als normovertredingen benadert, mist de mechanismen waardoor normen worden gevormd, beleefd en al dan niet nageleefd.

Opleidingsroutes en certificering

De route naar het compliancevak is zelden lineair. Veel compliance officers in de accountancy zijn opgeleid als registeraccountant of accountant-administratieconsulent, en hebben hun vaktechnische loopbaan gaandeweg verbreed richting kwaliteitsbeheersing en compliance. Die achtergrond biedt een stevige basis, maar is zelden toereikend zonder aanvullende scholing. Wie uitsluitend is gevormd binnen de accountancy, mist doorgaans kennis van governance, toezichtrecht, integriteitsbeleid en sanctieregelgeving. Tegelijk biedt een universitaire opleiding in het recht of de bestuurskunde juist daar weer aanknopingspunten, maar ontbreekt dan vaak het inzicht in de vaktechnische praktijk van het accountantskantoor.

Specifiek op de accountancy toegesneden complianceopleidingen zijn er op dit moment niet. Wie zich wil verdiepen in het vak, is aangewezen op bredere trajecten. De Executive Master Compliance & Integriteit Management aan de Vrije Universiteit biedt een stevige academische basis, met aandacht voor recht, ethiek, toezicht en gedrag. Commerciële aanbieders zoals NIBE-SVV en het Nederlands Compliance Instituut bieden respectievelijk de opleidingen tot Certified Compliance Officer (CCO) en Certified Compliance Professional (CCP), die praktijkgerichter zijn en zich veelal richten op de financiële sector. Daarnaast bestaan er kortere programma’s, zoals de collegereeks “Risk & Compliance” aan Nyenrode Business Universiteit. Dit zijn slechts voorbeelden: het aanbod aan opleidingen groeit en is divers. Voor compliance officers in de accountancy zijn deze opleidingen zelden volledig toereikend, maar wel waardevol als bouwsteen, mits aangevuld met sectorspecifieke kennis en reflectie op de eigen werkomgeving.

Opleiding is geen sluitstuk, maar fundament. De complexiteit van het vakgebied, de veelheid aan normen en de noodzaak tot onafhankelijke oordeelsvorming vragen om voortdurende ontwikkeling. Een compliance officer moet niet alleen gevormd zijn, maar zich ook blijven vormen. Dat vraagt om bewuste keuzes, om ruimte voor scholing en om een organisatie die professionalisering van de tweede lijn serieus neemt.

Permanente ontwikkeling en professionele reflectie

De rol van de compliance officer vraagt om voortdurende ontwikkeling. Wetgeving verandert, toezicht scherpt aan, normen verschuiven, en ook de interne organisatie is in beweging. Wie denkt het vak eenmaal onder de knie te hebben, raakt al snel achterop. Permanente educatie is dan ook geen formele verplichting, maar een wezenlijk onderdeel van het vak. Niet alleen om kennis bij te houden, maar ook om het eigen oordeel te blijven bevragen. De complexiteit van compliance zit zelden in de norm zelf, maar juist in de toepassing ervan in weerbarstige situaties. Dat vraagt om oefening, reflectie en het delen van ervaringen.

Goede compliance officers zoeken actief naar manieren om hun oordeel te scherpen. Intervisie met collega’s binnen of buiten het eigen kantoor kan helpen om blinde vlekken te signaleren, nieuwe perspectieven te ontdekken en het eigen standpunt beter te verwoorden. Deelname aan netwerken, themagroepen of studiedagen biedt niet alleen kennis, maar ook herkenning. Daarnaast is het belangrijk om vakliteratuur te blijven volgen, ontwikkelingen bij toezichthouders te monitoren en signalen uit de eigen organisatie serieus te blijven nemen. Wie in een vaste routine vervalt, loopt het risico zelf het contact met de norm te verliezen.

Professionalisering van compliance vraagt niet alleen iets van de functionaris, maar ook van het kantoor. Er moet ruimte zijn om te leren, te vertragen en te reflecteren. Tijd voor verdieping en overleg, gelegenheid om op onderzoek uit te gaan, en de veiligheid om kritisch te blijven denken, ook als dat ongemak oplevert. Waar die ruimte ontbreekt, verschraalt het vak. Waar zij wel wordt benut, kan compliance uitgroeien tot een volwassen en gezaghebbende functie die bijdraagt aan vertrouwen, kwaliteit en verantwoordelijkheid.

Teamvorming en taakverdeling

Individuele functie of collectieve verantwoordelijkheid

De inrichting van de compliancefunctie verschilt sterk per kantoor. In kleinere organisaties wordt compliance vaak opgevat als een individuele verantwoordelijkheid: één functionaris, al dan niet parttime, die toezicht houdt op naleving, adviseert bij dilemma’s en rapporteert aan het bestuur. In zekere zin is dat logisch. De schaal is overzichtelijk, de communicatielijnen zijn kort en het aanstellen van een apart team lijkt kostbaar of omslachtig. Toch is het de vraag of compliance in die vorm werkelijk toekomstbestendig is. Naarmate wetgeving, toezicht en maatschappelijke verwachtingen toenemen, groeit ook de belasting op de compliancefunctie. Signalering, analyse, monitoring, rapportage en advies vereisen tijd, oordeelsvorming en inhoudelijke diepgang.

In grotere kantoren of meer volwassen organisaties wordt daarom steeds vaker gekozen voor een meer collectieve invulling. Dat kan variëren van een klein team met gedeelde taken tot een netwerk van specialisten rond een centrale compliance officer. De kern is dat compliance dan niet wordt gedragen door één persoon, maar structureel wordt ingebed in de organisatie. Niet alleen vanuit efficiëntie, maar ook vanuit veerkracht: personele wisselingen of ziekte ondermijnen de werking van compliance dan niet onmiddellijk. Een teamopzet maakt het bovendien mogelijk om verschillende invalshoeken te benutten, werk te spreiden en sneller te reageren op signalen uit de organisatie.

Tegenover de kosten van zo’n team staat een vaak onderschatte meerwaarde. Juist omdat compliance in essentie preventief is, zijn de directe baten niet altijd zichtbaar. Maar uitval door integriteitsincidenten, reputatieschade, sancties of fouten in dienstverlening zijn doorgaans vele malen duurder dan structurele investering in goed toezicht. Een team van twee of drie personen bij een klein kantoor kan relatief veel kosten, maar levert bij goede inrichting inzicht, stabiliteit en vertrouwen op en voorkomt versnippering, overbelasting en genegeerde fouten.

Belangrijk daarbij is dat ook binnen een gedeeld model altijd één persoon eindverantwoordelijk is voor de inhoudelijke aansturing van de compliancefunctie. Zonder dat raakt het team versnipperd, vervaagt de regie en wordt het moeilijk om tot heldere oordeelsvorming te komen. Die eindverantwoordelijke hoeft niet alles zelf te doen, maar moet wel in staat zijn om te overzien wat er speelt, wat prioriteit heeft en welke besluiten nodig zijn.

Daarbij komt dat er geen opleiding bestaat die specifiek voorbereidt op het brede en complexe takenpakket van de compliance officer binnen accountantsorganisaties. Zoals eerder benoemd, is iedere invulling dus per definitie onvolledig. Een persoon die alle noodzakelijke kennis, vaardigheden en eigenschappen in zich verenigt, bestaat eenvoudigweg niet. Precies daarom is het bouwen van een complementair team geen luxe, maar een voorwaarde voor effectiviteit. Niet ieder teamlid hoeft alles te kunnen, als het geheel maar in staat is om met gezag, zorgvuldigheid en oordeelskracht op te treden.

Rollen en specialisaties binnen het team

Binnen een compliance team is het zelden nodig om voor elk aandachtsgebied een aparte specialist aan te stellen. Tegelijk is het onrealistisch om te verwachten dat iedere compliancefunctionaris over hetzelfde profiel beschikt. In de praktijk ligt de kracht in een doordachte taakverdeling. Sommige teamleden hebben affiniteit met juridische vraagstukken of privacy, anderen zijn sterk in monitoring en analyse, weer anderen in communicatie of integriteitsthema’s. Ook binnen een klein team kunnen dergelijke accenten worden aangebracht, zolang duidelijk is wie waarop aanspreekbaar is en hoe de werkzaamheden worden afgestemd.

Een aantal rollen komt in de praktijk regelmatig voor. Bemoeienis in enige vorm met interne reviews of opdrachtgerichte kwaliteitsbeoordelingen (OKB) binnen de accountancy is vrij standaard, eventueel uitgebreid met domeinen als fiscaliteit. Ook specifieke rollen in relatie tot de Wwft komen vaak voor. Bij veel kantoren is binnen compliance expliciete aandacht belegd voor de naleving van de AVG. In sommige gevallen is een teamlid aangewezen als functionaris voor gegevensbescherming (FG), hoewel dit wettelijk doorgaans niet verplicht is. Deze rol vereist specifieke kennis van privacywetgeving, maar ook inzicht in procesinrichting en gedragsaspecten. Een minder expliciet voorkomende specialisatie betreft incidenten en integriteit. Wie deze taak op zich neemt, fungeert als meldpunt, begeleidt onderzoeken en adviseert over cultuurmaatregelen.

Naast deze herkenbare rollen valt te denken aan andere aandachtsgebieden: duurzaamheid, klokkenluidersregeling, sanctielijsten of cyberbeveiliging. Die verbreding kan logisch zijn, maar vergt aandacht voor rolafbakening. Niet iedereen hoeft overal op ingezet te worden, zolang het team als geheel maar de gevraagde breedte en diepgang kan bieden.

Essentieel is dat taakverdeling niet informeel of impliciet blijft. Wie doet wat, wie is aanspreekpunt bij vragen of signalen, en hoe wordt voorkomen dat zaken tussen wal en schip raken? Een gedeelde mailbox is geen vervanging voor heldere afspraken. Als rollen niet zijn uitgesproken, ontstaan gemakkelijk doublures, lacunes of onduidelijkheden in communicatie. Een compacte, maar functioneel uitgewerkte matrix van verantwoordelijkheden helpt het team niet alleen intern, maar ook in de herkenbaarheid binnen het kantoor.

Diversiteit in achtergrond en denkrichting

Een effectief compliance team bestaat niet uit gelijkgestemden. De kracht zit juist in de onderlinge verschillen: in achtergrond, benadering, temperament en overtuiging. Dat begint bij de vooropleiding. Het is een misvatting dat compliancefunctionarissen per definitie accountant zouden moeten zijn. In de praktijk is een accountant met vaktechnische ervaring een waardevolle aanvulling, maar geen vereiste voor iedere rol binnen het team. Juist juristen, bestuurskundigen, gedragswetenschappers of communicatieprofessionals kunnen waardevolle perspectieven inbrengen, zeker wanneer het gaat om integriteit, governance, cultuur, beleid of gedragsverandering. Een team waarin iedereen denkt als een accountant, kijkt ook als een accountant en mist daarmee mogelijk wat nodig is om structureel spanning, patronen en cultuur te begrijpen.

Ook in houding en benadering is verscheidenheid een kracht. De onderzoekende analist, de taalvaardige rapporteur, de rustige luisteraar en de kritische uitdager: ieder brengt iets anders, en ieder vult het beeld aan. Dat vraagt om wederzijds respect en duidelijke afspraken, maar levert veel op. In de praktijk blijken goed functionerende teams niet homogeen, maar juist complementair. Verschillen worden niet weggepoetst, maar productief gemaakt. Wie alles alleen wil kunnen, faalt vroeg of laat. Wie samenwerkt met mensen die anders kijken, scherpt het eigen oordeel en voorkomt blinde vlekken.

Een dergelijke samenstelling komt niet vanzelf tot stand. Ze vereist bewuste keuzes bij werving, taakverdeling en beoordeling. Dat vraagt ook iets van het bestuur: het vermogen om niet alleen te kijken naar titels, maar naar potentieel. Compliance is geen verlengstuk van de accountancy, maar een zelfstandig vak met raakvlakken aan vele disciplines. Wie dat erkent, bouwt aan een team dat niet alleen professioneel is, maar ook toekomstbestendig.

Coördinatie en eindverantwoordelijkheid

Een compliance team functioneert niet als optelsom van losse functionarissen. Ook in een gedeelde of thematisch opgebouwde structuur is coördinatie essentieel. Er moet iemand zijn die het overzicht bewaart, het jaarplan bewaakt, prioriteiten stelt en de afstemming verzorgt met bestuur, directie en praktijk. Zonder die rol verzandt het team gemakkelijk in losse acties, fragmentarische signalering of reactieve incidentbestrijding. Coördinatie is geen machtspositie, maar een noodzakelijke structuur om richting en samenhang aan te brengen in een functie die per definitie breed en complex is.

In de praktijk bestaat een compliance team zelden uit junioren. De meeste teamleden zijn taakvolwassen professionals, vaak met ruime ervaring in de praktijk of in andere tweedelijnsrollen. Niet zelden werken zijparttime, op wisselende dagen en verspreid over meerdere vestigingen. Fysieke aanwezigheid op één locatie is eerder uitzondering dan norm. Daar komt bij dat hybride werken inmiddels de standaard is. Wie vasthoudt aan overlegstructuren die alleen functioneren als iedereen tegelijk op kantoor is, loopt al snel vast.

Die realiteit stelt eisen aan de manier waarop het team is georganiseerd. Er is behoefte aan vertrouwen, zelfstandigheid en duidelijke rolverdeling, maar ook aan goede digitale ondersteuning. Met moderne office software zoals Teams, OneNote, SharePoint of Planner zijn veel van de praktische uitdagingen goed oplosbaar, mits het team weet wat het van elkaar mag verwachten. Een gedeelde notitieomgeving, een gezamenlijke planning, duidelijke afspraken over communicatie, waaronder dossiervorming, en overdracht zijn vaak belangrijker dan fysieke nabijheid. Coördinatie krijgt dan een andere kleur: minder direct aansturen, meer faciliteren, verbinden en borgen.

Uiteindelijk vraagt ieder compliance team om een duidelijk aanspreekpunt. Niet alleen intern, maar ook richting bestuur, externe toezichthouders of vaktechniek. Die eindverantwoordelijke moet kunnen instaan voor de consistentie en zorgvuldigheid van het functioneren van de compliancefunctie als geheel. Dat betekent niet dat alle signalen, rapporten of adviezen door dezelfde persoon moeten worden opgesteld. Wel dat iemand in de organisatie zegt: hier staan wij voor, zo is onze afweging tot stand gekomen, en hierop mag u ons aanspreken.

Samenwerking met eerste lijn en staf

Een goed functionerend compliance team opereert niet in isolement. De toegevoegde waarde ontstaat juist in de interactie met de eerste lijn en met stafafdelingen zoals vaktechniek, finance, HR of ICT. Dat vraagt om afstemming, toegankelijkheid en wederzijds vertrouwen. Compliance moet weten wat er speelt, maar ook benaderbaar zijn wanneer zich vragen, dilemma’s of signalen voordoen. In de praktijk betekent dit een mix van gestructureerde overleggen, laagdrempelige aanspreekbaarheid en meebewegen met het ritme van de organisatie. Wie alleen zichtbaar is bij incidenten of rapportages, zal zelden als vanzelfsprekend gesprekspartner worden gezien.

De samenwerking met de eerste lijn vraagt om duidelijkheid over rolverdeling. De lijn is verantwoordelijk voor uitvoering en kwaliteitsbewaking, compliance voor toetsing en borging. Dat kan alleen goed functioneren als beide elkaar serieus nemen. De compliance officer die zich opstelt als beterweter of controleur wordt gemeden. Maar ook de lijnfunctionaris die zijn verantwoordelijkheid wegschuift richting compliance ondermijnt het stelsel. Goede samenwerking vraagt om wederzijds respect, een gedeeld begrippenkader en regelmatige uitwisseling van inzichten. Het gesprek moet niet alleen gaan over wat mis ging, maar ook over wat beter kan.

De verbinding met andere stafafdelingen is even belangrijk. Vaktechniek en compliance hebben deels overlappende werkterreinen, maar een andere invalshoek. Juridische ondersteuning en risicomanagement raken aan veel van dezelfde thema’s, maar hanteren andere methoden. Alleen als deze functies elkaar weten te vinden, ontstaat een samenhangend geheel. In de praktijk is dat geen vanzelfsprekendheid. Samenwerking ontstaat niet door het delen van een document, maar door het onderhouden van een relatie. Dat vraagt om ritme, taal, tijd en wederzijdse beschikbaarheid. Niet alles hoeft formeel vastgelegd te worden, maar niets functioneert zonder aandacht.

Specifieke invullingen en hybride vormen

Hybride combinaties en rolvermenging

In de praktijk van mkb-kantoren is de compliancefunctie zelden zuiver afgebakend. Vaak wordt zij gecombineerd met andere taken, variërend van kwaliteitsbepaling tot risicomanagement, beleidsontwikkeling, vaktechniek of zelfs bestuursverantwoordelijkheid. Die combinaties ontstaan niet uit slordigheid, maar uit pragmatisme: beperkte schaal, beperkte capaciteit en het ontbreken van formeel onderscheid maken dat één persoon meerdere rollen vervult. Tegelijk schuilt daarin een wezenlijk risico. Wie verantwoordelijk is voor het opstellen van beleid, het toetsen van de uitvoering én het rapporteren over tekortkomingen, is in feite controleur van het eigen werk. En wie te dicht op de uitvoering zit, verliest de ruimte om onafhankelijk te oordelen wanneer dat nodig is.

Rolvermenging hoeft echter niet altijd tot onwerkbaarheid te leiden. In veel kantoren is het nu eenmaal niet haalbaar om voor elke functie een aparte medewerker aan te stellen. De oplossing ligt dan niet in scheiding, maar in bewustzijn. Een hybride rol kan functioneren als de betrokken functionaris helder aangeeft vanuit welke pet hij of zij spreekt, en als het bestuur bereid is die nuance serieus te nemen. Het vraagt discipline, rolvastheid en bereidheid tot reflectie. Belangrijk is dat er altijd momenten van afstand zijn ingebouwd: terugkoppeling naar het bestuur, collegiale toetsing, of een periodieke second opinion van buiten het eigen team. Zonder die mechanismen wordt vermenging vroeg of laat ondermijning.

De compliance officer als FG of risicomanager

Twee hybride combinaties komen in de praktijk regelmatig voor: die van compliance officer met functionaris voor gegevensbescherming (FG) en die met risicomanager. Beide combineren een toetsende en adviserende taak, en kennen inhoudelijke overlap. In het geval van de FG-rol is die overlap zelfs substantieel. Zowel compliance als de FG houden zich bezig met naleving, interne beheersing, bewustwording en rapportage. In veel mkb-kantoren is de FG-rol daarom ondergebracht bij het complianceteam, en dat is in beginsel goed te verenigen. De AVG vereist wel dat de FG over voldoende autonomie beschikt om zonder belemmering te kunnen rapporteren, ook wanneer het onderwerp gevoelig ligt of raakt aan andere beleidsdoelen. De combinatie is dus niet verboden, maar vraagt ruimte en expliciete erkenning van de onafhankelijke positie van de FG binnen de bredere rolopvatting van compliance.

De combinatie met risicomanagement ligt anders. Ook hier is sprake van overlap, zeker waar het gaat om signaleren, analyseren en adviseren over kwetsbaarheden in de organisatie. Maar het perspectief verschilt. Risicomanagement richt zich op de vraag welke risico’s de strategische en operationele doelstellingen van het kantoor bedreigen, en hoe die risico’s beheerst kunnen worden. De riskmanager faciliteert dat proces, ondersteunt bij het bepalen van risicobereidheid, en adviseert over maatregelen. Maar de verantwoordelijkheid voor het omgaan met risico’s ligt nadrukkelijk bij de eerste lijn en het bestuur. Compliance daarentegen toetst of het beleid en de maatregelen die zijn vastgesteld ook daadwerkelijk worden nageleefd. De één ondersteunt het denken over risico’s, de ander toetst de uitvoering ervan.

Bij beide combinaties geldt: de meerwaarde zit in de verbinding, het risico zit in de vervlechting. Wanneer rollen niet expliciet onderscheiden worden, ontstaat verwarring. Dan wordt het onduidelijk wie toetst en wie adviseert, wie helpt en wie rapporteert, en waar de grens ligt tussen meedenken en beoordelen. Juist in dit soort combinatiefuncties is het van belang om die grenzen hardop te benoemen, en intern voortdurend onderling te toetsen of ze nog worden bewaakt.

Toetsend versus faciliterend: schuivende grenzen

De compliance officer is geen handhaver in klassieke zin. Zeker binnen mkb-kantoren komt de meeste impact niet voort uit formele toetsing of rapportages, maar uit het gesprek: het sparren met praktijkverantwoordelijken, het signaleren van spanningen, het begeleiden van verbeterprocessen. Daarmee schuift de rol vaak op richting advisering en ondersteuning. Dat is op zichzelf geen probleem, en zelfs wenselijk als het bijdraagt aan naleving, bewustwording en kwaliteitsverbetering. Maar het maakt de grens tussen toetsing en facilitering dunner. Wie vandaag adviseert over een aanpak, kan morgen moeilijk onafhankelijk toetsen of die aanpak wel passend was.

Die schuivende grens vraagt om voortdurende alertheid. Niet ieder advies hoeft vermeden te worden, en niet elke suggestie ondermijnt de onafhankelijkheid. Maar het is van belang dat de compliance officer zich steeds afvraagt: vanuit welke rol spreek ik, en hoe borg ik dat mijn oordeelsvorming geloofwaardig blijft? Soms betekent dat: terughoudendheid betrachten. Soms: expliciet maken dat het gesprek verkennend is en niet bindend. En soms betekent het: het toetsen overlaten aan een collega of externe partij, om belangenverstrengeling te vermijden.

De mate waarin de compliance officer optreedt als adviseur of begeleider verschilt per kantoor en per situatie. Belangrijk is dat die rol niet verwordt tot verlengstuk van de uitvoering. De kracht van compliance ligt juist in het spanningsveld: nabij genoeg om effect te hebben, maar onafhankelijk genoeg om te kunnen oordelen. Die spanning hoeft niet opgelost te worden, maar moet wel onderkend en actief beheerd worden. Niet door afstand te nemen van de praktijk, maar door open te blijven over de rol die wordt vervuld.

Organisatorische positionering en verwachtingenmanagement

Een hybride invulling van de compliancefunctie vraagt niet alleen iets van de functionaris zelf, maar ook van het bestuur. Uiteindelijk is het het bestuur dat de kaders stelt: welke rollen worden gecombineerd, welk mandaat wordt toegekend, hoe onafhankelijkheid wordt geborgd en hoe wordt omgegaan met mogelijke spanningen. Dat vereist meer dan een functiebeschrijving. Het vraagt om een gedeeld beeld van de rol die compliance binnen het kantoor vervult, en om realistische verwachtingen ten aanzien van tijd, capaciteit, ondersteuning en positionering.

Die verwachtingen moeten passen bij de context van het kantoor. In een klein team is het onvermijdelijk dat de compliance officer meerdere petten draagt. Maar dat ontslaat het bestuur niet van de verantwoordelijkheid om te zorgen voor afbakening, reflectie en ondersteuning. Ook een parttime compliance officer die andere taken vervult, moet de ruimte krijgen om onafhankelijk te kunnen optreden wanneer dat nodig is. Dat vergt niet alleen formele mandatering, maar ook een cultuur waarin ongemakkelijke signalen welkom zijn en waarin toetsing niet wordt opgevat als kritiek, maar als vorm van betrokkenheid.

Tegelijk moet ook de compliance officer realistisch zijn in wat mogelijk is. Wie een hybride functie vervult, kan niet overal onafhankelijk in optreden. Dat hoeft ook niet, zolang maar duidelijk is welke onderwerpen toetsbaar zijn en welke niet. De kracht zit in helderheid. Zeggen wat je wel kunt doen, en zeggen wat je bewust laat liggen. Dat vraagt om professioneel zelfinzicht, maar ook om ruimte voor reflectie en collegiale toetsing. In een goed functionerende organisatie is die ruimte aanwezig, juist omdat het bestuur begrijpt dat compliance niet primair over regels gaat, maar over vertrouwen.

Maar die ruimte moet er niet alleen zijn, zij moet ook daadwerkelijk worden benut. Als een compliance officer structureel ervaart dat signalen worden genegeerd, dat onafhankelijk optreden wordt belemmerd of dat het bestuur zich onttrekt aan fundamentele verantwoordelijkheden, ontstaat een grens. In dat geval rust op de compliance officer de plicht om dit bespreekbaar te maken, te documenteren en, als er geen verbetering volgt, zich af te vragen of het nog verdedigbaar is om de functie te blijven vervullen. In het uiterste geval is het neerleggen van de rol geen vlucht, maar een professionele consequentie. Juist dat onderscheidt een functie met gezag van een titel zonder inhoud.

Terug naar de inhoudsopgave

Klik hier voor de inhoudsopgave.

3 augustus 2025
4. Het regelwoud

Inleiding

Compliance is in de kern gericht op het beheersen van risico’s die het realiseren van organisatiedoelen bedreigen. In eerdere hoofdstukken zagen we hoe deze functie zich ontwikkelde van een paradigma van regelnaleving naar een paradigma van risicobeheersing. Regels vormen daarbij niet het startpunt, maar wel het speelveld. De compliance officer die alleen regels ‘afvinkt’, mist de essentie van het vak, maar wie ze negeert, ontdekt vroeg of laat dat organisatiedoelen zich slecht verhouden tot het schenden van regels.

De veelheid aan regelgeving waaraan een accountantsorganisatie zich te houden heeft, en die bovendien vaak op elkaar ingrijpt, maakt dat de compliance officer niet om de regels heen kan. Niet als doel op zich, maar als structuur waarbinnen risicomanagement, kwaliteitsborging en ethisch handelen betekenis krijgen. In deze paragraaf verkennen we daarom hoe die regelgeving is opgebouwd, hoe verschillende bronnen zich tot elkaar verhouden, en hoe de samenhang tussen de beroepsgroepen binnen het kantoor vraagt om inzicht in elkaars regelgeving.

De gelaagdheid van regelgeving

Voor wie geen jurist is, zoals de meeste compliance officers in de accountantspraktijk (ik incluis), is het zinvol stil te staan bij de manier waarop regelgeving is opgebouwd en hoe de verschillende bronnen zich tot elkaar verhouden. Bovenaan staan internationale verdragen, zoals het Europees Verdrag voor de Rechten van de Mens, EVRM of het anti-witwasverdrag van de Raad van Europa. Daaronder volgen Europese verordeningen (zoals de AVG), die rechtstreeks van toepassing zijn in Nederland, en Europese richtlijnen, die eerst moeten worden omgezet in nationale wetgeving. Nationale wetten, zoals de Wta, Wwft en de Wet bescherming klokkenluiders, vormen het volgende niveau van regelgeving.

Onder de formele wetgeving bestaan lagere regels: algemene maatregelen van bestuur (amvb’s), ministeriële regelingen en beleidsregels. Deze geven vaak invulling aan open normen of verduidelijken de wijze van handhaving. Daarnaast is er beroepsspecifieke regelgeving. De regels van de NBA zijn, als verordeningen van een openbaar lichaam in de zin van de Grondwet, publiekrechtelijk van aard en hebben kracht van wet. Daaronder komen de gedragsregels van beroepsverenigingen als de NOB, het RB of NIRPA, die verenigingsrechtelijk zijn en alleen bindend voor leden.

Daar waar regels strijdig zijn met elkaar gaat in beginsel hogere regelgeving voor lagere regelgeving, en gaat specifieke regelgeving voor algemene regelgeving.

Een bijzondere plaats wordt ingenomen door jurisprudentie. Uitspraken van rechters kunnen richtinggevend zijn, bijvoorbeeld in het civiel recht (denk aan aansprakelijkheid), bestuursrecht (zoals boetes van de AP of AFM), of het tuchtrecht (de Accountantskamer). Ook de opvattingen en beleidsregels van toezichthouders als de AFM, AP, NBA of Belastingdienst vervullen een belangrijke rol, zelfs als ze formeel niet bindend zijn. In de praktijk scheppen ze wel degelijk verwachtingen waaraan organisaties worden gehouden, zeker als het gaat om wat een redelijk handelend beroepsbeoefenaar behoort te weten of doen.

Kantoorbreed en beroepsspecifiek

In de compliancepraktijk is een ander onderscheid van betekenis: regelgeving die voor het hele kantoor geldt, ongeacht discipline, en regels die juist gekoppeld zijn aan specifieke beroepsgroepen. De eerste categorie omvat onder meer de Wwft, de AVG, het Burgerlijk Wetboek (denk aan zorgplicht, wanprestatie en onrechtmatige daad), en nieuwe wetgeving zoals de Wet bescherming klokkenluiders of de WOO. Deze regels raken de organisatie als geheel en vereisen vaak integrale beleidsvorming en inrichting van processen.

De tweede categorie betreft wet- en regelgeving die specifiek is voor bijvoorbeeld accountants, fiscalisten, salarisadministrateurs of juridisch adviseurs. Hier lopen de regels uiteen: de samenstellende accountant heeft te maken met andere beroepsnormen dan de controlerend accountant, de fiscalist kent eigen geheimhoudingsplichten en meldverplichtingen, en de corporate finance-specialist opereert weer binnen andere regels.

Tenslotte zij nog opgemerkt dat er een wat vage scheidslijn bestaat tussen het domein van Compliance en Legal. In dit hoofdstuk zullen we ons beperken tot typische gedragsregels die het professioneel handelen van medewerkers van een accountantskantoor regelen. Dat betekent dat kwesties als vennootschapsrecht, voor zover het kantoor zelf betreffende, hier buiten beschouwing blijft. Dat wil niet zeggen dat het ondenkbaar is dat een compliance officer diens bestuur waarschuwt als het kantoor een ondernemingsraad zou moeten hebben volgens de wet, maar er geen heeft. Maar hier dit hoofdstuk beoogt slechts een betrekkelijk globaal beeld te geven van de meest in het oog springende regelingen die voor Compliance meestal van betekenis zijn. In ieder individueel geval zullen Bestuur, Legal en Compliance met elkaar scherp moeten krijgen wie waarvoor exact verantwoordelijk is en in welke vorm en mate.

Hoewel functiescheiding en belangentegenstelling soms functioneel kunnen zijn, is tussen Legal en Compliance vooral samenwerking en afstemming wenselijk. Gevechten om territorium of om een betere plek op de apenrots zijn tussen beiden echt onwenselijk.

Samenhang en wrijving tussen beroepsgroepen

Een accountantsorganisatie is zelden homogeen. Onder één dak werken professionals met verschillende rollen, regels en verantwoordelijkheden. Die diversiteit is waardevol, maar vormt ook een risico wanneer regels botsen of elkaar belemmeren. Geheimhoudingsplichten van fiscalisten kunnen haaks staan op de controlebehoefte van accountants. De onafhankelijkheidseisen uit de ViO kunnen adviesrelaties belemmeren. De meldplicht bij ongebruikelijke transacties (Wwft) kan strijdig lijken met cliëntbelangen of beroepsethiek.

Voor Compliance ligt hier een fundamentele taak: inzicht creëren in hoe regels elkaar raken, en mechanismen ontwerpen om dat spanningsveld hanteerbaar te maken. Dat vraagt om dialoog tussen beroepsgroepen, heldere procesafspraken en, niet in de laatste plaats, een scherp oog voor proportionaliteit.

Kantoorbrede regelgeving

Een accountantsorganisatie bestaat uit verschillende beroepsgroepen, elk met eigen verantwoordelijkheden en vaktechnische kaders. Maar er bestaat ook een aantal wettelijke regelingen die niet gebonden zijn aan één specifieke discipline, maar gelden voor de organisatie als geheel. Dergelijke regelgeving doorkruist disciplinegrenzen en vraagt om centrale borging. Een aantal daarvan wordt hierna kort beschreven.

Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)

De Wwft verplicht accountants, fiscalisten, administrateurs en nog een reeks andere beroepsgroepen om cliëntenonderzoek te verrichten en ongebruikelijke transacties te melden. Hoewel de wet zijn oorsprong vindt in de financiële sector, is zij ook van toepassing op diverse vrije beroepsbeoefenaars. De toepassing is risicogebaseerd: het gaat niet om een uniforme checklist, maar om een proportionele beoordeling per cliëntrelatie en opdracht. De Wwft raakt zo niet alleen de controlepraktijk, maar juist ook samenstelopdrachten, fiscale advisering en waarderingskwesties. Opvallend aan de Wwft is dat hierin de facto toepassing van het 3LoD-model voorgeschreven wordt. De compliance officer heeft hier een coördinerende taak: zorgen dat de beleidsmatige inbedding, uitvoering, monitoring én meldprocedures intern op orde zijn. De derde lijn, de audit functie, is bij organisaties waar dat passend is, pakweg 50 of meer medewerkers, ook wettelijk verplicht. In de praktijk betekent dat voor de meeste accountantskantoren dat zij deze rol extern moeten inhuren.

De Wwft verplicht nog tot enkele zaken die vaak onbenoemd blijven, maar waar vanuit Compliance wel aandacht voor moet bestaan. Te denken valt aan een opleidingsverplichting, een verplichting medewerkers te toetsen op geschiktheid, een nogal strikte geheimhoudingsplicht, en zo verder.

Wet bescherming klokkenluiders

Deze wet verplicht organisaties met vijftig of meer medewerkers tot het inrichten van een interne meldregeling. Die regeling moet toegankelijk zijn, voorzien in vertrouwelijkheid, bescherming tegen benadeling en behoorlijke opvolging. Hoewel veel accountantskantoren van oudsher een cultuur van openheid en korte lijnen nastreven, volstaat dat niet voor de wetgever. Compliance is doorgaans verantwoordelijk voor het onderhouden van het interne meldkanaal, het registreren en opvolgen van meldingen en het rapporteren aan het bestuur. Dat vereist heldere procedures, maar ook culturele zorgvuldigheid: een werkend klokkenluidersbeleid vraagt om vertrouwen, geen vinklijst. Let daarbij op dat wie een klokkenluidersregeling heeft op grond van de Wta wellicht niet voldoet aan de eisen van de Wet bescherming klokkenluiders, die immers uitgebreider is.

Wet open overheid (WOO)

De WOO is primair gericht op bestuursorganen, maar kan indirect ook private partijen raken wanneer zij betrokken zijn bij de uitvoering van publieke taken. Dit is bijvoorbeeld relevant wanneer een accountantsorganisatie verklaringen afgeeft in het kader van subsidieregelingen of andere publieke financieringsstromen. In dat geval kan een verzoek om openbaarheid ook betrekking hebben op de onderliggende stukken of verklaringen. Compliance moet zich bewust zijn van deze mogelijkheid en vooraf afwegen welke informatie deelbaar is, onder welke voorwaarden, en hoe dit wordt vastgelegd.

Algemene verordening gegevensbescherming (AVG)

De AVG is al jaren niet meer weg te denken uit het compliancevak. Toch blijft de toepassing in de accountantspraktijk weerbarstig. Accountantsorganisaties zijn vrijwel altijd verwerkingsverantwoordelijke en dragen dus de plicht om passende technische en organisatorische maatregelen te treffen. Dat omvat onder meer een verwerkingsoverzicht, verwerkersovereenkomsten, adequate informatiebeveiliging en, in bepaalde gevallen, een Data Protection Impact Assessment (DPIA). Ook moeten rechten van betrokkenen (zoals inzage en correctie) goed geborgd zijn. De compliance officer speelt een centrale rol in toezicht, registratie en bewustwording, vaak in samenwerking met ICT en HR. Wie dat verder wil borgen richt de functie van Functionaris voor de Gegevensbescherming (FG) in, bij voorkeur binnen Compliance.

Mededingingswet

Hoewel de Mededingingswet vaak wordt geassocieerd met kartelvorming of grootschalige fusies, bevat zij ook bepalingen die relevant zijn voor mkb-accountantsorganisaties. Denk aan prijsafspraken tussen kantoren, het gezamenlijk inschrijven op aanbestedingen of het uitwisselen van concurrentiegevoelige informatie in samenwerkingsverbanden. Ook het delen van kennis via beroepsverenigingen of intervisiegroepen kan onder voorwaarden mededingingsrechtelijke risico’s meebrengen. Van belang is te signaleren wanneer samenwerking overgaat in afstemming, en waar informatie-uitwisseling de grenzen van toelaatbaarheid overschrijdt.

Burgerlijk Wetboek

Het Burgerlijk Wetboek vormt de ruggengraat van het civiele recht, en bevat bepalingen die rechtstreeks doorwerken in het dagelijks handelen van medewerkers van een accountantsorganisatie. De algemene zorgplicht, het leerstuk over wanprestatie, en het leerstuk over de onrechtmatige daad zijn alle van toepassing op dienstverlening. Een foutieve fiscale adviesopdracht, gebrekkige dossiervorming of onvoldoende voorlichting bij een bedrijfsoverdracht kan tot civiele aansprakelijkheid leiden. Voor accountants komen hier wat specifieke uitdagingen kijken. Zo zijn de rechten en plichten die iedere ondernemer heeft door de tuchtrechter verder toegespitst op het dubbele karakter van ondernemerschap en de vervulling van een publieke functie. Zorgplicht krijgt daardoor een specifieke invulling, zaken als “rauwelijks opzeggen”, retentierecht, beslaglegging, zijn voor accountants vaak net iets anders dan voor normale ondernemers. Die dubbele rol van de accountant komt ook naar voren in wanprestatie en onrechtmatige daad. Waar een accountant een verklaring afgeeft voor een klant, ter toevoeging aan een jaarrekening, kan de klant wanprestatie stellen als de accountant onvoldoende kwaliteit heeft geleverd, maar ook derden kunnen diezelfde verklaring gebruiken als basis voor een claim wegens onrechtmatige daad.

Beroepsregels en handreikingen (NBA)

Tot slot geldt dat de verordeningen en nadere voorschriften van de NBA — als openbaar lichaam — bindend zijn voor accountants. Daarnaast bestaan er diverse handreikingen, veelal als soft law gepositioneerd, die richting geven aan professioneel handelen. Hoewel deze niet altijd juridisch afdwingbaar zijn, wordt van accountants wel verwacht dat zij zich hiervan rekenschap geven.

Met name deze laatste categorie is, samen met constant ontwikkelende jurisprudentie, een kolossaal lichaam van regelgeving dat constant in beweging is.

Accountants in de samenstelpraktijk

De samenstellende accountant is vaak het meest zichtbare gezicht van de accountantsorganisatie richting de ondernemer. Niet zelden fungeert hij of zij als vertrouwenspersoon, klankbord en eerste aanspreekpunt bij bedrijfseconomische en financiële vragen. Tegelijkertijd is de samenstelpraktijk het domein waar de meeste juridische en normatieve vaagheid optreedt: wanneer begint een samenstelling feitelijk te lijken op assurance? In hoeverre mag een accountant zich verdiepen in het bedrijf zonder onbedoeld een oordeel uit te spreken? En wat is de verantwoordelijkheid van de accountant als de informatie van de cliënt onvolledig of onjuist is? Is de samenstellend accountant primair adviseur van de klant of vertrouwensman van het maatschappelijk verkeer?

Beroepsregels en tuchtrechtelijke kaders

De samenstellende accountant is gebonden aan de Verordening gedrags- en beroepsregels accountants (VGBA), die professionaliteit, integriteit, objectiviteit, vakbekwaamheid en zorgvuldigheid, en vertrouwelijkheid als fundamentele beginselen formuleert. Deze open normen worden ingekleurd door de Nadere voorschriften NOCLAR, de NVKS en diverse handreikingen van de NBA. Specifiek voor samenstellingsopdrachten geldt de NV COS 4410, waarin eisen zijn opgenomen over opdrachtbevestiging, werkzaamheden, rapportage en dossiervorming.

Punten die om aandacht vragen zijn het feit dat de samenstellend accountant niet valt onder de reikwijdte van de ViO en dus in beginsel niet onafhankelijk moet zijn, maar vanwege de objectiviteitseis daar toch niet ver vandaan kan blijven. Daarnaast is het interessant te zien dat hoewel een samenstelopdracht geen assurance betreft in letterlijke zin, gebruikers wel degelijk verschillende vormen van zekerheid aan het werk van de accountant mogen ontlenen. Dat volgt uit artikel 7 en 9 VGBA over de betrokkenheid bij niet-integer gedrag en informatie, maar ook uit de eisen van NV COS 4410 over hoe om te gaan met kennelijk onjuiste of onvolledige informatie, bijvoorbeeld in verband met fraude.

Daarnaast zijn er regelmatig situaties waarin andere standaarden uit de 2000-, 3000- of 4000-serie van toepassing zijn. Denk aan specifieke opdrachten met een beperkte mate van zekerheid, beoordeling van prognoses of opdrachten in het kader van financieringsaanvragen. Wat gemakshalve vaak wordt aangeduid als samenstelpraktijk omvat in werkelijkheid een veel breder scala aan dienstverlening, met eigen specifieke standaarden en het altijd aanwezige spanningsveld tussen dienstverlening aan de klant tegenover de maatschappelijke rol.

Vanaf 1 januari 2026 gelden de nieuwe kwaliteitsstandaarden NVKM, SKM1 en SKM3N voor een deel van de markt, en vanaf 1 januari 2027 voor alle accountantskantoren. Deze vervangen de NVKS en vragen een fundamenteel andere benadering van kwaliteitsbeheersing, waarbij meer nadruk ligt op risicogestuurde sturing en toetsbare beleidsinrichting.

Tuchtrechtelijk worden samenstellende accountants beoordeeld door de Accountantskamer en in tweede aanleg door het College van Beroep voor het bedrijfsleven (CBb). De aard van het tuchtrecht brengt met zich mee dat jurisprudentie vaak relevantie heeft voor de praktijk die verder gaat dan de individuele casus.

Relevante wet- en regelgeving in het dagelijks werk

Hoewel de samenstelpraktijk formeel geen assurance levert, is het belang van de afgegeven verklaring in de praktijk vaak aanzienlijk. De verklaring kan gebruikt worden bij kredietaanvragen, subsidieaanvragen of overdrachtsprocessen. Het levert ook een aangrijpingspunt in civiele kwesties rond jaarrekeningen en daarmee samenhangende disputen. Daarmee ontstaan impliciete verwachtingen bij gebruikers, ook buiten de klant om.

In het Burgerlijk Wetboek zijn bepalingen opgenomen die direct relevant zijn voor de samenstellende accountant. De overeenkomst van opdracht, zorgplicht, en het leerstuk van de onrechtmatige daad komen terug in aansprakelijkheidsstellingen bij fouten of nalatigheid.

Belangrijker in het dagelijks werk is dat het Burgerlijk Wetboek in boek 2 onder titel 9 de normen geeft waaraan een jaarrekening dient te voldoen. In de mkb-praktijk is IFRS meestal niet relevant, wel spelen de normen van de Raad voor de Jaarverslaggeving (RJ) een grote rol. Hoewel de RJ geen wettelijke status heeft en haar uitingen dus ook niet, steunen rechters, met name de Ondernemingskamer, wel degelijk op de RJ standaarden.

Ook specifieke wetgeving zoals de CBS-wet speelt een rol: accountants kunnen gevraagd worden data aan te leveren of klanten daarbij te ondersteunen. In sommige sectoren gelden aanvullende rapportageverplichtingen of vereisten voor het bijhouden van kengetallen, bijvoorbeeld in de zorg of kinderopvang. Fiscale regelgeving is eveneens van belang, met name bij het signaleren van onregelmatigheden in jaarcijfers die aan de fiscus worden doorgegeven, of bij de opstelling van rapportages die indirect dienen als onderbouwing voor aangiftes of verzoeken om uitstel van betaling.

In de praktijk van het mkb-kantoor vallen het samenstellen van jaarrekeningen en het verzorgen van met name VpB-aangiften in hoge mate samen. De mate waarin beide rollen elkaar controleren of juist zo goed als blind op elkaars werk vertrouwen varieert sterk in de praktijk.

Aandachtspunten voor compliance

De samenstelpraktijk is in veel kantoren de grootste bron van werk en omzet, maar ook een bron van compliance-risico’s. De afbakening tussen samenstel en impliciet oordeel is soms dunner dan gedacht. De druk om “de klant te helpen” kan leiden tot grensoverschrijdend gedrag, al dan niet bedoeld. Het accepteren van opdrachten waarbij de betrouwbaarheid van de aangeleverde informatie twijfelachtig is, vereist niet alleen een professionele afweging, maar ook een toetsbare en vastgelegde motivering.

Compliance heeft hier de taak om kwaliteitsstructuren op orde te houden, signalen van onzorgvuldigheid tijdig te detecteren, en vooral ook bespreekbaar te maken wat impliciet is: het spanningsveld tussen klantgerichtheid en professioneel handelen. Kwaliteit is in de samenstelpraktijk geen kwestie van technische perfectie, maar van het durven stellen van de juiste vragen, ook als dat ongemakkelijk is.

Accountants in de controlepraktijk

De controlerend accountant vervult een bijzondere positie binnen de beroepsgroep. Niet alleen omdat de controle een wettelijke verplichting kan zijn, maar vooral omdat de afgegeven verklaring rechtstreeks impact heeft op het maatschappelijk verkeer. Waar de samenstellende accountant zich primair tot de cliënt richt, is de controlerend accountant bij uitstek, en wellicht primair, rekenschap verschuldigd aan derden. Die dubbelrol vraagt om een strikte beroepsethiek, een heldere normatieve basis en een toetsbaar kwaliteitsstelsel. De controlepraktijk is daarmee één van de duidelijkst gereguleerde onderdelen van het accountantsberoep, maar ook een bron van ingewikkelde afwegingen in het grensgebied tussen onafhankelijkheid, risicoanalyse en maatschappelijke verwachtingen.

Beroepsregels en toezicht

De controlerend accountant valt onder dezelfde gedragsregels als de overige leden van de beroepsgroep: de VGBA geeft de fundamentele beginselen van integriteit, objectiviteit, vakbekwaamheid en zorgvuldigheid, vertrouwelijkheid en professioneel gedrag. In aanvulling daarop geldt de Verordening inzake de onafhankelijkheid (ViO), waarin nadere eisen zijn opgenomen voor onafhankelijkheid in wezen en in schijn bij assurance-opdrachten. Hierin worden ook diensten beperkt die naast de controle mogen worden verleend, afhankelijk van de soort cliënt en opdracht.

De Nadere voorschriften NOCLAR verplichten de accountant tot alertheid op wetsovertredingen en in bepaalde gevallen zelfs tot het doorbreken van de vertrouwelijkheid. Specifiek voor de controlepraktijk zijn de Standaarden uit de NV COS leidend, met onder meer Standaard 200 (algemene principes), 240 (frauderisico’s), 250 (wet- en regelgeving), 265 (interne beheersingsgebreken), 315 (risicoanalyse), 500 (controle-informatie), en 700 (controleverklaring). Deze vormen samen een stelsel van verplichtingen en overwegingen dat de kern van het controleproces vormt.

Vanaf 1 januari 2026 treden de nieuwe kwaliteitsstandaarden NVKM, SKM1, SKM2 en SKM3N gefaseerd in werking. Deze vervangen de bestaande NVKS en zijn gebaseerd op het internationale ISQM-stelsel. Daarmee verschuift de aandacht nog meer richting risicogebaseerde kwaliteitsbeheersing, permanente evaluatie en een expliciete rol van het leiderschap bij het borgen van kwaliteit.

Fraude blijft in de controlepraktijk een voortdurend punt van aandacht. Hoewel de controle niet gericht is op het opsporen van fraude, heeft de accountant wel een rol in het signaleren van frauderisico’s en het onderkennen van aanwijzingen van het bestaan van fraude met materiële afwijkingen in de jaarrekening tot gevolg. COS 240 vormt hiervoor het uitgangspunt. In tuchtrechtelijke uitspraken wordt getoetst of de accountant in redelijkheid heeft gehandeld gegeven de omstandigheden.

Het toezicht op de controlepraktijk is afhankelijk van de aard van de controles die worden verricht. Kantoren met een Wta-vergunning vallen onder toezicht van de AFM. Kantoren zonder vergunning staan onder toezicht van de NBA en worden doorgaans gereviewd via het stelsel van SRA of NBA-kwaliteitstoetsingen. In alle gevallen geldt dat tuchtrechtspraak plaatsvindt via de Accountantskamer en in hoger beroep het College van Beroep voor het bedrijfsleven.

Relevante wet- en regelgeving in het dagelijks werk

De controlerend accountant moet niet alleen beroepsregels naleven, maar opereert binnen een juridisch kader dat de jaarverslaggeving normeert. In het Burgerlijk Wetboek, met name in Boek 2 Titel 9, zijn de voorschriften opgenomen waaraan jaarrekeningen van rechtspersonen moeten voldoen.

De normen van de Raad voor de Jaarverslaggeving (RJ) zijn bij de toepassing van Titel 9 een belangrijk richtsnoer. Hoewel zij formeel geen wettelijke status hebben, wordt hun inhoud in de jurisprudentie, met name bij de Ondernemingskamer, regelmatig als maatgevend beschouwd. Voor specifieke organisaties die IFRS moeten toepassen, geldt een ander kader, maar ook daar moet de accountant toezien op naleving van de desbetreffende verslaggevingsregels.

Daarnaast krijgt de controlerend accountant te maken met bepalingen uit de Wet computercriminaliteit, specifiek de daarmee ontstane bepaling van artikel 393 lid 4, laatste volzin van BW 2:

[…] Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.

Ten slotte geldt dat het controleproces juridisch bindende betekenis heeft. Een controleverklaring kan civielrechtelijke aansprakelijkheid meebrengen, bijvoorbeeld bij schade van derden die aantoonbaar zijn afgegaan op een onjuiste of onvolledige verklaring. Ook de rol van de accountant bij faillissementen, surseances of overnamekwesties kan in juridische procedures onderwerp van analyse worden.

Aandachtspunten voor compliance

Met name de verbinding tussen commerciële belangen en de publieke taak is een kwetsbaar punt. Compliance moet hier niet alleen controleren, maar vooral vooraf meedenken, kaders helpen stellen, en kritisch blijven bij het verleggen van grenzen in het belang van de klant of de omzet. Het publieke belang laat zich niet altijd in regels vangen, maar wel in houding en keuzes.

Fiscalisten

De fiscalist vervult binnen het accountantskantoor een rol die deels sterk lijkt op de rol van de samenstellend accountant, maar anders dan de accountant is een fiscalist veel sterker gericht op het partijbelang van de klant. De werkzaamheden variëren van het opstellen van belastingaangiften tot complexe advisering over herstructureringen, internationale constructies of estate planning. In veel gevallen betreft het een combinatie van beide domeinen: aangifte en advies lopen in elkaar over. Hoewel de meeste fiscalisten zijn aangesloten bij een beroepsvereniging zoals het Register Belastingadviseurs (RB) of de Nederlandse Orde van Belastingadviseurs (NOB), is dat formeel niet verplicht. Ook ongeorganiseerd kan men als belastingadviseur opereren. Dat maakt het veld breed, maar ook diffuus in termen van toezicht en normstelling.

Beroepsregels en toezicht

Zowel het RB als de NOB hanteren gedragsregels, permanente educatie-eisen en een toetsingsstructuur. Beiden kennen daarnaast een vorm van verenigingstuchtrecht. De normstelling ligt bij beide verenigingen op hoofdlijnen in elkaars verlengde, al is het accent bij de NOB doorgaans sterker gericht op de grote(re) en internationaal werkende kantoren. De beroepsregels beogen fiscale integriteit te waarborgen: het gaat er niet alleen om wat fiscaal toegestaan is, maar ook om wat verantwoord is. Zo zijn er binnen de NOB publicaties verschenen waarin belastingoptimalisatie expliciet wordt afgezet tegen agressieve planningsstructuren, met aandacht voor reputatierisico’s en maatschappelijke effecten.

Naast het verenigingsrechtelijk toezicht speelt de Belastingdienst een indirecte toezichthoudende rol via controles, boekenonderzoeken en het systeem van Horizontaal Toezicht (HT). Binnen dat laatste kader wordt gestreefd naar transparantie en wederzijds vertrouwen tussen kantoor en fiscus, onder voorwaarde van een adequaat kwaliteitsstelsel. De FIOD is geen toezichthouder, maar fungeert als opsporingsdienst in gevallen van vermoedelijke fiscale fraude of strafbare constructies. Het risico op vervolging wegens medeplegen bij valse aangifte is een reële complicatie in de adviespraktijk, met name wanneer een fiscalist zich bewust blijkt van onjuiste informatie maar niet ingrijpt.

Hoewel gedragscodes veelal niet wettelijk verankerd zijn, speelt jurisprudentie hier een normerende rol. Rechters verwachten van belastingadviseurs, ook van niet-aangesloten beroepsbeoefenaars, een zekere zorgvuldigheid en verantwoordelijkheid ten opzichte van de wetgever. Die norm wordt niet alleen bepaald door wat geschreven staat, maar ook door wat een redelijk bekwaam adviseur had moeten doen of nalaten.

Tot slot kan, bij grensoverschrijdende dienstverlening, de rapportageverplichting onder DAC6 aan de orde zijn. Deze Europese richtlijn verplicht tot melding van bepaalde fiscale constructies met kenmerken van agressieve planning, afhankelijk van de rol van de intermediair. De afbakening hiervan is complex, en roept in de praktijk vragen op over rolverdeling en meldplicht.

Relevante wet- en regelgeving in het dagelijks werk

De fiscale praktijk wordt in hoge mate bepaald door formele wetgeving: de Wet inkomstenbelasting 2001, de Wet op de vennootschapsbelasting 1969, de Wet op de omzetbelasting 1968 en de Wet op de loonbelasting 1964 als belangrijkste, met nog een aantal kleinere belastingmiddelen er naast. Daarnaast zijn de Algemene wet inzake rijksbelastingen (AWR), uitvoeringsbesluiten, beleidsstandpunten en internationale verdragen van dagelijks belang. Veel van deze regels kennen een zekere openheid, waardoor interpretatie en risico-inschatting onvermijdelijk deel zijn van het werk.

Daar komt bij dat fiscalisten te maken hebben met regelgeving over informatie-uitwisseling, zoals de Wet op de internationale bijstandsverlening. Dat vraagt om zorgvuldige dossiervorming, het bijhouden van klantcontacten en deugdelijke onderbouwing van standpunten. Specifiek voor het onderwerp transferpricing bestaan nog specifieke documentatievereisten.

Hoewel de Wwft kantoorbreed van toepassing is, geldt op grond van artikel 1a lid 5 van de Wwft dat belastingadviseurs onder bepaalde omstandigheden zijn uitgezonderd van de werking van de wet:

Deze wet is niet van toepassing op belastingadviseurs als bedoeld in het vierde lid, onderdeel a, en personen als bedoeld in het vierde lid, onderdeel c, d en e, voor zover zij voor een cliënt werkzaamheden verrichten betreffende de bepaling van diens rechtspositie, diens vertegenwoordiging en verdediging in rechte, het geven van advies voor, tijdens en na een rechtsgeding of het geven van advies over het instellen of vermijden van een rechtsgeding.

Die uitzondering is van belang in het kader van de vertrouwensrelatie met de cliënt, maar kent in de praktijk ook grijze zones. Voor compliance betekent dit: weten waar de grenzen liggen, en wanneer toch een cliëntenonderzoek of melding vereist is.

Aandachtspunten voor compliance

De compliancefunctie moet bij fiscale werkzaamheden alert zijn op het spanningsveld tussen optimalisatie en integriteit. Niet elke agressieve structuur is onrechtmatig, maar dat ontslaat de organisatie niet van de verantwoordelijkheid om weloverwogen keuzes te maken. Ook de mate van anonimiteit in de fiscale advisering, vertrouwelijkheid, beroepsgeheim, en beperkte transparantie intern, maakt dat compliance een proactieve houding moet innemen.

Dat betekent: zicht houden op dossiervorming, risico-inschatting bij advies, meedenken over positie en onderbouwing bij meningsverschillen met de fiscus, en alertheid op signalen van medepleging, constructies of schijnconstructies. Daarbij hoort ook het gesprek met fiscalisten over proportionaliteit, moreel besef en professionele ruimte. Niet om die ruimte in te perken, maar om haar bewust en verantwoord te benutten.

Een opvallende detailkwestie ontstaat waar accountants en fiscalisten samenwerken, met name wanneer een jaarrekening de basis vormt voor een aangifte VpB. De accountant hanteert zowel in samenstelwerkzaamheden als in controle een materialiteit, de fiscalist doet dat niet. Indien de accountant weet heeft van een afwijking die niet materieel is, en deze niet corrigeert, kan dit betekenen dat de VpB-aangifte dezelfde afwijking bevat. Maar voor de aangifte is die afwijking wel van betekenis.

Salarisprofessionals

Binnen een accountantskantoor wordt de salarispraktijk vaak gezien als een ondersteunende functie, gericht op uitvoerende taken. In werkelijkheid vereist het vak van salarisprofessional een combinatie van juridische, fiscale en administratieve expertise, gekoppeld aan zorgvuldigheid en actualiteitszin. De impact van fouten is direct voelbaar in de portemonnee van de werknemer of de werkgever, of, tegenwoordig zeker zo belangrijk, in het vertrouwen tussen werknemer en werkgever. Juist door het routinematige karakter van veel werkzaamheden, schuilt het risico in versmalling van aandacht.

Beroepsregels en toezicht

Er bestaat in Nederland geen wettelijk geregeld beroep van salarisadministrateur. Toch bestaan er wel beroepsverenigingen zoals het NIRPA en de VNSa, die gedragscodes, permanente educatie-eisen en certificeringsmogelijkheden bieden. Lidmaatschap is niet verplicht, maar wordt vaak door werkgevers of opdrachtgevers als kwaliteitswaarborg gezien. Er is geen wettelijk tuchtrecht, maar wie aantoonbaar structureel fouten maakt, kan via civielrechtelijke of arbeidsrechtelijke procedures worden aangesproken — ook als hij of zij formeel geen adviseur is. NIRPA heeft een eigen klachtenprocedure die min of meer de vorm van verenigingstuchtrecht heeft.

Relevante wet- en regelgeving in het dagelijks werk

Salarisprofessionals opereren binnen een dicht netwerk van wettelijke voorschriften. De Wet op de loonbelasting 1964 vormt samen met de Wet financiering sociale verzekeringen, de Wet minimumloon en minimumvakantiebijslag, en de Wet arbeid en zorg de kern van de fiscale en arbeidsvoorwaardelijke kaders. Daarnaast speelt pensioenwetgeving een belangrijke rol, met name bij verplichte bedrijfstakpensioenfondsen, meldplichten en het correct toepassen van pensioenregelingen. Vervolgens zijn CAO’s relevant, waarbij complexiteit ontstaat als een werkgever onder meerdere CAO’s valt, of wanneer onduidelijkheid bestaat over de geldende CAO.

CAO-bepalingen kunnen aanzienlijk afwijken van wettelijke minimumregelingen, en veranderen regelmatig. De interpretatie en correcte verwerking ervan in de loonadministratie vereist actuele kennis en een goed systeem van interne kwaliteitscontrole. Fouten in CAO-toepassing leiden niet zelden tot claims, correctieverplichtingen of verlies van vertrouwen bij cliënten.

Ook het arbeidsrecht is van belang, met name bij het verwerken van tijdelijke contracten, overuren, ziekteverzuim en ontslagvergoedingen. In veel gevallen worden de juridische kaders door de salarisprofessional vertaald naar bruto-netto-berekeningen of uitvoeringsregels.

Tot slot speelt de AVG een belangrijke rol. De salarisadministratie bevat gevoelige persoonsgegevens zoals BSN, loonstroken, contractinformatie en medische gegevens. De beveiliging van deze gegevens, de bewaartermijnen en het delen met externe partijen (zoals arbodiensten of pensioenfondsen) vereisen een strikt regime van gegevensbescherming.

Aandachtspunten voor compliance

De salarispraktijk is sterk procesgestuurd en kent doorgaans een hoge frequentie van handelingen. Dat vraagt om een balans tussen efficiëntie en zorgvuldigheid.

Bijzondere aandacht verdienen situaties waarin fouten of misstanden zich opstapelen: structureel onjuiste berekeningen, onterechte loonkostenvoordelen, misbruik van regelingen of het niet melden van relevante wijzigingen. De salarisprofessional heeft in zulke gevallen niet alleen een uitvoerende, maar ook een signalerende verantwoordelijkheid.

De verhouding met andere disciplines binnen het kantoor is ook een aandachtspunt. Fiscale aangiftes worden vaak gebaseerd op informatie uit de loonadministratie, accountants geven verklaringen af over subsidieverantwoordingen waar personeelskosten onderdeel van uitmaken.

Corporate finance

Binnen veel accountantsorganisaties is de corporate finance-praktijk een apart expertisegebied, vaak bemand door bedrijfseconomen, register valuators en registeraccountants met specifieke ervaring in waarderingen, financieringen en overnames. De werkzaamheden lopen uiteen van het begeleiden van bedrijfsoverdrachten tot het uitvoeren van due diligence-onderzoeken en het opstellen van waardebepalingen. Het speelveld is commercieel en strategisch van aard, maar heeft tegelijkertijd raakvlakken met wettelijke kaders, beroepsregels en kwaliteitsstructuren. Soms worden accountantsopdrachten die als risicovol worden gezien ook ondergebracht bij een corporate finance praktijk, bijvoorbeeld het opstellen van COS 4400 rapportages, rapporten van feitelijke bevindingen.

Beroepsregels en toezicht

De corporate finance-specialist is geen wettelijk beschermde titel en valt in beginsel niet onder een tuchtrechtelijk regime. De normering van het handelen komt dan ook voornamelijk vanuit het kantoor zelf, via interne gedragsregels, collegiale toetsing en de structurele koppeling met andere disciplines binnen het kantoor, zoals accountancy en fiscaliteit.

Toch is de beroepspraktijk van corporate finance minder ongereguleerd dan op het eerste gezicht lijkt. Waar werkzaamheden worden verricht door een registeraccountant, kan sprake zijn van een assurance-opdracht of een opdracht met assurance-achtige kenmerken. In dat geval zijn de bepalingen uit de NV COS van toepassing, met name Standaard 5500N (Transactiegerelateerde adviesdiensten), maar afhankelijk van de opdracht ook onderdelen uit de 2000-, 3000- of 4000-serie. De accountant dient daarbij bijzondere zorg te besteden aan onafhankelijkheid, objectiviteit en de duidelijke afbakening van zijn rol.

Ook register valuators (RV’s), lid van het Nederlands Instituut voor Register Valuators (NiRV), zijn onderworpen aan een beroepscode. Deze gedragsregels leggen onder meer eisen op aan objectiviteit, dossiervorming en onderbouwing van waarderingen. Hoewel het NiRV geen wettelijk tuchtrecht kent, beschikt het wel over verenigingstuchtrecht.

Relevante wet- en regelgeving in het dagelijks werk

De kern van de werkzaamheden in de corporate finance-praktijk is civielrechtelijk van aard. De bepalingen uit het Burgerlijk Wetboek over koop en verkoop, aandeelhoudersverhoudingen, bestuurdersaansprakelijkheid, informatieplichten en contractuele zorgvuldigheid zijn richtinggevend. In overnameprocessen spelen due diligence, geheimhoudingsafspraken, verklaringen en garanties een centrale rol.

Daarnaast is de Mededingingswet relevant bij fusies, overnames of samenwerkingsverbanden die marktverstorende effecten kunnen hebben. Hoewel dit in de mkb-praktijk zelden leidt tot formele meldplichten, kunnen bepaalde transacties toch onder de toezichtdrempels van de ACM vallen. In internationale context kan zelfs Europese regelgeving in beeld komen.

Ook verslaggevingsregels zijn niet zonder betekenis. Waar waarderingen deel uitmaken van jaarrekeninginformatie of financieringsdocumentatie, moet aansluiting worden gezocht bij RJ-richtlijnen of, in voorkomende gevallen, IFRS. Dat vraagt om afstemming tussen de waarderingsspecialist en de accountant, met name om te voorkomen dat veronderstellingen of methoden niet overeenstemmen met het controlestelsel of de presentatie in de jaarrekening.

Aandachtspunten voor compliance

In de corporate finance praktijk zal vaak sterk vanuit een partijbelang worden gewerkt. Dit kan leiden tot een vorm van partijdigheid die niet past bij het professionele verwachtingspatroon, maar het kan vooral ook strijdigheid opleveren met de objectiviteit van de samenstellend accountant of de onafhankelijkheid van de controlerend accountant.

Overige adviseurs

Niet alle professionals binnen een accountantsorganisatie vallen onder een van de hiervoor genoemde groepen of onder een wettelijk gereguleerd beroep. Denk aan juridisch adviseurs, HR-consultants, organisatieadviseurs of subsidieadviseurs. Sommigen hebben een erkende beroepsopleiding gevolgd, anderen niet. Sommigen vallen onder een beroepsvereniging met eigen gedragsregels, anderen opereren op basis van ervaring en expertise. Voor de compliance officer is juist deze heterogene groep lastig in te kaderen: ze is niet minder professioneel, maar vaak minder normatief verankerd of juist heel specifiek.

Beroepsregels en toezicht

In sommige gevallen is er aansluiting bij een vereniging of register met een gedragscode, maar soms ook niet. Dat betekent niet dat er geen normen gelden, integendeel. Deze professionals werken in ieder geval onder de vlag van het accountantskantoor en genieten dus van het vertrouwen dat daarmee gepaard gaat. In die context kan het kantoor interne gedragsregels hanteren die functioneel de rol van beroepsregels overnemen. De compliance officer doet er goed aan om te onderzoeken of en welke formele of informele normen op de betreffende adviespraktijk van toepassing zijn, en hoe die binnen de organisatie geborgd zijn.

Inhoudelijke wet- en regelgeving

Ook inhoudelijk kan de diversiteit van deze adviespraktijken tot uitdagingen leiden. Juridische adviseurs werken bijvoorbeeld soms op het snijvlak van rechtsbijstand, zonder dat duidelijk is of zij daartoe formeel bevoegd zijn.

Voor de compliance officer is hier geen checklist beschikbaar. Er zal telkens opnieuw moeten worden vastgesteld welke regelgeving van toepassing is op de specifieke dienstverlening: civiel recht, bestuursrecht, privacyregelgeving, beroepsnormen, aanbestedingsregels, of alleen algemene zorgvuldigheidsnormen? Ook moet worden vastgesteld of er andere disciplines in het kantoor geraakt worden door de dienstverlening van deze adviseurs, en of het risico op rolvermenging aanwezig is. Ten slotte is het van belang vast te stellen of alle activiteiten gedekt worden door de aansprakelijkheidsverzekering van het kantoor.

Aandachtspunten voor compliance

Voor compliance betekent dit dat er in kaart moet worden gebracht welke vormen van advisering binnen het kantoor plaatsvinden, welke daarvan risicogevoelig zijn, en hoe ze organisatorisch zijn ingebed. En niet onbelangrijk: of activiteiten worden ondernomen die vergunningplichtig zijn.

Terug naar de inhoudsopgave

Klik hier voor de inhoudsopgave.

27 juni 2025
2. Compliance in de accountancy
De compliance-uitdaging in de accountancy

Vinkjes zetten versus impact

Compliance in de accountancy wordt soms gereduceerd tot het systematisch afvinken van lijsten: het ‘vinkjes zetten’. Deze praktijk is niet zomaar ontstaan. Ze is een directe reactie op de angst om fouten te maken en de daaropvolgende repercussies. Accountants en complianceprofessionals voelen de druk om bewijs te leveren van naleving, uit angst voor sancties, reputatieschade of verlies van vertrouwen. Dit leidt tot een nadruk op formele processen. Het afhandelen van administratieve verplichtingen lijkt belangrijker dan het effectief beheersen van risico’s.

Deze focus op vinkjes zetten heeft echter een belangrijk nadeel. Het werkt instrumenteel en reactief. Compliance wordt een defensief mechanisme, gericht op het vermijden van straf in plaats van op het behalen van de strategische doelstellingen van de organisatie. Het risico bestaat dat het bijhouden van regels en procedures een doel op zich wordt, terwijl het wezenlijke doel, het beschermen en versterken van de organisatie door effectieve risicobeheersing en het realiseren van haar strategische doelen, naar de achtergrond verdwijnt.

Dit staat in schril contrast met het paradigma dat we in hoofdstuk 1 hebben besproken. Compliance wordt dan gezien als een functie die voortkomt uit een intrinsieke motivatie. Compliance hoort niet te ontstaan uit angst, maar uit het bewustzijn dat integriteit en risicobeheersing fundamenteel zijn voor het bereiken van strategische, tactische en operationele organisatiedoelen. Het gaat om het positief formuleren van een cultuur waarin medewerkers en leidinggevenden compliance omarmen als een essentieel onderdeel van hun werk en bijdrage aan de organisatie.

Een compliancecultuur die gebaseerd is op intrinsieke motivatie stimuleert proactief gedrag. Risico’s worden niet alleen voorkomen, maar ook benut als signalen voor verbetering. Dit vraagt om een beweging weg van het vinkjes zetten naar het realiseren van echte impact. Dat betekent dat organisaties moeten investeren in inzicht, dialoog en vertrouwen, in plaats van zich te verschuilen achter regels en procedures.

Compliance moet worden geïntegreerd in de dagelijkse praktijk en het strategisch denken van het kantoor. Alleen dan kan compliance haar ware potentieel waarmaken. Namelijk het veiligstellen van de continuïteit en reputatie van de organisatie, en het creëren van toegevoegde waarde voor klanten en de maatschappij.

Ontstaan van de huidige inrichting als reactie op het toezicht

De compliancefunctie binnen accountantskantoren is een relatief jong fenomeen dat pas echt vorm kreeg in de eerste jaren van deze eeuw, feitelijk als reactie op een reeks grote bedrijfs- en accountantschandalen die wereldwijd het vertrouwen in het accountantsberoep ernstig beschadigden.

Een van de eerste en meest spraakmakende schandalen was het faillissement van Enron in 2001. Het Amerikaanse energiebedrijf bleek jarenlang zijn financiële resultaten te hebben gemanipuleerd, wat leidde tot miljardenverliezen en een enorme vertrouwenscrisis en uiteindelijk de ondergang van accountantskantoor Arthur Andersen. Niet lang daarna volgde het boekhoudschandaal bij het Nederlandse Ahold in 2003, waarbij ook hier de cijfers kunstmatig werden opgeblazen. De betrokken accountant was in dit geval Deloitte.

Deze gebeurtenissen zorgden voor een schokgolf in de financiële wereld en legden bloot dat bestaande controle- en toezichtmechanismen ontoereikend waren om dergelijke fraude en fouten te voorkomen of te signaleren. Dit leidde tot strengere regelgeving en toezicht op accountants, niet alleen internationaal, maar ook binnen Nederland.

In Nederland was de Wet toezicht accountantsorganisaties (Wta) een directe reactie op deze ontwikkelingen. De Wta trad in werking in 2006 en stelde voor het eerst wettelijke eisen aan accountantsorganisaties, met strengere eisen voor de zogenoemde OOB-vergunninghouders (Organisaties van Openbaar Belang). Deze organisaties, die onder meer de jaarrekeningen van beursgenoteerde bedrijven controleren, kwamen voortaan onder toezicht te staan van de Autoriteit Financiële Markten (AFM). De kantoren met een vergunning voor de wettelijke controle, niet zijnde OOB, ofwel de Reguliere Vergunninghouders (RV) vielen eveneens vanaf het begin onder het toezicht van de AFM, maar in de praktijk werd dit min of meer gedelegeerd naar de beroepsorganisaties NIVRA en NOvAA (samen tegenwoordig de NBA) en kantorenvereniging SRA.

De invoering van de Wta maakte het voor het eerst verplicht voor de OOB-vergunninghouders om een compliancefunctie te hebben die erop toeziet dat aan relevante wet- en regelgeving wordt voldaan. Concreet verplicht artikel 23 van de Bta OOB-vergunninghouders om een compliance officer aan te stellen die toezicht houdt op de naleving van specifieke wet- en regelgeving binnen de organisatie. Voorheen bestond deze functie in de meeste kantoren niet of slechts in zeer beperkte mate. Compliance werd daarmee een formeel onderdeel van de interne organisatie.

Niet-OOB-vergunninghouders, de RV of Reguliere Vergunninghouders, kregen niet dezelfde wettelijke verplichting, maar volgden in de jaren daarna vaak vrijwillig het voorbeeld van de OOB-vergunninghouders. Dit gebeurde mede onder stimulans van organisaties zoals de SRA en de NBA, die de kwaliteit en integriteit binnen de sector wilden versterken. Zo werd compliance ook binnen deze groep een steeds meer herkenbare functie, al was de invulling minder uniform en niet wettelijk verplicht.

Het toezicht op accountantsorganisaties werd aanvankelijk gezamenlijk uitgevoerd door de AFM, SRA en NBA (en rechtsvoorgangers). De AFM had daarbij een formele rol, toezicht kon immers niet gedelegeerd worden volgens de Wta. Vanaf 2022 nam de AFM het toezicht volledig over.

De AFM hanteerde de facto een dossiergericht toezichtmodel, waarbij de focus lag op het controleren van individuele controleopdrachten en naleving van procedures. Dit had directe invloed op hoe compliancefuncties binnen kantoren werden ingericht: veel aandacht ging uit naar het aantonen van naleving van regels en het bijhouden van documentatie op opdrachtniveau, wat het vinkjes zetten versterkte.

Deze focus op dossiergericht toezicht beperkte de ruimte voor een bredere, integraal risicogerichte compliancefunctie die ook de organisatiecultuur en het kwaliteitstelsel omvat.

Hoewel deze vorm van toezicht volgens de AFM nodig was voor het verhogen van kwaliteit, bracht ze ook een risico mee: het gevaar dat compliance verwordt tot een papieren exercitie, los van de werkelijke risico’s en doelen van de organisatie.

Deze periode legde echter het fundament voor de verdere professionalisering en ontwikkeling van de compliancefunctie binnen de accountancy. De toenemende aandacht voor kwaliteitstelsel en integrale risicobeheersing zou in latere jaren aanleiding geven tot veranderingen in zowel toezicht als de invulling van compliance.

De stand van zaken en de weg vooruit

De compliancefunctie binnen accountantskantoren bevindt zich in een natuurlijke evolutie. Dankzij de ontwikkelingen van de afgelopen jaren is er een stevig fundament gelegd: veel organisaties hebben nu een formele compliancefunctie, met processen en procedures die gericht zijn op het waarborgen van naleving van wet- en regelgeving, conform het eerste paradigma zoals hiervoor besproken. Deze basis is nuttig om te voldoen aan wettelijke eisen en het vertrouwen van stakeholders te behouden.

Tegelijkertijd brengt deze evolutie nieuwe uitdagingen en kansen met zich mee. Het traditionele vinkjes zetten, sterk bepaald door extern toezicht en dossiergerichte controles, voldoet niet meer volledig aan de complexiteit van de huidige risico’s en verwachtingen en evenmin aan de ontwikkelingen in het toezicht zelf. Er is steeds meer aandacht voor een bredere, integrale benadering waarin compliance een strategische partner is in het realiseren van organisatiedoelen.

De verschuiving van een reactieve, controlegerichte compliancefunctie naar een proactieve en cultuurgedreven rol vraagt om een veranderende mindset. Compliance moet niet langer slechts een administratief proces zijn, maar een actieve kracht die risico’s identificeert, beheerst en benut ten behoeve van duurzame groei en reputatie.

De toekomst vraagt om samenwerking binnen de organisatie en tussen de verschillende ‘lijnen’ van risicobeheersing. Het Three Lines of Defence-model, hoewel nog niet volledig geïntegreerd in de accountancy, biedt een waardevol kader om rollen en verantwoordelijkheden helder te definiëren en effectiever samen te werken, zonder daarbij overigens in dogmatiek te vervallen.

Daarnaast dwingt de snelle technologische ontwikkeling, waaronder data-analyse en automatisering, tot innovatie in de compliancepraktijk. Deze technologische tools kunnen het toezicht versterken, maar vereisen ook een kritische blik op privacy, ethiek en de menselijke factor.

Kortom, de weg vooruit ligt in het combineren van een stevige nalevingsbasis met een bredere, meer geïntegreerde aanpak waarin compliance een strategische en lerende partner is. Dit vraagt om een balans tussen regels en vertrouwen, tussen controle en ruimte voor innovatie. Het tweede paradigma dus.

Historische ontwikkeling: de eerste fase

Het Three Lines of Defence-model als concept uit de financiële sector

Net vóór de compliancefunctie in de accountancy ontstond, vond in de financiële sector een belangrijke ontwikkeling plaats, de ontwikkeling van het Three Lines of Defence-model (3LoD). Het model ontstond tussen 1995 en 2000, mede als reactie op het ontstaan en uit elkaar spatten van de dot-com-bubble en andere ontwikkelingen die het belang van betere risicobeheersing en governance onderstreepten. Tijdens deze periode kwam het vertrouwen in financiële instellingen onder druk te staan. Regulators, zoals het Basel Committee on Banking Supervision, ontwikkelden principes om organisaties aan te sporen hun interne controlestructuren te verbeteren.

Het model verdeelt risicobeheersing in drie duidelijk gescheiden maar samenwerkende verdedigingslinies. De eerste lijn bestaat uit het operationeel management en medewerkers die direct betrokken zijn bij de uitvoering van dagelijkse processen. Zij zijn verantwoordelijk voor het identificeren, beheersen en monitoren van risico’s binnen hun eigen werkterrein. Deze lijn is daarmee het primaire aanspreekpunt voor risico’s en de uitvoering van beheersingsmaatregelen.

De tweede lijn biedt onafhankelijke ondersteuning, toezicht en challengen van visies van de eerste lijn. Typische functies binnen deze lijn zijn risk management, compliance en legal. Risk management in de financiële sector is vaak sterk kwantitatief van aard, gericht op het meten, modelleren en mitigeren van financiële risico’s zoals kredietrisico, marktrisico en operationeel risico. Compliance richt zich op het waarborgen dat de organisatie voldoet aan wet- en regelgeving, terwijl legal advies geeft over juridische risico’s en zorgt voor juridische naleving. De tweede lijn ontwikkelt beleidskaders, bewaakt de effectiviteit van maatregelen en rapporteert over de status van risico’s en compliance aan het hoger management.

De derde lijn bestaat uit de interne auditfunctie, die een onafhankelijke en objectieve beoordeling geeft over het functioneren van risicobeheersing en governance binnen de organisatie. Interne audit onderzoekt en evalueert zowel de eerste als tweede lijn en rapporteert rechtstreeks aan het hoogste bestuursorgaan, zoals de raad van commissarissen of het auditcomité. Deze lijn draagt bij aan vertrouwen en transparantie door assurance te bieden over de werking van interne controlesystemen en risicomanagementprocessen.

De kracht van het 3LoD-model ligt in de heldere scheiding van rollen en verantwoordelijkheden. Deze duidelijke afbakening voorkomt overlapping en zorgt ervoor dat alle aspecten van risicobeheersing worden gedekt zonder hiaten. Het model bevordert transparantie, samenwerking en een gestructureerde aanpak van risico’s, waardoor organisaties beter in staat zijn complexe en multidimensionale risico’s effectief te managen. Hoewel het model oorspronkelijk is ontwikkeld voor de financiële sector, is het inmiddels breed toepasbaar in diverse sectoren, waarbij het aangepast kan worden aan de specifieke risico’s en structuren van de organisatie.

Voor accountantsorganisaties ontbreekt vaak een derde lijn. Daarnaast is risk management hier vooral kwalitatief van aard. Bovendien wordt de normerende rol van de tweede lijn meestal belegd bij een bureau vaktechniek.

Invoering Wta en verplichtingen voor OOB-vergunninghouders

De invoering van de Wet toezicht accountantsorganisaties (Wta) in 2006 markeerde feitelijk het begin van de inrichting van compliance binnen de Nederlandse accountancy.

Een van de fundamentele veranderingen was de verplichting voor OOB-vergunninghouders om een compliancefunctie in te richten. Artikel 23 Bta (huidige nummering en redactie) stelt daarover:
1. Een accountantsorganisatie die wettelijke controles verricht bij organisaties van openbaar belang wijst een persoon aan die binnen de accountantsorganisatie toeziet op de naleving van de bij en krachtens de artikelen 13 tot en met 24b van de wet en bij de verordening gestelde regels. De accountantsorganisatie wijst eveneens een plaatsvervanger aan.
2. De in het eerste lid bedoelde persoon legt aan de personen die het dagelijks beleid van de accountantsorganisatie bepalen verantwoording af omtrent zijn werkzaamheden en de uitkomsten daarvan.
3. Indien de in het eerste lid bedoelde persoon is betrokken bij een opdracht tot het verrichten van een wettelijke controle, is het zijn plaatsvervanger die ter zake van die opdracht toeziet op de naleving van de in het eerste lid bedoelde regels.
Hiermee stelt de wet dus geen eisen aan de inrichting van de compliancefunctie. Lid 1 geeft wel het bereik van de functie aan. Uit lid 2 volgt de positie van de compliance officer in de organisatie. Tenslotte volgt uit lid 3 dat de compliance officer tevens extern accountant kan zijn.

Wie overigens redeneert dat uit lid 3 volgt dat een plaatsvervanger niet nodig is, indien de compliance officer géén externe accountant is, komt bedrogen uit. Op 2 oktober 2012 werd aan Ernst & Young, het huidige EY, een bestuurlijke boete opgelegd door de AFM, onder andere wegens het te laat aanwijzen van een plaatsvervanger.

Deze boete is om een andere reden ook interessant. Het hoofdverwijt dat de AFM maakte was immers, populair gezegd, dat de compliance officer zijn werk onvoldoende had gedaan. De norm daarbij was niet zozeer de wet, alswel het werkprogramma van de compliance officer zelf.

Vrijwillige navolging door RV vergunninghouders

In tegenstelling tot de vergunninghouders voor Organisaties van Openbaar Belang (OOB-vergunninghouders) zijn Reguliere Vergunninghouders (RV’s) binnen de accountancy niet wettelijk verplicht om een compliancefunctie in te richten. De Wta richt zich primair op de OOB-vergunninghouders vanwege hun systeemrelevantie en maatschappelijke impact.

Wel zijn de besturen van RV’s verantwoordelijk voor het inrichten van een kwaliteitstelsel op basis van dezelfde bepalingen als een OOB-vergunninghouder, enkele detailverschillen daar gelaten. Een RV kan de compliancerol in beginsel integreren in het bestuur.

Desondanks heeft met name de SRA al vroeg kantoren met een RV-vergunning geadviseerd om een compliancefunctie te implementeren. Dit advies werd versterkt door het beschikbaar stellen van model kwaliteitshandboeken waarin een dergelijke functie was uitgewerkt. De SRA stimuleerde hiermee een proactieve houding ten aanzien van kwaliteit en compliance, ook zonder wettelijke verplichting.

In de Nadere Voorschriften inzake Kwaliteitssystemen, de NVKS, en in de (voorgangers van) ISQM1 wordt een compliancefunctie niet expliciet verplicht, maar er wordt duidelijk wel rekening mee gehouden dat deze functie toch verbijzonderd wordt binnen de kantoororganisatie. Dit gaf kantoren ruimte om compliance flexibel in te richten als onderdeel van hun kwaliteitsmanagement.

Toezicht door AFM, SRA en NBA samenwerking en scheiding

Na de invoering van de Wta in 2006 werd het toezicht op accountantskantoren georganiseerd in een samenspel tussen verschillende partijen. De Autoriteit Financiële Markten (AFM), de SRA en de Nederlandse Beroepsorganisatie van Accountants (NBA, en haar rechtsvoorgangers NIVRA en NOvAA) kwamen tot een samenwerkingsmodel dat vooral om politieke redenen tot stand kwam. De beide beroepsorganisaties NOvAA en vooral NIVRA hadden stevig lobby gevoerd om de AFM bij wet te dwingen gebruik te maken van de kwaliteitsstelsels van deze beroepsorganisaties. Zij kenden al jaren een stelsel van collegiale toetsing en wilden voorkomen dat de AFM die stelsels nog eens dunnetjes over zou gaan doen. Ook de SRA kende een dergelijk stelsel, maar voerde geen strijd om de AFM te dwingen daar gebruik van te maken. Uiteindelijk werd door de wetgever gekozen voor een constructie waarbij de AFM wel gebruik moest maken van de bestaande stelsels, maar zonder deze uitkomsten zonder meer te gebruiken. Sterker, de AFM kreeg geen bevoegdheid haar toezicht te delegeren. De vorm die uiteindelijk gevonden werd was dat NIVRA, NOvAA, later NBA, en SRA hun eigen stelsels behielden en dat de AFM de output van die stelsels zou zien als input voor de risico-inschatting van haar eigen toezicht. Praktisch betekende dat dat de OOB-vergunninghouders vrijwel volledig onder direct AFM-toezicht kwamen te vallen, terwijl de RV’s de facto voor het toezicht onder SRA en NBA kwamen te vallen. Alleen bij handhaving kwam daar alsnog de AFM in beeld, aangezien alleen de AFM de daartoe benodigde wettelijke bevoegdheden had.

Deze constructie bracht ook complexiteit en soms onduidelijkheid met zich mee over de rolverdeling en de grenzen van het toezicht.

In de loop van de jaren ontwikkelde zich het beeld dat de AFM geen toezichthouder was voor de RV’s en dat SRA en NBA een dubbelrol vervulden als belangenbehartigers en toezichthouders. Hoewel dit feitelijk een onjuiste voorstelling van zaken was, werd vanaf 2022 toch gekozen voor een herziening van het gegroeide stelsel. De AFM nam vanaf dat jaar het volledige toezicht op de RV’s in de praktische uitvoering over. Dit leidde tot een meer uniforme en eenduidige toezichtpraktijk, waarbij de AFM zich richtte op het handhaven van de wet- en regelgeving voor de wettelijke controles, terwijl de SRA en NBA hun rol vooral zagen in ondersteuning en advisering van hun leden en toezicht op de overige accountantswerkzaamheden.

Dossiergericht toezicht versus het 3LoD-model

De Wta legt aan de AFM het toezicht op het kwaliteitstelsel van vergunninghouders op. De wet geeft de AFM daarbij expliciet de bevoegdheid en taak om dossiers in te zien en te toetsen. Artikel 48a lid 1, 2 en 3 Wta luidt:
1. De Autoriteit Financiële Markten beoordeelt ten minste eenmaal in de zes jaar, of zoveel vaker als nodig is op basis van een risicoanalyse, of een accountantsorganisatie voldoet aan het bij of krachtens deze wet en de EU-verordening bepaalde.
2. Indien een accountantsorganisatie wettelijke controles verricht bij organisaties van openbaar belang, beoordeelt de Autoriteit Financiële Markten, in afwijking van het eerste lid, ten minste eenmaal in de drie jaar of die organisatie voldoet aan het bij of krachtens deze wet bepaalde.
3. De Autoriteit Financiële Markten baseert haar beoordeling ten minste op een toetsing van een selectie van controledossiers.
Artikel 51 Wta luidt:
1. De Autoriteit Financiële Markten kan ten behoeve van de juiste uitvoering van haar bij of krachtens deze wet geregelde taken en bevoegdheden van een ieder inlichtingen vorderen.
2. De artikelen 5:13 en 5:20, eerste en tweede lid, van de Algemene wet bestuursrecht zijn van overeenkomstige toepassing.
3. De Autoriteit Financiële Markten is bevoegd tot toepassing van artikel 5:20, derde lid, van de Algemene wet bestuursrecht ten aanzien van de vordering, bedoeld in het eerste lid.
De bevoegdheid om inzage te verkrijgen in welke informatie dan ook, maar zeker in controledossiers is daarmee bijzonder groot. Het doel van deze bevoegdheid is om het functioneren van het kwaliteitstelsel zelf te beoordelen, conform de bepalingen in artikel 48a lid 1, 2 en 3. Wie meent dat uit deze bepalingen ook zou volgen dat het doel gericht is op de kwaliteit van de dossiers zelf, aangezien de Wta ook normen stelt voor de externe accountant, zij er op gewezen dat artikel 48a expliciet spreekt over “een accountantsorganisatie” en niet over “een accountant”.

Hoewel de wet duidelijk maakt dat het toezicht gericht moet zijn op het kwaliteitstelsel, heeft de AFM zich in de praktijk vooral geconcentreerd op dossiergericht toezicht. Dit dossiergerichte toezicht betekent dat de nadruk lag op het beoordelen van individuele controleopdrachten en het toetsen van de naleving van procedures binnen die dossiers. Hierbij werden vergunninghouders met enige regelmaat geconfronteerd met boetes wanneer de dossiers niet voldeden aan de verwachtingen van de AFM, zonder dat de Accountantskamer hierbij werd betrokken.

De Accountantskamer is op basis van de Wet tuchtrechtspraak accountants (Wtra) in eerste aanleg de enige wettelijk bevoegde instantie om uitspraak te doen over de werkzaamheden van accountants en dus over controledossiers. Dat de wetgever bedoeld heeft dat de AFM voor individuele dossiers zich zou wenden tot de Accountantskamer en de wet daarop heeft ingericht blijkt bijvoorbeeld uit artikel 23 lid 4 Wtra:

In afwijking van het eerste lid, wordt geen griffierecht geheven indien een klaagschrift wordt ingediend door de Autoriteit Financiële Markten, het openbaar ministerie, het Bureau Financieel Toezicht of de beroepsorganisatie.

uit artikel 25a lid 4 Wtra:

De voorzitter van de accountantskamer kan op verzoek van de Autoriteit Financiële Markten of de beroepsorganisatie de behandeling van een klacht voor ten hoogste zes maanden opschorten indien deze instanties hebben aangegeven een onderzoek te verrichten of voornemens te zijn een onderzoek te verrichten naar het handelen of nalaten waarop de klacht betrekking heeft en dat onderzoek kan leiden tot het indienen van een klacht door deze instanties.

en uit nog een reeks andere bepalingen.

Bij de RV’s, die zich veelal niet konden baseren op directe contacten met de AFM maar wel op gepubliceerde boetebesluiten, resulteerde die sterke focus op dossiers en de relatief geringe aandacht voor opzet, bestaan en werking van het kwaliteitstelsel op een voor de hand liggende reactie. De compliancefunctie van deze vergunninghouders werd eveneens sterk gericht op dossierkwaliteit en minder op de inrichting of versterking van het kwaliteitstelsel.

Deze ontwikkeling stond lijnrecht tegenover de principes van het Three Lines of Defence-model (3LoD). Het 3LoD-model vraagt juist om een geïntegreerde, organisatiebrede benadering van risicomanagement en compliance, waarbij de eerste, tweede en derde lijn elk een duidelijke, complementaire rol vervullen. Dit model stimuleert een proactieve houding ten aanzien van risico-identificatie en -beheersing, in tegenstelling tot een reactieve, dossiergerichte controle.

De nadruk op dossiergericht toezicht heeft het ontstaan en de toepassing van het 3LoD-model binnen de accountancy dan ook niet bevorderd. Compliancefuncties werden vooral ingericht om te voldoen aan specifieke dossiervereisten en externe controles, wat de ontwikkeling van compliance als strategische partner binnen de organisatie heeft belemmerd.

Integratie van relevante regelgeving (NVKS, ViO, WWFT, AVG)

Naast de Wet toezicht accountantsorganisaties (Wta) hebben ook andere regelgevende kaders bijgedragen aan de vormgeving en ontwikkeling van de compliancefunctie binnen de accountancy. In artikel 1 NVKS wordt bijvoorbeeld gedefinieerd:

kwaliteitsmanager: persoon die operationeel verantwoordelijk is voor het opzetten, implementeren en bewaken van het stelsel van kwaliteitsbeheersing;

De functie valt niet volledig samen met de compliance officer uit de Wta, kan deze wel volledig omvatten.

Binnen de Verordening inzake de Onafhankelijkheid van accountants bij assuranceopdracyten (ViO) is de rol van een compliance officer niet vastgelegd. Wel is sprake van onafhankelijkheidsfunctionaris, die in artikel 28 een specifieke taak krijgt toegewezen:

Na een periode van zeven aaneengesloten jaren betrokkenheid van een key assurance-partner of een ander senior lid bij een assurance-opdracht voor dezelfde verantwoordelijke partij, zonder dat sprake is van een bedreiging als bedoeld in het eerste lid, onderbouwt de eindverantwoordelijke accountant jaarlijks het ontbreken van een dergelijke bedreiging door […] van een door de accountantseenheid aangewezen functionaris die niet betrokken is bij dienstverlening aan de verantwoordelijke partij, schriftelijke goedkeuring van deze vastlegging te verkrijgen

Deze functionaris is duidelijk veel beperkter dan de compliance officer, maar de taak van de onafhankelijkheidsfunctionaris past wel prima binnen het domein van de compliance officer.

De Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) stelt wél expliciet de verplichting aan instellingen om een compliance officer aan te stellen die toeziet op de naleving van deze wet. Artikel 2d lid 2, 3 en 4 WWFT:

2. Voor zover passend bij de aard en omvang van de instelling, beschikt een instelling over een onafhankelijke en effectieve compliancefunctie.

3. De compliancefunctie is gericht op het controleren van de naleving van wettelijke regels en interne regels die de instelling zelf heeft opgesteld en omvat onder meer de taak die strekt tot het verstrekken van de gegevens, bedoeld in artikel 16, aan de Financiële inlichtingen eenheid.

4. Indien van toepassing en voor zover passend bij de aard en de omvang van de instelling, draagt een instelling er zorg voor dat op onafhankelijke wijze een auditfunctie wordt uitgeoefend ten aanzien van haar werkzaamheden. De auditfunctie controleert de naleving door een instelling van de bij of krachtens deze wet gestelde regels en de uitoefening van de compliancefunctie.

Dit betekent dat de WWFT vrijwel letterlijk toepassing van het 3LoD-model hanteert, in zoverre dat zowel de tweede als de derde lijn zijn benoemd.

Tenslotte kent de Algemene Verordening Gegevensbescherming (AVG) de rol van Functionaris voor Gegevensbescherming (FG). Artikel 39 AVG:
1. De functionaris voor gegevensbescherming vervult ten minste de volgende taken:
  a) de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
  b) toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
  c) desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35;
  d) met de toezichthoudende autoriteit samenwerken;
  e) optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.
2. De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.
Hoewel deze functie strikt genomen niet dezelfde is als die van een compliance officer, overlappen de verantwoordelijkheden op het gebied van toezicht en naleving van privacywetgeving aanzienlijk. De FG draagt zorg voor de interne naleving van de AVG en fungeert daarmee als een compliance-functionaris op het terrein van gegevensbescherming.

De compliancefunctie binnen accountantsorganisaties wordt daarmee bepaald door een samenspel van verschillende regelgevende kaders.

Het breekpunt: PwC en EY versus AFM

Beschrijving van de rechtszaken en de juridische kern

De AFM legde KPMG, EY, PwC en Deloitte in 2016 boetes op wegens tekortkomingen in de controles van jaarrekeningen over de boekjaren 2012 en 2011. EY kreeg met ruim 2,2 miljoen euro de hoogste boete; bij PwC ging het om 845.000 euro. Medio 2016 tekenden PwC en vervolgens ook EY bezwaar aan tegen die boetes. De AFM zelf geeft als kern van de zaak aan: De centrale vraag in de rechtszaak was of een overtreding van de zorgplicht kan worden vastgesteld, als na onderzoek van de AFM blijkt dat er ernstige tekortkomingen zijn in meerdere wettelijke controles van de jaarrekening, uitgevoerd door EY en PwC. De AFM heeft zich primair op het eindproduct (de controle op de jaarrekening) gericht. Op grond van tekortkomingen daarin heeft de AFM geconcludeerd dat de kwaliteitswaarborgen op organisatieniveau niet voldoende waren. De accountantsorganisaties zijn vervolgens beboet.

Zoals eerder aangegeven trad de AFM handhavend op, zonder tussenkomst van de Accountantskamer, als zij meende dat controledossiers op zichzelf onvoldoende waren. Omdat de AFM geen wettelijke grond had om handhavend op te treden, daar was immers de Accountantskamer de bevoegde instantie voor, gebruikte de AFM als redenering dat een onvoldoende dossier aantoonde dat het kwaliteitsstelsel niet adequaat functioneerde en daarmee dat de vergunninghouder de in de Wta opgelegde zorgplicht schond.

De uitspraak

In beide zaken, zowel in eerste aanleg als in hoger beroep, verloor de AFM. De redenen daarvoor zijn niet allemaal goed in de pers of door partijen weergegeven sindsdien. Daarom hier een verwijzing naar de uitspraken van de Rechtbank Rotterdam en van het College van beroep voor het bedrijfsleven.

Belangrijk is vooral de constatering van de rechter dat de AFM niet alleen de wettelijke bevoegdheid om te handhaven op basis van dossiers mist, maar vooral dat de AFM toezicht dient te houden op kwaliteitsstelsels. De AFM zelf ziet dat zo: De consequentie van deze uitspraak is dat de AFM de accountantsorganisatie niet rechtstreeks meer kan aanspreken op basis van tekortkomingen in de kwaliteit van de wettelijke controles van de jaarrekening. Terwijl juist die controle voor gebruikers van de jaarrekening (zoals particuliere en institutionele beleggers) van belang is. Op basis van deze uitspraak zou het toezicht van de AFM op de accountantssector minder effectief worden, omdat de zorgplicht het enige wettelijke aanknopingspunt is om de accountantsorganisatie verantwoordelijk te stellen voor de kwaliteit van de controle op jaarrekeningen. De AFM kan dan alleen nog via het tuchtrecht de individuele accountant verantwoordelijk houden voor fouten. Dat wordt door de AFM als minder effectief gezien en doet bovendien geen recht aan de verantwoordelijkheid die rust op accountantsorganisaties.

Hoe begrijpelijk het standpunt van de AFM ook kan lijken, het is in ieder geval een aanpassing ten opzichte van de oorspronkelijke bedoeling van de wetgever zoals expliciet blijkt uit de Wta en impliciet ook uit de Wtra. De AFM is toezichthouder op de vergunninghouders, niet op de individuele accountants of hun controledossiers. Overigens kan de situatie veranderen, de AFM heeft het Ministerie van Financiën verzocht de wet aan te passen in de door de AFM gewenste richting en dus in strijd met de oorspronkelijke bedoelingen van de wetgever.

Impact op toezicht en compliance

In afwachting van een eventuele aanpassing van de wet heeft de AFM er voor gekozen de uitspraak van de rechter voluit te respecteren. Zonder de uitspraak van de rechter als een breekpunt te willen interpreteren zegt de AFM daar zelf over: De AFM houdt sinds 2006 toezicht op accountantsorganisaties. In de afgelopen 10 jaar heeft de toezichtaanpak zich doorlopend ontwikkeld. Naast de controle van de jaarrekeningen, richt de AFM zich sinds 2015 nadrukkelijker op het beïnvloeden van gedrag en cultuur in de accountantsorganisaties. In de verdere ontwikkeling van het toezicht zal deze brede aanpak het uitgangspunt blijven. Ook wordt de dialoog met investeerders, audit committees en gecontroleerde ondernemingen over kwaliteit, structuur en cultuur verder geïntensiveerd.

Dat de AFM hier spreekt over “naast de controle van de jaarrekeningen” is waarschijnlijk een wat onhandige formulering waarmee zoiets bedoeld wordt als “naast toezicht op controledossiers”. Belangrijker is te constateren dat de AFM, al dan niet vanwege de rechtszaken, zich sinds ongeveer 2015 meer is gaan richten op kwaliteitsstelsels van vergunninghouders in brede zin. Beïnvloeding van gedrag en cultuur past daar uitstekend in.

Het ligt dan ook voor de hand dat vergunninghouders en hun compliancefuncties zich óók meer zijn gaan richten op de versterking en verdere ontwikkeling van hun kwaliteitsstelsels volgens het tweede paradigma zoals aan het begin beschreven. Invoering of versterking van het Three Lines of Defence-model past daar goed in.

Evolutie van het toezicht

Inzet van data-analyse door de AFM

De AFM maakt tegenwoordig gebruik van twee belangrijke data-uitvragen om het toezicht op accountantsorganisaties te ondersteunen. Ten eerste is er een jaarlijkse uitvraag van gegevens over de gehele accountantsorganisatie (AO). Deze gegevens geven inzicht in de algemene structuur, werkwijze en risicobeheersing binnen het kantoor.

Daarnaast vindt een meer gedetailleerde en impactvolle uitvraag plaats per afgegeven verklaring, dus per wettelijke controle. Dit levert de AFM gestandaardiseerde data op van praktisch alle wettelijke controles in Nederland. Dankzij deze brede dataset kan de toezichthouder potentiële risico’s, trends en afwijkingen op een veel grotere schaal analyseren dan voorheen mogelijk was met traditioneel dossiergericht toezicht.

Hoewel het voor externe waarnemers nog moeilijk te doorgronden is hoe de AFM deze uitgebreide data precies gebruikt in haar toezichtpraktijk, biedt deze datagedreven aanpak interessante kansen. Voor de compliancefuncties binnen accountantsorganisaties betekent dit bijvoorbeeld dat ze zelf ook deze data kunnen analyseren. Door kritisch te kijken naar de eigen aangeleverde informatie, kunnen zij waardevolle inzichten verkrijgen over kwaliteit en compliance binnen hun organisatie. Dit kan helpen bij het proactief signaleren van risico’s, het sturen op verbeteringen en het beter voorbereiden op het toezicht.

Voortzetting van dossiergericht toezicht

Hoewel de AFM haar toezichtpraktijk met de inzet van data-analyse moderniseert en uitbreidt, blijft dossiergericht toezicht een belangrijk onderdeel van haar werkwijze. De recente data-uitvragen zijn vooral gericht op het verzamelen van gedetailleerde informatie per controleopdracht, wat aangeeft dat de AFM ook in deze nieuwe context waarde hecht aan het individuele controledossier.

Deze aanpak is begrijpelijk en passend, zolang de AFM zich bewust blijft van de grenzen van dossiergericht toezicht. Handhavend optreden op basis van één afzonderlijk dossier is juridisch en inhoudelijk niet houdbaar, aangezien het toezicht zich moet richten op het kwaliteitstelsel van de gehele organisatie. Dat bewustzijn is er kennelijk, gezien optreden van de AFM in de laatste jaren.

De nieuwe datagedreven methodiek biedt de AFM de mogelijkheid om niet enkel individuele dossiers te beoordelen, maar om trends en patronen binnen de dossiers van een accountantsorganisatie te analyseren. Hiermee ontstaat een bredere en systematischere basis voor toezicht, waarbij uitspraken over het functioneren van het kwaliteitstelsel kunnen worden onderbouwd met kwantitatieve gegevens over meerdere dossiers.

Van handhaving naar publieke anonieme rapportages

De aanpak van de AFM binnen het toezicht op accountantsorganisaties kent sinds enkele jaren een duidelijke verschuiving. Waar voorheen handhaving en het opleggen van sancties centraal stonden, is er nu steeds meer aandacht voor transparantie en het delen van informatie via publieke, geanonimiseerde rapportages.

Deze rapportages bieden stakeholders, zoals investeerders, toezichthouders en het brede publiek, inzicht in de algemene kwaliteit en risico’s binnen de sector zonder individuele kantoren te stigmatiseren. Door op geaggregeerd niveau te rapporteren, kan de AFM trends en ontwikkelingen signaleren en het bewustzijn van kwaliteitsrisico’s vergroten.

Deze ontwikkeling sluit aan bij de bredere trend van openheid en verantwoordingsplicht in het toezicht. Het stelt de AFM in staat om een meer proactieve en preventieve rol te vervullen, gericht op het verbeteren van de kwaliteit en het versterken van vertrouwen, in plaats van louter het bestraffen van tekortkomingen.

Tegelijkertijd roept deze aanpak ook een kritische kanttekening op. Door niet direct te handhaven, maakt de AFM zich minder kwetsbaar voor juridische procedures. Immers, op basis van een publieke, geanonimiseerde rapportage kan een vergunninghouder geen bezwaar maken, terwijl een bestuursrechtelijk besluit wél aan bezwaar en beroep onderhevig is. Deze strategie vermindert daarmee het risico op juridische strijd, maar ontneemt partijen ook de kans de rechter uitspraak te laten doen over het optreden van de AFM.

Voor accountantsorganisaties betekent deze ontwikkeling dat de compliancefunctie zich steeds mede zal moeten richten op het monitoren van de AFM-rapportages, het interpreteren van sectorbrede inzichten, en het benutten van deze informatie om de eigen kwaliteits- en complianceprocessen te verbeteren.

Terug naar de inhoudsopgave

Klik hier voor de inhoudsopgave
9 juni 2025
1. Compliance: judo met risico’s
Inleiding

De compliancefunctie wordt vaak gezien als de afdeling of persoon die bewaakt of de organisatie zich strikt houdt aan wet- en regelgeving. In dat beeld gaat het vooral om het naleven van regels, waarbij de compliance officer fungeert als een soort toezichthouder die erop toeziet dat iedereen binnen de gestelde kaders blijft. Dit paradigma, de compliance officer als politie-agent, is binnen de accountantssector nog redelijk breed ingeburgerd. Het is het paradigma van waaruit criticasters op de sector vaak praten over een compliance gedreven werkwijze, in plaats van een kwaliteitsgedreven werkwijze. De toevoeging die je dan vaak ziet is dat het zou gaan om afvinken van lijstjes, en daarmee wordt niets positiefs bedoeld.

Ik stel dat dit paradigma te beperkt is en niet het volledige beeld geeft van wat compliance betekent binnen een organisatie. In plaats van compliance te zien als het bewaken van regelconformiteit, pleit ik voor een benadering waarin compliance wordt gezien als een functie die bevordert dat, en monitort of, risico’s worden beheerst die de realisatie van de doelstellingen van de organisatie bedreigen. Wet- en regelgeving zijn daarbij niet het doel op zich. Het niet naleven van regels is relevant omdat het juist een risico vormt voor het bereiken van de strategische, tactische en operationele doelen van de organisatie. Om het heel expliciet te maken: de organisatie houdt zich niet aan de wet omdat dat moet van “compliance”, maar omdat de organisatie een intrinsieke motivatie heeft die voortkomt uit de strategie om zich aan de wet te houden. De compliance officer bewaakt aldus niet dat de organisatie zich aan de wet houdt, vanwege de wet, maar omdat het zich niet aan de wet houden een “voorval” is, een realisatie van een risico. Het is dan feitelijk niet de overtreding van de wet die de primaire aandacht heeft, maar het feit dat een voorval zich heeft kunnen voordoen dat buiten de risk appetite van de organisatie valt en door interne beheersing had moeten worden voorkomen. De mitigering van het risico heeft niet afdoende plaats gevonden, en dat is wat tot het primaire aandachtsgebied van de compliancefunctie behoort.

Met andere woorden, compliance kan worden beschouwd vanuit twee paradigma’s:
- Het paradigma van regelnaleving, waarin de nadruk ligt op het voorkomen van overtredingen van wet- en regelgeving.
- Het paradigma van risicobeheersing, waarin compliance wordt begrepen als een dynamische functie die zich richt op de opzet, bestaan en werking van maatregelen ter beheersing van risico’s die de doelstellingen van de organisatie kunnen schaden.
Deze twee paradigma’s overlappen in uiterlijk maar sluiten elkaar uit in fundamentele visie. De uiterlijkheid van het nalevingsparadigma is bijvoorbeeld dat de compliancefunctie de naleving van een regel checkt, terwijl de uiterlijkheid van het tweede paradigma dezelfde is. Maar in het eerste paradigma wordt de check uitgevoerd om de regel zelf, en in het tweede paradigma wordt de check uitgevoerd om de werking van een onderliggende risico-mitigerende maatregel te toetsen.

Mijn visie is dat de compliancefunctie zinvoller is indien opgezet vanuit het tweede paradigma, dan wanneer deze is opgezet vanuit het eerste paradigma. Dat betekent wel dat een organisatie niet alleen een compliancefunctie moet inrichten, maar evenzeer een risicomanagementfunctie die complementair moet zijn met de compliancefunctie. Dit samenspel van risk en compliance haalt kracht haalt uit het vermogen om vanuit een integrale risicobenadering te werken, waardoor compliance niet slechts een blokkade wordt, maar een partner in het veilig en effectief realiseren van organisatiedoelen.

Om deze visie te illustreren gebruik ik een metafoor uit de vechtsport: judo. Net zoals judo niet draait om brute kracht, maar om het meebewegen met en sturen van de kracht van de tegenstander, werkt compliance met de risico’s binnen een organisatie. Compliance is niet het hard neerslaan van risico’s, maar het gebruik van slimme technieken om risico’s te beheersen zonder de organisatie te verstikken.

De filosofie van judo

Hoewel judo tegenwoordig vooral bekendstaat als een olympische vechtsport, gaat de oorsprong ervan veel verder dan louter fysieke techniek. Jigoro Kano, de grondlegger van judo, ontwikkelde het als een levensfilosofie en een leer voor persoonlijke ontwikkeling. Judo is daarmee niet alleen een sport, maar een manier van denken en handelen die zich uitstrekt tot alle facetten van het leven.

De kern van deze filosofie wordt gevormd door twee fundamentele principes:
- Wederzijds profijt en welbevinden (jita kyōei, 自他共栄): dit principe benadrukt dat het succes van de één onlosmakelijk verbonden is met het succes van de ander. In plaats van winnen ten koste van de ander, streeft judo naar situaties waarin alle betrokkenen voordeel hebben en kunnen floreren. Samenwerking, respect en harmonie staan hierin centraal.
- Het maximale effect met minimale inzet (seiryoku zenyō, 精力善用): dit principe draait om efficiëntie en doelgerichtheid. Het gaat erom met zo min mogelijk inspanning het best mogelijke resultaat te bereiken. Slimme techniek, timing en het gebruiken van de kracht van de ander spelen hierbij een cruciale rol.
Deze filosofische principes vertalen zich in de sport tot het toepassen van technieken die niet gericht zijn op brute kracht of schade, maar op beheersing, balans en het ombuigen van de kracht van de tegenstander. Judo leert je om altijd respectvol en met zelfdiscipline te handelen, met oog voor het welzijn van iedereen die betrokken is. Uitingen in de sport hiervan zijn bijvoorbeeld:
- Nooit permanente schade toebrengen
- De “meerdere” stelt zich beschikbaar aan de “mindere” om deze de kans te geven zich te ontwikkelen
- Gebruik van de kracht en de beweging van de tegenstander
- Blokkeren en uit balans brengen in plaats van stoten en trappen
- Uitschakelen door beheersing, niet door verwonding
- Respect, zelfdiscipline en harmonie
Voor de compliancefunctie binnen een accountantsorganisatie biedt deze filosofie een krachtig kader. Net als in judo gaat het bij compliance niet om het keihard neerzetten van regels of het uitschakelen van risico’s met brute kracht, maar om het slim meebewegen met risico’s en het gebruik van technieken die risico’s beheersbaar maken zonder de organisatie te verstikken. Compliance streeft naar een balans waarbij de organisatie veilig en effectief kan opereren, met respect voor alle belangen die meespelen. Het maximale effect, beheersing van risico’s, wordt bereikt met een minimale inzet van middelen.

Wat is een risico

Binnen risicomanagement wordt een risico gedefinieerd als de combinatie van de kans dat een bepaalde gebeurtenis plaatsvindt en het effect dat deze gebeurtenis heeft op de doelstellingen van de organisatie. Risico’s zijn er in vele vormen en maten, en het is essentieel om deze systematisch te begrijpen en te beheersen om succesvol te kunnen opereren.

Om risico’s goed te kunnen managen, is het belangrijk een aantal kernbegrippen te kennen:
- Voorval (event): de feitelijke gebeurtenis waarbij een risico zich manifesteert. Dit is het moment waarop een potentieel risico werkelijkheid wordt.
- Risicobereidheid (risk appetite): het niveau van risico dat een organisatie bereid is te accepteren in haar streven naar doelstellingen. Het is een strategische keuze die richting geeft aan het risicomanagement.
- Soorten maatregelen: manieren waarop een organisatie risico’s kan aanpakken:
  - Mitigeren (beheersen): risico’s verminderen door maatregelen te treffen.
  - Overdragen (verzekeren): het risico gedeeltelijk overdragen aan een derde partij, bijvoorbeeld een verzekeraar.
  - Accepteren: bewust het risico nemen zonder verdere maatregelen, bijvoorbeeld omdat de kosten van beheersing hoger zijn dan het risico zelf.
  - Elimineren(activiteit beëindigen): het risico volledig wegnemen door de betreffende activiteit stop te zetten.
- Bruto risico: het risico dat bestaat voordat er beheersmaatregelen zijn genomen.
- Netto risico: het risico dat overblijft nadat beheersmaatregelen zijn toegepast.
- Kans (probability): de waarschijnlijkheid dat het risico zich daadwerkelijk voordoet.
- Impact (effect): (de ernst van) de gevolgen als het risico werkelijkheid wordt.
- Horizonten: de tijdsdimensies waarin risico’s kunnen optreden en beheerst moeten worden:
  - Operationeel: risico’s die het dagelijkse functioneren beïnvloeden.
  - Tactisch: risico’s die de organisatie op middellange termijn raken.
  - Strategisch: risico’s die verband houden met lange termijn doelen en de algemene richting van de organisatie.
- Domeinen: de verschillende gebieden waarbinnen risico’s zich kunnen manifesteren:
  - Integriteit: risico’s met betrekking tot ethisch gedrag en vertrouwen.
  - Kwaliteit: risico’s die samenhangen met processen en producten.
  - Financieel: risico’s die betrekking hebben op financiële gevolgen en verliezen.
- Kwantitatief: risico’s die meetbaar zijn of in meetbare grootheden voorspelbaar zijn, in kans, impact of beiden, zoals financiële verliezen of aantallen.
- Kwalitatief: risico’s die lastig in cijfers te vatten zijn, zoals reputatieschade of ethische kwesties.
Risicomanagement is geen statisch begrip, maar een continu proces dat bestaat uit verschillende stappen om risico’s effectief te beheersen. Deze stappen zijn:
1. Risico-identificatie: het systematisch in kaart brengen van risico’s die de doelstellingen van de organisatie kunnen beïnvloeden.
2. Risicobeoordeling: het inschatten van de kans en impact van de geïdentificeerde risico’s, en het bepalen van de risicobereidheid van de organisatie.
3. Risicobeheersing: het nemen van maatregelen om risico’s te mitigeren, te accepteren, over te dragen of te elimineren.
4. Monitoring en rapportage: het continu volgen van risico’s en de effectiviteit van beheersmaatregelen, en hierover rapporteren aan de relevante stakeholders.
Door dit proces cyclisch en integraal toe te passen, kunnen organisaties risico’s niet alleen beheersen, maar ook tijdig anticiperen op veranderingen en nieuwe bedreigingen.

Tussen al deze begrippen bestaan verbanden. De begrippen geven zo de syntax, en de verbanden de grammatica, waarin een taal gevonden kan worden om over risico’s te communiceren binnen een organisatie. Het is van belang dat de verschillende onderdelen van de organisatie hierin dezelfde taal spreken: medewerkers, management, bestuurders, risk management, compliancefunctie, interne en bij voorkeur ook externe toezichthouders.

Binnen risicomanagement geldt een aantal basisregels, zoals:
- Als bruto risico > risicobereidheid en netto risico < risicobereidheid => de maatregel effectief
- De kosten van een maatregel mogen niet hoger zijn dan de kosten van een voorval
Het is hierbij wel van belang te bedenken dat de kosten niet altijd worden uitgedrukt in euro’s. De kosten in dit verband zijn de impact van een risico. De afweging van kosten kan dus ingewikkeld worden als de prijs van een maatregel in euro’s moet worden afgewogen tegen een kwalitatieve impact. Net zo kan een kwantitatieve impact gemitigeerd worden door een maatregel met kwalitatieve kosten, bijvoorbeeld verminderde werknemerstevredenheid, waarbij de kosten/baten afweging ingewikkeld is.

Compliance als judo met risico’s

Compliance & Risk, ik zal de begrippen overigens wat losjes door elkaar gebruiken, vergelijk ik graag met judo, een vechtsport die veel meer is dan brute kracht. Hoewel judo een vechtsport is, richt judo zich niet op het uitschakelen van de tegenstander, maar op het beheersen van de vijandigheid. Niet de aanvaller wordt gestopt, maar de aanval. Judo draait om het meebewegen met en sturen van de kracht van de tegenstander. Zo werkt ook compliance: niet door risico’s hard neer te slaan, maar door ze slim te beheersen en om te buigen zonder de organisatie te verstikken.

Judo-principes gekoppeld aan risicomanagementbegrippen
- Nooit permanente schade toebrengen In compliance & risk betekent dit dat risico’s beheerst worden zonder onnodige negatieve gevolgen voor de organisatie of haar medewerkers. Het doel is om schade te minimaliseren en tegelijkertijd ruimte te houden voor ontwikkeling en groei.Bijvoorbeeld: bij nieuwe wetgeving zoekt compliance de balans tussen noodzakelijke aanpassingen en het voorkomen van overbelasting van medewerkers.
- De betere helpt de mindere zich ontwikkelen Dit weerspiegelt de rol van compliance in het bevorderen van een cultuur van bewustwording en integriteit. Risk management fungeert als coach die medewerkers helpt risico’s te herkennen en er effectief mee om te gaan.
- Gebruik van de kracht en beweging van de tegenstander Compliance erkent risico’s niet alleen, maar benut ze als kansen om te leren en te verbeteren. Na een incident worden niet primair sancties opgelegd, maar wordt gekeken naar onderliggende oorzaken om toekomstige problemen te voorkomen en dus te leren.
- Blokkeren en uit balans brengen in plaats van brute kracht Effectieve risicobeheersingsmaatregelen zijn proportioneel en gericht, zodat kleine afwijkingen geen onnodige bureaucratie veroorzaken maar wel adequaat worden aangepakt.
- Uitschakelen door beheersing, niet door verwonding Compliance streeft naar het voorkomen en minimaliseren van risico’s zonder overmatige restricties die innovatie en flexibiliteit belemmeren.
- Respect, zelfdiscipline en harmonie Compliance bouwt op ethiek en integriteit en bevordert een harmonieuze organisatie waar alle belanghebbenden zich gehoord en gerespecteerd voelen.
Rituelen en communicatie: de taal van compliance

Net als in judo zijn rituelen en vaste communicatievormen essentieel binnen compliance. In judo groeten tegenstanders elkaar en hun scheidsrechters als teken van respect en vertrouwen. Compliance kent haar eigen rituelen, zoals regelmatige rapportages, audits en formele communicatie, die transparantie en duidelijkheid bevorderen.

De gekleurde banden symboliseren niveaus van ervaring en vaardigheid en vormen een gestandaardiseerde taal binnen judo. In compliance vertaalt dit zich naar gestandaardiseerde rapportages en procedures, waardoor alle betrokkenen binnen en buiten de organisatie dezelfde taal spreken en verwachtingen helder zijn.

De ‘sensei’ in judo is coach en mentor, net als de Compliance Officer die adviseert, begeleidt en helpt risico’s te beheersen zonder autoritair op te treden. Daarbij wordt gevraagd en ook ongevraagd advies gegeven of simpelweg een waarneming gedeeld.

Harmonie is het ultieme doel in judo en symboliseert het evenwicht binnen een organisatie. Compliance fungeert als een kracht die verschillende belangen samenbrengt en zorgt voor een robuuste, veerkrachtige organisatie.

De filosofische betekenis van compliance

Compliance in het eerder geschetste paradigma is meer dan het strikt naleven van wet- en regelgeving. Het vormt het ethische en normatieve fundament waarop vertrouwen, integriteit en maatschappelijke verantwoordelijkheid binnen organisaties worden gebouwd. Compliance creëert de voorwaarden voor een organisatie om haar missie en doelen op een verantwoorde manier te realiseren, waarbij niet alleen wordt gekeken naar het ‘wat’ van de regels, maar vooral naar het ‘waarom’ en waarbij de intrinsieke motivatie van de organisatie, haar missie en haar strategie voorrang hebben op externe regeldruk.

In veel organisaties bestaat de neiging om compliance te reduceren tot een lijstje regels waaraan moet worden voldaan — een extern opgelegde verplichting. Dit paradigma onderschat echter de kracht van compliance als een intrinsiek gedreven proces, ingebed in de identiteit en strategie van de organisatie zelf. Compliance is het interne kompas dat de organisatie in staat stelt zichzelf te reguleren, te anticiperen op risico’s en zich proactief aan te passen aan veranderende omstandigheden.

De filosofische kern van compliance ligt in deze intrinsieke motivatie. Organisaties die compliance als een uitdrukking van hun missie en waarden zien, maken van naleving geen last, maar een vanzelfsprekend onderdeel van hun bestaan. Dit betekent dat compliance niet slechts een extern opgelegde eis is, maar een innerlijke overtuiging die voortkomt uit het besef dat integriteit en verantwoordelijkheid onlosmakelijk verbonden zijn met duurzame prestaties en het vertrouwen van stakeholders.

Deze zelfregulatie wordt gestimuleerd door een cultuur van leren en verbeteren. Compliancefuncties zijn niet louter controlerend, maar vervullen een partnerrol waarin ze als bruggenbouwer fungeren. Ze verbinden afdelingen, perspectieven en belangen en dragen zo bij aan een harmonieuze samenwerking die het gehele organisatielandschap versterkt. Compliance wordt daarmee een katalysator voor duurzame verandering en een bewaker van het ethische geweten van de organisatie.

De menselijke en sociale dimensies van compliance zijn onmiskenbaar. Compliance raakt niet alleen aan regels en processen, maar ook en vooral aan de wijze waarop mensen binnen de organisatie met elkaar omgaan. Respect, openheid en dialoog zijn essentiële voorwaarden voor een levendige compliancecultuur waarin ruimte is voor ethische reflectie en het bespreekbaar maken van dilemma’s. Effectieve compliance is daarom ook een sociale onderneming die bouwt aan vertrouwen en gemeenschappelijke waarden.

Een belangrijk aspect van deze bredere visie op compliance is de relatie met reputatie. De reputatie van een organisatie is een immaterieel kapitaal dat cruciaal is voor het vertrouwen van klanten, toezichthouders, medewerkers en de samenleving. Compliance helpt dit kapitaal te beschermen en te versterken door het waarborgen van consistent gedrag en transparantie. Het voorkomen van schendingen, het adequaat omgaan met incidenten en het tonen van verantwoordelijkheid dragen direct bij aan de reputatie. In die zin is compliance niet alleen een intern instrument, maar ook een strategische factor die het imago en de continuïteit van de organisatie beïnvloedt.

Deze bredere kijk op compliance maakt het tot een filosofie die voorbij regelnaleving reikt. Het is een dynamisch en holistisch kader dat organisaties helpt om niet alleen te voldoen aan externe eisen, maar vooral om zichzelf te zijn — verantwoordelijk, integer en wendbaar in een wereld van voortdurende verandering.

Terug naar de inhoudsopgave

Klik hier voor de inhoudsopgave.
6 juni 2025
Compliance in accountancy
Inleiding

De Compliance Officer (CO) binnen accountantskantoren is een jonge functie. Pas met de komst van de Wta kwam deze rol op, en ze is nog volop in beweging. Hoewel het Three Lines of Defence-model in de financiële sector breed geaccepteerd is, staat de toepassing ervan in de accountancy vaak nog in de kinderschoenen. De compliancefunctie vervult een dubbele rol: enerzijds ondersteunend aan de praktijk (dicht tegen de eerste lijn aan), anderzijds monitorend en controlerend (richting derde lijn). Een echte derde lijn ontbreekt naar mijn waarneming bij vrijwel alle kantoren. (* Noot: ik zal me niet uitlaten over de OOB-vergunninghouders, alles wat ik schrijf heeft betrekking op de RV kantoren en de kantoren zonder Wta-vergunning)

In deze artikelenreeks beschrijf ik wat compliance in de accountantspraktijk volgens mij betekent, welke rol risicomanagement hierbij speelt, en hoe beide functies effectief geïntegreerd kunnen worden. Centraal staat mijn visie dat de Compliance Officer breed moet rapporteren en adviseren, zowel gevraagd als ongevraagd, op basis van de doelstellingen van de organisatie, de risico’s die deze doelstellingen bedreigen, en met als grondslag audits, onderzoeken, verkenningen, en eigenlijk alles wat de CO maar ter ore komt. De combinatie van compliance en risicomanagement is hierbij van betekenis, en de mate van wenselijke functiescheiding tussen beide is onderwerp van bespreking.

Inhoud

(* let op, onderstaande inhoudsopgave gaat bestaan uit links naar hoofdstukken, zodra ik die geschreven heb. Zolang ik niet klaar ben zullen sommige links dus niet aanklikbaar zijn)
1. Compliance: judo met risico’s
2. Compliance in de accountancy
3. Accountantskantoren en accountantsorganisaties RV
4. Het regelwoud
5. Rol en verantwoordelijkheden
6. Cultuur en governance: het speelveld van compliance
7. Analyse en beheersing van risico’s
8. Verantwoording en toezicht
9. Kwaliteit en het publieke belang\
10. Praktijkgebieden: samenstel, fiscaal en salaris
11. Praktijkgebieden: advies en waardering
12. Specifieke taken en bijzondere verplichtingen
13. Interne meldingen en integriteitssystemen
6 juni 2025