De compliancefunctie binnen het mkb-kantoor
Inbedding in de kantoorstructuur
In de meest uitgebreide vorm is de compliancefunctie binnen een accountantskantoor ingericht als zelfstandig orgaan, met een onafhankelijk mandaat dat statutair is vastgelegd. De compliance officer wordt in dat geval benoemd en ontslagen door de raad van commissarissen (of een vergelijkbaar intern toezichthoudend orgaan) en rapporteert rechtstreeks aan zowel het bestuur als de raad van commissarissen. De onafhankelijkheid is niet alleen formeel geborgd, maar ook zichtbaar in de manier waarop compliance mag opereren: vrij van commerciële druk, met toegang tot alle relevante informatie en met het recht om op elk niveau van de organisatie signalen af te geven. In de praktijk van het mkb-kantoor is zo’n model eerder uitzondering dan regel en worden dit soort varianten vooral bij de grootste kantoren gevonden. Toch functioneert het als ijkpunt: hoe is de compliancefunctie werkelijk ingebed, en in hoeverre is die in staat om haar taak onafhankelijk, gezaghebbend en effectief uit te voeren?
Die taak kent meerdere verschijningsvormen. In de smalste interpretatie ziet compliance enkel toe op naleving van regels binnen de wettelijke controlepraktijk. Iets breder is het toezicht op de volledige accountancyfunctie, dus ook overige assurance opdrachten en aan assurance verwante opdrachten. Weer breder is een mandaat dat zich uitstrekt over álle externe dienstverlening, van fiscale advisering tot subsidieaanvragen en salarisverwerking. In de meest ruime vorm omvat compliance de gehele organisatie: niet alleen de dienstverlening aan cliënten, maar ook de interne structuur, bedrijfsvoering, informatiebeveiliging en cultuur. In zulke gevallen is de compliancefunctie nauw verbonden met het bredere risicomanagement, en raakt zij aan alle thema’s van governance en kwaliteitsbeheersing.
Niet alleen de reikwijdte verschilt, ook de inhoudelijke insteek kan variëren. Sommige kantoren leggen het accent op vaktechniek en objectieve kwaliteitsborging, andere nadrukkelijker op integriteit, gedrag en cultuur. Soms ligt het zwaartepunt op het strikt voldoen aan wet- en regelgeving, soms op de werking van het gehele stelsel van interne beheersing. Ook hier geldt: het een sluit het ander niet uit, maar vraagt om een bewuste en consequente positionering. De praktijk laat zien dat compliance zelden als breed integraal geheel wordt opgezet. Niet zelden is de functie ondergebracht bij één medewerker, die het als neventaak uitvoert, of ligt ze bij de kwaliteitsbepaler. De positionering op het organogram zegt dan weinig. De wezenlijke vraag is of compliance als functie wordt beleefd: of er ruimte is om signalen af te geven, of er gezag wordt erkend, of betrokkenheid wordt gezocht, en of het bestuur niet alleen luistert, maar ook handelt.
Relatie met het kwaliteitsstelsel en interne beheersing
Een accountantsorganisatie beschikt over een stelsel van kwaliteitsbeheersing waarin zij zelf, via beleidsmaatregelen, processen en gedragsverwachtingen, borgt dat de dienstverlening voldoet aan professionele standaarden. In de accountantspraktijk is dat stelsel gebaseerd op de NVKM (voorheen NVKS), en op SKM1 (de Nederlandse implementatie van ISQM 1), maar ook in andere onderdelen van het kantoor zijn vergelijkbare beheersmaatregelen aanwezig. Denk aan interne instructies, vaktechnische procedures, integriteitsbeleid of informatiebeveiligingsmaatregelen. Het kwaliteitsstelsel is primair een verantwoordelijkheid van het bestuur en wordt uitgevoerd door de eerste lijn. Compliance maakt daar geen deel van uit, maar ziet toe op de werking ervan. Niet op de inhoud van het beleid zelf, maar op de wijze waarop het wordt nageleefd, onderhouden en toegepast.
In die toezichthoudende rol heeft compliance raakvlakken met vrijwel alle aspecten van interne beheersing. Van dossierkwaliteit tot opdrachtacceptatie, van privacy tot belangenverstrengeling. Sommige kantoren beperken compliance tot een toets op wettelijke verplichtingen, andere kiezen bewust voor een bredere invalshoek en betrekken ook gedragsaspecten en cultuur. De mate waarin compliance zich mag bewegen op inhoudelijk terrein verschilt per organisatie, maar er moet altijd een duidelijke scheidslijn zijn met vaktechnisch oordeel en kwaliteitsbeoordeling. Wie én beleidsbepaler is, én monitor, én toetser, ondergraaft de functie. Vooral in kleinere organisaties is die rolvermenging een reëel risico. Dat vraagt om heldere afspraken over taken, bevoegdheden en rapportagelijnen.
Een goed werkende compliancefunctie opereert niet geïsoleerd. Zij is onderdeel van het stelsel van interne beheersing in de zin dat zij zelf ook geborgd, gelegitimeerd en gecontroleerd moet zijn. Dat vergt periodieke evaluatie, een actueel werkprogramma, transparante verslaglegging en aansluiting bij andere interne sleutelfuncties. Alleen dan ontstaat het beeld van een gesloten systeem waarin compliance niet slechts signaleert, maar ook daadwerkelijk bijdraagt aan verbetering en verantwoordelijkheid.
Praktische invulling in de mkb-praktijk
De inrichting van de compliancefunctie binnen mkb-kantoren is sterk afhankelijk van schaalgrootte, complexiteit en bestuurlijke visie. In veel kantoren is compliance geen zelfstandige afdeling, maar een taak die wordt vervuld door één persoon of een klein team. Soms is dat een senior medewerker met een combinatie van taken, soms een kwaliteitsbepaler die ook compliance erbij doet, en soms een bestuurslid dat formeel verantwoordelijk is maar feitelijk weinig uitvoert. In deze vormen is compliance zelden institutioneel verankerd, maar ontstaat zij in de praktijk door betrokkenheid, vertrouwen en persoonlijke autoriteit. Dat maakt de functie kwetsbaar. Niet omdat de inhoudelijke kwaliteit per definitie tekortschiet, maar omdat continuïteit, onafhankelijkheid en draagvlak snel onder druk kunnen komen te staan bij personele wisselingen, bestuurlijke keuzes of commerciële belangen.
Combinatiefuncties zijn eerder regel dan uitzondering. Een compliance officer is vaak ook accountant, vaktechnisch aanspreekpunt, kwaliteitsbepaler of risicomanager. Op zichzelf is dat in kleinere kantoren onvermijdelijk en niet problematisch, mits er voldoende rolbewustzijn, rolvastheid en scheiding in taken en bevoegdheden blijft bestaan. De dagelijkse praktijk laat zien dat het combineren van functies in de eerste en tweede lijn, bijvoorbeeld uitvoering en toezicht, vooral tot problemen leidt als de grenzen onduidelijk zijn of niet worden bewaakt. Wie beleid opstelt, de werking toetst en ook nog rapporteert over tekortkomingen, vervult in feite drie posities tegelijk. Dat maakt toetsing kwetsbaar en roept vragen op over onafhankelijkheid. Tegelijk zou het onzinnig zijn om van ieder kantoor een waterhoofd van functies te verlangen. De kracht van het mkb ligt juist in korte lijnen, overzicht en directe betrokkenheid. De kunst is niet om alles te scheiden, maar om helder te zijn over de momenten waarop functies botsen en daar iets aan te doen.
De mate van formalisering varieert sterk. Sommige kantoren hebben een compliancebeleid, een takenmatrix en een vast werkprogramma, andere werken vooral ad hoc of reactief. De effectiviteit van compliance blijkt dan minder uit papieren vastleggingen dan uit zichtbare aanwezigheid: de mate waarin de compliance officer betrokken wordt bij besluitvorming, signalen serieus worden genomen en rapportages leiden tot concrete opvolging. Een functionaris die alleen mag schrijven maar niet wordt gehoord, is formeel aanwezig maar praktisch afwezig. In kleine organisaties is het risico van marginalisering reëel, zeker als compliance wordt gezien als rem of hinderpaal in plaats van als partner in kwaliteitsverbetering. Juist in die context is relationele stevigheid belangrijk, niet op basis van hiërarchie, maar door betrouwbaarheid, zorgvuldigheid en consistent optreden.
Een complicerende factor is dat de compliancefunctie vaak moet functioneren binnen informele netwerken, met weinig formele escalatiemogelijkheden. Bestuurlijke lijnen zijn kort, dossiers circuleren snel en het onderscheid tussen toezicht, uitvoering en beleid is dun. Dat vraagt om tact, oordeelsvermogen en durf. De vraag is dan niet alleen of het kantoor een compliancefunctie heeft, maar of die ook functioneert: of zij spanning mag brengen, invloed uitoefent en ruimte krijgt om meer te zijn dan een administratief sluitstuk.
Positionering in het three-lines model
Het three-lines model biedt een nuttig denkkader voor de positionering van functies binnen een organisatie, maar is in de praktijk van mkb-kantoren zelden formeel uitgewerkt. De eerste lijn bestaat uit de uitvoerende praktijk: bestuur, directie, opdrachtverantwoordelijken, partners en teamleden die direct betrokken zijn bij de dienstverlening. De tweede lijn ondersteunt en toetst, en omvat functies als compliance, risicomanagement en vaktechniek. De derde lijn is formeel onafhankelijk en verricht interne audits op het functioneren van het stelsel als geheel. Die derde lijn ontbreekt in vrijwel alle mkb-kantoren. Ook de grootste hebben doorgaans geen interne auditfunctie. Hooguit is er sprake van control binnen de financiële administratie, gericht op begroting en liquiditeit, maar dat heeft zelden de breedte of onafhankelijkheid van een echte derde lijn.
De afwezigheid van een derde lijn maakt de rol van compliance extra belangrijk, maar tegelijk ook precair. De compliancefunctie is immers zelf geen derde lijn, maar bevindt zich tussen uitvoering en bestuur in. Zij toetst, signaleert en rapporteert, maar verricht geen onafhankelijke herbeoordeling van het gehele stelsel. Wie dat verschil niet onderkent, loopt het risico dat te veel verantwoordelijkheid op de schouders van compliance terechtkomt. Zeker in kleinere organisaties, waar functies gecombineerd worden, kunnen verwachtingen snel vervagen. Als compliance wordt geacht niet alleen te signaleren maar ook te herstellen of te beoordelen, raakt zij verstrikt in uitvoerende taken en verliest zij haar positie als tweede lijn.
Tegelijkertijd biedt het three-lines model juist in de mkb-praktijk houvast voor het maken van bewuste keuzes. Niet om structuren op te tuigen die niet passen bij de schaalgrootte, maar om helderheid te scheppen over rollen, verantwoordelijkheden en grenzen. Compliance als tweede lijn functioneert het best als zij voldoende afstand houdt tot de uitvoering, maar dicht genoeg bij de praktijk blijft om zicht te houden op wat er speelt. Niet formeel auditend, maar wel toetsend. Niet losstaand, maar ook niet meewerkend. In die tussenpositie schuilt haar waarde — mits die positie wordt erkend en bewaakt.
Papieren werkelijkheid of levende functie?
De formele aanwezigheid van een compliancefunctie zegt op zichzelf weinig. Een benoeming, een taakomschrijving of een plek op het organogram garandeert nog geen werking. Veel mkb-kantoren hebben inmiddels een beleidsdocument waarin de compliancefunctie wordt beschreven, soms met een takenmatrix of een werkprogramma. Maar daarmee is nog niet gezegd dat compliance in de praktijk ook een rol van betekenis speelt. De vraag is of de functie wordt beleefd. Wordt de compliance officer gekend, gehoord, geraadpleegd? Is er ruimte om signalen te geven, weerstanden te benoemen en ongemakkelijke vragen te stellen? Of blijft compliance een papieren construct, netjes ingevuld voor de vorm, maar zonder effect op het gedrag binnen de organisatie?
Een compliancefunctie die niet mag schuren, blijft machteloos. De waarde van compliance zit niet in procedures of formats, maar in de ruimte om daadwerkelijk invloed uit te oefenen. Dat vraagt om betrokken bestuurders die openstaan voor kritische signalen, om een cultuur waarin afwijkingen niet worden weggemasseerd, en om een structuur waarin de compliance officer tijdig en volwaardig wordt betrokken bij beleid en besluitvorming. Wordt compliance pas ingeschakeld ná een incident, of bij voorkeur helemaal niet, dan is zij gedegradeerd tot schaduwfunctie. Pas waar zij spanning mag brengen, ongemak mag veroorzaken en toch wordt gewaardeerd, krijgt compliance betekenis.
In kleinere kantoren is die ruimte niet vanzelfsprekend. De lijnen zijn kort, de belangen zijn vaak gedeeld, en de bereidheid om elkaar aan te spreken is niet altijd groot. Toch is juist daar het verschil tussen papieren werkelijkheid en levende functie het meest voelbaar. Het gaat dan niet om procedures, maar om gedrag. Om de vraag of compliance zich durft te roeren, en of het bestuur dat verwelkomt of neutraliseert. In die zin is compliance niet alleen een functie, maar ook een test. Een test van volwassenheid, van openheid en van integriteit. Een functionaris die alles mag opschrijven maar niets in beweging zet, vervult zijn rol slechts in naam. Een levende compliancefunctie is niet onfeilbaar, maar wel geloofwaardig. Zij is aanwezig, zichtbaar, en vormt een vanzelfsprekend onderdeel van het gesprek over kwaliteit, risico’s en verantwoordelijk gedrag.
De rol van de complianceofficer
Formele verantwoordelijkheid en positie
De compliance officer is formeel belast met het toezicht op de naleving van wet- en regelgeving, interne normen en ethische standaarden binnen het kantoor. In die hoedanigheid is hij of zij een interne toezichthouder die zich niet primair richt op de uitvoering van opdrachten, maar op de randvoorwaarden waaronder die uitvoering plaatsvindt. De compliance officer bewaakt of het stelsel van interne beheersing voldoende is ingericht, onderhouden en nageleefd, en brengt daarover periodiek verslag uit aan het bestuur. In sommige gevallen bestaat er ook een rapportagelijn naar de raad van commissarissen of een ander intern toezichthoudend orgaan. De formele positionering is dan onafhankelijk van de uitvoerende lijn, met voldoende waarborgen om ongewenste beïnvloeding te voorkomen. Overigens kan het inhoudelijk toetsen van de uitvoering van opdrachten wel degelijk onder de verantwoordelijkheid van de compliance officer vallen. Maar dat gebeurt dan als test van de werking van het kwaliteitsstelsel. Daarin onderscheid deze toetsing zich van de review door de opdrachtverantwoordelijke en van de opdrachtgerichte kwaliteitsbeoordeling (OKB), die zelf onderdeel zijn van het kwaliteitsstelsel.
In de mkb-praktijk is die formele positionering niet altijd helder of uitgewerkt. Vaak is de complianceofficer benoemd door het bestuur zelf, met een beperkte formele bevestiging van mandaat, takenpakket of rapportagelijn. De functie wordt dan veelal ingevuld vanuit een kwaliteitshandboek, en dus gezien als onderdeel van het kwaliteitsstelsel zonder specifiek afgebakende structuur. Toch is ook in kleinere kantoren een zekere structurering noodzakelijk. De compliance officer moet kunnen opereren met een zekere onafhankelijkheid, moet toegang hebben tot relevante informatie, en moet vrijelijk kunnen rapporteren over tekortkomingen of risico’s, ook als die het bestuur zelf betreffen. Een zuiver organogram is daartoe niet voldoende; er moet ook sprake zijn van cultuur, ruimte en erkenning.
De verantwoordelijkheid van de compliance officer is geen eindverantwoordelijkheid voor de kwaliteit van dienstverlening. Die ligt bij de eerste lijn. De compliance officer is evenmin verantwoordelijk voor het oplossen van geconstateerde tekortkomingen. Zijn of haar taak is het signaleren, duiden en agenderen van structurele risico’s, patronen van non-conformiteit, en tekortschietende beheersmaatregelen. Daarbij hoort ook het opstellen van een jaarlijks werkprogramma, het verrichten van themaonderzoeken, het toetsen van dossiers of processen op naleving van interne en externe normen, en het adviseren over verbetermaatregelen. Waar nodig kan de compliance officer ook optreden als sparringpartner of begeleider, mits die rol geen afbreuk doet aan de onafhankelijke positie. Wie zelf het beleid schrijft, kan het niet onafhankelijk toetsen.
De complianceofficer is geen verlengstuk van het bestuur, maar ook geen externe toezichthouder. Hij of zij bevindt zich binnen de organisatie, maar op een eigen positie. Die positie moet zodanig zijn dat de functie niet wordt weggedrukt in het operationele geweld, maar ook niet vervreemdt van de praktijk.
Meervoudigheid van de rol
De rol van de compliance officer laat zich niet vangen in één functieomschrijving. In de praktijk is sprake van een meervoudige rol die afhankelijk van de situatie uiteenvalt in verschillende gedaantes: toetsend, signalerend, begeleidend, soms ook adviserend of confronterend. De compliance officer ziet toe op naleving, maar moet ook begrijpen waarom naleving soms onder druk staat. Hij of zij is bewaker van normen, maar ook gespreksgenoot bij dilemma’s. Die gelaagdheid maakt de functie veeleisend. Niet omdat het werk inhoudelijk ingewikkeld is, maar omdat het optreden telkens opnieuw vraagt om positie, rolbewustzijn en situationeel oordeelsvermogen.
In de ene situatie is de compliance officer een toetsende functionaris die met afstand vaststelt of processen en handelingen binnen de afgesproken kaders plaatsvinden. In een andere situatie is hij of zij sparringpartner van een praktijkgroep, begeleider van een beleidsverandering of gesprekspartner in een moreel dilemma. Die schakeling tussen inhoud en context, tussen norm en nuance, vereist flexibiliteit zonder vrijblijvendheid. De compliance officer mag zich niet laten meeslepen in uitvoerende of beleidsmatige verantwoordelijkheden, maar kan zich evenmin verschuilen achter abstracte regels. De kunst is om telkens de juiste toon te vinden: kritisch zonder afstandelijk te zijn, betrokken zonder belangen te vermengen.
Die meervoudigheid is tegelijk kracht en valkuil. In kleinere organisaties, waar de compliance officer vaak meerdere petten draagt, ligt het risico op rolvermenging voortdurend op de loer. Het is dan des te belangrijker om expliciet te maken vanuit welke rol wordt opgetreden, en waar de grenzen liggen. Wie toetst, adviseert en meeschrijft aan beleid in één en dezelfde casus, kan niet met gezag optreden als er iets misgaat. Maar wie zich uitsluitend formeel opstelt, verliest al snel de aansluiting bij de praktijk. De geloofwaardigheid van compliance hangt in hoge mate af van deze balans. Niet in reglementen, maar in houding en gedrag.
Onafhankelijk, betrokken, gezaghebbend
De geloofwaardigheid van de compliance officer schuilt niet in mandaten of beleidsstukken, maar in de manier waarop hij of zij zich opstelt binnen het kantoor. Onafhankelijkheid is geen formele status, maar een werkhouding. Het gaat om de vrijheid om te spreken, om de ruimte om een afwijkende positie in te nemen, en om het vermogen om niet mee te deinen op het ritme van de organisatie. Tegelijk is afstand alleen niet voldoende. De compliance officer moet ook betrokken zijn bij de praktijk, begrijpen hoe het kantoor functioneert, en voeling houden met de dilemma’s van opdrachtverantwoordelijken en praktijkgroepen. Een compliance officer die te veel op afstand blijft, wordt al snel irrelevant. Een functionaris die te dicht op de lijn zit, verliest zijn toetskracht.
Gezag ontstaat in dit spanningsveld. Niet door formele macht, maar door consistentie, zorgvuldigheid en moreel kompas. De compliance officer hoeft niet altijd gelijk te hebben, maar moet wel aanspreekbaar zijn op zijn oordeel. Hij of zij moet kunnen uitleggen waarom iets een risico is, waarom een maatregel niet toereikend is, of waarom gedrag dat ‘altijd zo ging’ niet langer acceptabel is. Dat vraagt niet alleen kennis, maar ook karakter. Gezagsuitoefening zonder hiërarchie is kwetsbaar. Juist daarom is het belangrijk dat de compliance officer herkend wordt als onafhankelijk én betrouwbaar. Niet iemand die alles anders wil doen, maar iemand op wie je kunt bouwen als het erop aankomt.
In de dagelijkse praktijk komt dat tot uiting in kleine momenten: een telefoontje waarin iets gedeeld wordt, een overleg waarin de compliance officer wordt meegenomen, een besluit waarin een advies serieus wordt gewogen. Het gezag van compliance wordt niet opgebouwd in commissies of kwartaalrapportages, maar in de manier waarop wordt geluisterd, gesproken en gereageerd. Dat vraagt om iemand die niet alleen weet wat mag en moet, maar ook wanneer zwijgen schadelijk is, en spreken nodig.
Een typische uitdaging voor accountants, en zeker voor compliance officers die als accountant zijn opgeleid, is de focus op “de deugdelijke grondslag”. In de accountantspraktijk is al zichtbaar dat accountants het regelmatig lastig vinden uitspraken te doen, bijvoorbeeld over fraude, zonder dat onomstotelijk bewijs beschikbaar is om een uitspraak te staven. Compliance officers die uitspraken doen die bijvoorbeeld een bestuur niet welgevallig zijn lopen al snel tegen het verwijt aan dat hun uitspraak een deugdelijke grondslag ontbeert. Om dat te voorkomen zegt de compliance officer dan maar niets. Dat past echter niet bij de gezaghebbende positie van de compliance officer. Deze dient te rapporteren zodra daar aanleiding voor is, niet pas als een deugdelijke grondslag beschikbaar is die een wetenschappelijke of strafrechtelijke toets zou kunnen doorstaan. Vanzelfsprekend behoort de compliance officer duidelijk te maken hoe zeker een bepaalde uitspraak is, maar een eigen waarneming of zelfs geruchten in de wandelgangen kunnen op zichzelf ruimschoots voldoende aanleiding zijn om te rapporteren. De compliance officer die nadat ongelukken gebeuren aan komt zetten met “ja, dat dacht ik al, maar ik had nog geen deugdelijke grondslag” faalt in diens taakuitoefening.
Brug tussen systeem en praktijk
De compliance officer beweegt zich tussen systeem en praktijk. Hij of zij vertaalt beleid naar gedrag, en signalen uit de praktijk naar bestuurlijke aandacht. Die rol is geen bemiddeling in de zin van compromis, maar een brugfunctie in de zin van verbinding. Het systeem vraagt structuur, normering en toetsbaarheid. De praktijk vraagt ruimte, inschatting en werkbaarheid. De compliance officer moet beide begrijpen, maar zich met geen van beide volledig identificeren. Geen vertegenwoordiger van de werkvloer, geen handhaver van het systeem, maar een functionaris die het verband tussen die twee zichtbaar maakt en in stand houdt.
Dat vraagt om oordeelsvermogen en positionele souplesse. In een te systeemgerichte benadering verwordt compliance tot een lijstje normen en controles. In een te praktijkgerichte opstelling verliest compliance haar toetsende waarde. De brug is geen neutrale plek: zij verbindt, maar heeft richting. De compliance officer maakt gedrag bespreekbaar, brengt patronen aan het licht, en daagt het bestuur uit om verantwoordelijkheid te nemen voor grijze gebieden. In dat opzicht is de functie meer dan een doorgeefluik. Het is een kritische functie binnen het systeem, met kennis van de praktijk, en met de taak om beide werelden gespiegeld te houden.
In mkb-kantoren is die brugfunctie vaak impliciet. Er zijn geen aparte beleidslagen, geen gelaagde bestuursstructuren, en het verschil tussen regel en uitvoering is kleiner dan op papier lijkt. Juist daarom is de rol van compliance als intermediair van betekenis. Niet als vertragende factor, maar als bewuste tussenruimte waar vragen mogen ontstaan. Voldoen we aan onze eigen normen? Begrijpen we waarom iets afwijkt? Is dit incident of patroon? In die vragen ligt de kern van de toegevoegde waarde. Niet door afstand, maar door verbinding, zonder vereenzelviging.
Samenwerking en begrenzing: andere tweede lijnsfuncties
Positionering en afbakening binnen de tweede lijn
De tweede lijn binnen een accountantskantoor bestaat uit functionarissen die niet zelf verantwoordelijk zijn voor de uitvoering van opdrachten, maar wel bijdragen aan de inrichting, bewaking en ondersteuning van het stelsel waarbinnen die opdrachten tot stand komen. In de praktijk gaat het dan met name om compliance, vaktechniek, juridische ondersteuning en risicomanagement. Elk van deze functies heeft een eigen invalshoek en deskundigheid, maar zij opereren alle binnen hetzelfde spanningsveld: dichtbij de uitvoering, maar met een onafhankelijke toetsende of adviserende rol. Ze dragen bij aan kwaliteit, integriteit en beheersing, maar doen dat ieder op een eigen manier en met een eigen begrenzing.
De compliance officer is verantwoordelijk voor het toezicht op naleving van wet- en regelgeving en interne normen. Bureau Vaktechniek adviseert over de toepassing van vaktechnische standaarden en beoordeelt de kwaliteit van inhoudelijke keuzes. Juridische ondersteuning richt zich op rechtszekerheid en risicobeheersing bij interne processen en externe dienstverlening, en vervult afhankelijk van de inrichting soms een tweede lijnsrol, soms een dienstverlenende. Risicomanagement analyseert onzekerheden die de doelstellingen van het kantoor kunnen bedreigen, en formuleert mitigerende maatregelen. De onderlinge afbakening tussen deze functies is niet altijd scherp, maar juist daarom is het van belang om hun rol en mandaat goed te positioneren. In de volgende alinea’s worden deze tweede lijnsfuncties afzonderlijk besproken.
Bureau Vaktechniek: vakinhoudelijke normbewaking
Binnen de tweede lijn neemt Bureau Vaktechniek een bijzondere positie in. Waar de compliance officer toeziet op naleving van wet- en regelgeving en het functioneren van het kwaliteitsstelsel als geheel, richt vaktechniek zich op de inhoudelijke kant van het vak. Het bureau ondersteunt de praktijk bij de toepassing van standaarden, fungeert als klankbord bij complexe opdrachten, stelt beleid op en beoordeelt dossiers op vaktechnische onderbouwing. Daarmee is vaktechniek geen intern toezichtorgaan, maar een inhoudelijk ankerpunt. De focus ligt niet op naleving als zodanig, maar op kwaliteit van oordeelsvorming en consistentie in de toepassing van beroepsregels.
In veel kantoren is Bureau Vaktechniek ouder dan de andere tweede lijnsfuncties, en fungeert het ook als verzamelpunt voor taken die elders (nog) niet zijn belegd. In de praktijk vallen risicomanagement, juridische toetsing of zelfs compliance dan onder de paraplu van vaktechniek, al dan niet tijdelijk. Ook de compliance officer wordt nog regelmatig gepositioneerd als onderdeel van Bureau Vaktechniek, met een functionele scheiding van taken maar zonder formele organisatorische splitsing. Dat hoeft geen probleem te zijn, zolang duidelijk is vanuit welke rol wordt gehandeld en voldoende onafhankelijkheid is gewaarborgd.
De rol van vaktechniek reikt vaak verder dan strikt vakinhoudelijke advisering. Het bureau is betrokken bij interne consultaties, verzorgt of begeleidt vaktechnische opleidingen, en speelt in veel kantoren een rol in het benoemen van tekenbevoegde medewerkers of partners. Ook bij klantacceptatie, continuering of dossiervorming kan vaktechniek een adviserende of toetsende stem hebben. Juist vanwege die centrale positie is afstemming met compliance van belang, zeker waar onderwerpen raken aan normstelling, onafhankelijkheid of integriteit.
In de praktijk is de grens tussen vaktechniek en compliance niet altijd scherp. Beide functies houden zich bezig met kwaliteit, normering en toetsing. Zowel bij monitoring, thematische onderzoeken als incidentenanalyse komen zij elkaar tegen. Het is daarom van belang dat rollen goed zijn afgebakend. Bureau Vaktechniek adviseert over wat vaktechnisch juist en verantwoord is, en kan ook interne kwaliteitsreviews uitvoeren. Compliance toetst of het beleid in de praktijk werkt, en of vaktechnische keuzes voldoende zijn ingebed in het stelsel van kwaliteitsbeheersing. In die zin zijn de perspectieven complementair. Vaktechniek kijkt naar inhoudelijke juistheid, compliance naar systematische borging en naleving.
Samenwerking is essentieel, maar vraagt om wederzijds respect en rolbewustzijn. De compliance officer mag geen schaduw-vaktechniek worden, en Bureau Vaktechniek geen parallelle toezichthouder. In kantoren waar beide functies goed op elkaar zijn afgestemd, versterken ze elkaar: vaktechniek als inhoudelijk kompas, compliance als spiegel van het systeem. Die verhouding werkt het best wanneer het Bureau Vaktechniek niet in een hiërarchische positie wordt geplaatst ten opzichte van compliance, maar als gelijkwaardige gesprekspartner wordt erkend. Juist dan ontstaat ruimte voor reflectie, wederzijds toezicht en gezamenlijke kwaliteitsbevordering.
Legal en juridisch advies binnen het kantoor
Niet elk mkb-kantoor beschikt over een afzonderlijke juridische functie, maar vrijwel elk kantoor heeft te maken met juridische vragen en risico’s. In sommige gevallen is er een jurist in dienst die fungeert als interne adviseur, in andere situaties wordt een beroep gedaan op externe specialisten of op collega’s met juridische ervaring binnen de praktijk. De juridische functie heeft in de kern een dienstverlenend karakter: zij ondersteunt het kantoor bij vraagstukken rond contracten, aansprakelijkheid, privacy, arbeidsrecht en geschillen. Tegelijk kan juridisch advies ook een tweedelijns karakter krijgen, bijvoorbeeld bij de inrichting van interne procedures of de beoordeling van integriteitsrisico’s. De grens tussen advisering en toetsing is dan dun.
De samenwerking tussen legal en compliance is sterk afhankelijk van de inrichting van het kantoor. Waar beide functies zijn belegd, is afstemming cruciaal. Overlapping ligt op de loer, met name bij onderwerpen als de AVG, de meldregeling incidenten, integriteitsbeleid en interne klokkenluidersprocedures. Juristen brengen daarbij de juridische norm in, compliance toetst op naleving en borging in de praktijk. In het meest ideale geval vullen beide elkaar aan: legal bewaakt rechtszekerheid, compliance bewaakt gedragsmatige naleving. Maar als rollen niet zijn afgebakend, ontstaat al snel onduidelijkheid. Wie is verantwoordelijk voor de inhoud van het privacybeleid? Wie beoordeelt of contractuele bepalingen uitvoerbaar en conform wetgeving zijn? En wie toetst of daar ook naar wordt gehandeld?
In de praktijk is de juridische functie binnen het kantoor zelden als zelfstandige tweede lijn gepositioneerd. Toch is het van belang dat juridische expertise niet alleen beschikbaar is voor cliënten, maar ook een duidelijke plek heeft binnen de interne structuur. Voor de compliance officer is het een belangrijke gesprekspartner; niet om mandaten te delen, maar om risico’s en normen beter te begrijpen. Zeker bij thema’s waar juridische en ethische afwegingen elkaar raken, is die samenwerking van wezenlijk belang.
In sommige grotere kantoren is de juridische functie gepositioneerd als aparte stafrol onder het bestuur. Denk aan een general counsel of legal counsel die rechtstreeks rapporteert aan de bestuurder of de raad van commissarissen. Deze rol kan deels overlappen met compliance, bijvoorbeeld bij contractbeheer, AVG-implementatie of geschillenmanagement, maar heeft doorgaans een andere oriëntatie. Waar compliance gericht is op toetsing en borging binnen het kwaliteitsstelsel, richt legal zich primair op juridische correctheid en risicobeheersing. Juist in dit model is het van belang dat beide functies elkaar erkennen, consulteren en begrenzen. Wederzijdse afstemming voorkomt dat juridische juistheid wordt verward met integrale compliance, en andersom.
Risicomanagement als verwante maar onderscheiden functie
Vaak is risicomanagement geen aparte functie. De verantwoordelijkheid voor het identificeren en beheersen van risico’s ligt dan verspreid over het bestuur, de praktijk, Bureau Vaktechniek en in toenemende mate bij de compliance officer. Soms is er sprake van een bewuste samenvoeging: risk & compliance als gedeelde functie, ingevuld door één persoon of klein team. In andere gevallen komt risicomanagement eenvoudigweg terecht bij degene die zich als eerste met risico’s bezighoudt, meestal compliance. Daarmee vervalt het formele onderscheid tussen het analyseren van onzekerheden en het bewaken van normconformiteit, maar niet de inhoudelijke spanning daartussen.
Risicomanagement richt zich primair op de vraag welke gebeurtenissen, omstandigheden of gedragingen de doelstellingen van het kantoor kunnen bedreigen. Dat kunnen normoverschrijdingen zijn, maar ook externe ontwikkelingen, personele kwetsbaarheden, cultuurproblemen of technologische afhankelijkheden. Compliance daarentegen kijkt vanuit wet- en regelgeving: wordt voldaan aan de norm, en functioneert het stelsel waarin dat moet gebeuren? In de praktijk lopen deze perspectieven in elkaar over. Een compliance officer die signalen krijgt over toenemende werkdruk, integriteitstwijfels of structurele uitval, kan die moeilijk negeren omdat ze niet ‘juridisch relevant’ zijn. Tegelijk vraagt een risicogerichte benadering om een bredere blik dan naleving alleen.
Waar risk en compliance zijn samengevoegd, is rolbewustzijn essentieel. Niet alles wat een risico is, is ook een non-conformiteit. Niet alles wat formeel klopt, is risicobeheerst. De gecombineerde functionaris moet kunnen schakelen tussen perspectieven, zonder de helderheid van rol en doel te verliezen. Die combinatie biedt voordelen: overzicht, integraliteit, en een natuurlijke plek in de strategische dialoog. Maar ze vergt ook discipline. Als alles risk én compliance is, is het risico groot dat uiteindelijk niets meer scherp getoetst wordt.
Voor het bestuur is het dan ook van belang om expliciet te kiezen: wat verwachten we van deze functie? Wat hoort bij compliance, wat bij risicomanagement, en waar overlappen ze? Juist in een omgeving zonder formele drie lijnen moet dat gesprek bewust worden gevoerd. Niet om structuren te creëren, maar om duidelijkheid te scheppen over verantwoordelijkheden, mandaat en rol.
Persoonlijkheid en bekwaamheid van de CO
De persoon achter de rol
Een goed functionerende compliance officer ontleent zijn of haar gezag niet aan formele positie, maar aan persoonlijkheid en optreden. De rol vraagt om een autonome persoonlijkheid die in staat is om onafhankelijk te denken, standpunten te vormen op basis van inhoud, en die standpunten ook uit te dragen wanneer dat ongemakkelijk is. Tegelijk vereist de functie empathie en diplomatie: de compliance officer moet kunnen oordelen zonder te veroordelen, ruimte geven zonder vrijblijvend te worden, en signaleren zonder te escaleren; tenzij dat nodig is. Weerbaarheid, zorgvuldigheid en rolvastheid zijn daarbij kernbegrippen. Wie te meegaand is, verliest zijn toetsende waarde; wie zich opstelt als buitenstaander, raakt de praktijk kwijt.
Een compliance officer opereert zelden in een zuiver stelsel. Bestuurlijke, commerciële en persoonlijke belangen lopen in de dagelijkse praktijk vaak door elkaar. Dat vraagt om iemand die niet alleen het formele kader begrijpt, maar ook het krachtenveld waarin besluiten worden genomen. Bestuurlijke sensitiviteit, gepaard aan morele standvastigheid, is essentieel. Begrip voor het perspectief van het bestuur of van de praktijkverantwoordelijken mag nooit leiden tot het wegnuanceren van risico’s, maar is wel noodzakelijk om tijdig invloed uit te oefenen. Wie te vroeg roept, wordt genegeerd; wie te laat is, mist het moment. Tussen die uitersten moet de compliance officer zijn weg vinden.
Tegelijk vraagt de functie om scherp analytisch vermogen. De compliance officer moet kunnen onderzoeken, verbanden leggen, hoofd- en bijzaken onderscheiden, en signalen op waarde schatten. Rapportages moeten helder, zakelijk en zorgvuldig zijn opgebouwd, met oog voor detail én context. In mondelinge overleggen is overtuigingskracht van belang, maar geen dominantie: de kunst is om ruimte te geven aan het gesprek zonder de boodschap te verliezen. Niet het volume maakt een compliance officer gezaghebbend, maar het vermogen om rust, scherpte en betrouwbaarheid uit te stralen in situaties die spanning oproepen.
In die zin is de compliance officer geen regelneef, geen jurist met een vinger in de lucht, en ook geen verkapte kwaliteitsbepaler. De functie vraagt om vakvolwassenheid, om innerlijke rust, en om de bereidheid verantwoordelijkheid te dragen voor het oordeel dat wordt uitgesproken. Soms vraagt dat om zwijgen, soms om optreden, maar altijd om zorgvuldigheid. Het is geen gemakkelijk profiel, en dat hoeft ook niet.
Vakbekwaamheid en contextkennis
Een compliance officer binnen een accountantsorganisatie moet beschikken over stevige vakinhoudelijke kennis. Dat begint met inzicht in de voor het kantoor relevante wet- en regelgeving: de Wta en de Wwft, de VGBA, de NVKS (die met ingang van volgend jaar wordt vervangen door de NVKM), SKM1 en de regels van het tuchtrecht en het toezicht. Maar ook bepalingen uit het Burgerlijk Wetboek, de privacywetgeving en onderdelen van het fiscale of strafrecht kunnen relevant zijn. Het gaat daarbij niet alleen om kennis van de norm, maar ook om het vermogen die norm te plaatsen in de dagelijkse praktijk: wat betekenen deze regels voor opdrachtacceptatie, voor onafhankelijkheid, voor signaleringsplicht en voor het omgaan met integriteitsdilemma’s?
Naast kennis van externe kaders is ook inzicht in de werking van het kwaliteitsstelsel onmisbaar. De compliance officer moet begrijpen hoe beleid tot stand komt, hoe beheersmaatregelen worden geïmplementeerd, en waar het systeem kwetsbaar is voor ineffectiviteit, rituelen of schijnzekerheid. Kennis van risicoanalyse, interne beheersing, governanceprincipes en procesontwerp vormt daarbij een noodzakelijke basis. Compliance is geen eiland, maar maakt deel uit van het geheel van de organisatie en raakt aan de dagelijkse werkpraktijk van alle lijnen.
Daarbij hoort ook een basaal, maar inhoudelijk verantwoord begrip van de kernactiviteiten van het kantoor. Een compliance officer hoeft geen controleverklaring te kunnen opstellen of een fiscale aangifte te kunnen indienen, maar moet wel voldoende begrijpen van de inhoud en de context van controlewerkzaamheden, samenstelopdrachten, fiscale advisering, salarisverwerking, juridische ondersteuning en corporate finance. Wie het verschil niet kent tussen een beoordelingsopdracht en een subsidiecontrole, of niet weet wat horizontaal toezicht betekent, kan moeilijk effectief opereren in het grensvlak tussen vaktechniek en governance.
Minstens zo belangrijk is kennis van de interne context. Wie de structuur, cultuur en routines van het eigen kantoor niet begrijpt, zal zelden tot effectieve toetsing of advisering komen. Dat vraagt niet alleen om normkennis, maar ook om voelsprieten: hoe lopen de formele en informele lijnen, waar liggen de spanningen, hoe worden besluiten genomen, en waar zitten de blinde vlekken? In die zin is contextkennis geen bijzakenkennis, maar een voorwaarde om de juiste vragen te kunnen stellen.
Dit wijst op een domein dat in compliance vaak onderbelicht blijft, maar van groot belang is: cultuur, organisatiesociologie, en de werking van soft controls. Wie risico’s alleen als normovertredingen benadert, mist de mechanismen waardoor normen worden gevormd, beleefd en al dan niet nageleefd.
Opleidingsroutes en certificering
De route naar het compliancevak is zelden lineair. Veel compliance officers in de accountancy zijn opgeleid als registeraccountant of accountant-administratieconsulent, en hebben hun vaktechnische loopbaan gaandeweg verbreed richting kwaliteitsbeheersing en compliance. Die achtergrond biedt een stevige basis, maar is zelden toereikend zonder aanvullende scholing. Wie uitsluitend is gevormd binnen de accountancy, mist doorgaans kennis van governance, toezichtrecht, integriteitsbeleid en sanctieregelgeving. Tegelijk biedt een universitaire opleiding in het recht of de bestuurskunde juist daar weer aanknopingspunten, maar ontbreekt dan vaak het inzicht in de vaktechnische praktijk van het accountantskantoor.
Specifiek op de accountancy toegesneden complianceopleidingen zijn er op dit moment niet. Wie zich wil verdiepen in het vak, is aangewezen op bredere trajecten. De Executive Master Compliance & Integriteit Management aan de Vrije Universiteit biedt een stevige academische basis, met aandacht voor recht, ethiek, toezicht en gedrag. Commerciële aanbieders zoals NIBE-SVV en het Nederlands Compliance Instituut bieden respectievelijk de opleidingen tot Certified Compliance Officer (CCO) en Certified Compliance Professional (CCP), die praktijkgerichter zijn en zich veelal richten op de financiële sector. Daarnaast bestaan er kortere programma’s, zoals de collegereeks “Risk & Compliance” aan Nyenrode Business Universiteit. Dit zijn slechts voorbeelden: het aanbod aan opleidingen groeit en is divers. Voor compliance officers in de accountancy zijn deze opleidingen zelden volledig toereikend, maar wel waardevol als bouwsteen, mits aangevuld met sectorspecifieke kennis en reflectie op de eigen werkomgeving.
Opleiding is geen sluitstuk, maar fundament. De complexiteit van het vakgebied, de veelheid aan normen en de noodzaak tot onafhankelijke oordeelsvorming vragen om voortdurende ontwikkeling. Een compliance officer moet niet alleen gevormd zijn, maar zich ook blijven vormen. Dat vraagt om bewuste keuzes, om ruimte voor scholing en om een organisatie die professionalisering van de tweede lijn serieus neemt.
Permanente ontwikkeling en professionele reflectie
De rol van de compliance officer vraagt om voortdurende ontwikkeling. Wetgeving verandert, toezicht scherpt aan, normen verschuiven, en ook de interne organisatie is in beweging. Wie denkt het vak eenmaal onder de knie te hebben, raakt al snel achterop. Permanente educatie is dan ook geen formele verplichting, maar een wezenlijk onderdeel van het vak. Niet alleen om kennis bij te houden, maar ook om het eigen oordeel te blijven bevragen. De complexiteit van compliance zit zelden in de norm zelf, maar juist in de toepassing ervan in weerbarstige situaties. Dat vraagt om oefening, reflectie en het delen van ervaringen.
Goede compliance officers zoeken actief naar manieren om hun oordeel te scherpen. Intervisie met collega’s binnen of buiten het eigen kantoor kan helpen om blinde vlekken te signaleren, nieuwe perspectieven te ontdekken en het eigen standpunt beter te verwoorden. Deelname aan netwerken, themagroepen of studiedagen biedt niet alleen kennis, maar ook herkenning. Daarnaast is het belangrijk om vakliteratuur te blijven volgen, ontwikkelingen bij toezichthouders te monitoren en signalen uit de eigen organisatie serieus te blijven nemen. Wie in een vaste routine vervalt, loopt het risico zelf het contact met de norm te verliezen.
Professionalisering van compliance vraagt niet alleen iets van de functionaris, maar ook van het kantoor. Er moet ruimte zijn om te leren, te vertragen en te reflecteren. Tijd voor verdieping en overleg, gelegenheid om op onderzoek uit te gaan, en de veiligheid om kritisch te blijven denken, ook als dat ongemak oplevert. Waar die ruimte ontbreekt, verschraalt het vak. Waar zij wel wordt benut, kan compliance uitgroeien tot een volwassen en gezaghebbende functie die bijdraagt aan vertrouwen, kwaliteit en verantwoordelijkheid.
Teamvorming en taakverdeling
Individuele functie of collectieve verantwoordelijkheid
De inrichting van de compliancefunctie verschilt sterk per kantoor. In kleinere organisaties wordt compliance vaak opgevat als een individuele verantwoordelijkheid: één functionaris, al dan niet parttime, die toezicht houdt op naleving, adviseert bij dilemma’s en rapporteert aan het bestuur. In zekere zin is dat logisch. De schaal is overzichtelijk, de communicatielijnen zijn kort en het aanstellen van een apart team lijkt kostbaar of omslachtig. Toch is het de vraag of compliance in die vorm werkelijk toekomstbestendig is. Naarmate wetgeving, toezicht en maatschappelijke verwachtingen toenemen, groeit ook de belasting op de compliancefunctie. Signalering, analyse, monitoring, rapportage en advies vereisen tijd, oordeelsvorming en inhoudelijke diepgang.
In grotere kantoren of meer volwassen organisaties wordt daarom steeds vaker gekozen voor een meer collectieve invulling. Dat kan variëren van een klein team met gedeelde taken tot een netwerk van specialisten rond een centrale compliance officer. De kern is dat compliance dan niet wordt gedragen door één persoon, maar structureel wordt ingebed in de organisatie. Niet alleen vanuit efficiëntie, maar ook vanuit veerkracht: personele wisselingen of ziekte ondermijnen de werking van compliance dan niet onmiddellijk. Een teamopzet maakt het bovendien mogelijk om verschillende invalshoeken te benutten, werk te spreiden en sneller te reageren op signalen uit de organisatie.
Tegenover de kosten van zo’n team staat een vaak onderschatte meerwaarde. Juist omdat compliance in essentie preventief is, zijn de directe baten niet altijd zichtbaar. Maar uitval door integriteitsincidenten, reputatieschade, sancties of fouten in dienstverlening zijn doorgaans vele malen duurder dan structurele investering in goed toezicht. Een team van twee of drie personen bij een klein kantoor kan relatief veel kosten, maar levert bij goede inrichting inzicht, stabiliteit en vertrouwen op en voorkomt versnippering, overbelasting en genegeerde fouten.
Belangrijk daarbij is dat ook binnen een gedeeld model altijd één persoon eindverantwoordelijk is voor de inhoudelijke aansturing van de compliancefunctie. Zonder dat raakt het team versnipperd, vervaagt de regie en wordt het moeilijk om tot heldere oordeelsvorming te komen. Die eindverantwoordelijke hoeft niet alles zelf te doen, maar moet wel in staat zijn om te overzien wat er speelt, wat prioriteit heeft en welke besluiten nodig zijn.
Daarbij komt dat er geen opleiding bestaat die specifiek voorbereidt op het brede en complexe takenpakket van de compliance officer binnen accountantsorganisaties. Zoals eerder benoemd, is iedere invulling dus per definitie onvolledig. Een persoon die alle noodzakelijke kennis, vaardigheden en eigenschappen in zich verenigt, bestaat eenvoudigweg niet. Precies daarom is het bouwen van een complementair team geen luxe, maar een voorwaarde voor effectiviteit. Niet ieder teamlid hoeft alles te kunnen, als het geheel maar in staat is om met gezag, zorgvuldigheid en oordeelskracht op te treden.
Rollen en specialisaties binnen het team
Binnen een compliance team is het zelden nodig om voor elk aandachtsgebied een aparte specialist aan te stellen. Tegelijk is het onrealistisch om te verwachten dat iedere compliancefunctionaris over hetzelfde profiel beschikt. In de praktijk ligt de kracht in een doordachte taakverdeling. Sommige teamleden hebben affiniteit met juridische vraagstukken of privacy, anderen zijn sterk in monitoring en analyse, weer anderen in communicatie of integriteitsthema’s. Ook binnen een klein team kunnen dergelijke accenten worden aangebracht, zolang duidelijk is wie waarop aanspreekbaar is en hoe de werkzaamheden worden afgestemd.
Een aantal rollen komt in de praktijk regelmatig voor. Bemoeienis in enige vorm met interne reviews of opdrachtgerichte kwaliteitsbeoordelingen (OKB) binnen de accountancy is vrij standaard, eventueel uitgebreid met domeinen als fiscaliteit. Ook specifieke rollen in relatie tot de Wwft komen vaak voor. Bij veel kantoren is binnen compliance expliciete aandacht belegd voor de naleving van de AVG. In sommige gevallen is een teamlid aangewezen als functionaris voor gegevensbescherming (FG), hoewel dit wettelijk doorgaans niet verplicht is. Deze rol vereist specifieke kennis van privacywetgeving, maar ook inzicht in procesinrichting en gedragsaspecten. Een minder expliciet voorkomende specialisatie betreft incidenten en integriteit. Wie deze taak op zich neemt, fungeert als meldpunt, begeleidt onderzoeken en adviseert over cultuurmaatregelen.
Naast deze herkenbare rollen valt te denken aan andere aandachtsgebieden: duurzaamheid, klokkenluidersregeling, sanctielijsten of cyberbeveiliging. Die verbreding kan logisch zijn, maar vergt aandacht voor rolafbakening. Niet iedereen hoeft overal op ingezet te worden, zolang het team als geheel maar de gevraagde breedte en diepgang kan bieden.
Essentieel is dat taakverdeling niet informeel of impliciet blijft. Wie doet wat, wie is aanspreekpunt bij vragen of signalen, en hoe wordt voorkomen dat zaken tussen wal en schip raken? Een gedeelde mailbox is geen vervanging voor heldere afspraken. Als rollen niet zijn uitgesproken, ontstaan gemakkelijk doublures, lacunes of onduidelijkheden in communicatie. Een compacte, maar functioneel uitgewerkte matrix van verantwoordelijkheden helpt het team niet alleen intern, maar ook in de herkenbaarheid binnen het kantoor.
Diversiteit in achtergrond en denkrichting
Een effectief compliance team bestaat niet uit gelijkgestemden. De kracht zit juist in de onderlinge verschillen: in achtergrond, benadering, temperament en overtuiging. Dat begint bij de vooropleiding. Het is een misvatting dat compliancefunctionarissen per definitie accountant zouden moeten zijn. In de praktijk is een accountant met vaktechnische ervaring een waardevolle aanvulling, maar geen vereiste voor iedere rol binnen het team. Juist juristen, bestuurskundigen, gedragswetenschappers of communicatieprofessionals kunnen waardevolle perspectieven inbrengen, zeker wanneer het gaat om integriteit, governance, cultuur, beleid of gedragsverandering. Een team waarin iedereen denkt als een accountant, kijkt ook als een accountant en mist daarmee mogelijk wat nodig is om structureel spanning, patronen en cultuur te begrijpen.
Ook in houding en benadering is verscheidenheid een kracht. De onderzoekende analist, de taalvaardige rapporteur, de rustige luisteraar en de kritische uitdager: ieder brengt iets anders, en ieder vult het beeld aan. Dat vraagt om wederzijds respect en duidelijke afspraken, maar levert veel op. In de praktijk blijken goed functionerende teams niet homogeen, maar juist complementair. Verschillen worden niet weggepoetst, maar productief gemaakt. Wie alles alleen wil kunnen, faalt vroeg of laat. Wie samenwerkt met mensen die anders kijken, scherpt het eigen oordeel en voorkomt blinde vlekken.
Een dergelijke samenstelling komt niet vanzelf tot stand. Ze vereist bewuste keuzes bij werving, taakverdeling en beoordeling. Dat vraagt ook iets van het bestuur: het vermogen om niet alleen te kijken naar titels, maar naar potentieel. Compliance is geen verlengstuk van de accountancy, maar een zelfstandig vak met raakvlakken aan vele disciplines. Wie dat erkent, bouwt aan een team dat niet alleen professioneel is, maar ook toekomstbestendig.
Coördinatie en eindverantwoordelijkheid
Een compliance team functioneert niet als optelsom van losse functionarissen. Ook in een gedeelde of thematisch opgebouwde structuur is coördinatie essentieel. Er moet iemand zijn die het overzicht bewaart, het jaarplan bewaakt, prioriteiten stelt en de afstemming verzorgt met bestuur, directie en praktijk. Zonder die rol verzandt het team gemakkelijk in losse acties, fragmentarische signalering of reactieve incidentbestrijding. Coördinatie is geen machtspositie, maar een noodzakelijke structuur om richting en samenhang aan te brengen in een functie die per definitie breed en complex is.
In de praktijk bestaat een compliance team zelden uit junioren. De meeste teamleden zijn taakvolwassen professionals, vaak met ruime ervaring in de praktijk of in andere tweedelijnsrollen. Niet zelden werken zijparttime, op wisselende dagen en verspreid over meerdere vestigingen. Fysieke aanwezigheid op één locatie is eerder uitzondering dan norm. Daar komt bij dat hybride werken inmiddels de standaard is. Wie vasthoudt aan overlegstructuren die alleen functioneren als iedereen tegelijk op kantoor is, loopt al snel vast.
Die realiteit stelt eisen aan de manier waarop het team is georganiseerd. Er is behoefte aan vertrouwen, zelfstandigheid en duidelijke rolverdeling, maar ook aan goede digitale ondersteuning. Met moderne office software zoals Teams, OneNote, SharePoint of Planner zijn veel van de praktische uitdagingen goed oplosbaar, mits het team weet wat het van elkaar mag verwachten. Een gedeelde notitieomgeving, een gezamenlijke planning, duidelijke afspraken over communicatie, waaronder dossiervorming, en overdracht zijn vaak belangrijker dan fysieke nabijheid. Coördinatie krijgt dan een andere kleur: minder direct aansturen, meer faciliteren, verbinden en borgen.
Uiteindelijk vraagt ieder compliance team om een duidelijk aanspreekpunt. Niet alleen intern, maar ook richting bestuur, externe toezichthouders of vaktechniek. Die eindverantwoordelijke moet kunnen instaan voor de consistentie en zorgvuldigheid van het functioneren van de compliancefunctie als geheel. Dat betekent niet dat alle signalen, rapporten of adviezen door dezelfde persoon moeten worden opgesteld. Wel dat iemand in de organisatie zegt: hier staan wij voor, zo is onze afweging tot stand gekomen, en hierop mag u ons aanspreken.
Samenwerking met eerste lijn en staf
Een goed functionerend compliance team opereert niet in isolement. De toegevoegde waarde ontstaat juist in de interactie met de eerste lijn en met stafafdelingen zoals vaktechniek, finance, HR of ICT. Dat vraagt om afstemming, toegankelijkheid en wederzijds vertrouwen. Compliance moet weten wat er speelt, maar ook benaderbaar zijn wanneer zich vragen, dilemma’s of signalen voordoen. In de praktijk betekent dit een mix van gestructureerde overleggen, laagdrempelige aanspreekbaarheid en meebewegen met het ritme van de organisatie. Wie alleen zichtbaar is bij incidenten of rapportages, zal zelden als vanzelfsprekend gesprekspartner worden gezien.
De samenwerking met de eerste lijn vraagt om duidelijkheid over rolverdeling. De lijn is verantwoordelijk voor uitvoering en kwaliteitsbewaking, compliance voor toetsing en borging. Dat kan alleen goed functioneren als beide elkaar serieus nemen. De compliance officer die zich opstelt als beterweter of controleur wordt gemeden. Maar ook de lijnfunctionaris die zijn verantwoordelijkheid wegschuift richting compliance ondermijnt het stelsel. Goede samenwerking vraagt om wederzijds respect, een gedeeld begrippenkader en regelmatige uitwisseling van inzichten. Het gesprek moet niet alleen gaan over wat mis ging, maar ook over wat beter kan.
De verbinding met andere stafafdelingen is even belangrijk. Vaktechniek en compliance hebben deels overlappende werkterreinen, maar een andere invalshoek. Juridische ondersteuning en risicomanagement raken aan veel van dezelfde thema’s, maar hanteren andere methoden. Alleen als deze functies elkaar weten te vinden, ontstaat een samenhangend geheel. In de praktijk is dat geen vanzelfsprekendheid. Samenwerking ontstaat niet door het delen van een document, maar door het onderhouden van een relatie. Dat vraagt om ritme, taal, tijd en wederzijdse beschikbaarheid. Niet alles hoeft formeel vastgelegd te worden, maar niets functioneert zonder aandacht.
Specifieke invullingen en hybride vormen
Hybride combinaties en rolvermenging
In de praktijk van mkb-kantoren is de compliancefunctie zelden zuiver afgebakend. Vaak wordt zij gecombineerd met andere taken, variërend van kwaliteitsbepaling tot risicomanagement, beleidsontwikkeling, vaktechniek of zelfs bestuursverantwoordelijkheid. Die combinaties ontstaan niet uit slordigheid, maar uit pragmatisme: beperkte schaal, beperkte capaciteit en het ontbreken van formeel onderscheid maken dat één persoon meerdere rollen vervult. Tegelijk schuilt daarin een wezenlijk risico. Wie verantwoordelijk is voor het opstellen van beleid, het toetsen van de uitvoering én het rapporteren over tekortkomingen, is in feite controleur van het eigen werk. En wie te dicht op de uitvoering zit, verliest de ruimte om onafhankelijk te oordelen wanneer dat nodig is.
Rolvermenging hoeft echter niet altijd tot onwerkbaarheid te leiden. In veel kantoren is het nu eenmaal niet haalbaar om voor elke functie een aparte medewerker aan te stellen. De oplossing ligt dan niet in scheiding, maar in bewustzijn. Een hybride rol kan functioneren als de betrokken functionaris helder aangeeft vanuit welke pet hij of zij spreekt, en als het bestuur bereid is die nuance serieus te nemen. Het vraagt discipline, rolvastheid en bereidheid tot reflectie. Belangrijk is dat er altijd momenten van afstand zijn ingebouwd: terugkoppeling naar het bestuur, collegiale toetsing, of een periodieke second opinion van buiten het eigen team. Zonder die mechanismen wordt vermenging vroeg of laat ondermijning.
De compliance officer als FG of risicomanager
Twee hybride combinaties komen in de praktijk regelmatig voor: die van compliance officer met functionaris voor gegevensbescherming (FG) en die met risicomanager. Beide combineren een toetsende en adviserende taak, en kennen inhoudelijke overlap. In het geval van de FG-rol is die overlap zelfs substantieel. Zowel compliance als de FG houden zich bezig met naleving, interne beheersing, bewustwording en rapportage. In veel mkb-kantoren is de FG-rol daarom ondergebracht bij het complianceteam, en dat is in beginsel goed te verenigen. De AVG vereist wel dat de FG over voldoende autonomie beschikt om zonder belemmering te kunnen rapporteren, ook wanneer het onderwerp gevoelig ligt of raakt aan andere beleidsdoelen. De combinatie is dus niet verboden, maar vraagt ruimte en expliciete erkenning van de onafhankelijke positie van de FG binnen de bredere rolopvatting van compliance.
De combinatie met risicomanagement ligt anders. Ook hier is sprake van overlap, zeker waar het gaat om signaleren, analyseren en adviseren over kwetsbaarheden in de organisatie. Maar het perspectief verschilt. Risicomanagement richt zich op de vraag welke risico’s de strategische en operationele doelstellingen van het kantoor bedreigen, en hoe die risico’s beheerst kunnen worden. De riskmanager faciliteert dat proces, ondersteunt bij het bepalen van risicobereidheid, en adviseert over maatregelen. Maar de verantwoordelijkheid voor het omgaan met risico’s ligt nadrukkelijk bij de eerste lijn en het bestuur. Compliance daarentegen toetst of het beleid en de maatregelen die zijn vastgesteld ook daadwerkelijk worden nageleefd. De één ondersteunt het denken over risico’s, de ander toetst de uitvoering ervan.
Bij beide combinaties geldt: de meerwaarde zit in de verbinding, het risico zit in de vervlechting. Wanneer rollen niet expliciet onderscheiden worden, ontstaat verwarring. Dan wordt het onduidelijk wie toetst en wie adviseert, wie helpt en wie rapporteert, en waar de grens ligt tussen meedenken en beoordelen. Juist in dit soort combinatiefuncties is het van belang om die grenzen hardop te benoemen, en intern voortdurend onderling te toetsen of ze nog worden bewaakt.
Toetsend versus faciliterend: schuivende grenzen
De compliance officer is geen handhaver in klassieke zin. Zeker binnen mkb-kantoren komt de meeste impact niet voort uit formele toetsing of rapportages, maar uit het gesprek: het sparren met praktijkverantwoordelijken, het signaleren van spanningen, het begeleiden van verbeterprocessen. Daarmee schuift de rol vaak op richting advisering en ondersteuning. Dat is op zichzelf geen probleem, en zelfs wenselijk als het bijdraagt aan naleving, bewustwording en kwaliteitsverbetering. Maar het maakt de grens tussen toetsing en facilitering dunner. Wie vandaag adviseert over een aanpak, kan morgen moeilijk onafhankelijk toetsen of die aanpak wel passend was.
Die schuivende grens vraagt om voortdurende alertheid. Niet ieder advies hoeft vermeden te worden, en niet elke suggestie ondermijnt de onafhankelijkheid. Maar het is van belang dat de compliance officer zich steeds afvraagt: vanuit welke rol spreek ik, en hoe borg ik dat mijn oordeelsvorming geloofwaardig blijft? Soms betekent dat: terughoudendheid betrachten. Soms: expliciet maken dat het gesprek verkennend is en niet bindend. En soms betekent het: het toetsen overlaten aan een collega of externe partij, om belangenverstrengeling te vermijden.
De mate waarin de compliance officer optreedt als adviseur of begeleider verschilt per kantoor en per situatie. Belangrijk is dat die rol niet verwordt tot verlengstuk van de uitvoering. De kracht van compliance ligt juist in het spanningsveld: nabij genoeg om effect te hebben, maar onafhankelijk genoeg om te kunnen oordelen. Die spanning hoeft niet opgelost te worden, maar moet wel onderkend en actief beheerd worden. Niet door afstand te nemen van de praktijk, maar door open te blijven over de rol die wordt vervuld.
Organisatorische positionering en verwachtingenmanagement
Een hybride invulling van de compliancefunctie vraagt niet alleen iets van de functionaris zelf, maar ook van het bestuur. Uiteindelijk is het het bestuur dat de kaders stelt: welke rollen worden gecombineerd, welk mandaat wordt toegekend, hoe onafhankelijkheid wordt geborgd en hoe wordt omgegaan met mogelijke spanningen. Dat vereist meer dan een functiebeschrijving. Het vraagt om een gedeeld beeld van de rol die compliance binnen het kantoor vervult, en om realistische verwachtingen ten aanzien van tijd, capaciteit, ondersteuning en positionering.
Die verwachtingen moeten passen bij de context van het kantoor. In een klein team is het onvermijdelijk dat de compliance officer meerdere petten draagt. Maar dat ontslaat het bestuur niet van de verantwoordelijkheid om te zorgen voor afbakening, reflectie en ondersteuning. Ook een parttime compliance officer die andere taken vervult, moet de ruimte krijgen om onafhankelijk te kunnen optreden wanneer dat nodig is. Dat vergt niet alleen formele mandatering, maar ook een cultuur waarin ongemakkelijke signalen welkom zijn en waarin toetsing niet wordt opgevat als kritiek, maar als vorm van betrokkenheid.
Tegelijk moet ook de compliance officer realistisch zijn in wat mogelijk is. Wie een hybride functie vervult, kan niet overal onafhankelijk in optreden. Dat hoeft ook niet, zolang maar duidelijk is welke onderwerpen toetsbaar zijn en welke niet. De kracht zit in helderheid. Zeggen wat je wel kunt doen, en zeggen wat je bewust laat liggen. Dat vraagt om professioneel zelfinzicht, maar ook om ruimte voor reflectie en collegiale toetsing. In een goed functionerende organisatie is die ruimte aanwezig, juist omdat het bestuur begrijpt dat compliance niet primair over regels gaat, maar over vertrouwen.
Maar die ruimte moet er niet alleen zijn, zij moet ook daadwerkelijk worden benut. Als een compliance officer structureel ervaart dat signalen worden genegeerd, dat onafhankelijk optreden wordt belemmerd of dat het bestuur zich onttrekt aan fundamentele verantwoordelijkheden, ontstaat een grens. In dat geval rust op de compliance officer de plicht om dit bespreekbaar te maken, te documenteren en, als er geen verbetering volgt, zich af te vragen of het nog verdedigbaar is om de functie te blijven vervullen. In het uiterste geval is het neerleggen van de rol geen vlucht, maar een professionele consequentie. Juist dat onderscheidt een functie met gezag van een titel zonder inhoud.
My Essay 