Wat is een Compliance Officer?

Binnen organisaties zien we een groot scala aan administratief- en bedrijfseconomische functies. Op deze pagina staat de functie van de compliance officer centraal. Waarbij duidelijk wordt wat deze functie precies inhoudt en hoe deze functie zich verhoudt tot functies als de business controller en de financial controller.   

De 3 Rollen van de Controller

De functie van de compliance officer is een uitwerking van één van de verantwoordelijkheden die de controller heeft. Voordat ik de rol van compliance officer beschrijf is het daarom handig om de verschillende verantwoordelijkheden van de controller toe te lichten. Dan wordt direct duidelijk waarin de rol van compliance officer afwijkt van die van de boekhouder, de business controller en die van de concerncontroller. De controller heeft de volgende verantwoordelijkheden:

1. De Controller als ..... Bewaker van de financiële positie; de controller is verantwoordelijk voor een juiste, volledige en actuele (financiële) administratie. Zodat op elk moment inzicht bestaat in het resultaat en het vermogen van de organisatie. De controller rapporteert hierover periodiek aan het management. Verder is de controller ervoor verantwoordelijk dat de organisatie liquide en solvabel is. Zodat de organisatie op korte- en lange termijn aan haar verplichtingen kan voldoen. 

2. De Controller als ..... Moreel Kompas; de controller heeft veder een onafhankelijke toetsende rol binnen de organisatie. De controller is verantwoordelijk voor de opzet en werking van een stelsel van beheersmaatregelen die de financiële getrouwheid van de cijfers en informatievoorziening moet borgen. Verder geeft de controller inzicht in de mate waarin de organisatie voldoet aan de vigerende wet- en regelgeving. En geeft de controller een oordeel over de effectiviteit en doelmatigheid van de organisatie. Begrippen als compliance, administratieve organisatie, risicomanagement, interne controles en managementcontrol staan daarbij centraal.  

3. De Controller als ..... Businesspartner; de controller geeft op basis van bedrijfskundige- en bedrijfseconomische analyses ook adviezen aan het management over operationele, tactische en strategische onderwerpen. De controller is klankbord voor het management en ondersteunt het management bij het maken van keuzes middels organisatie-, omgevings- en scenarioanalyses. Verder is de controller de aanjager van procesoptimalisaties en het uitvoeren van investeringsanalyses.     

De focus van de controller lag tot ver in de vorige eeuw bij het registeren van de cijfers en het rapporteren daarover (in de rol van bewaker van de financiële positie). In de tweede helft van de vorige eeuw nam de rol van 'moreel kompas' een sterke vlucht. Door boekhoudschandalen moest het vertrouwen van de maatschappij in de financiële verslaglegging hersteld worden. En lag de nadruk in de functie van de controller op de opzet en werking van een stelsel van interne beheersingsmaatregelen. In de jaren '80 kwam daar vervolgens de rol van business partner bij. Vanuit het management ontstond een behoefte aan een business partner die het management ondersteunt bij het concreet maken en financieel onderbouwen van de strategische doelstellingen en de implementatie en realisatie daarvan. 

Different controllers for different purposes

Elke rol die de controller uitvoert vergt specifieke kennis en vaardigheden. Het is zo goed als onmogelijk om het geheel aan kennis en vaardigheden dat nodig is voor al deze rollen in één functie te verenigen. Benodigde vaardigheden liggen bij de rollen niet altijd in elkaars verlengde en zijn soms zelfs tegenstijdig. En dan laat ik de hoeveelheid werkzaamheden die deze persoon dan moet uitvoeren nog buiten beschouwing. Daarom zien we in de praktijk dat de rol van de controller is opgesplitst in de volgende functies: 

• DE BOEKHOUDER  →  Vastleggen van de cijfers; de boekhouder is verantwoordelijk voor de volledigheid, juistheid en tijdigheid van de registratie van de cijfers in de administratie. Samen met de medewerker crediteuren, debiteuren, grootboek en kas/bank worden financiële feiten conform de eisen van financiële verslaglegging voor winstbepaling en balanswaardering vastgelegd.

• FINANCIAL CONTROLLER  →  Rapporteren over de cijfers; de financial controller is er verantwoordelijk voor dat de (financiële) informatievoorziening voldoet aan de wet- en regelgeving. Tegelijkertijd is het zijn of haar taak om een flexibele financiële structuur in te richten die snel kan inspringen op een veranderende informatiebehoefte vanuit de business. De financial controller is verder verantwoordelijk voor de financiële rapportages en het opstellen van de jaarrekening. De financial controller stelt ook liquiditeitsprognoses op en stuurt op de financiële ratio's. Om ervoor te zorgen dat de organisatie op korte en lange termijn aan haar verplichtingen kan voldoen.  

• BUSINESS CONTROLLER  →  Werken met de cijfers; de business controller is dé adviseur van het management en de directie. Vanuit bedrijfskundig perspectief geeft de business controller advies over strategische- en organisatievraagstukken. De business controller is verder verantwoordelijk voor de planning- en controlcyclus waarmee op gestructureerde wijze de voortgang van de doelstellingen wordt gemonitord. Verder voert de business controller bedrijfseconomische analyses uit als investeringsanalyses en kostprijsberekeningen. Tenslotte heeft de business controller een belangrijke rol in het continu verbeteren van operationele processen en de controles daarop.  

• COMPLIANCE OFFICER  →  Controleren van de cijfers; de compliance officer (of medewerker interne controle) heeft een onafhankelijke toetsende functie binnen de organisatie. De compliance officer is verantwoordelijk voor de opzet en werking van een stelsel van beheersmaatregelen die de financiële getrouwheid van de cijfers en informatie moet borgen. De compliance officer ziet erop toe dat de organisatie opereert binnen de bestaande wet- en regelgeving. Verder geeft de compliance officer inzicht in de doelmatigheid en effectiviteit van de organisatie. Begrippen als administratieve organisatie, risicoanalyse, interne controles en de 'in control statement' staan daarbij centraal.

• CONCERNCONTROLLER  →  Verantwoordelijk voor alle cijfers; de concerncontroller verenigt alle drie de rollen van de controller in één functie. Zij het dat de daadwerkelijke uitvoering vaak bij één van de andere (controllers)functies ligt. De concerncontroller geeft richting, is kaderstellend en is eindverantwoordelijke voor de financiële positie van de organisatie en de rapportages daarover aan de directie. Tegelijkertijd is de concerncontroller het moreel kompas én de belangrijkste adviseur van de directie.    

De functie van boekhouder, financial controller, business controller en compliance officer zijn verschillend en vereisen specifieke kennis en vaardigheden. Toch hebben deze functies één gemene deler. De functies vinden hun oorsprong in het vakgebied Finance & Control. De functionarissen zijn daarmee allemaal expert op het gebied van cijfers, getallen en processen. Zij het dat elke functie op haar eigen manier aan/met de cijfers werkt. Afhankelijk van de grootte en type organisatie zie je dat in veel organisaties één functionaris meerdere rollen tegelijkertijd uitvoert. Zo zie je dat in kleinere organisaties de boekhouder (hoofd administratie) vaak zowel verantwoordelijk is voor de boekhouding als voor de rol van financial controller.

3   De Compliance Officer

De compliance officer vertegenwoordigt het (financieel) geweten van de organisatie. In het vakgebied Management & Organisatie wordt de term ‘compliance’ gebruikt voor de naleving van wet- en regelgeving. De compliance officer stelt vast of de organisatie voldoet aan de wet- en regelgeving die op zijn of haar organisatie van toepassing is. De compliance officer is daarmee de interne toezichthouder en bewaakt de integriteit van de organisatie. Om zo het risico op onrechtmatig of ongewenst handelen van medewerkers te verkleinen.

3a   Wet- en Regelgeving

Naast algemene wet- en regelgeving die voor elke organisatie van toepassing is zien we steeds meer sectorspecifieke wet- en regelgeving. De overheid reageert vaak met (meer) wet- en regelgeving wanneer misstanden of schandalen zich voordoen. Zo heeft de overheid vanwege een aantal beursschandalen meer regels opgelegd aan financiële sector. Maar moet bijvoorbeeld ook de zorgsector aan steeds meer kwaliteitseisen voldoen. De discussie of het middel (meer wet- en regelgeving) erger is dan de kwaal laat ik hier buiten beschouwing. Feit is dat organisaties aan steeds meer wet- en regelgeving moeten voldoen. 

• Algemene Wet- en Regelgeving; deze wet- en regelgeving zijn voor alle organisaties van toepassing. Onafhankelijk in welke sector een organisatie opereert. 

• Wetgeving op de Jaarrekening (Burgerlijk Wetboek, Boek 2, Titel 9), in de wet (en sinds 2005 in aanvullende regels in de vorm van richtlijnen door de Raad voor de Jaarverslaggeving) zijn regels opgesteld hoe je een administratie moet voeren en een jaarrekening opstelt. Enerzijds worden modellen voorgeschreven waarin de balans, resultatenrekening en toelichting moeten worden gepresenteerd. Anderzijds worden waarderingsregels uitgewerkt over de manier waarop en tegen welke waarde alle bezittingen, tegoeden, schulden, opbrengsten, kosten en alle andere verrichtingen moeten worden vastgelegd.
• Algemene verordening gegevensbescherming (AVG); sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving: de Algemene verordening gegevensbescherming. Het algemene doel van de AVG is om de EU-burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. De AVG biedt rechten aan de burgers met betrekking tot persoonsgegevens welke gedeeld worden met organisaties die dergelijke persoonsgegevens verzamelen, opslaan en verwerken.

• Sectorspecifieke Wet- en Regelgeving; deze wet- en regelgeving is toegespitst op, zoals de naam het al zegt, de specifieke sector waarin een organisatie opereert. De wet- en regelgeving stelt eisen aan de specifieke activiteiten die in de betreffende sector worden uitgevoerd. Enkele voorbeelden hiervan zijn:  

• Wet op het Financieel Toezicht (Wft); met deze wet wordt de toezichtsfunctie van de De Nederlandse Bank (DNB) en de Autoriteit Financiële Markten (AFM) vormgegeven. En wordt duidelijk aan welke eisen financiële instellingen moeten voldoen om als financiële instelling te mogen opereren. Deze eisen zijn als gevolg van de kredietcrisis in 2007 steeds zwaarder geworden. Denk daarbij bijvoorbeeld aan eisen die aan integer bestuur worden gesteld. 
• Zorgverzekeringswet (ZvW) en Wet langdurige zorg (Wlz); alle zorginstellingen moeten zorg leveren die voldoet aan bepaalde kwaliteitseisen. Zorginstellingen zijn bijvoorbeeld verplicht het zorgplan met cliënten bespreken, medezeggenschap te regelen en een klachtenregeling te hebben. Dit staat in de Zorgverzekeringswet (Zvw) en de Wet langdurige zorg (Wlz). Veelal worden deze kwaliteitseisen, bijvoorbeeld het hanteren van het vier-ogen principe bij het toedienen van medicatie, vastgelegd in protocollen van de betreffende beroepsgroep.
• Wet op de Europese Aanbesteding; de richtlijnen van de Europese Unie verplichten Europese overheden om overheidsopdrachten die een bepaald bedrag te boven gaan uit te schrijven via de procedure van een Europese aanbesteding. Deze verplichting geldt voor de Rijksoverheid, gemeenten, provincies, waterschappen, scholen, universiteiten en andere publiekrechtelijke instellingen.

• Bedrijfsspecifieke Regelgeving; naast de (sectorspecifieke) wet- en regelgeving waaraan een organisatie moet voldoen stelt een bedrijf vaak ook zelf eisen aan haar eigen handelen. Om de realisatie van haar doelstellingen zoveel mogelijk veilig te stellen. Op basis van een risicoanalyse stelt een bedrijf beheersmaatregelen op om bedrijfsrisico's te verkleinen.

• Verklaring Omtrent het Gedrag; stel dat een zorginstelling te maken heeft met diefstal bij cliënten door een een verzorgende. Naast de zaakschade en het persoonlijk leed loopt de instelling reputatieschade op die de continuïteit van de organisatie in het geding brengt. Wie wil er nu wonen in een zorginstelling waar je wordt bestolen? Daarom wordt van alle nieuwe medewerkers verwacht dat zij een Verklaring Omtrent het Gedrag (VOG) kunnen overhandigen voordat ze worden aangenomen.
• Nevenactiviteiten; in veel bedrijven zijn medewerkers verplicht om nevenactiviteiten die een goede functievervulling in de weg kunnen staan bij de manager te melden. Dit om mogelijke belangenverstrengeling tegen te gaan. 

Het moge duidelijk zijn dat het nakomen van wet- en regelgeving (compliant zijn) van groot belang is. Non-compliance kan grote consequenties hebben. Zo kan een accountant zijn goedkeurende verklaring onthouden, kan de Inspectie voor Gezondheidszorg een vergunning van een huisarts of zorginstelling intrekken en kan de Autoriteit Financiële Markten geldboetes aan bestuurders opleggen. Dit alles met als doel om bestaande wet- en regelgeving af te dwingen. 

3b   Werkzaamheden

De compliance officer is aangesteld om toe te zien op de naleving van wet- en regelgeving binnen een organisatie. Er bestaat echter discussie over de exacte taak van de compliance officer. Beperkt de rol van de compliance officer zich tot het controleren of de organisatie en haar medewerkers zich aan de wet- en regelgeving houdt? Of is de compliance officer ook verantwoordelijk voor het stimuleren van compliance gericht gedrag. In dat laatste geval is de functie van de compliance officer breder. In ben ervan overtuigd dat voor de effectiviteit van de functie van compliance officer het noodzakelijk is om niet alleen te controleren en te signaleren maar ook om te adviseren. De werkzaamheden die de compliance officer uitvoert zijn:  

1. Risicomanagement; door het uitvoeren van een risicoanalyse wordt duidelijk waar de grootste (compliance) risico's zitten. De uitkomsten van de risicoanalyse geven richting aan de werkzaamheden van de compliance officer die worden vastgelegd in het jaarplan en/of het controleplan. Begrippen die bij het uitvoeren van de risicoanalyse centraal staan zijn risicobereidheid, tolerantiematrix, risicowaardering, lines of defence en beheersingsmaatregelen.   

2. Interne Controles; hier ligt de nadruk van de werkzaamheden van de compliance officer op het feitelijk toetsen of medewerkers zich houden aan de (proces)afspraken die zijn gemaakt. Op basis van het controleplan wordt voor activiteiten met een hoog compliance risico getoetst of de procesafspraken die zijn gemaakt, om deze risico's te mitigeren, na worden geleefd. Zo controleer je met behulp van een steekproef of in de dossiers van nieuwe medewerkers inderdaad een Verklaring Omtrent het Gedrag (VOG) aanwezig is. En of alle inkopen bij de overheid boven een bepaald bedrag Europees zijn aanbesteed. 

3. Procesoptimalisatie; verder heeft de compliance officer ook een rol in het continu verbeteren van de bedrijfsprocessen. De bevindingen van de compliance officer vormen input voor het verbeteren van de bedrijfsprocessen. De compliance officer heeft niet alleen een signalerende maar ook een adviserende rol om de compliance binnen de organisatie te verbeteren. Dit doet de compliance officer niet alleen. De compliance officer doet dit samen met de business (controller).  

4. In Control Statement; de kern van de ‘In Control Statement’ is het afleggen van verantwoording over de werking van de beheersingsmaatregelen die gericht zijn op het wegnemen of reduceren van de gevolgen van risico’s die zich bij de realisatie van de doelstellingen voordoen. Gezien de de taak en onafhankelijkheid van de compliance officer is hij of zij bij uitstek diegene die de concerncontroller ondersteunt bij het opstellen van deze verklaring. 

5. Verandermanagement; de compliance officer controleert niet alleen. De compliance officer is ook direct betrokken bij de implementatie van nieuwe wet- en regelgeving. Om dit succesvol te doen is kennis en ervaring met verandertrajecten van groot belang. Begrippen als weerstand, veranderstrategieën, veranderaanpak en beïnvloedingsstijlen staan hierbij centraal.

Bovenstaande opsomming van werkzaamheden weerspiegelt goed de veranderende rol van de compliance officer. De traditionele compliance officer (veelal aangeduid met medewerker 'Interne Controle') beperkt zijn of haar werkzaamheden tot het uitvoeren van risicoanalyses en interne controles. Waarbij deze controles zich vooral richten op volledigheid en juistheid van de geldstromen. De moderne compliance officer kijkt niet alleen naar financiële risico's maar naar allerlei soortige risico's die voortvloeien uit het niet naleven van wet- en regelgeving. Waarbij de moderne compliance officer niet alleen constateert maar ook adviseert omdat de compliance officer zich verantwoordelijk voelt om daadwerkelijke gedragswijzigingen te bewerkstelligen.

3c   Competenties

Het moge duidelijk zijn dat de competenties van een compliance officer sterk verschillen van die van bijvoorbeeld een business controller of die van een financial controller. Het onafhankelijk toezicht houden op het naleven van de wet- en regelgeving en de procesafspraken die daarvoor zijn gemaakt vergt nu eenmaal andere vaardigheden. Meer concreet beschikt de compliance officer over de volgende vaardigheden: 

• Onafhankelijk
• Analytisch sterk
• Integer
• Adviesvaardig
• Plannen en Organiseren
• Communicatief sterk
• Stressbestendig

Een goede compliance officer weet op basis van risicogerichte analyses en interne controles waar de organisatie de grootste (financiële) risico's loopt als gevolg van het niet naleven van de wet- en regelgeving. Waarbij de compliance officer door goede communicatieve vaardigheden aan betrokkenen het belang van zijn of haar constateringen kan uitleggen en de verantwoordelijke proceseigenaren kan overtuigen om de opzet en of werking van de processen aan te scherpen. De compliance officer beschikt over een sterke persoonlijkheid en laat zich niet in een hoek duwen door de directie of andere lijnmanagers. 

3d   Opleiding

Als je jezelf wil scholen tot compliance officer of je bent een compliance officer en je wilt jezelf verder ontwikkelen dan is een scala aan opleidingen beschikbaar. Waarbij je opleidingen hebt die zich specifiek richten op de functie van compliance officer en meer algemene opleidingen met een bedrijfseconomische of rechten achtergrond. De opleidingen variëren in zwaarte van hbo bachelor tot post-master.

• HBO-opleidingen (bachelor); je hebt diverse HBO-opleidingen die een goede basis leggen voor de rol van compliance officer. De opleidingen richten zich op de rol van de compliance officer binnen een organisatie. Waarbij wordt ingegaan op de belangrijkste werkzaamheden die de compliance officer uitvoert. Denk hierbij aan specifieke opleidingen als Privacy & Compliance, Leergang Compliance of Corporate Governacne & Compliance. Meer algemene HBO-opleidingen die opleiden tot compliance officer zijn de opleiding tot Assistent Controller en de opleiding Finance & Control.

• Post-HBO-opleidingen; zijn praktijkgerichte opleidingen waarmee je je kennis van je functie als compliance officer verbreed en verdiept. Waar de nadruk ligt op het risicogericht analyseren van bedrijfsprocessen en financiële producten om zo financiële, juridische en ethische risico’s te beperken. De meest voorkomende opleiding is de leergang tot certified compliance professional. Het betreft een erkende praktijkgerichte leergang tot Certified Compliance Officer (CCO) die je aan meerdere onderwijsinstellingen kunt volgen. 

• Universitaire Opleidingen (master); er zijn vele soorten en maten van master opleidingen die een goede basis vormen voor de rol als compliance officer. Mede afhankelijk van de wet- en regelgeving waarbinnen jouw organisatie opereert. Goed om te weten is dat de universitaire opleiding in tegenstelling tot de (post) HBO opleiding een theoretische opleiding is. Specifiek op compliance gerichte master opleidingen zijn er (nog) niet. Voorbeelden van opleidingen die een goede basis leggen voor compliance officer zijn Accounting & Control of Rechten.       

• Post-Master Opleidingen; is een wetenschappelijke beroepsopleiding voor mensen met relevante werkervaring binnen een specifiek vakgebied. Naast verbreding en verdieping van je vakkennis wordt er veel aandacht besteed aan de toepassing van deze kennis en aan de ontwikkeling van je vaardigheden. Naast de meer algemene postdoctorale opleidingen tot Registeraccountant (RA) en Registercontroller (RC) zijn er meer specifieke postdoctorale opleidingen zoals Compliance & Risk Management (CRM) of Compliance & Integriteit Management.

Welke opleiding het best voor jou is hangt af van je ambities, werkervaring en de vooropleiding die je hebt gevolgd. Verder is de meest geschikte opleiding afhankelijk van de sector waarin je werkzaam bent. Mijn ervaring is dat hogescholen en universiteiten bereid zijn om mee te denken als je niet over de exacte vooropleiding beschikt. Laat je dus niet op voorhand afschrikken door de toelatingseisen.   

4   De Uitdagingen van de Compliance Officer

De compliance officer komen we steeds vaker tegen binnen organisaties. Omdat de functie van compliance officer relatief nieuw is zie je dat er veel discussie bestaat over de exacte invulling ervan. Bij de invulling van de rol wil ik je de volgende aandachtspunten meegeven:

 

• Reikwijdte; voordat je ergens aan de slag gaat als compliance officer is het verstandig om de reikwijdte van je opdracht scherp te krijgen. Ben je verantwoordelijk voor het constateren van onrechtmatig handelen? Heb je ook een adviserende rol om de processen aan te scherpen. Of ben je zelfs verantwoordelijk voor de implementatie van nieuwe wet- en regelgeving? 

• Bewustwording; binnen de checks and balances van een organisatie vervult de compliance officer een belangrijke rol als interne toezichthouder. Helaas wordt dat niet altijd binnen de organisatie zo ervaren. Sterker nog; de compliance officer wordt vaak als lastig gezien die de belangen van de business schaadt. Je bent je als compliance officer hiervan bewust en beschikt over de benodigde vaardigheden om de directie en het management te overtuigen dat het noodzakelijk is om processen aan te scherpen om zo binnen de wet- en regelgeving te opereren.

• Onafhankelijkheid & Integriteit; hoe onafhankelijk ben je als compliance officer? veelal rapporteer je als compliance officer aan de concerncontroller of aan de directie. Veelal is statutair bepaald dat de compliance officer bij ernstige bevindingen rechtstreeks contact op mag nemen met bijvoorbeeld de Raad van Bestuur of de Raad van Toezicht. Maar dat kun je vaak maar één keer doen. Als compliance officer moet je jezelf onafhankelijk opstellen. En bereid zijn om in het uiterste geval, indien de integriteit in het geding is, op te stappen.

• Sectorspecialist; voor een compliance officer is het belangrijk de business (sector) waarin hij of zij werkt goed te kennen. De compliance kent de sector, het bedrijf, de producten en de bedrijfsprocessen die daar aan ten grondslag liggen. De compliance officer is goed in staat om de impact van nieuwe wet- en regelgeving op de bedrijfsprocessen te bepalen. En weet hoe deze nieuwe wet- en regelgeving in samenwerking met de business geïmplementeerd moet worden.

• Relatie met de accountant en andere externe toezichthouders; als de compliance officer zijn of haar werk goed doet dan zullen externe toezichthouders hun oordeel baseren op de bevindingen van de compliance officer. Het is daarom belangrijk om bij de risicoanalyse de externe toezichthouder te betrekken zodat een gezamenlijk beeld ontstaat van het risicoprofiel van de organisatie. Als de externe toezichthouder de interne controles als kwalitatief voldoende beschouwd (bijvoorbeeld via een steekproef) dan zal de externe toezichthouder geneigd zijn de bevindingen van de compliance officer over te nemen. Dat scheelt vaak veel gedoe en heel veel geld.