Intern Controleplan 2026

 

1. Aanleiding en doel

Het dagelijks bestuur gemeenschappelijke regeling Veiligheidsregio Zuid-Holland Zuid (VRZHZ) is verplicht, conform de art. 212 en 213 van de Gemeentewet en de financiële verordening, zorg te dragen voor de interne toetsing van de getrouwheid en informatieverstrekking en de rechtmatigheid van de beheershandelingen (lijnproces). Om hier invulling aan te geven wordt conform de geldende financiële verordening jaarlijks een Intern Controleplan (ICP) opgesteld.

 

Een goed opgezette interne controle is een belangrijke pijler waar de VRZHZ in het kader van Planning & Control op moet kunnen steunen. Niet alleen voor wat betreft het controleren en signaleren van tekortkomingen in de uitvoering, maar zeker ook in voor het bijsturen en het afleggen van verantwoording. De uitkomsten van de interne controle vormen tevens een basis waarop de VRZHZ haar lerend vermogen kan vergroten en ontwikkelingen in administratieve organisatie en de interne beheersing verder vorm kan geven.

 

Interne controle richt zich primair op het verkrijgen van zekerheid over de betrouwbaarheid en rechtmatigheid van de financiële informatie en over de naleving van relevante wet- en regelgeving, (beleids)richtlijnen en procedures. Daarnaast heeft interne controle als doel om onvolkomenheden in de uitvoering tijdig op te sporen en te corrigeren. Tevens biedt interne controle de gelegenheid om preventieve maatregelen te nemen ter voorkoming van toekomstige onvolkomenheden. De informatie uit de interne controles plus de inbedding van de interne controlemaatregelen in de organisatie helpen om de kwaliteit van de bedrijfsvoering in alle opzichten te verbeteren.

 

Dit Intern Controleplan (ICP) 2026 beschrijft de wijze waarop de VRZHZ in 2026 haar verbijzonderde interne controle (VIC) organiseert, uitvoert en borgt. Het plan bouwt voort op het ICP 2025 en verwerkt alle relevante bevindingen uit de Managementletter 2025. Het vormt de basis onder de rechtmatigheidsverantwoording 2026 en de toezichtrelatie met accountant en algemeen bestuur.

2. Kaders en normenkader

Het ICP 2026 sluit aan op het BBV, het BADO en de Kadernota Rechtmatigheid (wijzigingen van toepassing vanaf verslagjaar 2025), waarbij de verantwoordingsgrens binnen 0–2% van de totale lasten exclusief toevoegingen aan reserves valt. De rapporteringstolerantie van de accountant blijft € 50.000 (conform controleprotocol), tenzij het controleprotocol 2026 anders bepaalt.

Het plan integreert tevens de eisen voor: (a) begrotingscriterium (voor- en najaarswijzigingen en nulproef), (b) naleving aanbestedingswet en interne inkoopkaders, (c) SiSa-bijlage en indicatoren, en (d) WNT/Wet DBA.

3. Organisatie van de Interne Controle

2.1 Three lines of defence model

Het three lines of defence model is een veel gebruikte methode om aantoonbaar in control te zijn en om inzichtelijk te maken dat de belangrijkste risico’s goed beheerst worden. De inrichting van het three lines of defence model verschilt per type organisatie en hangt vooral af van de grootte en complexiteit. Binnen de VRZHZ is de hieronder weergegeven inrichting van toepassing.

 

Figuur 1

 

2.2 Samenhang interne en externe controle (accountant)

Hoewel interne controle wordt uitgevoerd dóór de organisatie vóór de organisatie is een doelstelling van het intern controleplan toch ook de maximale aansluiting te zoeken tussen de uitgevoerde interne controle werkzaamheden en de door de accountant te verrichten (externe) werkzaamheden.

 

De accountant toetst jaarlijks de kwaliteit van de opzet, het bestaan en de werking van de belangrijkste interne controle maatregelen voor alle significante financiële processen. In de regel geldt dat hoe meer er door de accountant gesteund kan worden op een goed werkend proces, hoe minder er gegevensgericht hoeft te worden gecontroleerd. Dit vereenvoudigt en verkort uiteindelijk het proces van de controle door de accountant.

2.3 Rollen en verantwoordelijkheden

Algemeen bestuur

Op basis van de Gemeentewet en de vertaling daarvan in de verordening 212 (financieel beheer) is het dagelijks bestuur van de VRZHZ verantwoordelijk voor de getrouwheid en rechtmatigheid van de jaarrekening, en het daaraan ten grondslag liggende (financiële) beheer. Het dagelijks bestuur legt in de jaarrekening verantwoording af over de rechtmatigheid (rechtmatigheidsverantwoording) aan het algemeen bestuur. Het dagelijks bestuur dient zodanige maatregelen te treffen dat de rechtmatigheid van de algehele uitvoering gewaarborgd is. Eén van die maatregelen is opstellen van een intern controle plan.

 

Three lines model

De eerste lijn borgt procesbeheersing en voert lijncontroles uit. De tweede lijn (Control/HR/Financiën/I&A/Inkoop) voert interne controles uit en monitort de werking van maatregelen. De derde lijn (VIC) toetst onafhankelijk, gericht op rechtmatigheid, risicobeheersing en informatiebeveiliging. De concerncontroller coördineert de uitvoering van dit plan en is contactpersoon voor de accountant.

 

Accountant

De accountant dient zijn (interim) controle zodanig te plannen en uit te voeren dat een redelijke mate van zekerheid wordt verkregen dat de jaarrekening geen afwijkingen van materieel belang bevat. De werkzaamheden die de accountant voor de controle uitvoert zijn afhankelijk van de risico-inschattingen die hij maakt ten aanzien van de interne beheersing van de VRZHZ en de effectiviteit daarvan. Hoe beter de interne beheersing op orde is, hoe meer de accountant hierop kan steunen en des te efficiënter kan hij zijn controlewerkzaamheden uitvoeren.

3. Toetsingskader rechtmatigheid 2026

Het toetsingskader omvat:

  • Koppeling tussen jaarrekeningposten/transactiestromen en normenkader (BBV/BADO, financiële verordening, aanbestedingsbeleid).

  • Begrotingscriterium: zichtbare aansluiting jaarrekening ↔ primaire begroting en begroting na wijzigingen (nulproef).

  • SiSa-bijlage: zichtbare onderbouwing, aansluitingen op grootboek/subadministraties en invulwijzer; dossiervorming per regeling.

  • Inkoop en rechtmatigheid: spendanalyse 2026, inkoopstartformulier, contractenregister en prestatieverklaring bij facturen.

  • WNT: interne toets op bezoldigingsmaxima en openbaarmaking (incl. waarnemers) en dossiervorming.

  • DBA/inhuur: toets uurtarief/maandplafond, gezagsverhouding/inbedding en aanbestedingsroute.

4. Management Letter 2025

In de management letter 2025 ziet de accountant een aantal hoofdpunten op het gebied van de interne beheersing waarop de VRZHZ zich verder zou kunnen professionaliseren.

 

  • de VRZHZ kan het three lines of defense model verder implementeren en verbeteren. Maak hier een concreet plan van aanpak voor;

  • versterking van het interne controleplan door vooraf een goede risico-inschatting per proces te maken;

  • een hoger niveau van de procesbeschrijvingen en lijncontroles door zichtbare documentatie en verder uitwerken beheersmaatregelen;

  • Verbetering van de frauderisicoanalyse is het afgelopen jaar geactualiseerd. Er zijn nog enkele aanvullende verbeterpunten.

5. Risicoanalyse 2026 (bron: Managementletter 2025)

De risicogebieden met verhoogde aandacht in 2026 zijn (samenvatting):

  • Salarisadministratie: datakwaliteit en betrouwbaarheid basisgegevens/percentages; tussentijdse aansluiting FA–HRM; beperken handmatige mutaties en digitaliseren uitzonderingen.

  • Voorzieningen: groot onderhoud gebouwen (dotatie toereikend), groot onderhoud schuimblusvoertuigen (nieuwe vloot, levering uitgesteld), RVU en verlofsparen (actualiseren).

  • Inkoop en rechtmatigheid: afronden spendanalyse 2026 met zichtbare conclusies per crediteur/opdracht; preventieve borging prestatieverklaringen; volledigheid aanbestedingskalender en contractenregister.

  • IT & informatiebeveiliging: BIO-volwassenheid naar niveau 3; opvolging pentestbevindingen; periodieke autorisatiereviews en verdere professionalisering applicatielandschap; voorbereiding NIS2/Cyberbeveiligingswet.

  • SiSa: juiste en volledige invulling indicatoren en tijdige oplevering inclusief aansluitingen.

  • Follow-up eerdere bevindingen: batchbetalingen (controlegetal); crediteurenstamgegevens (functiescheiding of compenserende maatregelen); vrijwilligersvergoedingen (betrouwbare primaire registratie); overlopende posten.

6. Scope en planning VIC 2026

De VIC-werkzaamheden richten zich risicogericht op de processen uit de IC-matrix (zie Bijlage 1). De tweede lijn voert gerichte interne controles uit op hoge-risico onderdelen. De derde lijn voert deelwaarnemingen uit conform materialiteit en tolerantie.

 

Periode

Kernactiviteiten

Op te leveren producten

Q2 2026

Risicoherijking; opzetten werkprogramma’s; start 1e/2e lijn; salarisdata-baseline; spendanalyse ontwerp

Werkprogramma’s; baselinecontroles; plan spendanalyse

Q2 2026

Uitvoering VIC-ronde 1; tussentijdse aansluiting FA–HRM; autorisatiereview; voortgang pentest-opvolging

Controleverslagen Ronde 1; tussentijdse aansluitingen; autorisatiereview-rapport

Q3 2026

Uitvoering VIC-ronde 2; voorzieningen-position papers (concept); SiSa-voorbereiding; frauderisico-update

Controleverslagen Ronde 2; concept position papers; geactualiseerde FRA

Q4 2026 - Q1 2027

Afronding spendanalyse; nulproef begrotingscriterium; balansdossier; MARAP met verbeteracties; managementletter follow-up

Definitieve spendanalyse; nulproef; balansdossier; rapport interne beheersing

7. Processen en interne controles (koppeling naar IC-matrix)

De gedetailleerde processen, normenkaders, key controls, eigenaarschap en frequenties zijn uitgewerkt in de IC‑matrix (Excel) “IC-plan 23022026 (1).xlsx”. Dit ICP verwijst naar die matrix als leidend overzicht. Aanpassingen in 2026 worden geversioneerd en in de MARAP gemeld.

8. Informatiebeveiliging en IT (BIO/NIS2)

Beoogd volwassenheidsniveau BIO: ≥ 3. Acties 2026: ISMS-selectie/implementatie (na BIO 2.0 nulmeting); periodieke RBAC-reviews (AFAS en keten); opvolging resterende pentestbevindingen; professionaliseren applicatielandschap (koppelingen, eigenaarschap, gegevensstromen); voorbereiding op de Cyberbeveiligingswet (implementatie NIS2, voorzien Q2 2026).

9. Frauderisicoanalyse 2026

De FRA wordt geactualiseerd en op het juiste niveau geagendeerd (AB/DB). Maatregelen worden uitgewerkt volgens de 6W‑methodiek en zichtbaar getoetst. Specifieke thema’s: tankpasgebruik/rittenregistratie, handmatige betalingen, vrijwilligersvergoedingen, inkoopcorruptierisico’s en functiescheiding in de financiële keten.

10. Rapportage en verantwoording

Per VIC‑ronde wordt een kort controleverslag per proces opgesteld en besproken met de proceseigenaar. De voortgang op verbeteracties wordt tweemaal per jaar gerapporteerd in de MARAP en geborgd in het verbeteractieregister. Voor voorzieningen worden position papers opgesteld (met uitgangspunten, schattingsonzekerheden, back‑testing). Voor de jaarrekening 2026 wordt de nulproef uitgevoerd en worden zichtbare aansluitingen vastgelegd (jaarrekening ↔ FA ↔ subadmin ↔ begroting).

11. Verbeteracties 2026 (samenvatting uit Managementletter 2025)

  • Salarisadministratie: extra datacontroles; periodieke FA–HRM aansluitingen (maandelijks/kwartaal); digitaliseren handmatige mutaties; jaarlijkse actualisatie procesbeschrijving lonen & salarissen (nieuw pakket).

  • Inkoop: prestatieverklaring verplicht vastleggen in systeem; volledigheid aanbestedingskalender; contractenregister periodiek actualiseren; spendanalyse uitbreiden met conclusiekolommen en contractwaarden.

  • Voorzieningen: doorrekenen dotatie groot onderhoud gebouwen; betrouwbare schatting schuimblusvoertuigen eindstand 31‑12‑2026; actualiseren RVU en verlofsparen.

  • IT/IB: periodieke rechten- en rollenreview (AFAS e.a.); ISMS-traject; opvolging pentest; r apporteren BIO-toprisico’s.

  • SiSa: tijdige en volledige oplevering regelingen inclusief aansluitingen en dossiervorming.

  • Financiële keten: controle controlegetal batchbetalingen vastleggen in FA; compenserende maatregelen bij crediteurenstamgegevens; interne controle op overlopende posten en administratieve afgrenzing.

Bijlage

 

Jaarrekeningpost / Transactiestroom

Specificatie

Balanspost

Primair normenkader

Korte toelichting

Bron(nen)

Key control

Eigenaar

Frequentie/periode

1e lijn

2e lijn

3e lijn

Personeelslasten (loondienst)

 

n.v.t.

BBV (presentatie lasten); WNT (bezoldiging & openbaarmaking)

Publiceer en toets bezoldiging topfunctionarissen; jaarmaximum en ontslagvergoedingen. Max. uurtarief is €235 excl. Btw.

Rijksoverheid WNT; Topinkomens.nl

WNT-controlelijst (maxima, openbaarmaking)

HR / Financiën

 

 

 

 

 

Toepassing juiste inhoudingspercentages

 

 

 

 

Jaarlijkse update van loonheffingstabellen, pensioen- en premietarieven door Payroll, met 4-ogencontrole en vastlegging (checklist/attest).

 

januari

Salarisadministratie

HRM

VIC

 

Maandelijkse salarisbetaling

 

 

 

 

detailcontrole op afwijkingen met parafering bij post, aansluiting totalen aantallen en bedragen, 4-ogen goedkeuring op SEPA-bestand én bankbetaling (rollen: opsteller/fiatteur).

 

maandelijks

Salarisadministratie

HRM

VIC

 

Aansluiting LJP

 

 

 

 

Maandelijkse aansluiting loonjournaalpost (LJP) op grootboek (kosten, inhoudingen, reserveringen) met analyse van verschillen.

 

maandelijks

Financiële adm.

Financieel adviseur

VIC

 

Verlofsaldi

 

 

 

 

Kwartaalrapportage verlofsaldi uit tijdregistratiesysteem; negatieve en hoge saldi (≥ drempel) worden door leidinggevenden gemotiveerd. Daarnaast wordt gekeken of aanvragen zijn gedaan voor het verlof ingegaan is.

 

kwartaal

Direct lg.

HRM

VIC

 

Verlof 24-uurs dienst

 

 

 

 

Steekproefcontrole berekening (dienstlengte, onregelmatigheid, weekend/feestdag) door HR/Financiën per kwartaal.

 

kwartaal

Direct lg.

HRM

VIC

 

Vrijwilligersvergoedingen

 

 

 

 

Kwartaalcheck op registratie VP tot en met loonjournaalpost

 

maandelijks

Ondersteuner

HRM

VIC

 

Indienst- uitdienst

 

 

 

 

• 4-ogencontrole op HR-stamdata (NAW, IBAN, schaal/trede, FTE, toeslagen) tegen getekend contract/besluit.

• VOG/kwalificatiecheck waar vereist; onboard-/offboard-checklist (autorisaties, materialen) met parafen.

• Uitdienst: einddatum en verlofafrekening tijdig verwerkt; verificatie op doorbetaling na uitdienst (exceptierapport).

 

on-going

Direct lg.

HRM

VIC

 

Reiskosten

 

 

 

 

Beleidstoets: vaste/variabele reiskosten conform beleid en fiscale regels; 4-ogencontrole op maandrapport.

 

maandelijks

Direct lg.

HRM

VIC

 

Declaraties

 

 

 

 

Verplichte leidinggevende goedkeuring in systeem + bonnen/facturen; drempelbedragen en verplichte velden geborgd.

 

maandelijks

Direct lg.

HRM

VIC

 

Studiekosten

 

 

 

 

Opleidingsaanvraag met voorafgaande goedkeuring (leidinggevende/budgethouder en HRM) en opleidings- of terugbetalingsregeling.

 

on-going

Direct lg.

HRM

VIC

 

Gratificaties

 

 

 

 

Er is momenteel geen beleid om te toetsen.

 

maandelijks

Direct lg.

HRM

VIC

 

Piketvergoedingen

 

 

 

 

Steekproefberekening per maand: juiste tarieven/dagen/uren, cumulatie met ORT.

 

maandelijks

Salarisadministratie

Hoofd HRM

VIC

Externe inhuur / interimmers

 

n.v.t.

WNT (interim-normen 12 mnd; uurtarief);

Wet DBA; Aanbestedingswet 2012 (drempels); BBV

Toets maandplafonds en uurtarief; verantwoording van periode/uren in jaarverslag. Max. uurtarief is €235 excl. Btw.

DBA-praktijktoets (inbedding/gezag); procedurekeuze vs EU-drempels.

Stcrt 2023-22028; Topinkomens.nl

KVK DBA 2025; PIANOo drempels 2024-2025

Fiscaal getoetste modelovereenkomst vanuit de VRZHZ.

HR / Inkoop/ Juridisch

on-going

Lg

HRM

VIC

Goederen & diensten (overig)

Facturen

n.v.t.

Aanbestedingswet 2012 (procedures/drempels)

Raming, proportionaliteit, samenvoegen/splitsen; dossiervorming.

PIANOo; Europa Decentraal, Nota waarderen en afschrijven 2026 VRZHZ

Bewijs van levering

Inkoop/ Financiën

on-going

Besteller en budgethouder

Financiën

VIC

 

Inkopen

 

Inkoopbeleid

Check op inkoopbeleid, EU aanbestedingswet

Spendanalyse, inkoopstartformulier, afwijking

inkoopstartformulier, EU-aanbestedingswet

Inkoop

on-going

Besteller en budgethouder

Inkoop

VIC

Specifieke uitkeringen (BDUR/overige)

 

n.v.t.

SiSa (Regeling infoverstrekking); JenV/Financiën

SiSa-bijlage op maat + TFO; koppeling beschikkingen en grootboek.

Rijksoverheid SiSa 2024; RVO Invulwijzer 2024; JenV BDUR

SiSa-dossier (beschikkingen, indicatoren)

Financiën / Programma’s

on-going

Budgethouder

Financieel adviseur

VIC

Materiële vaste activa (investeringen)

 

Activa (MVA)

BBV art. 59-65; WAAVA/ activanota; Notitie MVA

Activeren verplicht; waardering tegen verkrijgings-/vervaardigingsprijs; componenten/afschrijving.

Nota waarderen en afschrijven 2026 VRZHZ

Investeringsbesluit; activatie & afschrijvingstabel

Projectcontrol / Financiën

on-going

Financiën

Financieel adviseur

VIC

Immateriële vaste activa (software e.d.)

 

Activa (IVA)

BBV; lokale WAAVA

Alleen toegestane posten; afschrijving conform beleid.

Nota waarderen en afschrijven 2026 VRZHZ

Investeringsbesluit; activatie & afschrijvingstabel

ICT / Financiën

on-going

Financiën

Financieel adviseur

VIC

Reserves & voorzieningen

 

Eigen vermogen / Voorzieningen

BBV art. 43-45; Financiële verordening VRZHZ artikel 12, lid 1

Vorming/besteding onderbouwen; link met weerstandsvermogen en risico’s.

Rijksoverheid BBV; Financiële verordening VRZHZ

AB-besluit

Financiën

kwartaal

Financiën

Financieel adviseur

VIC

Financiering & treasury (rente/leningen)

 

Leningen / liquide middelen

Wet fido; Uitvoeringsregeling fido; Handreiking Treasury; BBV

Bereken kasgeldlimiet (GR: 8,2%) en renterisiconorm (20%); schatkistbankieren/derivaten conform statuut.

Uitvoeringsregeling fido art.2; Fidoc/Handreiking Treasury, Treasurystatuut 2023 VRZHZ

Treasury-beleid

Treasurer / Financiën

on-going

Financiën

Financieel adviseur

VIC

Bijdragen deelnemende gemeenten

 

n.v.t.

Wvr/Wgr; BBV, GR VRZHZ art. 29

Presentatie in baten; systematiek conform GR en begroting; transparantie naar deelnemers.

GR VRZHZ art. 29

Aansluitingen bijdragebeschikking → grootboek

Financiën

kwartaal

Financiën

Financieel adviseur

VIC

Lasten excl. Mutatie reserves

 

n.v.t.

BBV; Financiële verordening VRZHZ hfdst. 3

Eigen rechtmatigheidsverantwoording; fouten/ onzekerheden (SiSa/inkoop/ WNT/ DBA).

Rijksoverheid BBV; VRZHZ Financiële verordening hfdst. 3 Kadernota Rechtmatigheid

Rechtmatigheidsmatrix + managementletter opvolging

Concerncontrol

kwartaal

Financiën

Financieel adviseur

VIC

Duurzame goederen en dienst (Baten)

 

n.v.t.

BBV; Financiële verordening VRZHZ

Volledigheid van verkoopopbrengsten van desinvesteringen

Nota waarderen en afschrijven 2026 VRZHZ

Volledigheid van opbrengsten

OPV

kwartaal

OPV

Financieel adviseur

VIC

Onderhoud derden

 

n.v.t.

BBV

Volledigheid van opbrengsten

DVO's

Volledigheid van opbrengsten

M&L

kwartaal

M&L medewerker

Financieel adviseur

VIC

Voorziening groot onderhoud

Meerjaren Onderhouds Plan

(Vaste) Passiva

BBV art. 44; Financiële verordening VRZHZ, nota Reserves en voorzieningen VRZHZ 2023

Vorming en besteding voorziening op basis MOP; dotatie verplicht en onderbouwd.

BBV; MJOP 2026

Controle dotatie/besteding vs MJOP en onderbouwing.

Huisvesting

kwartaal

Gebouwen beheerder

Financieel adviseur

VIC

Overig

 

 

 

 

 

 

 

 

 

 

 

Informatieveiligheid

 

n.v.t.

AVG; BIO (Baseline Informatiebeveiliging Overheid)

Toetsing op naleving AVG en BIO; periodieke controle op beveiligingsmaatregelen

AVG; BIO 2024

IB-controlelijst; DPIA-updates

I&A

kwartaal

Hoofd I&A

CISO

VIC

autorisatiestructuur

 

n.v.t.

AVG; BIO; Functiescheiding ICF

Controle op juiste autorisaties, functiescheiding, periodieke review accounts

Autorisatiematrix; BIO

Autorisatiereview; logging & monitoring

I&A

kwartaal

Hoofd I&A

CISO

VIC

rittenregistratie

 

n.v.t.

Fiscale regels rittenregistratie; interne richtlijnen M&L

Controle op volledigheid en juistheid rittenregistraties

Belastingdienst regels rittenregistratie

Maandelijkse controle rittenadministratie met tankbeurten

M&L

kwartaal

M&L

Hoofd M&L

VIC

 

Naar boven