52006DC0279

[pic] | COMMISSION DES COMMUNAUTÉS EUROPÉENNES |

Bruxelles, le 7.6.2006

COM(2006) 279 final

COMMUNICATION DE LA COMMISSION AU CONSEIL ET AU PARLEMENT EUROPÉEN

Rapport annuel à l'autorité de décharge concernant les audits internes réalisés en 2005

(Article 86, paragraphe 4, du règlement financier){SEC(2006) 725}

TABLE DES MATIÈRES

1. Introduction 3

2. Environnement et programme de travailde l'IAS 3

2.1. Environnement de travail 3

2.2. Développements en matière d'audit interne 4

2.3. Mise en oeuvre du programme de travail de l'IAS 4

2.4. Acceptation du travail d'audit interne 7

3. Constatations 7

3.1. L'environnement externe 8

3.2. Planification, processus et systèmes 9

3.3. Organisation et personnel 11

3.4. Légalité et régularité 12

4. Conclusions 13

1. INTRODUCTION

L'audit interne est un service fournissant une assurance et des conseils professionnels, objectifs et indépendants au sein d'une organisation. Il vise à aider l'organisation à mieux atteindre ses objectifs, par une amélioration constante de son fonctionnement.

Ce rapport informe l'autorité de décharge des travaux menés par le Service d'Audit Interne (IAS) en 2005, conformément à l'article 86, paragraphe 4, du règlement financier (RF). Il est basé sur le rapport de l'IAS sur ses principales constatations d’audit, en vertu de l'article 86, paragraphe 3, du règlement financier et, conformément aux normes régissant la profession, «sur les risques importants, le contrôle et sur le gouvernement d'entreprise…»[1]. Le présent rapport s’appuie sur le travail d’audit et les activités de consultation effectués par l'IAS en 2005. Il se base également sur les travaux des structures d'audit interne des DG (IACs), à travers les rapports semestriels établis par l'IAS. Il ne couvre pas le travail d’audit de l'IAS pour les agences communautaires[2].

La réponse de la Commission figure dans le rapport de synthèse sur les rapports annuels d'activité des directeurs généraux. Dans ce rapport de synthèse, adopté en même temps, la Commission prend position sur les questions horizontales soulevées par l'Auditeur interne, la Cour des Comptes Européennes, l'autorité de décharge, ou identifiées par le Comité de suivi des audits ou le directeur général de la DG Budget dans son rapport global.

Par conséquent, certaines vues ou opinions exprimées dans le présent rapport peuvent ne pas être entièrement partagées par la Commission. Cette divergence de vues reflète le processus normal de dialogue entre l'institution et son auditeur interne.

2. ENVIRONNEMENT ET PROGRAMME DE TRAVAIL DE L'IAS

Le travail d'audit interne à la Commission s’inscrit dans un environnement en évolution rapide; les changements survenus dans les systèmes de gestion et de contrôle de la Commission au cours de l’exercice 2005 reflétaient également certaines des conclusions tirées par l’Auditeur interne dans son rapport pour 2004.

2.1. Environnement de travail

La mise en oeuvre du nouveau système comptable constitue un progrès important pour la Commission, ses services et ses organes de contrôle[3]. Le projet de signature des comptes par le comptable comble une lacune importante en matière de responsabilité. Le comptable doit être clairement habilité à s’acquitter de cette responsabilité, et notamment à effectuer des contrôles de vraisemblance (sans mettre en question la responsabilité première des ordonnateurs pour ce qui concerne les opérations). La Commission crée actuellement les premières agences exécutives auxquelles seront confiées des tâches d’exécution de programmes. Cette création vise à réduire les coûts et les risques de contrôle liés aux approches antérieures en matière d'externalisation, ainsi qu’à accroître la spécialisation. Pour l'IAS, une attention particulière devrait être accordée à la complexité des modalités de délégation et de supervision, ainsi qu’aux difficultés de gestion, telles que: obligations administratives, recrutement, formation, etc. Le partage des compétences d’ordonnateur rend le rôle de l'audit interne particulièrement complexe.

La gestion des risques devrait être fermement intégrée dans le cycle de planification, de reporting et d’affectation des ressources de la Commission[4]. Des DG, la mise en œuvre devra s’étendre comme prévu à l’évaluation et à la gestion des risques par familles de services et, selon l'IAS, à la Commission dans son ensemble. L'IAS considère qu'une participation pleine et entière des commissaires à l’évaluation des risques politiques permettrait une meilleure gestion globale des risques et améliorerait par conséquent la planification, l'affectation des ressources et la réalisation des objectifs politiques.

Le débat interinstitutionnel sur la feuille de route pour un cadre de contrôle interne intégré se concentre sur la question centrale de l’obligation de rendre compte et de l'assurance. Pour la Commission, il est important de pouvoir couvrir sa responsabilité politique au moyen des assurances fournies par ses propres services et par ses partenaires dans l’exécution du budget, notamment les États membres. Sur le plan interne, les déclarations d'assurance des directeurs généraux déjà en place ont fait la preuve de leur grande utilité, mais l'IAS considère que les questions relatives aux processus horizontaux et à la cohérence entre DG requièrent également d’être abordées.

2.2. Développements en matière d'audit interne

Au début de 2005, l'IAS a revu son dispositif d’assurance qualité et créé une cellule spécialisée qui procède à un examen systématique de la qualité du travail d’audit, depuis la planification des engagements jusqu’au rapport final. Des normes communes de reporting, portant notamment sur l'évaluation des recommandations d’audit, ont été convenues avec les structures d'audit interne (IAC), ce qui accroît la comparabilité des constatations des audits.

L'examen de qualité des structures d’audit interne, lancé parallèlement aux autoévaluations en 2005, sera finalisé par la validation des évaluations par l'IAS en 2006. Cet exercice, réalisé conformément aux normes professionnelles, vise non seulement à garantir la disponibilité de services d'audit interne de qualité dans les directions générales, mais aussi à fixer une base objective sur laquelle pourront s'appuyer les travaux d'audit interne effectués à d'autres niveaux.

En général, la coopération entre l'IAS et les structures d’audit interne a connu une évolution positive tout au long de 2005 (prenant la forme, par exemple, d’audits conjoints). La coordination des plans d’audit relatifs au système comptable et les efforts de formation conjoints illustrent la réalité de la relation de travail avec la Cour des Comptes européenne (CCE).

2.3. Mise en oeuvre du programme de travail de l'IAS

Le programme de travail 2005 de l'IAS, fondé sur son plan stratégique pour 2004-2006, a été affiné après les travaux d’audit relatifs à l’exercice 2004, en concertation étroite avec les parties intéressées (comité de suivi des audits, services horizontaux, directeurs généraux, structures d’audit interne et coordinateurs de contrôle interne) et après un échange de vues avec la CCE. Il a été approuvé par le comité de suivi des audits à la fin 2004.

La mise en oeuvre du programme de travail a été satisfaisante, avec un taux de réalisation de 90 %: 36 rapports d’audit (18 rapports d’audit et 8 rapports de suivi d’audit concernant la Commission et 10 rapports d’audit concernant les agences) ont été finalisés en 2005 et les audits restants au début 2006. Des informations détaillées sur les audits de la Commission sont fournies en annexe.

Les retards s’expliquent principalement par les difficultés rencontrées dans la phase de finalisation. L'IAS estime donc qu’il convient clairement de réduire le temps nécessaire à la conclusion des audits. Pour sa part, il prévoit d'abréger encore les rapports d’audit et d’en clarifier le langage.

Missions de l'IAS finalisées en 2005:

Service | Mission | Rapport |

Systèmes administratifs transversaux et autres systèmes d'appui |

OIB | Opérations | Février 2005 |

BUDG | Suivi | Juillet 2005 |

SG et al. | Examen de la mise en œuvre de la législation européenne | Juillet 2005 |

BUDG/SG | Examen du cycle gestion par activités/planication stratégique et programmation | Octobre 2005 |

DIGIT, ADMIN, BUDG, SG, TREN, COMP, ECFIN | Systèmes d’information et de communication au niveau consolidé | Novembre 2005 |

DIGIT | Suivi | Novembre 2005 |

Politiques internes |

ESTAT | Taskforce Suivi | Mars 2005 |

ECFIN | Contrôle des systèmes informatiques locaux (contrôle conjoint IAS/IAC) | Avril 2005 |

TREN | Contrôle des systèmes informatiques locaux | Mai 2005 |

TREN | Gestion financière | Juillet 2005 |

ESTAT | Gestion financière / Suivi | Octobre 2005 |

RTD | Gestion financière | Octobre 2005 |

SANCO | Gestion financière | Novembre 2005 |

INFSO | Suivi | Décembre 2005 |

MARKT | Gestion financière | Décembre 2005 |

PRESS | Suivi | Décembre 2005 |

EAC | Suivi | Décembre 2005 |

Mesures structurelles et politique agricole commune |

AGRI | Suivi | Mars 2005 |

FISH | Audit approfondi | Juin 2005 |

EMPL | Fonds structurels (contrôles ex-post) | Octobre 2005 |

FISH | Fonds structurels (contrôles ex-post) | Novembre 2005 |

AGRI | Fonds structurels (contrôles ex-post) | Décembre 2005 |

Politiques extérieures |

ELARG | Suivi | Janvier 2005 |

RELEX | Systèmes d’information et de communication | Juillet 2005 |

AIDCO | ONG | Juillet 2005 |

ECHO | ONG | Octobre 2005 |

Suivi

Le logiciel de gestion des audits utilisé par les auditeurs internes à la Commission comprend à présent un mécanisme de suivi, alimenté par les entités auditées, qui permet à l’encadrement, aux auditeurs et au comité de suivi des audits de suivre directement les progrès de la mise en œuvre des recommandations d’audit. L'IAS contrôle régulièrement la rapidité et la mesure de la mise en œuvre de ces recommandations par les entités auditées, afin de pouvoir informer dûment le comité de suivi des audits et alimenter sa propre analyse de risque. En mars 2006, l'IAS a présenté au comité de suivi des audits son premier rapport général sur les suites données à ses recommandations.

Si le niveau d'acceptation des recommandations par les DG est excellent, la mise en œuvre des plans d'action souffre parfois des retards considérables, qui appellent une attention particulière de l’encadrement. Plus de la moitié des recommandations essentielles et environ 17 % des recommandations très importantes restant à mettre en œuvre accusent un retard supérieur à 12 mois par rapport à la date butoir initiale, selon les évaluations des entités auditées.

Ce fait pourrait témoigner d’une faiblesse générale dans la mise en œuvre des plans d'action[5]. Les motifs fournis par les DG ont trait à des réorganisations, à des problèmes de ressources, à des difficultés avec les fournisseurs externes de services, à l’absence de mandat et à la difficulté de coopérer avec d'autres DG. En produisant des rapports d’audit plus concis et mieux ciblés, l'IAS contribue à faciliter les tâches de mise en œuvre des entités auditées.

2.4. Acceptation du travail d'audit interne

En 2005, le degré d'acceptation des recommandations d’audit par les entités auditées a été très élevé: plus de 97 %[6].

Recommandations | Acceptées | Rejetées | Total | % |

Essentielles | 12 | 0 | 12 | 4,2 |

Très importantes | 122 | 2 | 124 | 43,5 |

Importantes | 129 | 4 | 133 | 46,7 |

Souhaitables | 16 | 0 | 16 | 5,6 |

Total | 279 | 6 | 285 |

% | 97,9 | 2,1 | 100 |

L'IAS sollicite régulièrement l'avis des entités auditées à la clôture d’un audit, notamment sur l'étendue et la conduite de celui-ci. Le résultat moyen de ces enquêtes atteint 1,82 sur une échelle de 1 (score maximum) à 4 (score minimum).

Une consultation élargie des parties intéressées (les DG, les directeurs ressources, les structures d’audit interne et le groupe préparatoire du comité de suivi des audits), tenue en 2005, a fait ressortir les éléments positifs suivants: clarté de la stratégie d’audit (79 %), honnêteté, objectivité et fidélité des audits (93 %) caractère approprié des techniques d’audit appliquées (75 %), mais l'IAS a également été invité à développer les synergies avec les structures d’audit interne, à améliorer sa compréhension des activités des entités auditées et sa communication en cours d’audit, ainsi qu’à émettre des recommandations moins nombreuses et plus ciblées; l'IAS n'a pas été perçu comme fournissant une image claire de la gouvernance et du contrôle interne.

3. CONSTATATIONS

Les constatations exposées ci-dessous reposent sur les audits effectués par l'IAS en 2005, sur d'autres activités d'audit interne (y compris les rapports de l'IAS sur les travaux des structures d’audit interne) et sur le jugement professionnel de l’auditeur. Elles sont sélectives, puisqu’elles reflètent l'objet d’audit retenu pour l'exercice, conformément au plan d’audit axé sur les risques pour la période 2004-2006, et évitent tout chevauchement avec les travaux de la CCE, dans l’optique d’un «audit unique». Les audits conduits par l'IAS à la Commission en 2005 ont porté sur les domaines clés suivants:

- gestion financière dans les politiques internes;

- gestion des Fonds structurels;

- gestion des systèmes informatiques locaux, compte tenu des travaux d’audit antérieurs dans le domaine informatique;

- sécurité de l’information;

- contrôle des fonds attribués aux organisations non gouvernementales (ONG);

- composantes clés du cycle de planification stratégique et de programmation (se poursuivra en 2006); et

- contrôle par la Commission de l’application du droit communautaire, base d’un travail d’audit approfondi en 2006.

Dans cet aperçu, les constatations sont classées selon la typologie des risques adoptée par la Commission en octobre 2005[7]. Étant donné les corrélations étroites existant entre les domaines de risques, les constatations d’audit concernent souvent plusieurs types de risques en même temps.

3.1. L'environnement externe

La Commission encourt un risque de délégation important pour ce qui concerne les politiques en gestion partagée: le traité lui attribue la responsabilité pleine et entière de l’exécution du budget[8], mais plus des trois quarts de celui-ci sont en fait versés aux bénéficiaires finaux par les organismes des États membres.

Pour pouvoir assumer cette responsabilité, autrement dit pour être en mesure de fournir une assurance raisonnable, la Commission doit elle-même obtenir une assurance raisonnable, pour les fonds en gestion partagée, quant à la régularité et à la légalité des opérations gérées par les États membres.

Obtention d’une assurance raisonnable

En vue de la période de programmation 2007-2013 des fonds structurels[9], l'IAS juge essentiel que les services concernés intensifient leurs efforts et tirent parti des meilleures pratiques pour obtenir des éléments de preuve suffisants à l’appui de leur déclaration d'assurance annuelle:

- saluant la stratégie d’audit commune convenue en 2005 par les DG de la famille des Fonds structurels, l'IAS a recommandé l’élaboration d’une stratégie propre à renforcer l’assurance sur la bonne gestion financière tirée des travaux d’audit et de vérification et souligné que ces travaux devaient aboutir à des opinions claires et précises propres à étayer l'assurance fournie au niveau des DG. Les services sont appelés à améliorer la qualité du processus d’audit sous-jacent et à harmoniser et mieux définir les exigences en matière de reporting interne et d'assurance (champ couvert par l’audit, taux d'erreur, constatations systémiques);

- l’introduction d’un plus grand nombre d’éléments d’«audit unique», comme l’exploitation des travaux des autres auditeurs et l'utilisation systématique des rapports de gestion des organismes nationaux, sous réserve d’un examen approprié, permet une utilisation plus efficace des ressources de contrôle, réduit le risque de duplication de ceux-ci et permet d’obtenir une meilleure vue d’ensemble de la chaîne des contrôles. À cet effet, des efforts accrus doivent être consentis pour harmoniser les stratégies d’audit ainsi que la planification et l'évaluation des risques avec les organismes nationaux, et pour mettre en place une méthode d’examen des travaux d’audit de ceux-ci. Selon l'IAS, le fait de convaincre les États membres de conclure des «contrats de confiance» offrirait un confort supplémentaire[10]. L'IAS recommande à la Commission de communiquer plus proactivement avec les États membres et, en particulier, de promouvoir les bonnes pratiques identifiées à tous les niveaux de la chaîne de contrôle;

- revenant à des préoccupations exprimées antérieurement quant à la disponibilité tardive des informations d’audit pour la période 2000-2006, l'IAS recommande une approche plus proactive et préventive pour la prochaine période. Les principales faiblesses détectées sur la période actuelle devraient être traitées à la faveur de la mise place des systèmes de contrôles concernant les nouveaux programmes.

Qualité de l’information sur l'assurance

L'Auditeur interne considère que le degré et le champ d'application (limitations) de l'assurance fournie devraient être correctement expliqués par les DG dans leurs rapports d'activité annuels (RAA). Les RAA devraient présenter clairement les montants totaux couverts par les audits et les montants à risque, ainsi que les critères appliqués pour déterminer le degré d'assurance obtenu.

3.2. Planification, processus et systèmes

Le programme de travail de l'IAS pour 2005 était nettement axé sur l’audit de la gestion financière ainsi que sur les systèmes de sécurité et d’information. Les autres domaines majeurs étaient la planification et la programmation, ainsi que le contrôle de l’application de la législation européenne.

En dépit de nettes améliorations, l'Auditeur interne considère que la Commission reste exposée au risque dans ces domaines, ce qui limite l'efficacité des opérations et l'assurance relative aux transactions. La qualité et le champ d'application des activités de supervision et de contrôle doivent être renforcés.

Supervision et efficacité des contrôles

L'obtention d’une assurance dans le domaine de la gestion partagée est complexe et les audits de la gestion financière montrent que la supervision continue aussi de poser problème dans certaines DG et entre celles-ci. L'IAS et les structures d’audit interne ont relevé des faiblesses dans l’application des standards de contrôle interne et du règlement financier. Cette observation vaut pour la conception et l’organisation des systèmes de contrôle: insuffisance des évaluations ex-ante, des analyses de risque et de la séparation des fonctions, notamment entre auditeurs et gestionnaires. Elle s’applique également à l’exactitude et à l’exhaustivité du contrôle des opérations, des données relatives aux projets et aux contrôles, ainsi que des documents étayant les procédures. Dans ces circonstances, l'Auditeur interne considère que la fourniture d’une assurance sur la légalité et la régularité des opérations est exposée à des risques considérables. L'IAS et les structures d’audit interne ont émis des recommandations détaillées à l’intention des services dans des secteurs tels que les flux de paiement, les marchés publics, les subventions, la gestion des contrats et les recouvrements, mais aussi la sécurité et les systèmes d’information.

Les audits de suivi ont fait apparaître des développements positifs dans les secteurs audités antérieurement, mais aussi des retards importants, avec les risques opérationnels, financiers et de réputation que cela entraîne. S’agissant d’Eurostat, il a été constaté dans ces mêmes audits qu’après un travail considérable, le niveau de risque a été ramené à un niveau comparable à celui d'autres services. Dans ce contexte, la question des comptes bancaires ouverts au nom de la Commission mais pas par le comptable doit être réglée et la DG Budget s'y est entretemps attelée.

Le contrôle des fonds alloués aux ONG au titre de l'aide au développement et de l’aide humanitaire a fait l’objet d’un audit ciblé de l'IAS. Les systèmes de gestion concernés sont complexes et varient selon le programme et le service gestionnaire. Les irrégularités impliquant des ONG ont attiré l'attention et suscité un certain nombre d'enquêtes, qui ont notamment concerné les pratiques en matière de marchés publics. L'IAS a relevé un certain nombre de bonnes pratiques, comme des efforts de communication plus réguliers et mieux ciblés sur la communauté des ONG et des efforts de simplification des procédures de candidature, en particulier dans le contexte des appels à propositions. Les recommandations émises ont trait à la nécessité de constituer, à l’échelle de la Commission, une base de connaissances communes sur les ONG, y compris une typologie de ces organisations, un échange des meilleures pratiques et des analyses de risque, ainsi qu’une coopération renforcée avec les États membres et les autres donateurs. Elles préconisent également de renforcer le suivi et l’évaluation continue des ONG, de porter une attention accrue au respect par celles-ci des règles concernant les marchés publics et de renforcer les capacités des partenaires, en vue d’améliorer la qualité des projets. Étant donné le large–degré d'acceptation par les entités auditées, EuropeAid a envisagé de réviser en partie son approche de la gestion des relations avec les ONG.

Planification - coordination et cohérence

Le processus de réforme engagé depuis 2000 a mis l'accent sur la responsabilité et l'indépendance de gestion des DG de la Commission. La Commission n’en reste pas moins un organisme unique, placé sous une autorité politique unique, pour lequel la coordination et la cohérence sont des facteurs clés de réussite, étant donné qu'elle s'efforce de réaliser des objectifs politiques.

Un examen des aspects horizontaux du cycle de planification stratégique et de programmation a conclu à la nécessité d'une traduction plus complète des priorités politiques et des engagements juridiques en processus coordonnés de planification et d’affectation des ressources. Les audits des processus opérationnels (contrôle de l’application de la législation, informatique) confirment l’insuffisance de la coordination et de la planification stratégique.

Le SG, avec d'autres services horizontaux et les réseaux concernés, a déjà commencé à évaluer l'efficacité du cycle de planification stratégique et de programmation. L'IAS procédera à une série d’audits dans les DG opérationnelles tout au long de 2006. Ceux-ci ont également une certaine incidence sur une question maintes fois abordée dans les rapports annuels d’audit interne, à savoir: la nécessité de mieux équilibrer les responsabilités au niveau central et local et de renforcer les fonctions horizontales à la Commission, afin d’assurer la cohérence et une surveillance adéquate (contrôle interne, gestion des risques, comptabilité, ressources humaines, systèmes d’information).

Contrôles et gouvernance informatiques

Un environnement informatique efficace est essentiel pour la Commission, étant donné son importance en tant que support politique et opérationnel; les ressources humaines, financières et physiques engagées sont considérables, comme le sont les possibles dépendances externes. L'IAS recommande de clarifier les rôles et les responsabilités des services horizontaux et opérationnels dans le domaine de l’informatique, par exemple pour ce qui concerne la sécurité, la continuité de l’activité, la planification, le développement et la gestion des systèmes d'information. Il lui paraît clairement nécessaire d’organiser un reporting central sur la situation des contrôles et des risques informatiques et de renforcer le rôle des services horizontaux au niveau des orientations stratégiques et de l'aide méthodologique.

Selon l'IAS, les aspects informatiques devraient être pleinement pris en compte dans les standards de contrôle interne et dans la gestion des risques (exemple: plans de rétablissement après sinistre) au niveau des DG comme de la Commission. Pour ce qui concerne l'infrastructure informatique, tout en prenant acte des améliorations importantes récemment apportées à la gouvernance informatique, l'IAS recommande d'exploiter tout le potentiel d’économies d'échelle; cela pourrait impliquer de redéfinir les rôles de l’informatique centrale et locale. Pour assurer une utilisation optimale des crédits administratifs et opérationnels, l'IAS recommande que l'affectation des ressources suive l'évolution de l'architecture informatique. Cela pourrait déboucher sur une facturation de ses services par l’informatique centrale. Un groupe de travail (BUDG/DIGIT) sur le financement de l’informatique centrale est en préparation.

3.3. Organisation et personnel

Le Service d’Audit Interne considère que le besoin de formation ciblée va devenir de plus en plus important. Si l’on veut que la Commission soit en mesure de prévenir et/ou de maîtriser les risques pouvant menacer ses systèmes ou ses opérations, il est nécessaire de clarifier les règles et les pratiques en matière de sécurité et de porter davantage attention aux dispositions visant à garantir la continuité de l’activité.

Formation et sensibilisation

En vertu des standards de contrôle interne de la Commission, une importance particulière est attachée à l’environnement de contrôle. Bien conçu et bien suivi, celui-ci est en effet synonyme de capacité d’action et de proactivité. Tout en garantissant le degré de contrôle nécessaire, il permet au personnel d’élaborer des solutions et des pratiques de travail souples, adaptées au contexte politique et à l’environnement de gestion.

Soulignant la nécessité d’une meilleure communication, les audits ont recommandé de renforcer l’accessibilité des informations nécessaires au sein des DG, via les bases de données les canaux de communication classiques et de fréquentes mises à jour. La formation est fondamentale lorsqu’il s’agit de réagir efficacement à de fréquents changements et, au regard de règles nouvelles souvent complexes, il convient de renforcer encore les efforts déployés en la matière. Dans presque tous les domaines, les audits ont recommandé de renforcer et de cibler davantage les actions de formation, notamment en ce qui concerne les procédures financières, les passations de marchés et l’audit.

Sécurité et continuité de l’activité

Dans un certain nombre d’audits, le Service d’Audit Interne et les structures d’audit interne relèvent un respect insuffisant des règles de la Commission relatives à la sécurité des bureaux, à la documentation et aux systèmes informatiques ou une application inadéquate des règles régissant l’accès aux informations sensibles et le contrôle de cet accès. Il est vrai que la coordination des questions de sécurité peut se révéler difficile, parce que les procédures sont complexes et font intervenir un grand nombre d’acteurs pouvant relever de différents services.

Le Service d’Audit Interne recommande d’améliorer les évaluations de sécurité et, aux fins de l’élaboration de stratégies de sécurité cohérentes, de mieux les corréler aux évaluations des risques. L’attribution de responsabilités claires en matière de sécurité dans les différents services, l’amélioration de l’expertise interne et une meilleure sensibilisation devraient simplifier et renforcer l’environnement de sécurité. Dans ce contexte, les questions de continuité de l’activité et de planification des mesures d’urgence jouent un rôle important, qui reste malheureusement sous-estimé. Le Service d’Audit Interne note cependant que la Commission renforce sa capacité de coordination et de gestion des crises (le système Argus en témoigne) et relève l’initiative du Secrétariat général concernant le plan de continuité de l’activité (Business Continuity Planning).

3.4. Légalité et régularité

Si l’on veut limiter l’exposition aux risques financiers, juridiques et de réputation, le respect des règles internes et externes est fondamental. Les cas de non-respect appellent une réaction rapide en termes de gestion. Cela suppose notamment d’améliorer la formation et la planification, de simplifier l’environnement réglementaire, dans la mesure du possible d’alléger les contraintes administratives et de faciliter le respect des règles.

Respect des règles

Les audits réalisés par le Service d’Audit Interne et les structures d’audit interne ont révélé des lacunes dans divers domaines (activités, passations de marchés, sécurité), au niveau des règles financières, opérationnelles ou contractuelles. Ces faiblesses peuvent s’expliquer par une communication interne défaillante, une documentation insuffisante des procédures ou un manque de formation ou de ressources dans certains domaines ou durant certaines phases de la période de programmation. Il se peut aussi que le personnel soit confronté à un trop grand nombre de règles, par ailleurs trop complexes.

L'IAS considère que les conséquences potentielles peuvent être considérables: en termes financiers, en cas d’une éventuelle perte de fonds ou d’une mauvaise gestion; en termes politiques, si les objectifs fixés ne sont pas ou sont insuffisamment atteints; en termes juridiques, en cas d’action en justice; en termes de réputation, en cas de dégradation de l’image publique de la Commission, notamment aux yeux de ses partenaires. Outre un renforcement et une amélioration de la formation, le Service d’Audit Interne recommande de revoir l’affectation du personnel et la planification (ce qui implique de recourir plus largement à l’analyse des risques) et de simplifier et de rationaliser les règles et la législation.

Clarté et cohérence – simplification

La question qui se pose parallèlement est celle de la cohérence à avoir dans l’application des règles – tant au sein de chaque DG qu’entre DG. Même si la demande de souplesse est légitime, du point de vue à la fois de l’administration et des bénéficiaires, cette souplesse ne doit pas compromettre la nécessaire stabilité des activités ni la garantie de l’égalité de traitement.

Le manque de documentation des procédures pointé du doigt par le Service d’Audit Interne et les structures d’audit interne dans un certain nombre d’audits est étroitement lié à cette question. Le fait de mieux documenter les procédures et de faciliter l’accès à cette documentation ne devrait pas constituer une contrainte bureaucratique, mais un instrument utile d’analyse des procédures (débouchant, le cas échéant, sur un réexamen de leur conception), de gestion des risques et de promotion de la mobilité.

S’il est vrai que les audits réalisés ont souligné la nécessité, pour la Commission, de mieux respecter les règles en vigueur et de les appliquer de façon plus cohérente, la simplification de ces règles demeure parallèlement un défi important. En 2006, le Service d’Audit Interne prêtera tout particulièrement attention à cette simplification, dont il fera un objectif d’audit spécifique dans le cadre de tous ses engagements.

4. CONCLUSIONS

Sur la base des travaux qu’il a effectués en 2005, l'Auditeur interne attire l'attention sur quatre conclusions générales. La réponse de la Commission figure dans le rapport de synthèse sur les rapports annuels d'activité des directeurs généraux.

Conclusion 1

Conclusion de l'IAS: les audits conduits en 2005 attestent des progrès considérables accomplis par les services de la Commission en matière de contrôle interne. Toutefois, ils révèlent aussi que la conception et la mise en œuvre des systèmes de contrôle, aussi bien que l’application des standards de contrôle et la réalisation des contrôles eux-mêmes, pâtissent toujours de faiblesses majeures. Les carences concernent notamment la mise en place des circuits financiers, la séparation des fonctions, l’analyse des risques, la supervision de la gestion des contrats et des subventions et le respect des exigences de contrôle et de documentation fixées en la matière, la sécurité des informations, la continuité de l’activité et la gestion et la planification informatiques.

Les services de la Commission devraient poursuivre leurs efforts afin de passer d’un respect formel des procédures à une mise en œuvre effective des nouveaux outils et contrôles, qui seront à terme synonymes de réduction des coûts (administratifs) et de plus grande efficacité de la gestion.

Réponse de la Commission: La Commission va développer des indicateurs pour les objectifs de contrôle, en particulier la façon dont les systèmes de contrôle interne traitent le risque relatif à la légalité et la régularité des opérations. Le reporting sur l'efficacité du contrôle interne sera renforcé dans les rapports annuels d'activité lorsque c'est nécessaire. La Commission invite également le Parlement Européen et le Conseil à soutenir les efforts d'adaptation du cadre juridique afin d'assurer l'application effective des principes de proportionnalité et de coût-efficacité des contrôles.

Conclusion 2

Conclusion de l'IAS: les directeurs généraux devraient veiller à ce que les contrôles réalisés étayent effectivement l’assurance raisonnable donnée dans les rapports d’activité annuels. Ces contrôles, ainsi que la portée et le niveau de l’assurance donnée, devraient explicitement figurer dans les rapports d’activité annuels. Ceci pourrait inclure les éléments suivants:

- amélioration et harmonisation des méthodes de contrôle/d’audit par «famille» de DG;

- intégration des différents niveaux d’assurance (États membres, Commission…) dans un cadre cohérent, en vue d’un reporting intégré avec des indications claires quant au niveau d’assurance obtenu.

Réponse de la Commission: la Commission va s'assurer que les ordonnateurs délégués continuent leurs efforts afin de garantir que l'assurance raisonnable contenue dans leur déclaration accompagnant leur rapport annuel d'activités s'appuie effectivement sur des systèmes appropriés de contrôle interne. En ce qui concerne la gestion partagée, la Commission va continuer à travailler au renforcement de l'assurance donnée par les autorités nationales gérant les fonds européens. La Commission est déterminée à mettre en place un cadre de contrôle interne intégré.

Conclusion 3

Conclusion de l'IAS: sous la conduite du Secrétaire général, les directeurs généraux devraient étudier la possibilité d’un 'partage' de certains services, en vue de renforcer l’efficience et l’efficacité de leur gestion et de rationaliser l’utilisation des ressources. Il pourrait s'agir de:

- revoir la distribution de certaines tâches et l’utilisation des ressources au niveau horizontal et au niveau opérationnel;

- tester et, en cas de résultat positif, d’introduire à l’échelle de la Commission des instruments tels que des conventions de service et/ou de financement entre services opérationnels et horizontaux.

Pourraient notamment être concernées, pour les petits services, l’informatique, la communication, la gestion financière et la gestion des ressources humaines.

Réponse de la Commission: la Commission reconnaît la valeur ajoutée potentielle des arrangements inter-services entre petites structures, pour autant que ces arrangements soient basés sur une analyse coûts-bénéfices, et mis en place conformément aux règles applicables, tout en préservant la responsabilité de chaque ordonnateur délégué.

Conclusion 4

IAS conclusion: les services de la Commission devraient acquérir une véritable «culture du suivi». Les mesures de suivi des rapports de contrôle et d’audit devraient être pleinement intégrées dans la planification et la gestion quotidienne, et leur mise en œuvre en temps voulu devrait être régulièrement vérifiée aux plus hauts niveaux d’encadrement.

Une organisation qui veille régulièrement et attentivement aux insuffisances de sa gestion et de son contrôle interne est une organisation capable d’apprendre sur elle-même et, à terme, de limiter considérablement les activités de gestion indûment contraignantes et perturbatrices.

Réponse de la Commission: la Commission va s'assurer que ses directeurs généraux élaborent des plans d'action précis, prenant en compte les priorités et les ressources disponibles, et sur cette base, mettent en œuvre les recommandations d'audit dans des délais appropriés.

[1] Performance Standard 2060 de l’Institute of Internal Auditors (www.theIIA.org).

[2] Article 185, paragraphe 3, du règlement financier.

[3] Un audit exhaustif de l’ABAC par l'IAS est prévu pour 2006.

[4] SEC(2005) 1327.

[5] Standard de contrôle interne n° 21, suivi des recommandations émises dans les rapports d'audit.

[6] Pour les seuls audits de la Commission, énumérés ci-dessus.

[7] SEC(2005) 1327.

[8] Article 274 du traité instituant la Communauté européenne

[9] A partir du 1er janvier 2007, le FEOGA-Orientation sera remplacé par le Fonds Européen de Développement Rural. Les règles de gestion financière et de contrôle de ce fonds seront autant que possible alignées sur celles du FEOGA-Guarantie (règlements du Conseil (CE) n° 1290/2005 et (CE) n° 1698/2005).

[10] Conformément au plan d'action - COM(2006) 9.