COMMISSION EUROPÉENNE

Bruxelles, le 19.6.2024

COM(2024) 249 final

RAPPORT DE LA COMMISSION

AU PARLEMENT EUROPÉEN, AU CONSEIL ET À LA COUR DES COMPTES





Rapport annuel à l’autorité de décharge sur les audits internes effectués en 2023

{SWD(2024) 145 final}

Table des matières

1.Objectifs et champ d’application du rapport

2.Mission du service d’audit interne: responsabilité, indépendance et objectivité

3.Vue d’ensemble des travaux d’audit

3.1.MISE EN œuvre DU PLAN D’AUDIT 2023

3.2.DONNées statistiques sur les recommandations du service d’audit interne

4.Conclusions fondées sur les travaux d’audit effectués en 2023

4.1.Conclusions sur les audits de performance7

4.1.1.gestion de la Performance7

4.1.2.mise en œuvre des politiques de l’union8

4.1.3.systèmes de contrôle interne liés à la légalité et à la régularité9

4.1.4.préparation et premières étapes de l’exécution du budget de l’ue11

4.1.5.coopération avec des tiers dans la mise en œuvre des politiques et programmes11

4.1.6.sécurité et technologies de l’information12

4.1.7.autres processus13

4.2.conclusions limitées du service d’audit interne14

4.3.avis global sur la gestion financière de la commission14

5.Consultation de l’instance de la commission spécialisée en matière d’irrégularités financières15

1.Objectifs et champ d’application du rapport

Le présent rapport vise à informer le Parlement européen et le Conseil, dans le cadre de la procédure de décharge, des audits internes effectués en 2023 par le service d’audit interne de la Commission européenne dans les directions générales, les services et les agences exécutives de la Commission 1 . Il comprend: i) un résumé du nombre et du type d’audits internes effectués; ii) une synthèse des principales recommandations formulées; et iii) les suites données à ces recommandations. Conformément à l’article 118, paragraphe 8, et à l’article 247 du règlement financier 2 , la Commission transmet ce rapport au Parlement européen et au Conseil. Il a pour fondement le rapport établi conformément à l’article 118, paragraphe 4, du règlement financier par l’auditrice interne de la Commission concernant les rapports d’audit et de conseil établis par le service d’audit interne en 2023 3 .

2.Mission du service d’audit interne: responsabilité, indépendance et objectivité

La mission du service d’audit interne consiste à augmenter et à protéger la valeur de l’organisation en fournissant une assurance objective et fondée sur les risques, des conseils et des informations. Le service d’audit interne aide la Commission à atteindre ses objectifs par une approche systématique et méthodique pour l’évaluation de ses processus de gestion des risques, de contrôle et de gouvernance et l’amélioration de leur efficacité. Ses tâches consistent notamment à évaluer les processus de gestion des risques, de contrôle et de gouvernance et à formuler des recommandations adéquates pour les améliorer afin d’atteindre les trois objectifs suivants: i) promouvoir une éthique et des valeurs appropriées au sein de l’organisation; ii) veiller à une gestion de la performance et à une responsabilisation effectives dans l’organisation; et iii) assurer la bonne transmission de l’information sur les risques et le contrôle aux secteurs intéressés de l’organisation. Ce faisant, le service d’audit interne vise à promouvoir une culture de gestion efficiente et efficace au sein de la Commission et de ses services.

L’indépendance du service d’audit interne dans l’exécution de ses travaux est inscrite dans le règlement financier ainsi que dans sa charte de mission 4 adoptée par la Commission. Cette charte prévoit que, pour garantir l’objectivité de leur jugement et éviter les conflits d’intérêts, la direction et les auditeurs du service d’audit interne doivent préserver leur indépendance par rapport aux activités et opérations qu’ils examinent. Si leur objectivité est compromise dans les faits ou même en apparence, les parties concernées doivent en être informées de façon précise. Si l’auditrice interne le juge nécessaire, elle peut saisir la présidente de la Commission et/ou le collège des commissaires directement.

Le service d’audit interne effectue ses travaux dans le respect du règlement financier, des normes internationales pour la pratique professionnelle de l’audit interne et du code de déontologie de l’Institut des auditeurs internes.

Le service d’audit interne rend compte au comité de suivi des audits institué en vertu de l’article 123 du règlement financier, dont il dépend sur le plan fonctionnel. Le service d’audit interne: i) fait état des principaux problèmes soulevés par ses audits et des améliorations possibles des processus audités; ii) rend chaque année un avis global sur la situation de la gestion financière à la Commission; et iii) présente un rapport (au moins une fois par an) sur sa mission et sur l’exécution de son plan d’audit annuel. Ce rapport présente également les risques ainsi que les questions de contrôle et de gouvernance importants, de même que d’autres questions.

Le comité de suivi des audits assiste le collège dans l’exécution des obligations qui lui incombent en vertu des traités, du règlement financier et d’autres instruments statutaires. Il le fait de la manière suivante: i) en veillant à l’indépendance du service d’audit interne; ii) en contrôlant la qualité des travaux d’audit interne; iii) en veillant à ce que les recommandations d’audit interne et externe soient dûment prises en compte par les services de la Commission; et iv) en veillant à ce qu’il y soit donné suite de manière appropriée. De cette manière, le comité de suivi des audits aide la Commission à atteindre ses objectifs de manière plus efficace et plus efficiente. Il facilite également la surveillance, par le collège, des pratiques de la Commission en matière de gouvernance, de gestion des risques et de contrôle interne 5 .

Les audits du service d’audit interne ne portent pas sur les systèmes de contrôle des États membres concernant les fonds de l’UE. Les audits de ce type, qui s’effectuent à l’échelon des bénéficiaires individuels, sont menés par les services d’audit interne des États membres, les autorités d’audit nationales, d’autres directions générales de la Commission ainsi que la Cour des comptes européenne. Le service d’audit interne procède toutefois à l’audit des mesures prises par la Commission pour superviser et contrôler i) les entités dans les États membres; et ii) les autres organisations chargées de décaisser des fonds de l’UE. En vertu de l’article 118, paragraphe 2, du règlement financier, le service d’audit interne dispose d’un accès complet et illimité à toute information requise pour l’exercice de ses tâches, au besoin sur place également, y compris dans les États membres et dans les pays tiers.

3.Vue d’ensemble des travaux d’audit

3.1.Mise en œuvre du plan d’audit 2023

Le service d’audit interne a mis en œuvre le plan d’audit 2023 dans un contexte de pression croissante sur les ressources dans certaines directions générales de la Commission et de défis plus larges liés à la guerre d’agression menée par la Russie contre l’Ukraine et à d’autres crises géopolitiques émergentes. À la date butoir du 31 janvier 2024, le service d’audit interne avait achevé un total de 93 missions (audits, examens et suivis) et publié 139 rapports (notamment des rapports d’audit et d’examen finaux, des notes de suivi et de clôture, et des lettres de recommandations) 6 .

À la date butoir du 31 janvier 2024, le service d’audit interne avait achevé 34 missions d’audit (audits, examens et une mission de conseil). Cela représente un taux d’achèvement de 97 % du plan d’audit 2023 mis à jour (34 missions sur 35) 7 .

Conformément à sa charte et aux normes internationales en matière d’audit, le service d’audit interne planifie ses travaux d’audit sur la base d’une évaluation des risques et d’une analyse des capacités. Le but est de définir un plan d’audit qui couvre les domaines présentant les risques les plus élevés, de façon à optimiser sa valeur ajoutée, et de contribuer à garantir la meilleure utilisation possible des ressources ainsi que la mise en œuvre efficiente et efficace du plan d’audit. Le service d’audit interne surveille régulièrement la mise en œuvre du plan d’audit et l’adapte si nécessaire.

Le service d’audit interne a assuré le suivi de 59 missions d’audit antérieures afin d’examiner la mise en œuvre des recommandations et a adressé 81 notes de suivi aux directions générales et services concernés 8 . Dans ce contexte, 41 missions ont été clôturées 9 , le service d’audit interne ayant conclu que toutes les recommandations avaient été effectivement mises en œuvre, tandis que 18 sont restées en suspens, la mise en œuvre étant encore en cours à la date butoir.

Les graphiques ci-dessous présentent le nombre total de missions réalisées à la date butoir du 31 janvier 2024, et leur ventilation par type.

Missions, par type

Source: Commission européenne

Missions de suivi

Source: Commission européenne, service d’audit interne

En 2023, le service d’audit interne a publié 38 rapports (rapports d’audit finaux et lettres de recommandations). Le nombre de rapports est supérieur au nombre de missions car, pour certains audits horizontaux ou multientités 10 , le service d’audit interne produit plusieurs rapports ou lettres de recommandations pour les différentes entités auditées dans le cadre de l’audit. En 2023, le service a réalisé 17 audits horizontaux et multientités (et a publié 18 rapports finaux et 2 lettres de recommandations liés à ces audits).

3.2.Données statistiques sur les recommandations du service d’audit interne

Le service d’audit interne a formulé 170 recommandations issues de ses travaux d’audit de 2023. Comme illustré ci-dessous, environ deux tiers de ces recommandations (69 %) ont été jugées importantes et un tiers (31 %) très importantes, tandis qu’aucune recommandation n’a été jugée essentielle.

Recommandations, par niveau d’importance

Source: Commission européenne, service d’audit interne

En 2023, les entités auditées ont accepté l’ensemble des 170 recommandations formulées par le service d’audit interne. Pour toutes les recommandations, les entités auditées ont élaboré des plans d’action. Ceux-ci ont été soumis au service d’audit interne, qui les a ensuite jugés satisfaisants ou en a demandé la révision.

RECOMMANDATIONS ÉMISES ENTRE 2019 ET 2023

Le service d’audit interne a présenté au comité de suivi des audits une vue d’ensemble complète du suivi des recommandations accusant un retard de plus de six mois. En outre, il a élaboré des rapports trimestriels sur la mise en œuvre des recommandations accusant un retard de plus de six mois. Ces questions ont été examinées lors de réunions du groupe préparatoire du comité de suivi des audits.

Comme illustré ci-dessous, à la date butoir du 31 janvier 2024, sur un total de 791 recommandations (partiellement) acceptées 11 formulées par le service d’audit interne au cours de la période 2019-2023, 557 (70 %) étaient considérées par les entités auditées comme mises en œuvre 12 . Un total de 234 recommandations (soit 30 %) reste donc en suspens.

Nombre de recommandations acceptées formulées au cours de la période 2019-2023, par état (sur la base de l’évaluation des entités auditées)

Nombre de recommandations en suspens, par niveau d’importance

Source: Commission européenne, service d’audit interne

Sur les 234 recommandations encore en suspens à la date butoir, aucune n’était jugée essentielle, tandis que 64 recommandations (27 %) étaient considérées comme très importantes et 170 (73 %) comme importantes.

Parmi les recommandations en suspens, 38 accusaient un retard (non mises en œuvre à la date convenue à l’origine). Ces recommandations accusant un retard représentent 4,8 % des recommandations (partiellement) acceptées. Parmi les recommandations accusant un retard, trois recommandations très importantes sont classées comme accusant un sérieux retard (c’est-à-dire de plus de six mois après la date de mise en œuvre convenue à l’origine). Ce constat est dans la lignée de l’année précédente et témoigne de la politique de suivi rigoureuse menée par le service d’audit interne dans l’évaluation de la mise en œuvre de ses recommandations. Ces recommandations très importantes accusant un sérieux retard représentent 0,4 % du nombre total de recommandations (partiellement) acceptées au cours de la période 2019-2023 (soit le même pourcentage qu’au cours de la période de référence précédente). Aucune recommandation très importante formulée avant 2019 n’accuse de sérieux retard.

Retard des recommandations accusant un retard, par niveau d’importance

(formulées au cours de la période 2019-2023)

Source: Commission européenne, service d’audit interne

D’une manière générale, le service d’audit interne considère que la mise en œuvre de ses recommandations est satisfaisante et comparable aux périodes de référence précédentes. Cette situation montre que les services de la Commission font preuve de diligence dans la mise en œuvre des recommandations essentielles et très importantes, atténuant de ce fait les risques recensés par le service d’audit interne. Néanmoins, il convient de prêter attention aux recommandations individuelles considérées comme très importantes qui accusent un sérieux retard.

Un résumé des recommandations très importantes qui accusent un sérieux retard figure à la partie 3 de l’annexe du présent rapport.

4.Conclusions fondées sur les travaux d’audit effectués en 2023

4.1.Conclusions sur les audits de performance

Contribuant à la culture axée sur la performance de la Commission et tenant compte de l’importance accrue que celle-ci accorde à la rentabilité, le service d’audit interne a réalisé, en 2023, des audits de performance et des audits intégrés 13 dans le cadre de son plan d’audit stratégique. Pour la moitié de ces missions, le service d’audit interne n’a pas relevé de risques résiduels élevés dans les domaines ou processus audités et n’a formulé aucune recommandation essentielle ou très importante. Divers points forts et bonnes pratiques ont été observés, y compris un engagement fort et continu du personnel, malgré la charge de travail élevée et l’environnement difficile dans lequel opéraient différentes entités auditées (pour plus de détails, voir la section 1 de l’annexe).

Les conclusions d’audit qui en découlent portaient sur les éléments suivants: 1) la gestion de la performance; 2) la mise en œuvre des politiques de l’Union; 3) les systèmes de contrôle interne liés à la légalité et à la régularité; 4) la préparation et les premières étapes de l’exécution du budget de l’UE; 5) la coopération avec des tiers chargés de mettre en œuvre des politiques et programmes; 6) les technologies de l’information; et 7) d’autres processus.

Conformément à sa méthodologie et à ses bonnes pratiques, le service d’audit interne aborde la performance de manière indirecte. Il évalue la performance des directions générales et services de la Commission pour ce qui est de la mise en œuvre des politiques, programmes et actions au regard des risques qui y sont associés. Par cette approche, il entend s’assurer que les directions générales et les services ont mis en place des cadres de performance, des outils de mesure de la performance et des systèmes de suivi complets appropriés.

Les conclusions établies par le service d’audit interne concernant les différents aspects liés à la performance sur lesquels il s’est concentré dans le cadre de ses audits réalisés en 2023 sont détaillées aux sections suivantes.

4.1.1.Gestion de la performance

Un système solide de gestion de la performance est essentiel pour garantir i) que les objectifs et les indicateurs de performance sont fixés de manière efficace et sont conformes aux priorités de la Commission; ii) qu’ils font l’objet d’un suivi régulier et de rapports réguliers; et iii) que les activités de la Commission produisent le maximum de résultats et de valeur ajoutée. Les parties prenantes et les citoyens réclament de plus en plus des preuves évidentes de l’efficacité de l’action de la Commission au regard des objectifs politiques et opérationnels.

La Commission s’est donc engagée à appliquer un cadre de performance solide. La communication sur le cadre de performance du budget de l’UE au titre du cadre financier pluriannuel 2021-2027 comprend les outils et procédures nécessaires pour fixer des objectifs, ainsi que pour mesurer et suivre les progrès accomplis dans la réalisation de ceux-ci.

C’est dans le contexte du cadre de performance que le service d’audit interne a réalisé trois audits dans le domaine de la gestion de la performance et a formulé un certain nombre de recommandations très importantes 14 :

(1)La Commission utilise les évaluations comme un outil important aux fins d’une gestion efficace et efficiente des interventions 15 . Dans ce cadre, le service d’audit interne a mené un audit sur les évaluations effectuées au niveau des interventions au sein de la direction générale des partenariats internationaux, de la direction générale du voisinage et des négociations d’élargissement, et du service des instruments de politique étrangère. L’objectif de l’audit était de déterminer si le processus d’évaluation des interventions était correctement conçu, et mis en œuvre de manière efficace et efficiente, de façon à atteindre les principaux objectifs d’évaluation (à savoir évaluer la performance d’une intervention, recenser les possibilités d’améliorer les interventions actuelles et futures, et rendre compte des résultats aux parties prenantes et au grand public). Le service d’audit interne a conclu que les directions générales et le service des instruments de politique étrangère audités avaient mis en place un cadre d’évaluation comprenant des orientations, des modèles, un outil informatique ainsi que des services de soutien externalisés. Toutefois, le processus mis en place pour évaluer les interventions nécessiterait de nouvelles améliorations pour atteindre de manière efficiente et efficace les principaux objectifs de l’évaluation. Ces améliorations concernent i) des lacunes dans les orientations, les modèles et l’outil informatique destinés à l’évaluation; ii) la mise en œuvre du processus d’évaluation; et iii) le suivi, la synthèse et les rapports adressés au siège.

(2)Un deuxième audit a été réalisé concernant Horizon Europe. L’audit a porté sur l’état d’avancement de la mise en œuvre du programme Horizon Europe et a notamment consisté à évaluer des aspects spécifiques de sa performance. Le service d’audit interne a constaté que, bien que les modalités de gouvernance et les processus d’élaboration des programmes de travail et de planification budgétaire aient été conçus de manière adéquate et mis en œuvre de façon efficace en général, des améliorations supplémentaires seraient nécessaires en ce qui concerne les modalités de gouvernance spécifiques aux missions de l’UE.

(3)Un troisième audit visait à évaluer les processus mis en place pour mesurer la performance des projets d’appui technique au sein de la direction générale de l’appui aux réformes structurelles et pour en rendre compte. La direction générale a conçu et mis en place des processus et des contrôles afin de mesurer la performance et de rendre compte des réalisations et des résultats des projets en général. Toutefois, il serait nécessaire d’améliorer encore leur efficacité en ce qui concerne la méthode de mesure de la performance.

4.1.2.Mise en œuvre des politiques de l’Union

En 2019, la présidente de la Commission a défini les priorités politiques pour une période de cinq ans. L’une des principales responsabilités de la Commission est de traduire ces priorités en actions concrètes. Les différents services et directions générales jouent un rôle actif dans la conception et la mise en œuvre des politiques de l’UE, notamment en proposant la législation de l’UE, en aidant les États membres à mettre celle-ci en œuvre, en veillant au respect du droit de l’Union et en assurant la représentation extérieure de l’Union sur les questions autres que les affaires étrangères et la politique de sécurité. Deux audits réalisés par le service d’audit interne ont consisté à évaluer:

(1)le rôle d’Eurostat dans le système statistique européen;

(2)l’efficacité des activités de prévention de la fraude menées par l’Office européen de lutte antifraude.

Les deux audits ont conclu à l’existence de contrôles adéquats pour mettre en œuvre efficacement les différents processus audités.

4.1.3.Systèmes de contrôle interne liés à la légalité et à la régularité

Rassurer le collège, ainsi que les directions générales et les services de la Commission, sur la mise en œuvre efficiente et efficace des contrôles internes portant sur la gestion financière reste l’une des priorités du service d’audit interne. À la suite d’une évaluation complète des risques et du plan d’audit stratégique 2021-2023 qui en a résulté, le service d’audit interne a effectué, en 2023, onze missions d’audit dans ce domaine. Ces audits ont révélé la nécessité d’apporter des améliorations significatives et ont donné lieu à un certain nombre de recommandations très importantes 16 .

(1)Le service d’audit interne a procédé à un examen thématique du risque au moment du paiement de la Commission au sein de la direction générale du budget et d’un échantillon de directions générales et de services tels que la direction générale de l’agriculture et du développement rural, la direction générale de l’emploi, des affaires sociales et de l’inclusion, la direction générale des partenariats internationaux, la direction générale du voisinage et des négociations d’élargissement, la direction générale de la politique régionale et urbaine, la direction générale de la recherche et de l’innovation, l’Agence exécutive pour le Conseil européen de l’innovation et les PME, l’Agence exécutive du Conseil européen de la recherche et l’Agence exécutive européenne pour la recherche. Cette mission visait à fournir une (nouvelle) assurance sur le calcul du risque au moment du paiement de la Commission et, en fin de compte, à contribuer à un discours cohérent et convaincant (principalement dans le cadre de la procédure de décharge) en ce qui concerne: i) les différences avec les erreurs relevées par la Cour des comptes européenne; et ii) parallèlement au précédent examen effectué par le service d’audit interne quant à la capacité de correction de la Commission, la capacité de la Commission à protéger le budget de l’UE, compte tenu de ses systèmes de contrôle pluriannuels. Le service d’audit interne a reconnu les efforts déployés par la Commission pour améliorer la qualité et la clarté des rapports sur le risque au moment du paiement, tant au niveau des directions générales/services (dans les rapports annuels d’activités) qu’au niveau institutionnel (dans le rapport annuel sur la gestion et la performance). Il a conclu que les instructions de l’institution relatives à la communication sur le risque au moment du paiement et sur la catégorisation des risques étaient globalement bien conçues et mises en œuvre efficacement par les directions générales et les services retenus dans l’échantillon. Toutefois, de nouvelles améliorations sont nécessaires s’agissant de l’analyse et des rapports de la Commission portant sur les causes profondes des erreurs liées aux constatations de la Cour des comptes européenne.

(2)L’audit sur la préparation à la clôture de la période de programmation 2014-2020 des Fonds structurels et d’investissement européens a été réalisé au sein de la direction générale de la politique régionale et urbaine, de la direction générale de l’emploi, des affaires sociales et de l’inclusion, ainsi que de la direction générale des affaires maritimes et de la pêche. Les audits ont porté sur le cycle de vie du programme opérationnel au cours duquel la Commission a procédé à des contrôles concluants de la légalité et de la régularité des dépenses. L’audit a permis de constater que les directions générales avaient déjà mis en œuvre plusieurs mesures clés pour soutenir de manière efficace et efficiente la préparation du processus de clôture. Toutefois, il est nécessaire d’améliorer encore la planification interne de l’exercice de clôture ainsi que les modalités relatives au règlement financier lors de la clôture.

(3)À la suite de la fusion en 2021 des anciennes fonctions d’audit exercées par la direction générale de la politique régionale et urbaine et par la direction générale de l’emploi, des affaires sociales et de l’inclusion, laquelle a donné lieu à la création de la direction de l’audit conjointe de la cohésion, le service d’audit interne a évalué l’adéquation des systèmes de gestion et de contrôle mis en place par cette dernière pour garantir la mise en œuvre efficiente et efficace de son mandat. Il a conclu que, bien que la direction de l’audit conjointe de la cohésion ait mis en place des systèmes de gestion et de contrôle conçus de manière adéquate pour mettre en œuvre efficacement son mandat, il reste nécessaire d’améliorer encore l’efficience de ses activités internes. Sa structure organisationnelle complexe a entraîné une perte d’efficience dans les processus d’appui administratif internes (y compris en ce qui concerne la gestion des ressources humaines, la gestion budgétaire et financière et l’établissement de rapports). En outre, elle n’avait pas procédé à une évaluation complète documentée des gains d’efficience réalisés du fait de sa création. Par ailleurs, elle a continué d’utiliser différents systèmes et outils informatiques des deux directions générales pour soutenir ses processus, lesquels n’ont pas été pleinement intégrés et ont eu une incidence sur l’efficience des opérations.

(4)Le service d’audit interne a réalisé un audit sur la mise en œuvre du Fonds pour l’innovation, jusqu’à la signature des conventions de subvention, au sein de la direction générale de l’action pour le climat et de l’Agence exécutive européenne pour le climat, les infrastructures et l’environnement. Il a conclu que, dans l’ensemble, les contrôles et processus conçus et instaurés pour la mise en œuvre du Fonds pour l’innovation étaient adéquats. Toutefois, il est nécessaire d’améliorer encore l’efficience et l’efficacité du processus d’évaluation des propositions.

(5)La facilité pour la reprise et la résilience est entrée en vigueur en 2021 en tant qu’élément clé de l’instrument temporaire de relance NextGenerationEU. Le service d’audit interne a réalisé un audit sur les contrôles ex ante des demandes de paiement au titre de la facilité pour la reprise et la résilience (avant l’autorisation des paiements à un État membre) au sein de la direction générale des affaires économiques et financières et de la task-force pour la reprise et la résilience. Tout en reconnaissant les mesures déjà prises, il a conclu que la conception et la mise en œuvre des contrôles ex ante aux fins de l’évaluation des demandes de paiement des États membres au titre de la facilité pour la reprise et la résilience devaient encore être améliorées pour renforcer leur efficacité. En particulier, des améliorations supplémentaires sont nécessaires en ce qui concerne l’évaluation des jalons en matière d’audit et de contrôle ainsi que la protection des informations sensibles non classifiées.

(6)Un audit a été réalisé au sein de la direction générale de l’environnement, de la direction générale de l’énergie et de la direction générale de l’action pour le climat, ainsi qu’au sein de l’Agence exécutive européenne pour le climat, les infrastructures et l’environnement. Cet audit a porté sur l’exécution du programme pour l’environnement et l’action pour le climat (programme LIFE) pour la période 2021-2027 (conception et mise en œuvre jusqu’à la signature des conventions de subvention). Le service d’audit interne a conclu que, si la gouvernance, les contrôles et les processus mis en place par les directions générales et l’agence exécutive pour la mise en œuvre du programme LIFE pour la période 2021-2027 auditées étaient, dans l’ensemble, conçus de manière adéquate, des améliorations supplémentaires étaient toutefois nécessaires s’agissant de la gestion des conflits d’intérêts dans le cadre du processus d’évaluation.

(7)Le service d’audit interne a effectué cinq missions dans le cadre desquelles aucune faiblesse essentielle ou très importante n’a été relevée dans les systèmes de contrôle interne des entités auditées: deux audits ont été réalisés au sein de la direction générale de la protection civile et des opérations d’aide humanitaire européennes, ainsi qu’un audit portant sur l’apurement financier annuel des comptes au sein de la direction générale de l’agriculture et du développement rural. Bien que consacrés essentiellement à des questions financières, ces audits ont également porté sur des questions de performance, notamment dans le cadre d’un audit sur la gestion financière de l’aide humanitaire en gestion indirecte. Un autre audit au sein de la direction générale de la migration et des affaires intérieures a porté sur la préparation à la clôture des actions et programmes financés au titre du Fonds pour la sécurité intérieure 2014-2020 et du Fonds «Asile, migration et intégration». Le service d’audit interne a également procédé à un examen limité de la protection des données au sein des directions générales des partenariats internationaux, du voisinage et des négociations d’élargissement, de la protection civile et des opérations d’aide humanitaire européennes, du commerce et de la fiscalité et de l’union douanière, ainsi qu’au sein du service des instruments de politique étrangère. Cet examen a porté sur l’état de conformité des directions générales et des services audités avec les principales dispositions du règlement de l’UE sur la protection des données [règlement (UE) 2018/1725] et les modalités d’application qui y sont associées, une attention particulière étant accordée au transfert de données vers des pays tiers. Enfin, le service d’audit interne a procédé à un examen limité du processus mis en place par l’Autorité de préparation et de réaction en cas d’urgence sanitaire pour évaluer son cadre de contrôle interne et mentionné dans le rapport annuel d’activités pour 2022.

4.1.4.Préparation et premières étapes de l’exécution du budget de l’UE

(1)La gestion d’un budget important et la réalisation des objectifs correspondants au titre non seulement du cadre financier pluriannuel pour la période 2021-2027, mais aussi de NextGenerationEU, y compris dans le cadre de la facilité pour la reprise et la résilience, visaient à atténuer les effets socio-économiques de la pandémie de COVID-19 et à faciliter la progression de l’Europe vers un avenir moderne, plus vert et plus durable, qui comporte des risques inhérents considérables. Dans ce cadre, le service d’audit interne a inclus, dans son plan d’audit pour 2023, sept audits couvrant les premières étapes de la planification et de l’exécution du budget de l’UE. Pour la majorité de ces audits, les résultats ont été globalement positifs, à l’exception de deux audits dans le cadre desquels le service d’audit interne a formulé deux recommandations jugées très importantes.

(2)Le service d’audit interne a effectué un audit au sein de la direction générale de l’industrie de la défense et de l’espace portant sur la préparation de ses systèmes de gestion et de contrôle à la mise en œuvre du programme spatial 2021-2027. Cet audit a permis de conclure que, bien que les systèmes de gestion et de contrôle aient été, dans l’ensemble, conçus de manière adéquate en vue de la mise en œuvre du programme spatial 2021-2027, des améliorations supplémentaires sont nécessaires en ce qui concerne les plans de gestion de la sécurité.

(3)Le service d’audit interne a réalisé un audit sur le programme pour une Europe numérique au sein de la direction générale des réseaux de communication, du contenu et des technologies, ainsi qu’au sein de l’Agence exécutive européenne pour la santé et le numérique. Cet audit a porté essentiellement sur les premières phases de mise en œuvre du programme pour une Europe numérique 2021-2027 qui soutient et favorise la transition numérique dans l’économie européenne dans les années à venir. Le service d’audit interne a conclu que les contrôles et les processus mis en place par les entités auditées pour les premières phases de mise en œuvre du programme pour une Europe numérique étaient dans l’ensemble efficaces et conçus de manière adéquate. Toutefois, des améliorations sont nécessaires s’agissant de la conception des contrôles relatifs à la gestion des conflits d’intérêts et à l’éthique.

(4)Cinq autres missions n’ont pas révélé de faiblesses essentielles ou très importantes dans les systèmes de contrôle interne des entités contrôlées: deux de ces missions couvraient la première phase de mise en œuvre (depuis la publication des appels à propositions jusqu’à la signature des conventions de subvention) de la gestion des subventions dans le cadre du programme Horizon Europe, l’une au sein de l’Agence exécutive pour la recherche et l’autre au sein de l’Agence exécutive du Conseil européen de la recherche et de l’Agence exécutive européenne pour la santé et le numérique. Trois audits ont porté sur les premières étapes de la mise en œuvre du cadre financier pluriannuel 2021-2027, et principalement sur l’état de préparation des systèmes de gestion et de contrôle: 1) à la mise en œuvre des programmes «Citoyens, égalité, droits et valeurs» et «Justice» au sein de la direction générale de la justice et des consommateurs et de l’Agence exécutive européenne pour l’éducation et la culture; 2) à la mise en œuvre par l’Agence exécutive européenne pour l’éducation et la culture des programmes Erasmus+, «Europe créative» et «Corps européen de solidarité», ainsi qu’à leur supervision par la direction générale de l’éducation, de la jeunesse, du sport et de la culture; et 3) à la mise en œuvre rapide des subventions dans le cadre du programme «L’UE pour la santé» au sein de la direction générale de la santé et de la sécurité alimentaire, de l’Autorité européenne de préparation et de réaction en cas d’urgence sanitaire, et de l’Agence exécutive européenne pour la santé et le numérique.

4.1.5.Coopération avec des tiers dans la mise en œuvre des politiques et programmes

Des tâches d’exécution budgétaire peuvent être confiées aux organismes de l’UE visés aux articles 70 et 71 du règlement financier. À l’heure actuelle, le paysage des agences décentralisées de l’UE varie en ce qui concerne les structures de gouvernance, les mandats et les tâches de ces agences. Compte tenu des risques relevés par le service d’audit interne en ce qui concerne la responsabilité de la Commission en matière de coopération avec ces organismes, ainsi que de suivi et de supervision de ces derniers:

(1)Le service d’audit interne a effectué deux missions en 2023, qui ont concerné un partenaire de la Commission, des directions générales, ainsi que diverses agences décentralisées ou d’autres organismes autonomes. Ces missions portaient sur la coordination entre la direction générale de la migration et des affaires intérieures et les agences décentralisées de l’UE 17 , et prévoyaient un examen limité des mécanismes de coopération et de coordination visant à prévenir et à détecter les menaces transfrontières graves pour la santé, et à y réagir, au sein de la direction générale de la santé et de la sécurité alimentaire, de l’Autorité européenne de préparation et de réaction en cas d’urgence sanitaire, du Centre européen de prévention et de contrôle des maladies, et de l’Agence européenne des médicaments. Le service d’audit interne n’a relevé aucune faiblesse essentielle ou très importante.

4.1.6.Sécurité et technologies de l’information

Compte tenu des préoccupations généralement accrues en matière de sécurité, des obligations juridiques, des attentes des États membres, des nouvelles exigences des utilisateurs et d’une approche institutionnelle de la gestion de l’information, la Commission a adopté, en 2019, une stratégie institutionnelle en matière de sécurité de l’information. Cette stratégie complète la stratégie de la Commission en matière de gestion des données, de l’information et des connaissances, la stratégie numérique, ainsi que la stratégie relative à la sécurité des technologies de l’information. En outre, la Commission a adopté, en 2022, une proposition de règlement du Parlement européen et du Conseil relatif à des règles communes en matière de sécurité de l’information pour l’ensemble des institutions, organes et organismes de l’Union, ainsi qu’une proposition de règlement du Parlement européen et du Conseil établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l’Union, qui, à la suite des négociations interinstitutionnelles, a été adopté par les colégislateurs en décembre 2023 et est entré en vigueur en janvier 2024.

Le service d’audit interne a réalisé en 2023 quatre audits sur la sécurité et les technologies de l’information. Ces audits ont mis en évidence un certain nombre de domaines nécessitant des améliorations supplémentaires (10 recommandations sur un total de 52 recommandations très importantes formulées en 2023).

(1)La Commission est exposée à des risques élevés en matière de sécurité de l’information qui lui sont inhérents, notamment le risque relatif à la confidentialité des informations. De nouveaux risques pour la sécurité de l’information sont apparus ces dernières années, étant donné que de plus gros volumes d’informations sont traités par voie électronique. Pour faire face à ces risques, il y a lieu d’instaurer des contrôles efficaces propres à garantir que les informations sont classées en fonction de leur sensibilité et sont traitées selon leur niveau de classification afin de protéger la confidentialité. L’audit relatif à la protection de la confidentialité des informations a porté sur les trois acteurs clés qui sont chargés de la sécurité de l’information au niveau de l’institution, à savoir la direction générale des ressources humaines et de la sécurité, la direction générale des services numériques et le secrétariat général. Le service d’audit interne a conclu que la Commission avait progressé dans la mise en place d’un cadre institutionnel adéquat et de contrôles institutionnels efficaces, y compris en instaurant une gestion efficace des risques afin de protéger la confidentialité des informations. Il a recensé les mesures supplémentaires nécessaires au niveau de l’institution pour soutenir plus efficacement les services de la Commission dans la responsabilité qui est la leur, à savoir protéger la confidentialité des informations concernant les prestataires de services externes, les contrôles des technologies de l’information, ainsi que le processus de gestion des incidents liés à la sécurité de l’information.

(2)Le service d’audit interne a réalisé au sein de la direction générale de la concurrence un audit portant sur la rationalisation de la gestion des dossiers (CASE@EC). Il s’agit de l’initiative phare réalisée dans le cadre de l’exercice de rationalisation des systèmes d’information de la Commission, un projet mené sous la direction de cette DG. Le service d’audit interne a conclu que, bien que la direction générale de la concurrence ait progressé dans la conception et la mise en œuvre des processus de gouvernance et de contrôle interne relatifs au projet CASE@EC, il est nécessaire d’améliorer encore la manière dont certains contrôles portant sur la sécurité des technologies de l’information sont conçus, appliqués ou documentés. Dans ce cadre, le service d’audit interne a relevé deux problèmes très importants.

(3)Le système d’échange de quotas d’émission de l’UE (SEQE-UE) constitue un élément fondamental de la politique de l’UE en matière de lutte contre le changement climatique et le principal instrument dont elle dispose pour réduire efficacement et au moindre coût les émissions de gaz à effet de serre. Ce premier grand marché mondial du carbone, qui constitue encore à ce jour le plus grand marché de ce type, est géré par la direction générale de l’action pour le climat et par un tiers. La direction générale des services numériques est l’un des multiples fournisseurs de systèmes et propose des services informatiques normalisés, notamment certains services en matière de sécurité. Le service d’audit interne a procédé à un examen limité du plan de sécurité et des mesures de sécurité connexes du système d’information du SEQE-UE géré par la direction générale de l’action pour le climat. Bien que les processus de sécurité du système d’information du SEQE-UE aient mûri progressivement, des améliorations supplémentaires sont nécessaires en ce qui concerne leur conception et leur efficacité. L’audit a mis en évidence deux problèmes très importants dans la conception du plan de 2022 relatif à la sécurité des technologies de l’information pour le système d’information du SEQE-UE et dans le cadre de gouvernance régissant sa mise en œuvre. Depuis 2010, la direction générale de l’action pour le climat émet chaque année, dans ses rapports annuels d’activités, une réserve fondée sur des motifs juridiques, financiers et de réputation liés à des risques pour la sécurité en lien avec le registre de l’Union constitué dans le cadre du SEQE-UE.

(4)Un autre audit, réalisé dans le domaine de la gestion de la sécurité des technologies de l’information au sein de la direction générale de l’éducation, de la jeunesse, du sport et de la culture, a porté sur le mécanisme de contrôle permettant de gérer la sécurité des systèmes informatiques. Le service d’audit interne a conclu qu’il était nécessaire d’améliorer encore sa mise en œuvre effective. Il a relevé des incohérences dans la classification des données entre, d’une part, le plan de sécurité des technologies de l’information élaboré pour la plateforme de gestion indirecte des subventions et, d’autre part, les conclusions de l’analyse de l’impact de ce plan sur les activités.

4.1.7.Autres processus

Trois audits ont permis d’évaluer les aspects liés à la performance dans le cadre d’autres processus portant sur:

(1)la communication institutionnelle au sein de la direction générale de la communication;

(2)la gestion des ressources humaines au sein de la direction générale de la concurrence.

Les deux audits n’ont pas révélé de faiblesses essentielles ou très importantes dans les systèmes de contrôle;

(3)des projets immobiliers de grande envergure impliquant des travaux au sein de l’Office pour les infrastructures et la logistique à Bruxelles et de l’Office pour les infrastructures et la logistique à Luxembourg.

Le service d’audit interne a pris acte des difficultés rencontrées par les deux offices, principalement du fait qu’ils doivent gérer une large base de clients ayant des besoins différents et du fait qu’ils opèrent sur un marché immobilier dynamique et concurrentiel ainsi que dans des cadres juridiques complexes et changeants. Il a conclu que, bien que ces offices aient, dans l’ensemble, conçu et mis en œuvre efficacement un cadre adéquat pour la gestion de projets immobiliers de grande envergure, il était encore nécessaire d’améliorer davantage son efficience, y compris la mesure dans laquelle les procédures de passation de marchés sont suffisamment documentées, transparentes et concurrentielles.

4.2.Conclusions limitées du service d’audit interne

Le service d’audit interne a adressé des conclusions limitées sur l’état du contrôle interne à toutes les directions générales et tous les services de la Commission 18 en février 2024. Ces conclusions limitées figurent dans les rapports annuels d’activités de 2023 des directions générales et services concernés. S’appuyant sur les travaux d’audit réalisés au cours des cinq dernières années, elles portent sur toutes les recommandations formulées qui restent en suspens. La conclusion du service d’audit interne sur l’état du contrôle interne est limitée aux systèmes de gestion et de contrôle qui ont fait l’objet d’un audit. Elle ne concerne pas les systèmes qui n’ont pas été audités par le service d’audit interne au cours des cinq dernières années.

4.3.Avis global sur la gestion financière de la Commission

Comme l’exige sa charte de mission, le service d’audit interne rend chaque année un avis global sur la gestion financière de la Commission. Cet avis repose sur les travaux d’audit réalisés à la Commission dans le domaine de la gestion financière par le service d’audit interne au cours des trois dernières années (de 2021 à 2023). Il tient compte également d’informations provenant d’autres sources, à savoir les rapports de la Cour des comptes européenne. L’avis global est publié en même temps que le présent rapport et couvre le même exercice.

Sur la base de ces informations d’audit, l’auditrice interne a considéré qu’en 2023, la Commission avait mis en place des procédures de gouvernance, de gestion des risques et de contrôle interne qui, ensemble, sont appropriées pour donner une assurance raisonnable quant à la réalisation de ses objectifs financiers. Toutefois, l’avis global est nuancé par les réserves formulées par les ordonnateurs délégués dans leurs déclarations d’assurance émises dans leurs rapports annuels d’activités respectifs.

Pour forger son avis global, le service d’audit interne a aussi examiné l’incidence cumulée de tous les montants jugés à risque au moment du paiement, étant donné qu’ils vont au-delà des montants faisant l’objet d’une réserve. Les montants globaux à risque au moment du paiement constituent la meilleure estimation, par les ordonnateurs délégués, du montant des dépenses autorisées non conformes aux dispositions contractuelles et réglementaires applicables au moment du paiement en 2023. Dans leurs rapports annuels d’activités, les directions générales et les services estiment que les montants à risque au moment du paiement se situent dans une fourchette comprise entre 2 742,5 millions d’EUR et 3 291,5 millions d’EUR environ. Ces montants représentent entre 1,6 % et 1,9 % du total des dépenses pertinentes 19 du budget de la Commission, du Fonds européen de développement et des fonds fiduciaires de l’UE en 2023 et sont donc inférieurs au seuil d’importance relative de 2 % défini dans les instructions pour l’élaboration des rapports annuels d’activités 2023.

Ces montants à risque au moment du paiement en 2023 ne tiennent pas encore compte des corrections financières et des recouvrements éventuels liés aux défaillances et aux erreurs que les directions générales et les services détecteront et corrigeront à l’avenir grâce aux mécanismes correctifs pluriannuels intégrés dans les systèmes de contrôle interne de la Commission.

Compte tenu de ces éléments, le service d’audit interne considère que le budget de l’UE est donc suffisamment protégé dans son ensemble et dans le temps.

Sans nuancer davantage son avis global, le service d’audit interne a attiré l’attention de la Commission sur la nécessité de tenir compte des enseignements tirés de la gestion de ses ressources financières dans un contexte difficile.

La réponse apportée aux défis de ces dernières années a mis en évidence les points forts et la flexibilité dont le budget de l’UE et NextGenerationEU ont fait preuve pour réagir aux crises. Toutefois, de nouveaux risques élevés susceptibles d’entamer l’assurance et de nuire à la performance sont apparus en raison de l’évolution rapide et de la volatilité de l’environnement, dans lequel la réaction aux crises devient la norme, conjuguées à la mobilisation de montants sans précédent, à la création d’instruments innovants et complexes et à l’adoption de nouvelles approches à l’égard des programmes existants.

Afin de veiller à ce que le budget soit dûment protégé au fil du temps, il importe de continuer à mettre l’accent sur les mesures permettant d’atténuer ces risques. Les programmes et les instruments financiers axés sur la performance figurent parmi les domaines qui continueront de nécessiter une attention particulière, tout comme la collaboration avec les États membres et les tiers. Ce constat s’inscrit dans un contexte de pression extraordinaire exercée sur les ressources humaines, déjà identifiée au sein de la Commission comme un risque transversal, ce qui rend encore plus difficile la réalisation des objectifs stratégiques et de gestion financière.

En outre, la Commission doit veiller à ce que des dispositions adéquates en matière de gouvernance, de gestion des risques et de contrôle interne soient conçues pour les programmes et instruments élaborés en vue du prochain cadre financier pluriannuel.

Le service d’audit interne continuera de contrôler l’incidence des risques sur la solidité de la gestion financière de la Commission.

5.Consultation de l’instance de la Commission spécialisée en matière d’irrégularités financières

L’instance établie conformément à l’article 143 du règlement financier 20 n’a signalé aucun problème systémique en 2023 dans l’avis visé à l’article 93 dudit règlement.

(1)    Le présent rapport ne porte pas sur les travaux d’audit réalisés par le service d’audit interne au sein de la facilité européenne pour la paix, des agences européennes décentralisées, du Service européen pour l’action extérieure ou d’autres organismes autonomes, qui font l’objet de rapports distincts.

(2)    Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) nº 1296/2013, (UE) nº 1301/2013, (UE) nº 1303/2013, (UE) nº 1304/2013, (UE) nº 1309/2013, (UE) nº 1316/2013, (UE) nº 223/2014, (UE) nº 283/2014 et la décision nº 541/2014/UE, et abrogeant le règlement (UE, Euratom) nº 966/2012 (JO L 193 du 30.7.2018), modifié par le règlement (UE, Euratom) 2022/2434.

(3)    Les rapports d’audit finalisés au cours de la période allant du 1er février 2023 au 31 janvier 2024 sont inclus dans le présent rapport.

(4)    Communication à la Commission, Charte de mission du service d’audit interne de la Commission européenne, C(2022) 8450 final du 28 novembre 2022.

(5)    Pour des informations détaillées, voir la communication à la Commission, Charte du comité de suivi des audits de la Commission européenne, C(2020) 1165 final du 27 février 2020.

(6)    L’univers d’audit du service d’audit interne comprend au total 50 entités organisationnelles. Pour certaines, il a été publié plus d’un rapport final d’audit, d’examen ou de consultation en 2023. Voir le document de travail des services de la Commission qui accompagne le présent rapport pour un aperçu détaillé des entités pour lesquelles des rapports d’audit et d’examen finaux ont été publiés.

(7)    Une mission a été reportée du plan d’audit 2023 au plan d’audit 2024 — Audit de la stratégie antifraude au sein des directions générales des partenariats internationaux, du voisinage et des négociations d’élargissement et de la protection civile et des opérations d’aide humanitaire européennes, du service des instruments de politique étrangère et du Service européen pour l’action extérieure.

(8)    Certaines missions d’audit ont fait l’objet d’un suivi à plus d’une reprise et certaines notes de suivi concernaient plusieurs missions d’audit.

(9)    La liste des audits clôturés après un suivi figure à la section 2.2 de l’annexe.

(10)    Il s’agit d’audits couvrant plusieurs directions générales et/ou services de la Commission (audits multiDG) ou d’audits menés dans les directions générales/services de la Commission ainsi que dans les agences décentralisées ou d’autres organismes autonomes (audits multientités).

(11)    Sur les 795 recommandations formulées au cours de la période 2019-2023, 789 ont été intégralement acceptées, deux partiellement acceptées et quatre rejetées.

(12)    Le graphique présente le niveau d’importance des recommandations à la date butoir. Celui-ci peut différer du niveau d’importance figurant dans le rapport d’audit initial, parce que, dans le cadre d’un audit de suivi, le service d’audit interne peut estimer que les mesures prises par l’entité auditée ont partiellement atténué les risques initialement recensés et que, par conséquent, le niveau d’importance de la recommandation a été abaissé.

(13)    Au total, le service d’audit interne a réalisé 32 missions d’audit de performance et d’audit intégré et missions comportant certains aspects liés à la performance (examens limités et audits financiers/de conformité). Pour en savoir plus, voir l’annexe.

(14) 10 recommandations sur un total de 52 recommandations très importantes formulées en 2023 (19 %).

(15)    Dans le domaine de l’action extérieure, on entend par «interventions» toutes les activités mises en œuvre ou financées pour atteindre des objectifs stratégiques, telles qu’un projet individuel ou une opération d’appui budgétaire.

(16)    28 recommandations sur un total de 52 recommandations très importantes formulées en 2023 (54 %).    

(17)    L’Observatoire européen des drogues et des toxicomanies; l’Agence de l’Union européenne pour l’asile; l’Agence de l’Union européenne pour la coopération des services répressifs; l’Agence de l’Union européenne pour la formation des services répressifs; et l’Agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice.

(18)    Aucun audit n’a été réalisé au sein du service de conseil «Inspirer, débattre, engager et accélérer l’action» (IDEA) au cours de la période 2019-2023, étant donné qu’aucun risque élevé n’a été recensé, et aucune conclusion limitée n’a donc été fournie.

(19)    On entend par «dépenses pertinentes» le montant total des paiements effectués en 2023, moins le montant total des nouveaux préfinancements versés en 2023, plus le montant total des préfinancements précédents apurés en 2023, comme indiqué par les services de la Commission dans leurs rapports annuels d’activités 2023.

(20)    Depuis l’entrée en vigueur du règlement financier de 2018, les fonctions de toutes les instances spécialisées en matière d’irrégularités financières des institutions ont été transférées à l’instance chargée du système de détection rapide et d’exclusion visée à l’article 143 du règlement financier.