52010DC0447

[pic] | EUROPESE COMMISSIE |

Brussel, 31.8.2010

COM(2010) 447 definitief

VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

Jaarverslag aan de kwijtingsautoriteitover de in 2009 uitgevoerde interne controles(Artikel 86, lid 4, van het Financieel Reglement)

SEC(2010) 994

INHOUDSOPGAVE

1. Inleiding 3

1.1. De opdracht van de DIA: onafhankelijkheid, objectiviteit en rekenplichtigheid 3

2. Werkomgeving en auditplan 4

2.1. Het interne-auditproces 4

2.2. Uitvoering van het strategische DIA-auditplan 4

2.3. Acceptatie van de aanbevelingen en perceptie van het werk van de DIA 4

3. Belangrijkste bevindingen en aanbevelingen van de DIA 5

4. Conclusies 10

INLEIDING

Dit verslag is bedoeld om de kwijtingsautoriteit overeenkomstig artikel 86, lid 4, van het Financieel Reglement (FR) te informeren over de door de dienst Interne audit (DIA) van de Commissie verrichte werkzaamheden. Het is gebaseerd op het verslag dat de DIA op grond van artikel 86, lid 3, van het FR heeft opgesteld over de belangrijkste auditbevindingen en, overeenkomstig de professionele normen, over aanzienlijke risico's en problemen op het gebied van controle en van het bestuur van de instelling ("corporate governance").

Het voorliggende verslag is gebaseerd op de audit- en consultancyverslagen die de DIA in 2009 heeft opgesteld over diensten van de Commissie en haar uitvoerende agentschappen[1]. Het heeft geen betrekking op de resultaten van de auditwerkzaamheden bij andere door de DIA gecontroleerde agentschappen of organen, waarvoor afzonderlijke jaarverslagen worden opgesteld.

De reacties van de Commissie op de bevindingen en conclusies van de interne controleur zijn behandeld in het syntheseverslag[2], waarin de Commissie een standpunt inneemt over de horizontale kwesties die aan de orde zijn gesteld door de DIA, de Europese Rekenkamer (ER) en de kwijtingsautoriteit, en die welke door het Comité follow-up audit zijn gesignaleerd, dan wel het voorwerp zijn van voorstellen voor de driejaarlijkse herziening van het Financieel Reglement.

De opdracht van de DIA: onafhankelijkheid, objectiviteit en rekenplichtigheid

Het is de opdracht van de DIA om bij te dragen tot een goed beheer binnen de Europese Commissie door de interne beheers- en controlesystemen van de Commissie en haar regelgevende en uitvoerende agentschappen aan audits te onderwerpen, teneinde hun doeltreffendheid te beoordelen en voor voortdurende verbetering te zorgen.

De DIA valt onder het gezag van het met audit belaste lid van de Commissie en is verantwoording verschuldigd aan het Comité follow-up audit.

De DIA opereert overeenkomstig het internationale kader voor beroepspraktijken (International Professional Practices Framework) van het Institute of Internal Auditors (IIA), en de interne controleur heeft tegenover het Comité follow-up audit verklaard dat hij organisatorische onafhankelijkheid geniet.

De instantie voor financiële onregelmatigheden (FIP) heeft in 2009 geen melding gemaakt van systeemproblemen overeenkomstig artikel 112 van de uitvoeringsvoorschriften van het Financieel Reglement.

WERKOMGEVING EN AUDITPLAN

Het interne-auditproces

De DIA werkte samen met de Europese Rekenkamer en de interne-auditfuncties (IAF's) bij het coördineren van de auditplanning, het afgeven van auditverklaringen, het uitwisselen van methoden en gezamenlijke opleidingsmogelijkheden.

De DIA en de IAF's werken met een gemeenschappelijke afbakening van de auditgrondslag ("audit universe") en een gemeenschappelijke methode voor risicobeoordeling. Het door de DIA geleide netwerk van IAF's (Auditnet) is opnieuw een effectief platform gebleken voor het harmoniseren van de interne auditaanpak binnen de Commissie.

De laatste hand is gelegd aan een opleidingsprogramma voor interne controleurs bij de Commissie, met inbegrip van een door OLAF ontwikkelde opleidingscursus fraudepreventie.

Uitvoering van het strategische DIA-auditplan

Het strategische auditplan 2007-2009 van de DIA werd in 2009 bijgewerkt naar aanleiding van de resultaten van de jaarlijkse risicobeoordeling van het management en andere externe en interne veranderingen (in o.m. de aanpak, activiteiten, programma's, systemen en controles van de organisatie).

Tegen het einde van de planningscyclus 2007-2009 hadden de interne-controlesystemen van de Commissie, die 56% bestreken van de grondslag voor de financiële audit (66 % van de begrotingsvastleggingen voor 2009), moeten zijn gecontroleerd door hetzij de DIA, hetzij de IAF's. De uiteindelijk behaalde dekking wordt berekend wanneer alle IAF's de bijgewerkte cijfers hebben ingediend. De DIA verrichtte ook een aantal audits op niet-financiële gebieden (zoals bedrijfscontinuïteit en risicobeheer).

In 2009 voltooide de DIA 87 % van zijn werkprogramma, hetgeen overeenkwam met 100 % van de C1-verbintenissen[3] en 66 % van de C2-verbintenissen[4]. In totaal werden 67 verslagen uitgebracht (34 auditverslagen, 32 follow-upverslagen en 1 consultancyverslag). Een volledige lijst is opgenomen als bijlage.

Acceptatie van de aanbevelingen en perceptie van het werk van de DIA

In 2009 werd 98,8 % van de auditaanbevelingen door de geauditeerden aanvaard.

[pic]

* Alle aanbevelingen zijn aanvaard, op twee "zeer belangrijke" en één "belangrijke" aanbeveling na.

De gemiddelde waardering van de geauditeerden voor de afzonderlijke auditresultaten bedroeg 1,71 op een schaal van 1 (hoogste waardering) tot 4 (laagste waardering), tegenover 1,74 in 2008 en 1,86 in 2007. Een begin 2010 gehouden enquête wees uit dat 78,8% van de betrokkenen van mening is dat de DIA een duidelijke visie op het gebied van governance en interne controle voorstaat en uitdraagt, dat volgens 90,0% de audits eerlijk, objectief en billijk verliepen, en dat 76,3% de aanbevelingen van de DIA bruikbaar en nuttig vond voor de geauditeerde (tegenover 61,5% in 2008 en 48,8% in 2007). In totaal was 90,0% van oordeel dat de werkzaamheden van de DIA bijdragen tot de kwaliteit van de beheers- en controlesystemen in de Commissie en haar uitvoerende agentschappen.

BELANGRIJKSTE BEVINDINGEN EN AANBEVELINGEN VAN DE DIA

Bedrijfscontinuïteit

In vier diensten is de deugdelijkheid en doeltreffendheid van het bedrijfscontinuïteitsbeheer beoordeeld. Daarbij werd in aanmerking genomen dat het bedrijfscontinuïteitsbeheer een geleidelijk proces is dat nog niet is afgerond en dat sinds 2006 belangrijke inspanningen zijn geleverd om het te ontwikkelen, uit te voeren en te verbeteren. De DIA was echter van mening dat het Commissiebrede overzicht en de algehele aansturing dienden te worden verbeterd. De DIA beval aan om de verantwoordelijkheid voor de uitvoering van deze aanbevelingen toe te wijzen aan een passende toezichthoudende instantie of aansturende dienst. De horizontale dienst voor bedrijfscontinuïteitsbeheer dient meer richtsnoeren te geven voor het verrichten van een analyse van het effect op de werkzaamheden op grond van een risicobeoordeling, de coördinatie van horizontale kwesties en van de onderlinge afhankelijkheid op te voeren en de bedrijfscontinuïteitsplanning te verbeteren. Op institutioneel niveau moet er een overzicht zijn van de bedrijfscontinuïteitsplanning van de diensten. Hiertoe dient een volledige lijst met cruciale activiteiten te worden opgesteld. De plannen dienen regelmatig in de praktijk te worden getoetst en er moet voor de hele instelling een oefenprogramma worden opgesteld met verplichte periodieke simulatie-oefeningen op het gebied van bedrijfscontinuïteitsbeheer.

Risicobeheer

Het huidige kader voor risicobeheer werd in 2005 ingevoerd in combinatie met een actieplan dat in de jaren 2005 tot en met 2007 ten uitvoer moest worden gelegd. Bij het uitvoeren van de auditopdracht werden in 2009 bij twee horizontale en twee operationele diensten zowel de deugdelijkheid als de daadwerkelijke tenuitvoerlegging van het kader voor risicobeheer beoordeeld.

De audit bevestigde dat het kader voor risicobeheer van de Commissie voldoet aan de internationaal aanvaarde norm, namelijk het COSO Enterprise Risk Management-model, en een deugdelijke basis voor risicobeheer vormt.

De DIA beval aan om de rol van de centrale diensten fors te versterken, teneinde een doeltreffend overzicht te krijgen van de tenuitvoerlegging van het risicobeheer binnen de Commissie en om te waarborgen dat horizontale risico's grondig zijn onderzocht en dat de risico's voor de instelling als geheel naar behoren zijn gesignaleerd. Volgens de DIA zouden de centrale diensten er goed aan doen beste praktijken inzake risicobeheer te bevorderen, de door de DG's gemelde cruciale risico's alsmede de aanpak daarvan door het management te analyseren en een geconsolideerde versie van hun analyse aan het college toe te zenden.

Ter verbetering van het beheer en de risicorapportering moeten belangrijke begrippen (bv. de beoordeling van cruciale risico's op zowel inherent als residueel niveau) worden verduidelijkt en zijn nadere richtsnoeren nodig (bv. inzake de toepassing van het begrip risicotolerantie en het in aanmerking nemen van risico's die voortvloeien uit de afhankelijkheid van externe partners).

De operationele DG's dienen het huidige risicobeheer te versterken en risicobeheer als een doeltreffend instrument in hun beheersproces te verankeren.

Overheidsopdrachten en subsidiebeheer

Er zijn drie nieuwe audits en vijf follow-upaudits verricht inzake de procedures voor overheidsopdrachten en subsidiebeheer op het gebied van intern beleid.

De procedures voor overheidsopdrachten bij DG JRC omvatten inherente risico's die samenhangen met zijn gedecentraliseerde structuur en de specifieke aard van zijn activiteiten. Meer bepaald is er het risico dat voortvloeit uit de verwerking van nucleair materiaal en het beheer van faciliteiten voor kernonderzoek. De DIA heeft verbeteringen aanbevolen ten aanzien van het planningsproces voor overheidsopdrachten, de documentatie van aanbestedingsdossiers, controles achteraf, richtsnoeren en het monitoren van uitzonderingen.

Met betrekking tot de subsidieverstrekking door DG ESTAT werd voorgesteld om voor grote projecten de beoordeling vooraf te verscherpen, de beoordeling gedurende de voorbereiding van de procedure voor het toekennen van subsidies op te voeren en de grondslag waarop kosten ten laste van de Commissie worden gebracht te vereenvoudigen.

Wat betreft het subsidiebeheer in het kader van de Schengenfaciliteit werd voorgesteld om de rapportage in de jaarlijkse activiteitenverslagen van JLS te verbeteren door een overzicht toe te voegen van de belangrijkste controles voor programma's die in het kader van gedecentraliseerd beheer ten uitvoer worden gelegd, en door met essentiële prestatie-indicatoren voor de wettigheid en regelmatigheid van de onderliggende verrichtingen te komen. De rechtsgrondslag voor de controles van de Schengenfaciliteit werd onduidelijk bevonden. Het zwakke uitvoeringspercentage van de "Schengenfaciliteit 2" in Bulgarije en Roemenië betekent dat kernactiviteiten voor de verbetering van het toezicht aan de buitengrenzen van de EU ten tijde van de audit nog niet uitgevoerd of vertraagd waren. Ook bestond het risico dat Bulgarije het budget van de Schengenfaciliteit 2 niet volledig zou uitvoeren. DG JLS dient scherper toe te zien op de vooruitgang van dit land door samen met de autoriteiten van de lidstaat een actieplan op te stellen; ook zou dit DG moeten overwegen een plan te ontwikkelen om te voorkomen dat er financiële middelen verloren gaan ingeval de acties niet worden uitgevoerd.

Wat betreft de opzet van de controles inzake het zevende kaderprogramma (KP7) van DG Onderzoek, beval de DIA verbeteringen van de controlestrategieën aan. Hoewel werd erkend dat het wetgevend kader sterker de nadruk legt op vereenvoudiging en beperking van controles vooraf van begunstigden, onderstreepten de audits dat de juiste verhouding moet worden getroffen tussen preventieve maatregelen en controles achteraf. De DIA beval aan om zo nodig meer selectieve controles op risicobasis te gebruiken en duidelijke strategieën te ontwikkelen voor het voorkomen en opsporen van fraude. De in de verordeningen vervatte sanctiemechanismen dienen ook werkelijk te worden toegepast, om te waarborgen dat er een afschrikkend effect is.

Uitvoerende agentschappen

Er werden twee audits verricht inzake de aan de uitvoerende agentschappen gedelegeerde operationele begroting en er werden twee follow-upaudits uitgevoerd bij uitvoerende agentschappen. Er moet in het bijzonder op worden toegezien dat de taakoverdracht van DG's aan pas opgerichte uitvoerende agentschappen op duidelijke en geordende wijze verloopt en dat de taakverdeling helder is. De DIA pleitte voor een memorandum van overeenstemming tussen het toezichthoudende DG en het uitvoerende agentschap en voor een duidelijke en geformaliseerde strategie in het toezichthoudende DG om toe te zien op de wijze waarop het uitvoerende agentschap zich kwijt van zijn verantwoordelijkheden op het gebied van operationele uitgaven.

Na beide audits werd aanbevolen om een alomvattend geïntegreerd beheersinformatiesysteem op te zetten, om de basis voor het toezicht op en de verslaglegging over de door de uitvoerende agentschappen beheerde programma's te verbeteren.

De DIA beval het EACI aan zijn bedrijfscontinuïteitsplan te testen om doeltreffende uitvoering ervan te waarborgen. Voorts merkte de dienst op dat het beperken van de toegang tot de IT-systemen en beveiligingsdiensten van de Commissie een nadelig effect op de operationele continuïteit van uitvoerende agentschappen kan hebben, aangezien deze sterk afhankelijk zijn van een aantal van deze systemen.

IT-aangelegenheden

Op verzoek van het Comité follow-up audit zijn twee management letters uitgegaan met een overzicht van de belangrijkste bevindingen van de audits waaraan grote IT-systemen en Commissiebrede IT-systemen de laatste jaren zijn onderworpen[5].

Wat de grote IT-projecten betreft, verdienen de volgende zaken aandacht: verbetering van de procedures voor IT-risicobeheer door regelmatige en grondige risicobeoordeling, ontwikkeling en toepassing van een geformaliseerde projectbeheersmethode voor alle grote IT-ontwikkelingen, scherper toezicht op de prestaties en kwaliteit van de IT-aannemers, en tenuitvoerlegging van een volledige en geformaliseerde procedure voor het beheer van wijzigingen in IT-systemen. Er werd met name gepleit voor een deugdelijke plannings- en aankoopstrategie inzake IT-aanbestedingen teneinde technische gebondenheid en onderbreking van de diensten bij wijziging van dienstverleners te voorkomen. Het toezicht op het niveau van de Commissie dient te worden verbeterd om belangrijke IT-ontwikkelingen te kunnen monitoren.

Bij zowel grote als Commissiebrede IT-systemen bestaan de volgende risico's: niet-naleving van de toepasselijke regelgeving inzake IT-beheer, niet-leveren van de beoogde resultaten binnen de gestelde tijd en begroting, ontevredenheid bij gebruikers, inefficiënte besteding van de middelen en reputatieschade.

Voor Commissiebrede IT-systemen zijn aanvullende risicofactoren vastgesteld, die hoofdzakelijk de behoefte aan adequaat bestuur op centraal en lokaal niveau betreffen: ontoereikende begeleiding en toezicht binnen de instelling ten aanzien van de ontwikkeling van informatiesystemen; onduidelijke governanceregelingen, onvoldoende betrokkenheid van belanghebbenden bij de besluitvorming en ondeugdelijke toewijzing van kosten in verband met de uitvoering van IT-projecten. Mochten deze risico's werkelijkheid worden, dan kunnen zij de tenuitvoerlegging van een samenhangende en doeltreffende IT-strategie door de Commissie in gevaar brengen en de verwezenlijking van de projectdoelstellingen bemoeilijken. Het risico bestaat dat de Commissie er niet in slaagt doeltreffend gebruik te maken van omvangrijke personele en begrotingsmiddelen.

De DIA beval aan om een passend orgaan te belasten met het formuleren van de middellange- en langetermijnstrategie en -prioriteiten van de Commissie op IT-gebied. Deze zouden moeten worden goedgekeurd door de AGM-stuurgroep, die ook zou toezien op de tenuitvoerlegging. Deze vast te stellen IT-prioriteiten voor uit operationele en administratieve kredieten gefinancierde systemen dienen de basis te vormen voor de IT-strategieën van de afzonderlijke DG's ( "Schémas Directeurs" ) en voor toewijzing en vrijgave van begrotingsmiddelen. De verantwoordelijkheden voor het beheer van Commissiebrede IT-systemen dienen beter te worden afgebakend en het betrokken besluitvormingsproces dient te worden versterkt door goed te regelen dat de hoofdrolspelers hier voldoende bij worden betrokken. De huidige bestuursstructuur dient zowel op het niveau van projecten en beleidsterreinen als op dat van de instelling te worden versterkt; er moeten onder meer specifieke procedures worden ingesteld om conflicten tussen de diensten voor te leggen aan de AGM-stuurgroep. Ook de begrotingsprocedure en de kostenbewaking dienen te worden verbeterd.

Gedeeld beheer

De DIA-audits waren gericht op de toezichthoudende taken van de DG's op de belangrijke beleidsgebieden landbouw, visserij en cohesie. Zij omvatten audits in de beginfase van de meerjarige controlestrategieën van de respectieve DG's voor de programmeringsperiode 2007-2013.

Op landbouwgebied had een audit betrekking op terugbetalingen van rechtstreekse steun aan lidstaten en op het toezicht op de toepassing van het geïntegreerd beheers- en controlesysteem (GBCS) in specifieke lidstaten waar ernstige tekortkomingen waren vastgesteld, alsmede in één kandidaat-lidstaat. De DIA concludeerde dat de initiatie, controle en machtiging van betalingen aan lidstaten naar behoren functioneerde en dat de Commissie de laatste jaren intensief toezicht had uitgeoefend op de tenuitvoerlegging van het GBCS in de onderzochte landen. Wat betreft plattelandsontwikkeling stelde de DIA vast dat het bestaande interne-controlesysteem redelijke zekerheid verschaft over de verwezenlijking van de zakelijke doelstellingen die zijn geformuleerd voor de ELFPO-programmeringsperiode 2007-2013. De interne coördinatie zou daarentegen kunnen worden verbeterd om ervoor te zorgen dat alle relevante informatie over auditresultaten stelselmatig beschikbaar wordt gesteld aan alle geografische eenheden voor plattelandsontwikkeling en dat deze informatie regelmatig wordt geraadpleegd.

Wat betreft het Europees Visserijfonds kreeg DG MARE van de DIA de aanbeveling om de bestaande procedure voor toezicht op de uitvoering in de lidstaten te verbeteren en te zorgen voor betere documentatie. DG MARE dient een gedetailleerd auditplan vast te stellen en voor contacten met dezelfde nationale controle-instellingen gedocumenteerde werkafspraken te maken met DG REGIO en DG EMPL. Ook zou DG MARE er volgens de DIA goed aan doen maatregelen voor fraudepreventie en –opsporing in zijn auditstrategie op te nemen.

Op het beleidsterrein cohesie onderzocht de DIA de door DG REGIO en DG EMPL verrichte controles van de beheers- en controlesystemen die de lidstaten voor de programmeringsperiode 2007-2013 hadden aangekondigd. De DIA stelde vast dat de controles weliswaar correct werden verricht, maar dat de procedure nadelig werd beïnvloed door vertragingen bij de diensten van de lidstaten. De DIA sprak zijn zorg uit over de kwaliteit van de informatie die op lidstaatniveau werd verstrekt en beval de DG's aan om hier aandacht aan te blijven besteden in de volgende fase van het proces van zekerheid opbouwen. De DIA is het met de Rekenkamer eens dat het nog te vroeg is in het programmeringsproces om te concluderen dat dankzij de wijzingen in de regelgeving en de toezichtsystemen het aantal fouten in betalingen op het niveau van de eindbegunstigden is afgenomen. Bij de audits werd duidelijk dat de DG's hun eigen auditstrategieën nadrukkelijker moeten formuleren, met name wat betreft de mate waarin zij de resultaten van de auditwerkzaamheden van de lidstaat in aanmerking nemen. Er is ruimte voor een meer gecoördineerde auditaanpak tussen de Commissie en de lidstaten, of zelfs voor gezamenlijke audits, met name wanneer verschillende audits betrekking hebben op dezelfde nationale controle-instellingen.

Vermogensbeheer

Een audit van de door het OIB beheerde inventarisatie (uitgezonderd het beheerscentrum voor IT-apparatuur) wees uit dat de rechtsgrondslag obsoleet was en dat bewijs ontbrak dat de vereiste periodieke inventarisatie altijd was uitgevoerd. De DIA benadrukte dat verduidelijking van de taken en verantwoordelijkheden, documentatie van procedures en coördinatie de eerste voorwaarden zijn voor een doeltreffende procedure.

De belangrijkste resultaten van de audit van het SAM-project (Supply and Assets Management) zijn weergegeven in de sectie over IT-aangelegenheden.

Extern beleid

De audit van de begroting voor het gemeenschappelijk buitenlands en veiligheidsbeleid (GBVB) wees uit dat de Commissie door de gedeelde verantwoordelijkheden met de Raad slechts beperkte invloed heeft op de operationele uitvoering en capaciteit van GBVB-acties. De DIA kon geen redelijke zekerheid verkrijgen over het beheer van de GBVB-begroting. De dienst gaf de Commissie de aanbeveling de volledige naleving te waarborgen van de wettelijke vereisten inzake beoordelingen vooraf. De vertragingen die zijn vastgesteld bij de aanvang en uitvoering van GBVB-acties zouden, in samenwerking met de Raad, kunnen worden verholpen door betere richtsnoeren (procedurehandboeken), gestandaardiseerde procedures en toolkits aan te reiken. De DIA stelde vast dat er civiele crisisbeheersoperaties in het kader van het GVDB gepaard kunnen gaan met aanzienlijke onderbesteding en dat er een strategie moet komen voor auditbezoeken ter plaatse, geharmoniseerde rapportage en snelle procedures ter afsluiting.

Een audit van het financieel beheer van de regeling voor voedselhulp verschafte redelijke zekerheid over de verwezenlijking van de doelstellingen. Naar aanleiding van audits van het nabuurschapsbeleid en van de afsluiting van CARD en Phare zijn aanbevelingen ter verbetering van de controles gedaan en is gewezen op de risico's in verband met het grote personeelsverloop.

Follow-up van de aanbevelingen van eerdere audits

De gecontroleerde diensten stellen actieplannen op om werk te maken van de aanbevelingen van de DIA. De tenuitvoerlegging van deze plannen wordt gevolgd door middel van "Issue-track" en gecontroleerd met follow-upaudits.

Op grond van de 34 in 2009 afgeronde follow-upaudits werd in 24 gevallen geconcludeerd dat alle aanbevelingen uit de aanvankelijke auditverslagen waren uitgevoerd en in zes andere gevallen werd geconcludeerd dat slechts één aanbeveling nog niet geheel ten uitvoer was gelegd.

De algehele uitvoeringsgraad van de aanbevelingen inzake interne audit is enigszins verder verbeterd. De meest recente statistieken (per 29 januari 2010) wijzen uit dat 26% van de niet-uitgevoerde "zeer belangrijke" aanbevelingen (41 van de 159) meer dan zes maanden te laat was, een afname ten opzichte van de 29% die een jaar eerder werd gemeld.

CONCLUSIES

Op grond van de in 2009 afgeronde audits en de hiermee verband houdende werkzaamheden kunnen de navolgende conclusies worden getrokken.

Conclusie 1: Er is verdere vooruitgang geboekt, maar meer verbeteringen zijn noodzakelijk

De DIA stelde in de interne-controleomgeving van de Commissie voortdurende verbeteringen vast, die verband houden met het streven naar een DAS (betrouwbaarheidsverklaring) zonder kanttekeningen. De DIA merkte echter ook op dat het financieel beheer op verschillende punten verder moet worden verbeterd:

- Gedeeld beheer:

- met betrekking tot het subsidiebeheer in het kader van de Schengenfaciliteit 2 zullen – ondanks de toegestane contractverlenging en de vastgestelde wijzigingen in de verdeling van de middelen over het Schengendeel en de kasstroom – de risicoprofielen moeten worden bijgesteld, zullen de afsluitende audits dienovereenkomstig moeten worden aangepakt en zal JLS nauwlettend moeten toezien op de begrotingsuitvoering;

- de algemene coördinatie van auditstrategieën door de diensten van de Commissie die verantwoordelijk zijn voor het beheer van de Structuurfondsen dient te worden verbeterd, zodat de dekking van de algemene controle-instellingen toeneemt. Wanneer de Commissie beschikt over de resultaten van het in 2009 gestarte onderzoek ter beoordeling van het werk van de controle-instellingen zal zij kunnen gebruikmaken van de daarbij verstrekte adviezen en zo haar eigen audits ter plaatse kunnen beperken.

- Direct beheer:

- de rechtsgrondslag van de inventarisatieprocedure werd herzien en de controlevereisten dienen volledig ten uitvoer te worden gelegd door het OIB;

- ondanks de sterke punten van zijn Public Procurement Advisory Group dient de aanbestedingsprocedure bij het GCO aanzienlijk te worden verbeterd, met name wat betreft de documentering van uitzonderingen, de planning, de kwaliteit van controles achteraf en de motivering voor de geslotenheid van de markt;

- op het gebied van onderzoek werd erop gewezen dat er een strategie voor opsporing en voorkoming van fraude nodig is en dat er betere richtsnoeren moeten komen voor de uitvoering van financiële-levensvatbaarheidscontroles. Er is echter al een aantal verbeteringen aangebracht in de interne-controlesystemen voor het beheer van het zevende kaderprogramma (zoals de juiste verhouding tussen controles vooraf en achteraf en de afronding van een beheersprocedure voor de Garantiefondsen).

- Indirect gecentraliseerd beheer – tenuitvoerlegging van GBVB-acties; er is vooruitgang geboekt bij de vereisten waaraan GVDB-missies moeten voldoen met betrekking tot indirect gecentraliseerd beheer, de opzet, ondersteuning en bewaking van GVDB-missies, en de afsluitingsprocedure voor GVDB-contracten. DG RELEX dient nadere maatregelen ten uitvoer te leggen om volledig te voldoen aan de indirect gecentraliseerde beheersvoorschriften (beoordelingen van de "zes pijlers", overeenkomstig artikel 56 van het Financieel Reglement). Daarnaast zullen richtsnoeren en methoden moeten worden ontwikkeld voor civiele crisisbeheersingsmissies en voor het opzetten van financiële beheerssystemen voor opdrachten; ook zal de controle achteraf van missies moeten worden aangescherpt.

De DIA is van mening dat er op het niveau van de instelling een overzicht moet komen om ervoor te zorgen dat gezamenlijke processen, zoals risicoanalyse en bedrijfscontinuïteitsbeheer, leiden tot doeltreffende bescherming van de instelling als geheel. Een overzicht is ook nodig om te waarborgen dat investeringen in IT-systemen voldoen aan het beginsel van goed financieel beheer door schaalbezuinigingen en gezamenlijke oplossingen voor gezamenlijke behoeften.

De DIA beveelt aan om passende organen te belasten met het samenstellen van dit overzicht en het doen van deugdelijke aanbevelingen, en ervoor te zorgen dat de verantwoordelijkheid voor de uitvoering van de verschillende processen niet verwatert.

De Commissie is van mening dat institutioneel toezicht voor bepaalde processen al bestaat of gepland is, bv. in de vorm van de Dienst voor effectbeoordelingen, de AGM-stuurgroep, het correspondentennetwerk interne controle, de collegiale toetsing van de jaarlijkse activiteitenverslagen, en een waaier van netwerken, workshops en online-ondersteuning van de diensten op deze gebieden.

Voorts is zij van oordeel dat de toewijzing van dit soort verantwoordelijkheden aan de centrale diensten zou leiden tot verwatering van de verantwoordelijkheid van de directeuren-generaal en diensthoofden.

Conclusie 2: Risicobeheer

De DIA stelde vast dat er vooruitgang is geboekt sinds de Commissie in 2005 een kader voor risicobeheer heeft goedgekeurd, maar was van mening dat de tenuitvoerlegging van dit kader beter moet worden geïntegreerd in het beheersproces van de diensten. Dit dient te worden gecombineerd met een beter overzicht van de horizontale risico's en een krachtiger centrale aansturing.

De centrale diensten konden deze aanbeveling niet volledig aanvaarden, aangezien zij bepaalde delen onverenigbaar met het bestuurskader van de Commissie achtten. De Commissie meent dat binnen de huidige bestuursstructuur de centrale diensten al zorgen voor een overzicht van de horizontale risico's en voor aansturing van de tenuitvoerlegging van het kader voor risicobeheer.

Conclusie 3: Bedrijfscontinuïteit van de instelling

De audit van de DIA wees uit dat het er nu op aankomt dat de Commissie zich blijft inspannen om de bedrijfscontinuïteit ingeval van ernstige onderbrekingen te waarborgen, met name door het herstel van cruciale activiteiten beter aan te sturen, te coördineren en te testen. De Commissie deelt dat standpunt.

Conclusie 4: IT-aanpak van de instelling

De DIA heeft aangetoond dat de strategische besluitvorming en het projectbeheer inzake IT verder moeten worden verbeterd om te waarborgen dat IT-projecten goed zijn afgestemd op de doelstellingen van de Commissie, kosteneffectief zijn en tijdig worden uitgevoerd. De Commissie is het met deze analyse eens.

Slotopmerkingen

In april 2010 diende de dienst Interne audit zijn strategische auditplan 2010-2012 in. Het is de bedoeling de belangrijkste geconstateerde risico's te bestrijken en te zorgen voor voldoende dekking ter ondersteuning van de algemene mening van de interne controleur over het financieel beheer.

[1] Enkele rapporten die begin 2009 werden afgerond, zijn toegevoegd aan het verslag over 2008 en worden derhalve niet opnieuw opgenomen in het verslag over 2009. Zo zijn ook enkele rapporten die in 2009 werden opgesteld, maar begin 2010 voltooid, in het verslag over 2009 opgenomen.

[2] COM(2010) 281 van 25 mei 2010.

[3] C1-verbintenissen zijn verbintenissen die binnen een jaar moeten worden nagekomen.

[4] C2-verbintenissen zijn verbintenissen die mogen worden overgedragen naar het volgende jaar, met name wanneer de tenuitvoerlegging van actieplannen geen follow-upaudit billijkt, of wanneer de geauditeerde vertragingen ondervindt.

[5] Systemen met een groot aantal gebruikers buiten het DG dat er de eigenaar van is.