Bruxelles, 15.9.2017

COM(2017) 497 final

RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

Relazione annuale all’autorità di discarico riguardante le revisioni contabili interne effettuate nel 2016 (articolo 99, paragrafo 5, del regolamento finanziario)

{SWD(2017) 306 final}


1.     Introduzione    

2.     Missione dello IAS: Indipendenza, obiettività e responsabilità — Finalità e oggetto della presente relazione    

3.     Quadro generale dell’attività di audit    

3.1.     Attuazione del piano di audit 2016    

3.2.     Dati statistici sulle raccomandazioni dello IAS    

4.     Sintesi delle attività di audit    

4.1.     Conclusioni sugli audit delle prestazioni    

4.1.1.     Prestazioni delle DG, dei servizi e delle agenzie esecutive della Commissione: processi orizzontali    

4.1.2.     Prestazioni relative all’esecuzione degli stanziamenti operativi e amministrativi di bilancio    

4.2.     Conclusioni limitate dello IAS in merito allo stato dei controlli interni di ciascuna DG    

4.3.     Parere complessivo sulla gestione finanziaria della Commissione    

5.     Consultazione dell’istanza della Commissione specializzata in irregolarità finanziarie    

6.     Conclusioni    

7.     Elenco delle sigle    

1.Introduzione

La presente relazione è finalizzata a informare il Parlamento europeo e il Consiglio riguardo all’attività svolta dal Servizio di audit interno (IAS) della Commissione, conformemente all’articolo 99, paragrafo 5, del regolamento finanziario. Essa si fonda sulla relazione elaborata dal revisore interno della Commissione a norma dell’articolo 99, paragrafo 3, del regolamento finanziario, riguardante le relazioni di audit e consulenza che lo IAS ha portato a termine nel 2016 1 in riferimento alle direzioni generali (DG), ai servizi e alle agenzie esecutive della Commissione 2 . Conformemente alla base giuridica, contiene una sintesi del numero e del tipo di controlli interni svolti, le raccomandazioni formulate e le misure adottate a seguito di tali raccomandazioni.

2.Missione dello IAS: Indipendenza, obiettività e responsabilità — Finalità e oggetto della presente relazione

La missione del Servizio di audit interno è offrire alla Commissione la funzione di assicurazione e di consulenza indipendente e oggettiva, destinata a fornire un valore aggiunto alle sue operazioni e a migliorarle. Lo IAS aiuta la Commissione a raggiungere i suoi obiettivi dotandola di un metodo sistematico e rigoroso al fine di valutare l’efficacia della gestione dei rischi, nonché delle procedure di controllo e di governance, e a formulare raccomandazioni per migliorarle. I suoi compiti includono la valutazione della procedura di governance e la formulazione delle raccomandazioni adeguate per migliorarla nel quadro dell’adempimento dei seguenti obiettivi: promuovere un’etica e valori adeguati in seno all’organizzazione, assicurare una gestione delle prestazioni e una responsabilizzazione efficaci in seno all’organizzazione e assicurare l’efficace trasmissione delle informazioni sui rischi e sui controlli ai settori interessati dell’organizzazione. In questo modo lo IAS promuove una cultura di gestione efficiente ed efficace all’interno della Commissione e dei suoi servizi. L’indipendenza dello IAS è sancita dal regolamento finanziario 3 e dal suo mandato 4 , adottato dalla Commissione. Lo IAS rende conto di tutti i suoi audit al comitato di controllo degli audit (CCA). Quest’ultimo assiste il Collegio dei commissari facendo in modo che l’attività dello IAS e della Corte dei conti europea (CCE) sia debitamente presa in considerazione dai servizi della Commissione e riceva il seguito adeguato.

Lo IAS opera conformemente al regolamento finanziario nonché alle norme internazionali per la pratica professionale dell’audit interno e al codice deontologico dell’Istituto di revisori interni (Institute of Internal Auditors).

Lo IAS non effettua audit dei sistemi di controllo degli Stati membri sui fondi della Commissione. Questo tipo di audit, che si svolge fino al livello dei singoli beneficiari, è di competenza dei revisori interni degli Stati membri, delle autorità di audit nazionali, di altre singole DG della Commissione e della Corte dei conti europea. Lo IAS svolge invece audit delle misure adottate dai servizi della Commissione per monitorare e sottoporre ad audit gli organismi degli Stati membri nonché altri organismi responsabili dell’erogazione di fondi dell’UE, come ad esempio le Nazioni Unite. Conformemente al regolamento finanziario, lo IAS può svolgere tali missioni di controllo in loco, anche negli Stati membri.

3.Quadro generale dell’attività di audit 

3.1.Attuazione del piano di audit 2016

Alla data limite del 31 gennaio 2017 l’attuazione del piano di audit aggiornato per l’esercizio 2016 aveva raggiunto l’obiettivo del 100% degli impegni pianificati per gli audit delle direzioni generali, dei servizi e delle agenzie esecutive della Commissione 5 .

Lo IAS ha perfezionato 154 impegni (fra cui audit, follow-up, esami e un incarico di consulenza), ripartiti come segue:

2016

2015

2014

 

Impegni

Relazioni

Impegni

Relazioni

Impegni

Relazioni

Audit

52

60

38

52 6

25 7

31

Follow-up

95

- 8

96

-

53

-

Esame (circoscritto)

6

6

2

2

5

5

Lettera di raccomandazioni

0

1

1

1

1

1

Valutazione del rischio informatico

0

0

0

0

1

1

Valutazione del rischio RCAM

0

0

1

1

0

0

Consulenza

1

1

1

1

0

0

Totale

154

68

139

57

85

38

Il piano iniziale di audit 2016 conteneva 67 impegni di audit ed esami circoscritti da completare entro la data limite del 31 gennaio 2017 e 34 audit che sarebbero dovuti cominciare prima di tale data ed essere perfezionati nel corso del 2017. Il piano è stato aggiornato alla metà dell’anno. Sia il piano iniziale sia quello aggiornato sono stati esaminati dal comitato di controllo degli audit.

Lo IAS pianifica la sua attività di audit in base a una valutazione dei rischi e a un’analisi delle capacità, conformemente al suo mandato e alle norme internazionali e al fine di garantire un’attuazione efficace ed efficiente del piano di audit. L’attuazione viene quindi monitorata regolarmente e gli adeguamenti effettuati laddove necessario.

3.2.Dati statistici sulle raccomandazioni dello IAS

Il numero di raccomandazioni formulate dallo IAS nel 2016 (incluso il loro tasso di accettazione) è stato il seguente:

 

Nuove raccomandazioni

Raccomandazioni accettate 9

Raccomandazioni non accettate

Priorità

 

 

%

 

%

Essenziale

0

0

100%

0

N.P.

Molto importante

119

119

100%

0 10

0%

Importante

138

138

100%

0

N.P.

Opportuna

1

1

100%.

0

N.P.

Totale

258

258

100%

0

N.P.

Per tutte le raccomandazioni accettate, le entità oggetto di audit hanno adottato piani d’azione che sono stati presentati allo IAS e sono stati da esso giudicati soddisfacenti.

L’attuazione delle raccomandazioni accettate, formulate nel periodo 2012-2016, valutata dalle entità oggetto di audit 11 al 31 gennaio 2017, è riportata nella tabella seguente. Le raccomandazioni attuate dopo la data limite del 31 gennaio 2017 non sono considerate.

Attuate

In corso (per numero di mesi di ritardo)

Anno 

Priorità

Totale 

N.

%

N.

%

Nessun ritardo

0 - 6

6 - 12

12+

2012

Essenziale

0

0

0%

0

0%

0

0

0

0

Molto importante

68

68

100%

0

0%

0

0

0

0

Importante

123

118

96%

5

4%

0

1

0

4

Opportuna

0

0

0%

0

0%

0

0

0

0

Totale 2012

191

186

97%

5

3%

0

1

0

4

2013

Essenziale

0

0

0%

0

0%

0

0

0

0

Molto importante

45

42

93%

3

7%

1

1

0

1

Importante

75

64

85%

11

15%

1

0

1

9

Opportuna

7

7

100%

0

0%

0

0

0

0

Totale 2013

127

113

89%

14

11%

2

1

1

10

2014

Essenziale

0

0

0%

0

0%

0

0

0

0

Molto importante

40

38

95%

2

5%

0

0

0

2

Importante

78

65

83%

13

17%

1

2

1

9

Opportuna

7

7

100%

0

0%

0

0

0

0

Totale 2014

125

110

88%

15

12%

1

2

1

11

Raccomandazioni IAC riprese

Essenziale

0

0

0%

0

0%

0

0

0

0

Molto importante

252

239

95%

13

5%

0

1

3

9

Importante

593

551

93%

42

7%

1

1

1

39

Opportuna

63

63

100%

0

0%

0

0

0

0

Totale IAC

908

853

94%

55

6%

1

2

4

48

2015

Essenziale

1

1

100%

0

0%

0

0

0

0

Molto importante

69

32

46%

37

54%

15

19

2

1

Importante

129

78

60%

51

40%

20

17

12

2

Opportuna

18

17

94%

1

6%

1

0

0

0

Totale 2015

217

128

59%

89

41%

36

36

14

3

2016

Essenziale

0

0

0%

0

0%

0

0

0

0

Molto importante

118

3

3%

115

97%

108

7

0

0

Importante

138

19

14%

119

86%

109

9

1

0

Opportuna

1

0

0%

1

100%

1

0

0

0

Totale 2016

257

22

9%

235

91%

218

16

1

0

TOTALE 2012-2016

1825

1412

77%

413

23%

258

58

21

76

Di cui essenziali o molto importanti 

593

423

71%

170

29%

124

28

5

13

Complessivamente, 1 412 raccomandazioni, ovvero il 77% del numero totale delle raccomandazioni accettate, formulate nel periodo 2012-2016, sono considerate attuate dalle entità oggetto di audit; rimane quindi in corso un totale di 413 raccomandazioni (23%). Di queste 413 raccomandazioni in corso, nessuna è essenziale e 170 (o il 29% del numero totale delle raccomandazioni essenziali e molto importanti accettate) sono molto importanti.

Delle 413 raccomandazioni in corso, 155 sono in ritardo, il che rappresenta l’8,5% del numero totale delle raccomandazioni accettate; fra queste, 18 raccomandazioni molto importanti sono in notevole ritardo (di oltre 6 mesi rispetto alla scadenza iniziale fissata). Nel complesso, queste raccomandazioni rappresentano soltanto lo 0,99% di tutte le raccomandazioni accettate nel periodo 2012-2016.

Il numero totale di raccomandazioni formulate nel periodo 2012-2016 per le quali è stato condotto un audit di follow-up è pari a 1 314, a fronte delle 1 412 segnalate come “pronte per il riesame” dalle entità oggetto di audit.

Di tutte le raccomandazioni sottoposte a follow-up in quel periodo, lo IAS ne ha chiuse 1 246 (il 95%). Ciò significa che, mediamente, lo IAS ha ritenuto che il 5% delle raccomandazioni non potesse ancora essere considerato attuato efficacemente e quindi non potesse essere chiuso dopo l’audit di follow-up.

Nel complesso, lo IAS ritiene che lo stato di avanzamento dell’attuazione delle raccomandazioni di audit sia soddisfacente e in linea con i precedenti periodi di programmazione. Lo IAS indica che i servizi della Commissione attuano le raccomandazioni molto importanti con la dovuta diligenza, mitigando così i rischi individuati. Ciononostante, e sebbene non vi siano questioni ricorrenti in sospeso o specifici servizi interessati, occorre prestare attenzione alle singole raccomandazioni “molto importanti” in ampio ritardo, ossia in ritardo di oltre sei mesi. Un’apposita relazione è stata elaborata e trasmessa al comitato di controllo degli audit, della quale è fornita una sintesi nel documento SWD che accompagna la presente relazione.

4.Sintesi delle attività di audit

4.1.Conclusioni sugli audit delle prestazioni 

In risposta alla linea seguita dalla Commissione a favore di una cultura basata sulle prestazioni e conformemente alle sue indicazioni di accordare maggiore attenzione al rapporto qualità/prezzo, nel 2016 lo IAS ha continuato a condurre audit delle prestazioni 12 nonché audit contenenti importanti elementi sulle prestazioni (audit integrati) nel quadro del suo piano di audit strategico per il 2016-2018.

Secondo la propria metodologia e le proprie migliori prassi, lo IAS ha analizzato le prestazioni in maniera indiretta, esaminando cioè se e come i dirigenti abbiano istituito sistemi di controllo atti a valutare le prestazioni (efficienza ed efficacia) delle attività e fornire le relative garanzie. Adottando questo approccio, lo IAS intende assicurarsi che, innanzitutto, le DG e i servizi abbiano istituito quadri di riferimento delle prestazioni e strumenti di misurazione delle prestazioni, indicatori chiave e sistemi di monitoraggio adeguati. Ciò deriva in parte dal fatto che un numero considerevole di basi giuridiche stabilisce obiettivi di portata più ampia rispetto a quanto la Commissione possa realmente conseguire da sola. Ciò significa che gli obiettivi e i parametri di riferimento SMART devono prima essere fissati a livello di Commissione per dissociare, nella misura possibile, il contributo specifico della Commissione da quelli di altri importanti attori chiave che concorrono all’attuazione e al conseguimento degli obiettivi dei fondi dell’UE (Stati membri, regioni, paesi terzi, organizzazioni internazionali ecc.).

I paragrafi successivi illustrano le conclusioni dello IAS sui vari aspetti relativi alle prestazioni degli audit effettuati nel 2016.

4.1.1.Prestazioni delle DG, dei servizi e delle agenzie esecutive della Commissione: processi orizzontali

4.1.1.1. Gestione delle prestazioni

Le DG e i servizi devono far fronte a pressioni sempre più forti sulle risorse finanziarie e umane e devono allo stesso tempo dimostrare di poter conseguire gli obiettivi prefissati e di utilizzare in maniera ottimale le risorse. In un contesto politico in cui si presta grande attenzione alle prestazioni, è essenziale che le DG definiscano, gestiscano, monitorino e riferiscano in modo adeguato sugli obiettivi specifici che ricadono sotto il loro controllo e sono conseguibili mediante i loro contributi e interventi. Vari audit dello IAS hanno esaminato, in particolare, la gestione e la misurazione delle prestazioni e hanno rivelato che per migliorare il livello di maturità dei meccanismi di gestione e misurazione delle prestazioni delle DG sono ancora necessari miglioramenti significativi. Ciò conferma la conclusione dello scorso anno, che evidenziava la necessità di adottare ulteriori provvedimenti, a livello sia di istituzione che di DG, per migliorare la qualità degli obiettivi e degli indicatori. Nel 2016 anche la Corte dei conti europea ha evidenziato lacune nella gestione e nella misurazione delle prestazioni nella sua relazione annuale e nelle relazioni speciali 13 . Lo IAS formula raccomandazioni in questo ambito da molti anni. Nel corso del tempo sono stati compiuti importanti progressi, per esempio grazie ad alcune nuove iniziative a livello di istituzione. Lo IAS continua tuttavia a individuare debolezze significative e rischi elevati, da cui si evince che, nonostante gli sforzi compiuti, occorre tempo per sviluppare un’effettiva cultura e mentalità basata sulle prestazioni e porre in atto una gestione efficiente ed efficace delle prestazioni in tutta l’organizzazione.

Il “quadro comune di monitoraggio e valutazione” è uno degli elementi chiave a disposizione della DG AGRI per la misurazione delle prestazioni della politica agricola comune. Sono state individuate debolezze significative nella definizione degli obiettivi, nella serie di indicatori utilizzati e nella raccolta dei dati che possono pregiudicare la capacità della DG AGRI di monitorare, valutare e riferire sulle prestazioni della politica agricola comune nel periodo 2014-2020.

La DG GROW ha applicato diversi strumenti di gestione delle prestazioni per monitorare i suoi principali settori di intervento e per indirizzare le prestazioni operative, ma il quadro di gestione delle prestazioni deve essere ulteriormente migliorato per dimostrare come le azioni a breve termine della DG contribuiscano effettivamente al conseguimento dei suoi obiettivi strategici e quindi delle priorità di alto livello della Commissione. In particolare, manca la descrizione della visione strategica globale e le informazioni disponibili sulle prestazioni non sempre sono sufficienti o presentate in modo coerente nei diversi documenti di pianificazione e programmazione strategica.

Sono state osservate debolezze analoghe nel quadro di gestione delle prestazioni della DG MOVE. La DG non ha una visione strategica globale che descriva le modalità di organizzazione degli interventi e il modo in cui le realizzazioni a breve termine determinino risultati e impatti a medio e lungo termine e contribuiscano al conseguimento dei suoi obiettivi strategici. Non è inoltre previsto un metodo centralizzato di monitoraggio e comunicazione dei risultati a lungo termine delle politiche e gli obiettivi specifici della DG MOVE non sono abbastanza precisi e pertinenti. Non esisteva una procedura formale per l’elaborazione delle dichiarazioni programmatiche relative al meccanismo per collegare l’Europa, né erano disponibili orientamenti interni per stabilire i compiti da svolgere, le responsabilità e i ruoli di ciascuna unità, i tempi e il flusso di lavoro, la definizione degli indicatori con la fonte delle informazioni, la metodologia di calcolo degli indicatori e l’unità incaricata.

La DG DEVCO ha messo a punto alcuni strumenti di gestione delle prestazioni che le permettono di indirizzare le prestazioni operative sia in sede sia presso le delegazioni dell’UE. Tuttavia, il sistema di gestione delle prestazioni della DG DEVCO per pianificare, monitorare e riferire sul conseguimento dei suoi obiettivi deve essere notevolmente migliorato per rafforzarne l’efficacia. Non è previsto il monitoraggio sistematico dei progressi compiuti verso il raggiungimento degli obiettivi e dei target stabiliti nel piano di gestione e la maggior parte delle delegazioni dell’UE campionate non monitora il raggiungimento degli obiettivi stabiliti nei rispettivi piani di gestione. Non esistono inoltre orientamenti centrali sul monitoraggio degli obiettivi e dei target stabiliti nei documenti d’azione 14 e i risultati dei progetti rientranti nello stesso documento d’azione non sono consolidati al fine di fornire informazioni sul raggiungimento degli obiettivi generali. Per quanto riguarda la comunicazione, le informazioni sulle prestazioni della DG DEVCO contenute nelle diverse relazioni attinenti alla pianificazione e programmazione strategica sono di tipo limitato e non forniscono una reale valutazione della misura in cui gli obiettivi sono stati raggiunti. A livello di programmi non è prevista una relazione annuale sui progressi compiuti verso il conseguimento degli obiettivi stabiliti nei documenti di programmazione, che consolidi i risultati misurati a livello di progetti. Il revisore interno ha riconosciuto gli sforzi compiuti dalla DG per integrare meglio gli strumenti di gestione delle prestazioni con iniziative a favore di relazioni orientate ai risultati.

Un audit condotto presso la DG EAC si è concluso positivamente e ha dimostrato che è possibile attuare un quadro efficace di gestione delle prestazioni, nonostante il fatto che la DG si confronti con attività attinenti a una molteplicità di politiche e programmi di spesa.

4.1.1.2. Gestione dei rischi

La gestione dei rischi è un’attività continuativa. In generale, i dirigenti svolgono ogni anno una valutazione dei rischi nel contesto delle attività di pianificazione e programmazione strategica. Un audit condotto presso la DG NEAR sulla gestione dei rischi ha individuato notevoli lacune nella concezione e nell’attuazione di questa procedura che ne compromettono l’efficacia generale. In risposta a tale constatazione, la DG NEAR ha predisposto un piano d’azione per affrontare le debolezze significative.

4.1.1.3. Gestione delle risorse umane

Nel settore delle risorse umane, lo IAS ha valutato, presso varie DG e agenzie esecutive, se fossero state definite e attuate strategie efficaci in materia di risorse umane per rispondere alle sfide derivanti dalle nuove priorità, dalle variazioni nell’organico e dalla riorganizzazione. In generale, gli audit hanno portato a concludere che le DG e le agenzie esecutive hanno adottato provvedimenti adeguati per gestire le sfide con cui si confrontano. Ciononostante nella DG ENV esistono margini di miglioramento, in quanto la DG al momento non è in grado di monitorare e comparare con efficacia il carico di lavoro al suo interno. L’audit della REA ha rivelato debolezze significative nella procedura di selezione degli agenti contrattuali, cioè nei controlli relativi all’ammissibilità, all’applicazione dei criteri di selezione e alla completezza dei fascicoli di candidatura e negli orientamenti forniti ai membri del comitato di selezione e agli osservatori.

4.1.1.4. Gestione dei sistemi informatici

Nel settore informatico, vari audit hanno confermato che esistono possibilità di migliorare l’efficacia di vari aspetti delle operazioni informatiche.

La DG GROW deve affrontare debolezze significative riguardanti la governance informatica e la gestione del portafoglio per essere certa di poter compiere una fruttuosa trasformazione organizzativa e garantire il pieno allineamento fra le esigenze operative e i sistemi informatici. Si sono osservate debolezze nella strategia informatica e nel collegamento degli obiettivi agli indicatori chiave di prestazione, nella gestione dei rischi informatici, nella comunicazione degli sviluppi fondamentali nei sistemi informatici, nella valutazione dei costi/benefici dei sistemi informatici, nella gestione del portafoglio e dei programmi informatici in generale.

Presso la DG JRC, nonostante la presenza di alcune buone prassi, lo IAS ha individuato debolezze significative nella sicurezza informatica che lo inducono a concludere che i controlli previsti non forniscano una garanzia sufficiente dell’adeguata mitigazione del rischio per la sicurezza informatica. Il controllo esercitato dai dirigenti sulla sicurezza informatica è inadeguato, il JRC non definisce requisiti di sicurezza nella progettazione dei sistemi informatici, l’esame della sicurezza informatica non viene eseguito per tutti i sistemi e l’inventario dei sistemi informatici è incompleto per quanto riguarda la sicurezza.

Presso la DG BUDG sono state osservate debolezze significative nell’efficacia dei provvedimenti adottati per gestire gli interventi manuali nel sistema ABAC. Lo IAS ha osservato un ampio ricorso agli interventi manuali nell’ambiente produttivo, associato a un numero relativamente elevato di utenti privilegiati assegnato al personale interno e a consulenti esterni, con accesso illimitato e diritti di eseguire modifiche nell’ambiente produttivo, nonché debolezze nei controlli sugli account degli utenti privilegiati e nei controlli preventivi, che non sono sufficientemente compensate da adeguati controlli ispettivi.

L’Ufficio delle pubblicazioni dipende fortemente dai sistemi informatici per le procedure relative alla sua attività principale e ha quindi introdotto alcuni controlli per assicurare la continuità operativa in questo ambito. Ciononostante lo IAS ha individuato carenze nella sicurezza fisica del centro dati alternativo, obiettivi relativi ai tempi di recupero non raggiunti per processi operativi fondamentali e un’analisi dell’impatto operativo che produce un quadro incompleto e risultati fuorvianti.

L’audit del progetto concernente lo scambio elettronico di informazioni in materia di sicurezza sociale presso la DG EMPL ha evidenziato alcuni rischi associati all’effettiva attuazione di un progetto informatico. Lo IAS ha concluso che i controlli previsti non forniscono una garanzia sufficiente che i restanti rischi elevati associati a tale progetto delicato e complesso siano stati pienamente mitigati. In particolare, il primo risultato tangibile (versione pronta per la produzione) richiedeva controlli urgenti e più rigorosi sugli obiettivi e le tappe del progetto e sulla titolarità dei compiti. Per affrontare le debolezze individuate nelle prime fasi di vita del sistema è necessario disporre di un chiaro quadro generale dei compiti e della titolarità. La DG EMPL aveva già avviato piani d’azione per risolvere alcune debolezze individuate, ma lo IAS ha sottolineato l’urgenza e la necessità di garantire che le azioni siano attuate quanto prima possibile.

4.1.1.5. Altri audit

Altri audit dello IAS riguardanti le attività antifrode relative alle risorse proprie tradizionali, la gestione e la condivisione dei dati sulle questioni agro-climatico-ambientali, la migliore regolamentazione e gli audit ex post del servizio comune di audit hanno rivelato che sono necessari ulteriori provvedimenti per migliorare le prestazioni generali di queste procedure.

Lo IAS ha riscontrato debolezze significative concernenti la pianificazione, la gestione e il coordinamento delle attività di prevenzione e individuazione delle frodi nel settore delle risorse proprie tradizionali che possono compromettere l’efficacia di tali attività.

La gestione dei dati è una componente essenziale dell’elaborazione di politiche fondate su elementi concreti. Uno dei principali ambiti in cui è necessaria un’efficace condivisione dei dati è quello agro-climatico-ambientale, in quanto si tratta di questioni trasversali che interessano varie DG e settori di intervento. Lo IAS ha concluso che, sebbene esistano alcune norme e procedure in materia di gestione dei dati, la presenza di debolezze significative impedisce di garantire un processo efficace ed efficiente di gestione e condivisione dei dati agro-climatico-ambientali. Ciò è dovuto all’assenza di un quadro di riferimento in materia a livello di Commissione e alle lacune presenti nelle attuali modalità di gestione e scambio dei dati agro-climatico-ambientali fra le DG.

Per quanto riguarda la migliore regolamentazione, lo IAS ha constatato che la Commissione ha adottato provvedimenti significativi per attuare il nuovo programma “Legiferare meglio”. Tuttavia, nonostante questi risultati, sono ancora necessari notevoli sforzi, soprattutto a livello di istituzione, per portare tale programma alla piena maturazione.

Il Servizio comune di audit (SCA) presso il centro comune di sostegno (CCS) deve compiere sforzi considerevoli per rendere più efficaci le procedure interne ed essere certo di poter conseguire gli obiettivi della strategia di audit ex post del 7° PQ e pronto a rispondere alle sfide poste dalla strategia di audit ex post di Orizzonte 2020. In particolare, dovrebbe ridurre il tempo medio di chiusura degli audit e migliorare le procedure interne di pianificazione, monitoraggio e comunicazione degli audit ex post. Dovrebbe altresì stabilire obiettivi SMART ed elaborare un metodo e orientamenti in materia di individuazione delle frodi.

Sono state individuate alcune debolezze nella vigilanza sulla sicurezza dei trasporti aerei e marittimi da parte della DG MOVE. Si tratta di un settore in cui i problemi di sicurezza in definitiva possono causare gravi conseguenze per la reputazione dell’istituzione. Lo IAS ha concluso che sono presenti debolezze significative nel sistema di monitoraggio attuale della DG MOVE, dovute alla mancanza di una strategia di monitoraggio esaustiva e formalizzata, che stabilisca innanzitutto il livello di certezza che la DG MOVE deve ottenere circa la conformità degli Stati membri alla legislazione dell’UE in materia di sicurezza dei trasporti aerei e marittimi tramite i meccanismi di monitoraggio e, in secondo luogo, la portata e la copertura delle attività ispettive.

4.1.2.Prestazioni relative all’esecuzione degli stanziamenti operativi e amministrativi di bilancio

4.1.2.1. Gestione diretta

Nell’ambito dei fondi a gestione diretta, diversi audit (presso le DG HOME, JUST, RTD e la REA) hanno valutato le procedure di gestione delle sovvenzioni e in ciascuno di essi lo IAS ha individuato alcuni aspetti che possono migliorare l’efficienza e l’efficacia di tali procedure. Un audit ha esaminato se la Commissione impieghi appaltatori esterni operanti intra-muros in modo efficace ed efficiente e ha concluso che in assenza di un quadro di riferimento a livello di istituzione, che fornisca indirizzi e orientamenti alle DG, la Commissione è esposta a rischi significativi nel garantire un impiego efficiente ed efficace degli appaltatori intra-muros. A livello di DG, si può fare di più per gestire attivamente la questione, per esempio inserendo nei contratti clausole di salvaguardia volte a garantire l’efficacia della spesa.

Un altro audit, riguardante l’efficacia della gestione del programma COSME presso l’EASME, ha evidenziato lacune nella cooperazione fra l’EASME e la DG di riferimento. Per gran parte del tempo l’agenzia è rimasta priva di solide basi su cui elaborare la parte del suo programma di lavoro annuale dedicata al programma COSME e per pianificare le sue attività, a causa del contributo tardivo della DG di riferimento e delle modifiche significative introdotte nel programma di lavoro COSME durante la revisione intermedia. L’EASME non ha valutato in modo adeguato l’impatto di queste circostanze sull’esecuzione efficiente delle azioni delegate e non ha stabilito un documento di pianificazione aggiornato che tenga conto di tutte le modifiche apportate a tali azioni nel corso dell’anno.

4.1.2.2. Gestione indiretta

Per quanto riguarda i fondi a gestione indiretta, diversi audit hanno esaminato le modalità di vigilanza adottate dalle DG e dai servizi e sono state individuate alcune debolezze significative che possono compromettere il conseguimento degli obiettivi strategici.

Un audit sulle modalità di coordinamento e di lavoro con le agenzie e gli organismi di normazione dell’UE in seno alle DG HOME e SANTE ha evidenziato le difficoltà incontrate dalle DG partner della Commissione nei loro rapporti con le agenzie decentrate dell’UE, compresa la natura giuridicamente non vincolante dell’orientamento comune sulle agenzie decentrate dell’UE (concordato nel luglio 2012 dal Parlamento europeo, dal Consiglio e dalla Commissione), volto a rendere le agenzie più coerenti, efficaci e responsabili. L’audit ha altresì rivelato che il livello di vigilanza che le DG partner possono esercitare nella pratica dipende da: 1) il “potere” decisionale limitato (in termini di numero di voti) della Commissione in seno ai consigli di amministrazione delle agenzie; 2) le risorse a disposizione delle DG partner per vigilare sulle agenzie; 3) la disponibilità delle agenzie a cooperare con la DG quali partner reali, dato che le agenzie di questo tipo sono organismi autonomi dell’Unione, soggetti a una procedura di discarico distinta da parte del Parlamento europeo e 4) la necessità che le agenzie mantengano la loro indipendenza rispetto alla Commissione, soprattutto quando presentano pareri scientifici. Tuttavia qualsiasi problema significativo emerga nelle agenzie potrebbe avere serie implicazioni per la reputazione della Commissione. In termini di prestazioni, sono state individuate debolezze significative in tre elementi chiave della strategia generale delle DG nei confronti di tali agenzie, ossia 1) il contributo della DG partner alla programmazione delle agenzie e il collegamento tra le attività di programmazione delle agenzie e quelle della DG interessata; 2) il monitoraggio delle attività delle agenzie da parte della DG partner e 3) la strategia di controllo della DG partner per il consolidamento della garanzia di affidabilità e la comunicazione (nel contesto della relazione annuale di attività) relativa ai compiti “affidati” alle agenzie (per esempio i “compiti di esecuzione del bilancio” affidati tramite “accordi di delega”).

Anche un audit del monitoraggio del progetto ITER da parte della DG ENER ha rivelato debolezze significative che compromettono il controllo efficace dell’attuazione del progetto, poiché non erano chiaramente stabiliti i risultati che la DG 15 e l’Euratom intendono ottenere con le attività di monitoraggio né il modo in cui prevedono di valutare l’efficacia di tali attività. Inoltre la Commissione non riceve tutte le informazioni essenziali per assicurare il monitoraggio efficace del progetto F4E e l’utilizzo di tali conoscenze nelle discussioni in seno ai pertinenti organismi di governance dell’agenzia interessata.

4.1.2.3. Gestione concorrente

Nel contesto della gestione concorrente, l’audit relativo al sostegno accoppiato facoltativo nella DG AGRI ha confermato che si tratta di un ambito molto complesso e che la legislazione offre agli Stati membri un’ampia serie di opzioni, il che a sua volta si traduce in notevoli pressioni sulle risorse a disposizione della Commissione per garantire la corretta gestione di tale forma di sostegno. Sono state individuate debolezze significative nei sistemi di gestione e di controllo istituiti dalla DG AGRI per il sostegno accoppiato facoltativo, in particolare in relazione al monitoraggio delle prestazioni, che mettono a rischio il conseguimento degli obiettivi del regime e possono determinare distorsioni su altri mercati agricoli.

Un audit dell’efficacia delle misure di semplificazione nell’ambito dei Fondi strutturali e di investimento europei 2014-2020 ha rivelato che le DG dovranno scongiurare alcuni rischi elevati per garantire che si presti un’attenzione costante ai risultati, aspettativa fondamentale nell’attuale periodo di programmazione. In particolare, l’adozione e l’impatto delle misure di semplificazione negli Stati membri sono inferiori al previsto e si devono mitigare i rischi associati alle opzioni semplificate in materia di costi.

4.2.Conclusioni limitate dello IAS in merito allo stato dei controlli interni di ciascuna DG

Lo IAS ha trasmesso conclusioni limitate sullo stato dei controlli interni a ciascuna DG e ciascun servizio nel febbraio 2017. Tali conclusioni contribuiscono alle relazioni annuali di attività per il 2016 delle DG e dei servizi interessati. Si basano sull’attività di audit svolta negli ultimi tre anni e coprono tutte le raccomandazioni pendenti formulate dallo IAS e dalle precedenti strutture di audit interno (purché lo IAS le abbia riprese). Inoltre, le conclusioni richiamano l’attenzione, in particolare, su tutte le raccomandazioni pendenti ritenute essenziali o sull’effetto combinato di una serie di raccomandazioni ritenute molto importanti perché potrebbero richiedere la formulazione di una riserva nella relazione annuale di attività della DG/del servizio interessato. La conclusione dello IAS sullo stato dei controlli interni si limita ai sistemi di gestione e di controllo che sono stati sottoposti ad audit e non riguarda quelli che negli ultimi tre anni non sono stati sottoposti ad audit dallo IAS o dalle IAC.

Le conclusioni limitate invitano a prestare particolare attenzione, e determinano così la formulazione di riserve nella relazione annuale di attività della DG interessata, sulle seguenti DG:

- DG CLIMA, per quanto riguarda il ritardo osservato nell’attuazione di una raccomandazione molto importante concernente la sicurezza informatica (gestione della sicurezza informatica del sistema EU ETS), che espone la DG al rischio di violazioni della sicurezza;

- DG DEVCO, per quanto riguarda l’effetto combinato di tre raccomandazioni molto importanti ancora aperte, formulate nel contesto dell’audit relativo alla gestione del Fondo per la pace in Africa.

4.3.Parere complessivo sulla gestione finanziaria della Commissione

Come prevede il suo mandato, lo IAS presenta anche un parere complessivo annuale sulla gestione finanziaria nella Commissione. Tale parere si basa sul lavoro di audit nel settore della gestione finanziaria presso la Commissione, svolto sia dallo IAS sia dalle precedenti strutture di audit interno nei tre anni precedenti (2014-2016). Tiene altresì conto delle informazioni provenienti da altre fonti, segnatamente delle relazioni della Corte dei conti europea. Il parere complessivo viene presentato parallelamente alla relazione e riguarda lo stesso esercizio finanziario.

Come nelle edizioni precedenti, il parere complessivo del 2016 rispecchia le riserve formulate dagli ordinatori delegati nelle dichiarazioni di affidabilità. Per giungere a questo parere lo IAS ha preso in considerazione l’impatto combinato degli importi stimati a rischio indicati nelle relazioni annuali di attività, alla luce delle capacità correttive evidenziate dalle rettifiche finanziarie e dai recuperi del passato, nonché da stime delle correzioni future e degli importi a rischio alla chiusura. Alla luce delle rettifiche finanziarie e dei recuperi del passato e ipotizzando che le rettifiche future mantengano un livello comparabile, lo IAS conclude che il bilancio dell’UE è adeguatamente protetto nel suo insieme (non necessariamente nei singoli settori strategici) e nel tempo (talvolta diversi anni dopo).

Senza aggiungere riserve, il revisore interno ha inserito nel parere un “paragrafo di enfasi” che riguarda:

- le strategie di vigilanza concernenti l’attuazione di politiche e programmi da parte di terzi.

Pur rimanendo pienamente responsabile di garantire la legittimità e la regolarità della spesa e la sana gestione finanziaria (nonché il conseguimento degli obiettivi strategici), la Commissione fa crescente ricorso a terzi per l’attuazione dei suoi programmi. A tal fine, nella maggior parte dei casi la Commissione delega l’attuazione del proprio bilancio operativo (in modalità di gestione indiretta) o determinate mansioni a paesi terzi od organizzazioni internazionali, agenzie nazionali, imprese comuni, organismi non appartenenti all’UE e agenzie decentrate dell’UE. Inoltre, in alcuni settori di intervento, nell’ambito del QFP 2014-2020 si fa maggiore ricorso agli strumenti finanziari o ai fondi di terzi/organismi extra UE (per es. autorità nazionali o investitori privati). Tali strumenti e meccanismi di finanziamento alternativi comportano sfide e rischi specifici per la Commissione, come evidenziato dalla Corte dei conti europea.

Per assolvere le proprie responsabilità generali, le DG operative devono vigilare sull’attuazione dei programmi e delle politiche e fornire orientamenti e assistenza ove necessario. Le DG devono quindi definire e svolgere attività di vigilanza/monitoraggio/comunicazione adeguate, efficaci ed efficienti per garantire che le entità delegate e altri partner attuino i programmi con efficacia, tutelino adeguatamente gli interessi finanziari dell’UE, ottemperino all’accordo di delega, ove applicabile, e che ogni potenziale problema sia affrontato il più rapidamente possibile.

In diversi audit lo IAS ha raccomandato di inserire nelle strategie di controllo e vigilanza di alcune DG una descrizione più chiara delle rispettive priorità ed esigenze per quanto riguarda l’ottenimento della garanzia di sana gestione finanziaria presso tali organismi dell’UE ed extra UE. In particolare, le strategie di controllo non tenevano adeguatamente conto dei diversi rischi che si corrono incaricando le entità delegate di svolgere determinati compiti e non venivano effettivamente usate fonti indipendenti per consolidare le garanzie di affidabilità. Tali DG dovrebbero svolgere attività di vigilanza più efficaci ed efficienti.

Inoltre gli obiettivi delle attività di vigilanza/monitoraggio/comunicazione e il modo in cui valutarne l’efficacia non erano abbastanza chiari e nella pratica i controlli di vigilanza erano limitati.

Lo IAS prende atto della recente iniziativa intrapresa dai servizi centrali di elaborare orientamenti specifici per le DG partner sulle relazioni con le rispettive agenzie decentrate, che comprendono, fra l’altro, il monitoraggio della programmazione, delle prestazioni e degli aspetti attinenti al bilancio.

5.Consultazione dell’istanza della Commissione specializzata in irregolarità finanziarie

Nel 2016 l’istanza specializzata in irregolarità finanziarie istituita a norma dell’articolo 73, paragrafo 6 16 , del regolamento finanziario non ha segnalato problemi sistemici.

6.Conclusioni 

L’attuazione dei piani d’azione elaborati in risposta agli audit svolti dallo IAS quest’anno e in quelli precedenti contribuisce a migliorare costantemente il quadro di controllo interno della Commissione.

Lo IAS effettuerà audit di follow-up sull’esecuzione dei piani d’azione che verranno esaminati dal comitato di controllo degli audit (CCA), il quale se del caso informerà il Collegio.

Lo IAS continuerà a concentrare la sua attività sugli audit finanziari, sugli audit di conformità, sugli audit informatici e sugli audit delle prestazioni.


7.Elenco delle sigle

Sigla

Descrizione

7° PQ

Settimo programma quadro per la ricerca e lo sviluppo tecnologico

ABAC

Contabilità per competenza

CCA

Comitato di controllo degli audit

CCE

Corte dei conti europea

CCS

Centro comune di sostegno

CEF

Meccanismo per collegare l’Europa

COSME

Programma per la competitività delle imprese e le piccole e le medie imprese

DG

Direzione generale

EASME

Agenzia esecutiva per le piccole e le medie imprese

F4E

Fusione per l’energia

IAC

Struttura di audit interno

IAS

Servizio di audit interno

ITER

Reattore sperimentale termonucleare internazionale

RAA

Relazione annuale di attività

RF

Regolamento finanziario

SCA

Servizio comune di audit

SG

Segretariato generale

SMART

Specifici, misurabili, realizzabili, pertinenti e da raggiungere entro un termine definito

SWD

Documento di lavoro dei servizi della Commissione

(1) La presente relazione comprende le relazioni di audit perfezionate nel periodo 1° febbraio 2016 -31 gennaio 2017.
(2) La relazione non riguarda le agenzie europee decentrate, né il Servizio europeo per l’azione esterna, né altri organismi sottoposti ad audit dello IAS, che sono oggetto di relazioni annuali distinte.
(3) Articolo 100 del regolamento finanziario.
(4) C(2015) 2541 (20 aprile 2015), Communication to the Commission, Mission Charter of the Internal Audit Service of the European Commission (Comunicazione alla Commissione, Mandato del servizio di audit interno della Commissione europea). Il mandato è stato aggiornato nel 2017, ref. C(2017) 4435 final del 30 giugno 2017, per allinearlo alle modifiche apportate alle norme internazionali dall’Istituto dei revisori interni.
(5) Il documento di lavoro dei servizi della Commissione (SWD) fornisce un quadro generale degli impegni di audit e di audit di follow-up completati.
(6) Alcuni audit, in particolare quelli inerenti a più DG, possono dare origine a più di una relazione di audit.
(7) L’“Analisi del divario della nuova legislazione/del progetto in materia di periodo di programmazione 2014-2020 dei Fondi strutturali e di investimento europei (FSIE) — Fase 2”, completata per la DG REGIO e la DG EMPL, viene conteggiata come due impegni.
(8) A fini di efficienza, le raccomandazioni di audit possono essere chiuse senza produrre sistematicamente una relazione formale o una nota conclusiva dopo ogni impegno di follow-up. Nella tabella non figurano quindi cifre sul numero di relazioni.
(9) Nel 2016 cinque raccomandazioni sono state accettate solo in parte:Di norma, lo IAS sottopone al comitato di controllo degli audit gli audit nei quali le raccomandazioni sono (in parte) respinte per il relativo esame. Ciò può indurre le DG a riconsiderare la loro posizione.
(10) Rispetto alle cifre presentate a pag. 6 (ossia 118 raccomandazioni molto importanti accettate dalle DG nel 2016), la cifra di 119 raccomandazioni molto importanti è lievemente diversa, in quanto una raccomandazione sulla qualità degli obiettivi e degli indicatori nel piano strategico e di gestione annuale 2016, ritenuta molto importante e rivolta alla DG MOVE nell’audit sulla definizione degli obiettivi e la misurazione delle prestazioni, era stata inizialmente respinta dalla DG. In seguito alla pubblicazione della relazione di audit definitiva, la DG MOVE ha deciso di accettare pienamente tutte le raccomandazioni contenute nella relazione.
(11)

   La presente tabella illustra la classificazione più recente delle raccomandazioni. Questa può differire dalla classificazione della relazione originale, se lo IAS ritiene che le azioni adottate successivamente dall’entità oggetto di audit siano sufficienti per mitigare in parte i rischi identificati e, quindi, per declassare la raccomandazione.

(12) Lo IAS ha condotto complessivamente 43 audit delle prestazioni e integrati. Per ulteriori dettagli si rimanda al documento di lavoro dei servizi della Commissione.
(13) Esempi: Relazione annuale della Corte dei conti sull’esecuzione del bilancio per l’esercizio finanziario 2015 – Capitolo 3 “Ottenere risultati dal bilancio dell’UE”; Relazione speciale n. 1/2016: Il sistema della Commissione per misurare la performance in relazione ai redditi degli agricoltori è ben strutturato e basato su dati validi?; Relazione speciale n. 16/2016: Gli obiettivi dell’UE in materia di istruzione: i programmi sono allineati a detti obiettivi, ma vi sono carenze nella misurazione della performance.
(14)  I documenti d’azione riportano gli obiettivi da perseguire, gli ambiti di intervento e la descrizione delle attività da svolgere, i risultati attesi, la logica dell’intervento (compresa la “matrice logica”), gli indicatori e i rispettivi valori target.
(15) La responsabilità di monitorare il progetto ITER, per conto dell’Euratom, è stata attribuita alla DG ENER il 1° luglio 2015, in seguito al trasferimento della pratica dalla DG RTD.
(16) L’articolo 117 delle modalità di applicazione stabilisce: “La relazione annuale del revisore interno segnala in particolare i problemi sistemici rilevati dall’istanza specializzata, istituita a norma dell’ articolo 73, paragrafo 6, del regolamento finanziario “.