RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Rapport annuel à l'autorité de décharge concernant les audits internes réalisés en 2017

COMMISSION EUROPÉENNE

Bruxelles, le 21.9.2018

COM(2018) 661 final

RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL

Rapport annuel à l'autorité de décharge concernant les audits internes réalisés en 2017

{SWD(2018) 429 final}

Table des matières

1. Introduction

2. La mission du service d’audit interne: indépendance, objectivité et responsabilité - Objectifs et portée du rapport

3. Vue d’ensemble des travaux d’audit

3.1. Mise en œuvre du plan d’audit 2017

3.2. Données statistiques sur les recommandations du service d’audit interne

4. Conclusions based on the audit work performed in 2017

4.1. Conclusions sur les audits de performance

4.1.1. Performance des directions générales, services et agences exécutives de la Commission: processus horizontaux

4.1.2. Performance dans l’exécution des crédits budgétaires opérationnels et administratifs

4.2. Conclusions limitées du service d’audit interne sur l’état du contrôle interne au sein de chaque DG

4.3. Opinion globale sur la gestion financière de la Commission

5. Consultation de l’instance de la Commission spécialisée en matière d’irrégularités financières

6. Mesures d’atténuation concernant les conflits d'intérêts potentiels (normes internationales) - Enquête du Médiateur européen

7. Conclusions

1.Introduction

Le présent rapport informe le Parlement européen et le Conseil des travaux menés par le service d’audit interne (IAS) de la Commission, conformément au règlement financier (RF). Il a pour fondement le rapport établi par l’auditeur interne de la Commission concernant les rapports d’audit et de conseil établis par le service d’audit interne en 2017 1 au sujet des directions générales, services et agences exécutives de la Commission 2 . Conformément à la base juridique sur laquelle il repose, il indique le nombre et le type d’audits internes réalisés, ainsi que les recommandations formulées et les suites données à ces recommandations.

2.La mission du service d’audit interne: indépendance, objectivité et responsabilité - Objectifs et portée du rapport

La mission du service d’audit interne consiste à fournir à la Commission des services indépendants et objectifs d’assurance et de conseil, destinés à produire une valeur ajoutée et à améliorer le fonctionnement de la Commission. Le service d’audit interne aide la Commission à atteindre ses objectifs par une approche systématique et méthodique visant à évaluer ses processus de gestion des risques, de contrôle et de gouvernance, et à formuler des recommandations qui tendent à améliorer l’efficacité de ces processus. Ses tâches consistent notamment à évaluer le processus de gouvernance et à formuler des recommandations adéquates pour l’améliorer dans sa réalisation des objectifs suivants: promouvoir une éthique et des valeurs appropriées au sein de l’organisation, veiller à une gestion et à une responsabilisation effectives dans l’organisation et assurer la bonne transmission de l’information sur les risques et le contrôle aux secteurs intéressés de l’organisation. Il promeut ainsi une culture de gestion efficiente et efficace au sein de la Commission et de ses services. L’indépendance du service d’audit interne est inscrite dans le règlement financier 3 et dans sa charte de mission 4 , adoptée par la Commission. Le service d’audit interne rend compte de l’ensemble de ses audits au comité de suivi des audits (CSA). Le comité de suivi des audits aide le collège des commissaires en veillant à ce que les travaux du service d’audit interne et de la Cour des comptes européenne soient dûment pris en considération par les services de la Commission et bénéficient d’un suivi approprié.

Le service d’audit interne effectue ses travaux dans le respect du règlement financier ainsi que du code de déontologie et des normes internationales pour la pratique professionnelle de l’audit interne élaborés par l’Institut des auditeurs internes.

Les audits du service d’audit interne ne portent pas sur les systèmes de contrôle des États membres concernant les fonds de l’UE. Les audits de ce type, qui s’effectuent à l’échelon des bénéficiaires individuels, sont menés par les services d’audit internes des États membres, les autorités d’audit nationales, d’autres directions générales de la Commission ainsi que la Cour des comptes européenne. Le service d’audit interne procède toutefois à l’audit des mesures prises par les services de la Commission pour superviser et contrôler les entités qui se trouvent dans les États membres ainsi que les autres entités chargées de décaisser des fonds de l’Union, telles que les Nations unies. Comme le prévoit le règlement financier, le service d’audit interne peut mener à bien ses missions sur place, y compris dans les États membres.

3.Vue d’ensemble des travaux d’audit

3.1.Mise en œuvre du plan d’audit 2017 5

À la date butoir du 31 janvier 2018, la mise en œuvre du plan d’audit 2017 mis à jour avait atteint son objectif de 98 % 6 des missions d'audit prévues à la Commission, dans ses services et ses agences exécutives 7 .

Les 148 missions finalisées (comprenant des audits, des suivis, des examens et des missions de conseil) se décomposent comme suit:

Le plan initial 2017 9 prévoyait 66 missions d’audit (y compris les audits, les examens et les missions de conseil, mais à l’exclusion des suivis) qui devaient être finalisées à la date butoir du 31 janvier 2018. En outre, le plan prévoyait 38 missions qui devaient commencer avant cette date butoir et être finalisées en 2018. Le plan 2017 a été mis à jour 10 en milieu d’année. Le plan initial et le plan mis à jour ont tous deux été pris en considération par le comité de suivi des audits.

Conformément à sa charte de mission et aux normes internationales et pour garantir une mise en œuvre efficace et efficiente du plan d’audit, le service d’audit interne planifie ses travaux d’audit sur la base d’une évaluation des risques et d’une analyse des capacités. La mise en œuvre fait ensuite l’objet d’un suivi régulier et des ajustements sont opérés lorsque nécessaire.

3.2.Données statistiques sur les recommandations du service d’audit interne 11

Nombre de recommandations formulées par le service d’audit interne (+ taux d’acceptation) en 2017:

Pour l’ensemble des recommandations acceptées ou partiellement acceptées, les entités auditées ont élaboré des plans d’action qui ont été communiqués au service d’audit interne et ont été jugés satisfaisants.

Dans son rapport d’audit interne annuel pour 2017, communiqué à la Commission en mai 2018, l’auditeur interne signalait qu’à ce moment-là (sur la base d’une date butoir fixée au 31 janvier 2018), deux plans d’action étaient toujours manquants 13 . Depuis la publication de ce rapport, les deux plans d’action ont été soumis au service d’audit interne et considérés comme satisfaisants, et huit recommandations (toutes liées à l’audit relatif aux dispositifs de gouvernance/surveillance de la Commission concernant la gestion des risques, la communication d’informations financières et la fonction d’audit/de vérification ex post) ont été pleinement acceptées par les entités auditées.

État de la mise en œuvre, au 31 janvier 2018, des recommandations acceptées qui ont été formulées au cours de la période 2013-2017, telle qu'évaluée par les entités auditées 14 :

Globalement, sur l’ensemble des recommandations acceptées qui ont été formulées au cours de la période 2013-2017, 1 476 (soit 80 %) sont considérées par les entités auditées comme étant mises en œuvre, ce qui laisse un total de 359 recommandations (soit 20 %) toujours en cours. Aucune de ces 359 recommandations en cours n’est qualifiée d’essentielle 15 et 133 recommandations (soit 23 % du nombre total de recommandations essentielles et très importantes acceptées) sont qualifiées de très importantes.

Sur les 359 recommandations en cours, 121 recommandations, soit 6,6 % du nombre total de recommandations acceptées, accusent un retard. Elles comprennent 12 recommandations très importantes accusant un sérieux retard (de plus de six mois par rapport à l’échéance initiale). Celles-ci ne représentent que 0,7 % du nombre total de recommandations acceptées pour la période 2013-2017.

Le nombre total de recommandations formulées au cours de la période 2013-2017 qui ont fait l’objet d’un audit de suivi est de 1 361, contre 1 476 recommandations pour lesquelles les entités auditées ont indiqué qu’elles étaient «prêtes pour examen».

Sur le nombre total de recommandations ayant fait l’objet d’un suivi au cours de cette période, 1 296 (soit 95 %) ont été clôturées par le service d’audit interne. Cela signifie que le service d’audit interne a estimé, en moyenne, que 5 % des recommandations ne pouvaient pas être considérées comme étant effectivement mises en œuvre et ne pouvaient donc pas être clôturées au terme de l’audit de suivi.

Globalement, le service d’audit interne considère que la situation actuelle quant à la mise en œuvre des recommandations d’audit est satisfaisante et comparable à celle des périodes de référence précédentes. Il indique que les services de la Commission font preuve de diligence lors de la mise en œuvre des recommandations très importantes, atténuant ainsi les risques recensés. Il convient néanmoins d'accorder une attention particulière aux différentes recommandations considérées comme «très importantes» qui accusent un sérieux retard, c’est-à-dire de plus de six mois. Un rapport sur ce point, dont un résumé figure dans le document de travail qui accompagne le présent rapport, a été rédigé et transmis au comité de suivi des audits 16 .

4.Conclusions based on the audit work performed in 2017

4.1.Conclusions sur les audits de performance

En réponse à la transition opérée par la Commission vers une culture axée sur la performance et à l’importance accrue que celle-ci accorde à la rentabilité, le service d’audit interne a continué, en 2017, à réaliser des audits de performance 17 et des audits qui comportent une analyse d’éléments de performance importants (audits intégrés) dans le cadre de son plan d’audit stratégique 2016-2018.

Conformément à ses méthodes et ses bonnes pratiques, le service d'audit interne a abordé la question de la performance de manière indirecte, c’est-à-dire en examinant dans quelle mesure et de quelle manière les responsables avaient mis en place des systèmes de contrôle destinés à évaluer et à garantir la performance (efficacité et efficience) de leurs activités. En adoptant ce type d’approche, le service d'audit interne entend tout d’abord s’assurer que les directions générales et les services ont mis en place des cadres de performance, des outils de mesure de la performance, des indicateurs clés et des systèmes de suivi adéquats. Cela s’explique en partie par le fait que, parmi les bases juridiques, nombreuses sont celles qui fixent des objectifs plus vastes que ce que la Commission peut réaliser seule. Cela signifie que des objectifs et des critères SMART (spécifiques, mesurables, réalisables, pertinents, assortis d'échéances) doivent d’abord être définis au niveau de la Commission afin de dissocier, dans la mesure du possible, la contribution spécifique de cette dernière de celle des autres acteurs essentiels qui contribuent à la réalisation des objectifs des fonds de l’UE (États membres, régions, pays tiers, organisations internationales, etc.).

Les points suivants détaillent les conclusions établies par le service d'audit interne sur les différents aspects liés à la performance dans le cadre des audits qu’il a réalisés en 2017.

4.1.1.Performance des directions générales, services et agences exécutives de la Commission: processus horizontaux

4.1.1.1. Processus de gouvernance

En octobre 2016, la Cour des comptes européenne a publié son rapport spécial nº 27/2016 intitulé «La gouvernance à la Commission européenne est-elle conforme aux meilleures pratiques?» La Cour des comptes a notamment recommandé à la Commission d'inviter le service d'audit interne à réaliser davantage de travaux d’audit sur les questions de gouvernance de haut niveau 18 . En réponse à cette recommandation, le collège a adopté, le 11 janvier 2017, une décision [réf. C(2017)4 final] demandant à l’auditeur interne d’effectuer un audit des dispositifs de la Commission en matière de gouvernance concernant la gestion des risques, la communication d’informations financières et la fonction d’audit/de vérification ex post. Le service d'audit interne a effectué cet audit en 2017, en plus de plusieurs autres audits déjà programmés sur les processus de gouvernance (de haut niveau) dans d'autres domaines au sein de la Commission. Il ressort de ces audits que divers dispositifs de gouvernance, tant au niveau institutionnel qu'au niveau opérationnel, présentent des faiblesses très importantes. Compte tenu de la complexité actuelle du contexte de l'UE, et notamment de la nécessité de nourrir la confiance de la population dans les politiques et les institutions de l'UE, le service d’audit interne a conclu que la Commission devait saisir l'occasion pour améliorer encore ses dispositifs de gouvernance et, partant, sa capacité à réaliser ses objectifs.

À la suite de la réforme administrative de 2000, la Commission a sensiblement progressé dans le renforcement de ses processus en matière d'obligation de rendre compte, de responsabilité et d'obtention de l'assurance. Le modèle décentralisé de gestion financière est bien compris et ancré dans la culture de l’organisation, et des instruments bien définis en matière d'obligation de rendre compte sont en place, de même qu’un solide processus d’obtention de l’assurance. En outre, en octobre 2017, la Commission a adopté une communication sur la gouvernance en son sein. Au niveau de l’institution, le service d’audit interne a néanmoins établi qu’il était nécessaire d’apporter des améliorations proportionnées aux dispositifs de gouvernance et de surveillance actuels, en particulier en ce qui concerne la gestion des risques et les aspects plus généraux de la structure de gouvernance.

De plus, dans le domaine de la gouvernance informatique de l'institution, d'importants progrès ont été accomplis depuis 2015, lorsque les structures de gouvernance informatique ont été mises en place. Malgré ces évolutions, de grandes faiblesses ont pourtant été constatées, qui requièrent une réaction proportionnée mais nécessaire afin de renforcer et d’affermir davantage la gouvernance dans ce domaine. Les améliorations recommandées visent à compléter et à renforcer les structures existantes de la Commission en dotant le comité chargé des technologies de l'information de pouvoirs plus étendus, en définissant une stratégie globale claire en matière informatique à l'échelle de l'institution et en améliorant la surveillance, au niveau de l'institution, du portefeuille d'investissement dans le domaine des technologies de l'information dans l'ensemble de la Commission.

La direction générale des ressources humaines et de la sécurité, l'Office de gestion et de liquidation des droits individuels (PMO) et l'Office européen de sélection du personnel (EPSO) possèdent un éventail de systèmes d’information institutionnels qui sont indispensables au fonctionnement quotidien de la Commission ainsi que d'autres institutions européennes, agences exécutives et décentralisées de l'UE et autres organes de l’UE. Sur ce point, d'importantes faiblesses ont été relevées dans les dispositifs de gouvernance et de gestion de projets attachés à ces systèmes. Des améliorations majeures s'imposent pour harmoniser les stratégies à la fois au sein de la famille des ressources humaines et avec la direction générale de l’informatique, en tant que principal fournisseur de systèmes et prestataire de services informatiques, et optimiser par là même la valeur tirée des investissements dans le domaine informatique.

Les lacunes en matière de gouvernance sont également une cause profonde des faiblesses importantes constatées dans le processus de production et la qualité des statistiques qui ne sont pas produites par Eurostat. Le service d’audit interne reconnaît que, dans les limites du cadre actuel et des responsabilités respectives des acteurs concernés, des mesures ont déjà été prises au niveau tant institutionnel (Eurostat) qu'opérationnel (direction générale/service) pour coordonner et gérer le processus de production de statistiques par les directions générales/services de manière à en améliorer la qualité. De plus, les directions générales opérationnelles ont mis en place, à des degrés divers de formalisation et de complexité, des processus et des activités devant permettre de couvrir leurs besoins en statistiques soit par des prestataires externes, soit par le traitement en interne des données déjà disponibles. Il n'en reste pas moins que le cadre dont la Commission dispose actuellement n'est pas suffisamment solide pour garantir une qualité satisfaisante, au niveau global, des statistiques qui ne sont pas établies par Eurostat et la viabilité à plus long terme des divers processus utilisés à ce jour.

4.1.1.2. Processus de gestion des ressources humaines

Dans le domaine des ressources humaines, le service d’audit interne a contrôlé plusieurs directions générales et agences exécutives dans le but de savoir si celles-ci avaient défini et mis en œuvre des stratégies adéquates de gestion des ressources humaines pour relever les défis que posent les nouvelles priorités, l'évolution des effectifs et les réorganisations. En règle générale, les audits ont conclu que les directions générales et les agences exécutives avaient adopté des mesures adéquates pour répondre aux défis qu’elles rencontrent en matière de ressources humaines. Des faiblesses ont néanmoins été relevées dans la gestion stratégique des ressources humaines au sein de la direction générale de la migration et des affaires intérieures et de l’agence exécutive «Éducation, audiovisuel et culture», dans l'affectation des ressources humaines au sein de la direction générale de la migration et des affaires intérieures et de la direction générale de la justice et des consommateurs, ainsi que dans la structure organisationnelle et le processus de sélection des agents contractuels au sein de l'agence exécutive «Éducation, audiovisuel et culture».

4.1.1.3. Processus de gestion de l'informatique

Plusieurs audits informatiques ont conclu qu’il était possible d’améliorer l’efficacité de la sécurité informatique à la Commission. La cybersécurité, ou sécurité informatique, est vitale pour garantir, au sein d'une organisation, la protection des informations contre la divulgation à des utilisateurs non autorisés (confidentialité), contre la modification abusive (intégrité) et contre l'impossibilité d'accès en temps utile (disponibilité).

Lors de l'audit de la sécurité informatique effectué au sein de la direction générale de l'informatique, le service d'audit interne a conclu que, bien que les contrôles préventifs soient bien conçus et efficaces, le degré de maturité varie selon les technologies analysées. Les contrôles d'intégrité présentent par ailleurs d'importantes faiblesses et sont moins systématiques et efficaces dans la pratique.

Au niveau opérationnel, la direction générale de l'énergie gère plusieurs systèmes informatiques qui permettent eux-mêmes de gérer des processus de comptabilité et d'inspection nucléaires supposant le traitement d'informations classifiées au titre du contrôle de sécurité de la Communauté européenne de l'énergie atomique (Euratom). Ces systèmes posent d'importants problèmes qu'il convient de résoudre. Ainsi, les dispositifs de sécurité actuels résultent principalement d'une analyse effectuée il y a une soixantaine d'années, qui n'a pas été actualisée depuis lors. De plus, des faiblesses organisationnelles ont été constatées dans les dispositifs de gouvernance de la sécurité informatique, les plans de sécurité informatique et les contrôles pratiqués sur le réseau sécurisé.

L'Office européen de lutte antifraude (OLAF) héberge une grande quantité d'informations sensibles dans ses systèmes informatiques, présentant des exigences particulières de confidentialité et d'intégrité. Le service d'audit interne reconnaît que l'Office européen de lutte antifraude applique un certain nombre de bonnes pratiques pour réduire les risques de sécurité qui lui sont inhérents. Il a néanmoins décelé plusieurs points faibles, qui l’ont conduit à conclure que les contrôles mis en place n’apportaient pas de garanties suffisantes quant à une atténuation adéquate des risques pour la sécurité informatique. Ainsi, le système de gestion des contenus, qui est la clé de voûte des systèmes utilisés par l'Office européen de lutte antifraude pour la gestion courante des dossiers et, plus généralement, de la structure de gouvernance de la sécurité informatique, appelle d'importantes améliorations.

4.1.1.4. Autres processus

D'autres audits effectués par le service d'audit interne dans divers domaines ont montré que de nouvelles mesures étaient nécessaires pour améliorer la performance globale des processus audités.

Lorsqu'ils mettent en place les systèmes de contrôle interne de leur direction générale, les ordonnateurs délégués doivent prendre en considération le rapport coût-efficacité des contrôles, dont ils doivent rendre compte dans leurs rapports d'activité annuels, tandis qu'il incombe à la Commission d'estimer les coûts et les avantages des systèmes de contrôle lorsqu'elle présente des propositions de dépenses nouvelles ou révise des dépenses. L'audit réalisé dans plusieurs directions générales sur le cadre et les dispositifs de la Commission pour l’estimation et l’évaluation du rapport coût-efficacité des contrôles, et pour la communication d’informations sur ce dernier, a révélé d'importantes faiblesses dans le cadre institutionnel actuel, qui réduisent considérablement l'utilité des résultats communiqués sur les coûts et avantages des contrôles, tant pour l'encadrement supérieur de la Commission que pour les parties prenantes externes. Certains éléments essentiels du cadre devraient être nettement améliorés pour rendre le processus plus utile et pertinent.

La gestion des marchés agricoles, y compris les crises de marché, fait partie des responsabilités essentielles de la direction générale de l'agriculture et du développement rural, découlant des objectifs de la politique agricole commune. La direction générale a mis en place des processus adéquats qui lui ont permis de réagir en temps utile à des situations de crise sur les marchés. Il existe toutefois une faiblesse importante liée à la mesure dans laquelle la direction générale de l'agriculture tire les enseignements de ces situations en termes de gestion des risques, ainsi qu'au suivi des mesures de crise.

Dans le domaine de la préparation aux crises de sécurité alimentaire, le service d'audit interne a constaté que la direction générale de la santé et de la sécurité alimentaire n'avait pas actualisé de manière régulière le «plan général» pour la gestion des crises alimentaires et les procédures et dispositifs y afférents, n'avait pas testé ce plan avec la plupart des principaux acteurs de la gestion des crises à l'échelon des États membres et de la Commission et n'avait pas de projets concrets pour l'appliquer. L'audit a également révélé des carences dans la communication. Cette situation fait peser des risques sur l'efficience et l'efficacité de la préparation aux crises.

La politique de concurrence de l'Union européenne a pour objet de prévenir les distorsions de concurrence sur un marché intérieur sans entrave en empêchant ou en corrigeant les comportements anticoncurrentiels dans le domaine des ententes, des concentrations et des aides d’État. Dans un système où la Commission européenne et les États membres se partagent la compétence de faire appliquer la politique européenne de lutte contre les ententes, leur coordination est essentielle pour assurer l'efficacité globale de la politique. La coopération avec les juridictions nationales présente des faiblesses importantes en raison du peu d'informations qui en provient. La Commission n'a pas reçu d'informations complètes de la part de certains États membres sur la teneur des décisions de justice nationales ayant trait à l'application de la législation de l'UE sur les ententes, comme le prévoit le règlement nº 1/2003. Cette situation empêche la Commission de formuler des observations lorsque l'une des parties introduit un recours contre la décision de justice, ainsi que de recenser et d'analyser les faiblesses ou les divergences que présente le contrôle de l'application du droit de la concurrence de l'UE.

Parmi tous les services de la Commission, la direction générale de l'environnement est l'une des plus chargées en termes de dossiers de plainte et d'infraction à traiter. Au cours des dix dernières années, la direction générale a déployé de grands efforts pour améliorer le contrôle de l'application de la législation très complexe de l'UE dans le domaine de l'environnement. Cependant, malgré les efforts accomplis pour améliorer le traitement des nombreuses plaintes et infractions, elle reste confrontée à des difficultés considérables pour atteindre les objectifs de la Commission en la matière. Or la pression que subit actuellement le personnel de la direction générale concerné par ces processus devrait encore s'accroître sous l'effet des nouvelles dispositions figurant dans la communication de la Commission intitulée: «Le droit de l’UE: une meilleure application pour de meilleurs résultats». Par conséquent, même si la direction générale de l'environnement a mis en place des processus adéquats pour assurer un contrôle efficace de l'application du droit de l'environnement, il reste des faiblesses importantes à éliminer, concernant notamment l'efficience et l'efficacité du traitement des plaintes et le contrôle de l'application du droit environnemental de l'UE.

Les projets scientifiques sont au cœur des activités du Centre commun de recherche et revêtent une importance capitale pour produire des résultats scientifiques de haute qualité offrant aux politiques de l’UE un soutien indépendant et fondé sur des données probantes tout au long du cycle d’élaboration des politiques. Bien que les systèmes de gestion et de contrôle mis en place par le Centre commun de recherche pour ses activités de gestion de projets scientifiques soient bien conçus, leur mise en œuvre présente une importante faiblesse en ce qui concerne le suivi de l'exécution des projets scientifiques et des modules de travail.

Dans l'audit sur l'éthique au sein de l'Office européen de lutte antifraude, le service d'audit interne a conclu que ce dernier avait mis sur pied et appliqué un cadre éthique fondé sur des procédures claires et adaptées à l'environnement particulier de la direction générale et à la nature de son travail. Les contrôles internes prévus garantissent un strict respect des règles et obligations éthiques par le personnel, notamment sur les plans de l'indépendance, de l'intégrité, de l'impartialité, de la discrétion et de l'objectivité. Cependant, il convient d'améliorer sensiblement l'information du personnel de l'Office européen de lutte antifraude quant à la manière d'appréhender les médias sociaux et les représentants d’intérêts.

Par ailleurs, le service d'audit interne a évalué la procédure de rétrofacturation des services aux clients au sein de la direction générale des ressources humaines et de la sécurité et a constaté que la direction générale avait déjà pris des mesures pour adapter et améliorer cette procédure afin de la conformer aux lignes directrices définies au niveau de l'institution. Ces mesures comprenaient essentiellement la révision de sa méthode de comptabilisation des coûts et l'harmonisation des accords de niveau de service conclus avec les agences décentralisées, qui constituent la plus grande partie de sa clientèle externe. Le modèle de calcul des coûts, tel qu'il se présentait à l'état de projet au moment du contrôle, comportait encore une faiblesse importante, et certains points essentiels demandent à être renforcés pour satisfaire pleinement aux exigences et principes fondamentaux de l'institution.

4.1.2.Performance dans l’exécution des crédits budgétaires opérationnels et administratifs

4.1.2.1. Gestion directe

Plusieurs audits ont évalué les processus de gestion des programmes et des projets pour les fonds faisant l’objet d’une gestion directe et ils n’ont permis de relever aucune lacune importante en la matière.

4.1.2.2. Gestion indirecte

En matière de fonds faisant l’objet d’une gestion indirecte, plusieurs audits ont porté sur les dispositifs de supervision en vigueur dans les directions générales et les services.

Un audit de la supervision de Shift2Rail (S2R) mené par le service d’audit interne a révélé un grave problème de performance: en effet, la direction générale de la mobilité et des transports n’a pas établi pour Shift2Rail de stratégie de supervision formalisée, consolidée et fondée sur les risques qui définisse les objectifs de la direction générale en matière de supervision ainsi que la manière dont les outils de supervision contribuent à l'obtention de garanties quant à la réalisation des objectifs politiques. Les tâches ne sont pas formellement réparties entre la direction générale de la mobilité et des transports et les unités financières chargées de superviser Shift2Rail, sauf en ce qui concerne la préparation des réunions du comité directeur de l’entreprise commune. En outre, la direction générale de la mobilité et des transports ne s’est pas livrée à un exercice de cartographie formel des tâches liées à Shift2Rail et d’estimation des ressources nécessaires correspondantes.

À l’issue de l’audit de la gestion des facilités d’investissement par la direction générale de la coopération internationale et du développement, le service d’audit interne a conclu que la direction générale n’opérait pas de suivi systématique des performances opérationnelles de l’institution financière internationale (IFI) ni des principaux aspects des opérations de financement mixte qui doivent faire l’objet d’un rapport annuel au Parlement européen et au Conseil. En outre, les rapports soumis par les IFI au niveau des délégations de l'Union sont de qualité variable. Dès lors, les délégations de l'Union ne disposent pas toujours des informations pertinentes leur permettant de superviser correctement les volets financiers et opérationnels des projets.

4.1.2.3. Gestion partagée

En matière de gestion partagée, plusieurs audits ont évalué les processus de gestion des programmes et des projets. Ils ont fait apparaître plusieurs failles importantes en matière de performance, dont certaines peuvent mettre en péril la réalisation des objectifs politiques.

Le processus de modification du programme opérationnel (PO) est un système par lequel les États membres peuvent réorienter les mécanismes de mise en œuvre des programmes opérationnels. Il requiert que la direction générale responsable exécute une analyse approfondie avant que la modification ne soit adoptée par décision de la Commission. Bien que le processus faisant l’objet de l'audit fonctionne bien dans son ensemble et même si la direction générale de la politique régionale et urbaine, la direction générale de l'emploi, des affaires sociales et de l'inclusion et la direction générale des affaires maritimes et de la pêche ont accompli des efforts considérables pour coordonner les approches entre les directions générales et au sein de chacune d’entre elles, il subsiste des faiblesses importantes en matière de cohérence, d’efficacité et d’adoption en temps utile des modifications des programmes opérationnels.

Différents instruments sont utilisés pour financer les initiatives pour l'emploi des jeunes, qui sont gérés par la direction générale de l'emploi, des affaires sociales et de l'inclusion. Des fragilités importantes ont été mises au jour dans les mécanismes garantissant la cohérence entre la préparation des nouvelles initiatives pour l'emploi des jeunes, la mise en œuvre du financement et le mécanisme de réaffectation des fonds en faveur de priorités stratégiques nouvelles ou urgentes, le cas échéant.

Le Fonds européen d’aide aux plus démunis (FEAD) est mis en œuvre au moyen de différents programmes opérationnels gérés par la direction générale de l'emploi, des affaires sociales et de l'inclusion. Les principales failles identifiées concernent la mesure de la performance et l’établissement de rapports. Le cadre réglementaire du Fonds européen d’aide aux plus démunis ne contient pas d’éléments relatifs au cadre de mesure de la performance, tels que des valeurs intermédiaires et des valeurs cibles pour les indicateurs communs ou les objectifs spécifiques. Les indicateurs et les données transmises pour le Fonds européen d’aide aux plus démunis comportent des limites intrinsèques qui en réduisent l’utilité pour rendre compte de la performance globale du Fonds. De plus, les bases légales n’incluent pas de mécanismes permettant le suivi de l’adoption des mesures d'accompagnement et les informations sur la mise en œuvre sur le terrain ne sont pas transmises avec suffisamment de régularité pour faciliter un suivi effectif du programme.

Enfin, l'audit de grands projets de la direction générale de la politique régionale et urbaine a révélé des faiblesses importantes dans le processus d’approbation et de suivi précoce des grands projets financés au titre du Fonds européen de développement régional et du Fonds de cohésion.

4.2.Conclusions limitées du service d’audit interne sur l’état du contrôle interne au sein de chaque DG

Le service d’audit interne a rendu des conclusions limitées sur l’état du contrôle interne de chaque direction générale et de chaque service en février 2018. Ces conclusions figurent dans le rapport d’activité annuel de 2017 des directions générales et des services concernés. Elles s’appuient sur les travaux d’audit réalisés ces trois dernières années et couvrent toutes les recommandations ouvertes formulées par le service d’audit interne et par les anciennes structures d’audit interne (dans la mesure où elles ont été reprises par le service d’audit interne). La conclusion du service d’audit interne sur l’état du contrôle interne se limite aux systèmes de gestion et de contrôle qui ont fait l’objet d’un audit. Elle ne couvre pas ceux qui n’ont pas été audités par le service d’audit interne au cours des trois dernières années.

Les conclusions limitées ont accordé une attention particulière aux directions générales suivantes, et donné ainsi lieu à des réserves dans leur rapport d’activité annuel:

·direction générale de l’action pour le climat: en ce qui concerne le retard constaté dans la mise en œuvre d’une recommandation très importante liée à la sécurité informatique (relative à la gestion de la sécurité du système informatique du système d'échange de quotas d'émission de l'Union européenne) qui expose la direction générale au risque d’atteintes à la sécurité;

·direction générale de la coopération internationale et du développement: en ce qui concerne le retard observé dans la mise en œuvre d’une recommandation très importante formulée dans le cadre de l’audit de la gestion de la facilité de paix pour l’Afrique;

·Agence exécutive «Éducation, audiovisuel et culture»: en ce qui concerne une recommandation essentielle ainsi que plusieurs recommandations très importantes formulées dans le contexte de l'audit relatif à Erasmus+ et à Europe créative - gestion des subventions phase 1.

En outre, le service d’audit interne a attiré tout particulièrement l'attention du service d’appui à la réforme structurelle sur les problèmes de passation des marchés publics recensés au cours d’un audit sur la gestion financière du service d’appui à la réforme structurelle et a indiqué que le service devrait dûment évaluer si cette situation nécessite une réserve dans le rapport d’activité annuel. Sur la base des lignes directrices définies au niveau de l'institution, le service a conclu qu’une réserve financière n’était pas fondée et qu’il n’était pas nécessaire d’inclure une réserve dans le rapport d’activité annuel pour des raisons de réputation, car les risques d’atteinte à l’image identifiés ne se sont pas matérialisés. Le service d’audit interne approuve cette évaluation.

4.3.Opinion globale sur la gestion financière de la Commission

Comme l’exige sa charte de mission, le service d’audit interne rend chaque année un avis global sur la gestion financière à la Commission. Cet avis repose sur les travaux d’audit réalisés à la Commission dans le domaine de la gestion financière par le service d’audit interne au cours des trois années précédentes (2015-2017). Il tient compte également d’informations provenant d’autres sources, à savoir des rapports de la Cour des comptes européenne. L’avis global est publié parallèlement au présent rapport et couvre le même exercice financier.

Comme lors des éditions précédentes, l’avis global de 2017 est nuancé par les réserves formulées par les ordonnateurs délégués dans leurs déclarations d’assurance. Pour forger son avis, le service d’audit interne a examiné l’incidence cumulée des montants jugés à risque tels qu’indiqués dans les rapports d’activité annuels et la capacité de correction telle qu’elle ressort des corrections financières appliquées et des recouvrements effectués par le passé, ainsi que des estimations des corrections futures et des montants à risque au moment de la clôture. Compte tenu de l’ampleur des corrections financières appliquées et des recouvrements effectués par le passé et partant de l’hypothèse que les corrections appliquées au cours des prochaines années seront d’un niveau comparable, le budget de l’UE est efficacement protégé dans son ensemble (pas nécessairement pour chaque domaine d’action) et dans le temps (parfois sur plusieurs années).

Sans nuancer davantage son avis global, le service d’audit interne a mis l'accent sur les points suivants:

Stratégies de supervision portant sur la mise en œuvre des politiques et programmes par des tiers

Bien qu’elle reste entièrement responsable de s’assurer de la légalité et de la régularité des dépenses et d’une gestion rigoureuse des finances (ainsi que de la réalisation des objectifs politiques), la Commission s’appuie toujours plus sur la collaboration de tiers pour la réalisation de ses programmes. Celle-ci passe principalement par la délégation de l’exécution du budget opérationnel de la Commission européenne (dans le cadre d’une gestion indirecte) ou de certaines tâches à des pays tiers, à des organisations internationales ou des institutions financières internationales, à des autorités ou des agences nationales, à des entreprises communes, à des organismes extérieurs à l’UE et à des agences décentralisées de l’UE. De plus, dans certains domaines politiques, on recourt progressivement de plus en plus à des instruments financiers au titre de l'actuel cadre financier pluriannuel 2014-2020. De tels instruments et mécanismes de financement alternatifs comportent un certain nombre de difficultés et de risques spécifiques pour la Commission, comme le souligne également la Cour des comptes européenne.

Pour s’acquitter de leurs responsabilités, les directions générales opérationnelles doivent superviser l’exécution des programmes et des politiques et fournir les orientations et l’assistance nécessaires. Les directions générales doivent par conséquent définir et mettre en œuvre des activités de supervision, de suivi et de communication des résultats adéquates, efficaces et efficientes afin de garantir que les entités déléguées et les autres partenaires exécutent efficacement les programmes, qu’ils protègent correctement les intérêts financiers de l’UE et, le cas échéant, qu’ils respectent les accords de délégation, et que tout problème éventuel est pris en charge le plus rapidement possible.

Dans plusieurs audits, le service d’audit interne recommande que certaines stratégies de contrôle et de supervision des directions générales fixent plus clairement leurs priorités et leurs exigences concernant l’obtention de garanties d’une gestion financière rigoureuse de la part des organismes UE et extérieurs à l’UE. En particulier, les stratégies de contrôle n’ont pas suffisamment pris en compte les différents risques inhérents aux tâches confiées aux entités déléguées et il n’a pas été fait efficacement usage de sources indépendantes pour garantir un niveau d’assurance adéquat. Ces directions générales doivent mettre en place des activités de supervision plus efficaces et plus efficientes.

De plus, les objectifs des activités de supervision, de suivi et de communication des résultats et les modalités d’évaluation de leur efficacité n’étaient pas suffisamment clairs, et les contrôles portant sur ces activités étaient limités dans la pratique.

Le service d’audit interne prend acte des initiatives menées par les services centraux ainsi que des plans d’action élaborés à la suite des recommandations du service d’audit interne par les directions générales partenaires en vue d’atténuer les risques liés à leurs relations avec les agences décentralisées et les organismes d’exécution, en ce qui concerne, notamment, le suivi des problèmes de programmation, de performance et de budget.

5.Consultation de l’instance de la Commission spécialisée en matière d’irrégularités financières

Aucun problème systémique n’a été signalé en 2017 par l’instance spécialisée en matière d’irrégularités financières visée à l’article 73, paragraphe 6, du règlement financier 19 .

6.Mesures d’atténuation concernant les conflits d'intérêts potentiels (normes internationales) - Enquête du Médiateur européen

L’actuel directeur général du service d’audit interne, auditeur interne de la Commission, M. Manfred Kraff, a pris ses fonctions le 1er mars 2017. M. Kraff était précédemment directeur général adjoint (DGA) et comptable de la Commission à la direction générale du budget de la Commission.

Conformément aux normes de l’Institut des auditeurs internes 20 , le 7 mars 2017, à la suite de sa nomination en tant que directeur général et auditeur interne, M. Kraff a publié des instructions relatives aux modalités à mettre en place afin de réduire et/ou d’éviter tout conflit d'intérêts potentiel ou simplement supposé en lien avec les travaux d'audit du service d’audit interne et ses responsabilités précédentes. Ces modalités prévoyaient que M. Kraff n’interviendrait pas dans la supervision de travaux d’audit portant sur des opérations dont il était responsable avant de rejoindre le service d’audit interne. La responsabilité de la supervision des travaux d'audit liés à ce type de cas est finalement revenue à M. Jeff Mason, ancien directeur général faisant fonction du service d’audit interne (septembre 2016 — février 2017) et actuel directeur du service d'audit interne (IAS.B, « Audit au sein de la Commission et des agences exécutives I »). Les modalités prévoyaient également que le comité de suivi des audits serait informé de ces instructions et de leur mise en œuvre et que M. Mason s’en remettrait à celui-ci pour l’évaluation de toute situation pouvant être considérée comme portant atteinte à l’indépendance ou à l’objectivité de M. Kraff. En pareil cas, M. Kraff s’abstiendrait de toute supervision des travaux d’audit concernés.

Les modalités mises en place ont été discutées avec le comité de suivi des audits lors de ses réunions du 6 avril 2017 (groupe préparatoire) et du 3 mai 2017. Le comité a fait le point sur la mise en œuvre effective de ces modalités en janvier 2017 lors de ses réunions du 31 janvier 2018 (groupe préparatoire) et du 7 mars 2018. Le comité de suivi des audits a conclu qu’il considérait que les mesures définies par le service d’audit interne tenaient compte de manière adéquate du risque de conflit d'intérêts conformément aux normes internationales et aux bonnes pratiques et a noté avec satisfaction que les dispositions visant à garantir l’indépendance organisationnelle ont été mises en pratique dans les audits concernés.

Le Médiateur européen a envoyé une lettre à la Commission européenne le 4 décembre 2017 l’informant qu’à la suite d’une plainte d’un citoyen, une enquête allait être ouverte afin d’évaluer l’adéquation des mesures prises par la Commission pour prévenir tout conflit d'intérêts réel ou apparent concernant la nomination du nouveau directeur général du service d’audit interne (Réf.: 1324/2017/LM). Suite à la demande d’organisation d’une réunion par le Médiateur européen, une réunion d’inspection s’est tenue le 8 février 2018 entre les services de la Commission et du Médiateur européen. À cette occasion, le service d’audit interne et les services centraux de la Commission ont répondu aux questions soulevées par l’équipe du Médiateur et ont présenté à celle-ci les éléments pertinents, accompagnés des pièces justificatives importantes, conformément à la demande du Médiateur. Le 26 avril 2018, le Médiateur a informé la Commission qu’une copie du rapport de la réunion d’inspection du 8 février 2018 avait été envoyée au plaignant pour qu’il puisse formuler ses observations éventuelles et qu’après réception de ces dernières, le Médiateur déciderait des mesures appropriées à prendre dans l’enquête.

7.Conclusions

La mise en œuvre des plans d’action élaborés en réponse aux audits effectués par le service d’audit interne au cours de l’année de référence et des années précédentes contribue à l’amélioration constante du cadre de contrôle interne de la Commission.

Le service d’audit interne procédera à des audits de suivi relatifs à l’exécution des plans d’action. Ils seront examinés par le CSA qui informera le collège comme il convient.

Le service d’audit interne continuera à faire porter ses efforts sur les audits des finances, de la conformité, de l’informatique et de la performance.

(1) Les rapports d’audit finalisés au cours de la période allant du 1er février 2017 au 31 janvier 2018 sont inclus dans le présent rapport.

(2) Le présent rapport ne tient pas compte des travaux d’audit réalisés par le service d’audit interne dans les agences européennes décentralisées, le Service européen pour l’action extérieure ou d’autres organismes, qui font l’objet de rapports annuels distincts.

(3) Article 100 du règlement financier.

(4) Réf. C(2017) 4435 final du 30 juin 2017, Communication à la Commission, Charte de mission du service d’audit interne de la Commission européenne.

(5) Voir également le rapport d’activité annuel 2017 du service d’audit interne.

(6) Toutes les missions (audits, conseil et suivis) ont été achevées, à l’exception d’une lettre de recommandations. L’émission de la lettre de recommandations résumant les résultats de différents audits sur les ressources humaines au sein de la Commission a été reportée à 2018.

(7) Le document de travail des services (SWD) de la Commission fournit une vue d’ensemble de toutes les missions d’audit et d’audit de suivi qui ont été exécutées.

(8) Certains audits, notamment les audits multi-directions générales, peuvent donner lieu à plusieurs rapports d’audit.

(9) Publié le 16 février 2017.

(10) Publié le 28 juillet 2017. Il décrit les modifications apportées à ce plan, découlant d’une diminution des capacités et d’une réévaluation de l’exposition aux risques des directions générales/services.

(11) Une vue d’ensemble des recommandations du service d’audit interne est fournie dans le rapport adressé au comité de suivi des audits, daté du 27 mars 2018.

(12) Deux recommandations ont été partiellement acceptées en 2017:En règle générale, le service d’audit interne soumet au comité de suivi des audits à des fins de discussion les audits dont les recommandations sont (en partie) rejetées. Cela incite parfois les directions générales à revoir leur position.

(13) Ces deux plans d’action portaient sur les audits relatifs:

(14)

Ce tableau présente le degré de priorité des recommandations à la date butoir. Celui-ci peut être différent du degré de priorité indiqué dans le rapport initial si les mesures prises ultérieurement par les entités auditées sont jugées suffisantes par le service d’audit interne pour atténuer en partie les risques recensés et, par conséquent, pour abaisser le degré de priorité de la recommandation.

(15) À la suite d’une mission de suivi du service d’audit interne effectuée en mars 2018, cette recommandation essentielle a été classée comme «très importante».

(16) Une vue d’ensemble des recommandations du service d’audit interne est fournie dans le rapport adressé au comité de suivi des audits, daté du 27 mars 2018.

(17) Au total, le service d'audit interne a réalisé 47 audits intégrés et de performance. Pour plus de détails, voir le document de travail des services de la Commission.

(18) La bonne gouvernance suppose l'existence de procédures/structures adéquates pour guider, gérer et suivre les activités de l'organisation en vue de la réalisation de ses objectifs. La surveillance a pour finalité d'assurer un contrôle efficace de ces processus et structures, en toute indépendance par rapport à la gestion opérationnelle.

(19) L’article 117 des RAP dispose ce qui suit: «Ce rapport annuel mentionne également les problèmes systémiques relevés par l’instance spécialisée, mise en place en application de l’article 73, paragraphe 6, du règlement financier» .

(20) Les normes internationales d’audit, auxquelles fait expressément référence l’article 98 du règlement financier («Désignation de l’auditeur interne»), établissent ce qui suit: «Si l’indépendance ou l’objectivité des auditeurs internes sont compromises dans les faits ou en apparence, les parties concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l’atteinte à l’indépendance.» (norme 1130 de l’IIA - IPPF). Les normes prévoient en outre que: «Les auditeurs internes doivent s’abstenir d’auditer les opérations dont ils étaient auparavant responsables. L’objectivité d’un auditeur interne est présumée altérée lorsqu’il réalise une mission d’assurance pour une activité dont il a eu la responsabilité au cours de l’année précédente.» (norme 1130.A1 de l’IIA - IPPF)