Toelichting bij COM(2006)279 - Jaarlijks verslag aan de kwijtingverlenende autoriteit over de in 2005 uitgevoerde interne controles (Artikel 86, lid 4, van het Financieel Reglement) - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2006)279 - Jaarlijks verslag aan de kwijtingverlenende autoriteit over de in 2005 uitgevoerde interne controles (Artikel 86, lid 4, van ... |
---|---|
bron | COM(2006)279 |
datum | 07-06-2006 |
|
52006DC0279
[afbeelding - zie origineel document] COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN
COM(2006)279 definitief
MEDEDELING VAN DE COMMISSIE AAN DE RAAD EN HET EUROPEES PARLEMENT
Jaarlijks verslag aan de kwijtingverlenende autoriteit over de in 2005 uitgevoerde interne controles
(Artikel 86, lid 4, van het Financieel Reglement)
{SEC(2006)725}
Inleiding
3Inhoudsopgave
- Inleiding
- Brussel, 7.6.2006
- INHOUD
- 2. IAS-werkomgeving en -werkprogramma 3
- 2.1. Werkomgeving 3
- 2.2. Ontwikkelingen op het gebied van interne controle 4
- 2.3. Uitvoering van het IAS-werkprogramma 4
- 2.4. Acceptatie van intern controlewerk 7
- 3. Bevindingen 8
- 3.1. De externe omgeving 8
- 3.2. Planning, processen en systemen 9
- 3.3. Mensen en de organisatie 12
- 3.4. Wettigheid en regelmatigheid 13
- 4. Conclusies 14
- IAS-WERKOMGEVING EN -WERKPROGRAMMA
- Werkomgeving
- Ontwikkelingen op het gebied van interne controle
- Uitvoering van het IAS-werkprogramma
- Dienst Opdracht Voltooid
- Follow-up
- Acceptatie van de interne controles
- totaal
- BEVINDINGEN
- De externe omgeving
- Redelijke zekerheid krijgen
- Adequate weergave van zekerheid
- Planning, processen en systemen
- Supervisie en effectiviteit van controles
- IT-controles en governance
- Mensen en de organisatie
- Opleiding en sensibilisering
- Veiligheid en bedrijfscontinuïteit
- Wettigheid en regelmatigheid
- Respect voor regels
- Duidelijkheid en consequente toepassing - vereenvoudiging
- CONCLUSIES
- Conclusie 1
- Conclusie 2
- Conclusie 3
- Conclusie 4
Interne audit is een professionele, objectieve en onafhankelijke controlerende en adviserende dienst binnen een organisatie. Het doel ervan is de organisatie te helpen haar doelstellingen beter te realiseren, door de manier waarop zij functioneert voortdurend te verbeteren.
Dit verslag informeert de kwijtingverlenende autoriteit over de werkzaamheden die de Dienst Interne Audit (IAS) van de Commissie in 2005 heeft verricht in overeenstemming met artikel 86, lid 4, van het Financieel Reglement (FR). Het is opgesteld op basis van het verslag dat overeenkomstig artikel 86, lid 3, FRover de voornaamste controlebevindingen en, in overeenstemming met de beroepsnormen, over belangrijke risico’s en controle- en corporate governance-aangelegenheden i door de Dienst Interne Audit (IAS) is uitgebracht. Het verslag heeft betrekking op de controlewerkzaamheden en de raadgevende activiteiten van de IAS in 2005. Het bouwt tevens voort op de werkzaamheden van de interne-auditteams (Internal Audit Capabilities - IAC’s) van de DG's, via de halfjaarlijkse IAS-rapporten over IAC-werkzaamheden. De controlewerkzaamheden die de IAS voor de communautaire agentschappen i verricht, vallen buiten het bestek van dit verslag.
De reacties van de Commissie op de bevindingen en conclusies van de intern controleur worden behandeld in het syntheseverslag van de jaarlijkse activiteitenverslagen van de directeuren-generaal. In dat syntheseverslag, dat tegelijkertijd wordt aangenomen, neemt de Commissie een standpunt in over de horizontale kwesties die opgeworpen zijn door de intern controleur, de Europese Rekenkamer of de kwijtingverlenende autoriteit, of die vastgesteld zijn door het Comité follow-up audit (Audit Progress Committee - APC) en door de directeur-generaal Begroting in zijn overzichtsverslag.
Dat sommige in dit verslag geformuleerde zienswijzen of meningen niet noodzakelijkerwijs volledig door de Commissie worden gedeeld, maakt deel uit van het normale proces van dialoog tussen de instelling en haar intern controleur.
De internecontrolewerkzaamheden binnen de Commissie vinden plaats in een snel veranderende omgeving. Sommige ontwikkelingen van het beheers- en controlesysteem van de Commissie in 2005 waren het gevolg van enkele conclusies van de intern controleur in zijn jaarlijks verslag over 2004.
De invoering van het nieuwe boekhoudsysteem is een belangrijke stap voorwaarts voor de Commissie, haar diensten en controle-instanties.[3] Met de geplande aftekening van de rekeningen door de rekenplichtige wordt een belangrijke lacune in het afleggen van rekenschap gedicht. De rekenplichtige moet de ondubbelzinnige bevoegdheid krijgen om zich van deze taak te kwijten, met name om een plausibiliteitstoetsing uit te voeren (zonder te raken aan de primaire verantwoordelijkheid van de ordonnateurs voor de verrichtingen). De Commissie is bezig met de oprichting van de eerste uitvoerende agentschappen, die uitvoeringstaken voor programma’s overnemen. Het doel is de kosten te verminderen, de risico’s ten opzichte van eerdere uitbestedingsbenaderingen te verkleinen en de specialisatie te bevorderen. De IAS dient bijzondere aandacht te besteden aan complexe delegatie- en verslaggevingsprocessen en aan managementkwesties zoals administratieve verplichtingen, personeelsaanwerving, opleiding enz. De gedeelde verantwoordelijkheid voor het geven van ordonnantie maakt de rol van de interne controle bijzonder ingewikkeld.
Risicobeheersing zal in de toekomst bij de Commissie een vast onderdeel zijn van de cyclus van planning, verslaggeving en middelentoewijzing.[4] Dit proces moet, beginnende bij de DG's, over de beoordeling en de beheersing van risico's voor dienstenclusters, volgens de IAS uiteindelijk in de hele Commissie worden toegepast. De IAS is van mening dat volledige betrokkenheid van de commissarissen bij de beoordeling van politieke risico’s een beter algemeen beheer van de risico's mogelijk zou maken en zodoende het plannen, het toewijzen van de nodige middelen en verkrijgen van beleidsresultaten ten goede zou komen.
Het interinstitutionele debat over het stappenplan voor een geïntegreerde internecontrolekader spitst zich toe op de centrale vraag van aansprakelijkheid en betrouwbaarheid. Voor de Commissie gaat het erom haar politieke verantwoordelijkheid te vrijwaren door van haar eigen diensten en van haar partners bij de uitvoering van het budget, met name de lidstaten, de nodige garanties te krijgen. De ingevoerde individuele betrouwbaarheidsverklaringen die van de directeuren-generaal worden verlangd, zijn intern zeer waardevol gebleken, maar volgens de intern controleur behoeven punten zoals overal in de Commissie gangbare processen en consistentie tussen DG’s nadere aandacht.
Begin 2005 heeft de IAS zijn kwaliteitsborgingsregelingen herzien en een speciale kwaliteitseenheid opgezet, die systematisch de kwaliteit van het controlewerk nagaat, vanaf de planning van controleopdrachten tot en met het uiteindelijke controleverslaggeving. Er zijn gemeenschappelijke verslaggevingsnormen overeengekomen, in het bijzonder wat de rating van controleaanbevelingen betreft, met de interne-auditteams (IAC’s), waardoor bevindingen eenvoudiger te vergelijken zijn.
De kwaliteitsbeoordeling van de IAC’s, die in 2005 is gestart met zelfbeoordelingen, zal in 2006 worden afgerond met een validatie van de beoordelingen door de IAS. Deze procedure is er overeenkomstig de beroepsnormen niet alleen op gericht te garanderen dat de directoraten-generaal kunnen beschikken over internecontrolediensten van voortreffelijke kwaliteit, maar tevens een objectieve basis te leveren voor internecontrolewerkzaamheden op andere niveaus.
In het algemeen heeft de samenwerking tussen de IAS en de IAC’s zich in 2005 positief ontwikkeld (er zijn b.v. gezamenlijke controles verricht). De coördinatie van de controleplannen voor het boekhoudsysteem en de gezamenlijke opleidingsinspanningen zijn indicatief voor de goede werkrelatie met de Europese Rekenkamer (ER).
Het werkprogramma van de IAS voor 2005, dat op het strategisch plan 2004 is gebaseerd – 2006, werd verfijnd op basis van de in 2004 verrichte werkzaamheden, in nauw overleg met de belanghebbenden (APC, horizontale diensten, directeuren-generaal, IAC’s en interne controlecoördinatoren), en ook na een gedachtenwisseling met de ER. Het werd eind 2004 door het APC goedgekeurd.
De uitvoering van het werkprogramma was bevredigend; 90% is uitgevoerd. In totaal 36 controleverslagen (18 verslagen van controles bij de Commissie en 8 follow-upverslagen en 10 verslagen over controles bij agentschappen) zijn in 2005 afgerond; de resterende controles zijn begin 2006 uitgevoerd. Nadere bijzonderheden van de controles bij de Commissie zijn te vinden in de bijlage.
Vertragingen traden voornamelijk op als gevolg van problemen tijdens de afrondingsfase. Dientengevolge ziet de IAS een duidelijke behoefte om de voor het afronden van controles benodigde tijd te bekorten. De IAS zelf streeft naar nog kortere controleverslagen en helderder taalgebruik.
In 2005 voltooide IAS-controleopdrachten:
Horizontale, administratieve en andere ondersteunende systemen
OIB Verrichtingen feb
BUDG Follow-up juli
SG e.a. Overzicht toepassing EU-recht juli
BUDG/SG Evaluatie ABM/SPP-cyclus okt
DIGIT, ADMIN, BUDG, SG, TREN, COMP, ECFIN geconsolideerde ITC nov
DIGIT Follow-up nov
Intern beleid
ESTAT Follow-up taskforce maart
ECFIN Lokale IT-controle (IAS/IAC gezamenlijk) apr
TREN Lokale IT-controle mei
TREN Financieel beheer juli
ESTAT Financieel beheer / follow-up okt
RTD Financieel beheer okt
SANCO Financieel beheer nov
INFSO Follow-up dec
MARKT Financieel beheer dec
PRESS Follow-up dec
EAC Follow-up dec
Structuurmaatregelen en gemeenschappelijk landbouwbeleid
AGRI Follow-up maart
FISH Grondige controle juni
EMPL Structuurfondsen (controles achteraf) okt
FISH Structuurfondsen (controles achteraf) nov
AGRI Structuurfondsen (controles achteraf) dec
Extern beleid
ELARG Follow-up jan
RELEX Informatie & communicatie juli
AIDCO NGO’s juli
ECHO NGO’s okt
De controlebeheersoftware die door interne controleurs in de Commissie wordt gebruikt, omvat nu tevens een door de gecontroleerden van gegevens voorzien follow-upmechanisme, wat zowel het management als de controleurs en het APC in staat stelt de voortgang van de uitvoering van de controleaanbevelingen direct te volgen. De IAS beoordeelt regelmatig de tijdigheid en mate van uitvoering van aanbevelingen door de gecontroleerden met het oog op een juiste informatieverstrekken aan het APC en ten behoeve van de eigen risicoanalyse. De IAS heeft in maart 2006 zijn eerste overzichtsverslag over de follow-up van de IAS-aanbevelingen bij het APC ingediend.
Hoewel de acceptatie van de controleaanbevelingen door de DG’s zeer goed is, kan de uitvoering van actieplannen gepaard gaan met aanzienlijke vertragingen die speciale aandacht van het management verdienen. Meer dan de helft van de niet-uitgevoerde kritische aanbevelingen en ongeveer 17% van niet-uitgevoerde zeer belangrijke aanbevelingen hebben een vertraging van meer dan 12 maanden ten opzichte van de oorspronkelijke datum, volgens schattingen van de gecontroleerden.
Dit kan wijzen op een structurele tekortkoming wat de uitvoering van actieplannen betreft.[5] De redenen die door DG’s worden opgegeven, zijn herstructurering, tekort aan middelen, problemen met externe dienstverleners, het ontbreken van een opdracht en problemen in de samenwerking met andere DG’s. Door middel van kortere en beter gefocuste controleverslagen draagt de IAS ertoe bij dat het voor de gecontroleerden gemakkelijker wordt om de aanbevelingen uit te voeren.
In 2005 was de graad van acceptatie van controleaanbevelingen door gecontroleerden erg hoog (97%).[6]
aanbevelingen aanvaard verworpen totaal %
kritisch 4,
zeer belangrijk 43,
belangrijk 46,
wenselijk 5,
% 97, 2,
De IAS vraagt na beëindiging van een controle regelmatig naar de mening van de gecontroleerde, onder andere wat de reikwijdte van de controle en de wijze van uitvoering betreft. Het gemiddelde resultaat daarvan is 1,82 op een schaal van 1 (hoogste) tot 4 (laagste waardering).
Een grootschaligere raadpleging van belanghebbenden (DG’s, directeuren Middelen, IAC’s en APC voorbereidingsgroep) in 2005 leerde dat als positief werden ervaren: een duidelijke controlestrategie (79%), de eerlijke, objectieve en rechtvaardige controles (93%) en het gebruik van adequate controletechnieken (75%), maar resulteerde ook in vragen aan de IAS om de synergie met de IAC’s te vergroten, om een beter inzicht te verwerven in de werkzaamheden van de gecontroleerden en de communicatie tijdens de controle te verbeteren, en om minder, maar concretere aanbevelingen te doen; men had niet de indruk dat de IAS een duidelijke visie op governance en interne controle uitdroeg.
De hierna beschreven bevindingen zijn gebaseerd op controles die de IAS in 2005 heeft uitgevoerd, op andere interne controleactiviteiten (inclusief IAS-rapporten over IAC-werkzaamheden) en op het professionele oordeel van de controleur. Deze bevindingen zijn selectief omdat zij een weerspiegeling zijn van de voor het jaar gekozen focus, overeenkomstig het op risicoanalyse gebaseerd auditprogramma 2004 – 2006, en volgens de 'single audit'-benadering overlapping met de werkzaamheden van de Rekenkamer vermijden. Essentiële gebieden waarop de IAS in 2005 controles bij de Commissie verrichte, waren:
- financieel beheer op interne beleidsterreinen;
- beheer van de Structuurfondsen
- lokaal IT-beheer, voortbouwend op eerdere IT-controlewerkzaamheden;
- veiligheid van informatie;
- controle van middelen toegekend aan niet-gouvernementele organisaties (NGO’s);
- kerncomponenten van de SPP-cyclus; wordt voortgezet in 2006; en
- toezicht door de Commissie op de naleving van EU-wetgeving; basis voor uitgebreide controlewerkzaamheden in 2006.
Het overzicht van bevindingen is opgebouwd overeenkomstig de risicotypologie die de Commissie in oktober 2005 heeft aangenomen.[7] Aangezien er vele raakvlakken zijn tussen risicogebieden, hebben de bevindingen regelmatig betrekking op meer dan één risicotype.
De Commissie loopt een aanzienlijk risico wat betreft het delegeren van bevoegdheden bij in gedeeld beheer uitgevoerd beleid: volgens het Verdrag voert zij de begroting uit onder haar eigen verantwoordelijkheid i, maar in de praktijk wordt meer dan driekwart van het budget door instanties van lidstaten toegewezen aan de eindbegunstigden.
Om deze verantwoordelijkheid te nemen, d.w.z. om redelijke zekerheid te kunnen geven, moet de Commissie redelijke zekerheid krijgen over de gedeeld beheerde middelen en over de wettigheid en regelmatigheid van door de lidstaten beheerde verrichtingen.
Ter voorbereiding op de programmeringsperiode 2007-2013 van de Structuurfondsen i is het volgens de IAS essentieel dat de betrokken diensten hun inspanningen opvoeren en voortbouwen op beproefde methoden om voldoende bewijs te verkrijgen voor hun jaarlijkse betrouwbaarheidsverklaringen:
- De IAS heeft de gezamenlijke controlestrategie, die in 2005 overeengekomen is door de voor de Structuurfondsen verantwoordelijke DG’s, verwelkomd als een goed uitgangspunt en heeft aanbevolen een strategie te ontwikkelen om meer zekerheid over gezond financieel beheer te krijgen door controle- en evaluatiewerk. Dat controlewerk zou moeten leiden tot heldere en nauwkeurige adviezen ter ondersteuning van de door het DG geboden zekerheid. Diensten dienen de kwaliteit van het onderliggende controleproces te versterken en de interne verslaggevings- en betrouwbaarheidseisen op elkaar af te stemmen en beter te definiëren (reikwijdte van de controle, foutenpercentages, bevindingen met een systematisch karakter).
- De introductie van meer ‘single audit’-elementen – d.w.z. vertrouwen op het werk van andere controleurs en systematische gebruikmaking van adequaat geëvalueerde managementverslaggeving door instanties van de lidstaten, maakt het mogelijk om controlemiddelen effectiever te gebruiken, vermindert het risico van dubbele controles en maakt een completer overzicht van de controleketen mogelijk. Dit vereist grotere inspanningen om controlestrategieën, planning en risicobeoordeling op elkaar af te stemmen met instanties van de lidstaten en voor het ontwikkelen van een methode om hun controlewerk te evalueren. De lidstaten ervan overtuigen ‘vertrouwelijkheidscontracten’ te sluiten, zou volgens de IAS voor extra zekerheid zorgen.[10] De IAS adviseert de Commissie op een meer proactieve wijze te communiceren met de lidstaten en in het bijzonder om het gebruik van op alle niveaus van de controleketen geïdentificeerde beproefde methoden te stimuleren.
- Terugkomend op eerder geuite bekommernissen wat betreft de late aanlevering van controle-informatie voor de periode 2000-2006, beveelt de IAS een meer proactieve en preventieve benadering aan voor de komende periode. Belangrijke zwakke punten die in de huidige periode worden geïdentificeerd, dienen aandacht te krijgen op het moment dat controlesystemen voor nieuwe programma’s worden vastgesteld.
De intern controleur is van mening dat de mate en reikwijdte (beperkingen) van de geleverde zekerheid door de DG’s adequaat vermeld dient te worden in hun jaarlijkse activiteitenverslagen (AAR). Uit de AAR dient duidelijk te blijken wat de totale bedragen zijn waarop de controles betrekking hebben, de bedragen waarvoor risico wordt gelopen en de criteria die gebruikt zijn om het bereikte zekerheidsniveau te bepalen.
Het IAS-werkprogramma 2005 was sterk gericht op de controle van financieel beheer, veiligheid en IT-systemen. Andere belangrijke gebieden waren planning en programmering, en het toezicht op de toepassing van het EU-recht.
De intern controleur is van mening dat de Commissie, ondanks significante verbeteringen, aan risico’s op deze terreinen blootgesteld blijft, wat de effectiviteit van de operaties en de inzake de verrichtingen beschikbare zekerheid beperkt. De kwaliteit en de reikwijdte van de supervisie- en controleactiviteiten dienen te worden verbeterd.
Zekerheid opbouwen op het gebied van gezamenlijk beheer is ingewikkeld en controles van financieel beheer laten zien dat supervisie een probleemgebied blijft, zowel binnen sommige DG’s als tussen de DG’s. IAS en IAC-controles hebben gewezen op tekortkomingen in het volgen van internecontrolenormen (ICS) en het Financieel Reglement. Dit heeft betrekking op het ontwerpen en opzetten van controlesystemen: onvoldoende ex-ante evaluaties, risicoanalyses en functiescheiding, inclusief die van controleurs en management. Het gaat eveneens om de nauwkeurigheid en volledigheid van transactiecontroles, project- en controlegegevens en vastlegging van procedures. De intern controleur is van mening dat het geven van zekerheid inzake de wettigheid en regelmatigheid van verrichtingen onder dergelijke omstandigheden met aanzienlijke risico's gepaard gaat. De IAS en IAC’s hebben uitgebreide aanbevelingen gedaan aan diensten betreffende betalingsstromen, aanbestedingen, subsidie- en contractbeheer en terugvorderingen, maar eveneens wat betreft veiligheid en IT-kwesties.
Follow-upcontroles hebben positieve ontwikkelingen in eerder gecontroleerde gebieden aan het licht gebracht, maar wijzen ook op belangrijke vertragingen wat betreft de gerelateerde operationele, financiële en reputatierisico’s. Wat Eurostat aangaat, was de conclusie van follow-upcontroles dat – na aanzienlijke inspanningen – het risiconiveau nu vergelijkbaar is met dat van andere diensten. Een uitstekend punt dat naar voren is gebracht in dit verband betreft de bankrekeningen die op naam van de Commissie worden gehouden, maar die niet door de rekenplichtige worden geopend, welke kwestie inmiddels door het DG Begroting is behandeld.
Een specifiek gebied dat in 2005 door de IAS is gecontroleerd, was de controle van middelen die zijn toegewezen aan NGO’s voor ontwikkeling en humanitaire hulp. De betrokken beheersystemen zijn complex en verschillen tussen programma’s en beheerdiensten. Onregelmatigheden waarbij NGO’s betrokken waren, leidden tot verhoogde aandacht en een aantal onderzoeken, onder meer naar de aanbestedingspraktijken. De IAS heeft een aantal goede praktijken geconstateerd, zoals inspanningen om regelmatiger en gerichter te communiceren met de NGO-gemeenschap en de subsidieaanvraagprocedures te vereenvoudigen, met name in het kader van verzoeken om voorstellen in te dienen. Aanbevelingen die zijn gedaan, betreffen de behoefte aan informatie overal in de Commissie over NGO’s, inclusief een algemene NGO-typologie, uitwisseling van beproefde methoden en risicoanalyses, en een versterkte samenwerking tussen lidstaten en andere donoren. Aanbevelingen hebben eveneens betrekking op toegenomen controle op en voortgaande beoordeling van NGO’s, meer aandacht voor naleving door NGO’s van de regelgeving inzake aanbestedingen en het versterken van de capaciteitsopbouw van partners om de kwaliteit van projecten te verbeteren. Een brede acceptatie bij de gecontroleerden heeft ertoe geleid dat EuropeAid zijn benadering van het beheer van de relaties met NGO’s gedeeltelijk wil herzien.
Planning – coördinatie en samenhang
In het kader van het sinds 2000 uitgevoerde hervormingsproces is de nadruk gelegd op de verantwoordelijkheid en de beheersonafhankelijkheid van de DG's van de Commissie; de Commissie blijft evenwel één politiek verantwoordelijke instelling, en coördinatie en samenhang zijn essentiële factoren voor de Commissie om met succes haar beleidsdoelen te realiseren.
Een van de bevindingen van een evaluatie van de horizontale aspecten van de strategische planning- en programmeringcyclus (SPP) is dat politieke prioriteiten en juridische verbintenissen beter zouden moeten worden omgezet in gecoördineerde planning- en middelentoewijzingsprocessen. Audits van operationele processen (zoals het toezicht op de toepassing van het Gemeenschapsrecht, IT) bevestigen dat er onvoldoende coördinatie en strategische planning is.
Tezamen met andere horizontale diensten en de betrokken netwerken is het SG reeds bezig met een evaluatie van de effectiviteit van de SPP-cyclus. In 2006 zal de IAS een aantal andere audits uitvoeren bij operationele DG’s. Daarbij zal aandacht worden geschonken aan een punt dat in het verleden in jaarlijkse controleverslagen herhaaldelijk aan de orde is gesteld: de behoefte aan een beter evenwicht tussen de centrale en lokale verantwoordelijkheden en aan sterker uitgebouwde horizontale functies in de Commissie om de samenhang en het overzicht te waarborgen (interne controles, risicomanagement, boekhouding, HR, IT).
Een efficiënte IT-omgeving is essentieel voor de Commissie vanwege haar essentiële rol in het leveren van beleids- en operationele ondersteuning; daarbij zijn aanzienlijke menselijke, financiële en materiële middelen betrokken en de afhankelijkheid daarvan buiten de instelling is groot. De IAS beveelt aan de rollen en verantwoordelijkheden van horizontale en operationele diensten binnen het IT-domein nader te verduidelijken, bijvoorbeeld wat betreft veiligheid, bedrijfscontinuïteit, planning, ontwikkeling en beheer van IT-informatiesystemen. De IAS ervaart een duidelijke behoefte aan gecentraliseerde verslaggeving over de staat van IT-controles en –risico’s, en aan een grotere rol voor horizontale diensten in strategische oriëntatie en methodologische ondersteuning.
Volgens de IAS zouden IT-aspecten volwaardig tot uiting moeten komen in de ICS en in het risicobeheer (bijvoorbeeld via een noodplan voor calamiteiten) op DG- en op Commissieniveau. Wat de IT-infrastructuur betreft, ziet de IAS weliswaar belangrijke recente verbeteringen inzake IT-governance, maar beveelt de dienst aan om het potentieel inzake schaalvoordelen te benutten; dit kan gepaard gaan met een verdere herschikking van de taken van centrale en lokale IT. Om ervoor te zorgen dat de administratieve en operationele kredieten optimaal worden gebruikt, beveelt de IAS aan dat de middelentoewijzing gelijke tred houdt met de ontwikkeling van de IT-architectuur. Dit kan het in rekening brengen van de kostprijs van centrale IT-diensten omvatten. Een (BUDG/DIGIT) werkgroep financiering van centrale IT is in voorbereiding.
De IAS constateert een behoefte aan steeds gerichtere opleiding en training. Verheldering van de veiligheidsregels en de veiligheidspraktijk en meer aandacht voor bedrijfscontinuïteitsregelingen zijn van essentieel belang voor de Commissie om mogelijke systemische of operationele risico's te voorkomen en/of onder controle te houden.
De ICS van de Commissie hechten bijzonder belang aan de controleomgeving. Als deze goed ontwikkeld en gemonitord wordt, vertaalt zich dat in empowerment en het vermogen om proactief op te treden, wat medewerkers in staat stelt flexibele oplossingen en werkmethoden te ontwikkelen die zijn aangepast aan de politieke en managementomgeving, terwijl tegelijkertijd gezorgd wordt voor de noodzakelijke controle.
Audits hebben geleid tot de aanbeveling om beter te communiceren en om de noodzakelijke informatie gemakkelijker toegankelijk te maken binnen DG’s door databases, reguliere uitwisselingskanalen en regelmatige updates te gebruiken. Opleiding is essentieel om effectief te reageren op veelvuldige veranderingen, en nieuwe en vaak complexe regels vragen zelfs om nog meer opleidingsinspanningen. Op nagenoeg alle gebieden komt uit de audits naar voren dat meer en doelgerichter dient te worden opgeleid, vooral wat financiële procedures, aanbestedingen en audit/controle betreft.
Bij een aantal IAS- en IAC-audits is geconstateerd dat de Commissievoorschriften inzake de veiligheid van kantoren, documentatie en IT-installaties onvoldoende worden nageleefd en dat de toegang tot gevoelige informatie en toezicht op de toegang tot dossiers onvoldoende aandacht krijgt. Ingewikkelde procedures, waarbij een groot aantal actoren en eventueel verschillende diensten zijn betrokken, kunnen de coördinatie van de veiligheidsaspecten bemoeilijken.
De IAS adviseert om de veiligheidsbeoordelingen te verbeteren en een betere koppeling met de risicobeoordeling tot stand te brengen om samenhangende veiligheidstrategieën te kunnen ontwikkelen. Duidelijke verantwoordelijkheden binnen afdelingen toewijzen voor veiligheidskwesties en verbetering van het deskundig intern advies en bewustzijnsverhoging zouden de veiligheidsomgeving moeten vereenvoudigen en versterken. Aangelegenheden zoals bedrijfscontinuïteit en plannen voor onvoorziene gebeurtenissen spelen een belangrijke, maar nog steeds onderschatte rol in dit verband. De IAS vermeldt in dat verband de versterking door de Commissie van haar crisismanagement en –coördinatiecapaciteit (b.v. Argus) en het initiatief van het SG inzake bedrijfscontinuïteitsplanning.
Naleving van interne en externe regels is van cruciaal belang om de blootstelling aan financiële, wettelijke en reputatieschaderisico’s te beperken. Gevallen van niet-naleving vereisen een snelle reactie van het management, zoals betere opleiding en planning. Vereenvoudiging van de regelgeving, voor zover mogelijk, vermindert de administratieve belasting en vergemakkelijkt de naleving.
IAS- en IAC-controles hebben tekortkomingen op diverse terreinen vastgesteld (uitvoering, aanbestedingen, veiligheid) wat betreft de naleving van financiële, operationele en contractuele regels. Redenen hiervoor kunnen zijn: onvoldoende interne communicatie en documentatie over procedures, gebrek aan opleiding of gebrek aan middelen op bepaalde gebieden of tijdens bepaalde perioden van de programmeringscyclus. Medewerkers kunnen geconfronteerd worden met te veel en te ingewikkelde regels.
Volgens de IAS kunnen de potentiële gevolgen aanzienlijk zijn: financieel, door een mogelijk verlies van middelen of wanbeheer; politiek, als de gestelde doelen niet of onvoldoende worden gerealiseerd; juridisch, indien zaken voor de rechter worden gebracht; qua reputatie door beschadiging van het publieke imago van de Commissie, met name in de ogen van haar partners. Naast meer en verbeterde opleiding, beveelt de IAS een herziening van de personeelsverdeling en –planning aan (met inbegrip van een intensiever gebruik van risicoanalyse), en vereenvoudiging en stroomlijning van regels en wetgeving.
Een parallelle kwestie is de consequente toepassing van regels, zowel binnen een DG als over de DG’s heen. Hoewel er een legitieme vraag is naar flexibiliteit vanuit de administratie en door de begunstigden, mag dit de noodzakelijke operationele stabiliteit en garantie van gelijke behandeling niet in gevaar brengen.
De ontoereikende documentatie van procedures die uit een aantal IAS- en IAC-audits is gebleken, hangt nauw samen met deze vragen. Procedures beter documenteren en de documentatie gemakkelijker toegankelijk maken zou geen bureaucratische last moeten zijn, maar een nuttig hulpmiddel om procedures te analyseren (en deze waar nodig aan te passen of opnieuw te ontwerpen) om risico’s te beheersen en mobiliteit te vergemakkelijken.
Hoewel controles een behoefte binnen de Commissie aantonen om zich beter aan bestaande regels te houden en deze consequenter toe te passen, blijft vereenvoudiging tegelijkertijd een belangrijke uitdaging. In 2006 wil de IAS met name aandacht besteden aan vereenvoudiging als een specifiek controledoel bij alle belangrijke opdrachten.
Op basis van zijn werkzaamheden in 2005 vestigt de intern controleur de aandacht op vier algemene conclusies. De antwoorden van de Commissie op de bevindingen en conclusies van de intern controleur worden behandeld in het syntheseverslag van de jaarlijkse activiteitenverslagen van de directeuren-generaal.
IAS-conclusie: Controles in 2005 tonen dat de diensten van de Commissie aanzienlijke vooruitgang hebben geboekt op het gebied van interne controle. Deze controles hebben echter ook belangrijke, blijvende tekortkomingen in het ontwerp en de inrichting van controlesystemen aan het licht gebracht, evenals in de effectieve toepassing van normen en controles. Voorbeelden hiervan zijn de inrichting van financiële circuits, scheiding van taken, risicoanalyse, toezicht op en naleving van de controle- en documentatievereisten bij het beheer van contracten en subsidies, informatieveiligheid en bedrijfscontinuïteit, en IT-beheer en –planning.
De diensten zouden hun inspanningen moeten voortzetten om van een formele naleving van procedures over te schakelen naar een effectief gebruik van nieuwe hulpmiddelen en controles, die leiden tot een geringere (administratieve) belasting en meer bestuurlijke efficiëntie.
Antwoord van de Commissie: De Commissie zal indicatoren voor controledoelen ontwikkelen, die met name betrekking zullen hebben op de manier waarop interne controlesystemen omgaan met het risico voor de wettigheid en regelmatigheid van verrichtingen. De rapportering over de effectiviteit van interne controles zal, waar dat nodig is, verder worden verbeterd in jaarlijkse activiteitenverslagen. Verder nodigt de Commissie het Europees Parlement en de Raad uit de inspanningen te ondersteunen om het juridische kader aan te passen, teneinde ervoor te zorgen de beginselen van evenredigheid en kosteneffectiviteit van de controles effectief worden toegepast.
IAS-conclusie: De directeuren-generaal dienen ervoor te zorgen dat controleprocessen de redelijke zekerheid bevestigen die in de jaarlijkse activiteitenverslagen wordt gegeven. Dit proces en de reikwijdte van de zekerheid dienen voldoende naar voren te komen in het jaarlijks activiteitenverslag. Dit zou het volgende kunnen inhouden:
- verbetering en onderlinge afstemming van controle-/auditmethodologieën tussen ‘families’ van DG’s;
- integratie van verschillende zekerheidsniveaus (bijvoorbeeld lidstaten, de Commissie) in een samenhangend kader en een geïntegreerde verslaggeving met duidelijke indicatoren voor het zekerheidsniveau.
Antwoord van de Commissie: De Commissie zal ervoor zorgen dat haar gedelegeerde ordonnateurs zich blijven inspannen om te garanderen dat de redelijke zekerheid in de verklaringen die bij de jaarverslagen gaan, effectief worden ondersteund door toepasselijke interne controlesystemen. Wat het gezamenlijk beheer betreft, zal de Commissie zich blijven beijveren voor een versterking van de zekerheid van de nationale autoriteiten die EU-middelen beheren. De Commissie heeft zich ertoe verbonden een geïntegreerd internecontrolekader tot stand te brengen.
IAS-conclusie: Onder leiding van de secretaris-generaal zouden directeuren-generaal de mogelijkheid moeten onderzoeken om gebruik te maken van ‘gemeenschappelijke diensten’, met het doel de bestuurlijke efficiëntie en –effectiviteit te verhogen alsmede middelen rendabeler te gebruiken. Dit zou het volgende kunnen inhouden:
- herziening van de verdeling van bepaalde taken en van het gebruik van middelen op horizontaal en operationeel niveau;
- beproeving – en bij succes – introductie overal in de Commissie van instrumenten zoals overeenkomsten waarin dienstverleningsniveaus worden vastgelegd (zgn. service level agreements ) en/of financieringsovereenkomsten tussen operationele en horizontale diensten.
Mogelijke voorbeelden zijn: IT, communicatie en financieel/ HR-beheer voor kleine diensten.
Antwoord van de Commissie: de Commissie erkent de meerwaarde die afspraken tussen diensten kunnen vormen voor kleine diensten, vooropgesteld dat dergelijke regelingen op een rentabiliteitsanalyse stoelen en aan de toepasselijke regels voldoen, zonder te raken aan de verantwoordelijkheid van elke gedelegeerde ordonnateur.
IAS-conclusie: de diensten van de Commissie moeten een echte 'follow-upcultuur' ontwikkelen. Follow-upacties naar aanleiding van controle- en auditverslagen zouden volledig geïntegreerd moeten worden in de gewone managementplanning en -praktijk; tijdige implementatie dient regelmatig gecontroleerd te worden op seniormanagementniveau.
Regelmatige en volledige aandacht voor zwakke punten in het beheer en de controle bewerkstelligen een lerende organisatie, waardoor mettertijd omslachtige en potentieel verstorende controleactiviteiten minder noodzakelijk worden.
Antwoord van de Commissie: de Commissie zal erop toezien dat haar directeuren-generaal gedetailleerde actieplannen opstellen, waarbij rekening wordt gehouden met aangewezen prioriteiten en de middelenbeperkingen, en op basis daarvan te gepasten tijde gevolg geven aan de controleaanbevelingen.