Artikelen bij COM(2016)628 - Jaarverslag over de in 2015 uitgevoerde interne controles (artikel 99, lid 5, van het Financieel Reglement) - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2016)628 - Jaarverslag over de in 2015 uitgevoerde interne controles (artikel 99, lid 5, van het Financieel Reglement). |
|---|---|
| document | COM(2016)628   |
| datum | 30 september 2016 |
Brussel, 30.9.2016
COM(2016) 628 final
VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
Jaarverslag over de in 2015 uitgevoerde interne controles
(artikel 99, lid 5, van het Financieel Reglement)
{SWD(2016) 322 final}
1. Inleiding
2. De opdracht van de IAS: onafhankelijkheid, objectiviteit en verantwoording. Doelstellingen en reikwijdte van het verslag
3. Overzicht van uitgevoerde audits
3.1. Uitvoering van het auditplan 2015
3.2. Statistische gegevens over IAS-aanbevelingen
4. Samenvatting van de uitgevoerde audits
4.1. Conclusies betreffende doelmatigheidsaudits
4.1.1. Doelmatigheid van DG's, diensten en uitvoerende agentschappen van de Commissie: horizontale processen (HR, IT, fraudebestrijding enz.)
4.1.2. Doelmatigheid bij het beheren en besteden van budgettaire beleidskredieten
4.1.3. Doelmatigheid op begrotingsneutrale beleidsterreinen
4.2. Beperkte IAS-conclusies betreffende de stand van zaken van de interne controle van elk DG
4.3. Algemeen oordeel over het financiële beheer van de Commissie
5. Overleg met de instantie voor financiële onregelmatigheden van de Commissie
6. Conclusies
7. Lijst van gebruikte afkortingen
1. Inleiding
Dit verslag informeert het Europees Parlement en de Raad over de werkzaamheden van de dienst Interne Audit (IAS) van de Commissie conform de vereisten in artikel 99, lid 5, van het Financieel Reglement. Het is gebaseerd op het verslag dat de intern controleur van de Commissie overeenkomstig artikel 99, lid 3, van het Reglement heeft opgesteld aangaande in 2015 voltooide controle- en consultancyverslagen van de IAS over de directoraten-generaal (DG's) van de Commissie en haar diensten en uitvoerende agentschappen 1 . In overeenstemming met de rechtsgrondslag ervan bevat het een samenvatting van het aantal en de soort uitgevoerde interne audits, de aanbevelingen en het gevolg dat aan die aanbevelingen is gegeven 2 . In dit verslag zijn de auditverslagen meegenomen die in de periode 1 februari 2015 - 31 januari 2016 waren voltooid. Aanbevelingen waaraan na de afsluitdatum van 31 januari 2016 gevolg is gegeven, zijn niet in aanmerking genomen.
2. De opdracht van de IAS: onafhankelijkheid, objectiviteit en verantwoording. Doelstellingen en reikwijdte van het verslag
De dienst interne audit heeft tot taak de Commissie onafhankelijke, objectieve zekerheid te verschaffen en adviesdiensten te verlenen met de bedoeling waarde toe te voegen aan en verbetering te brengen in de operaties van de Commissie. De IAS helpt de Commissie haar doelstellingen te verwezenlijken door met behulp van een systematische, gedisciplineerde aanpak de effectiviteit van risicomanagement-, controle- en governanceprocessen te evalueren en aanbevelingen ter verbetering daarvan te doen. Zijn taken omvatten onder meer het evalueren van het governanceproces en het doen van passende aanbevelingen met het oog op een betere realisatie via dit proces van de volgende doelstellingen: het bevorderen van een passende ethiek en passende waarden binnen de organisatie, het waarborgen van een doelmatig prestatiemanagement en een doelmatige verantwoordingsplicht binnen de organisatie, en het effectief meedelen van risico- en controle-informatie aan de juiste gebieden binnen de organisatie. Daarmee werkt de IAS een cultuur van efficiënt en doeltreffend management binnen de Commissie en haar diensten in de hand. De onafhankelijkheid van de IAS is verankerd in het Financieel Reglement 3 en in zijn door de Commissie goedgekeurde taakomschrijving 4 . De IAS brengt over alle verrichte audits verslag uit aan het Comité follow-up audit (CFA). Het Comité follow-up audit staat het college van commissarissen bij door ervoor te zorgen dat de diensten van de Commissie naar behoren rekening houden met de werkzaamheden van de IAS, de voormalige interne-auditfuncties (IAF's) en de Europese Rekenkamer en dat deze werkzaamheden een passend vervolg krijgen.
De IAS verricht zijn werkzaamheden overeenkomstig het Financieel Reglement, de internationale normen voor professionele interne audit (International Standards for the Professional Practice of Internal Auditing) en de gedragscode van het Institute of Internal Auditors.
Controlesystemen die door de lidstaten worden gebruikt om de besteding van middelen van de Commissie na te gaan, worden niet door de IAS gecontroleerd. Dergelijke audits, die tot op het niveau van individuele begunstigden gaan, worden uitgevoerd door de intern controleurs van de lidstaten, de nationale controleautoriteiten of andere afzonderlijke DG's van de Commissie en de Europese Rekenkamer (ERK). De IAS controleert echter wel de maatregelen die door de diensten van de Commissie worden genomen om toezicht te houden en controle uit te oefenen op instanties in de lidstaten en op andere organisaties die voor het uitbetalen van EU-gelden verantwoordelijk zijn, zoals de Verenigde Naties. Zoals in het Financieel Reglement is bepaald, kan de IAS deze taken ter plaatse, inclusief in de lidstaten, uitvoeren.
3. Overzicht van uitgevoerde audits
3.1.Uitvoering van het auditplan 2015
Op de afsluitdatum (31 januari 2016) werd voor de uitvoering van het auditplan 2015 de doelstelling van 100 % van de voorgenomen verbintenissen voor audits binnen de Commissie, haar diensten en uitvoerende agentschappen bereikt 5 .
139 verbintenissen (waaronder audits, follow-upacties, beperkte controles, risicobeoordelingen en 1 managementletter) werden voltooid, waarvan de uitsplitsing in de onderstaande tabel is weergegeven.
| 2015 | 2014 | 2013 | ||||
| Verbintenissen | Verslagen | Verbintenissen | Verslagen | Verbintenissen | Verslagen | |
| Audit | 38 | 52 6 | 25 7 | 31 | 22 8 | 23 |
| Follow-upactie | 96 | - 9 | 53 | - | 48 | - |
| (Beperkte) controle | 2 | 2 | 5 | 5 | 4 | 4 |
| Managementletter | 1 | 1 | 1 | 1 | 1 | 1 |
| IT-risicobeoordeling | 0 | 0 | 1 | 1 | 0 | 0 |
| GSVZ-risicobeoordeling 10 | 1 | 1 | 0 | 0 | 0 | 0 |
| Consultancy | 1 | 1 | 0 | 0 | 0 | 0 |
| Totaal | 139 | 57 | 85 | 38 | 75 | 28 |
Het feit dat het aantal door de IAS voltooide verbintenissen in 2015 is gestegen in vergelijking met eerdere jaren, is vooral toe te schrijven aan de centralisatie van de interne-auditfunctie. In 2015 heeft de IAS 60 nieuwe posten toegewezen gekregen, die de dienst geleidelijk heeft ingevuld. Als gevolg daarvan zijn in het auditplan nieuwe verbintenissen opgenomen in reactie op de toegenomen beschikbare capaciteit. Het definitieve auditplan 2016 bevat 101 auditverbintenissen (exclusief follow-upverbintenissen), waarvan er volgens het plan in 2016 67 zullen worden voltooid.
In overeenstemming met zijn taakomschrijving en de internationale normen en met het oog op een efficiënte en doeltreffende uitvoering van het auditplan is de IAS voornemens zijn auditwerkzaamheden te plannen op basis van een risicobeoordeling en een capaciteitsanalyse. De uitvoering zal vervolgens regelmatig worden getoetst en indien nodig worden aangepast.
3.2.Statistische gegevens over IAS-aanbevelingen
Hierna volgt een overzicht van het aantal in 2015 door de IAS gedane aanbevelingen (met vermelding van het aanvaardingspercentage).
| Nieuwe aanbevelingen | Aanvaarde aanbevelingen | Niet-aanvaarde aanbevelingen | |||
| Prioriteit | % | % | |||
| Cruciaal | 1 | 1 | 100 % | 0 | n.v.t. |
| Erg belangrijk | 80 | 80 | 100 % | 0 | n.v.t. |
| Belangrijk | 128 | 128 | 100 % | 0 | n.v.t. |
| Wenselijk | 7 | 7 | 100 % | 0 | n.v.t. |
| Totaal | 216 | 216 | 100 % | 0 | n.v.t. |
Voor alle aanvaarde aanbevelingen hebben de gecontroleerden actieplannen opgesteld, die aan de IAS zijn voorgelegd en door de dienst voldoende werden geacht.
In de onderstaande tabel wordt een overzicht gegeven van de uitvoering per 31 januari 2016 11 , zoals ingeschat door de gecontroleerden 12 , van de aanvaarde aanbevelingen die in de periode 2011-2015 zijn gedaan. Aanbevelingen waaraan na de afsluitdatum van 31 januari 2016 gevolg is gegeven, worden niet in aanmerking genomen.
| Uitgevoerd | In uitvoering (volgens aantal maanden vertraging) | |||||||||
| Jaar | Prioriteit | Totaal | # | % | # | % | Geen vertraging | 0 - 6 | 6 - 12 | 12+ |
| 2011 | Cruciaal | 0 | 0 | 0 % | 0 | 0 % | 0 | 0 | 0 | 0 |
| Erg belangrijk | 47 | 47 | 100 % | 0 | 0 % | 0 | 0 | 0 | 0 | |
| Belangrijk | 101 | 99 | 98 % | 2 | 2 % | 0 | 0 | 0 | 2 | |
| Wenselijk | 10 | 10 | 100 % | 0 | 0 % | 0 | 0 | 0 | 0 | |
| Totaal 2011 | 158 | 156 | 99 % | 2 | 1 % | 0 | 0 | 0 | 2 | |
| 2012 | Cruciaal | 0 | 0 | 0 % | 0 | 0 % | 0 | 0 | 0 | 0 |
| Erg belangrijk | 68 | 62 | 91 % | 6 | 9 % | 0 | 0 | 3 | 3 | |
| Belangrijk | 123 | 113 | 92 % | 10 | 8 % | 2 | 2 | 0 | 6 | |
| Wenselijk | 0 | 0 | 0 % | 0 | 0 % | 0 | 0 | 0 | 0 | |
| Totaal 2012 | 191 | 175 | 92 % | 16 | 8 % | 2 | 2 | 3 | 9 | |
| 2013 | Cruciaal | 0 | 0 | 0 % | 0 | 0 % | 0 | 0 | 0 | 0 |
| Erg belangrijk | 48 | 40 | 83 % | 8 | 17 % | 5 | 0 | 0 | 3 | |
| Belangrijk | 73 | 60 | 82 % | 13 | 18 % | 1 | 1 | 1 | 10 | |
| Wenselijk | 6 | 6 | 100 % | 0 | 0 % | 0 | 0 | 0 | 0 | |
| Totaal 2013 | 127 | 106 | 83 % | 21 | 17 % | 6 | 1 | 1 | 13 | |
| 2014 | Cruciaal | 0 | 0 | 0 % | 0 | 0 % | 0 | 0 | 0 | 0 |
| Erg belangrijk | 45 | 19 | 42 % | 26 | 58 % | 5 | 14 | 7 | 0 | |
| Belangrijk | 77 | 53 | 69 % | 24 | 31 % | 6 | 8 | 9 | 1 | |
| Wenselijk | 3 | 3 | 100 % | 0 | 0 % | 0 | 0 | 0 | 0 | |
| Totaal 2014 | 125 | 75 | 60 % | 50 | 40 % | 11 | 22 | 16 | 1 | |
| Overgenomen IAF-aanbevelingen | Cruciaal | 0 | 0 | 0 % | 0 | 0 % | 0 | 0 | 0 | 0 |
| Erg belangrijk | 281 | 233 | 83 % | 48 | 17 % | 10 | 23 | 5 | 10 | |
| Belangrijk | 583 | 466 | 80 % | 117 | 20 % | 20 | 40 | 23 | 34 | |
| Wenselijk | 44 | 44 | 100 % | 0 | 0 % | 0 | 0 | 0 | 0 | |
| Totaal IAF's | 908 | 743 | 82 % | 165 | 18 % | 30 | 63 | 28 | 44 | |
| 2015 | Cruciaal | 1 | 0 | 0 % | 1 | 100 % | 1 | 0 | 0 | 0 |
| Erg belangrijk | 80 | 6 | 8 % | 74 | 92 % | 69 | 5 | 0 | 0 | |
| Belangrijk | 128 | 9 | 7 % | 119 | 93 % | 109 | 10 | 0 | 0 | |
| Wenselijk | 7 | 0 | 0 % | 7 | 100 % | 7 | 0 | 0 | 0 | |
| Totaal 2015 | 216 | 15 | 7 % | 201 | 93 % | 186 | 15 | 0 | 0 | |
| TOTAAL 2011-2015 | 1 725 | 1 270 | 74 % | 455 | 26 % | 235 | 103 | 48 | 69 | |
| Waarvan cruciaal of erg belangrijk | 570 | 407 | 72 % | 163 | 28 % | 90 | 42 | 15 | 16 |
De forse stijging van het totale aantal onafgehandelde aanbevelingen is vooral terug te voeren op het feit dat de centralisatie van de interne-auditfunctie ertoe heeft geleid dat voormalige IAF-aanbevelingen door de IAS zijn overgenomen.
Algemeen genomen worden 1 270 of 74 % van het totale aantal aanvaarde aanbevelingen die in de periode 2011-2015 zijn uitgebracht, door de gecontroleerden als uitgevoerd beschouwd, wat betekent dat de uitvoering van in totaal 455 aanbevelingen (of 26 %) nog niet is afgerond. Van dit totaal van 455 aanbevelingen waaraan nog wordt gewerkt, is er 1 cruciaal (maar niet in vertraging) en zijn er 162 erg belangrijk.
De tenuitvoerlegging van 220 van de in totaal 455 aanbevelingen in uitvoering heeft vertraging opgelopen, wat neerkomt op 13 % van het totale aantal aanvaarde aanbevelingen. Van die 220 zijn 31 erg belangrijke aanbevelingen al geruime tijd zonder gevolg gebleven (meer dan 6 maanden ten opzichte van de oorspronkelijke uiterste datum). Aan dit aantal moet nog 1 andere reeds lange tijd onbeantwoord gebleven, erg belangrijke aanbeveling worden toegevoegd die werd gedaan in een auditverslag dat vóór deze verslagperiode (2011-2015) is gepubliceerd. Alles samen vertegenwoordigen deze aanbevelingen slechts 1,9 % van het totale aantal aanvaarde aanbevelingen in de periode 2011-2015.
Al bij al beschouwt de IAS dit als een goed resultaat, dat vergelijkbaar is met eerdere verslagen en dat erop wijst dat de diensten van de Commissie zich inspannen om de erg belangrijke aanbevelingen ten uitvoer te leggen, waardoor de gesignaleerde risico's worden verkleind. Dat neemt evenwel niet weg dat aandacht moet worden besteed aan aanbevelingen die als 'erg belangrijk' worden aangemerkt en waaraan al geruime tijd geen gevolg is gegeven (d.w.z. waarvan de uitvoering al meer dan zes maanden vertraging heeft opgelopen). Het CFA is op gezette tijden geïnformeerd over de stand van de uitvoering van de IAS-aanbevelingen (beoordeling door het management en resultaten van de door de IAS uitgevoerde follow-upverbintenissen). De aandacht is daarbij vooral uitgegaan naar de erg belangrijke aanbevelingen waarvan de uitvoering meer dan zes maanden vertraging had opgelopen. Het CFA heeft besloten specifieke maatregelen te nemen en heeft de diensten in voorkomend geval gewezen op hun verantwoordelijkheid om de IAS-aanbevelingen op te volgen.
Het totale aantal in de periode 2011-2015 uitgebrachte aanbevelingen waarvoor een follow-upaudit is uitgevoerd, bedraagt 1 004, terwijl 1 270 aanbevelingen door de gecontroleerden als 'klaar voor controle' werden aangemerkt.
Van het totale aantal tijdens die periode gedane en geverifieerde aanbevelingen (1 004) zijn er 911 (91 %) door de auditor afgesloten. Dit betekent dat volgens de IAS gemiddeld 9 % van de aanbevelingen nog niet als effectief ten uitvoer gelegd kon worden beschouwd en dus niet kon worden afgesloten na de afronding van de follow-upaudit. Dat houdt een toename in in vergelijking met vorig jaar (5 %). Deze ontwikkeling is toe te schrijven aan het feit dat de IAS in de tweede helft van 2015 diverse follow-upaudits heeft uitgevoerd waarbij ook de stand van de uitvoering werd beoordeeld van aanbevelingen die door de gecontroleerde nog niet als 'klaar voor controle' waren aangemerkt. De meeste van die aanbevelingen waren IAF-aanbevelingen waarvoor de IAS van de gelegenheid gebruik heeft gemaakt om de stand van de uitvoering ervan op te maken op het moment waarop hij andere aanbevelingen van dezelfde audit beoordeelde die door de gecontroleerde wel als 'klaar voor controle' werden aangemerkt. Voorts is de IAS nagegaan in hoeverre vorderingen waren gemaakt met betrekking tot geselecteerde aanbevelingen die direct met het zekerheidsopbouwproces in het kader van het proces van de jaarlijkse activiteitenverslagen (JAV's) verband houden, met de bedoeling de DG's op de hoogte te brengen van de laatste stand van zaken op het gebied van de rapportage in de JAV's. Dit was een nieuwe aanpak in vergelijking met eerdere jaren.
Wanneer voor dit effect wordt gecorrigeerd (door alleen aanbevelingen in aanmerking te nemen die door het management als 'klaar voor controle' zijn bestempeld), loopt het totale percentage aanbevelingen die na een follow-upaudit als 'in uitvoering' werden geclassificeerd, terug tot 4 %, wat in de lijn ligt van het percentage in eerdere verslagen.
4. Samenvatting van de uitgevoerde audits
4.1.Conclusies betreffende doelmatigheidsaudits
In reactie op de verschuiving binnen de Commissie naar een meer prestatiegerichte cultuur en een grotere nadruk op kosteneffectiviteit is de IAS in 2015 doelmatigheidsaudits 13 en audits met belangrijke doelmatigheidselementen (uitgebreide audits) blijven uitvoeren als onderdeel van zijn strategisch auditplan 2013-2015.
Deze audits hadden betrekking op een aantal prestatiegerelateerde aspecten:
– DG's en diensten worden met een toenemende druk op financiële en personele middelen geconfronteerd en tegelijkertijd moeten zij kunnen aantonen dat zij hun doelstellingen realiseren en hun financiële middelen optimaal besteden. De IAS heeft zijn aandacht toegespitst op 1) hoe DG's en diensten het beheer en de monitoring verzekeren van en verslag uitbrengen over de specifieke doelstellingen waarvoor zij verantwoordelijk zijn en die zij met hun outputs en acties kunnen verwezenlijken; 2) het gebruik van hun interne middelen; en 3) hoe zij de voordelen van hun interne processen en controles evalueren.
– In het meerjarig financieel kader 2014-2020 wordt sterker de nadruk gelegd op het behalen van resultaten en de rechtsgrondslagen bevatten nieuwe bepalingen die mechanismen invoeren tot versterking van de prestatiekaders van de uitgavenprogramma's voor de periode 2014-2020.
De IAS heeft zich geconcentreerd op de wijze waarop DG's en diensten de uitvoering van EU-beleid beheren en bewaken en verslag uitbrengen over de resultaten van dit beleid. Deze benadering kan zowel op uitgavenprogramma's als op begrotingsneutrale activiteiten worden toegepast. Beleidsdoelstellingen worden doorgaans gedefinieerd via algemene doelstellingen waaraan DG's en diensten tot op zekere hoogte bijdragen. De verwezenlijking van de algemene doelstellingen wordt echter ook door andere externe factoren en door derden beïnvloed.
Conform de door de IAS gehanteerde methodiek en in overeenstemming met de beste praktijk heeft de dienst de prestatiebeoordeling dan ook op indirecte wijze benaderd door na te gaan of en hoe het management systemen heeft opgezet voor het meten van de resultaten (doelmatigheid en doeltreffendheid) van haar activiteiten. Met een dergelijke benadering wil de IAS in de eerste plaats garanderen dat DG's en diensten beschikken over prestatiekaders met instrumenten voor de meting van prestaties (kernindicatoren) en monitoringsystemen 14 . Deze benadering is ten dele ingegeven door het feit dat in een groot aantal rechtsgrondslagen voor de uitgavenprogramma's doelstellingen worden geformuleerd met een bredere reikwijdte dan de Commissie eigenlijk alleen aankan. Dit houdt in dat eerst doelstellingen en SMART-benchmarks op Commissieniveau moeten worden vastgesteld om een zo goed mogelijk onderscheid te kunnen maken tussen, enerzijds, de specifieke doelstellingen en prestaties van de Commissie en, anderzijds, die van de uitgavenprogramma's, waarvan de verwezenlijking ook van andere belangrijke partijen afhankelijk is, vooral wanneer het EU-programma's betreft die in gedeeld of indirect beheer worden uitgevoerd (lidstaten, regio's enz.).
In de volgende afdelingen worden de conclusies van de IAS betreffende diverse prestatiegerelateerde aspecten van zijn in 2015 uitgevoerde audits uiteengezet.
4.1.1.Doelmatigheid van DG's, diensten en uitvoerende agentschappen van de Commissie: horizontale processen (HR, IT, fraudebestrijding enz.)
4.1.1.1. Strategische planning en programmering
Op het gebied van strategische planning en programmering is de Commissie bezig met de invoering van een solide prestatiekader dat is gebaseerd op 1) het vooraf vaststellen van algemene en specifieke doelstellingen die de DG's en de diensten van de politieke beleidslijnen van de Commissie hebben afgeleid en in hun beheersplannen hebben opgenomen; 2) regelmatige meting en monitoring van prestatie-indicatoren; en 3) verslaglegging over hun verwezenlijkingen in hun jaarlijkse activiteitenverslagen. Tegenover deze gedecentraliseerde verantwoordelijkheden staan op het niveau van de Commissie de verantwoordelijkheden van SG en DG BUDG, die het algemeen kader verschaffen, de werkzaamheden coördineren, voor begeleiding zorgen en ondersteuning bieden. De IAS kwam tot de bevinding dat verdere inspanningen zijn vereist, zowel op Commissieniveau als op gedecentraliseerd niveau om de kwaliteit van de indicatoren verder te verbeteren. Gebeurtenis na de audit: inmiddels zijn de centrale diensten overgegaan tot een grondige herziening van de cyclus van strategische planning en programmering; deze herziening resulteerde in november 2015 met name in nieuwe instructies voor de planningdocumenten. De IAS heeft nog geen follow-upaudit uitgevoerd. (Zie SWD, deel 1, afdeling 1.2).
In dit verband heeft de IAS op verzoek van het management van DG FISMA ook een consultancyverbintenis uitgevoerd die resulteerde in een aantal aanbevelingen en suggesties voor de strategische en jaarlijkse beheersplannen van het DG en, meer in het algemeen, in een verschuiving naar een prestatiegebaseerde cultuur. (Zie SWD, deel 1, afdeling 7.5).
4.1.1.2. Fraudebestrijding
Wat fraudebestrijding betreft, is de IAS tot de bevinding gekomen dat alle gecontroleerde DG's en diensten een fraudebestrijdingsstrategie hebben uitgestippeld en effectief ten uitvoer hebben gelegd, conform de richtsnoeren die OLAF op dit terrein heeft verstrekt. Op operationeel en bedrijfsniveau zijn echter verdere verbeteringen vereist om de fraudebestrijdingsstrategie doeltreffender te maken. De IAS heeft aanbevolen het fraudebestrijdingskader en de fraudebestrijdingsrichtsnoeren op Commissieniveau te versterken en over te stappen van opzichzelfstaande beoordelingen op hoog niveau naar een gecoördineerde exercitie die in de cyclus van strategische planning en programmering is ingebed en waarbij fraudebestrijdingsmaatregelen effectief in de interne controlesystemen van de DG's en de diensten zijn geïntegreerd. Voorts achtte de IAS ad-hocmaatregelen noodzakelijk om de status van gerechtelijke audits in DG DEVCO aan te pakken en om de controles van medegefinancierde projecten in REA te versterken. (Zie SWD, deel 1, afdeling 1.3).
4.1.1.3. IT-beveiliging
Op IT-gebied vormt een doeltreffende IT-beveiliging een belangrijke uitdaging in het licht van voortdurend veranderende dreigingen die afbreuk kunnen doen aan de vertrouwelijkheid, integriteit en beschikbaarheid van de door de Commissie opgeslagen en verwerkte informatie. In het kader van eerdere audits die de IAS in de afgelopen jaren heeft uitgevoerd, is een reeks steeds terugkerende systeemproblemen ter zake vastgesteld. In een managementletter die tot de centrale diensten belast met IT-beveiliging was gericht, werd een beknopt overzicht van deze problemen gegeven. Hoewel op operationeel niveau zeer gemotiveerd en technisch bekwaam personeel beschikbaar is, is de IAS tot de bevinding gekomen dat de Commissie het effectieve toezicht op kwesties inzake informatiebeveiliging moet versterken. (Zie SWD, deel 1, afdeling 9.2).
Op lokaal niveau heeft een audit van het lokaal IT-beheer in DG COMP een aantal IT-beveiligingsproblemen bevestigd en tevens andere kwesties op het gebied van de IT-financiering, de afstemming tussen activiteiten en IT, en het project- en kwaliteitsbeheer aan het licht gebracht. (Zie SWD, deel 1, afdeling 9.1).
4.1.1.4. Gemeenschappelijk ondersteuningscentrum van de onderzoeksdiensten (bedrijfsprocessen, IT-instrumenten, governance)
Het gemeenschappelijk ondersteuningscentrum voorziet in gemeenschappelijke bedrijfsprocessen en verleent tevens juridische, IT-, audit-, informatie- en gegevensdiensten voor de onderzoeksdiensten van de DG's en de diensten. Daarnaast werd verwacht dat de centralisatie van ondersteunende diensten zou resulteren in efficiëntiewinsten in de vorm van kostenreducties, personeelsbesparingen en de stroomlijning van processen en procedures. De IAS-audit, die is uitgevoerd toen het centrum nog niet lang operationeel was, erkende dat er op het gebied van de harmonisatie en vereenvoudiging van het bedrijfsproces en de IT-instrumenten belangrijke successen waren geboekt, met alle gunstige gevolgen van dien voor de begunstigden van EU-middelen (zo neemt het toekennen van subsidies minder tijd in beslag en zijn er minder administratieve lasten), al blijft er sprake van een aantal tekortkomingen, met name wat de opzet van de governance betreft. (Zie SWD, deel 1, afdeling 4.7).
4.1.1.5. Personeelsbeheer
Wat het personeelsbeheer betreft, is de IAS tot de bevinding gekomen dat het ziekteverzuimpercentage in de Commissie stabiel blijft maar dat het gemiddelde percentage aanzienlijk hoger ligt in de bureaus (OIB, OIL en PMO). De verantwoordelijkheid voor de beheersing van het ziekteverzuim ligt zowel op operationeel als op bedrijfsniveau (DG HR). Op beide niveaus zijn de managers zich terdege bewust van het ziekteverzuim en binnen hun bevoegdheidsgebieden doen zij er alles aan om dit te beheersen. Op beide niveaus zijn er evenwel verdere maatregelen vereist die verbetering brengen in de meting, monitoring en rapportage van de omvang van het ziekteverzuim, de vaststelling van referentiepercentages voor het ziekteverzuim en de verificatie van ziekteverzuim door de medische dienst. (Zie SWD, deel 1, afdeling 1.1).
Een ander HR-vraagstuk dat in 2015 is behandeld, was het kennisbeheerproces in DG COMP. Daarbij is de IAS tot de bevinding gekomen dat de bestaande systemen voor het vergaren, bewaren en delen van kennis algemeen genomen efficiënt en doeltreffend zijn en de medewerkers van DG COMP voldoende ondersteuning bieden om een gedegen en consequente afhandeling van mededingingszaken te verzekeren. (Zie SWD, deel 1, afdeling 7.4).
4.1.2.Doelmatigheid bij het beheren en besteden van budgettaire beleidskredieten
4.1.2.1. Direct beheer
Op het terrein van de direct beheerde middelen is aan de hand van diverse audits onderzocht of de beheer- en controlesystemen van de DG's en de diensten berekend zijn op het besteden en beheren van het budget van de uitgavenprogramma's waarvoor zij verantwoordelijk zijn (Horizon 2020, consumenten- en gezondheidsprogramma's, LIFE-programma, mkb-instrument en financieringsfaciliteit voor Europese verbindingen). Sommige van die audits hadden in het bijzonder betrekking op de doelmatigheid van de opzet van het subsidiebeheerproces, terwijl andere de efficiëntie en doeltreffendheid beoordeelden van de ingevoerde systemen voor het beheer en de controle van specifieke programma's. Algemeen genomen bleek uit de IAS-audits dat de gecontroleerde DG's en diensten (DG CONNECT, DG RTD, CHAFEA en ERCEA) over efficiënte en doeltreffende subsidiebeheerprocessen beschikken. Dat neemt echter niet weg dat in CHAFEA en EASME ernstige tekortkomingen zijn geconstateerd in de procedures voor subsidiebeheer. Deze tekortkomingen moeten worden aangepakt. Sommige uitvoerende agentschappen, en met name EASME en INEA, staan voor grote uitdagingen wat het afdoende beheer betreft van de uitvoering van de diverse uitgavenprogramma's die aan hen zijn gedelegeerd. Een specifiek punt van zorg zijn de zwakke punten die aan het licht zijn gekomen in de controlestrategie en de zekerheidsopbouwprocessen voor diverse door EASME en INEA beheerde programma's. (Zie SWD, deel 1, afdelingen 2.5 (CHAFEA), 4.1 (DG CONNECT), 4.8 (DG RTD), 4.10 (EASME), 4.11 (ERCEA) en 4.12 (INEA)).
4.1.2.2. Indirect beheer
(a)Diensten voor extern optreden (EU-trustfondsen)
Wat de diensten voor extern optreden van DG's betreft, is in DG DEVCO en DG NEAR een audit uitgevoerd waarbij werd gekeken naar de opzet en implementatie van EU-trustfondsen. De conclusie van de audit luidde dat hoewel de eerste trustfondsen enig succes hebben geboekt bij het aantrekken van een beperkt aantal donoren en het vergroten van de zichtbaarheid van hun activiteiten, er verdere inspanningen moeten worden geleverd teneinde optimaal van dit financieringsmechanisme te kunnen profiteren om het hoofd te bieden aan de complexe operationele en financiële uitdagingen die zich voordoen bij de uitvoering van projecten in precaire en crisisomgevingen. Met name de governanceprocessen en het operationele prestatiebeheer van de trustfondsen moeten worden versterkt. (Zie SWD, deel 1, afdeling 5.1).
(b)Combinatie van verschillende beheersmethoden: Erasmus+ (EAC en EACEA) en ENI/IPA (NEAR)
Sommige financieringsprogramma's worden met behulp van een combinatie van verschillende beheersmethoden uitgevoerd. Dat is het geval voor het door DG EAC en EACEA beheerde Erasmus+-programma en het door DG NEAR beheerde Europees nabuurschapsinstrument en pretoetredingsinstrument.
Wat Erasmus+ betreft, heeft zowel DG EAC als EACEA doeltreffende internecontrolesystemen opgezet die de ge(sub)delegeerde ordonnateurs redelijke zekerheid kunnen bieden. (Zie SWD, deel 1, afdelingen 6.2 (DG EAC) en 6.3 (EACEA)).
In DG NEAR heeft de IAS echter ernstige tekortkomingen vastgesteld in de controlestrategie voor het pretoetredingsinstrument, met name ten aanzien van het verkrijgen van zekerheid betreffende het vermogen van begunstigde landen om het budget te implementeren. (Zie SWD, deel 1, afdeling 5.3).
Wat het nieuwe pretoetredingsinstrument in het kader van het programma voor de periode 2014-2020 betreft, is DG NEAR onvoldoende voorbereid voor de tenuitvoerlegging van een kader voor de prestatiebeoordeling van begunstigde landen. (Zie SWD, deel 1, afdeling 5.2).
(c)Indirect beheer: getroffen toezichtregelingen (DG DEVCO, DG ENER, DG GROW en DG MOVE)
Op het gebied van de indirect beheerde middelen ging de aandacht in diverse audits vooral uit naar de toezichtregelingen in de DG's en de diensten (DG DEVCO, DG ENER, DG GROW en DG MOVE) voor het beheer van specifieke programma's (Vredesfaciliteit voor Afrika, financieringsfaciliteit voor Europese verbindingen, bijstandsprogramma voor de ontmanteling van nucleaire installaties en Galileo). Op dit terrein zijn meerdere ernstige tekortkomingen gesignaleerd in de controle- en toezichtstrategieën van de DG's. Deze tekortkomingen kunnen de verwezenlijking van de beleidsdoelstellingen in het gedrang brengen en hebben aanleiding gegeven tot cruciale en erg belangrijke aanbevelingen waaraan dringend gevolg moet worden gegeven. (Zie SWD, deel 1, afdelingen 5.4 (DG DEVCO), 4.4 (DG ENER), 7.1 (DG GROWTH) en 4.6 (DG MOVE)).
4.1.2.3. Gedeeld beheer
(a)Kloofanalyse: paraatheid voor het beheer van de nieuwe wettelijke vereisten en prestatiegerichtheid van de uitgavenprogramma's, opzet van de beheer- en controlesystemen
In 2014 heeft de IAS in een aantal audits bijzondere aandacht besteed aan de wijze waarop DG's en diensten op de nieuwe wettelijke vereisten voor de financiering van programma's in de programmeringsperiode 2014-2020 hebben gereageerd. Uit deze kloofanalyses, die in 2015 zijn afgerond (DG MARE en DG HOME), is gebleken dat de Commissie een aantal op het medewetgevingsproces terug te voeren risico's loopt die met de opzet en toepassing van de beheer- en controlesystemen van de DG's en de diensten verband houden. Deze risico's moeten worden verkleind. (Zie SWD, deel 1, afdelingen 2.4 (DG MARE) en 6.1 (DG HOME)).
(b)Gedeeld beheer: toezicht op de beheer- en controlesystemen van de lidstaten, resultaatgerichtheid en prestatiekader, ex-antevoorwaarden
Wat het gedeeld beheer betreft, zijn ernstige tekortkomingen aan het licht gekomen bij het toezicht op de beheer- en controlesystemen van de lidstaten op bepaalde beleidsterreinen (DG AGRI – vergroening). Deze tekortkomingen kunnen de verwezenlijking van de beleidsdoelstellingen in het gedrang brengen. (Zie bijlage 1, deel 1, afdeling 2.1).
Voorts moeten de beoordeling van prestatiegerelateerde elementen, de resultaatgerichtheid en het prestatiekader, alsook de beoordeling en monitoring van ex-antevoorwaarden en de rapportage daarover op diverse beleidsterreinen (DG's REGIO en EMPL) worden versterkt om ervoor te zorgen dat resultaten worden behaald en dat de gewenste beleidsuitkomsten worden gerealiseerd. (Zie SWD, deel 1, afdeling 3.1).
4.1.3.Doelmatigheid op begrotingsneutrale beleidsterreinen
Wat begrotingsneutrale beleidsterreinen betreft, heeft een audit in DG TRADE uitgewezen dat het DG heeft gezorgd voor een efficiënt en doeltreffend beheer van handelsbeschermingsinstrumenten om de Europese Unie tegen verstoring van de handel te beschermen. (Zie SWD, deel 1, afdeling 7.3).
In een andere audit ging de aandacht vooral uit naar de door Eurostat geboden ondersteuning bij de opstelling van indicatoren die worden gehanteerd om de vorderingen te monitoren die bij de verwezenlijking van de strategische EU-doelstellingen worden gemaakt. De IAS merkte op dat de operationele processen van Eurostat voor de opstelling van 'Europese statistieken' en kernindicatoren algemeen genomen bevredigend zijn. Wat echter het gebruik van 'andere statistieken' betreft, wees de IAS erop dat deze gegevens niet door dezelfde mate van onafhankelijkheid, deugdelijkheid en betrouwbaarheid worden gekenmerkt als de 'Europese statistieken'. De IAS heeft met name geen bewijs gevonden dat de door de DG's gebruikte 'andere statistieken' om aan te tonen dat bij de verwezenlijking van Europa 2020-doelstellingen vorderingen zijn gemaakt, onderworpen worden aan een kwaliteitsbeoordeling die gelijkwaardig is aan het proces dat Eurostat op 'Europese statistieken' toepast (zie SWD, deel 1, afdeling 8.1).
4.2.Beperkte IAS-conclusies betreffende de stand van zaken van de interne controle van elk DG
Na de centralisatie van de interne-auditfunctie heeft de IAS in februari 2016 voor het eerst voor elk DG en elke dienst een conclusie over de stand van zaken van de interne controle 15 verstrekt. Deze conclusies waren bedoeld als bijdrage aan de jaarlijkse activiteitenverslagen 2015 van de betrokken DG's en diensten en kwamen in de plaats van het oordeel van de voormalige IAF's over de stand van zaken van de controle. De conclusies van de stand van zaken van de interne controle zijn gebaseerd op de auditwerkzaamheden van de afgelopen drie jaar en hebben betrekking op alle onafgehandelde aanbevelingen van de IAS en de IAF's (voor zover deze door de IAS zijn overgenomen). Daarnaast wordt in de conclusies in het bijzonder de aandacht gevestigd op alle onafgehandelde aanbevelingen die als 'cruciaal' worden aangemerkt en op het gecombineerde effect van verschillende als 'erg belangrijk' aangemerkte onafgehandelde aanbevelingen, omdat die onafgehandelde aanbevelingen wellicht moeten leiden tot het maken van een voorbehoud in het jaarlijks activiteitenverslag van het betrokken DG/de betrokken dienst. De IAS-conclusie betreffende de stand van zaken van de interne controle heeft enkel betrekking op de aan een audit onderworpen beheer- en controlesystemen en niet op die welke tijdens de voorbije drie jaar niet door de IAS of de IAF zijn doorgelicht.
4.3.Algemeen oordeel over het financiële beheer van de Commissie
Zoals voorgeschreven in zijn taakomschrijving geeft de IAS ook een jaarlijks algemeen oordeel 16 over de stand van het financieel beheer in de Commissie. Dit oordeel is gebaseerd op de auditwerkzaamheden die zowel de IAS als de inmiddels opgeheven interne-auditfuncties (IAF's) tijdens de afgelopen drie jaar (2013-2015) met betrekking tot het financieel beheer in de Commissie hebben verricht. In het oordeel wordt ook rekening gehouden met informatie uit andere bronnen, namelijk de verslagen van de Europese Rekenkamer (ERK). Het algemeen oordeel wordt gelijktijdig met dit verslag verstrekt en heeft betrekking op hetzelfde begrotingsjaar.
Net als de vorige bevat het algemeen oordeel voor 2015 een voorbehoud met betrekking tot de voorbehouden die de gedelegeerde ordonnateurs in hun betrouwbaarheidsverklaringen hebben gemaakt. Bij de totstandkoming van dit oordeel heeft de IAS het gecombineerde effect van de geraamde risicobedragen, zoals vermeld in de JAV's, in aanmerking genomen, in het licht van het corrigerend vermogen dat blijkt uit de financiële correcties en terugvorderingen uit het verleden. Gezien de omvang van de financiële correcties en terugvorderingen uit het verleden en ervan uitgaande dat correcties op de betalingen van 2015 op een vergelijkbaar niveau zullen worden verricht, wordt de EU-begroting als geheel (maar niet noodzakelijkerwijze de afzonderlijke beleidsgebieden) en in de loop van de tijd (soms wel verscheidene jaren later) afdoende beschermd.
De intern controleur maakte geen andere voorbehouden, maar voegde aan zijn verklaring wel drie 'toelichtende paragrafen' toe. Deze hebben betrekking op het volgende:
– controlestrategieën op het beleidsterrein 'Onderzoek' voor de programma's voor de periode 2014-2020,
– strategieën voor het toezicht op derden die beleid en programma's uitvoeren, en
– het JRC-programma voor de ontmanteling van nucleaire installaties en het beheer van kernafval.
5. Overleg met de instantie voor financiële onregelmatigheden van de Commissie
In 2015 werden geen systeemproblemen vastgesteld door de op grond van artikel 73, lid 6, van het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen opgerichte instantie voor financiële onregelmatigheden.
6. Conclusies
De IAS is van oordeel dat de uitvoering van de actieplannen die naar aanleiding van zijn audits dit jaar en de voorgaande jaren zijn opgesteld, bijdraagt aan een gestage verbetering van het internecontrolekader van de Commissie.
De IAS zal follow-upcontroles verrichten ten aanzien van de uitvoering van de actieplannen; die controles zullen worden onderzocht door het Comité follow-up audit, dat het college op passende wijze zal informeren.
De IAS zal zich blijven toespitsen op financiële, nalevings- en resultaatcontroles.
7. Lijst van gebruikte afkortingen
| Afkorting | Betekenis |
| CF | Cohesiefonds |
| CFA | Comité follow-up audit |
| CONT | Begrotingscontrole |
| DG's | Directoraten-generaal |
| ERK | Europese Rekenkamer |
| ESIF | Europese structuur- en investeringsfondsen |
| FR | Financieel Reglement |
| GLB | Gemeenschappelijk landbouwbeleid |
| GO | Gedelegeerd ordonnateur |
| GO's | Gemeenschappelijke ondernemingen |
| GOC | Gemeenschappelijk ondersteuningscentrum |
| GTI | Gezamenlijke technologie-initiatieven |
| HRM | Human Resources Management |
| IAS | Dienst Interne audit |
| ITSC | IT-stuurgroep |
| JAV | Jaarlijks activiteitenverslag |
| KP7 | Zevende kaderprogramma op het gebied van onderzoek, technologische ontwikkeling en demonstratie |
| KPI | Kernprestatie-indicator |
| LS | Lidstaten |
| RFP | Restfoutenpercentage |
| SG | Secretariaat-generaal |
| SWD | Werkdocument van de diensten van de Commissie |
| VWEU | Verdrag betreffende de werking van de Europese Unie |
(1) Het verslag heeft geen betrekking op controles uitgevoerd in gedecentraliseerde Europese agentschappen, de Europese Dienst voor extern optreden of andere door de IAS gecontroleerde organen, waarvoor afzonderlijke jaarverslagen worden opgesteld.
(2) Overeenkomstig prestatienorm 2060 van de internationale normen voor professionele interne audit (de normen), uitgevaardigd door het Institute of Internal Auditors (IIA).
(3) Artikel 100 van het Financieel Reglement.
(4) C(2015)2451 (20 april 2015), Communication to the Commission, Mission Charter of the Internal Audit Service of the European Commission.
(5) Het werkdocument van de diensten van de Commissie (SWD) bevat een overzicht van alle voltooide audit- en follow-upauditverbintenissen.
(6) Sommige audits, en met name audits die meerdere DG's betreffen, kunnen tot de opstelling van meer dan 1 auditverslag aanleiding geven.
(7) De "kloofanalyse van nieuwe wetgeving/opzet van de programmeringsperiode 2014-20 van de Europese structuur- en investeringsfondsen – fase 2" met betrekking tot DG REGIO en DG EMPL wordt als twee verbintenissen geteld.
(8) De 'audit van de controlestrategie - implementatie in DG AGRI' wordt geteld als twee verbintenissen die door twee verschillende controleteams zijn uitgevoerd en die in één enkel auditverslag hebben geresulteerd.
(9) Naar aanleiding van de centralisatie van de interne-auditfunctie begin 2015 heeft de IAS 908 aanbevelingen van voormalige IAF's overgenomen waarvoor follow-upacties moesten worden ondernomen. Bij de start van de follow-upacties in 2015 heeft de IAS aanbevelingen samengevoegd die uit een aantal eerder door een IAF uitgevoerde audits voortvloeiden. Over de resultaten werden in één enkel verslag of in één enkele afsluitende notitie gerapporteerd. Aangezien niet voor alle audits waarvoor een follow-upactie heeft plaatsgevonden, afzonderlijke verslagen of afsluitende notities zijn opgesteld, zijn in de tabel geen gegevens over het aantal verslagen vermeld.
(10) Gemeenschappelijk stelsel van ziektekostenverzekering (GSVZ).
(11) Aanbevelingen waaraan na de afsluitdatum van 31 januari 2016 gevolg is gegeven, worden niet in aanmerking genomen.
(12)
(13) In totaal heeft de IAS 35 uitgebreide en doelmatigheidsaudits uitgevoerd. Zie het SWD voor meer informatie hierover.
(14) Zie de resolutie van het Europees Parlement van 28 april 2016 met de opmerkingen die een integrerend deel uitmaken van de besluiten tot het verlenen van kwijting voor de uitvoering van de algemene begroting van de Europese Unie voor het begrotingsjaar 2014, Afdeling III – Commissie en uitvoerende agentschappen (2015/2154(DEC)) (ref. P8_TA-PROV(2016)0147), punt 18: "de overgang naar het uitvoeren van meer doelmatigheidscontroles [kan] niet in een keer (...) plaatsvinden, omdat doelmatigheidscontroles alleen mogelijk zijn zodra de basisrechtshandelingen en de begroting zijn opgesteld, met als doel om de beleidsdoelstellingen overeen te stemmen met de kwalitatieve indicatoren of om meetbare resultaten te verwezenlijken;".
(15) Voor nadere bijzonderheden over de beperkte IAS-conclusies betreffende de stand van zaken van de interne controle, zie afdeling 2.3 van het verslag van de Commissie aan het Europees Parlement, de Raad en de Europese Rekenkamer 'Jaarlijks beheers- en prestatieverslag over de EU-begroting 2015' (COM(2016)446).
(16) Voor nadere bijzonderheden over het algemeen oordeel voor 2015, zie bijlage 3 bij het verslag van de Commissie aan het Europees Parlement, de Raad en de Europese Rekenkamer 'Jaarlijks beheers- en prestatieverslag over de EU-begroting 2015' (COM(2016)446).