Mededeling van de Commissie aan het Europees Parlement en de Raad - Jaarverslag aan de kwijtingsautoriteit over de in 2007 uitgevoerde interne controles {SEC(2008) 2361 definitief} /* COM/2008/0499 def. */
[pic] | COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN | Brussel, 30.7.2008 COM(2008) 499 definitief Mededeling van de Commissie aan het Europees Parlement en de Raad JAARVERSLAG AAN DE KWIJTINGSAUTORITEIT OVER DE IN 2007 UITGEVOERDE INTERNE CONTROLES {SEC(2008) 2361 definitief} INHOUDSOPGAVE 1. Inleiding 3 2. Werkomgeving en auditplan 3 2.1. Werkomgeving 3 2.2. Ontwikkelingen in het interne-auditproces 4 2.3. Uitvoering van het IAS-auditplan 5 2.4. Acceptatie van aanbevelingen en beoordeling door gecontroleerden en belanghebbenden 8 3. Belangrijkste bevindingen en aanbevelingen 9 4. Conclusies 13 Jaarverslag AAN DE KWIJTINGSAUTORITEIT OVER DE IN 2007 UITGEVOERDE INTERNE CONTROLES INLEIDING Dit verslag is bedoeld om de kwijtingsautoriteit overeenkomstig artikel 86, lid 4, van het Financieel Reglement (FR) te informeren over de door de Dienst Interne Audit (IAS) van de Commissie verrichte werkzaamheden. Het is gebaseerd op het verslag dat de IAS op grond van artikel 86, lid 3, van het FR over de belangrijkste controlebevindingen en, in het licht van de professionele normen en standaarden, over aanzienlijke risico's en problemen op het gebied van controle en governance opstelt. Het voorliggende verslag is gebaseerd op de audit- en controlewerkzaamheden en de aanbevelingen van de IAS in 2007. Dit verslag heeft betrekking op de audit- en controlewerkzaamheden en de aanbevelingen die uitsluitend verband houden met de directoraten-generaal en diensten van de Commissie en de uitvoerende agentschappen. In dit verslag komen de IAS-werkzaamheden met betrekking tot andere agentschappen of organen niet aan de orde. De reacties van de Commissie op de bevindingen en conclusies van de interne controleur zijn opgenomen in het syntheseverslag betreffende de jaarlijkse activiteitenverslagen van de directeuren-generaal. In dat tegelijkertijd aangenomen syntheseverslag neemt de Commissie een standpunt in over de horizontale kwesties die aan de orde worden gesteld door de interne controleur, de Europese Rekenkamer en de kwijtingsautoriteit of waarop de vinger wordt gelegd door het Comité Follow-up Audit (CFA) en door de directeur-generaal Begroting in zijn overzichtsverslag. Sommige in dit verslag naar voren gebrachte standpunten of meningen worden dus niet noodzakelijkerwijs volledig door de Commissie gedeeld. De verschillen van inzicht en mening maken deel uit van de normale dialoog die tussen de instelling en haar intern controleur plaatsvindt. WERKOMGEVING EN AUDITPLAN Werkomgeving Als onderdeel van de hervormingen binnen de Commissie zijn in 2000 24 internecontrolenormen en hieraan gerelateerde basisvereisten vastgesteld. Bij de herziening van deze normen in 2007 werd ernaar gestreefd voortaan meer aandacht te besteden aan doeltreffendheid dan aan conformiteit, het taalgebruik te vereenvoudigen en alle personeelsleden attent te maken op de normen en de niet-financiële kwesties. De herziene normen traden op 1 januari 2008 in werking. Momenteel worden de DG's en diensten verzocht op basis van een risicobeoordeling een selectie te maken van de normen waaraan zij prioriteit wensen toe te kennen om een aantoonbare doeltreffendheid te kunnen bewerkstelligen. In het tweede voortgangsverslag over het actieplan van de Commissie voor een geïntegreerd internecontrolekader werd geconcludeerd dat vooruitgang werd geboekt op het vlak van de beoordeling van de beheers- en controlesystemen bij de Structuurfondsen, de definitie en toewijzing van controleverantwoordelijkheden in het gedeeld beheer en de voorstelling van de betrouwbaarheid in de jaarlijkse activiteitenverslagen van de DG's. In 2007 was het financieel kader 2007-2013 voor het eerst van toepassing, met een nieuwe controleaanpak op het vlak van onderzoek en een nieuw programmeringsproces voor Structuurfondsen gebaseerd op gemeenschappelijke normen voor financieel beheer, toezicht en evaluatie (bv. de lidstaten verstrekken samenvattingen van beschikbare controles en verklaringen). Overeenkomstig het gewijzigde Financieel Reglement[1] werden de rekeningen in 2007 voor de eerste maal afgetekend door de rekenplichtige van de Commissie. Aanzienlijke vooruitgang werd geboekt bij de ontwikkeling van het ABAC IT-systeem. Het beheer van gelden ter goede rekening door de delegaties werd in januari 2007 volledig opgenomen in ABAC, een bijgewerkt projectplan voor de migratie van de rekening van het Europees Ontwikkelingsfonds werd ontwikkeld en de Commissie bereidde de operationele fase voor. De Commissie heeft haar bedrijfscontinuïteitsbepalingen verder ten uitvoer gelegd. Alle DG's van de Commissie hebben gevalideerde bedrijfscontinuïteitsplannen ingediend. Sommige DG's zijn reeds begonnen met het testen van hun individuele plannen. In 2007 heeft een algemene communicatie-oefening over bedrijfscontinuïteit plaatsgevonden en werden de algemene bedrijfscontinuïteitsplannen getest. Momenteel zijn de inspanningen toegespitst op bewustmaking, opleiding en acties om de opgedane ervaringen te delen. Een nieuwe dynamische benadering van fraudebestendigheid werd ingevoerd[2]. Het vorige upstream consultatieproces over ontwerpwetgeving dat in 2001 werd ingevoerd, blijft beschikbaar. Daarnaast zal OLAF meer informatie aan de Commissie verstrekken, die voortvloeit uit de onderzoeksactiviteiten van OLAF. OLAF zal een gestructureerde en multidisciplinaire analyse opstellen van zijn onderzoeksactiviteiten, maar zal de nieuwe activiteit inzake fraudebestendigheid ook baseren op een grote informatiepool, waarin de auditresultaten van de IAS en de internecontrolefuncties (ICF's) zijn opgenomen. De IAS kon blijven rekenen op de volledige steun van vice-voorzitter Siim Kallas en het CFA, waardoor de IAS onafhankelijk en objectief kon blijven bij de uitoefening van zijn functies. In juni 2007 werd een herziening van het charter van het CFA goedgekeurd. Naar aanleiding van een aanbeveling uit het verslag 2006 van de interne controleur heeft de Commissie een governance-verklaring in 22 talen opgesteld. Ontwikkelingen in het interne-auditproces De Commissie heeft de opdrachtverklaring van de IAS bijgewerkt en een modelopdrachtverklaring voor de ICF's opgesteld. De belangrijkste punten hebben betrekking op aansprakelijkheid, onafhankelijkheid, objectiviteit en verantwoordelijkheden. Dit sluit aan bij een conclusie in het jaarverslag 2006 van de interne controleur, waarin werd gesteld dat de efficiëntie en robuustheid van de interne-auditarchitectuur moesten worden verbeterd. Vanaf 2009, het laatste jaar van de huidige controleplanning, zal de IAS jaarlijks ook een algemeen advies opstellen over de interne controles binnen de Commissie. Na het IAS-verslag over de kwaliteitsevaluatie van alle ICF's was 2007 het eerste jaar van de strategische controleplanningscyclus 2007-2009, met een gemeenschappelijke ICF's/IAS-planning en riscobeoordeling met het oog op een enkele auditbenadering. Hierdoor wordt het te auditeren gebied aanzienlijk geconsolideerd, de onafhankelijkheid van de ICF's versterkt en de samenwerking tussen de ICF's en de IAS verder bevorderd. Daarnaast is deze samenwerking versterkt door het Auditnet (modelverklaring ICF, auditadviezen en jaarlijks ICF-advies). De tweede externe kwaliteitsbeoordeling van de IAS is van start gegaan. In 2008 zal deze beoordeling worden afgerond met een onafhankelijk advies over de mate waarin de internationaal erkende normen van het "Institute of Internal Auditors" (IIA) door de IAS werden nageleefd. Uit een eerste beoordeling bleek dat de IIA-normen meestal door de IAS worden nageleefd, met uitzondering van het personeelsbeheer (groot personeelsverloop, audit- t.o.v. niet-auditfuncties) en de kwaliteit van de communicatie (tijdsverloop tussen het einde van de werkzaamheden op het terrein en het eindverslag, bespreking van de bevindingen met de gecontroleerde), waar de normen slechts gedeeltelijk door de IAS worden nageleefd. De interne controleur en de personeelsleden van de IAS waren actief betrokken bij de samenwerking tussen de EG en de VN op het gebied van administratie en financieel beheer. Zij hebben ook meegewerkt aan bijeenkomsten van de beroepsgroep op internationaal niveau: de IIA-wereldconferentie, de conferentie van vertegenwoordigers van interne auditdiensten van de Verenigde Naties en multilaterale financiële instellingen en de tweede gespecialiseerde conferentie voor interne controleurs in Oost-Europa. De IAS was ook vertegenwoordigd op de bijeenkomst van coördinerende organisaties. De jaarlijkse IAS-conferentie leverde discussiestof met betrekking tot het algemene auditadvies. De IAS heeft thans een blauwdruk opgenomen in haar beheersplan 2008 met het oog op de publicatie van een eerste algemeen advies op het einde van de implementatiefase van het strategische auditplan voor de periode 2007-2009. Uitvoering van het IAS-auditplan Het strategische IAS-auditplan voor de periode 2007-2009, dat in nauwe samenwerking met de ICF's werd opgesteld, is op 2 februari 2007 door het CFA goedgekeurd. Het werkprogramma 2007 is voor 95% uitgevoerd: 68 verslagen (41 auditverslagen, 25 follow-upverslagen en 2 management letters) werden in 2007 opgesteld. Samenvattingen van de verslagen zijn in de bijlage opgenomen. DG/Dienst | Verbintenis | Datum | Administratieve en andere ondersteuningssystemen | SG/BUDG/REGIO/ EMPL/RTD/ ADMIN/DIGIT/INFSO/ JLS/AIDCO | Jaarlijkse activteitenverslagen - het proces van het verschaffen van zekerheid | 21 januari 2008[3] | ADMIN | Follow-up human resources beheer fase I | 13 december | BUDG | ABAC - invoering van de transactieboekhouding | 3 mei | BUDG | Vergelijkende analyse van transactieboekhoudingssystemen en financiële verslaggeving die door de Europese Commissie en sommige lidstaten zijn ingevoerd | 26 april | COMM | Onderzoek naar de aankoop van kantoorgebouwen in Cyprus | 14 september | COMM | Speciaal verslag over aanbestedingen voor transmissiediensten in DG COMM | 14 december | DGT | Vraagbeheersing voor vertalingen | 13 juni | DGT | Follow-up van IAS-validatie van zelfevaluatie van de ICF van DGT | 14 december | DIGIT | IT-aankopen en levering van diensten in DG DIGIT | 5 december | EPSO | Follow-up van beperkte evaluatie van door EPSO beheerde selectieproces | 18 december | ESTAT | Tweede follow-up audit van de grondige controle van Eurostat | 9 maart | ESTAT | IT-aankopen en levering van diensten | 20 november | OIB | Beheer van overheidsopdrachten door OIB | 3 april | OIB | Beheer van overheidsopdrachten gebouwen door OIB | 3 april | OIB | Follow-up infrastructuur gebouwen die door de Europese Commissie worden beheerd | 8 februari | OIB | Follow-up controle van de verrichtingen | 20 april | OIB | Evaluatie van specifieke internecontrolesystemen | 4 oktober | OIB | Beheer van de overheidsopdrachten | 3 april | PMO | Controles met betrekking tot uitbetaling pensioenen | 7 september | SCIC | Follow-up validering zelfevaluatie ICF SCIC | 29 november | Intern beleid | COMP | Follow-up verslag over audit IT controles | 16 mei | EAC | ABAC – invoering van een boekhouding op transactiebasis in DG EAC/2006 afsluiting | 18 juli | EAC | Follow-up verslag uitvoering ABAC | 18 juli | EACEA | Uitvoering financiële exploitatiebegroting van uitvoerend agentschap EAC | 19 maart | ENTR | Management letter controles achteraf | 20 april | ENTR | Follow-up verslag financieel beheer netwerk relaiscentrum voor innovatie (IRC) | 23 oktober | ENTR | Follow-up validatie zelfevaluatie ICF van DG ENTR | 18 december | ENV | Toezicht tenuitvoerlegging Gemeenschapsrecht | 22 januari | ENV | Tweede follow-up audit van grondige audit van DG ENV in 2004 | 29 maart | ENV | Subsidiebeheer van non-lifeprogramma's | 18 september | INFSO | Controles achteraf | 20 februari | JRC | Tweede follow-up audit van grondige audit van JRC in 2004 | 21 september | MARKT | Follow-up verslag over financieel beheer en financiële circuits DG MARKT | 18 januari | RTD | Follow-up verslag over grondige audit van DG RTD (2003) en audit financiële circuits en financieel beheer in DG RTD (2005) | 16 maart | RTD | IT-aankopen en levering van diensten | 30 november | TAXUD | IT-aankopen en levering van diensten | 18 oktober | TREN | Follow-up verslag over audit financieel beheer en financiële circuits in DG TREN | 20 maart | TREN | Follow-up verslag van "Audit van lokaal IT beheersproces" | 7 september | TREN-IEEA | TREN uitvoerend agentschap | 30 januari | TREN | Follow-up validering zelfevaluatie van DG TREN IAC | 20 december | Structurele maatregelen en gemeenschappelijk landbouwbeleid | AGRI | Integratie lokale IT-systemen van DG AGRI in ABAC | 25 mei | AGRI | Interventies op de landbouwmarkten | 23 november | AGRI | Follow-up verslag over Structuurfondsen - afdeling Oriëntatie van het EOGFL | 22 november | EMPL | Preventie en opsporen van fraude in Structuurfondsen | 19 december | EMPL | Uitvoering van programma's in de nieuwe lidstaten | 12 december | FISH | Follow-up auditverslag over Structuurfondsen - financieel instrument voor oriëntatie visserij | 20 juli | REGIO | Uitvoering van programma's in de nieuwe lidstaten | 13 november | REGIO | Follow-up EFRO - audit tenuitvoerlegging van artikel 38 van Verordening nr. 1260/1999 van de Raad | 14 december | REGIO | Preventie en opsporen van fraude in de Structuurfondsen | 19 december | Extern beleid | AIDCO | Subsidiabiliteit van kosten – financiële en administratieve kaderovereenkomst Verenigde Naties en DG AIDCO | 19 juni | AIDCO | Activiteiten controles achteraf | 18 juli | AIDCO | Follow-up audit financiering NGO's | 31 juli | AIDCO | Financieel beheer van de belangrijkste programma's in directoraat D | 20 december | ECHO | Follow-up audit financiering NGO's | 6 juni | ECHO | Instrumenten voor monitoring en toezicht | 23 november | ECHO, ADMIN | Management letter met betrekking tot beveiligingskwesties in DG ECHO | 29 november | ELARG | Follow-up audit verslag over grondige audit van DG ELARG | 15 maart | RELEX | Follow-up audit over de audit over het verwerken van geclassificeerde informatie en communicatie tussen de delegaties en DG RELEX | 4 juli | TRADE | Uitvoering van geselecteerde internecontrolenormen | 13 juni | Acceptatie van aanbevelingen en beoordeling door gecontroleerden en belanghebbenden In 2007 is 99% van de aanbevelingen door de gecontroleerden aanvaard en is 1% verworpen. Audits Commissie en uitvoerende agentschappen | Aanbevelingen | Aan-vaard | Afge-wezen | % | Totaal | Cruciaal | 5 | 1 | 2 | 6 | Zeer belangrijk | 111 | 0 | 41 | 111 | Belangrijk | 129 | 3 | 49 | 132 | Wenselijk | 20 | 0 | 8 | 20 | De gemiddelde waardering van de gecontroleerden wat betreft de inhoud en de manier van uitvoering bedroeg 1,86 (vorige jaren: 1,95 voor 2006 en 1,82 voor 2005) op een schaal van 1 (hoogste waardering) tot 4 (laagste). Een nieuwe bij alle betrokkenen gehouden enquête leerde dat volgens 80,5% de IAS een duidelijke controlestrategie volgt (tegenover 75% bij vorige enquête), volgens 82,9% de controles eerlijk, objectief en fair verlopen (was 85,7% in 2006) en volgens 48,8% (voordien 60,7%) de IAS-aanbevelingen nuttig zijn. In het algemeen is evenwel 80,5% (voorheen 55,4%) van mening dat de werkzaamheden van de IAS bijdragen tot de kwaliteit van de beheer- en controlesystemen bij de Commissie. BELANGRIJKSTE BEVINDINGEN EN AANBEVELINGEN Jaarlijkse activiteitenverslagen - het proces van het verschaffen van zekerheid De verbintenissen beoordeelden de doeltreffendheid van het proces van het verschaffen van zekerheid in het kader van het jaarlijkse activiteitenverslag – een kernonderdeel van governance-architectuur van de Commissie en een optimale werkwijze op wereldvlak. Zij hadden betrekking op zes operationele DG's en vier horizontale diensten. De opstelling van de activiteitenverslagen wordt continu verbeterd (bv. door intercollegiale toetsingen en herziene vaste instructies). Naar aanleiding van de audit zijn de vaste instructies van het secretariaat-generaal reeds herzien overeenkomstig de IAS-voorstellen: meer expliciete richtsnoeren over de wijze waarop de verschillende onderdelen de zekerheid onderbouwen, inclusief een toelichting over de wijze waarop het IAS-advies heeft bijgedragen tot de zekerheid; een nauwkeurige definitie van de controlestrategie; systematisch en verplicht gebruik van kernindicatoren over de werking van de controlesystemen; overeenstemming met de bevindingen van de Europese Rekenkamer en toelichting bij de vertraging die werd opgelopen bij de tenuitvoerlegging van cruciale en zeer belangrijke interne-auditaanbevelingen. Een meer uitgebreide intercollegiale toetsing is gepland met het oog op een vollediger en samenhangender syntheseverslag. Terwijl de DG's in hun jaarlijkse activiteitenverslagen melding kunnen maken van belangrijke niet-financiële tekortkomingen, heeft de IAS de aandacht gevestigd op de beperkingen van de betrouwbaarheidsverklaringen aangezien zowel de niet-financiële als de systeemrisico's in deze betrouwbaarheidsverklaringen niet aan de orde komen. Verwerking van gevoelige/gerubriceerde gegevens en fysieke veiligheid Aan de beveiliging van gegevens moet meer aandacht worden besteed. De IAS hebben aanbevelingen opgesteld met betrekking tot een geformaliseerd beleid inzake veiligheidsmachtigingen en de noodzaak om de veiligheidscontroles in de gegevensbanken te versterken om te voorkomen dat gevoelige informatie wordt gelekt of dat aan onbevoegde personen toegang wordt verleend. Het valt voor dat het gebruik van de classificatieregels van de Commissie door de interne richtsnoeren niet wordt aangemoedigd. Daarnaast is de handhaving van de classificatieregels niet altijd in overeenstemming met de specifieke veiligheidsrisico's. De diensten hebben ermee ingestemd dat specifieke regels van de DG's voor het verwerken van gevoelige informatie (het onrechtmatig verspreiden van dergelijke gegevens zou schade kunnen berokkenen aan de EU) of andere veiligheidskwesties moeten worden gecoördineerd met de centrale veiligheidsdiensten om te zorgen voor een samenhangende veiligheidsbenadering. Wat fysieke veiligheid betreft, heeft dit in het bijzonder betrekking op personeelsleden die door de aard van hun taken blootgesteld zijn aan een hoog risico op het gebied van externe bijstand. Wat de behandeling van geclassificeerde informatie in de delegaties betreft, werden drie cruciale aanbevelingen uit een vorige audit ten uitvoer gelegd om de delegaties in staat te stellen geclassificeerde gegevens elektronisch uit te wisselen en volledig in overeenstemming te zijn met de veiligheidsvoorschriften. Controle op de toepassing van het Gemeenschapsrecht In de mededeling van de Commissie over de controle op de toepassing van het Gemeenschapsrecht[4] waarin wordt uiteengezet welke maatregelen de Commissie zal nemen met het oog op een verbeterde toepassing van het Gemeenschapsrecht, wordt rekening gehouden met de meeste van de belangrijke aanbevelingen die de IAS in haar syntheseverslag van december 2006 had opgenomen. De laatste van deze reeks controles had betrekking op milieuwetgeving. Er werden gebreken vastgesteld in het proactieve toezicht van het Gemeenschapsrecht. Er kon met name geen zekerheid worden verkregen dat de omzetting van de richtlijnen in alle richtlijnen correct en tijdig tot stand komt. In een ontwerp voor een mededeling van de Commissie over de tenuitvoerlegging van de communautaire milieuwetgeving is rekening gehouden met de belangrijkste IAS-aanbevelingen. Het specifieke actieplan van het DG voorziet in de tenuitvoerlegging van alle aanbevelingen tegen december 2007, met uitzondering van twee aanbevelingen, waarvan de laatste in december 2009 zal worden uitgevoerd. Controles achteraf Een reeks controles achteraf op het gebied van onderzoek werd aangevuld met een audit in DG INFSO. In het kader van een follow-up van de gemaakte aanbevelingen hebben de directoraten-generaal Onderzoek beslist om gedetailleerde actieplannen uit te voeren, waarop geregeld toezicht wordt uitgeoefend door het Comité follow-up audit. Verdere controles achteraf kwamen tot stand in twee DG's om de overeenstemming, effectiviteit en efficiëntie van de controles achteraf te beoordelen, die essentieel zijn voor het afgeven van een positieve betrouwbaarheidsverklaring. Aanbevelingen om de dekkingsgraad van de controles achteraf uit te breiden, de controles achteraf op te nemen in controleketens en vaker gebruik te maken van kernprestatie-indicatoren werden aanvaard en worden ten uitvoer gelegd. Fraudepreventie bij Structuurfondsen Naar aanleiding van de controles bij het Europees Sociaal Fonds en het Europees Fonds voor Regionale Ontwikkeling wordt een specifieke gezamenlijke fraudepreventiestrategie opgesteld voor de Structuurfondsen, die vervolgens op jaarbasis zal worden herzien. De kwaliteit en juistheid van de informatie met betrekking tot fraudezaken en de beoordeling en het toezicht op de door de lidstaten uitgeoefende controles met betrekking tot fraude zullen ook worden verbeterd, bijvoorbeeld door de instelling van een telefonische hulpdienst in de lidstaten. Alle aanbevelingen werden aanvaard. De einddata voor de uitvoering lopen tot einde 2008. Overheidsopdrachten In het kader van de bredere audit over IT-aankopen en levering van diensten binnen de Commissie werden audits uitgevoerd in vier directoraten-generaal waarbij de controles waren toegespitst op de naleving van de voorschriften van de Commissie en de effectiviteit en efficiëntie. In drie directoraten-generaal werden beperkte residuele risico's vastgesteld, die betrekking hadden op een onvoldoende precieze beschrijving van de te verstrekken diensten, tijdsregistratie door externe leveranciers en de late start van de procedure om contracten te hernieuwen en de ontoereikende registratie van uitzonderingen. Naar aanleiding van de IAS-audit is een nieuwe procedure voor de aankoop van gebouwen opgesteld die o.a. de documentatie van het beleidsvormingsproces zal verbeteren, ervoor zal zorgen dat essentiële informatie op een passend tijdstip wordt verspreid, een risicobeheersingssysteem invoert voor alle projecten voor de aankoop van gebouwen en een strategisch beheer op lange termijn invoert met duidelijk afgebakende, maar op elkaar inwerkende processen op het vlak van beleidsontwikkeling en implementatie. Voor overheidsopdrachten die niet op gebouwen betrekking hebben, heeft het desbetreffende directoraat-generaal beslist een module te ontwikkelen die zorgt voor de doeltreffende follow-up van de stappen in de aankoopprocedure en de oprichting van een register dat alle briefwisseling in verband met klachten bevat. Voor belangrijke aanbestedingen zou een strategiedocument worden opgesteld waarin de kosten-batenanalyses zijn opgenomen en ook de behoeften aan de orde komen. Controles met betrekking tot uitbetaling pensioenen In deze audit werd een beoordeling gemaakt van de toereikendheid en de daadwerkelijke toepassing van het internecontrolesysteem en het risicobeheer met betrekking tot de vaststelling en de uitbetaling van pensioenen aan gepensioneerde personeelsleden. Door een verouderd computersysteem is het noodzakelijk handmatige controles te verrichten. Momenteel zijn er reeds goede controles vooraf. In de toekomst zullen ook gerichte, op risicoanalyse gebaseerde controles achteraf worden uitgevoerd, waardoor de risico's op bijvoorbeeld onjuiste uitbetalingen, verlies van papieren documenten en foutieve handmatige aanpassingen zullen verminderen. Uitvoering van ABAC De invoering van ABAC, dat met behulp van controles door de Europese Rekenkamer nauwgezet wordt opgevolgd, wordt momenteel voltooid. Op dit werkterrein vermindert de IAS haar controleactiviteiten. Naar aanleiding van een negatief oordeel over de afsluiting van de rekeningen voor 2005 in DG EAC werd voor 2006 (in samenwerking met de Europese Rekenkamer) bij DG EAC en het uitvoerend agentschap van DG EAC een controle met betrekking tot de afsluiting van de rekeningen uitgevoerd. Er werd een redelijke zekerheid met voorbehoud gegeven, hoewel werd vastgesteld dat de lokale en centrale boekhoudkundige systemen slechts in beperkte mate overeenstemden en de documentatie onvolledig was. De tenuitvoerlegging van ABAC kwam ook aan de orde in ICF-audits. Uitvoerende agentschappen De IAS heeft controles uitgevoerd bij twee uitvoerende agentschappen. In beide gevallen werd een redelijke zekerheid met betrekking tot ondernemingsdoelstellingen gegeven. Sommige kwesties waarop de aandacht is gevestigd, hadden betrekking op de naleving van het besluit van de Commissie over de beveiliging van informatiesystemen en de verordeningen inzake de bescherming van persoonsgegevens, procedures met betrekking tot transacties bij het afsluiten van het boekjaar, harmonisering en vereenvoudiging van controlelijsten en workflows en een omvattende aanpak inzake controles achteraf. Andere onlangs opgerichte uitvoerende agentschappen (Uitvoerend Agentschap Europese Onderzoeksraad en Uitvoerend Agentschap Onderzoek) kunnen profiteren van de ervaring die de bestaande agentschappen hebben opgedaan over de wijze waarop alle nodige stappen in de aanloopfase worden uitgevoerd. FAFA (Financiële en administratieve kaderovereenkomst met de VN) Naar aanleiding van de audit van vorig jaar waarin de naleving van de FAFA werd beoordeeld en werd nagegaan in welke mate zekerheid kon worden verkregen over het gebruik dat van de EU-middelen was gemaakt, werd de IAS door het CFA verzocht een evaluatie te maken van de materialiteit van de residuele risico's met betrekking tot de indirecte kosten in het bijzonder, in combinatie met de algemene controles van de EG-/VN-financiering in het kader van de FAFA en met het VN-systeem van financiële controle. Uit de aanvullende controlewerkzaamheden bleek dat de structuur van de FAFA toereikend is, maar ook dat een doeltreffende en verdere tenuitvoerlegging van de controlemechanismen nog steeds noodzakelijk is. De DG's hebben ingestemd met alle aanbevelingen en hebben reeds verscheidene initiatieven genomen om het gebruik van de controle-instrumenten van de FAFA voor directe en indirecte kosten te versterken. Financieel beheer en subsidiebeheer Er werden financiële controles uitgevoerd bij de delegaties in Azië en de milieuprogramma's. Uit de audit van het beheer van de belangrijkste financiële programma's in de delegaties in Azië bleek dat op een aantal vlakken verbeteringen tot stand konden worden gebracht.Tegen eind 2008 is het management voornemens volgende verbeteringen tot stand te brengen: duidelijkere afbakening van de verantwoordelijkheden tussen de delegaties en de ter zake bevoegde DG's; grotere rol van de hoofdzetels voor ondersteuning en richtsnoeren voor delegaties om te zorgen voor een samenhangende en efficiënte werking; verbeterd project- en portfoliotoezicht en versterkte opleidingsstrategie. Uit een beoordeling van de werking van het subsidiebeheer voor milieuprojecten bleek dat verbetering mogelijk voor volgende punten: documentatie voor controles van de daadwerkelijke kosten van de begunstigden; verfijning van de strategie voor controles achteraf voor kleinere begunstigden; tijdige goedkeuring van de technische verslagen; specifieke richtsnoeren voor controles achteraf die worden uitbesteed aan externe auditbureaus. De ICF's hebben ook een aanzienlijk aantal controles met betrekking tot subsidies en financieel beheer uitgevoerd. Follow-up De tijdige follow-up van de auditaanbevelingen is van cruciaal belang voor de doeltreffendheid van de interne audit en de continue verbetering van de interne controle. Er werd enige vooruitgang geboekt, hetgeen heeft geleid tot een daling van het totale aantal niet-opgevolgde aanbevelingen die voor 2006 werden gemaakt. De IAS is van mening dat meer dan 80% van de aanbevelingen is uitgevoerd. Er doen zich evenwel nog steeds aanzienlijke vertragingen voor bij de tenuitvoerlegging van cruciale en zeer belangrijke aanbevelingen, hetgeen wijst op de zwakke punten bij de tenuitvoerlegging van de actieplannen van de DG's, met name met betrekking tot oudere aanbevelingen. Meer dan 25% van de niet-opgevolgde cruciale en zeer belangrijke aanbevelingen is meer dan zes maanden over tijd (dit is evenwel een aanzienlijke verbetering in vergelijking met een jaar geleden, toen de achterstand nog 50% bedroeg). Om deze achterstand weg te werken heeft de IAS voorgesteld dat de DG's/diensten die geen maatregelen hebben genomen om de niet-opgevolgde cruciale en zeer belangrijke aanbevelingen uit te voeren, worden herinnerd aan het belang van deze tenuitvoerlegging en in voorkomend geval worden verzocht de redenen voor de vertragingen in de jaarlijkse activiteitenverslagen te vermelden. Het CFA besteedt bijzondere aandacht aan de follow-up van aanbevelingen en bevorderde de uitvoering ervan met haar besluit dat het voorzitterschap van het CFA brieven zou sturen naar de desbetreffende leden van de Commissie om hun aandacht te vestigen op de niet-opgevolgde cruciale en zeer belangrijke aanbevelingen die meer dan zes maanden over tijd zijn. CONCLUSIES Uit zijn in 2007 bij de Commissie verrichte audits, evaluaties e.d. trekt de intern controleur de hierna volgende conclusies (het standpunt van de Commissie is te vinden in het syntheseverslag van de jaarlijkse activiteitenverslagen van de directeuren-generaal). IAS-conclusie 1: Op alle terreinen wordt vooruitgang geboekt, maar meer verbeteringen zijn noodzakelijk Tijdens haar controlewerkzaamheden stelde de IAS vast dat verdere verbeteringen zijn aangebracht aan de internecontrolesystemen van de Commissie. Het aantal cruciale IAS-aanbevelingen verminderde van twaalf in 2006 tot zes in 2007 en het aantal audits met een negatief oordeel van de IAS daalde van negen in 2006 tot zes in 2007. Verdere verbeteringen zijn evenwel nog steeds noodzakelijk, bijvoorbeeld op het vlak van subsidiebeheer, controles achteraf, aankoopbeleid en de tenuitvoerlegging van voorschriften omtrent gegevensbescherming. IAS-conclusie 2: Informatiebeveiliging Bescherming tegen onrechtmatige openbaarmaking van en toegang tot gevoelige informatie waarover de Commissie beschikt (zowel op de hoofdzetel als in de delegaties) is van cruciaal belang voor de doeltreffendheid en het imago van de Commissie. Alle betrokken DG's en diensten moeten bijzondere aandacht besteden aan gegevensbeveiliging. Daarnaast moeten al hun beveiligingsmaatregelen worden gecoördineerd en gevalideerd door de gemeenschappelijke dienst beveiliging. IAS-conclusie 3: Directoraten-generaal hebben eerstelijnsverantwoordelijkheid bij fraudepreventie Onlangs heeft de Commissie een nieuwe aanpak voor fraudebestendigheid goedgekeurd. OLAF vervult een cruciale rol bij fraudeonderzoeken en werkt op basis van zijn ervaring mee aan de ontwikkeling van methoden voor fraudebestrijding. In de Commissie hebben de directeuren-generaal – als gesubdelegeerde ordonnateurs – een eerstelijnsverantwoordelijkheid voor de fraudepreventie op hun werkterreinen (waarbij zij kunnen rekenen op de ondersteuning van OLAF) en voor de follow-up van de OLAF-onderzoeken (terugvorderingen, enz.). IAS-conclusie 4: Geleidelijke verbetering inzake het verschaffen van zekerheid met betrekking tot de jaarlijkse activiteitenverslagen Het verstrekken van zekerheid in het kader van de jaarlijkse activiteitenverslagen en het syntheseverslag heeft uiteindelijk tot doel de politieke verantwoordelijkheid van de leden van de Commissie voor het beheer van de Commissie te ondersteunen. De grondslag van de verstrekte zekerheden zal worden bevorderd door een betere definitie van de onderliggende controlestrategieën, ondersteund door indicatoren voor essentiële controles en een betere "afstemming" van de zekerheden op de resultaten van de werkzaamheden van de Rekenkamer. IAS-conclusie 5: Enige vooruitgang bij follow-up, maar ook achterstand op sommige terreinen Recentelijk zijn verbeteringen geboekt bij de follow-up van auditaanbevelingen, maar op sommige terreinen duurt het nog steeds te lang. Daarnaast zijn er in de vorige jaarverslagen enkele kwesties aan de orde gekomen die nog steeds aandacht vereisen, bijvoorbeeld een human resources strategie die volledig is afgestemd op de strategische planning en de ontwikkeling van gedeelde diensten en verbeteringen in het IT-beheer. [1] Verordening (EG, Euratom) nr. 1995/2006 van de Raad van 13 december 2006 tot wijziging van Verordening (EG, Euratom) nr. 1605/2002 houdende het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen (PB L 390 van 30.12.2006, blz. 1). [2] COM(2007) 806 van 17 december 2007. [3] Eén verslag per DG. Hoewel deze verslagen slechts in januari 2008 werden beëindigd, werd het grootste deel van de auditwerkzaamheden in 2007 uitgevoerd. De IAS is van oordeel dat de resultaten belangwekkend genoeg zijn om reeds in het jaarverslag 2007 te worden vermeld. [4] COM (2007)502 van 5 september 2007.