communication À la commission de m. oettinger...
TRANSCRIPT
FR FR
COMMISSION EUROPÉENNE
Bruxelles, le 19.4.2017
C(2017) 2373 final
COMMUNICATION À LA COMMISSION DE M. OETTINGER
Révision du cadre de contrôle interne
2
CADRE DE CONTRÔLE INTERNE DE LA COMMISSION EUROPÉENNE
I — Contexte et définitions
Le contrôle interne s’applique à l’ensemble des activités, qu’elles soient financières ou non. Il
s’agit d’un processus qui aide une organisation à atteindre ses objectifs et à soutenir la
performance opérationnelle et financière, dans le respect des règles et réglementations.
Étayant une prise de décision éclairée, il prend en compte les risques qui pèsent sur la
réalisation des objectifs et ramènent ces derniers à des niveaux acceptables au moyen de
contrôles efficaces au regard des coûts.
Le cadre de contrôle interne de la Commission européenne est conçu pour procurer une
assurance raisonnable quant à la réalisation des cinq objectifs énoncés à l’article 32,
paragraphe 2, du règlement financier: 1) l'efficacité, l'efficience et l'économie des opérations;
2) la fiabilité des informations; 3) la préservation des actifs et de l'information; 4) la
prévention, la détection, la correction et le suivi de la fraude et des irrégularités, et 5) la
gestion appropriée des risques concernant la légalité et la régularité des opérations sous-
jacentes, en tenant compte du caractère pluriannuel des programmes et de la nature des
paiements concernés.
Ce cadre complète le règlement financier et d’autres règles et réglementations applicables1
afin d’aligner les normes de la Commission sur les normes internationales les plus rigoureuses
établies par le référentiel du Committee of Sponsoring Organisations of the Treadway
Commission (COSO)2. Ce référentiel a été révisé en 2013 pour passer d’une approche fondée
sur la conformité à un système axé sur des principes, dont le but est de garantir la robustesse
du contrôle interne au moyen d’une évaluation cohérente menée par la Commission, tout en
procurant la souplesse nécessaire aux services pour l’adapter à leurs caractéristiques et leur
contexte spécifiques. En outre, cette évolution contribuera également à améliorer les
performances opérationnelles des services de la Commission. Afin de s’adapter à ces
changements récents dans le référentiel des meilleures pratiques internationales, il convient
d’actualiser en conséquence le cadre de contrôle interne de la Commission.
Le nouveau cadre de contrôle interne est constitué de cinq composantes du contrôle interne et
de 17 principes fondés sur le référentiel intégré de contrôle interne 2013 du COSO3.
Les composantes du contrôle interne sont les suivantes: environnement de contrôle,
évaluation des risques, activités de contrôle, information et communication et pilotage. Il
s’agit des éléments de base qui étayent la structure du référentiel et qui soutiennent la
Commission dans ses efforts pour atteindre ses objectifs. Ces cinq composantes, qui sont
interdépendantes, doivent être mises en place et fonctionner à tous les niveaux de
l’organisation pour que le contrôle interne des opérations puisse être jugé efficace.
1 Notamment le statut, les dispositions en matière de gouvernance, la communication de la Commission relative à la stratégie
de lutte contre la fraude, les lignes directrices pour une meilleure réglementation, le cycle de planification stratégique et de
programmation, etc. 2 Certains éléments du référentiel intégré de contrôle interne de 2013 ont été repris, ©2013, Committee of Sponsoring
Organisations of the Treadway Commission (COSO), USA. Tous droits réservés. Licence d’utilisation accordée à la
Commission européenne. 3 Le texte intégral du référentiel intégré de contrôle interne est disponible à l’adresse suivante: www.coso.org.
3
Afin de faciliter la mise en œuvre du cadre de contrôle interne et de permettre au management
de déterminer si chaque composante est en place et en état de fonctionnement et si les
composantes fonctionnent bien conjointement, chacune d’entre elles est constituée de
plusieurs principes. L’application de ces principes aide à procurer une assurance raisonnable
quant à la réalisation des objectifs de l’organisation. Ces principes précisent les actions
requises pour que le contrôle interne soit efficace.
La présente communication recense également les caractéristiques de chaque principe. Ces
caractéristiques sont définies de manière à tenir compte des modalités de gouvernance propres
à la Commission. Les directions générales ne sont pas tenues de déterminer si chacune des
caractéristiques est en place. Celles-ci sont définies pour aider le management à mettre en
œuvre les procédures de contrôle interne et à déterminer si les principes sont en place et s’ils
fonctionnent. Le management devrait disposer d’éléments probants à l’appui de son analyse.
Ce cadre constitue une base pour la réflexion, l’évaluation et l’action au sein de la
Commission. Sa mise en œuvre ne doit pas être perçue comme une obligation bureaucratique.
Il s’agit d’un exercice pragmatique dont le principe directeur doit être le bon sens. Afin de
garantir une évaluation cohérente et efficace du système de contrôle interne dans les services
de la Commission, les meilleures pratiques seront régulièrement mises en commun, sous la
coordination de la DG Budget.
4
II — Les composantes, principes et caractéristiques du cadre de contrôle interne de la
Commission
ENVIRONNEMENT DE
CONTRÔLE
1. Démonstration de l’engagement en faveur de
l’intégrité et des valeurs éthiques
2. Exercice d’une responsabilité de surveillance
3. Définition de la structure, des pouvoirs et des
responsabilités
4. Démonstration de l’engagement en faveur de la
compétence
5. Instauration du devoir de rendre compte
L’environnement de contrôle est l’ensemble des normes de conduite, des processus et des
structures qui constituent le socle de la mise en œuvre du contrôle interne dans toute
l’organisation. Le collège et l'encadrement supérieur font preuve d’exemplarité en ce qui
concerne l’importance du contrôle interne, et notamment les normes de conduite attendues.
1. La Commission démontre son engagement en faveur de l’intégrité et des valeurs
éthiques
Caractéristiques:
- Exemplarité. Le collège et tous les niveaux de l’encadrement respectent l’intégrité et les
valeurs éthiques dans leurs instructions, leurs actions et leur comportement.
- Normes de conduite. Les attentes de la Commission en matière d’intégrité et de valeurs
éthiques sont exposées dans des normes de conduite et sont comprises à tous les niveaux
de l’organisation, ainsi que par les organismes chargés de tâches d’exécution, les
prestataires de services externalisés et les bénéficiaires.
- Respect des normes. Des processus sont en place pour déterminer si les individus et les
services respectent les normes de conduite de la Commission attendues et pour corriger
les écarts en temps utile.
2. Le collège des commissaires4 fait preuve d’indépendance vis-à-vis du management. Il
surveille la mise en place et le bon fonctionnement du contrôle interne.
Caractéristiques:
4 Le «conseil» dans le référentiel du COSO.
5
- Le collège surveille les pratiques de la Commission en matière de gouvernance, de
gestion des risques et de contrôle interne et assume la responsabilité politique générale
à l’égard de la gestion exercée par les directeurs généraux. Pour ce faire, il est recouru
à des modalités de travail et des canaux de communication appropriés entre les membres
de la Commission, les cabinets et les services.
- Chaque directeur général surveille les systèmes de contrôle interne au sein de sa
direction générale. Le directeur général surveille la mise en place et le bon
fonctionnement du contrôle interne. Il est assisté dans cette tâche par le directeur chargé
de la gestion des risques et du contrôle interne.
- En sa qualité d’ordonnateur délégué, le directeur général fournit une déclaration
d’assurance sur l’allocation appropriée des ressources et leur usage aux fins prévues et
conformément aux principes de bonne gestion financière, ainsi que sur l’adéquation des
procédures de contrôle en place (voir annexe 2).
- Le directeur chargé de la gestion des risques et du contrôle interne5 joue un rôle clé en
coordonnant l’élaboration du rapport annuel d’activités de sa direction générale. Dans
ce contexte, il signe une déclaration dans laquelle il assume la responsabilité de
l’exhaustivité et de la fiabilité du reporting du management (voir annexe 3). Cette
déclaration porte à la fois sur l’état du contrôle interne au sein de la direction générale et
sur la solidité des rapports sur la performance opérationnelle. Cependant, la
responsabilité de la réalisation des objectifs opérationnels incombe toujours à la direction
et à l’unité compétentes.
3. Le management, agissant sous surveillance politique, définit les structures, les
rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre
les objectifs.
Caractéristiques:
- Les structures de gestion sont globales. La conception et la mise en œuvre des structures
de gestion et de surveillance couvrent l’ensemble des politiques, programmes et activités.
En particulier pour les programmes de dépenses, elles couvrent tous les modes de gestion,
types de dépenses, mécanismes de mise en œuvre et entités chargées de l’exécution du
budget (c’est-à-dire à la fois les services de la Commission et les entités externes
chargées de tâches d’exécution) afin de soutenir la réalisation des objectifs politiques,
opérationnels et de contrôle.
- Autorités et responsabilités. La Commission et les directeurs généraux, selon qu’il
convient, délèguent les pouvoirs et recourent à des processus et des technologies
appropriés pour attribuer les responsabilités et séparer les tâches en tant que de besoin
aux différents niveaux de la Commission.
5 Compte tenu des spécificités de la direction générale, cette fonction peut être établie à un niveau de gestion différent
(directeur général adjoint ou chef d’unité). En pratique, dans la plupart des directions générales, cette fonction est confiée au
directeur chargé des ressources.
Dans certains cas, et conformément à la structure organisationnelle de la direction générale, cette responsabilité peut être
assumée par deux membres du management, chacun couvrant l’une des deux sections du rapport annuel d’activités. En pareil
cas, chacun d’entre eux signe une déclaration séparée portant sur son domaine de responsabilité.
6
- Rattachements. Les directeurs généraux conçoivent et évaluent les rattachements au sein
des services et avec les entités chargées de tâches d’exécution afin de permettre l’exercice
des pouvoirs et des responsabilités ainsi que les flux d’informations.
7
4. La Commission démontre son engagement à attirer, former et fidéliser des
personnes compétentes conformément aux objectifs.
Caractéristiques:
- Cadre de compétences. Les directions générales définissent les compétences nécessaires
pour soutenir la réalisation des objectifs et évaluent régulièrement ces dernières dans
toute la Commission, en prenant des mesures pour remédier aux lacunes, le cas échéant.
- Développement professionnel. Les directions générales prévoient la formation et
l’accompagnement nécessaires pour attirer, former et fidéliser un nombre suffisant de
personnes compétentes.
- Mobilité. Les directions générales encouragent la mobilité du personnel, et en assurent la
planification, en vue de trouver le bon équilibre entre continuité et renouvellement.
- Une planification des successions et un régime de suppléance pour les activités
opérationnelles et les transactions financières sont en place aux fins de la continuité des
opérations.
5. La Commission instaure pour chacun un devoir de rendre compte de ses
responsabilités en matière de contrôle interne afin d’atteindre les objectifs.
Caractéristiques:
- Instauration du devoir de rendre compte. La Commission définit clairement les rôles et
responsabilités et instaure pour les personnes et les entités chargées de tâches
d’exécution un devoir de rendre compte des responsabilités en ce qui concerne
l’exécution du contrôle interne au sein de l’organisation et la mise en œuvre de mesures
correctrices, si besoin est.
- Évaluation du personnel. Le personnel est évalué chaque année sous l’angle du
rendement, de la compétence et de la conduite dans le service, sur la base de normes de
conduite attendues et d’objectifs définis. Les cas d’insuffisance professionnelle sont
traités de manière appropriée.
- Promotion du personnel. Les promotions sont décidées, après examen comparatif des
mérites des agents éligibles, sur la base, en particulier, de leurs rapports d’évaluation.
8
ÉVALUATION DES RISQUES
6. Spécification des objectifs appropriés
7. Identification et analyse des risques
8. Évaluation du risque de fraude
9. Identification et analyse des changements
significatifs
L’évaluation des risques est un processus dynamique et itératif visant à l’identification et à
l’analyse des risques susceptibles d’affecter la réalisation des objectifs, et à la détermination
de la manière dont ces risques doivent être gérés.
6. La Commission spécifie les objectifs de façon suffisamment claire pour permettre
l’identification et l’évaluation des risques associés aux objectifs.
Caractéristiques:
- Mission. Les lettres de mission de la direction générale, des directions et des unités sont
tenues à jour et sont mises en adéquation à tous les niveaux hiérarchiques, jusqu’à celui
des tâches et objectifs assignés à chacun des membres du personnel. Ces lettres de
mission correspondent aux responsabilités de la Commission en vertu des traités et aux
objectifs politiques fixés dans la base juridique.
- Des objectifs sont définis à tous les niveaux. Les objectifs de la direction générale sont
clairement définis et actualisés si nécessaire (par exemple, en cas de changements
importants dans les priorités, les activités et/ou l’organigramme). Systématiquement
relayés par la direction générale aux divers niveaux de l’organisation, les objectifs sont
communiqués et compris par le management et le personnel.
- Des objectifs sont fixés pour les principales activités. Des objectifs6 et des indicateurs
7
sont appliqués aux principales activités de la direction générale contribuant à la mise en
œuvre des priorités de la Commission ou d’autres priorités liées au cœur de métier, ainsi
qu’à la gestion opérationnelle.
- Les objectifs constituent la base de l’engagement des ressources. Le management se
fonde sur les objectifs fixés pour allouer les ressources disponibles nécessaires à la
réalisation des objectifs politiques et des objectifs de performance opérationnelle et
financière.
- Objectifs de reporting financier. Les objectifs de reporting financier sont conformes aux
principes comptables applicables à la Commission.
- Objectifs de reporting extrafinancier. Le reporting extrafinancier procure au
management des informations exactes et complètes nécessaires à la gestion de
l’organisation au niveau de la direction générale, de la direction et de l’unité.
6 Les objectifs doivent suivre les critères «SMART - specific, measurable, achievable, relevant, time-framed» (c’est-à-dire
être spécifiques, mesurables, réalisables, pertinents et assortis d’un calendrier). 7 Les indicateurs doivent répondre aux critères «RACER - relevant, accepted, credible, easy to monitor, robust» (c’est-à-dire
être pertinents, acceptés, crédibles, faciles à surveiller et résistants).
9
- Tolérance au risque et importance relative. Lors de la fixation des objectifs, le
management définit les niveaux acceptables des écarts par rapport à leur réalisation
(tolérance à l’égard du risque) ainsi que le niveau approprié de l’importance relative aux
fins du reporting, en tenant compte du rapport coût/efficacité.
- Suivi. L’établissement d’objectifs et d’indicateurs de performance permet de suivre
l’avancement de leur réalisation.
7. La Commission identifie les risques associés à la réalisation de ses objectifs dans
l’ensemble de son périmètre de responsabilité et elle procède à leur analyse de
façon à déterminer les modalités de gestion des risques appropriées.
Caractéristiques:
- Identification des risques. La direction générale identifie et évalue les risques aux
différents niveaux de l’organisation (direction générale, direction, unité, aspects
transversaux entre directions générales) ainsi que les risques liés aux entités chargées de
tâches d’exécution, en analysant les facteurs internes et externes. Le management et le
personnel participent au processus au niveau approprié.
- Évaluation des risques. La direction générale estime l’importance des risques identifiés
et détermine comment faire face aux risques élevés en étudiant la manière dont chacun
d’entre eux doit être géré et s’il convient d’accepter, de prévenir, de réduire ou de
partager le risque. L’intensité des contrôles visant à atténuer un risque est
proportionnelle à l’importance de ce risque.
- L’identification des risques et l’évaluation des risques sont intégrées dans la planification
annuelle des activités et font l’objet d’un suivi régulier.
8. La Commission intègre le risque de fraude dans son évaluation des risques
susceptibles d’affecter la réalisation des objectifs.
Caractéristiques:
- Risque de fraude. Les procédures d’identification et d’évaluation des risques (voir
principe 7) intègrent de possibles incitations, pressions, opportunités et comportements
pouvant conduire à tout type de fraude, notamment les déclarations frauduleuses, la perte
d’actifs, la divulgation d’informations sensibles et la corruption.
- Stratégie de lutte contre la fraude. La Commission dans son ensemble et chaque direction
générale mettent en place et exécutent des mesures visant à combattre la fraude et toute
autre activité illégale portant atteinte aux intérêts financiers de l’UE. Pour ce faire, elles
mettent en place une solide stratégie antifraude visant à améliorer la prévention, la
détection et les conditions relatives aux enquêtes sur la fraude, et définissent des mesures
de réparation et de dissuasion, assorties de sanctions proportionnées et dissuasives.
9. La Commission identifie et évalue les changements qui pourraient avoir un impact
significatif sur le système de contrôle interne.
10
Caractéristiques:
- Évaluation des changements. Le processus d’identification des risques intègre les
changements dans l’environnement interne et externe, dans les politiques et priorités
opérationnelles, ainsi que dans l’état d’esprit du management à l’égard du système de
contrôle interne.
11
ACTIVITÉS DE CONTRÔLE
10. Sélection et développement d’activités de contrôle
11. Sélection et développement de contrôles généraux
en matière de système d’information
12. Déploiement par le biais de règles et de procédures
Les activités de contrôle permettent d’atténuer les risques liés à la réalisation des objectifs
politiques et opérationnels et en matière de contrôle interne. Elles sont réalisées à tous les
niveaux de l’organisation et à divers stades des processus métier, et par l’intermédiaire des
systèmes d’information. Il peut s’agir de contrôles de prévention ou de détection, incluant
diverses activités manuelles et automatisées, ainsi que la séparation des tâches.
10. La Commission sélectionne et développe des activités de contrôle qui contribuent à
ramener à des niveaux acceptables les risques associés à la réalisation des objectifs.
Caractéristiques:
- Des activités de contrôle, qui présentent un bon rapport coût/efficacité, ont lieu pour
atténuer les risques identifiés. Ces contrôles sont adaptés aux activités et risques
spécifiques de chaque direction générale et leur intensité est proportionnelle aux risques
sous-jacents.
- Les activités de contrôle sont intégrées dans une stratégie de contrôle. La stratégie de
contrôle comprend toute une série de vérifications, y compris des modalités de
surveillance et, le cas échéant, doit prévoir un dosage équilibré des approches visant à
atténuer les risques, intégrant des contrôles manuels et automatisés et des contrôles de
prévention et de détection.
- Séparation des tâches. Lors de la mise en place de mesures de contrôle, le management
détermine si les tâches sont correctement réparties entre les membres du personnel afin
de réduire les risques d’erreur et d’actions inappropriées ou frauduleuses.
- Des plans de continuité des opérations, fondés sur une analyse d'impact sur les activités
suivant les lignes directrices de l’institution, sont en place, tenus à jour et appliqués par
du personnel qualifié, afin de garantir la capacité de la Commission de continuer à
travailler, dans la mesure du possible, en cas de perturbation majeure. Le cas échéant, les
plans de continuité des opérations doivent comprendre des plans de rétablissement après
sinistre, qui sont coordonnés et agréés, pour les infrastructures d’appui sensibles au
facteur temps (par exemple, les systèmes informatiques).
11. La Commission sélectionne et développe des activités de contrôle général en
matière de système d’information pour faciliter la réalisation des objectifs.
Caractéristiques:
12
- Contrôle en matière de système d'information. Pour s’assurer de la fiabilité des systèmes
d’information utilisés dans les processus métier, notamment des contrôles automatisés, et
compte tenu des processus globaux de l'institution, les directions générales sélectionnent
et développent des activités de contrôle en matière d’acquisition, de développement et de
maintenance des systèmes d’information et des infrastructures connexes.
- Sécurité des systèmes informatiques. Les directions générales ont recours à des contrôles
adéquats pour garantir la sécurité des systèmes informatiques dont elles sont les
propriétaires. Pour ce faire, elles se conforment aux principes de gouvernance de la
sécurité informatique, notamment en ce qui concerne la protection des données, le secret
professionnel, la disponibilité, la confidentialité et l’intégrité.
12. La Commission met en place les activités de contrôle au moyen de règles qui
précisent les objectifs poursuivis, et de procédures qui mettent en œuvre ces règles.
Caractéristiques:
- Des procédures de contrôle adéquates garantissent que les objectifs sont atteints. Les
procédures de contrôle attribuent la responsabilité des activités de contrôle aux services
ou personnes chargés du risque en question. Le ou les membres du personnel compétents
réalisent les activités de contrôle en temps utile et avec toute la diligence requise, en
prenant des mesures correctrices le cas échéant. Le management réévalue
périodiquement les procédures de contrôle pour s’assurer qu’elles restent valables.
- Le relevé d’exceptions est l’un des outils de gestion utilisés pour évaluer l’efficacité du
contrôle interne et/ou les modifications à apporter au système de contrôle interne. Un
système est mis en place pour garantir que, dans tous les cas, les dérogations aux
contrôles ou les écarts par rapport aux processus et procédures établis figurent dans des
relevés d’exceptions. Tous ces cas doivent être justifiés et approuvés avant l’adoption de
mesures, tout en étant consignés au niveau central.
- L’analyse d’impact et l’évaluation des programmes de dépenses, de la législation et
d’autres activités n’entraînant pas de dépenses sont réalisées conformément aux principes
centraux des lignes directrices de la Commission pour une meilleure réglementation afin
d’évaluer la performance des interventions de l’Union et d’analyser les options et les
incidences connexes sur de nouvelles initiatives.
13
INFORMATION ET
COMMUNICATION
13. Utilisation d’informations pertinentes
14. Communication interne
15. Communication externe
Toute organisation a besoin d’informations pour mettre en œuvre le contrôle interne et
permettre la réalisation de ses objectifs. La communication est externe et interne. La
communication externe permet de fournir au public et aux parties prenantes des informations
sur les actions et les objectifs stratégiques de la Commission. La communication interne
permet de fournir au personnel les informations dont il a besoin pour réaliser ses objectifs et
mettre en œuvre les contrôles quotidiens.
13. La Commission obtient ou génère puis utilise des informations pertinentes et de
qualité pour faciliter le fonctionnement du contrôle interne.
Caractéristiques:
- Gestion des informations et des documents. Les directions générales déterminent les
informations qui sont nécessaires pour faciliter le fonctionnement du système de contrôle
interne et la réalisation des objectifs de la Commission. Les systèmes d’information
traitent les données pertinentes, issues de sources internes comme externes, pour obtenir
les informations de qualité requises et souhaitées, dans le respect des règles applicables
en matière de sécurité, de gestion des documents et de protection des données. Ces
informations, qui sont produites en temps opportun, sont fiables, à jour, exactes,
exhaustives, accessibles, protégées, vérifiables, classées et préservées. Elles sont
communiquées au sein de l’organisation dans le respect des lignes directrices en vigueur.
14. La Commission communique en interne les informations nécessaires au bon
fonctionnement du contrôle interne, notamment en ce qui concerne les objectifs et
les responsabilités associés au contrôle interne.
Caractéristiques:
- Communication interne. La Commission et les directions générales communiquent en
interne au sujet de leurs objectifs, des enjeux, des mesures prises et des résultats obtenus,
en ce qui concerne, notamment, les objectifs et les responsabilités associés au contrôle
interne.
- Des canaux de communication distincts, tels que des lignes ouvertes aux lanceurs
d’alerte, sont mis en œuvre au niveau de la Commission afin d’assurer les flux
d’informations lorsque les canaux traditionnels sont inefficaces.
14
15. La Commission communique avec les tiers au sujet des facteurs qui affectent le bon
fonctionnement du contrôle interne.
Caractéristiques:
- Communication externe. L’ensemble des directions générales veillent à ce que leur
communication externe soit cohérente et adaptée au public visé, tout en présentant un bon
rapport coût/efficacité. La Commission établit des responsabilités claires afin de mettre
en adéquation les activités de communication de la direction générale avec les priorités
politiques de la Commission et les messages de l’institution.
- Communication sur le contrôle interne. La Commission communique avec les tiers8 au
sujet du fonctionnement des composantes du contrôle interne. Des informations
pertinentes sont communiquées en temps utile à l’extérieur, compte tenu du calendrier, du
public visé et de la nature de la communication, ainsi que des exigences en matière
légale, réglementaire et fiduciaire.
8 Il s’agit non seulement des autres institutions de l’Union, mais aussi des parties prenantes et du grand public.
15
PILOTAGE
16. Réalisation d’évaluations continues et/ou
ponctuelles
17. Évaluation des déficiences et communication à ce
sujet
Des évaluations continues et spécifiques visent à vérifier si chacune des cinq composantes du
contrôle interne est en place et fonctionne. Les évaluations continues, qui sont intégrées dans
les processus métier à différents niveaux de l’organisation, permettent de disposer en temps
voulu d’informations sur toute déficience. Les constatations sont évaluées et les déficiences
sont signalées et corrigées en temps voulu, les problèmes graves étant notifiés comme il
convient.
16. La Commission sélectionne, met au point et réalise des évaluations continues et/ou
ponctuelles afin de vérifier si les composantes du contrôle interne sont bien mises en
place et fonctionnent.
Caractéristiques:
- Évaluations continues et spécifiques. La direction générale pilote en continu l’exécution
du système de contrôle interne à l’aide d’outils permettant de déterminer les déficiences
du contrôle interne et d’enregistrer et d’évaluer les résultats des contrôles ainsi que les
exceptions et les écarts en matière de contrôle. Par ailleurs, la direction générale procède
si nécessaire à des évaluations spécifiques, tenant compte des modifications de
l’environnement de contrôle. Les évaluations continues sont intégrées dans les processus
métier et adaptées à l’évolution des conditions. Les deux types d’évaluations doivent être
fondés sur les principes généraux énoncés à l’annexe 1.
- Connaissances et informations suffisantes. Le personnel qui réalise les évaluations
continues ou ponctuelles dispose de connaissances et d’informations suffisantes à cet
effet, particulièrement en ce qui concerne la portée et l’exhaustivité des résultats des
contrôles ainsi que les exceptions et les écarts en matière de contrôle.
- Évaluations périodiques et fondées sur les risques. La direction générale fait varier le
périmètre et la fréquence des évaluations spécifiques en fonction des risques identifiés.
Des évaluations spécifiques sont réalisées périodiquement afin de fournir un retour
d’informations objectif.
17. La Commission évalue et communique les déficiences de contrôle interne en temps
voulu aux responsables des mesures correctrices, notamment à l’encadrement
supérieur et au collège des commissaires, le cas échéant.
Caractéristiques:
- Déficiences. Avec l’appui du directeur chargé de la gestion des risques et du contrôle
interne, le directeur général examine les résultats des évaluations portant sur le mode de
fonctionnement du système de contrôle interne au sein de la direction générale. Les
déficiences sont communiquées au management et aux services chargés des mesures
correctrices. Elles sont consignées dans les rapports annuels d’activités et portées à la
connaissance du membre compétent de la Commission, comme il convient.
16
L’expression «déficience de contrôle interne» désigne une lacune au niveau d’une ou de
plusieurs composantes et d’un ou de plusieurs principes, qui réduit la probabilité qu’une
direction générale atteigne ses objectifs. Le système de contrôle interne est affecté par une
déficience majeure si le management constate qu’une composante et un ou plusieurs
principes pertinents n’ont pas été mis en place ou ne fonctionnent pas ou que des
composantes ne fonctionnent pas conjointement. En cas de déficience majeure, le
directeur général ne peut conclure qu’il satisfait aux exigences d’un système de contrôle
interne efficace. Pour déterminer le degré de gravité des déficiences de contrôle interne,
le management doit exercer un jugement fondé sur les critères pertinents énoncés dans les
réglementations, règles ou normes externes.
- Mesures correctrices. Le ou les membres du personnel chargés des processus en question
prennent les mesures correctrices en temps voulu, sous la supervision de leur
management. Avec l’appui du directeur chargé de la gestion des risques et du contrôle
interne, le directeur général surveille la mise en œuvre en temps voulu des mesures
correctrices et en assume la responsabilité.
17
III – Conclusion
La Commission est invitée à:
- adopter les principes et caractéristiques du contrôle interne mentionnés au chapitre II de
la présente communication; ceux-ci constituent les normes minimales visées à
l’article 66, paragraphe 2, du règlement financier;
- donner instruction aux ordonnateurs délégués de mettre en œuvre les principes et
caractéristiques du contrôle interne en 2017 et de procéder à une évaluation globale de la
mise en place et du bon fonctionnement de l’ensemble des composantes du contrôle
interne au moins une fois par an et, pour la première fois, dans le contexte du rapport
annuel d’activités 2018 au plus tard;
- charger la direction générale du Budget, en collaboration avec les autres directions
générales, de la coordination et de la diffusion des meilleures pratiques dans les services
afin d’assurer une évaluation cohérente et efficace du système de contrôle interne;
- charger les services de prendre les mesures adéquates pour définir les valeurs de
référence associées à chaque principe de contrôle interne, compte tenu de leurs
spécificités et de leurs risques, et pour améliorer la connaissance et la compréhension de
ceux-ci auprès de l’ensemble du personnel, notamment au moyen de formations et
d’activités d’information et d’appui.
La présente communication remplace les dispositions correspondantes des documents
suivants:
- la communication sur la révision des standards de contrôle interne et du cadre sous-jacent
– Renforcer l’efficacité du contrôle [SEC(2007) 1341];
- l’annexe du RAA sur la déclaration du directeur des ressources [insérée dans le document
SEC(2004) 147].
La présente communication modifie comme suit la communication à la Commission intitulée
«Vers une gestion des risques efficace et cohérente dans les services de la Commission»
[SEC(2005) 1327]:
- le directeur chargé de la gestion des risques et du contrôle interne reprend les
responsabilités du coordinateur du contrôle interne.
18
Annexe 1 — Principes généraux de l’évaluation du contrôle interne
Un système de contrôle interne permet au management de rester concentré sur la poursuite,
par la direction générale, de ses objectifs opérationnels et financiers. Par ailleurs, le règlement
financier dispose que le budget doit être exécuté selon le principe d’un contrôle interne
efficace et efficient.
Les directeurs généraux doivent être en mesure de démontrer non seulement qu’ils ont mis
des contrôles en place mais aussi que ces derniers tiennent compte des risques correspondants
et qu’ils fonctionnent comme prévu.
Aux termes du principe de contrôle interne 16, les directions générales doivent réaliser des
évaluations continues et spécifiques afin de vérifier si les systèmes de contrôle interne et leurs
composantes sont bien mis en place et fonctionnent. Ils doivent procéder à une évaluation
globale de la mise en place et du fonctionnement de l’ensemble des composantes du contrôle
interne au moins une fois par an.
Même si les principes et leurs caractéristiques sont simples, leur mise en œuvre dans la
pratique et, partant, l’évaluation de leur mise en œuvre, peuvent varier d’une direction
générale à l’autre.
En conséquence, avant d’évaluer son système de contrôle interne, chaque direction générale
doit fixer ses propres valeurs de référence pour chaque principe, qui soient les mieux adaptées
à ses spécificités et à ses risques. L’adaptation des valeurs de référence par les directions
générales doit toutefois respecter les dispositions contraignantes définies au niveau de la
Commission ou de la DG. Ces valeurs de référence sont le point de départ d’un contrôle
interne efficace à partir duquel un suivi régulier et des évaluations spécifiques peuvent être
mis en œuvre.
Les valeurs de référence doivent être exprimées sous la forme d’indicateurs appropriés et
pertinents. Si possible, ces indicateurs doivent être quantitatifs.
Les principes étant interdépendants, il n’est pas toujours possible de quantifier pleinement la
mise en œuvre effective de chaque principe autrement qu’à l’aide d’indicateurs qualitatifs
génériques. Néanmoins, la mise en œuvre effective peut être évaluée sur la base d’un éventail
de sources d’éléments probants (telles que: examens des processus, registre des exceptions,
signalement des lacunes en matière de contrôle interne, supervision par le management,
vérifications ponctuelles, enquêtes et entretiens, autoévaluations du management, rapports
d’audit et retour d’information des parties prenantes). Les valeurs de référence peuvent être
adaptées au cours des années qui suivent afin que le pilotage demeure adéquat et actualisé.
Il y a lieu, pour évaluer si le système de contrôle interne réduit à un niveau acceptable le
risque de ne pas atteindre un objectif, de suivre les étapes logiques suivantes, de manière à
déterminer les déficiences du contrôle interne:
- établissement d’une valeur de référence associée à chaque principe;
- évaluation au niveau du principe et de la composante;
- évaluation globale.
19
Afin de garantir l’évaluation cohérente et efficace du système de contrôle interne à la
Commission, les services mettront régulièrement en commun les meilleures pratiques, avec
l’appui de la DG Budget. Dans ce contexte, les directions générales procéderont à des
échanges de vues sur la fixation des valeurs de référence associées aux différents principes et
sur la conception d’outils de mise en œuvre appropriés, avec la contribution des directions
générales et des services centraux les plus qualifiés et expérimentés dans ces domaines
spécifiques.
20
Annexe 2 — Déclaration d’assurance de l’ordonnateur délégué
Je soussigné(e),
directeur/directrice général(e) de ...
directeur/directrice exécuti(f)(ve) de ...
en ma qualité d’ordonnateur délégué [Les agences exécutives doivent remplacer la mention
d’«ordonnateur délégué» par celle d’«ordonnateur pour le budget (administratif) de
fonctionnement et ordonnateur délégué pour le budget opérationnel»],
déclare par la présente que les informations contenues dans le présent rapport sont sincères
et véritables9.
Affirme avoir une assurance raisonnable que les ressources allouées aux activités décrites
dans le présent rapport ont été utilisées aux fins prévues et conformément aux principes de
bonne gestion financière et que les procédures de contrôle mises en place donnent les
garanties nécessaires quant à la légalité et la régularité des opérations sous-jacentes.
Cette assurance raisonnable se fonde sur mon propre jugement et sur les éléments
d’information à ma disposition, tels que les résultats de l’autoévaluation, des contrôles
ex post [, des travaux du service d’audit interne — supprimer la mention si elle est sans
objet][et les enseignements tirés des rapports de la Cour des comptes — supprimer la
mention si elle est sans objet], relatifs aux exercices antérieurs à celui de la présente
déclaration.
Confirme en outre n’avoir connaissance d’aucun fait non signalé ici pouvant nuire aux
intérêts de l’institution [Les agences exécutives doivent remplacer «l’institution» par «[nom
de l’agence exécutive] ou à ceux de la Commission»].
[Toutefois, les réserves suivantes doivent être relevées: ………] (supprimer cette phrase si
elle est sans objet)
Fait à …………….., le ………………
…………………………………..…
(signature)
[Nom de l’ordonnateur délégué]
9 «Sincères et véritables» signifie dans ce contexte «qui donnent une vue fiable, complète et correcte de la situation dans la
DG/l’agence exécutive».
21
Annexe 3 — Déclaration du directeur chargé de la gestion des risques et du contrôle
interne
a) Si le directeur chargé de la gestion des risques et du contrôle interne assume la
responsabilité de l’exhaustivité et de la fiabilité de l’ensemble du reporting du
management, la déclaration doit être libellée comme suit:
«Je déclare que, conformément à la communication de la Commission sur le cadre de
contrôle interne10, j’ai communiqué au directeur général/directeur exécutif mes avis et
recommandations concernant l’état général du contrôle interne dans la DG/l’agence
exécutive.
Je certifie par la présente qu’à ma connaissance, les informations fournies dans le
présent rapport annuel d’activités et ses annexes sont exactes et complètes.»
b) Si deux personnes se partagent la responsabilité de l’exhaustivité et de la fiabilité du
reporting du management, le texte des déclarations doit être modifié comme suit:
Pour le directeur chargé de la gestion des risques et du contrôle interne:
«Je déclare que, conformément à la communication de la Commission sur le cadre de
contrôle interne11, j’ai communiqué au directeur général/directeur exécutif mes avis et
recommandations concernant l’état général du contrôle interne dans la DG/l’agence
exécutive.
Je certifie par la présente qu’à ma connaissance, les informations fournies à la section 2
du présent rapport annuel d’activités et dans ses annexes sont exactes et complètes.»
Pour le directeur assumant la responsabilité de l’exhaustivité et de la fiabilité du reporting du
management sur les résultats et la réalisation des objectifs:
«Je certifie par la présente qu’à ma connaissance, les informations fournies à la
section 1 du présent rapport annuel d’activités et dans ses annexes sont exactes et
complètes.»
10 C(2017) 2373 du 19.4.2017. 11 C(2017) 2373 du 19.4.2017.