SCI 4.

Évaluation et développement du personnel: La performance du personnel est évaluée au regard

d'objectifs annuels individuels en phase avec les objectifs d'ensemble de la DG. Les mesures adéquates
sont prises pour développer les compétences nécessaires à la réalisation des objectifs.
EXIGENCES
" Dans le cadre du processus REC (ou de façon informelle lorsque cette procédure n'est pas applicable),
des discussions ont lieu individuellement avec tous les membres du personnel afin de fixer leurs objectifs
annuels, lesquels concordent avec ceux de la DG, de la direction et de l'unité concernées.
" La performance du personnel est évaluée conformément aux standards fixés par la Commission10.
" Un cadre stratégique annuel pour la formation est mis en place au niveau de la DG, reposant sur les
besoins découlant de la politique de la DG ainsi que sur les recommandations et instructions reçues des
services centraux. Une moyenne globale de jours ouvrables, fixée dans le cadre stratégique annuel de
la Commission pour la formation et le développement personnel, est consacrée à ces activités.
" Chaque fonctionnaire, et tout autre agent auquel s'applique par analogie l'article 24 bis du Statut,
remplit annuellement une carte de formation qui est approuvée par son supérieur hiérarchique après
discussion. Le passeport de formation, qui consigne toutes les activités de formation suivies par le
personnel, est tenu à jour.
" L'encadrement veille à ce que le personnel participe au moins aux actions de formation définies
comme obligatoires dans les cadres stratégiques (de la Commission et de la DG).

(Principales références: Lignes directrices relatives aux descriptions de postes, C(2002) 539 du 19.2.2002 ;
Descriptions de postes génériques liées au REC dans Sysper 2; Guide administratif pour l'évaluation et la
promotion des fonctionnaires ; Dispositions générales d'exécution de l'article 43 du statut C(2004)766,
3.03.2004; Décision de la Commission relative aux dispositions générales d'application de l'article 43 du
Statuts, C(2004)
: règles
49spécifiques relatives à l'évaluation et à la promotion des agents du Service
extérieur; Décision de la Commission relative à la formation du personnel, E(2002) 729 du 7.05.2002; Cadre
annuel pour la formation et le développement) personnel à la Commission
PISTES POUR EVALUER L'EFFICACITE DU CONTROLE
Rappel: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" Les objectifs annuels du personnel (tels que notés dans le REC) sont-ils éloquents, suffisamment
stimulants et acceptés par les personnes concernées? Sont-ils tenus à jour durant l'année?
" Les évaluations du personnel sont-elles fondées sur la réalisation d'objectifs annuels pertinents et
actualisés? L'utilisation d'objectifs génériques ou anciens accroît le risque d'aboutir à des évaluations
subjectives et biaisées et peut affecter la motivation du personnel.
" Des mesures suffisantes sont-elles prises pour analyser et développer les compétences du personnel de
la DG et prévoir les futurs besoins en ressources humaines et compétences nécessaires? Pour être
efficace, un plan de développement du personnel ne doit pas seulement prendre en compte les
demandes de formation individuelles mais aussi les compétences et qualifications collectives
nécessaires pour la réalisation des objectifs de la DG/la direction/l'unité. Procéder à une analyse afin
de déceler les écarts les plus sensibles entre les compétences requises et celles qui sont disponibles au
sein de l'entité peut être un bon moyen d'améliorer le développement du personnel.
" Dispose-t-on de statistiques pertinentes sur la formation? Une analyse des statistiques de formation de la
DG/la direction/l'unité peut indiquer s'il convient d'orienter différemment les activités de formation de
l'entité. Sur cette base, ressort-il que le personnel suit les cours dont il a besoin pour développer ses
compétences?

10 Évaluation au regard d'objectifs annuels; possibilité de discuter de ses performances avec le notateur lorsque
c'est nécessaire et au moins une fois par an; les questions relatives à la performance du personnel sont
débattues et traitées sans délai, et les actions correctrices qui conviennent élaborées et mises en Suvre.

FR 19 FR
 SCI 5. Objectifs et indicateurs de performance: Les objectifs de la DG sont clairement définis et actualisés
lorsque nécessaire. Ils sont formulés de manière à permettre un suivi de leur réalisation. Des indicateurs clés
de performance sont mis en place pour aider l'encadrement à évaluer et rendre compte des progrès
accomplis par rapport aux objectifs.
EXIGENCES
" Le plan de gestion annuel (PGA) de la DG est établi conformément aux instructions en vigueur et sur la
base d'un dialogue entre l'encadrement supérieur, l'encadrement intermédiaire et le personnel
permettant d'assurer qu'il est bien compris et que tous y adhèrent.
" Le PGA décrit de façon claire comment les activités prévues aux différents niveaux d'encadrement
contribueront à la réalisation des objectifs fixés, en tenant compte des ressources allouées et des
risques identifiés.
" Dans la mesure du possible, les objectifs du PGA sont à l'image des critères SMART, c'est-à-dire qu'ils
sont s
pécifiques, m esurables ou vérifiables, cceptés,
qu'ilsetont
enfin
étéqu'ils
discutés
sontet a
réalistes et situés
emps.dans le t
" Chaque fois que nécessaire, les objectifs sont mis à jour pour tenir compte des changements
significatifs survenus dans les activités et les priorités.
" Le cas échéant, la DG établit des feuilles de route pour les activités pluriannuelles en cours, qui fixent les
jalons essentiels des actions à mener avant que les crédits budgétaires puissent être exécutés pour
toute la durée desdites activités.
" Dans le PGA, il existe au moins un indicateur de performance par objectif, tant au niveau politique
qu'au niveau opérationnel, pour pouvoir suivre les réalisations et en rendre compte. Les indicateurs de
performance respectent autant que possible les critères RACER, c'est-à-dire qu'ils sont pertinents
(«r
elevant»), ont été discutés et a cceptés, etobust»).
sont c rédibles, simples («e asy») et solides («r
" Des dispositifs sont prévus pour alerter l'encadrement lorsque les indicateurs montrent que les objectifs
risquent de ne pas être atteints.
(Principales références: Instructions permanentes pour la préparation du PGA
; PGA: fondements
conceptuels ; Registre d'objectifs et d'indicateurs standard ; Conclusions opérationnelles des réunions des
directeurs des ressources des 17)et 24 septembre 2002

PISTES POUR EVALUER L'EFFICACITE DU CONTROLE

Rappel
: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" La notion de «gestion par objectif» (c'est-à-dire le fait d'organiser les activités de la DG autour des
objectifs du PGA aux différents niveaux d'encadrement) est-elle suffisamment bien comprise, discutée
et acceptée par l'encadrement et le personnel? Cette notion est-t-elle appliquée en pratique? Si non,
pourquoi ?
" La procédure de fixation des objectifs garantit-elle une large adhésion et compréhension du
personnel? Les «objectifs PGA» de la DG/la direction/l'unité sont-ils connus du personnel et éloquents?
" Existe-t-il un besoin de redéploiement des ressources ou de redéfinition des priorités attribuées aux
objectifs?
" Les indicateurs de performance de la DG/la direction/l'unité sont-ils utiles, en ce sens qu'ils soutiennent
et facilitent véritablement la gestion et le suivi des activités de la DG?
" Les indicateurs de performance sont-ils centrés sur les activités et risques essentiels de la DG/la
direction/l'unité? La profusion d'indicateurs ou l'excès de détails peuvent créer la confusion et être
sources d'inefficacité.
" Des indicateurs de performance qualitatifs pertinents sont-ils prévus dans le cas où les prestations ne
peuvent être quantifiées?

FR 20 FR
 SCI 6. Processus de gestion des risques: Un processus de gestion des risques, conforme aux dispositions et
orientations en vigueur, est intégré dans la planification annuelle des activités.
EXIGENCES
" Un exercice de gestion des risques a lieu au moins une fois par an au niveau de la DG dans le cadre du
processus d'élaboration du PGA et chaque fois que l'encadrement le juge nécessaire (souvent en cas
de modifications majeures des activités de la DG durant l'année). La gestion des risques s'effectue
suivant les instructions et dispositions applicables.
" Les plans d'action en matière de gestion des risques sont réalistes et tiennent compte des aspects
coûts/avantages afin d'éviter des mesures de contrôle disproportionnées. Des processus sont en place
pour faire en sorte que les actions soient mises en Suvre conformément aux prévisions et qu'elles
conservent leur pertinence.
" Les risques jugés «critiques» du point de vue global de la DG (voir SEC(2005)1327, section 2.4) sont
signalés dans le plan de gestion annuel de la DG et suivis dans le rapport annuel d'activité.
(Principales références: Communication à la Commission «Vers une gestion des risques efficace et

cohérente dans les services de la Commission», SEC(2005) 1327 du 28.10.2005 ; Corrigendum à la version
française SEC(2006)1067; Guide pour la mise en Suvre de la gestion des risques ; Instructions relatives aux
rapports d'activité
) annuels

PISTES POUR EVALUER L'EFFICACITE DU

Rappel
: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
CONTROLE
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" La notion de gestion des risques est-elle suffisamment comprise par l'encadrement et le personnel? Des
enquêtes peuvent être réalisées afin de cerner les questions qui se posent dans ce domaine.
" La gestion des risques est-elle correctement intégrée dans les processus et procédures utilisés pour la
planification, la mise en Suvre et le contrôle des activités de la DG? La gestion des risques est-elle un
thème pris en considération de manière régulière dans les réunions de la direction/l'unité?
" Le processus de gestion des risques est-il plutôt convivial et pragmatique ou est-il perçu au contraire
comme un «fardeau bureaucratique»?

FR 21 FR
 SCI 7. Structure opérationnelle: La structure opérationnelle de la DG permet une prise de décision efficace
grâce à une délégation de pouvoirs adaptée. Les risques associés aux fonctions sensibles de la DG sont
gérés par des contrôles atténuant ces risques et en dernier lieu par la mobilité du personnel. Des structures
adéquates de gouvernance des technologies de l'information sont en place.
EXIGENCES
" La délégation de l'autorité est clairement définie, attribuée et communiquée par écrit; elle est
conforme aux exigences de la législation et adaptée à l'importance des décisions à prendre et des
risques associés.
" Tous les ordonnateurs délégués et subdélégués ont reçu les chartes et les instruments spécifiques de la
délégation et en ont accusé réception.
" En matière d'opérations financières, la délégation de pouvoirs (y compris les visas «bon à payer» et
«conforme aux faits») est définie, attribuée et communiquée par écrit.
" Les fonctions sensibles de la DG sont clairement définies11, consignées et tenues à jour. Pour chaque
fonction sensible:
- Une évaluation des risques est menée et les contrôles appropriés d'atténuation du risque sont
établis.
- Après cinq années d'exercice de la (des) même(s) fonction(s) sensible(s) par le titulaire, le
risque est de nouveau évalué, sur base de quoi l'encadrement peut décider d'une mobilité du
titulaire ou d'un transfert de la (des) fonction(s) sensible(s) ou encore de la mise en Suvre de
contrôles additionnels réduisant le risque résiduel à un niveau qu'il considère acceptable.
- Comme règle générale, après sept années d'exercice de la (des) même(s) fonction(s)
sensible(s) par le titulaire, la mobilité est appliquée.
" La DG consigne les dérogations accordées permettant au personnel de rester dans des fonctions
sensibles au-delà de cinq ans, et documente l'analyse de risque et les contrôles d'atténuation. Elle rend
compte de ces éléments dans son rapport annuel d'activité sur la base des instructions
correspondantes.
" La politique standard de la Commission est appliquée en matière de gouvernance des technologies
de l'information (TI), et, en particulier:
- La DG a défini l'organisation qui convient pour la gestion des systèmes d'information dont elle
est propriétaire, généralement sous la forme d'un comité de pilotage des TI.
- Un schéma directeur annuel, couvrant l'ensemble des développements des systèmes
d'information pour les trois ans à venir (indépendamment de l'inscription au budget) est établi.
- Chaque système d'information que possède la DG a un propriétaire «business» bien défini et est
supervisé par un comité de pilotage.
- Chaque projet de nouveau système d'information est approuvé sur base d'un document de
vision.
- Les nouveaux systèmes d'information sont tous mis au point selon les méthodes standards de
développement et de gestion de projet de la Commission et prennent en compte les questions
de sécurité dès l'origine.
(Principales références: Modalités d'exécution des articles 97/98
; ; Règles internes 3 à 8
De nouvelles orientations spécifiques sont en cours d'élaboration pour les fonctions sensibles les
anciennes instructions s'appliquent dans l'intervalle: Note aux directeurs généraux et aux chefs de service
relative aux postes sensibles, SEC(2003 556 du 08.05.2003 ; Note aux directeurs généraux et aux chefs de
service relative aux postes sensibles, SEC(2003)1076 du 30.09.2003 ; Note de la DG Admin aux directeurs
généraux et aux chefs de service relative aux postes sensibles, D(2003)25978 du 17.11.2003 ; Rapport
succinct sur la réunion du groupe de pilotage GPA du 13.05.2004 ; Réunion GDR du 27.07.2004: rapport final
sur la mise en Suvre de la mobilité pour les postes sensibles; Rapports annuels sur la mise en Suvre de la
mobilité au sein de la Commission ; Communication de la Commission sur les organigrammes des directions
générales et des services de la Commission, SEC(2006)1702 ; Communication à la Commission relative à
l'amélioration de la gouvernance des technologies de l'information
; à la Commission, SEC (2004) 1267
Bulletin sur la gouvernance des TI publié chaque
) année par la DG DIGIT

11 Une orientation claire sur les fonctions sensibles sera fournie par le SG, DG ADMIN et DG BUDG avant fin 2007.

FR 22 FR
 PISTES POUR EVALUER L'EFFICACITE DU
Rappel: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
CONTROLE
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" Y a-t-il des questions ou des problèmes d'organisation qui affectent la performance de la DG/la
direction/l'unité ou l'environnement de contrôle? Si oui, de quelle manière influent-ils? Une
réorganisation de la DG/la direction/l'unité permettrait-elle d'améliorer la situation? Comment?
" La nature et l'étendue des fonctions et pouvoirs délégués sont-elles claires pour toutes les personnes
concernées?
" Les risques associés à la délégation de ces fonctions et pouvoirs ont-ils été suffisamment analysés?
" Lorsque des fonctions sensibles ont été retirées et transférées à un autre membre du personnel,
l'encadrement a-t-il pu établir que les risques associés avaient bien été efficacement atténués?
" Dans le cas où des contrôles supplémentaires d'atténuation du risque ont été mis en place,
l'encadrement a-t-il pu établir que ces contrôles étaient efficaces et que les risques concernés avaient
été ramenés à un niveau acceptable (en tenant compte de l'impact et de la probabilité de
survenance du risque)?
" Est-ce qu'il ressort des activités de supervision, des rapports d'audit ou de toute autre source pertinente
qu'il pourrait y avoir des défauts ou problèmes quelconques liés aux fonctions sensibles de la DG?
" Le nombre de fonctions sensibles exigeant une mobilité obligatoire du personnel est-il raisonnable? Le
coût d'une mobilité obligatoire excessive du personnel (impact négatif sur les opérations) peut
dépasser ses avantages (moindre risque de conflits d'intérêts et de fraude).
" Tous les projets relatifs aux technologies de l'information (TI) et aux systèmes d'Information (SI) ainsi que
leurs risques spécifiques sont-ils clairement identifiés et gérés conformément aux orientations en
vigueur?
" Concernant la gouvernance des TI et le développement de SI, les comités de pilotage TI représentent-
ils correctement toutes les parties prenantes? Si la DG est propriétaire de systèmes d'information utilisés
par d'autres DG, les dispositions qui conviennent ont-elles été prises en matière de gouvernance pour
s'assurer que les intérêts de toutes les parties prenantes sont pris en considération?
" Si la DG possède des systèmes d'information ou souhaite en développer, les synergies possibles entre
systèmes d'information des DG sont-elles exploitées, dans la plus large mesure du possible? Le degré
d'interopérabilité des systèmes est-il satisfaisant? Y a-t-il des doubles emplois en termes d'investissements
dans des systèmes similaires à l'intérieur de la DG ou ailleurs qui méritent attention?

FR 23 FR
 SCI 8. Processus et procédures: Les processus et procédures qu'utilise la DG pour exercer et contrôler ses
activités sont efficaces et efficients, font l'objet d'une documentation adéquate et respectent les
dispositions applicables. Ils incluent des dispositifs permettant d'assurer la séparation des tâches, de
détecter et d'approuver au préalable les dérogations aux contrôles ou les écarts par rapport aux politiques
et procédures.
EXIGENCES
" Les principaux processus et procédures opérationnels et financiers ainsi que les systèmes d'information
de la DG font l'objet d'une documentation adéquate.
" Les processus et procédures de la DG assurent une séparation des tâches appropriée (y compris pour
les activités non financières).
" Les processus et procédures de la DG sont conformes aux dispositions en vigueur, notamment au
règlement financier (par exemple, vérifications ex ante et ex post) et au règlement intérieur de la
Commission.
" Des dispositions sont prises pour garantir que tous les cas dans lesquels on déroge aux contrôles ou l'on
s'écarte des processus et procédures établis sont consignés dans des relevés d'exceptions, justifiés,
dûment approuvés avant l'adoption de mesures et enregistrés au niveau central.
Principales références: Lignes directrices concernant la documentation relative au systèmes, BUDG/D3/JM

D(2000) 72117 du 3.4.2001 ; Règlement financier, article 60 ; Modalités d'exécution, article 47 ; Orientations sur
la séparation des tâches et les circuits financiers, BUDG/D/3/ D(2002)66053, du 18.9.2002 ; Règlement
intérieur de la Commission, C(2005)4416; Règlement (CE) n°45/2001 sur la protection des personnes
physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données
)

P ISTES POUR EVALUER L'EFFICACITE DU

Rappel
: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
CONTROLE
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" Les principaux processus et procédures utilisés pour la mise en Suvre et le contrôle des activités de la
DG/la direction/l'unité font-ils l'objet d'une documentation conviviale? Ces informations sont-elles
aisément accessibles? Sont-elles tenues à jour?
" Des dispositifs permettant d'assurer la protection des données aux processus manuels sont-ils en place?
" L'encadrement a-t-il effectué une analyse de risque concernant ses principaux processus et
procédures, chaque fois qu'il convient et par exemple en cas de modifications majeures (si ce n'est pas
déjà couvert par l'exercice de gestion des risques lié au PGA, voir SCI 6)? En conséquence, les aspects
les plus vulnérables desdits processus et procédures ont-ils été identifiés, et les contrôles appropriés mis
en Suvre afin d'atténuer les risques?
" Les contrôles en vigueur sur les processus sont-ils bien conçus? Ressort-il de façon claire: (1) qui effectue
le contrôle? (2) comment celui-ci est réalisé (méthodologie, taille des échantillons, etc.)? (3) quelles
sont les informations requises pour effectuer le contrôle? (4) quelle est la fréquence de ces contrôles?
(5) quels sont les critères utilisés pour déterminer le niveau d'importance des anomalies détectées (par
exemple, quel type de questions mis à jour par les contrôles devrait être considéré significatif; quel type
d'erreurs devrait être jugé mineur)?
" Pour tous les systèmes d'information critiques, a-t-il été prévu des registres de suivi avec les alertes

correspondantes pour les actions considérées comme risquées?

" Dans le cas où des organisations tiers auxquelles sont déléguées les tâches d'exécution participent aux
processus et procédures de contrôle (par exemple, des agences des États membres), la chaîne de
contrôle a-t-elle bien été décrite de bout en bout? Les responsabilités et rôles respectifs au sein de la
chaîne de contrôle sont-ils clairs pour toutes les parties intéressées? L'information relative aux activités
de contrôle et à leurs résultats est-elle partagée de manière efficace et adéquate entre toutes les
parties concernées?

FR 24 FR
 SCI 9. Supervision par le management: L'encadrement exerce une supervision pour s'assurer de l'efficacité
et de l'efficience de la conduite des activités ainsi que de leur conformité avec les dispositions en vigueur.
EXIGENCES
" L'encadrement à tous les niveaux supervise les activités dont il a la responsabilité et garde trace des
principaux problèmes identifiés. Cette supervision managériale couvre à la fois les aspects de légalité
et de régularité et la performance opérationnelle (c'est-à-dire la réalisation des objectifs du PGA).
" La supervision des activités impliquant des risques potentiellement critiques fait l'objet d'une
documentation adéquate12.
" L'encadrement suit la mise en Suvre des recommandations acceptées résultant d'audits de la Cour
des comptes européenne, du Service d'audit interne et des capacités d'audit interne, ainsi que celle
des plans d'action connexes.
" Au moins deux fois par an, et chaque fois qu'il lui paraît nécessaire, le directeur général informe le
membre de la Commission responsable de toute question ayant potentiellement une portée
importante concernant le contrôle interne, l'audit et les enquêtes de l'OLAF, ainsi que des questions
budgétaires et financières essentielles susceptibles d'avoir une incidence sur sa position dans le Collège
ou sur la bonne gestion des crédits, ou encore de faire obstacle à la réalisation des objectifs fixés.

(Principales références: Synthèse des rapports annuels d'activité, COM (2003) 391, point 5.3.8
; Code de
conduite des Commissaires, SEC(2004) 1487/2 du 24.11.2004 ; Orientations pour la mise en Suvre des
contrôles de supervision, BUDG/D/3/HM/jvl
) D(2) 66006 du 15.2.2002
PISTES POUR EVALUER L'EFFICACITE DU CONTROLE
: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
Rappel
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" Les activités de supervision sont-elles suffisamment ciblées sur les domaines à haut risque? Les situations
suivantes requièrent généralement un renforcement de la supervision: opérations complexes;
transactions portant sur des montants monétaires élevés; faible sensibilisation du personnel aux
contrôles; manque de personnel expérimenté ou qualifié; réorganisation ou modifications importantes
des activités opérationnelles; nouveauté ou réaménagement des systèmes informatiques; conflits
d'intérêts potentiels ou risque d'influence externes; activités politiquement sensibles; activités ayant des
conséquences importantes sur les conditions de travail du personnel (santé, hygiène, sécurité).
" Y a-t-il un suivi systématique des points importants mis à jour par les activités de supervision?
" Dans le cas où des organismes tiers sont chargés de l'exécution de certaines actions (par exemple, les
États membres ou des agences), une surveillance ou un suivi approprié a-t-il été mis en place par le
service de la Commission responsable?
" La surveillance de la performance opérationnelle prend-elle pour base les objectifs PGA de la DG et les
indicateurs de performance y afférents? Ces objectifs et indicateurs sont-ils utiles en pratique? Si non,
pourquoi ?
" L'encadrement a-t-il des preuves satisfaisantes que les principaux contrôles mis en place fonctionnent
en pratique comme prévu (par exemple, à travers les résultats des activités de supervision, audits et
enquêtes ou d'autres sources pertinentes d'information)?
" Toutes les faiblesses constatées de contrôle interne sont-elles dûment analysées et corrigées lorsque
nécessaire?

12 En fonction de la nature du travail effectué, la documentation de la supervision peut, par exemple, prendre la
forme de comptes-rendus de réunion, de notes expliquant les décisions importantes, de la signature de
l'ordonnateur dans les systèmes d'information, ou de documents décrivant la portée, les méthodes ainsi que les
résultats et conclusions des activités de supervision.

FR 25 FR
 SCI 10. Continuité des opérations: Des mesures adéquates sont prises pour assurer la continuité de service
en cas d'interruption "courante" de l'activité. Des plans de continuité des opérations existent pour garantir la
capacité de la Commission à poursuivre son fonctionnement, dans la mesure du possible, quelque soit le
type de perturbation majeure.
EXIGENCES
" Un dispositif adéquat est en place afin d'assurer la continuité du service en cas d'interruption "courante"
de l'activité (congés maladie, mobilité du personnel, migration vers de nouveaux systèmes
informatiques, incidents, etc.). Il inclut notamment des dossiers de transmission et des systèmes de
suppléance pour les transactions financières et activités opérationnelles pertinentes.
" Des plans de continuité des opérations (PCO) couvrent la réponse à l'état de crise et le processus de
rétablissement, dans l'hypothèse de perturbations majeures (pandémies, attaques terroristes,
catastrophes naturelles, etc.). Ils identifient les fonctions, services et infrastructures qui doivent être
rétablis dans des délais fixés ainsi que les ressources nécessaires à cet effet (personnel clé, bâtiments,
informatique, documents et autre). Les plans de la DG tiennent compte des PCO des services
horizontaux couvrant leurs responsabilités en matière de services transversaux, complétés de manière
appropriée par des mesures spécifiques à la DG concernée.
" Des procédures sont établies pour mettre à l'essai, actualiser et valider le PCO. Des revues sont
effectuées via le processus de gestion des risques existant, au moins annuellement.
" Les versions électroniques et papier du PCO sont conservées dans des lieux sûrs et faciles d'accès,
connus du personnel concerné.
" En fonction des exigences opérationnelles, de sécurité et de continuité des opérations, des plans de
secours et de sauvegarde des systèmes d'information sont établis, maintenus et font l'objet d'une
documentation et de tests.

(Principales références: Règlement intérieur de la Commission, C(2005) 4416 du15.11.2005

; Communication
à la Commission sur un cadre pour la gestion de la continuité des opérations au sein de la Commission,
SEC(2006)898 du 12.7.2006 ; document de travail des services de la Commission sur un cadre pour la gestion
de la continuité des opérations au sein de la Commission, SEC(2006) 899 du 12.7.2006 ; Sécurité des systèmes
d'information, C(2006)
) 3602
PISTES POUR EVALUER L'EFFICACITE DU
Rappel
: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
CONTROLE
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" Continuité du service (interruption "normale"): Les procédures de la DG pour assurer la continuité du
service (par exemple, systèmes de transmission, procédures de sauvegarde, etc.) sont-elles
suffisamment connues, aisément accessibles (notamment pour le personnel nouvellement recruté) et
appliquées concrètement?
" PCO: L'encadrement et le personnel concerné sont-ils suffisamment informés et adéquatement formés
quant au PCO? Connaissent-ils la réponse immédiate à une perturbation majeure dans le but de
minimiser les risques portant sur le personnel et les biens? Le plan est-il facilement compréhensible et
accessible à ceux qui en ont besoin au moment où ils en ont besoin?
" PCO: Les priorités et les principaux risques y compris informatiques - sont-ils clairement définis et
ressortent-ils suffisamment dans le PCO? Des instructions et des messages concis sont généralement
plus efficaces que des explications longues et détaillées, surtout dans des situations de stress.
" PCO: Le PCO y compris les volets informatiques pertinents - a-t-il été suffisamment testé? La réalisation
périodique de tests et les exercices de mise en situation constituent de bons moyens de vérifier si le
plan fonctionne convenablement en pratique.
" PCO: Les résultats des tests sont-ils suffisamment analysés et décrits dans la documentation, les
modifications nécessaires identifiées et le PCO actualisé en conséquence?

FR 26 FR
 SCI 11. Gestion des documents: Des procédures et processus appropriés sont en place pour assurer une
gestion documentaire de la DG sûre, efficace (en particulier pour retrouver les informations nécessaires) et
conforme à la législation en vigueur.

E
" XIGENCES
Les systèmes de gestion documentaire et procédures y afférentes sont conformes aux exigences de
sécurité correspondantes, aux dispositions relatives à la gestion des documents et aux règles sur la
protection des données à caractère personnel.
" En particulier, tout document remplissant les conditions énoncées dans les modalités d'application 13
doit être enregistré, classé au moins dans un dossier officiel (chaque dossier étant rattaché à une
rubrique du plan de classement) et conservé par l'utilisation appropriée des systèmes d'enregistrement
et de classement de la Commission, principalement ADONIS et NOMCOM.

(Principales références: Décision de la Commission 2002/47/CE, CECA, Euratom du 23.1.2002 relative à des
«dispositions concernant l'administration
et ses modalités
des documents»
d'application en matière
d'enregistrement (SEC(2003) 349/1 ), de classement (SEC(2003)
; 349/2) et de conservation (SEC(2005) 1419)
Décision de la Commission 2004/563/CE, Euratom du 7.7.2004 relative à des «dispositions concernant les
documents électroniques et numérisés» et ses modalités d'application (SEC(2005) 1578) ; Lignes directrices
pour l'enregistrement des courriers électroniques (SEC(2006) 353); Règlement (CE) n°45/2001 sur la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces) données

PISTES POUR EVALUER L'EFFICACITE DU

Rappel
: Lors de l'évaluation de l'efficacité du contrôle, il convient de poser deux questions fondamentales:
CONTROLE
(1) Sur base des activités et risques spécifiques à la DG, les dispositifs actuels de contrôle sont-ils suffisants?
(2) Ces dispositifs de contrôle fonctionnent-ils en pratique comme prévu?
Figurent ci-après quelques questions dont l'encadrement souhaitera peut-être tenir compte pour
l'évaluation de l'efficacité du contrôle relatif à ce SCI précis:
" Les documents sont-ils correctement protégés contre la destruction, le vol, l'incendie, etc.?
" Les procédures d'enregistrement sont-elles suffisamment connues? Sont-elles appliquées en pratique?
" Les procédures de classement sont-elles suffisamment connues?
" D'une manière générale, le temps passé pour trouver des documents est-il raisonnable?
" Les règles en vigueur (celles de la Commission et celles qui sont propres à la DG) relatives à la
manipulation de documents sensibles sont-elles suffisamment connues et appliquées en pratique?
" Les mesures qui s'imposent sont-elles prises pour assurer la lisibilité des documents à l'avenir, tout
spécialement lorsque la DG est propriétaire du système d'archivage?
" L'encadrement et le personnel sont-ils suffisamment informés des durées de conservation applicables
aux documents? Ces durées sont-elles respectées en pratique?

13 Tout document reçu ou établi formellement par un service de la Commission dans le cadre de ses activités doit
être enregistré, quel que soit son support (électronique, papier, télécopie, courriel):
- s'il est probable qu'il exigera une action, un suivi ou une réponse de la Commission ou d'un ou plusieurs de ses
services, ou s'il engage la Commission ou un ou plusieurs de ses services;
- s'il contient des informations importantes non éphémères.

FR 27 FR
 SCI 12. Information et communication: La communication interne permet à l'encadrement et au personnel
de s'acquitter de manière efficace et efficiente de leurs responsabilités, y compris en matière de contrôle
interne. Le cas échéant, la DG arrête une stratégie de communication externe pour veiller à ce que cette
communication soit efficace, cohérente et en phase avec les grands messages politiques de la
Commission. La confidentialité et l'intégrité des systèmes d'information utilisés et/ou gérés par la DG (quand
la DG est propriétaire du système) sont dûment protégés.

EXIGENCES
" Les communications internes et externes sont conformes aux dispositions en matière de droits d'auteur.
" Des tableaux de bord pour la gestion (ou outils équivalents) sont élaborés pour les principales activités
de la DG et par la suite, au besoin, au niveau de la direction/l'unité. Ils incluent des informations de
gestion concises nécessaires à la supervision des activités et de l'évolution de l'entité, telles que:
indicateurs de performance, information financière, taux d'erreur concernant les aspects de légalité et
de régularité, échéance des projets, principales conclusions des audits, indicateurs de ressources
humaines14 et objectifs fixés en matière d'égalité des chances, ou toute autre donnée de gestion
pertinente.
" Des mesures sont prises en ligne avec la stratégie de communication interne et d'engagement du
personnel de la Commission pour faire en sorte que l'encadrement et le personnel soient
convenablement informés des décisions, projets ou initiatives - y compris ceux des autres DG -
concernant les tâches qui leur sont confiées et leur environnement de travail.
" L'ensemble du personnel est encouragé à signaler les insuffisances potentielles du contrôle interne, si
elles lui semblent importantes ou systémiques, au niveau d'encadrement approprié. Une ou plusieurs
personnes de contact sont désignées pour faciliter et coordonner ces signalements.
" Le cas échéant, la DG possède une stratégie de communication externe (orientée vers l'extérieur de la
Commission) qui fait l'objet d'une documentation écrite. Elle inclut une définition claire des publics
cibles, des messages et plans d'actions. Cette stratégie est élaborée dès la définition des politiques et
discutée avec le Cabinet responsable. Une coordination est recherchée avec les autres DG et la DG
COMM concernant les priorités en matière de communication.
" La politique standard de la Commission en matière de sécurité des systèmes d'information est
appliquée. En particulier, chaque DG a adopté et met en Suvre un plan de sécurité des systèmes
d'information basé sur un inventaire des exigences de sécurité et une analyse de risque des systèmes
d'information sous sa responsabilité; elle applique au minimum les mesures de contrôle pertinentes de
la politique générale de sécurité des SI.
" Les systèmes d'information servent d'appui à une gestion adéquate des données, englobant
l'administration des bases de données et l'assurance qualité. Les systèmes de gestion de données et
procédures y afférentes sont conformes à la politique correspondante en matière de systèmes
d'information, aux mesures de sécurité obligatoires et aux règles sur la protection des données à
caractère personnel.
(Principales références: Communication à la Commission sur une stratégie de communication interne et

d'engagement du personnel améliorer l'efficacité et bâtir une réputation solide de l'intérieur,

SEC(2007)912; Décision de la Commission relative à la sécurité des systèmes d'information, C(2006) 3602 et
ses modalités d'application; Décision de la Commission 2001/844/CE, CECA, Euratom du 29.11.2001
concernant «les dispositions de la Commission en matière de sécurité» ; Règlement CE n° 45/2001relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données )

14 Indicateurs possibles: rotation des effectifs, évolution de l'effectif, nombre de journées de formation par
personne, tableau prévisionnel des départs.

FR 28 FR