Официален вестник
на Европейския съюз
BG
Cерия L
|
|
Официален вестник |
BG Cерия L |
|
2024/436 |
2.2.2024 |
ДЕЛЕГИРАН РЕГЛАМЕНТ (ЕС) 2024/436 НА КОМИСИЯТА
от 20 октомври 2023 година
за допълнение на Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета чрез определяне на правила за извършването на одити на много големи онлайн платформи и много големи онлайн търсачки
ЕВРОПЕЙСКАТА КОМИСИЯ,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета от 19 октомври 2022 г. относно единния пазар на цифрови услуги и за изменение на Директива 2000/31/ЕО (Акт за цифровите услуги) (1), и по-специално член 37, параграф 7 от него,
като има предвид, че:
|
(1) |
Независимите одити са важен инструмент за надзор на спазването от страна на доставчиците на много големи онлайн платформи или много големи онлайн търсачки на задълженията им съгласно Регламент (ЕС) 2022/2065. Въпреки че в посочения регламент са предвидени други инструменти за отчетност — не на последно място чрез засилен обществен контрол на докладите за прозрачност и други изисквания за оповестяване на данни — независимите одитиращи организации имат специална роля в ранното оценяване на спазването на посочения регламент от страна на тези доставчици. Заключенията и констатациите от такива независими одити и препоръките в тях могат да послужат пълноценно за регулаторния надзор. Същевременно независимите одити представляват един от няколкото източника на информация и анализи, които регулаторните органи могат да използват в своите действия по надзор и правоприлагане. |
|
(2) |
За да се гарантира, че независимите одити се извършват по ефективен, ефикасен, навременен и съпоставим начин от началната дата на прилагане на Регламент (ЕС) 2022/2065, както е посочено в членове 92 и 93 от него, Комисията следва да определи правила относно извършването на одитите, по-специално по отношение на правните задължения на одитираните доставчици и процедурните стъпки, за да се гарантира, че организациите, извършващи одитите, отговарят на условията за независимост, липса на конфликт на интереси, наличие на експертен опит и професионална етика, определени в член 37, параграф 3 от Регламент (ЕС) 2022/2065. |
|
(3) |
С цел да се улесни правилното извършване на одити с високо ниво на експертен опит и да се предотвратят нежелани последици на пазара на одиторски услуги следва да се поясни, че одитите, извършвани в съответствие с член 37 от Регламент (ЕС) 2022/2065, могат да се извършват от няколко одитори. Когато е необходимо — например при нужда от специфичен експертен опит в одита на определени задължения или ангажименти, като например свързаните с проектирането и функционирането на алгоритмични системи, разбирането на рисковете за основните права или разпространението на незаконно съдържание, одитираният доставчик може да възложи на различни одитиращи организации или консорциум от организации извършването на одита. Одитиращите организации могат също да сключват договори с подизпълнители с необходимия експертен опит, при условие че както одитиращата организация, така и подизпълнителите отговарят на необходимите условия за независимост, липса на конфликт на интереси, доказана обективност и професионална етика, както и че съвместно отговарят на условията за технически експертен опит. В такива случаи одитираният доставчик следва все пак да гарантира, че спазването от негова страна на всички задължения и ангажименти, посочени в член 37, параграф 1 от Регламент (ЕС) 2022/2065, се одитира поне веднъж годишно. |
|
(4) |
Одитните становища, посочени в член 37, параграф 4, буква ж) от Регламент (ЕС) 2022/2065, следва да бъдат изразявани от одитиращите организации с разумно ниво на увереност. За да постигне разумно ниво на увереност, одитиращата организация следва да има висока, но не абсолютна степен на убеденост, че не са налице неточности, като например пропуски, погрешно представяне или грешки, които не са били открити при одита. За да се гарантира това ниво на увереност, одитиращата организация следва наред с другото да събере достатъчно доказателства и да използва подходящи одитни методики в своята оценка. |
|
(5) |
Съгласно член 37, параграф 1 от Регламент (ЕС) 2022/2065 независимите одити следва да се извършват най-малко веднъж годишно и следва да са съобразени с годишния цикъл на оценките на риска, посочен в член 34 от същия регламент. В някои случаи обаче може да са необходими по-чести одити. Последователността на одитите следва да гарантира непрекъснатост на надзора върху спазването от страна на одитираните доставчици на Регламент (ЕС) 2022/2065 и съответните кодекси за поведение и протоколи при кризи. Одитираният доставчик следва да гарантира, че периодът, за който в даден одит се прави оценка на спазването на одитираните задължения и ангажименти, допълва периода, обхванат от предходния одит на спазването от страна на доставчика на тези задължения и ангажименти, и започва най-късно от момента, в който периодът, обхванат от предходния одит, е приключил. Тъй като заключението от одита включва както оценката, извършена от одитиращата организация, така и изготвянето на одитен доклад, одитираните доставчици следва да гарантират, че продължителността на одита дава възможност одитите да бъдат провеждани поне веднъж годишно, а представянето на одитните доклади на Комисията и на координатора на цифровите услуги става без ненужно забавяне съгласно член 42, параграф 4 от Регламент (ЕС) 2022/2065. |
|
(6) |
Въпреки че одитираните доставчици не следва при никакви обстоятелства да се намесват в извършването на одита и в заключенията от него, те следва да изпълняват задълженията си по член 37 от Регламент (ЕС) 2022/2065, включително, като постигат съгласие по договорни условия с одитиращата организация и преди да изберат одитираща организация, проверяват дали тази организация отговаря на условията, определени в член 37, параграф 3 от Регламент (ЕС) 2022/2065. |
|
(7) |
Одитираният доставчик следва например да разгледа договорите, които е сключил преди това с одитиращата организация, или договорите, сключени между одитиращата организация и юридически лица, свързани с одитирания доставчик. Одитираният доставчик следва също така да включи клаузи в договорите с одитиращите организации, чрез които да се гарантира спазването на условията, определени в член 37, параграф 3 от Регламент (ЕС) 2022/2065. Когато одитиращата организация се състои от няколко субекта, одитираният доставчик следва да се увери, че всички тези субекти отговарят на условията, включително, когато е приложимо, всички подизпълнители, наети от одитиращата организация с цел да подпомогнат по какъвто и да е начин извършването на одита. Докато всеки субект, извършващ одита, следва поотделно да изпълнява изискванията за независимост и изискванията за липса на конфликт на интереси, субектите следва да изпълняват съвместно изискванията, свързани с уменията, експертния опит или техническите ресурси, като по този начин се дава възможност на различни субекти да извършват различни части от одита и да допринасят със способностите, уменията и експертния опит, необходими за извършване на одита. В одитния доклад следва да се посочва отговорността на всеки от тези субекти за съответните части на одита. |
|
(8) |
Съгласно член 37, параграф 3, буква а), подточка i) от Регламент (ЕС) 2022/2065 одитираният доставчик следва да обърне особено внимание на това одитиращата организация да не предоставя услуги извън извършването на одит на одитирания доставчик, когато проверява дали одитиращата организация отговаря на изискванията за независимост и на изискванията за липса на конфликт на интереси. Одитираният доставчик следва например да определи дали са предоставени услуги, като например услуги, свързани с която и да е система, софтуер или процес, имащи връзка с въпроси, отнасящи се до одитираното задължение или ангажимент, като консултантски услуги за оценка на ефективността, на управлението и на софтуера, услуги за обучение, разработване или поддръжка на системи или възлагане на подизпълнители на модерирането на съдържание. Тези услуги включват и услуги, предоставяни на одитирания доставчик, които се състоят в консултиране или разработване на механизми за вътрешен контрол или оценяване за вътрешни цели на спазването от страна на одитирания доставчик на Регламент (ЕС) 2022/2065 или кодексите за поведение и протоколите при кризи, включително, когато това се ограничава до прецизни изпитвания, като например изпитвания от трети страни на ефективността на системите за модериране на съдържание. Това не следва да изключва одиторски организации, които са извършили задължителни финансови одити. |
|
(9) |
Предвид сложността и особения характер на одитите за спазването на изискванията на Регламент (ЕС) 2022/2065 експертният опит на одитиращата организация в съответната област е от ключово значение за извършването на одити с разумно ниво на увереност и за упражняването на професионална преценка и скептицизъм, които дават възможност на тази организация да определи например каква информация ѝ е необходима за извършване на одитните процедури или за оспорване на противоречива информация. Поради това одитираният доставчик следва да провери дали одитиращата организация притежава такъв експертен опит, включително в областта на управлението на риска, както по отношение на одитните рискове, така и по отношение на предмета на Регламент (ЕС) 2022/2065, и по-специално системните рискове за обществото, посочени в член 34 от същия регламент. Освен това одитираният доставчик следва да провери техническите умения и способности на одитиращата организация с оглед на конкретната одитирана услуга, включително нейния експертен опит в съответната област, например по отношение на функционирането и въздействието на алгоритмичните системи като системите за препоръчване и други социално-технически системи, поддържани от доставчика. Одитиращата организация следва да има възможност да сключва договори с подизпълнители или по друг начин да получава и използва необходимия експертен опит и капацитет, а одитираният доставчик следва да проверява и гарантира, че одитиращата организация е в състояние да придобие този експертен опит и капацитет навреме за извършването на одита. |
|
(10) |
При проверката дали одитиращите организации отговарят на условията, определени в член 37, параграф 3 от Регламент (ЕС) 2022/2065, одитираният доставчик следва да оцени съответните доказателства, включително, когато е целесъобразно, сертификати, декларации и одитни доклади, издадени от одитиращата организация. Подходящият експертен опит може да бъде доказан например чрез практически опит в оценяването и управлението на рисковете, както и чрез академична дейност, научни публикации и опит със съответните одити. Одитните доклади следва да съдържат цялата съответна подкрепяща документация, удостоверяваща, че одитиращата организация отговаря на необходимите условия. |
|
(11) |
Съгласно член 37, параграф 2 от Регламент (ЕС) 2022/2065 одитираният доставчик трябва да оказва цялото необходимо сътрудничество и помощ на одитиращата организация за провеждане на одита ефективно, ефикасно и своевременно, както и да се въздържа от намеса по какъвто и да е начин в независимите решения на одитиращата организация. Например одитираният доставчик не следва да налага, да дава насоки или по друг начин да оказва влияние върху одитиращата организация чрез каквито и да било договорни или други ограничения или стимули при избора и изпълнението на одитните процедури, методиките, събирането и обработване на информация и одитни доказателства, анализа, изпитванията, одитното становище или изготвянето на одитни заключения. |
|
(12) |
За да се осигури необходимото сътрудничество и помощ по време на одита, одитираният доставчик следва да гарантира, че на одитиращата организация е предоставен достъп до цялата информация, необходима за извършването на одита. Одитираният доставчик следва да изпрати всички необходими документи и обяснения възможно най-рано и във всеки случай преди одитиращата организация да започне да изпълнява одитните процедури. Например съгласно член 41, параграф 3, букви г) и д) от Регламент (ЕС) 2022/2065 задачата на звеното по спазването на изискванията на одитирания доставчик е да наблюдава спазването на всички одитирани задължения и ангажименти, което следва доведе до разработването на механизми за вътрешен контрол. Поради това на одитиращата организация следва да се предостави достъп до цялата информация, свързана с тези механизми за контрол, както и до всяка друга информация, която очертава стратегията на одитирания доставчик за гарантиране на съответствие. По-специално одитираният доставчик следва да предостави на одитиращата организация референтните показатели, на които разчита, за да гарантира спазването на Регламент (ЕС) 2022/2065, така че одитиращата организация да може да основава одитните критерии на тази информация.. Освен това на одитиращата организация следва да бъде предоставен достъп до всички анализи, който одитираният доставчик евентуално е извършил по отношение на присъщите рискове и контролните рискове. Този доставчик следва да предостави на одитиращата организация информация, която улеснява разбирането на одитираната услуга, нейното управление, компетентността на съответните екипи и структури за вземане на решения, включително неговата функция по спазването на изискванията, както и презентации на своите информационни системи, структури за данни и записи и взаимодействието между различните алгоритмични системи, които са от значение за одита. |
|
(13) |
Одитиращата организация следва да може да поиска по всяко време на извършването на одита всякаква друга необходима информация. Достъпът до тази информация следва да се предоставя без ненужно забавяне така, че по никакъв начин да не възпрепятства извършването на одита. Това следва да включва достъп до данни, включително лични данни, събрани от различни източници, като например документи, алгоритмични системи, бази данни или интервюта, според случая. Одитираният доставчик следва също така да предостави на одитиращата организация достъп до процедури и процеси, ИТ системи, като например алгоритмични и информационни системи, включително среди за изпитване. За да се даде възможност на одитиращата организация да извърши пълноценна проверка на тези системи, одитираният доставчик следва да предостави всички необходими ресурси, за да подпомогне организацията при достъпа до системите и оценката им, например като осигури компетентен персонал, който да отговаря на въпроси или да управлява средите за изпитване и да дава обяснения за тяхното функциониране, или като улесни по всякакъв друг начин необходимото взаимодействие с персонала и достъпа до помещенията, като например сгради. Достъпът до процедури и процеси може да включва например достъп до описания или документи, отнасящи се до вътрешния процес на вземане на решения на одитирания доставчик. Достъпът до относима информация може да изисква и други допълнителни действия от страна на одитирания доставчик, за да изпълни задължението си за сътрудничество и помощ. Например за провеждане на интервюта с персонала може да са необходими защитени помещения, осигурени от одитирания доставчик. Когато това е необходимо за извършването на одита, одитираните доставчици следва да изпълняват задължението за сътрудничество и съдействие на одитиращата организация, наред с другото, като улесняват достъпа до съответните данни, свързани с тяхната дейност, с които разполагат трети страни изпълнители. Такъв може да бъде случаят например по отношение на резултатите от действия за модериране на съдържание, материали за обучение или насоки, използвани при модериране на съдържание от трети страни подизпълнители, или от продавачи и доставчици на услуги за ИТ решения, включително например алгоритми и приложения, използвани в системи за препоръчване или рекламни системи, които са в употреба при одитирания доставчик. |
|
(14) |
За да се улесни пълноценната прозрачност на одитните констатации и да се осигури изчерпателен и съпоставим формат на одитните доклади, посочени в член 37, параграф 4 от Регламент (ЕС) 2022/2065, и на докладите за изпълнението на одита, посочени в член 37, параграф 6 от същия регламент, с настоящия регламент следва да се установят образци за тези доклади и да се изискват няколко приложения за всеки от докладите. Въпреки че образците, установени в настоящия регламент, изискват изчерпателно докладване, те не следва да засягат изискванията за публикуване на докладите, предвидени в член 42, параграфи 4 и 5 от Регламент (ЕС) 2022/2065. |
|
(15) |
За да се гарантира, че одитиращата организация получава цялата необходима помощ от одитирания доставчик, без той да се намесва в извършването на одита, както и че одитиращата организация изпълнява всички условия за подготовка на одита и представя одитния доклад своевременно и с необходимото качество, за да се постигне разумно ниво на увереност, по отношение на процедурите за подготовка на одита следва да се прилагат някои правила. Задълженията и отговорностите на одитирания доставчик и одитиращата организация, включително на всички подизпълнители или партньорски организации и на персонала, отговорен за извършването на одита, следва да бъдат определени в писмено споразумение, включително чрез договорни условия. В писменото споразумение следва също така да се посочат одитираните задължения и ангажименти, разпределението на ресурсите и правилата за взаимодействие и звената за контакт между одитиращата организация и одитирания доставчик. Цялата подкрепяща документация и всички договори следва да бъдат приложени към одитния доклад, включително, когато документите са под формата на писмо за поемане на одитен ангажимент или други договорни условия. |
|
(16) |
За да се осигури изчерпателен преглед и да се улесни отчетността на одитираните доставчици, одитният доклад следва да включва заключение от оценката на одитиращата организация на спазването от страна на одитирания доставчик на всяко одитирано задължение или ангажимент. Всяко одитно заключение следва да се основава на разумно ниво на увереност и следва да бъде „положително“, „положително с коментари“ или „отрицателно“, за да бъде подходящо оформено одитното становище. Заключенията, обозначени като „положителни с коментари“, не следва да засягат самата оценка на съответствието. Тези коментари могат да се отнасят например до предоставянето на информация от доставчика по искане на одитиращата организация или до подобрения в поддръжката или механизмите за контрол, въведени от одитирания доставчик, или да отразяват други планове за смекчаване на риска и подобрения, които доставчикът възнамерява да осъществи. Във всеки случай, когато одитната организация счита, че одитираният доставчик спазва дадено одитирано задължение или ангажимент съгласно референтните показатели, докладвани от одитирания доставчик, но смята, че е необходимо да се включат забележки по тези референтни показатели, заключението от одита следва да бъде „положително с коментари“, тъй като тези коментари биха могли да предоставят полезна информация на доставчика относно възможностите за потенциални промени в неговите референтни показатели въз основа на знанията и експертния опит на одитиращата организация, както и информация от външни източници. Например коментарите могат да се основават на насоки от Комисията, включително насоки от Комисията, посочени в член 35, параграф 3 от Регламент (ЕС) 2022/2065, и всякакви други подходящи насоки, издадени от Комисията във връзка с прилагането на посочения регламент, доклади от Европейския съвет за цифровите услуги, посочени в член 35, параграф 2 от същия регламент, действия по правоприлагане, решения, взети от Комисията съгласно посочения регламент, съответната съдебна практика, особено от Съда на Европейския съюз, обществени консултации или съответни авторитетни източници. |
|
(17) |
За да се даде възможност за обществен контрол и регулаторен надзор, когато одитното заключение е „отрицателно“, но се прилага само за ограничен период от време, и одитиращата организация счита, че одитираният доставчик е спазил задължението или ангажимента за останалата част от одитирания период, това следва да бъде отразено в одитния доклад за всяко съответно задължение или ангажимент. Докладът следва да включва забележките на одитиращата организация относно всяка информация, предоставена ѝ от одитирания доставчик по отношение на съществуващи или бъдещи планове за смекчаване на риска. |
|
(18) |
С оглед на различното естество на правните задължения, определени в глава III от Регламент (ЕС) 2022/2065, и доброволните ангажименти, поети по силата на кодексите за поведение и протоколите при кризи съгласно членове 45, 46 и 48 от посочения регламент, одитиращата организация следва да издава одитни становища относно спазването на посочената глава и на всеки кодекс и протокол. |
|
(19) |
За да се извърши одитът с разумно ниво на увереност и да се разработят подходящи одитни процедури в съответствие с методики, които свеждат до минимум одитния риск, ключова част от методиката за извършване на одита следва да бъде оценката на одитните рискове, а именно риска одитиращата организация да изрази неподходящо одитно становище или заключение. Поради това одитната организация следва да оцени одитния риск в самото начало на одита, преди да разработи точната методика и да изпълни одитните процедури. Анализът на одитния риск е необходим, за да се даде възможност на одитиращата организация да избере точните методики за одита и да определи доколко изчерпателни трябва да бъдат одитните процедури, за да може да се постигне разумно ниво на увереност на одитното становище. Одитиращата организация следва да извърши анализ на одитния риск за оценката на спазването на всяко одитирано задължение или ангажимент, като вземе предвид присъщите рискове, контролните рискове и рисковете от неразкриване. |
|
(20) |
За да се оценят правилно одитните рискове, при анализа на одитните рискове следва да се вземат предвид естеството на одитираната услуга, по-специално нейният рисков профил, както и обхватът и сложността на одита. Например има вероятност онлайн платформите, които разрешават сключването на договори от разстояние между потребителите, да имат различни присъщи рискове от платформите за споделяне на видеоклипове или търсачките. Освен това следва да се вземе предвид общественият и икономическият контекст, в който се предоставя одитираната услуга, например по отношение на типични групи потребители, като малолетни и непълнолетни лица, или често срещано поведение, като широко разпространение на неавтентично използване, и координирано поведение при кампании за дезинформация. Общественият и икономическият контекст, който трябва да се вземе предвид, следва да включва също така вероятността и, независимо от нея, сериозността на излагане на кризисни ситуации и неочаквани събития, както е посочено в Регламент (ЕС) 2022/2065. |
|
(21) |
За да се гарантира, че в анализа на одитния риск се отчита развитието на рисковете, на които е изложена услугата, той следва също така да се основава на информация от предишни одити, на които е бил подложен одитираният доставчик, когато е приложимо, и да се основава на информация от източници като одитните доклади за други доставчици със сходен рисков профил. За да се гарантира, че анализът на одитния риск е напълно подкрепен от най-новите доказателства за рисковете в контекст, подобен на този, в който извършва дейност одитираният доставчик, и от авторитетни източници от пряко значение за прилагането на Регламент (ЕС) 2022/2065, анализът следва също така да се основава на информация от доклади, издадени от Европейския съвет за цифровите услуги, или насоки от Комисията, когато е приложимо. Друга информация може да включва и информация от одитни доклади, публикувани съгласно член 42, параграф 4 от Регламент (ЕС) 2022/2065 от други доставчици на много големи онлайн платформи или много големи онлайн търсачки. |
|
(22) |
Без да се влияе от одитирания доставчик, одитиращата организация следва да изготви одитните методики, които да се използват за оценка на спазването на одитираните задължения и ангажименти. Критериите за извършване на одит следва да се основават на информацията, предоставена от одитирания доставчик по отношение на референтните показатели, използвани от него за наблюдение на спазването на изискванията. Методиката може също да взема предвид друга информация, предоставена от одитирания доставчик, като анализа на присъщите рискове, ако одитираният доставчик е извършил такъв анализ, например чрез мерки, разработени от служителя по спазването на изискванията или управителния орган в съответствие с член 41 от Регламент (ЕС) 2022/2065, или други мерки, заложени във функционирането на услугата за оценките на системните рискове, посочени в член 34 от същия регламент. |
|
(23) |
За да се гарантира, че одитните методики са подходящи за постигане на разумно ниво на увереност на одитните становища, изборът на методика за одитните процедури следва да бъде съобразен с особеностите на одитираното задължение или ангажимент и следва да бъде адаптиран например към естеството на одитираното задължение като задължение за използване на средства или задължение за резултати, които доставчикът трябва да постигне, за да спази изискванията. Например одитните процедури за оценка на спазването на задължението за прозрачно докладване съгласно член 15 от Регламент (ЕС) 2022/2065 позволяват на одитиращата организация да направи заключение дали докладите са публикувани в рамките на сроковете и форматите, изисквани в посочения регламент, както и дали са пълни и дали докладваните данни са точни, представителни и с подходяща разбивка, например по категории на незаконното съдържание, по което се предприемат действия. |
|
(24) |
Изборът на методика следва също така да зависи от това дали оценката на спазването на изискванията налага тълкуване на контекста от страна на одитиращата организация. Изборът на методики следва също така да бъде адаптиран към присъщите рискове, свързани с дейностите, извършвани при предоставянето на услугата, и контекста, в който се предоставя услугата — например дали услугата включва продажба на стоки, които биха могли да бъдат незаконни, или дали услугата се използва предимно от малолетни и непълнолетни лица. Например методиките за оценка на спазването на задълженията за въвеждане на подходящи и пропорционални мерки за гарантиране на високо равнище на неприкосновеност на личния живот, безопасност и сигурност на малолетните и непълнолетните лица съгласно член 28, параграф 1 от Регламент (ЕС) 2022/2065 следва да дадат възможност на одитиращата организация да разбере в достатъчна степен как одитираната услуга се използва от малолетни и непълнолетни лица и какви рискове могат да възникнат за тяхната неприкосновеност на личния живот, безопасност и сигурност, както и какво представлява подходяща и пропорционална мярка в конкретния контекст на одитираната услуга и използването ѝ от малолетни и непълнолетни лица. За тази цел одитните организации следва да разделят оценката на подходящи стъпки. Те следва да оценяват одитните рискове според рисковия профил на одитирания доставчик, по-специално дали неговото съдържание е достъпно за малолетни и непълнолетни лица или се използва предимно от такива лица. Например, те следва да преценяват дали доставчикът е въвел инструменти за проверка на възрастта, дали те са ефективни и как одитираният доставчик оценява и наблюдава тяхната ефективност. Те следва да преценяват дали одитираният доставчик е въвел подходящи мерки за откриване на състезателно използване на неговите услуги и на поведенчески модели, които имат за цел да навредят или е вероятно да навредят на малолетните и непълнолетните лица. |
|
(25) |
Изборът на методики следва да бъде адаптиран към контролните рискове, свързани с мерките за спазване на изискванията, въведени от одитирания доставчик, както и към рисковете от неразкриване, по-конкретно рисковете да не бъдат разкрити неточности в информацията, която доставчикът предоставя на одитиращата организация. Например, когато одитираното задължение може да включва одит на алгоритмична система, основана на персонализиране за отделните получатели на одитираната услуга и на периодични актуализации на алгоритмичната система, като например задълженията за оповестяване за системите за препоръчване съгласно член 27 от Регламент (ЕС) 2022/2065, изборът на методика следва да даде възможност на одитиращата организация да разработи подходящи изпитвания, за да се сведе до минимум рисковете от неразкриване. По същия начин, когато одитиращата организация се стреми да оцени дали всички съответни рискове са били смекчени при проектирането, функционирането и използването на приложения, основани на широкомащабни езикови модели, като например функции за чат или системи за препоръчване, внедрени от одитирания доставчик, одитиращата организация следва първо да оцени целесъобразността на въведените от доставчика механизми за контрол. Изборът на изпитвания следва да се основава на надеждността на тези механизми за вътрешен контрол. По-специално, но не само в случаите, когато механизмите за вътрешен контрол са слаби, непълни или незадоволителни, за да може да се оцени дали правилата са спазени при разглеждане на съвкупността от получатели на одитираната услуга, одитните процедури следва да се основават на комбинация от методики. Например методиките могат да включват съществени аналитични процедури, като например анализ на взаимодействията между всички алгоритмични системи, включени в системите за препоръчване, и свързаните с тях правила за вземане на решения и процеси за определяне на основните параметри на тези системи за препоръчване, наблюдения на цифрови записи и регистрационни файлове. Методиките следва да включват и изпитвания на системата, като например изпитвания в симулирана среда. |
|
(26) |
За да се гарантира, че методиката е подходяща и адаптирана към новите констатации по време на извършването на одита, подборът на методиките следва да се ръководи от професионалната преценка на одитиращата организация и следва да бъде приспособен, за да се вземат предвид тези нови констатации, по-специално, когато одитиращата организация има основателни съмнения по отношение на информацията, предоставена от одитирания доставчик. Професионалният скептицизъм на одитиращата организация следва да се основава на нейния експертен опит, както и на други източници на информация от особено значение за прилагането на Регламент (ЕС) 2022/2065, като например доклади от Европейския съвет за цифровите услуги, насоки от Комисията, одитни доклади, изготвени въз основа на кодекси за поведение или протоколи при кризи, посочени в членове 45, 46 и 48 от същия регламент, или информация, получена по време на извършването на одита, включително, когато е свързана със събития, по-специално кризисни ситуации, които изискват допълнителни действия от одитирания доставчик, за да се гарантира спазването на определени одитирани задължения или ангажименти. |
|
(27) |
За да се гарантира събирането на достатъчно одитни доказателства по време на одита, одитиращите организации следва да оценяват механизмите за вътрешен контрол на одитирания доставчик, както и да извършват съществени одитни процедури за оценка на спазването на изискванията от страна на одитирания доставчик. В някои случаи одитиращата организация следва също да извършва изпитвания. |
|
(28) |
Предвид сложността на алгоритмичните системи, използвани от доставчиците на онлайн платформи, и тяхната важна роля за спазването на някои задължения, определени в Регламент (ЕС) 2022/2065, следва да се обърне специално внимание на избора на необходима и подходяща методика за одитиране на алгоритмичните системи. Такъв е случаят, когато алгоритмичните системи са част от механизмите за контрол, въведени от одитирания доставчик, и когато самите те са предмет на одитираните задължения или ангажименти, като например по отношение на системите за препоръчване — например съгласно членове 27, 34, 35 и 38 от Регламент (ЕС) 2022/2065, или системите за реклама — например съгласно членове 26, 28, 34, 35 и 39 от посочения регламент, системите за модериране на съдържание — например съгласно членове 14, 15, 34 и 35 от посочения регламент, или всяка друга алгоритмична система, която допринася за рисковете, посочени в член 34 от същия регламент. |
|
(29) |
Следва да се използва и комбинация от съществени аналитични процедури, включително, когато е целесъобразно, въз основа на наблюдения на процесите и дейностите на одитирания доставчик при проектирането, разработването, експлоатацията, изпитването и проследяването на алгоритмични системи или наблюдения на цифрови записи и регистрационни файлове, създадени от системите. Методиките следва да бъдат адаптирани към особеностите на алгоритмичните системи, включително тяхното управление, взаимодействието между различните алгоритмични системи, както и свързаните с тях системи за управление на данни, и към технологиите, стоящи в основата на тези алгоритмични системи, като например генеративни модели или други алгоритми за класификация, подбор или търсене. |
|
(30) |
Освен това одитните методики за алгоритмични системи следва да включват изпитвания, например, за събиране на информация, която одитираният доставчик не е документирал преди това, или за независимо възпроизвеждане и оценка на резултатите на показатели за точността, от изпитвания в тестова среда или симулирана среда или изпитвания в производствени системи, включително чрез извличане на данни или състезателно изпитване. |
|
(31) |
Като се има предвид, че високото качество на одитните доказателства е необходимо условие, за да може дадена одитираща организация да изготви одитно становище с разумно ниво на увереност, информацията, която одитиращата организация решава да използва като одитни доказателства, следва да бъде подходяща и достатъчна за намаляване на одитните рискове. Освен това одитните доказателства следва да бъдат надеждни според професионалната преценка и скептицизъм на одитиращата организация и, когато е уместно, според алтернативни източници на информация. Професионалната преценка и скептицизъм следва да включват критична оценка на одитните доказателства и възможните неточности. Тези стандарти за качество следва да се прилагат за всички одитни доказателства независимо дали са били предоставени от одитирания доставчик, или са били събрани от други източници. |
|
(32) |
Одитиращата организация следва да разгледа редица източници на информация, които могат да включват например интервюта с персонала или изпълнители на одитирания доставчик, включително служители по спазването на изискванията, инженери, специалисти в областта на данните, софтуерни архитекти или членове на екипи за вътрешен одит. Те могат също така да включват техническа документация относно проектирането, внедряването, изпитването и наблюдението на съответната система, включително относно качеството и управлението на данните и относно актуализациите и версиите на системата, както и други документи относно процесите на управление и вземане на решения на одитирания доставчик, включително с оглед на приоритетите, ресурсите, разпределението на задачите и отговорностите или експертния опит на съответния персонал. |
|
(33) |
За да се гарантира ефикасност и пропорционалност при извършването на одита, на одитиращата организация следва да бъде разрешено да прави извадки от данни и информация, като надлежно се взема предвид постигането на представителна извадка, за да може одитиращата организация да изготви одитно становище с разумно ниво на увереност. За да се гарантира прозрачност и възможност за повтаряне на одитните процедури, одитиращата организация следва да представи в одитния доклад обосновка за избора на обем на извадката и метод за формиране на извадката. Например обемът на извадката и методиката следва да бъдат подбрани, като се има предвид как по ефективен начин да се постигне целта на одита на конкретното одитирано задължение или ангажимент и да се сведе до минимум рискът заключението от одита на конкретната извадка да е различно от това, което би било заключението, ако цялата съвкупност от доказателства бъде подложена на одитната процедура. Обемът и методиката за извадката следва да бъдат подбрани, като се вземе предвид пълният обхват на одита, както и вътрешните или външните промени в одитираната услуга през този период. Те следва също така да бъдат адаптирани към особеностите на алгоритмичните системи, включително по отношение на персонализирането чрез създаване на профил. Като част от настоящото съображение одитиращата организация следва например да изготви подходяща извадка от различните групи или разделения, които могат да се получат в резултат на техниките за персонализиране, или да определи допустимата грешка и да предостави обосновка защо тя е на приемливо равнище. |
|
(34) |
Предвид нововъведенията в някои разпоредби на Регламент (ЕС) 2022/2065 е необходимо да се определят методологични принципи, включително одитни въпроси и допълнителни насоки за подбора на одитните методики и одитните доказателства за оценката на спазването на тези разпоредби, а именно за оценяване на спазването на членове 34, 35 и 36 от Регламент (ЕС) 2022/2065 относно извършването на оценки на риска и приемането на мерки за смекчаване на риска от страна на одитираните доставчици и относно изпълнението на задълженията във връзка с реагирането при кризи. |
|
(35) |
Като се има предвид, че одитиращите организации следва също така да оценяват спазването от страна на одитирания доставчик на член 37 от Регламент (ЕС) 2022/2065, следва да бъдат предоставени допълнителни уточнения относно конкретния одит, по отношение на който следва да се оценява спазването на изискванията, по-специално, за да се избегнат конфликти на интереси за одитиращата организация. |
|
(36) |
С оглед на доброволния характер на кодексите за поведение и протоколите при кризи е необходимо да се предвидят специални правила за одит на спазването на членове 45, 46 и 48 от Регламент (ЕС) 2022/2065, по-специално, за да се гарантира, че одитиращите организации разполагат с цялата необходима информация за извършване на одити, специфични за ангажиментите по всеки кодекс за поведение и протокол при кризи, |
ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:
РАЗДЕЛ I
Общи разпоредби
Член 1
Предмет
С настоящия регламент се определят правилата за извършване на одити съгласно член 37 от Регламент (ЕС) 2022/2065 по отношение на:
|
а) |
процедурните стъпки, чрез които се гарантира, че одитиращата организация, която ще бъде избрана, отговаря на условията, определени в член 37, параграф 3 от Регламент (ЕС) 2022/2065; |
|
б) |
процедурните стъпки за сътрудничество и помощ от страна на одитирания доставчик при извършването на одити, включително достъп до относимата информация с цел получаване на одитни доказателства; |
|
в) |
определянето и подбора на одитни методики; |
|
г) |
образците на одитния доклад и доклада за изпълнението на одита. |
Член 2
Определения
За целите на настоящия регламент се прилагат следните определения:
|
1) |
„одитираща организация“ означава отделна организация, консорциум или друга комбинация от организации, включително подизпълнители, на които одитираният доставчик е възложил извършването на независим одит в съответствие с член 37 от Регламент (ЕС) 2022/2065; |
|
2) |
„одитирана услуга“ означава много голяма онлайн платформа или много голяма онлайн търсачка, определена в съответствие с член 33 от Регламент (ЕС) 2022/2065; |
|
3) |
„одитиран доставчик“ означава доставчик на одитирана услуга, който подлежи на независими одити съгласно член 37, параграф 1 от Регламент (ЕС) 2022/2065; |
|
4) |
„одитирано задължение или ангажимент“ означава задължение или ангажимент, посочен в член 37, параграф 1 от Регламент (ЕС) 2022/2065, който е предмет на одита; |
|
5) |
„критерии за извършване на одит“ означава критериите, въз основа на които одитиращата организация оценява спазването на всяко одитирано задължение или ангажимент; |
|
6) |
„одитно доказателство“ означава всяка информация, използвана от одитираща организация в подкрепа на одитните констатации и заключения и за изготвяне на одитно становище, включително данни, събрани от документи, бази данни или ИТ системи, интервюта или извършени изпитвания; |
|
7) |
„неточност“ означава умишлен или неумишлен пропуск, погрешно представяне или грешка в декларациите или данните, докладвани или предоставени от одитирания доставчик на одитиращата организация, или в средата за изпитване, предоставена от одитирания доставчик на одитиращата организация; |
|
8) |
„одитен риск“ означава рискът одитиращата организация да издаде неправилно одитно становище или да достигне до неточно заключение относно спазването от страна на одитирания доставчик на одитирано задължение или ангажимент, като се вземат предвид рисковете от неразкриване, присъщите рискове и контролните рискове по отношение на това одитирано задължение или ангажимент; |
|
9) |
„риск от неразкриване“ означава рискът одитиращата организация да не открие неточност, която е от значение за оценката на спазването от страна на одитирания доставчик на одитирано задължение или ангажимент; |
|
10) |
„присъщ риск“ означава рискът от неспазване на изискванията, неразривно свързан с естеството, конструкцията, дейността и използването на одитираната услуга, както и контекста, в който тя се експлоатира, и рискът от неспазване, свързан с естеството на одитираното задължение или ангажимент; |
|
11) |
„контролен риск“ означава рискът дадена неточност да не бъде избегната, открита и коригирана своевременно чрез механизмите за вътрешен контрол на одитирания доставчик; |
|
12) |
„праг на същественост“ означава прагът, над който отклоненията или неточностите от страна на одитирания доставчик — поотделно или в съвкупност — биха повлияли основателно на одитните констатации, заключения и становища; |
|
13) |
„разумно ниво на увереност“ означава високо, но не абсолютно ниво на увереност, което дава възможност на одитиращата организация да потвърди в своето одитно становище и одитни заключения дали одитираният доставчик спазва одитираните задължения или ангажименти въз основа на достатъчни и подходящи доказателства; |
|
14) |
„механизъм за вътрешен контрол“ означава всички мерки, включително процеси и изпитвания, които се проектират, прилагат и поддържат от одитирания доставчик, включително неговите служители по спазването на изискванията и управителен орган, за наблюдение и гарантиране на спазването от страна на одитирания доставчик на одитираното задължение или ангажимент; |
|
15) |
„одобрен изследовател“ означава изследовател, одобрен в съответствие с член 40, параграф 8 от Регламент (ЕС) 2022/2065; |
|
16) |
„одитна процедура“ означава всяка техника, прилагана от одитиращата организация при извършването на одита, включително събиране на данни, избор и прилагане на методики, като например изпитвания и съществени аналитични процедури, както и всяко друго действие, предприето за събиране и анализиране на информация с цел събиране на одитни доказателства и формулиране на одитни заключения, без да се включва издаването на одитно становище или на одитен доклад; |
|
17) |
„изпитване“ означава одитна методика, състояща се от измервания, експерименти или други проверки, включително проверки на алгоритмични системи, чрез които одитиращата организация оценява спазването от страна на одитирания доставчик на одитираното задължение или ангажимент; |
|
18) |
„съществена аналитична процедура“ означава одитна методика, използвана от одитиращата организация за оценка на информацията с цел да се направи извод за одитните рискове или спазването на одитираното задължение или ангажимент. |
Член 3
Обхват на одита и разумно ниво на увереност
1. Одитът се извършва по начин и за срок, които дават възможност на одитиращата организация да оцени с разумно ниво на увереност спазването от страна на одитирания доставчик на всички одитирани задължения и ангажименти.
2. Одитът обхваща периода, започващ непосредствено след периода, обхванат от предишния одит, и завършващ на дата, която позволява на одитиращата организация да извърши одита в рамките на срока, изискван съгласно член 37, параграф 1 от Регламент (ЕС) 2022/2065, включително да потвърди своята оценка съгласно параграф 1 въз основа на събраните доказателства и проведените през този период одитни процедури, и да изготви и представи одитния доклад съгласно член 37, параграф 4 от посочения регламент на одитирания доставчик.
3. Когато не е бил извършен предишен одит, одитът обхваща периода, започващ четири месеца след уведомлението, посочено в член 33, параграф 6, първа алинея от Регламент (ЕС) 2022/2065, а продължителността на одита трябва да позволява одитният доклад съгласно член 6, параграф 1 да бъде завършен най-късно в рамките на една година, считано от началото на одитирания период.
РАЗДЕЛ II
Условия за извършване на одита
Член 4
Избор на одитираща организация
1. Преди да избере одитираща организация, която да извърши одита, одитираният доставчик проверява дали организацията, която ще бъде избрана, отговаря на изискванията, определени в член 37, параграф 3 от Регламент (ЕС) 2022/2065.
2. Когато одитиращата организация, която ще бъде избрана, се състои от повече от едно юридическо лице или възнамерява да се обърне към един или няколко подизпълнители, одитираният доставчик проверява дали всички тези юридически лица или подизпълнители:
|
а) |
поотделно изпълняват изискванията, определени в член 37, параграф 3, букви а) и в) от Регламент (ЕС) 2022/2065; |
|
б) |
съвместно изпълняват изискването, определено в член 37, параграф 3, буква б) от Регламент (ЕС) 2022/2065. |
Член 5
Сътрудничество и помощ между одитирания доставчик и одитиращата организация
1. В момент, съгласуван с одитиращата организация, и във всеки случай преди извършването на каквато и да било одитна процедура одитираният доставчик предава на избраната одитираща организация най-малко следната информация:
|
а) |
описание на механизмите за вътрешен контрол, въведени по отношение на всяко одитирано задължение и ангажимент, включително свързаните с тях показатели и всички настоящи и исторически измервания, и референтните показатели, използвани от одитирания доставчик за потвърждаване или наблюдение на спазването на одитираните задължения и ангажименти, както и всякаква подкрепяща документация; |
|
б) |
своя предварителен анализ на присъщите и контролните рискове, когато одитираният доставчик е извършил такъв анализ, както и всякаква подкрепяща документация; |
|
в) |
информация за всички съответни структури за вземане на решения, областите на компетентност на отделите на доставчика, включително звеното по спазването на изискванията съгласно член 41 от Регламент (ЕС) 2022/2065, съответните информационни системи, източниците, обработката и съхранението на данни, както и обяснения на съответните алгоритмични системи и техните взаимодействия. |
2. Одитираният доставчик предоставя на одитиращата организация без ненужно забавяне достъп до всички данни, необходими за извършването на одита, включително лични данни, документация, информация за процедурите и процесите, както и до информационните системи, средата за изпитване, персонала и помещенията на този доставчик и на всички съответни подизпълнители.
3. Одитираният доставчик предоставя на одитиращата организация достъп до всички необходими ресурси, както и съдействието и обясненията, от които тя се нуждае, за да анализира съответната информация и да проведе изпитвания, включително когато информацията, поискана от одитиращата организация в съответствие с член 37, параграф 3 от Регламент (ЕС) 2022/2065, се държи от трета страна, с която одитираният доставчик е сключил договор.
РАЗДЕЛ III
Извършване на одити
Член 6
Одитен доклад и доклад за изпълнението на одита
1. Одитният доклад, посочен в член 37, параграф 4 от Регламент (ЕС) 2022/2065, се изготвя от одитиращата организация без намесата на одитирания доставчик. Въпросният одитен доклад се изготвя в съответствие с образеца в приложение I и съдържа подробни и обосновани заключения във връзка с всички елементи на образеца.
2. Когато е приложимо, докладът за изпълнението на одита, посочен в член 37, параграф 6 от Регламент (ЕС) 2022/2065, се изготвя в съответствие с образеца в приложение II.
Член 7
Процедури за подготовка на одита
1. Одитираният доставчик и одитиращата организация сключват писмено споразумение, в което се посочват:
|
а) |
изчерпателен списък на одитираните задължения и ангажименти; |
|
б) |
отговорностите на одитиращата организация, включително, когато е приложимо, подробно описани за всяко юридическо лице, което съставлява одитиращата организация, и страните, упълномощени да подпишат одитния доклад; |
|
в) |
процедурите и звената за контакт, предоставени от одитирания доставчик, чрез които одитиращата организация може да поиска достъп до данните, посочени в член 5, параграф 2; |
|
г) |
срокът на одита, включително началната и крайната дата на одитните процедури и изготвянето на одитния доклад; |
|
д) |
процедура за решаване на спорове между одитирания доставчик и одитиращата организация, възникнали във връзка с извършването на одита. |
2. Споразумението, посочено в параграф 1, както и всички други споразумения или писма за поемане на ангажименти между одитиращата организация и одитирания доставчик, свързани с извършването на одита, се прилагат към одитния доклад.
3. Когато по време на извършването на одита са направени промени в споразумението, посочено в параграф 1, те се отразяват изрично в одитния доклад.
Член 8
Одитно становище, одитни заключения и препоръки
1. Одитният доклад включва одитните заключения, до които одитиращата организация е достигнала относно спазването от страна на одитирания доставчик на всяко от одитираните задължения и ангажименти. Одитните заключения са:
|
а) |
„положителни“, когато одитиращата организация стигне до заключение с разумно ниво на увереност, че одитираният доставчик е спазил одитираното задължение или ангажимент; |
|
б) |
„положителни с коментари“, когато одитиращата организация стигне до заключение с разумно ниво на увереност, че одитираният доставчик е спазил одитираното задължение или ангажимент, но:
|
|
в) |
„отрицателни“, когато одитиращата организация стигне до заключение с разумно ниво на увереност, че одитираният доставчик не е спазил одитираното задължение или ангажимент; |
2. Когато одитният доклад включва оперативни препоръки съгласно член 37, параграф 4, буква з) от Регламент (ЕС) 2022/2065, тези препоръки и препоръчаният срок за изпълнението им са конкретни за всяко одитирано задължение или ангажимент, за който одитното заключение съгласно параграф 1 е „положително с коментари“ или „отрицателно“.
3. Когато оперативните препоръки, посочени в параграф 2, включват конкретни мерки за осигуряване на спазването на задълженията, те се формулират по начин, който пояснява оценката на одитиращата организация за това как тези мерки биха повлияли на прага на същественост в сравнение с одитното заключение за съответното одитирано задължение или ангажимент.
4. Въз основа на одитните заключения одитният доклад включва одитно становище относно спазването от страна на одитирания доставчик на всички одитирани задължения, посочени в член 37, параграф 1, буква а) от Регламент (ЕС) 2022/2065.
5. Въз основа на заключенията относно всички одитирани ангажименти одитният доклад включва одитно становище или становища, според случая, относно спазването от страна на одитирания доставчик на всички одитирани ангажименти, поети от него съгласно всички кодекси за поведение и протоколи при кризи, посочени в член 37, параграф 1, буква б) от Регламент (ЕС) 2022/2065.
6. Одитните становища съгласно параграфи 4 и 5 са:
|
а) |
„положителни“, ако одитиращата организация е достигнала до „положително“ одитно заключение за всички одитирани задължения или ангажименти; |
|
б) |
„положителни с коментари“, ако одитиращата организация е достигнала до поне едно одитно заключение, което е „положително с коментари“ за одитирано задължение или ангажимент, и не е достигнала до „отрицателно“ одитно заключение за нито едно от одитираните задължения или ангажименти; |
|
в) |
„отрицателни“, ако одитиращата организация е достигнала до „отрицателно“ одитно заключение за поне едно одитирано задължение или ангажимент. |
7. Когато според оценката на одитиращата организация доставчикът не е спазил одитирано задължение или ангажимент за ограничен период от време през периода, посочен в член 3, параграф 2, тази оценка се документира надлежно в одитния доклад.
8. Когато одитиращата организация не може да издаде с разумно ниво на увереност одитно заключение съгласно параграф 1 или одитно становище съгласно параграфи 4 и 5, в одитния доклад се включва обяснение на обстоятелствата и причините, поради които такова ниво на увереност не може да бъде постигнато.
РАЗДЕЛ IV
Одитни методики
Член 9
Анализ на одитните рискове
1. Одитният доклад включва обоснован анализ на одитния риск, извършен от одитиращата организация за оценка на спазването от страна на одитирания доставчик на всяко одитирано задължение или ангажимент.
2. Анализът на одитния риск се извършва преди да се изпълнят одитните процедури и се актуализира по време на извършването на одита с оглед на всички нови одитни доказателства, които според професионалната преценка на одитиращата организация променят съществено оценката на одитния риск.
3. При анализа на одитния риск се вземат предвид:
|
а) |
присъщите рискове; |
|
б) |
контролните рискове; |
|
в) |
рисковете от неразкриване. |
4. Анализът на одитния риск се извършва, като се взема предвид:
|
а) |
естеството на одитираната услуга и общественият и икономическият контекст, в който функционира тя, включително вероятността и сериозността на излагане на кризисни ситуации и неочаквани събития; |
|
б) |
естеството на задълженията и ангажиментите; |
|
в) |
друга подходяща информация, включително:
|
Член 10
Подходящи одитни методики
1. Без да се засягат специфичните одитни методики, посочени в членове 13, 14 и 15, одитите се извършват, като се използват подходящи одитни методики, за да се намалят оценените одитни рискове до равнище, което дава възможност на одитиращата организация да достигне до одитни заключения с разумно ниво на увереност.
2. Одитният доклад включва описание на одитните методики, разработени от одитиращата организация преди извършването на каквито и да било одитни процедури, включително най-малко:
|
а) |
критериите за извършване на одит, използвани за оценка на спазването на всяко одитирано задължение или ангажимент, определени въз основа на информация съгласно член 5, параграф 1, буква а), и допустимия праг на същественост, изразен в качествено или количествено отношение, според случая; |
|
б) |
всички изпитвания и съществени аналитични процедури и одитните доказателства, които одитиращата организация възнамерява да използва, за да оцени спазването на всяко одитирано задължение или ангажимент. |
В одитния доклад се включва описание на всички промени в методиките, използвани по време на извършването на одита, в сравнение с методиките, разработени преди изпълняването на одитните процедури.
3. Когато одитиращата организация има основателни съмнения относно информацията, оценена при извършването на одита, по-специално по отношение на информацията, която е била представена от одитирания доставчик, изборът и прилагането на методиката се адаптират така, че да се даде възможност на тази организация да получи необходимите одитни доказателства в съответствие с член 11.
4. Счита се, че основателните съмнения, посочени в параграф 3, възникват по-специално при наличието на някой от следните елементи:
|
а) |
основателни съмнения от страна на одитиращата организация, формулирани въз основа на професионална преценка и скептицизъм при оценката на информацията, включително относно механизмите за вътрешен контрол на одитирания доставчик; |
|
б) |
външни данни, насочващи към одитни рискове, по-специално докладите на Европейския съвет за цифровите услуги, посочени в член 35, параграф 2 от Регламент (ЕС) 2022/2065, насоки на Комисията, включително насоки, посочени в член 35, параграф 3 от същия регламент, и всички други насоки от значение, издадени от Комисията във връзка с прилагането на Регламент (ЕС) 2022/2065, както и одитните доклади, изготвени съгласно кодексите за поведение или протоколите при кризи, посочени в членове 45, 46 и 48 от същия регламент; |
|
в) |
информация, свързана със събития, настъпили по време на извършването на одита, включително кризисни ситуации, които изискват допълнителни действия от одитирания доставчик, за да се гарантира спазването на определени одитирани задължения или ангажименти. |
5. Одитните процедури включват най-малко:
|
а) |
извършването на изпитвания и съществени аналитични процедури за механизмите за вътрешен контрол, които одитираният доставчик е въвел за всяко от одитираните задължения или ангажименти; |
|
б) |
извършването на съществени аналитични процедури за оценка на спазването на всяко одитирано задължение и ангажимент, включително по отношение на алгоритмичните системи; |
|
в) |
извършването на изпитвания, включително по отношение на алгоритмичните системи, относно одитираните задължения и ангажименти, във връзка с които одитиращата организация има основателни съмнения, както е посочено в параграф 4, и относно одитираните задължения и ангажименти, когато одитиращата организация счете за необходимо извършването на изпитвания при избора на методика съгласно параграф 1. |
6. Когато задълженията или ангажиментите, посочени в член 37, параграф 1 от Регламент (ЕС) 2022/2065, изискват одитираният доставчик да докладва публично определена информация, методиките за одит трябва да включват оценка дали докладваната информация не съдържа съществени грешки или пропуски, които в противен случай биха могли да я направят подвеждаща.
Член 11
Качество на одитните доказателства
Одитните заключения и одитните становища се основават на одитни доказателства, които отговарят на следните две изисквания:
|
а) |
уместни са и са достатъчни, за да се намалят одитните рискове, установени в съответствие с член 9, и да се даде възможност на одитиращата организация да представи одитни заключения и становища в съответствие с член 8; |
|
б) |
надеждни са според професионалната преценка и скептицизъм на одитиращата организация. |
Член 12
Методи за формиране на извадки
1. Когато одитните доказателства се основават частично или изцяло на извадка от данни или информация, обемът на извадката и методиката за формиране на извадката се избират с оглед свеждане до минимум на риска от неразкриване и без намеса от страна на одитирания доставчик.
2. Обемът на извадката и методиката за формиране на извадката се избират по начин, който гарантира представителност на данните или информацията, и според случая, като се вземат предвид всички изброени по-долу елементи:
|
а) |
представителността на извадката за периода, посочен в член 3, параграфи 2 и 3; |
|
б) |
съответните промени в одитираната услуга през този период; |
|
в) |
съответните промени в условията, в които се предоставя одитираната услуга през този период; |
|
г) |
съответните характеристики на алгоритмичните системи, когато е приложимо, включително персонализиране въз основа на създаване на профил или други критерии; |
|
д) |
други съответни характеристики или разделения на разглежданите данни, информация и доказателства; |
|
е) |
представяне и подходящ анализ на опасенията, свързани с определени групи, според случая, като малолетни и непълнолетни лица или уязвими групи и малцинства, във връзка с одитираното задължение или ангажимент. |
3. Одитният доклад включва обосновка на избора на обема на извадката и на методиката за формиране на извадката.
Член 13
Специфични методики за одит на спазването на член 34 от Регламент (ЕС) 2022/2065 относно оценката на риска
1. Оценката на спазването от страна на одитирания доставчик на член 34 от Регламент (ЕС) 2022/2065 включва, но не се ограничава до, анализ на всички изброени по-долу елементи:
|
а) |
дали одитираният доставчик добросъвестно е идентифицирал, анализирал и оценил системните рискове в Съюза, посочени в член 34, параграф 1, първа алинея от Регламент (ЕС) 2022/2065, включително чрез оценка:
|
|
б) |
дали оценката на риска е извършена в сроковете, посочени в член 34, параграф 1, втора алинея от Регламент (ЕС) 2022/2065, и когато е приложимо, в сроковете, определени за дейностите, установени като мерки за смекчаване на риска, за откриването на системни рискове съгласно член 35, параграф 1, буква е) от посочения регламент; |
|
в) |
как одитираният доставчик е идентифицирал преди внедряването функциите, които е вероятно да имат критично въздействие върху рисковете, за които се извършват оценки на риска в съответствие с член 34, параграф 1, втора алинея от Регламент (ЕС) 2022/2065, дали тези функции са били правилно идентифицирани и дали оценката на риска е била извършена по подходящ начин; |
|
г) |
дали одитираният доставчик е определил правилно подкрепящата документация, която следва да бъде съхранена по отношение на оценката на риска, и дали е въвел необходимите средства, за да гарантира съхраняването на тази документация в продължение на най-малко три години съгласно член 34, параграф 3 от Регламент (ЕС) 2022/2065, както и дали документацията е била съхранена по съответния начин. |
2. Без да се засягат други анализи, необходими за постигане на разумно ниво на увереност, методиките за одит на спазването на член 34 от Регламент (ЕС) 2022/2065 включват най-малко оценка от страна на одитиращата организация на следните елементи:
|
а) |
механизмите за вътрешен контрол, които одитираният доставчик е въвел за наблюдение на извършването на оценки на риска по отношение на всеки фактор, посочен в член 34, параграф 2, първа алинея от Регламент (ЕС) 2022/2065; тази оценка:
|
|
б) |
действията, средствата и процесите, въведени от одитирания доставчик, за да се гарантира спазването на член 34 от Регламент (ЕС) 2022/2065, и резултатите от тях; тази оценка се основава на:
|
3. Информацията, анализирана от одитиращата организация в подкрепа на оценката, извършена съгласно настоящия член, включва, но не се ограничава до:
|
а) |
доклада за оценка на риска за съответния одитиран период, изготвен от одитирания доставчик, включително, когато е необходимо, поверителна информация, която не е част от информацията, публикувана съгласно член 42, параграф 2 от посочения регламент, и всички подкрепящи документи; |
|
б) |
когато е приложимо, други доклади за оценки на риска на одитирания доставчик и подкрепящите ги документи; |
|
в) |
информацията, предоставена от одитирания доставчик съгласно член 5; |
|
г) |
всички съответни доклади за прозрачност на одитирания доставчик, посочени в член 15, параграф 1 от Регламент (ЕС) 2022/2065; |
|
д) |
всякакви други резултати от изпитвания, документация, доказателства, изявления, направени в отговор на писмени или устни въпроси, отправени от одитиращата организация към персонала на одитирания доставчик, както и наблюдения, направени на място, когато е приложимо; |
|
е) |
други относими доказателства, включително въз основа на информация, предоставена от одитирания доставчик; |
|
ж) |
когато са налични — докладите, посочени в член 35, параграф 2 от Регламент (ЕС) 2022/2065, и насоки от Комисията, включително насоките, издадени съгласно член 35, параграф 3 от посочения регламент, и всички други съответни насоки, издадени от Комисията във връзка с прилагането на Регламент (ЕС) 2022/2065. |
4. Информацията, анализирана от одитиращата организация, може да включва, според случая, информацията, посочена в член 42, параграф 4 от Регламент (ЕС) 2022/2065, включително от одитни доклади, доклади за оценка на риска и доклади за смекчаване на рисковете, относно други много големи онлайн платформи или много големи онлайн търсачки или данни и научни изследвания, направени публично достъпни от одобрени изследователи съгласно член 40, параграф 8, буква ж) от регламента.
Член 14
Специфични методики за одит на спазването на член 35 от Регламент (ЕС) 2022/2065 относно смекчаването на рисковете
1. Оценката на спазването от страна на одитирания доставчик на член 35 от Регламент (ЕС) 2022/2065 включва, но не се ограничава до, анализ на всички изброени по-долу елементи:
|
а) |
как одитираният доставчик е определил мерки за смекчаване на рисковете за всеки от системните рискове, посочени в член 34, параграф 1 от Регламент (ЕС) 2022/2065, и дали определянето на такива мерки за смекчаване на рисковете е извършено добросъвестно; |
|
б) |
как одитираният доставчик е оценил дали мерките за смекчаване на рисковете по член 35, параграф 1, букви а)—к) от Регламент (ЕС) 2022/2065 са приложими за одитираната услуга и дали заключението от тази оценка е подходящо, включително по отношение на мерките, които не са били приложени от одитирания доставчик; |
|
в) |
дали мерките за смекчаване на риска, въведени от одитирания доставчик, са разумни, пропорционални и ефективни за смекчаване на съответните рискове, включително чрез:
|
2. Без да се засягат други анализи, необходими за постигане на разумно ниво на увереност, методиките за одит на спазването на член 35 от Регламент (ЕС) 2022/2065 включват най-малко оценка от страна на одитиращата организация на следните елементи:
|
а) |
механизмите за вътрешен контрол, които одитираният доставчик е въвел, за да наблюдава прилагането на мерките за смекчаване на рисковете, посочени в член 35, параграф 1 от Регламент (ЕС) 2022/2065, и дали те са разумни, пропорционални и ефективни; тази оценка:
|
|
б) |
мерките за смекчаване на последиците, въведени от одитираните доставчици; тази оценка се основава на:
|
3. Информацията, анализирана от одитиращата организация в подкрепа на оценката, извършена съгласно настоящия член, включва, но не се ограничава до:
|
а) |
докладите за оценка на риска и смекчаване на рисковете за съответния одитиран период, изготвени от одитирания доставчик, включително, когато е необходимо, поверителна информация, която не е част от информацията, публикувана съгласно член 42, параграф 2 от Регламент (ЕС) 2022/2065, и всички подкрепящи документи; |
|
б) |
когато е приложимо, други доклади за оценка на риска и смекчаване на рисковете на одитирания доставчик и подкрепящите документи; |
|
в) |
информацията, предоставена от одитирания доставчик съгласно член 5; |
|
г) |
всички съответни доклади за прозрачност на одитирания доставчик, посочени в член 15, параграф 1 от Регламент (ЕС) 2022/2065; |
|
д) |
когато е приложимо, предишни доклади за смекчаване на рисковете и подкрепящите документи, отнасящи се до периоди, които не са обхванати от одитирания период, включително, когато е необходимо, поверителна информация, която не е част от информацията, публикувана съгласно член 42, параграф 2 от Регламент (ЕС) 2022/2065; |
|
е) |
всякакви други резултати от изпитвания, документация, доказателства, изявления, направени в отговор на писмени или устни въпроси, отправени от одитиращата организация към персонала на одитирания доставчик, както и наблюдения, направени на място, когато е приложимо; |
|
ж) |
други относими доказателства, включително въз основа на информация, предоставена от одитирания доставчик; |
|
з) |
когато са налични — докладите, посочени в член 35, параграф 2 от Регламент (ЕС) 2022/2065, и насоки от Комисията, включително насоките, издадени съгласно член 35, параграф 3 от посочения регламент, и всички други съответни насоки, издадени от Комисията във връзка с прилагането на Регламент (ЕС) 2022/2065. |
4. Информацията, анализирана от одитиращата организация, може да включва, според случая, информацията, посочена в член 42, параграф 4 от Регламент (ЕС) 2022/2065, включително от одитни доклади, доклади за оценка на риска и доклади за смекчаване на рисковете, относно други много големи онлайн платформи или много големи онлайн търсачки или данни и научни изследвания, направени публично достъпни от одобрени изследователи съгласно член 40, параграф 8, буква ж) от Регламент (ЕС) 2022/2065.
Член 15
Специфични методики за одит на спазването на член 36 от Регламент (ЕС) 2022/2065 относно механизма за реагиране при кризи
1. Оценката на спазването от страна на одитирания доставчик на член 36, параграф 1, първа алинея, буква а) от Регламент (ЕС) 2022/2065 включва, но не се ограничава до, анализ на това дали и как одитираният доставчик е изпълнил необходимите действия, по-специално:
|
а) |
дали и как одитираният доставчик е определил съответните системи, участващи във функционирането и използването на неговите услуги, които значително допринасят за сериозната заплаха, и дали тези системи са били определени по подходящ начин; |
|
б) |
дали и как одитираният доставчик е определил и наблюдавал значителния принос към сериозната заплаха и дали неговата оценка е била подходяща; |
|
в) |
всяко друго изискване, посочено в решението на Комисията, упоменато в член 36, параграф 1 или параграф 7, втора алинея от Регламент (ЕС) 2022/2065, според случая. |
2. Оценката на спазването от страна на одитирания доставчик на член 36, параграф 1, първа алинея, буква б) от Регламент (ЕС) 2022/2065 включва, но не се ограничава до, анализ на това дали и как одитираният доставчик е изпълнил необходимите действия, по-специално:
|
а) |
дали и как одитираният доставчик е установил мерки за предотвратяване, премахване или ограничаване на всякакъв принос към сериозната заплаха; |
|
б) |
дали и как мерките, предприети от одитирания доставчик, са били съобразени със степента на сериозната заплаха, неотложността и дали мерките са били подходящи в това отношение; |
|
в) |
дали и как одитираният доставчик е установил лицата, засегнати от мерките, и техните законни интереси и как одитираният доставчик е оценил действителното или вероятното въздействие на мерките върху правата, включително основните права, и законните интереси на тези лица; |
|
г) |
дали мерките, предприети от одитирания доставчик, са ефективни и пропорционални; |
|
д) |
всяко друго изискване, посочено в решението на Комисията, упоменато в член 36, параграф 1 или параграф 7, втора алинея от Регламент (ЕС) 2022/2065, според случая. |
3. Оценката на спазването от страна на одитирания доставчик на член 36, параграф 1, първа алинея, буква в) от Регламент (ЕС) 2022/2065 включва, но не се ограничава до, анализ на това как одитираният доставчик е изпълнил необходимото действие, по-специално дали одитираният доставчик е предоставил на Комисията информацията, изисквана в решението на Комисията, посочено в член 36, параграф 1 или параграф 7, втора алинея от Регламент (ЕС) 2022/2065, и дали тези доклади са били точни.
Член 16
Извършване на одит на спазването на член 37 от Регламент (ЕС) 2022/2065 относно независимия одит
1. Спазването на задълженията, определени в член 37 от Регламент (ЕС) 2022/2065 и в настоящия регламент, се оценява във връзка с одита или одитите, извършени за годишния период, предхождащ този на текущия одит.
2. В допълнение към параграф 1 одитът включва оценка на спазването от страна на одитирания доставчик на член 37, параграф 2 от Регламент (ЕС) 2022/2065 по отношение на текущия одит.
3. Когато предишният одит или одити, посочени в параграф 1, са били извършени от същата одитираща организация като текущия одит или когато одитиращата организация, извършваща текущия одит, включва поне едно юридическо лице, което е участвало в предишния одит, в одитния доклад се включва обяснение на стъпките, предприети от одитиращата организация, за да бъде гарантирана обективността на оценката.
Член 17
Извършване на одит на спазването на кодексите за поведение и протоколите при кризи
1. Одитираният доставчик предоставя на одитиращата организация:
|
а) |
списък с всички кодекси за поведение, посочени в членове 45 и 46 от Регламент (ЕС) 2022/2065, и протоколи при кризи, посочени в член 48 от същия регламент, които одитираният доставчик е подписал, и техния текст; |
|
б) |
подробен списък с ангажиментите в рамките на тези кодекси за поведение и протоколи при кризи, които одитираният доставчик е поел; |
|
в) |
когато е приложимо, ключовите показатели за изпълнението, договорени съгласно всеки кодекс за поведение и протокол при кризи; |
|
г) |
когато е приложимо, всички налични измервания, данни и документация, както и всички доклади, изготвени от одитирания доставчик във връзка със спазването от негова страна на поетите ангажименти, включително достъп до цялата относима информация и данни, свързани с функционирането на услугите, предлагани от одитирания доставчик, които имат отношение към прилагането на кодекса за поведение или протокола при кризи; |
|
д) |
когато е приложимо, други измервания, данни и документация, изготвени от подписалите кодекса за поведение или протокола при кризи, и оценките на Комисията или Европейския съвет за цифровите услуги, посочени в член 45, параграф 4 от Регламент (ЕС) 2022/2065. |
2. Оценката на спазването от страна на одитирания доставчик на кодексите за поведение, посочени в член 45 от Регламент (ЕС) 2022/2065, включва, но не се ограничава до, измерването на ключовите показатели за изпълнението, договорени в кодекса за поведение съгласно член 45, параграф 3 от посочения регламент, като се определя прагът на същественост на одитните заключения, и дали докладваните данни са точни.
РАЗДЕЛ V
Заключителни разпоредби
Член 18
Влизане в сила
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
Съставено в Брюксел на 20 октомври 2023 година.
За Комисията
Председател
Ursula VON DER LEYEN
ПРИЛОЖЕНИЕ I
ОБРАЗЕЦ НА ОДИТНИЯ ДОКЛАД, ПОСОЧЕН В ЧЛЕН 6
Съдържание
|
РАЗДЕЛ Б: Одитираща(и) организация(и) За да попълните раздела по-долу, добавете толкова редове, колкото са необходими за всяка точка. |
||||||||||||||||||||||||||||||
|
|
РАЗДЕЛ Е.1: Трети страни, с които са проведени консултации Повторете този раздел за всяка трета страна, с която са проведени консултации, като увеличавате номера на раздела с едно (например Е.1, Е.2 и т.н.). |
||||||||
|
|
РАЗДЕЛ Ж: Всяка друга информация, която одитиращият орган желае да включи в одиторския доклад (като например описание на възможните присъщи ограничения). |
|
|
|
|
Включете толкова редове, колкото са необходими в съответствие с разпределението на отговорностите и упълномощаването, както е посочено в член 7, параграф 1, буква б) |
|
Дата: … |
Подписано от: … |
|
Място: … |
От името на: … |
|
|
Отговаря за: … |
Приложения към одитния доклад (според случая):
Документи, поискани съгласно член 7, параграф 2 от настоящия регламент.
Документи, свързани с анализа на одитните рискове съгласно член 9 от настоящия регламент.
Документи, удостоверяващи, че одитиращата организация спазва задълженията, определени в член 37, параграф 3, буква а) от Регламент (ЕС) 2022/2065.
Документи, удостоверяващи, че одитиращата организация спазва задълженията, определени в член 37, параграф 3, буква б) от Регламент (ЕС) 2022/2065.
Документи, удостоверяващи, че одитиращата организация спазва задълженията, определени в член 37, параграф 3, буква в) от Регламент (ЕС) 2022/2065.
Документация и резултати от всички изпитвания, извършени от одитиращата организация, включително по отношение на алгоритмичните системи на одитирания доставчик.
Кодексите за поведение, посочени в членове 45 и 46 от Регламент (ЕС) 2022/2065, съгласно които одитираният доставчик е поел ангажименти, включително ясно посочване на всеки поет ангажимент и всеки договорен ключов показател за изпълнението на този ангажимент.
Протоколите при кризи, посочени в член 48 от Регламент (ЕС) 2022/2065, прилагани от одитирания доставчик.
Всяко друго приложение, което одитиращата организация желае да включи.
ПРИЛОЖЕНИЕ II
ОБРАЗЕЦ НА ДОКЛАДА ЗА ИЗПЪЛНЕНИЕТО НА ОДИТА, ПОСОЧЕН В ЧЛЕН 6
Съдържание
|
РАЗДЕЛ А: Обща информация |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0618 (electronic edition)