Službeni list
Europske unije
HR
Serije L
|
|
Službeni list |
HR Serije L |
|
2024/436 |
2.2.2024 |
DELEGIRANA UREDBA KOMISIJE (EU) 2024/436
оd 20. listopada 2023.
o dopuni Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća utvrđivanjem pravila o provedbi revizija za vrlo velike internetske platforme i vrlo velike internetske tražilice
EUROPSKA KOMISIJA,
uzimajući u obzir Ugovor o funkcioniranju Europske unije,
uzimajući u obzir Uredbu (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama) (1), a posebno njezin članak 37. stavak 7.,
budući da:
|
(1) |
Neovisne revizije važan su alat za nadzor usklađenosti pružatelja vrlo velikih internetskih platformi i vrlo velikih internetskih tražilica s njihovim obvezama iz Uredbe (EU) 2022/2065. Iako su u toj uredbi predviđeni drugi mehanizmi za osiguravanje odgovornosti, među ostalim pojačan javni nadzor izvješćivanja radi transparentnosti i drugi zahtjevi za dostavu podataka, organizacije za neovisnu reviziju imaju posebnu ulogu u ranoj fazi ocjenjivanja usklađenosti tih pružatelja s tom uredbom. Zaključci i nalazi takvih neovisnih revizija i preporuke koje iz njih proizađu mogu smisleno doprinijeti regulatornom nadzoru. Neovisne revizije jedan su od nekoliko izvora informacija i analiza koje regulatori mogu upotrijebiti u obavljanju svoje nadzorne i izvršne uloge. |
|
(2) |
Kako bi se osiguralo da se neovisne revizije provode na djelotvoran, učinkovit, pravovremen i usporediv način od datuma početka primjene Uredbe (EU) 2022/2065, kako je definiran u člancima 92. i 93. te uredbe, Komisija bi trebala utvrditi pravila o provedbi revizija, posebno kad je riječ o pravnim obvezama pružatelja nad kojima se provodi revizija i postupovnim koracima kojima se osigurava da organizacije koje provode revizije ispunjavaju uvjete koji se odnose na neovisnost, nepostojanje sukoba interesa, stručno znanje i profesionalnu etiku iz članka 37. stavka 3. Uredbe (EU) 2022/2065. |
|
(3) |
Kako bi se olakšala odgovarajuća provedba revizija s visokom razinom stručnog znanja i spriječile neželjene posljedice na tržištu za usluge revizije, valja pojasniti da revizije koje se provode u skladu s člankom 37. Uredbe (EU) 2022/2065 može provoditi više revizora. Ako je to potrebno, primjerice zbog potrebe za posebnim stručnim znanjem pri reviziji određenih obveza, kao što su one koje se odnose na dizajn i funkcioniranje algoritamskih sustava, razumijevanje rizika za temeljna prava ili širenje nezakonitog sadržaja, pružatelj nad kojim se provodi revizija može sklopiti ugovore s više revizijskih organizacija ili s konzorcijem organizacija radi provedbe revizije. Revizijske organizacije isto tako mogu podugovoriti potrebno stručno znanje, pod uvjetom da i revizijska organizacija i podugovaratelji ispunjavaju potrebne uvjete koji se odnose na neovisnost, nepostojanje sukoba interesa, dokazanu objektivnost i profesionalnu etiku te da zajednički ispunjavaju uvjete koji se odnose na tehničko stručno znanje. U tim slučajevima pružatelj nad kojim se provodi revizija i dalje bi trebao osigurati da se revizija njegove usklađenosti sa svim obvezama iz članka 37. stavka 1. Uredbe (EU) 2022/2065 provede barem jednom godišnje. |
|
(4) |
Revizorska mišljenja iz članka 37. stavka 4. točke (g) Uredbe (EU) 2022/2065 revizijske organizacije trebale bi iznijeti uz razumnu razinu jamstva. Da bi se dosegla razumna razina jamstva, revizijska organizacija trebala bi biti vrlo, ali ne i apsolutno uvjerena da nije bilo pogrešnog prikazivanja, kao što je izostavljanje, krivo tumačenje ili pogreška, koje nije otkriveno u reviziji. Da bi se osigurala ta razina jamstva, revizijska organizacija trebala bi u svojoj ocjeni, među ostalim, pribaviti dostatne dokaze i primijeniti odgovarajuće revizijske metodologije. |
|
(5) |
U skladu s člankom 37. stavkom 1. Uredbe (EU) 2022/2065 neovisne revizije trebale bi se provoditi barem jednom godišnje paralelno s godišnjim ciklusom procjene rizika iz članka 34. te uredbe. Međutim, možda će u određenim slučajevima biti potrebne češće revizije. Slijedom revizija trebao bi se osigurati kontinuirani nadzor usklađenosti pružatelja nad kojima se provodi revizija s Uredbom (EU) 2022/2065 te relevantnim kodeksima ponašanja i kriznim protokolima. Pružatelj nad kojim se provodi revizija trebao bi se pobrinuti da razdoblje za koje se određenom revizijom ocjenjuje usklađenost s obvezama koje su predmet revizije nadopunjuje razdoblje obuhvaćeno prethodnom revizijom usklađenosti pružatelja s tim obvezama i da započne najkasnije kad je razdoblje obuhvaćeno prethodnom revizijom završilo. S obzirom na to da zaključak revizije uključuje procjenu koju je provela revizijska organizacija i sastavljanje izvješća o reviziji, pružatelji nad kojima se provodi revizija trebali bi se pobrinuti da trajanje revizije omogućuje da se revizije zaključe najmanje jednom godišnje i da podnošenje izvješća o reviziji Komisiji i koordinatoru za digitalne usluge slijedi bez nepotrebne odgode, u skladu s člankom 42. stavkom 4. Uredbe (EU) 2022/2065. |
|
(6) |
Iako se pružatelji nad kojima se provodi revizija ni u kojem slučaju ne smiju uplitati u provedbu i zaključke revizije, trebali bi ispuniti svoje obveze iz članka 37. Uredbe (EU) 2022/2065, među ostalim tako što će dogovoriti ugovorne uvjete s revizijskom organizacijom i prije odabira revizijske organizacije provjeriti da ta organizacija ispunjava uvjete iz članka 37. stavka 3. Uredbe (EU) 2022/2065. |
|
(7) |
Pružatelj nad kojim se provodi revizija trebao bi, primjerice, ocijeniti ugovore koje je prethodno sklopio s revizijskom organizacijom ili ugovore koje je revizijska organizacija sklopila s pravnim osobama povezanima s tim pružateljem. Pružatelj nad kojim se provodi revizija trebao bi u ugovore s revizijskim organizacijama uključiti i klauzule kojima se jamči poštovanje uvjeta iz članka 37. stavka 3. Uredbe (EU) 2022/2065. Ako se revizijska organizacija sastoji od nekoliko subjekata, pružatelj nad kojim se provodi revizija trebao bi utvrditi da svi ti subjekti ispunjavaju navedene uvjete, među ostalim, prema potrebi, svi podugovaratelji koje je revizijska organizacija angažirala za pružanje bilo kakve potpore provedbi revizije. Dok bi svaki subjekt koji provodi reviziju trebao pojedinačno ispuniti zahtjeve o neovisnosti i zahtjeve o nepostojanju sukoba interesa, svi subjekti trebali bi zajednički ispuniti zahtjeve koji se odnose na kompetencije, stručno znanje ili tehničke resurse, čime bi se različitim subjektima omogućilo da provedu različite dijelove revizije i doprinesu sposobnostima, kompetencijama i stručnim znanjem potrebnima za provedbu revizije. U izvješću o reviziji trebalo bi navesti za koje je dijelove revizije svaki od tih subjekata odgovoran. |
|
(8) |
U skladu s člankom 37. stavkom 3. točkom (a) podtočkom i. Uredbe (EU) 2022/2065 pružatelj nad kojim se provodi revizija, kad provjerava ispunjava li revizijska organizacija zahtjeve o neovisnosti i zahtjeve o nepostojanju sukoba interesa, trebao bi posvetiti posebnu pozornost tome da revizijska organizacija ne pruža nerevizorske usluge pružatelju nad kojim se provodi revizija. Pružatelj nad kojim se provodi revizija trebao bi, na primjer, ocijeniti jesu li pružene usluge, kao što su usluge povezane s bilo kojim sustavom, softverom ili procesom uključenim u pitanja relevantna za obvezu koja je predmet revizije, primjerice savjetodavne usluge za procjenu uspješnosti, upravljanja i softvera, usluge osposobljavanja, razvoj ili održavanje sustava ili podugovaranje moderiranja sadržaja. Te usluge uključuju i usluge pružene pružatelju nad kojim se provodi revizija koje uključuju savjetovanje o internim kontrolama ili razvoj takvih kontrola, odnosno ocjenjivanje, u interne svrhe, usklađenosti pružatelja nad kojim se provodi revizija s Uredbom (EU) 2022/2065 ili kodeksima ponašanja i kriznim protokolima, među ostalim i kad je to ograničeno na konkretne testove uskog područja, kao što je test učinkovitosti sustava za moderiranje sadržaja koji provodi treća strana. Time ne bi trebalo isključiti revizorske organizacije koje su provele zakonske financijske revizije. |
|
(9) |
S obzirom na složenost i posebnu prirodu revizija usklađenosti za Uredbu (EU) 2022/2065 stručno znanje revizijske organizacije ključno je za provedbu revizija s razumnom razinom jamstva te za profesionalnu prosudbu i skepticizam koji toj organizaciji omogućuju da, na primjer, utvrdi koje su joj informacije potrebne da provede revizijske postupke ili da ospori proturječne informacije. Stoga bi pružatelj nad kojim se provodi revizija trebao provjeriti raspolaže li revizijska organizacija takvim stručnim znanjem, među ostalim u području upravljanja rizikom, u pogledu revizijskih rizika i predmeta Uredbe (EU) 2022/2065, a posebno sistemskih društvenih rizika iz članka 34. te uredbe. Osim toga, pružatelj nad kojim se provodi revizija trebao bi provjeriti tehničke kompetencije i sposobnosti revizijske organizacije s obzirom na konkretnu uslugu obuhvaćenu revizijom, uključujući njezino stručno znanje, primjerice u pogledu funkcioniranja i učinaka algoritamskih sustava kao što su sustavi za preporučivanje i drugi socijalno-tehnički sustavi pružatelja. Revizijska organizacija trebala bi imati mogućnost podugovaranja ili neki drugi način da stekne i primijeni nužno znanje i sposobnosti, a pružatelj nad kojim se provodi revizija trebao bi provjeriti i osigurati da revizijska organizacija može pravodobno steći to stručno znanje i sposobnosti za obavljanje revizije. |
|
(10) |
Pri provjeri ispunjavaju li revizijske organizacije uvjete iz članka 37. stavka 3. Uredbe (EU) 2022/2065 pružatelj nad kojim se provodi revizija trebao bi ocijeniti relevantne dokaze, prema potrebi certifikate, izjave i izvješća o reviziji koja je izdala revizijska organizacija. Odgovarajuće stručno znanje moglo bi se dokazati, primjerice, praktičnim iskustvom u procjeni rizika i upravljanju rizicima, kao i akademskim aktivnostima, znanstvenim publikacijama i iskustvom u relevantnim revizijama. Izvješća o reviziji trebala bi sadržavati svu relevantnu popratnu dokumentaciju kojom se potvrđuje da revizijska organizacija ispunjava potrebne uvjete. |
|
(11) |
U skladu s člankom 37. stavkom 2. Uredbe (EU) 2022/2065 pružatelj nad kojim se provodi revizija treba revizijskoj organizaciji pružiti svu potrebnu suradnju i pomoć kako bi reviziju provela djelotvorno, učinkovito i pravodobno i pritom se suzdržati od bilo kakvog uplitanja u neovisne odluke revizijske organizacije. Primjerice, pružatelj nad kojim se provodi revizija ne bi se trebao nametati, davati bilo kakve upute ili na neki drugi način utjecati na revizijsku organizaciju putem bilo kakvih ugovornih ili drugih ograničenja ili poticaja kad je riječ o njezinu odabiru i izvršavanju revizijskih postupaka, metodologiji, prikupljanju i obradi informacija i revizijskih dokaza, analizi, ispitivanjima, revizorskom mišljenju ili izradi zaključaka revizije. |
|
(12) |
Kako bi se zajamčile potrebna suradnja i pomoć za vrijeme revizije, pružatelj nad kojim se provodi revizija trebao bi osigurati da revizijska organizacija ima pristup svim informacijama potrebnima za provedbu revizije. Pružatelj nad kojim se provodi revizija trebao bi što prije dostaviti sve potrebne dokumente i objašnjenja, a u svakom slučaju prije nego što revizijska organizacija počne provoditi revizijske postupke. Primjerice, u skladu s člankom 41. stavkom 3. točkama (d) i (e) Uredbe (EU) 2022/2065 funkcija praćenja usklađenosti pružatelja nad kojim se provodi revizija jest praćenje usklađenosti sa svim obvezama koje su predmet revizije, što bi trebalo dovesti do razrade internih kontrola. Stoga bi revizijskoj organizaciji trebalo dati pristup svim informacijama povezanima s takvim kontrolama i svim drugim informacijama o strategiji pružatelja usluga nad kojim se provodi revizija kako bi se osigurala usklađenost. Točnije, pružatelj nad kojim se provodi revizija trebao bi revizijskoj organizaciji staviti na raspolaganje referentne vrijednosti na koje se oslanja za postizanje usklađenosti s Uredbom (EU) 2022/2065 kako bi ona na tim informacijama mogla temeljiti kriterije revizije. Osim toga, revizijskoj organizaciji trebalo bi dati pristup svim analizama koje je pružatelj revizije možda proveo o inherentnim rizicima i kontrolnim rizicima. Taj bi pružatelj trebao revizijskoj organizaciji staviti na raspolaganje informacije koje olakšavaju razumijevanje usluge koja je predmet revizije, njezina upravljanja, stručnosti odgovarajućih timova i struktura za donošenje odluka, uključujući njezinu funkciju praćenja usklađenosti, kao i prezentacije njegovih sustava informacijske tehnologije (IT), struktura podataka i zapisa te međudjelovanje različitih algoritamskih sustava relevantnih za reviziju. |
|
(13) |
Revizijska organizacija trebala bi u bilo kojem trenutku tijekom provedbe revizije moći zatražiti sve druge potrebne informacije. Pristup tim informacijama trebao bi se omogućiti bez nepotrebne odgode na način kojim se nikako ne ometa provedba revizije. To bi prema potrebi trebalo uključivati pristup podacima, među ostalim osobnim podacima, prikupljenima iz raznih izvora, kao što su dokumenti, algoritamski sustavi, baze podataka ili razgovori. Pružatelj nad kojim se provodi revizija trebao bi revizijskoj organizaciji omogućiti i pristup postupcima i procesima te IT sustavima, kao što su algoritamski i informacijski sustavi, uključujući okruženja za testiranje. Da bi revizijska organizacija mogla smisleno provjeriti takve sustave, pružatelj nad kojim se provodi revizija trebao bi joj staviti na raspolaganje sve potrebne resurse koji joj mogu pomoći da pristupi sustavima i ocijeni ih, primjerice tako da joj stavi na raspolaganje svoje stručno osoblje koje će odgovarati na pitanja ili upravljati okruženjima za testiranje i objasniti njihovo funkcioniranje, odnosno trebao bi omogućiti sav drugi potreban pristup osoblju i objektima, kao što su zgrade. Pristup postupcima i procesima mogao bi podrazumijevati, na primjer, pristup opisima ili dokumentima koji se odnose na interni postupak donošenja odluka pružatelja nad kojim se provodi revizija. Pristup relevantnim informacijama mogao bi zahtijevati i druge pomoćne radnje pružatelja nad kojim se provodi revizija potrebne da bi ispunio svoju obvezu suradnje i pomoći. Primjerice, pružatelj nad kojim se provodi revizija možda će trebati osigurati sigurne objekte za razgovore s osobljem. Ako je to potrebno za provedbu revizije, pružatelji usluga nad kojima se provodi revizija trebali bi ispuniti obvezu suradnje i pomoći prema revizijskoj organizaciji, među ostalim olakšavanjem pristupa relevantnim podacima o svojim operacijama koji su u posjedu njihovih vanjskih suradnika. To se može, primjerice, odnositi na rezultate mjera moderiranja sadržaja, materijale za osposobljavanje ili upute koje prate vanjski izvođači koji moderiraju sadržaj ili prodavači i pružatelji usluga za informatička rješenja, među ostalim algoritama i aplikacija koji se upotrebljavaju u sustavima za preporučivanje ili sustavima oglašavanja kojima se koristi pružatelj usluga nad kojim se provodi revizija. |
|
(14) |
Da bi se olakšala smislena transparentnost nalaza revizije te osigurao sveobuhvatan i usporediv oblik izvješća o reviziji iz članka 37. stavka 4. Uredbe (EU) 2022/2065 i izvješća o provedbi revizije iz članka 37. stavka 6. te uredbe, ovom Uredbom trebalo bi utvrditi predloške za ta izvješća i trebalo bi zahtijevati da se svakom izvješću priloži niz priloga. Iako se predlošcima utvrđenima ovom Uredbom zahtijeva sveobuhvatno izvješćivanje, oni ne bi trebali utjecati na zahtjeve u pogledu objavljivanja izvješća iz članka 42. stavaka 4. i 5. Uredbe (EU) 2022/2065. |
|
(15) |
Kako bi se osiguralo da revizijska organizacija dobije svu potrebnu pomoć od pružatelja nad kojim se provodi revizija, bez uplitanja u provedbu revizije, te da revizijska organizacija ispuni sve uvjete za pripremu revizije i izradi izvješće o reviziji pravovremeno i dovoljno kvalitetno da bi se dosegla razumna razina jamstva, trebalo bi s pomoću određenih pravila utvrditi postupke za pripremu revizije. Dužnosti i odgovornosti pružatelja nad kojim se provodi revizija i revizijske organizacije, uključujući sve podugovaratelje ili partnerske organizacije i osoblje odgovorno za provedbu revije, trebalo bi utvrditi pisanim ugovorom, među ostalim ugovornim uvjetima. Pisanim ugovorom trebalo bi također utvrditi obveze koje su predmet revizije, raspodjelu resursa te pravila za interakciju i kontaktne točke između revizijske organizacije i pružatelja nad kojim se provodi revizija. Svu popratnu dokumentaciju i ugovore trebalo bi priložiti uz izvješće o reviziji, među ostalim i kad su dokumenti u obliku pisma o revizijskom angažmanu ili drugih ugovornih uvjeta. |
|
(16) |
Kako bi se dao sveobuhvatan pregled i omogućilo preuzimanje odgovornosti pružatelja nad kojima se provodi revizija, izvješće o reviziji trebalo bi sadržavati zaključak o ocjeni revizijske organizacije o usklađenosti pružatelja nad kojim se provodi revizija sa svakom obvezom koja je bila predmet revizije. Svaki zaključak revizije trebao bi se temeljiti na razumnoj razini jamstva i trebao bi biti „pozitivan”, „pozitivan s komentarima” ili „negativan” kako bi na odgovarajući način doprinio revizorskom mišljenju. Zaključci koji su „pozitivni s komentarima” ne bi se trebali odnositi na samu procjenu usklađenosti. Takvi komentari mogli bi se odnositi na, primjerice, to kako pružatelj daje informacije na zahtjev revizijske organizacije ili na poboljšanja u održavanju ili kontrolama koje je uspostavio pružatelj nad kojim se provodi revizija ili bi se u njima mogli uvažiti dodatni planovi za smanjenje rizika i poboljšanja koje pružatelj namjerava provesti. U svakom slučaju, ako revizijska organizacija smatra da je pružatelj nad kojim se provodi revizija usklađen s obvezom koja je predmet revizije ili obvezom prema referentnim vrijednostima koje je prijavio taj pružatelj, ali smatra da je potrebno uključiti primjedbe o tim referentnim vrijednostima, zaključak revizije trebao bi biti „pozitivan s komentarima” jer bi takvi komentari mogli biti korisna informacija pružatelju o mogućnostima za eventualne promjene njegovih referentnih vrijednosti na temelju znanja i stručnosti revizijske organizacije te informacija iz vanjskih izvora. Na primjer, komentari bi se mogli temeljiti na uputama Komisije, među ostalim smjernicama Komisije iz članka 35. stavka 3. Uredbe (EU) 2022/2065 i svim drugim relevantnim smjernicama koje Komisija izda u vezi s primjenom te uredbe, izvješćima Europskog odbora za digitalne usluge iz članka 35. stavka 2. te uredbe, provedbenim mjerama, odlukama koje je Komisija donijela na temelju te uredbe, relevantnom sudskom praksom, osobito Suda Europske unije, javnim savjetovanjima ili relevantnim mjerodavnim izvorima. |
|
(17) |
Ako je zaključak revizije „negativan”, ali se primjenjuje samo u ograničenom razdoblju, a revizijska organizacija smatra da je pružatelj nad kojim se provodi revizija postupao u skladu s obvezom u preostalom razdoblju obuhvaćenom revizijom, to je potrebno navesti u izvješću o reviziji za svaku predmetnu obvezu da bi se omogućio javni i regulatorni nadzor. Izvješće bi trebalo sadržavati opažanja revizijske organizacije o svim informacijama o postojećim ili planiranim planovima za otklanjanje neusklađenosti koje joj je pružatelj usluga nad kojim se provodi revizija stavio na raspolaganje. |
|
(18) |
S obzirom na različitu prirodu pravnih obveza utvrđenih u poglavlju III. Uredbe (EU) 2022/2065 i dobrovoljnih obveza preuzetih na temelju kodeksa ponašanja i kriznih protokola u skladu s člancima 45., 46. i 48. te uredbe, revizijska organizacija trebala bi izdati revizorska mišljenja o usklađenosti s tim poglavljem te sa svakim kodeksom i protokolom. |
|
(19) |
Kako bi se revizija provela s razumnom razinom jamstva i kako bi se odgovarajući revizijski postupci osmislili u skladu s metodologijama kojima se revizijski rizik svodi na nisku razinu, ključan dio metodologije za provedbu revizije trebala bi biti procjena revizijskih rizika, prvenstveno rizika od toga da revizijska organizacija iznese neprimjereno revizorsko mišljenje ili zaključak. Stoga bi revizijska organizacija trebala ocijeniti revizijski rizik na samom početku revizije, prije osmišljavanja precizne metodologije i provedbe revizijskih postupaka. Analiza revizijskih rizika potrebna je kako bi revizijska organizacija mogla odabrati precizne metodologije za reviziju i utvrditi koliko opsežni moraju biti revizijski postupci da bi se dosegla razumna razina jamstva za revizorsko mišljenje. Revizijska organizacija trebala bi analizirati revizijske rizike za ocjenjivanje usklađenosti sa svakom obvezom koja je predmet revizije, uzimajući u obzir inherentne rizike, kontrolne rizike i rizike neotkrivanja. |
|
(20) |
Da bi se revizijski rizici ispravno procijenili, pri analizi revizijskih rizika trebalo bi uzeti u obzir prirodu usluge obuhvaćene revizijom, osobito njezin profil rizičnosti, te opseg i složenost revizije. Primjerice, izgledno je da će internetske platforme koje omogućuju sklapanje ugovora na daljinu između potrošača imati drukčije inherentne rizike od platformi za razmjenu videosadržaja ili tražilica. Nadalje, potrebno je razmotriti društveni i gospodarski kontekst u kojem se pruža usluga obuhvaćena revizijom, primjerice u pogledu uobičajenih korisničkih skupina kao što su maloljetnici ili učestalog ponašanja kao što je izrazito često nevjerodostojno korištenje uslugom i koordinirano ponašanje u kampanjama dezinformiranja. Društveni i gospodarski kontekst koji je potrebno razmotriti trebao bi također obuhvaćati vjerojatnost i, neovisno od toga, ozbiljnost izloženosti kriznim situacijama i neočekivanim događajima, kako je navedeno u Uredbi (EU) 2022/2065. |
|
(21) |
Kako bi se osiguralo da se u analizi revizijskih rizika uzme u obzir razvoj rizika kojima je usluga izložena, ta bi se analiza trebala temeljiti i na informacijama iz prethodnih revizija pružatelja, ako one postoje, te na informacijama iz izvora kao što su izvješća o reviziji za druge pružatelje sličnog profila rizika. Kako bi se osiguralo da se analiza revizijskih rizika u potpunosti temelji na najnovijim dokazima o rizicima u kontekstima sličnima onima u kojima posluje pružatelj nad kojim se provodi revizija, kao i na mjerodavnim izvorima koji su izravno relevantni za primjenu Uredbe (EU) 2022/2065, u analizi bi se također trebale upotrebljavati informacije iz izvješća Europskog odbora za digitalne usluge ili smjernica Komisije, ako je primjenjivo. Druge informacije mogu uključivati i informacije iz izvješća o reviziji koja su u skladu s člankom 42. stavkom 4. Uredbe (EU) 2022/2065 objavili drugi pružatelji vrlo velikih internetskih platformi ili vrlo velikih internetskih tražilica. |
|
(22) |
Revizijska organizacija trebala bi, bez utjecaja pružatelja nad kojim se provodi revizija, izraditi revizijske metodologije koje će primijeniti da bi ocijenila usklađenost s obvezama koje su predmet revizije. Kriterije revizije trebalo bi temeljiti na informacijama koje je dostavio pružatelj nad kojim se provodi revizija o referentnim vrijednostima koje taj pružatelj koristi za praćenje usklađenosti. U metodologiji se u obzir mogu uzeti druge informacije koje taj pružatelj stavi na raspolaganje, primjerice analiza inherentnih rizika, ako ju je proveo, na primjer u okviru mjera koje su izradili službenik za praćenje usklađenosti ili upravljačko tijelo u skladu s člankom 41. Uredbe (EU) 2022/2065 ili drugih mjera koje su sastavni dio funkcioniranja službe za procjene sistemskih rizika iz članka 34. te uredbe. |
|
(23) |
Kako bi se osiguralo da su revizijske metodologije primjerene za dostizanje razumne razine jamstva za revizorska mišljenja, pri odabiru metodologije za revizijske postupke trebalo bi uzeti u obzir posebnosti obveze koja je predmet revizije i taj bi odabir trebalo prilagoditi prirodi obveze koja je predmet revizije kao obvezu u pogledu sredstava ili obvezu u pogledu rezultata koje pružatelj mora ostvariti kako bi postigao usklađenost. Primjerice, revizijski postupci za ocjenjivanje usklađenosti s obvezama izvješćivanja radi transparentnosti u skladu s člankom 15. Uredbe (EU) 2022/2065 mogli bi revizijskoj organizaciji omogućiti da potvrdi da su izvješća objavljena u rokovima i oblicima propisanima tom uredbom te da su potpuna i da su podaci iz izvješća točni, reprezentativni i prikladno raščlanjeni, na primjer prema kategoriji nezakonitog sadržaja na koji se reagiralo. |
|
(24) |
Odabir metodologije trebao bi ovisiti i o tome zahtijeva li ocjenjivanje usklađenosti kontekstualna tumačenja revizijske organizacije. Odabir metodologija također bi trebalo prilagoditi inherentnim rizicima povezanima s aktivnostima koje se obavljaju pri pružanju usluge i kontekstu u kojem se usluga pruža, primjerice uključuje li usluga prodaju robe koja bi mogla biti nezakonita ili jesu li osobe koje koriste uslugu prvenstveno maloljetnici. Primjerice, metodologije za ocjenjivanje usklađenosti s obvezama uspostavljanja odgovarajućih i razmjernih mjera kako bi se osigurala visoka razina privatnosti, sigurnosti i zaštite maloljetnika u skladu s člankom 28. stavkom 1. Uredbe (EU) 2022/2065 trebale bi revizijskoj organizaciji omogućiti da u dovoljnoj mjeri utvrdi kako maloljetnici koriste uslugu obuhvaćenu revizijom i potencijalne rizike za njihovu privatnost, sigurnost i zaštitu te što čini odgovarajuću i razmjernu mjeru u specifičnom kontekstu usluge obuhvaćene revizijom i njezina korištenja od strane maloljetnika. U tu bi svrhu revizijske organizacije trebale raščlaniti procjenu na odgovarajuće korake. Trebale bi procijeniti revizijske rizike u skladu s profilom rizičnosti pružatelja nad kojim se provodi revizija, osobito time je li dostupan maloljetnicima ili ga uglavnom upotrebljavaju. Trebale bi, na primjer, procijeniti je li pružatelj uspostavio alate za provjeru dobi, jesu li oni djelotvorni i kako pružatelj nad kojim se provodi revizija procjenjuje i prati njihovu djelotvornost. Trebale bi procijeniti je li pružatelj uspostavio odgovarajuće mjere za otkrivanje štetne uporabe njihove usluge i obrazaca ponašanja kojima se nastoji ili koji će vjerojatno štetiti maloljetnicima. |
|
(25) |
Odabir metodologija trebalo bi prilagoditi kontrolnim rizicima povezanima s mjerama usklađenosti koje je uspostavio pružatelj nad kojim se provodi revizija, kao i rizicima neotkrivanja, prvenstveno riziku od neotkrivanja pogrešnog prikazivanja u informacijama koje pružatelj stavi na raspolaganje revizijskoj organizaciji. Primjerice, ako bi obveza koja je predmet revizije mogla uključivati reviziju algoritamskog sustava koji se temelji na personalizaciji za pojedinačne primatelje usluge obuhvaćene revizijom i na redovitom ažuriranju algoritamskog sustava, kao što su obveze otkrivanja informacija za sustave za preporučivanje u skladu s člankom 27. Uredbe (EU) 2022/2065, odabir metodologije trebao bi revizijskoj organizaciji omogućiti da oblikuje odgovarajuće testove kako bi se rizici neotkrivanja sveli na najmanju moguću mjeru. Slično tome, ako organizacija za reviziju nastoji procijeniti jesu li svi relevantni rizici ublaženi pri osmišljavanju, funkcioniranju i upotrebi aplikacija na temelju opsežnih jezičnih modela, kao što su funkcionalnosti razgovora ili sustavi za preporučivanje koje je uveo revidirani pružatelj, organizacija za reviziju prvo bi trebala procijeniti primjerenost kontrola koje je uspostavio pružatelj usluga. Odabir testova trebao bi se temeljiti na pouzdanosti tih internih kontrola. Revizijski postupci trebali bi se temeljiti na kombinaciji metodologija, osobito u slučajevima kad su interne kontrole slabe, nepotpune ili nedovoljno jasne da bi se ocijenilo poštuju li se pravila s obzirom na populaciju primatelja usluge obuhvaćenih revizijom. Primjerice, metodologije bi mogle uključivati dokazne analitičke postupke, kao što je analiza interakcija između svih algoritamskih sustava uključenih u sustave za preporučivanje te povezanih pravila i postupaka za donošenje odluka kojima se utvrđuju glavni parametri tih sustava za preporučivanje, te opažanje digitalnih zapisa i evidencija. Metodologije bi također trebale obuhvaćati testove sustava, kao što su testovi u simuliranim okruženjima. |
|
(26) |
Kako bi se osiguralo da je metodologija relevantna i prilagođena novim nalazima za vrijeme revizije, odabir metodologija trebao bi se temeljiti na profesionalnoj prosudbi revizijske organizacije i trebalo bi ga prilagoditi tim novim nalazima, posebno kad revizijska organizacija osnovano sumnja u informacije koje je dostavio pružatelj nad kojim se provodi revizija. Profesionalni skepticizam revizijske organizacije trebao bi se temeljiti na njezinu stručnom znanju te na drugim izvorima informacija koji su posebno relevantni za primjenu Uredbe (EU) 2022/2065, kao što su izvješća Europskog odbora za digitalne usluge, upute Komisije, izvješća o reviziji izdana na temelju kodeksa ponašanja i kriznih protokola iz članaka 45., 46. i 48. te uredbe ili informacije koje se otkriju za vrijeme revizije, među ostalim kad su povezane s događajima, posebno kriznim situacijama, koji zahtijevaju dodatne radnje pružatelja nad kojim se provodi revizija da bi osigurao usklađenost s određenim obvezama koje su predmet revizije. |
|
(27) |
Kako bi osigurale prikupljanje dostatnih revizijskih dokaza za vrijeme revizije, revizijske organizacije trebale bi ujedno ocijeniti interne kontrole pružatelja nad kojim se provodi revizija i provesti dokazne revizijske postupke radi ocjenjivanja usklađenosti pružatelja nad kojim se provodi revizija. Revizijska organizacija trebala bi u određenim slučajevima i provesti testove. |
|
(28) |
S obzirom na složenost algoritamskih sustava koje upotrebljavaju pružatelji internetskih platformi i njihovu važnu ulogu za usklađenost s obvezama utvrđenima u Uredbi (EU) 2022/2065, potrebno je posvetiti posebnu pozornost potrebnim i odgovarajućim metodološkim odabirima za reviziju algoritamskih sustava. To je primjenjivo kad su algoritamski sustavi dio kontrola koje je uspostavio pružatelj nad kojim se provodi revizija i kad su sami predmet obveza koje su predmet revizije, recimo u odnosu na sustave za preporučivanje, primjerice u skladu s člancima 27., 34., 35. i 38. Uredbe (EU) 2022/2065, ili sustave oglašavanja, primjerice u skladu s člancima 26., 28., 34., 35. i 39. te uredbe, sustave za moderiranje sadržaja, primjerice u skladu s člancima 14., 15., 34. i 35. te uredbe ili u odnosu na bilo koji drugi algoritamski sustav koji doprinosi rizicima iz članka 34. te uredbe. |
|
(29) |
Trebalo bi upotrebljavati i kombinaciju dokaznih analitičkih postupaka, među ostalim, prema potrebi, na temelju opažanja procesa i aktivnosti pružatelja nad kojim se provodi revizija pri dizajniranju, razvijanju, testiranju i praćenju algoritamskih sustava te upravljanju njima ili na temelju opažanja digitalnih zapisa i evidencija iz sustava. Metodologije bi trebalo prilagoditi posebnostima algoritamskih sustava, među ostalim njihovu upravljanju, interakcijama između različitih algoritamskih sustava, ali i s povezanim sustavima za upravljanje podacima, te tehnologijama na kojima se ti algoritamski sustavi temelje, kao što su generativni modeli ili drugi klasifikatori, algoritmi za odabir ili algoritmi za pretraživanja. |
|
(30) |
Nadalje, revizijske metodologije za algoritamske sustave trebale bi uključivati testove, primjerice, radi prikupljanja informacija koje pružatelj nad kojim se provodi revizija nije prethodno dokumentirao ili radi neovisnog reproduciranja i procjene rezultata pokazatelja točnosti, testove u izoliranim ili simuliranim okruženjima ili testove u proizvodnim sustavima, među ostalim putem prikupljanja podataka ili neprijateljskog testiranja. |
|
(31) |
S obzirom na to da je visoka kvaliteta revizijskih dokaza nužan uvjet da revizijska organizacija izradi revizorsko mišljenje s razumnom razinom jamstva, informacije koje revizijska organizacija odluči upotrijebiti kao revizijske dokaze trebale bi biti primjerene i dostatne za smanjenje revizijskih rizika. Osim toga, revizijski dokazi trebali bi biti pouzdani na temelju profesionalne prosudbe i skepticizma revizijske organizacije i, prema potrebi, na temelju alternativnih izvora informacija. Profesionalna prosudba i skepticizam trebali bi uključivati kritično ocjenjivanje revizijskih dokaza i potencijalnog pogrešnog prikazivanja. Ti standardi kvalitete trebali bi se primjenjivati na sve revizijske dokaze, neovisno o tome je li ih dostavio pružatelj nad kojim se provodi revizija ili su prikupljeni iz drugih izvora. |
|
(32) |
Revizijska organizacija trebala bi razmotriti niz izvora informacija a mogli bi uključivati, primjerice, razgovore s osobljem ili podugovarateljima pružatelja nad kojim se provodi revizija, među ostalim službenicima za praćenje usklađenosti, inženjerima, podatkovnim znanstvenicima, softverskim arhitektima ili članovima timova za internu reviziju. Mogli bi uključivati i tehničku dokumentaciju o dizajnu, provedbi, testiranju i praćenju relevantnog sustava, među ostalim o kvaliteti podataka i upravljanju podacima te o ažuriranjima i verzijama sustava, te druge dokumente o postupcima upravljanja i donošenja odluka pružatelja nad kojim se provodi revizija, među ostalim s obzirom na prioritete, resurse, raspodjelu zadaća i odgovornosti ili stručno znanje relevantnog osoblja. |
|
(33) |
Kako bi se osigurale učinkovitost i razmjernost u provedbi revizije, revizijskoj organizaciji trebalo bi omogućiti uzorkovanje podataka i informacija, pri čemu mora obratiti pažnju na to da pronađe reprezentativni uzorak, kako bi mogla izdati revizorsko mišljenje s razumnom razinom jamstva. Kako bi se osigurale transparentnost i ponovljivost revizijskih postupaka, revizijska organizacija trebala bi u izvješću o reviziji objasniti odabir veličine uzorka i metode uzorkovanja. Primjerice, veličinu uzorka i metodologiju trebalo bi odabrati s obzirom na ono što je djelotvorno za ostvarivanje svrhe revizije konkretne obveze koja je predmet revizije i na način da se smanji rizik da se zaključak revizije konkretnog uzorka razlikuje od zaključka do kojeg bi se došlo da se provela revizija svih dokaza. Metodologiju i veličinu uzorka trebalo bi odabrati uzimajući u obzir puni opseg revizije, kao i unutarnje ili vanjske promjene usluge obuhvaćene revizijom u tom razdoblju. Također ih treba prilagoditi posebnostima algoritamskih sustava, među ostalim personalizaciji izradom profila. U okviru toga revizijska organizacija trebala bi, primjerice, na odgovarajući način uzorkovati različite skupine ili particije koje mogu nastati primjenom tehnika personalizacije ili utvrditi dopušteno odstupanje i objasniti zašto je razina tog odstupanja prihvatljiva. |
|
(34) |
S obzirom na novost određenih odredaba Uredbe (EU) 2022/2065 potrebno je utvrditi metodološka načela, uključujući revizijska pitanja i daljnje smjernice za odabir revizijskih metodologija i revizijskih dokaza za potrebe ocjenjivanja usklađenosti s tim odredbama, prvenstveno za ocjenjivanje usklađenosti s člancima 34., 35. i 36. Uredbe (EU) 2022/2065 o provedbi procjena rizika i donošenju mjera za smanjenje rizika od strane pružatelja nad kojima se provodi revizija i o primjeni obveza u vezi s odgovorom na krizu. |
|
(35) |
Budući da bi revizijske organizacije trebale ocijeniti i usklađenost pružatelja nad kojim se provodi revizija s člankom 37. Uredbe (EU) 2022/2065, trebalo bi navesti i dodatne specifikacije za točnu reviziju u odnosu na koju bi trebalo ocijeniti usklađenost, posebno kako bi se izbjegao svaki sukob interesa revizijske organizacije. |
|
(36) |
S obzirom na dobrovoljnu prirodu kodeksa ponašanja i kriznih protokola potrebno je utvrditi posebna pravila za reviziju usklađenosti s člancima 45., 46. i 48. Uredbe (EU) 2022/2065, osobito kako bi se osiguralo da revizijske organizacije raspolažu svim potrebnim informacijama za provedbu revizija specifičnih za obveze iz svakog kodeksa ponašanja i kriznog protokola, |
DONIJELA JE OVU UREDBU:
ODJELJAK I.
Opće odredbe
Članak 1.
Predmet
Ovom se Uredbom utvrđuju pravila o provedbi revizija u skladu s člankom 37. Uredbe (EU) 2022/2065 u pogledu:
|
(a) |
postupovnih koraka kojima se osigurava da revizijska organizacija koja će biti odabrana ispunjava uvjete iz članka 37. stavka 3. Uredbe (EU) 2022/2065; |
|
(b) |
postupovnih koraka za suradnju i pomoć pružatelja nad kojim se provodi revizija u provedbi revizija, uključujući pristup relevantnim informacijama radi pribavljanja revizijskih dokaza; |
|
(c) |
definicije i odabira revizijskih metodologija; |
|
(d) |
predložaka za izvješće o reviziji i izvješće o provedbi revizije. |
Članak 2.
Definicije
Za potrebe ove Uredbe primjenjuju se sljedeće definicije:
|
1. |
„revizijska organizacija” znači pojedinačna organizacija, konzorcij ili druga kombinacija organizacija, uključujući sve podugovaratelje, s kojom je pružatelj nad kojim se provodi revizija sklopio ugovor za obavljanje neovisne revizije u skladu s člankom 37. Uredbe (EU) 2022/2065; |
|
2. |
„usluga obuhvaćena revizijom” znači vrlo velika internetska platforma ili vrlo velika internetska tražilica utvrđena u skladu s člankom 33. Uredbe (EU) 2022/2065; |
|
3. |
„pružatelj nad kojim se provodi revizija” znači pružatelj usluge obuhvaćene revizijom koji podliježe neovisnim revizijama u skladu s člankom 37. stavkom 1. te uredbe; |
|
4. |
„obveza koja je predmet revizije” znači obveza iz članka 37. stavka 1. Uredbe (EU) 2022/2065 koja je predmet revizije; |
|
5. |
„kriteriji revizije” znači kriteriji prema kojima revizijska organizacija ocjenjuje usklađenost sa svakom obvezom koja je predmet revizije; |
|
6. |
„revizijski dokazi” znači sve informacije koje je revizijska organizacija upotrijebila kako bi potkrijepila nalaze i zaključke revizije i izdala revizorsko mišljenje, uključujući podatke prikupljene iz dokumenata, baza podataka ili IT sustava te provedenih razgovora ili testiranja; |
|
7. |
„pogrešno prikazivanje” znači namjerno ili nenamjerno izostavljanje, krivo tumačenje ili pogreška u izjavama ili podacima koje je pružatelj nad kojim se provodi revizija naveo u izvješćima ili dao revizijskoj organizaciji ili u okruženju za testiranje koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje revizijskoj organizaciji; |
|
8. |
„revizijski rizik” znači rizik da će revizijska organizacija dati netočno revizorsko mišljenje ili donijeti netočan zaključak o usklađenosti pružatelja nad kojim se provodi revizija s obvezom koja je predmet revizije, s obzirom na rizike neotkrivanja, inherentne rizike i kontrolne rizike povezane s obvezom koja je predmet revizije; |
|
9. |
„rizik neotkrivanja” znači rizik da revizijska organizacija neće otkriti pogrešno prikazivanje koje je relevantno za ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s obvezom koja je predmet revizije; |
|
10. |
„inherentni rizik” znači rizik od neusklađenosti koji je neraskidivo povezan s prirodom, dizajnom, aktivnošću i korištenjem usluge obuhvaćene revizijom, kao i s kontekstom u kojem se pruža, te rizik od neusklađenosti povezan s prirodom obveze koja je predmet revizije; |
|
11. |
„kontrolni rizik” znači rizik od toga da se pogrešno prikazivanje ne spriječi, otkrije i ispravi na vrijeme provedbom internih kontrola pružatelja nad kojim se provodi revizija; |
|
12. |
„prag značajnosti” znači prag iznad kojeg bi odstupanja ili pogrešna prikazivanja pružatelja nad kojim se provodi revizija pojedinačno ili skupno razumno utjecala na nalaze i zaključke revizije te revizorska mišljenja; |
|
13. |
„razumna razina jamstva” znači visoka, ali ne i apsolutna razina jamstva koja revizijskoj organizaciji omogućuje da u svojem revizorskom mišljenju i zaključcima revizije na temelju dostatnih i primjerenih dokaza utvrdi je li pružatelj nad kojim se provodi revizija postupao u skladu s obvezama koje su predmet revizije; |
|
14. |
„interna kontrola” znači bilo koja mjera, uključujući postupke i testove, koju pružatelj nad kojim se provodi revizija, uključujući njegove službenike za praćenje usklađenosti i upravljačko tijelo, osmisli, provede i održava kako bi pratio i osigurao svoju usklađenost s obvezom koja je predmet revizije; |
|
15. |
„provjereni istraživač” znači istraživač koji je provjeren u skladu s člankom 40. stavkom 8. Uredbe (EU) 2022/2065; |
|
16. |
„revizijski postupak” znači bilo koja tehnika koju revizijska organizacija primjenjuje tijekom provedbe revizije, među ostalim prikupljanje podataka, odabir i primjena metodologija kao što su testovi i dokazni analitički postupci te bilo koja druga radnja prikupljanja i analiziranja informacija radi prikupljanja revizijskih dokaza i formuliranja zaključaka revizije, što ne uključuje izdavanje revizorskog mišljenja ili izvješća o reviziji; |
|
17. |
„test” znači revizijska metodologija koja se sastoji od mjerenja, eksperimenata ili drugih provjera, uključujući provjere algoritamskih sustava, kojima revizijska organizacija ocjenjuje usklađenost pružatelja nad kojim se provodi revizija s obvezom koja je predmet revizije; |
|
18. |
„dokazni analitički postupak” znači revizijska metodologija koju revizijska organizacija upotrebljava za procjenu informacija radi utvrđivanja revizijskih rizika ili usklađenosti s obvezom koja je predmet revizije. |
Članak 3.
Opseg revizije i razumna razina jamstva
1. Revizija se provodi na način i u trajanju koji revizijskoj organizaciji omogućuju da s razumnom razinom jamstva ocijeni usklađenost pružatelja nad kojim se provodi revizija sa svim obvezama koje su predmet revizije.
2. Revizija obuhvaća razdoblje koje počinje neposredno nakon razdoblja obuhvaćenog prethodnom revizijom i završava na datum koji revizijskoj organizaciji omogućuje da reviziju provede u roku propisanom člankom 37. stavkom 1. Uredbe (EU) 2022/2065, među ostalim potvrđivanjem svoje ocjene iz stavka 1. na temelju prikupljenih dokaza i revizijskih postupaka provedenih u tom razdoblju te dovršetkom i podnošenjem izvješća o reviziji u skladu s člankom 37. stavkom 4. te uredbe pružatelju nad kojim se provodi revizija.
3. Ako nije provedena prethodna revizija, revizija obuhvaća razdoblje koje počinje četiri mjeseca od obavijesti iz članka 33. stavka 6. prvog podstavka Uredbe (EU) 2022/2065, a trajanje revizije omogućuje da se izvješće o reviziji u skladu s člankom 6. stavkom 1. dovrši najkasnije u roku od jedne godine od početka razdoblja obuhvaćenog revizijom.
ODJELJAK II.
Uvjeti za provedbu revizije
Članak 4.
Odabir revizijske organizacije
1. Prije odabira revizijske organizacije radi provedbe revizije pružatelj nad kojim se provodi revizija provjerava ispunjava li organizacija koju će odabrati zahtjeve iz članka 37. stavka 3. Uredbe (EU) 2022/2065.
2. Ako se revizijska organizacija koja će biti odabrana sastoji od više pravnih osoba ili namjerava angažirati jednog ili više podugovaratelja, pružatelj nad kojim se provodi revizija provjerava ispunjavaju li sve te pravne osobe ili podugovaratelji:
|
(a) |
pojedinačno zahtjeve iz članka 37. stavka 3. točaka (a) i (c) Uredbe (EU) 2022/2065; |
|
(b) |
zajednički zahtjev iz članka 37. stavka 3. točke (b) Uredbe (EU) 2022/2065. |
Članak 5.
Suradnja i pomoć između pružatelja nad kojim se provodi revizija i revizijske organizacije
1. U vrijeme dogovoreno s revizijskom organizacijom, a u svakom slučaju prije provedbe bilo kojeg revizijskog postupka, pružatelj nad kojim se provodi revizija odabranoj revizijskoj organizaciji dostavlja barem sljedeće informacije:
|
(a) |
opis internih kontrola uspostavljenih za svaku obvezu koja je predmet revizije, uključujući povezane pokazatelje i sva trenutačna i povijesna mjerenja te referentne vrijednosti koje pružatelj nad kojim se provodi revizija upotrebljava za potvrđivanje ili praćenje usklađenosti s obvezama koje su predmet revizije, kao i svu popratnu dokumentaciju; |
|
(b) |
svoju preliminarnu analizu inherentnih i kontrolnih rizika, ako je pružatelj nad kojim se provodi revizija proveo takvu analizu, te svu popratnu dokumentaciju; |
|
(c) |
informacije o svim relevantnim strukturama za donošenje odluka, nadležnostima odjela pružatelja, uključujući funkciju praćenja usklađenosti na temelju članka 41. Uredbe (EU) 2022/2065, relevantnim IT sustavima, izvorima, obradi i pohrani podataka te objašnjenja relevantnih algoritamskih sustava i njihovih interakcija. |
2. Pružatelj nad kojim se provodi revizija revizijskoj organizaciji bez nepotrebne odgode omogućuje pristup svim podacima potrebnima za provedbu revizije, uključujući osobne podatke, dokumentaciju, informacije o postupcima i procesima, kao i sustavima informacijske tehnologije, okruženjima za testiranje, svojem osoblju i objektima te svim relevantnim podugovarateljima.
3. Pružatelj nad kojim se provodi revizija stavlja revizijskoj organizaciji na raspolaganje sve potrebne resurse te pomoć i objašnjenja koji su joj potrebni za analizu relevantnih informacija i provedbu ispitivanjâ, među ostalim i kad su informacije koje je zatražila revizijska organizacija u skladu s člankom 37. stavkom 3. Uredbe (EU) 2022/2065 u posjedu treće strane koju je angažirao taj pružatelj.
ODJELJAK III.
Provedba revizija
Članak 6.
Izvješće o reviziji i izvješće o provedbi revizije
1. Izvješće o reviziji iz članka 37. stavka 4. Uredbe (EU) 2022/2065 sastavlja revizijska organizacija bez uplitanja pružatelja nad kojim se provodi revizija. To izvješće o reviziji sastavlja se prema predlošku iz Priloga I. i sadržava detaljne i obrazložene zaključke o svim elementima predloška.
2. Ako je to primjenjivo, izvješće o provedbi revizije iz članka 37. stavka 6. Uredbe (EU) 2022/2065 sastavlja se u skladu s predloškom iz Priloga II.
Članak 7.
Postupci za pripremu revizije
1. Pružatelj nad kojim se provodi revizija i revizijska organizacija sklapaju pisani ugovor kojim se utvrđuje sljedeće:
|
(a) |
potpuni popis obveza koje su predmet revizije; |
|
(b) |
odgovornosti revizijske organizacije, uključujući, prema potrebi, detaljan opis odgovornosti za svaku pravnu osobu koja je dio revizijske organizacije i stranke ovlaštene za potpisivanje izvješća o reviziji; |
|
(c) |
postupke i kontaktne točke koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje revizijskoj organizaciji kako bi mogla zatražiti pristup podacima iz članka 5. stavka 2.; |
|
(d) |
rokovi za reviziju, uključujući datum početka i završetka revizijskih postupaka i dovršetka izvješća o reviziji; |
|
(e) |
postupak rješavanja sporova između pružatelja nad kojim se provodi revizija i revizijske organizacije koji proizlaze iz provedbe revizije. |
2. Ugovor iz stavka 1., kao i svi drugi ugovori ili pisma o angažmanu između revizijske organizacije i pružatelja nad kojim se provodi revizija povezana s provedbom revizije, prilažu se izvješću o reviziji.
3. Ako se u ugovor iz stavka 1. tijekom provedbe revizije unesu izmjene, one se izričito navode u izvješću o reviziji.
Članak 8.
Revizorsko mišljenje, zaključci revizije i preporuke
1. Izvješće o reviziji sadržava zaključke revizije koje je revizijska organizacija donijela o usklađenosti pružatelja nad kojim se provodi revizija sa svakom obvezom koja je predmet revizije. Zaključci revizije su:
|
(a) |
„pozitivni” ako revizijska organizacija s razumnom razinom jamstva zaključi da je pružatelj nad kojim se provodi revizija postupao u skladu s obvezom koja je predmet revizije; |
|
(b) |
„pozitivni s komentarima” ako revizijska organizacija s razumnom razinom jamstva zaključi da je pružatelj nad kojim se provodi revizija postupao u skladu s obvezom koja je predmet revizije, ali:
|
|
(c) |
„negativni” ako revizijska organizacija s razumnom razinom jamstva zaključi da pružatelj nad kojim se provodi revizija nije postupao u skladu s obvezom koja je predmet revizije. |
2. Ako izvješće o reviziji sadržava operativne preporuke u skladu s člankom 37. stavkom 4. točkom (h) Uredbe (EU) 2022/2065, te preporuke i njihovi preporučeni rokovi specifični su za svaku obvezu koja je predmet revizije, a za koju je zaključak revizije u skladu sa stavkom 1. „pozitivan s komentarima” ili „negativan”.
3. Ako operativne preporuke iz stavka 2. sadržavaju posebne mjere za postizanje usklađenosti, one se formuliraju tako da objašnjavaju procjenu revizijske organizacije o tome kako bi takve mjere utjecale na prag značajnosti u usporedbi sa zaključkom revizije za određenu obvezu koja je predmet revizije.
4. Na temelju zaključaka revizije izvješće o reviziji sadržava revizorsko mišljenje o usklađenosti pružatelja nad kojim se provodi revizija sa svim obvezama koje su predmet revizije iz članka 37. stavka 1. točke (a) Uredbe (EU) 2022/2065.
5. Na temelju zaključaka o svim obvezama koje su predmet revizije izvješće o reviziji sadržava revizorsko mišljenje ili, prema potrebi, mišljenja o usklađenosti pružatelja nad kojim se provodi revizija sa svim obvezama koje su predmet revizije, a koje je pružatelj nad kojim se provodi revizija preuzeo na temelju svakog kodeksa ponašanja i kriznog protokola iz članka 37. stavka 1. točke (b) Uredbe (EU) 2022/2065.
6. Revizorska mišljenja u skladu sa stavcima 4. i 5. su:
|
(a) |
„pozitivna” ako je revizijska organizacija donijela „pozitivan” zaključak revizije za sve obveze koje su predmet revizije; |
|
(b) |
„pozitivna s komentarima” ako je revizijska organizacija donijela barem jedan zaključak revizije koji je „pozitivan s komentarima” za neku obvezu koja je predmet revizije i nije donijela „negativan” zaključak revizije ni za jednu obvezu koja je predmet revizije; |
|
(c) |
„negativna” ako je revizijska organizacija donijela „negativan” zaključak revizije za najmanje jednu obvezu koja je predmet revizije. |
7. Ako revizijska organizacija ocijeni da pružatelj tijekom ograničenog vremena u razdoblju iz članka 3. stavka 2. nije postupao u skladu s obvezom koja je predmet revizije, tu ocjenu propisno dokumentira u izvješću o reviziji.
8. Ako revizijska organizacija ne može izdati zaključak revizije u skladu sa stavkom 1. ili revizorsko mišljenje u skladu sa stavcima 4. i 5. s razumnom razinom jamstva, u izvješću o reviziji objašnjavaju se okolnosti i razlozi zašto takvu razinu jamstva nije bilo moguće dosegnuti.
ODJELJAK IV.
Revizijske metodologije
Članak 9.
Analiza revizijskih rizika
1. Izvješće o reviziji sadržava potkrijepljenu analizu revizijskih rizika koju je provela revizijska organizacija radi ocjene usklađenosti pružatelja nad kojim se provodi revizija sa svakom obvezom koja je predmet revizije.
2. Analiza revizijskih rizika provodi se prije provođenja revizijskih postupaka i ažurira se za vrijeme provedbe revizije s obzirom na sve nove revizijske dokaze koji prema stručnoj prosudbi revizijske organizacije značajno mijenjaju ocjenu revizijskog rizika.
3. U analizi revizijskih rizika razmatraju se:
|
(a) |
inherentni rizici; |
|
(b) |
kontrolni rizici; |
|
(c) |
rizici neotkrivanja. |
4. Analiza revizijskih rizika provodi se uzimajući u obzir:
|
(a) |
prirodu usluge obuhvaćene revizijom te društveni i gospodarski kontekst u kojem se usluga koja je predmet revizije pruža, uključujući vjerojatnost i ozbiljnost izlaganja kriznim situacijama i neočekivanim događajima; |
|
(b) |
prirodu obveza; |
|
(c) |
druge odgovarajuće informacije, među ostalim:
|
Članak 10.
Odgovarajuće revizijske metodologije
1. Ne dovodeći u pitanje posebne revizijske metodologije utvrđene u člancima 13., 14. i 15., revizije se provode primjenom odgovarajućih revizijskih metodologija kako bi se procijenjeni revizijski rizici smanjili na razinu koja revizijskoj organizaciji omogućuje da donese zaključke revizije uz razumnu razinu jamstva.
2. Izvješće o reviziji sadržava opis revizijskih metodologija koje je revizijska organizacija osmislila prije provedbe bilo kojeg revizijskog postupka, uključujući barem:
|
(a) |
kriterije revizije za ocjenjivanje usklađenosti sa svakom obvezom koja je predmet revizije, definirane na temelju informacija iz članka 5. stavka 1. točke (a), i prag značajnosti koji se tolerira i izražava, prema potrebi, kvalitativno ili kvantitativno; |
|
(b) |
sve testove i dokazne analitičke postupke te revizijske dokaze koje revizijska organizacija namjerava upotrijebiti za ocjenjivanje usklađenosti za svaku obvezu koja je predmet revizije. |
Izvješće o reviziji sadržava opis svih promjena metodologija koje se primjenjuju u provedbi revizije u odnosu na metodologije osmišljene prije provedbe revizijskih postupaka.
3. Ako revizijska organizacija osnovano sumnja u informacije ocijenjene u okviru provedbe revizije, posebno ako je riječ o informacijama koje je dostavio pružatelj nad kojim se provodi revizija, odabir i primjena metodologije prilagođavaju se kako bi ta organizacija pribavila potrebne revizijske dokaze u skladu s člankom 11.
4. Smatra se da su se osnovane sumnje iz stavka 3. pojavile osobito ako postoji bilo koji od sljedećih elemenata:
|
(a) |
stručna prosudba i skepticizam u procjeni informacija, među ostalim o unutarnjim kontrolama pružatelja nad kojim je provedena revizija, na temelju kojih revizijska organizacija izrazi opravdane sumnje; |
|
(b) |
vanjske naznake koje upućuju na revizijske rizike, posebno izvješća Europskog odbora za digitalne usluge iz članka 35. stavka 2. Uredbe (EU) 2022/2065, upute Komisije, uključujući smjernice iz članka 35. stavka 3. te uredbe i sve ostale relevantne upute koje je Komisija izdala o primjeni Uredbe (EU) 2022/2065 te izvješća o reviziji izdana na temelju kodeksa ponašanja ili kriznih protokola iz članaka 45., 46. i 48. te uredbe; |
|
(c) |
informacije koje se odnose na događaje do kojih je došlo za vrijeme provedbe revizije, uključujući krizne situacije, za koje su potrebne dodatne mjere pružatelja nad kojim se provodi revizija kako bi se osigurala usklađenost s određenim obvezama koje su predmet revizije. |
5. Revizijski postupci obuhvaćaju najmanje:
|
(a) |
provedbu testova i dokaznih analitičkih postupaka za interne kontrole koje je pružatelj nad kojim se provodi revizija uspostavio za svaku obvezu koja je predmet revizije; |
|
(b) |
provedbu dokaznih analitičkih postupaka radi ocjenjivanja usklađenosti sa svakom obvezom koja je predmet revizije, među ostalim u pogledu algoritamskih sustava; |
|
(c) |
provedbu testova, među ostalim u pogledu algoritamskih sustava, u vezi s obvezama koje su predmet revizije za koje revizijska organizacija ima osnovane sumnje, kao što je navedeno u stavku 4., te u vezi s obvezama koje su predmet revizije ako revizijska organizacija smatra potrebnim provesti testove pri odabiru metodologije u skladu sa stavkom 1. |
6. Ako pružatelj nad kojim se provodi revizija mora zbog obveza iz članka 37. stavka 1. Uredbe (EU) 2022/2065 javno iznijeti određene informacije, revizijske metodologije uključuju procjenu jesu li iznesene informacije lišene bitnih pogrešaka ili propusta zbog kojih bi inače mogle biti obmanjujuće.
Članak 11.
Kvaliteta revizijskih dokaza
Zaključci revizije i revizorska mišljenja temelje se na revizijskim dokazima koji ispunjavaju oba sljedeća zahtjeva:
|
(a) |
relevantni su i dostatni da se smanje revizijski rizici utvrđeni u skladu s člankom 9. i da revizijskoj organizaciji omoguće donošenje zaključaka revizije i revizorskih mišljenja u skladu s člankom 8.; |
|
(b) |
pouzdani su prema profesionalnoj prosudbi i skepticizmu revizijske organizacije. |
Članak 12.
Metode uzorkovanja
1. Ako se revizijski dokazi djelomično ili u cijelosti temelje na uzorku podataka ili informacija, veličina uzorka i metodologija uzorkovanja odabiru se tako da se smanji rizik neotkrivanja te bez uplitanja pružatelja nad kojim se provodi revizija.
2. Veličina uzorka i metodologija uzorkovanja odabiru se na način kojim se osigurava reprezentativnost podataka ili informacija i, prema potrebi, uzimajući u obzir sve od sljedećeg:
|
(a) |
reprezentativnost uzorka za razdoblje iz članka 3. stavaka 2 i 3.; |
|
(b) |
relevantne promjene usluge obuhvaćene revizijom u tom razdoblju; |
|
(c) |
relevantne promjene konteksta u kojem se pruža usluga obuhvaćena revizijom u tom razdoblju; |
|
(d) |
relevantne značajke algoritamskih sustava, ako je primjenjivo, uključujući personalizaciju na temelju izrade profila ili drugih kriterija; |
|
(e) |
ostale relevantne karakteristike ili razdiobe podataka, informacija i dokaza koji se razmatraju. |
|
(f) |
prema potrebi, opis i odgovarajuću analizu spornih pitanja povezanih s određenim skupinama, kao što su maloljetnici ili ranjive skupine i manjine, koja se odnose na obveze koje su predmet revizije. |
3. Izvješće o reviziji uključuje obrazloženje odabira veličine uzorka i metodologije uzorkovanja.
Članak 13.
Posebne metodologije za reviziju usklađenosti s člankom 34. Uredbe (EU) 2022/2065 o procjeni rizika
1. Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 34. Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, analizu svih sljedećih elemenata:
|
(a) |
je li pružatelj nad kojim se provodi revizija s dužnom pažnjom utvrdio, analizirao i procijenio sistemske rizike u Uniji iz članka 34. stavka 1. prvog podstavka Uredbe (EU) 2022/2065, među ostalim ocjenjivanjem:
|
|
(b) |
je li procjena rizika provedena u rokovima iz članka 34. stavka 1. drugog podstavka Uredbe (EU) 2022/2065 i, ako je primjenjivo, u rokovima za aktivnosti utvrđene kao mjere za smanjenje rizika radi otkrivanja sistemskih rizika u skladu s člankom 35. stavkom 1. točkom (f) te uredbe; |
|
(c) |
načina na koji je pružatelj nad kojim se provodi revizija utvrdio funkcionalnosti koje će vjerojatno imati ključan utjecaj na rizike za koje se procjene rizika provode prije uvođenja tih funkcionalnosti, u skladu s člankom 34. stavkom 1. drugim podstavkom Uredbe (EU) 2022/2065, jesu li te funkcionalnosti ispravno utvrđene i je li procjena rizika odgovarajuće provedena; |
|
(d) |
je li pružatelj nad kojim se provodi revizija ispravno utvrdio popratnu dokumentaciju koju je potrebno čuvati u pogledu procjene rizika i je li uspostavio potrebna sredstva kako bi osigurao njezino čuvanje najmanje tri godine u skladu s člankom 34. stavkom 3. Uredbe (EU) 2022/2065 i je li dokumentacija čuvana u skladu s time. |
2. Ne dovodeći u pitanje bilo koju drugu analizu potrebnu za postizanje razumne razine jamstva, metodologije za reviziju usklađenosti s člankom 34. Uredbe (EU) 2022/2065 uključuju barem ocjenjivanje sljedećih elemenata koje provodi revizijska organizacija:
|
(a) |
internih kontrola koje je pružatelj nad kojim se provodi revizija uspostavio radi praćenja provedbe procjena rizika za svaki čimbenik iz članka 34. stavka 2. prvog podstavka Uredbe (EU) 2022/2065; to ocjenjivanje:
|
|
(b) |
aktivnosti, sredstava i procesa koje je pružatelj nad kojim se provodi revizija uspostavio kako bi osigurao usklađenost s člankom 34. Uredbe (EU) 2022/2065 i njihovih rezultata; takva se ocjena temelji na:
|
3. Informacije koje revizijska organizacija analizira za potrebe ocjenjivanja koje se provodi u skladu s ovim člankom uključuju, ali nisu ograničene na:
|
(a) |
izvješće o procjeni rizika za relevantno razdoblje obuhvaćeno revizijom koje je izradio pružatelj nad kojim se provodi revizija, prema potrebi uključujući povjerljive informacije koje nisu dio informacija objavljenih u skladu s člankom 42. stavkom 2. te uredbe, kao i sve popratne dokumente; |
|
(b) |
prema potrebi, druga izvješća o procjenama rizika pružatelja nad kojim se provodi revizija i njihove popratne dokumente; |
|
(c) |
informacije koje je pružatelj nad kojim se provodi revizija dostavio u skladu s člankom 5.; |
|
(d) |
sva relevantna izvješća radi transparentnosti pružatelja nad kojim se provodi revizija iz članka 15. stavka 1. Uredbe (EU) 2022/2065; |
|
(e) |
sve ostale rezultate testova, dokumentaciju, dokaze, izjave dane kao odgovor na pisana ili usmena pitanja koja je revizijska organizacija uputila osoblju pružatelja nad kojim se provodi revizija te, prema potrebi, opažanja iznesena u prostorijama pružatelja; |
|
(f) |
ostale relevantne dokaze, među ostalim one koji se temelje na informacijama koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje; |
|
(g) |
ako postoje, izvješća iz članka 35. stavka 2. Uredbe (EU) 2022/2065 i upute Komisije, uključujući smjernice izdane na temelju članka 35. stavka 3. te uredbe te sve druge relevantne upute koje je Komisija izdala o primjeni Uredbe (EU) 2022/2065. |
4. Informacije koje revizijska organizacija analizira mogu, prema potrebi, uključivati informacije iz članka 42. stavka 4. Uredbe (EU) 2022/2065, uključujući informacije iz izvješća o reviziji, procjeni rizika i smanjenju rizika koje se odnose na druge vrlo velike internetske platforme ili vrlo velike internetske tražilice, odnosno podatke i istraživanje koje su javno objavili provjereni istraživači u skladu s člankom 40. stavkom 8. točkom (g) te uredbe.
Članak 14.
Posebne metodologije za reviziju usklađenosti s člankom 35. Uredbe (EU) 2022/2065 o smanjenju rizika
1. Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 35. Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na analizu svih sljedećih elemenata:
|
(a) |
načina na koji je pružatelj nad kojim se provodi revizija utvrdio mjere za smanjenje rizika za svaki od sistemskih rizika iz članka 34. stavka 1. Uredbe (EU) 2022/2065 i je li utvrđivanje takvih mjera za smanjenje rizika provedeno s dužnom pažnjom; |
|
(b) |
načina na koji je pružatelj nad kojim se provodi revizija ocijenio jesu li mjere za smanjenje rizika iz članka 35. stavka 1. točaka od (a) do (k) Uredbe (EU) 2022/2065 primjenjive na uslugu obuhvaćenu revizijom i je li zaključak te ocjene primjeren, među ostalim u pogledu mjera koje pružatelj nad kojim se provodi revizija nije primijenio; |
|
(c) |
jesu li mjere smanjenja koje je uspostavio pružatelj nad kojim se provodi revizija razumne, razmjerne i djelotvorne za smanjenje odgovarajućih rizika, među ostalim:
|
2. Ne dovodeći u pitanje bilo koju drugu analizu potrebnu za postizanje razumne razine jamstva, metodologije za reviziju usklađenosti s člankom 35. Uredbe (EU) 2022/2065 uključuju barem ocjenjivanje sljedećih elemenata koje provodi revizijska organizacija:
|
(a) |
internih kontrola koje je pružatelj nad kojim se provodi revizija uspostavio radi praćenja primjene mjera za smanjenje rizika iz članka 35. stavka 1. Uredbe (EU) 2022/2065 te jesu li one razumne, razmjerne i djelotvorne; to ocjenjivanje:
|
|
(b) |
mjera za smanjenje rizika koje su uspostavili pružatelji nad kojima se provodi revizija; takva se ocjena temelji na:
|
3. Informacije koje revizijska organizacija analizira za potrebe ocjenjivanja koje se provodi u skladu s ovim člankom uključuju, ali nisu ograničene na:
|
(a) |
izvješća o procjeni rizika i smanjenju rizika za relevantno razdoblje obuhvaćeno revizijom koja je izradio pružatelj nad kojim se provodi revizija, prema potrebi uključujući povjerljive informacije koje nisu dio informacija objavljenih u skladu s člankom 42. stavkom 2. Uredbe (EU) 2022/2065, kao i sve popratne dokumente; |
|
(b) |
prema potrebi, druga izvješća o procjeni rizika i smanjenju rizika pružatelja nad kojim se provodi revizija i njihove popratne dokumente; |
|
(c) |
informacije koje je pružatelj nad kojim se provodi revizija dostavio u skladu s člankom 5.; |
|
(d) |
sva relevantna izvješća radi transparentnosti pružatelja nad kojim se provodi revizija iz članka 15. stavka 1. Uredbe (EU) 2022/2065; |
|
(e) |
prema potrebi, prošla izvješća o smanjenju rizika i njihove popratne dokumente koji se odnose na razdoblja koja nisu dio razdoblja obuhvaćenog revizijom, prema potrebi uključujući povjerljive informacije koje nisu dio informacija objavljenih u skladu s člankom 42. stavkom 2. Uredbe (EU) 2022/2065; |
|
(f) |
sve ostale rezultate testova, dokumentaciju, dokaze, izjave dane kao odgovor na pisana i/ili usmena pitanja koja je revizijska organizacija uputila osoblju pružatelja nad kojim se provodi revizija te, prema potrebi, opažanja iznesena u prostorijama pružatelja; |
|
(g) |
ostale relevantne dokaze, među ostalim one koji se temelje na informacijama koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje; |
|
(h) |
ako postoje, izvješća iz članka 35. stavka 2. Uredbe (EU) 2022/2065 i upute Komisije, uključujući smjernice izdane na temelju članka 35. stavka 3. te uredbe te sve druge relevantne upute koje je Komisija izdala o primjeni Uredbe (EU) 2022/2065. |
4. Informacije koje revizijska organizacija analizira mogu, prema potrebi, uključivati informacije iz članka 42. stavka 4. Uredbe (EU) 2022/2065, uključujući informacije iz izvješća o reviziji, procjeni rizika i smanjenju rizika koje se odnose na druge vrlo velike internetske platforme ili vrlo velike internetske tražilice, odnosno podatke i istraživanje koje su javno objavili provjereni istraživači u skladu s člankom 40. stavkom 8. točkom (g) Uredbe (EU) 2022/2065.
Članak 15.
Posebne metodologije za reviziju usklađenosti s člankom 36. Uredbe (EU) 2022/2065 o mehanizmu za odgovor na krizu
1. Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 36. stavkom 1. prvim podstavkom točkom (a) Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, analizu toga li i na koji način pružatelj nad kojim se provodi revizija proveo potrebne mjere, posebno:
|
(a) |
je li i na koji način pružatelj nad kojim se provodi revizija utvrdio relevantne sustave uključene u funkcioniranje i korištenje svoje usluge koji znatno doprinose ozbiljnoj prijetnji i jesu li ti sustavi odgovarajuće utvrđeni; |
|
(b) |
je li i na koji način pružatelj nad kojim se provodi revizija definirao i pratio znatan doprinos ozbiljnoj prijetnji i je li njegova procjena bila odgovarajuća; |
|
(c) |
prema potrebi, analizu svih drugih zahtjeva navedenih u odluci Komisije iz članka 36. stavaka 1. ili 7. drugog podstavka Uredbe (EU) 2022/2065. |
2. Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 36. stavkom 1. prvim podstavkom točkom (b) Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, analizu je li i na koji način pružatelj nad kojim se provodi revizija proveo potrebne mjere, posebno:
|
(a) |
je li i na koji način pružatelj nad kojim se provodi revizija utvrdio mjere za sprečavanje, uklanjanje ili ograničavanje svakog doprinosa ozbiljnoj prijetnji; |
|
(b) |
jesu li i na koji način mjere koje je primijenio pružatelj nad kojim se provodi revizija uvažile ozbiljnost ozbiljne prijetnje, hitnost mjera te jesu li mjere u tom pogledu bile primjerene; |
|
(c) |
je li i na koji način pružatelj nad kojim se provodi revizija identificirao strane na koje se mjere odnose i njihove zakonite interese te na koji je način pružatelj nad kojim se provodi revizija procijenio stvarni ili potencijalni učinak mjera na zakonite interese i prava tih stranaka, među ostalim temeljna prava; |
|
(d) |
jesu li mjere koje je primijenio pružatelj nad kojim se provodi revizija bile djelotvorne i razmjerne; |
|
(e) |
prema potrebi, analizu svih drugih zahtjeva navedenih u odluci Komisije iz članka 36. stavaka 1. ili 7. drugog podstavka Uredbe (EU) 2022/2065. |
3. Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 36. stavkom 1. prvim podstavkom točkom (c) Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na analizu načina na koji je pružatelj nad kojim se provodi revizija proveo potrebnu mjeru, posebno je li pružatelj nad kojim se provodi revizija Komisiji dostavio informacije koje je zatražila u odluci Komisije iz članka 36. stavka 1. ili 7. drugog podstavka Uredbe (EU) 2022/2065 te jesu li ta izvješća točna.
Članak 16.
Revizija usklađenosti s člankom 37. Uredbe (EU) 2022/2065 o neovisnoj reviziji
1. Usklađenost s obvezama iz članka 37. Uredbe (EU) 2022/2065 i u ovoj Uredbi ocjenjuje se u odnosu na reviziju ili revizije provedene za godišnje razdoblje koje prethodi razdoblju trenutačne revizije.
2. Dodatno uz stavak 1. revizija obuhvaća ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 37. stavkom 2. Uredbe (EU) 2022/2065 u pogledu trenutačne revizije.
3. Ako je prethodnu reviziju ili revizije iz stavka 1. provela ista revizijska organizacija koja provodi trenutačnu reviziju ili ako revizijska organizacija koja provodi trenutačnu reviziju uključuje najmanje jedan pravni subjekt koji je sudjelovao u prethodnoj reviziji, u izvješću o reviziji objašnjavaju se koraci koje je revizijska organizacija uspostavila kako bi osigurala objektivnost ocjene.
Članak 17.
Revizija usklađenosti s kodeksima ponašanja i kriznim protokolima
1. Pružatelj nad kojim se provodi revizija revizijskoj organizaciji stavlja na raspolaganje:
|
(a) |
popis i tekst svih kodeksa ponašanja iz članaka 45. i 46. Uredbe (EU) 2022/2065 i kriznih protokola iz članka 48. te uredbe čiji je potpisnik pružatelj nad kojim se provodi revizija; |
|
(b) |
detaljan popis obveza iz tih kodeksa ponašanja i kriznih protokola koje je pružatelj nad kojim se provodi revizija preuzeo; |
|
(c) |
ako je primjenjivo, ključne pokazatelje uspješnosti dogovorene u okviru svakog kodeksa ponašanja i kriznog protokola; |
|
(d) |
ako je primjenjivo, sva dostupna mjerenja, podatke i dokumentaciju te sva izvješća koja je pružatelj nad kojim se provodi revizija sastavio u pogledu svoje usklađenosti s preuzetim obvezama, uključujući pristup svim relevantnim informacijama i podacima povezanima s funkcioniranjem usluga koje nudi pružatelj nad kojim se provodi revizija, a koji su relevantni za provedbu kodeksa ponašanja ili kriznog protokola; |
|
(e) |
ako je primjenjivo, ostala mjerenja, podatke i dokumentaciju koje su pripremili potpisnici kodeksa ponašanja ili kriznog protokola te procjene Komisije ili Odbora iz članka 45. stavka 4. Uredbe (EU) 2022/2065. |
2. Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s kodeksima ponašanja iz članka 45. Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, mjerenje ključnih pokazatelja uspješnosti dogovorenih u kodeksu ponašanja u skladu s člankom 45. stavkom 3. te uredbe, specificiranje praga značajnosti za zaključke revizije i jesu li dostavljeni podaci točni.
ODJELJAK V.
Završne odredbe
Članak 18.
Stupanje na snagu
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 20. listopada 2023.
Za Komisiju
Predsjednica
Ursula VON DER LEYEN
PRILOG I.
PREDLOŽAK ZA IZVJEŠĆE O REVIZIJI IZ ČLANKA 6.
Sadržaj
|
ODJELJAK B: revizijska organizacija ili organizacije Za popunjavanje ovog odjeljka u svakoj točki dodati retke prema potrebi. |
||||||||||||||||||||||||||||||
|
|
ODJELJAK F.1.: treće strane s kojima je provedeno savjetovanje Ponoviti ovaj odjeljak za svaku treću stranu s kojom je provedeno savjetovanje, povećavajući broj u nazivu odjeljka za jedan (primjerice, F.1., F.2. i tako dalje). |
||||||||
|
|
ODJELJAK G: sve ostale informacije koje revizijsko tijelo želi navesti u izvješću o reviziji (npr. opis mogućih inherentnih ograničenja) |
|
|
|
|
Dodati retke prema potrebi u skladu s raspodjelom odgovornosti i ovlaštenjem iz članka 7. stavka 1. točke (b) |
|
Datum: … |
Potpisnici: … |
|
Mjesto: … |
U ime: … |
|
|
Područje odgovornosti: … |
Prilozi izvješću o reviziji (prema potrebi):
Dokumenti zatraženi u skladu s člankom 7. stavkom 2. ove Uredbe.
Dokumenti koji se odnose na analizu revizijskih rizika u skladu s člankom 9. ove Uredbe.
Dokumenti kojima se potvrđuje da revizijska organizacija ispunjava obveze utvrđene u članku 37. stavku 3. točki (a) Uredbe (EU) 2022/2065.
Dokumenti kojima se potvrđuje da revizijska organizacija ispunjava obveze utvrđene u članku 37. stavku 3. točki (b) Uredbe (EU) 2022/2065.
Dokumenti kojima se potvrđuje da revizijska organizacija ispunjava obveze utvrđene u članku 37. stavku 3. točki (c) Uredbe (EU) 2022/2065.
Dokumenti i rezultati svih testova koje je revizijska organizacija provela, među ostalim u pogledu algoritamskih sustava pružatelja nad kojim se provodi revizija.
Kodeksi ponašanja iz članaka 45. i 46. Uredbe (EU) 2022/2065 na temelju kojih je pružatelj nad kojim se provodi revizija preuzeo obveze, uključujući jasnu naznaku svih preuzetih obveza i svih dogovorenih ključnih pokazatelja uspješnosti za tu obvezu.
Krizni protokoli iz članka 48. Uredbe (EU) 2022/2065 koje provodi pružatelj nad kojim se provodi revizija.
Bilo koji drugi prilog koji revizijska organizacija želi priložiti.
PRILOG II.
PREDLOŽAK ZA IZVJEŠĆE O PROVEDBI REVIZIJE IZ ČLANKA 6.
Sadržaj
|
ODJELJAK A: opće informacije |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0847 (electronic edition)