Jurnalul Ofícial
al Uniunii Europene
RO
Seria L
|
|
Jurnalul Ofícial |
RO Seria L |
|
2024/436 |
2.2.2024 |
REGULAMENTUL DELEGAT (UE) 2024/436 AL COMISIEI
din 20 octombrie 2023
de completare a Regulamentului (UE) 2022/2065 al Parlamentului European și al Consiliului prin stabilirea unor norme privind efectuarea auditurilor pentru platformele online foarte mari și motoarele de căutare online foarte mari
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (1), în special articolul 37 alineatul (7),
întrucât:
|
(1) |
Auditurile independente reprezintă un instrument important în supravegherea respectării de către furnizorii de platforme online foarte mari și de motoare de căutare online foarte mari a obligațiilor care le revin în temeiul Regulamentului (UE) 2022/2065. Deși în regulamentul respectiv sunt prevăzute alte instrumente de responsabilizare, nu în ultimul rând printr-un control public sporit al rapoartelor de transparență și prin alte cerințe de divulgare a datelor, organizațiile de audit independente au un rol special în evaluarea din timp a respectării regulamentului de către acești furnizori. Concluziile și constatările acestor audituri independente și recomandările lor pot contribui în mod semnificativ la supravegherea reglementară. În același timp, auditurile independente reprezintă una dintre mai multe surse de informații și analize pe care autoritățile de reglementare le pot utiliza în rolul lor de supraveghere și de asigurare a respectării legislației. |
|
(2) |
Pentru a se asigura că auditurile independente sunt efectuate în mod eficace, eficient, prompt și comparabil de la data aplicării Regulamentului (UE) 2022/2065, conform definițiilor de la articolele 92 și 93 din regulamentul respectiv, Comisia ar trebui să stabilească norme privind efectuarea auditurilor, în special în ceea ce privește obligațiile legale ale furnizorilor auditați și etapele procedurale pentru a se asigura că organizațiile care efectuează audituri îndeplinesc condițiile de independență, absența conflictelor de interese, expertiza și etica profesională prevăzute la articolul 37 alineatul (3) din Regulamentul (UE) 2022/2065. |
|
(3) |
Pentru a facilita efectuarea corespunzătoare a auditurilor cu un nivel ridicat de expertiză și pentru a anticipa consecințele nedorite pe piața serviciilor de audit, ar trebui să se clarifice faptul că auditurile efectuate în conformitate cu articolul 37 din Regulamentul (UE) 2022/2065 pot fi efectuate de mai mulți auditori. Dacă este necesar, de exemplu din cauza necesității unei expertize specifice în ceea ce privește auditarea anumitor obligații sau angajamente, cum ar fi cele legate de proiectarea și funcționarea sistemelor algoritmice, de înțelegerea riscurilor la adresa drepturilor fundamentale sau de răspândirea conținutului ilegal, furnizorul auditat poate contracta diferite organizații de audit sau un consorțiu de organizații pentru a efectua auditul. Organizațiile de audit pot, de asemenea, subcontracta expertiza necesară, cu condiția ca atât organizația de audit, cât și subcontractanții să respecte condițiile necesare privind independența, absența conflictelor de interese, obiectivitatea dovedită și etica profesională și să respecte împreună condițiile privind expertiza tehnică. În astfel de cazuri, furnizorul auditat ar trebui să se asigure în continuare că respectarea tuturor obligațiilor și angajamentelor menționate la articolul 37 alineatul (1) din Regulamentul (UE) 2022/2065 este auditată cel puțin o dată pe an. |
|
(4) |
Opiniile de audit menționate la articolul 37 alineatul (4) litera (g) din Regulamentul (UE) 2022/2065 ar trebui să fie formulate de organizațiile de audit cu un nivel rezonabil de asigurare. Pentru a atinge un nivel rezonabil de asigurare, organizația de audit ar trebui să aibă un nivel ridicat, dar nu absolut, de încredere că nu au existat inexactități, cum ar fi omisiuni, declarații false sau erori, care nu au fost detectate în cadrul auditului. Pentru a asigura acest nivel de asigurare, organizația de audit ar trebui, printre altele, să obțină suficiente probe și să utilizeze metodologii de audit adecvate în evaluarea sa. |
|
(5) |
În temeiul articolului 37 alineatul (1) din Regulamentul (UE) 2022/2065, auditurile independente ar trebui să fie efectuate cel puțin o dată pe an, în conformitate cu ciclul anual de evaluare a riscurilor menționat la articolul 34 din regulamentul respectiv. Cu toate acestea, în anumite cazuri pot fi necesare audituri mai frecvente. Etapizarea auditurilor ar trebui să asigure o supraveghere continuă a respectării de către furnizorii auditați a Regulamentului (UE) 2022/2065, a codurilor de conduită și a protocoalelor pentru situații de criză relevante. Furnizorul auditat ar trebui să se asigure că perioada pentru care un anumit audit evaluează respectarea obligațiilor și a angajamentelor auditate completează perioada acoperită de auditul anterior privind respectarea de către furnizor a obligațiilor și angajamentelor respective și începe cel târziu atunci când s-a încheiat perioada acoperită de auditul anterior. Întrucât concluzia unui audit include atât evaluarea efectuată de organizația de audit, cât și întocmirea unui raport de audit, furnizorii auditați ar trebui să se asigure că durata auditului permite încheierea auditurilor cel puțin o dată pe an, iar transmiterea rapoartelor de audit către Comisie și către coordonatorul serviciilor digitale urmează să se desfășoare fără întârzieri nejustificate, în temeiul articolului 42 alineatul (4) din Regulamentul (UE) 2022/2065. |
|
(6) |
Deși nu ar trebui în niciun caz să influențeze efectuarea auditului și concluziile acestuia, furnizorii auditați ar trebui să își îndeplinească obligațiile care le revin în temeiul articolului 37 din Regulamentul (UE) 2022/2065, inclusiv prin convenirea unor condiții contractuale cu organizația de audit și prin verificarea, înainte de selectarea unei organizații de audit, a faptului că organizația respectivă îndeplinește condițiile prevăzute la articolul 37 alineatul (3) din Regulamentul (UE) 2022/2065. |
|
(7) |
Furnizorul auditat ar trebui, de exemplu, să evalueze contractele pe care le-a încheiat anterior cu organizația de audit sau contractele încheiate între organizația de audit și persoanele juridice care au legătură cu furnizorul auditat. Furnizorul auditat ar trebui, de asemenea, ca în contractele încheiate cu organizațiile de audit să includă și clauze pentru a garanta respectarea condițiilor prevăzute la articolul 37 alineatul (3) din Regulamentul (UE) 2022/2065. În cazul în care organizația de audit este formată din mai multe entități, furnizorul auditat ar trebui să se asigure că toate entitățile respective îndeplinesc condițiile respective, inclusiv, dacă este cazul, orice subcontractanți angajați de organizația de audit pentru a sprijini în vreun fel efectuarea auditului. Întrucât fiecare entitate care efectuează auditul ar trebui să îndeplinească în mod individual cerințele de independență și cerințele privind absența conflictelor de interese, entitățile respective ar trebui să îndeplinească în comun cerințele legate de competență, expertiză sau resurse tehnice, permițând astfel unor entități diferite să efectueze diferite părți ale auditului și să contribuie cu capacitățile, competențele și cunoștințele de specialitate necesare la efectuarea auditului. Raportul de audit ar trebui să specifice responsabilitatea fiecăreia dintre aceste entități pentru părțile respective ale auditului. |
|
(8) |
În temeiul articolului 37 alineatul (3) litera (a) punctul (i) din Regulamentul (UE) 2022/2065, furnizorul auditat ar trebui să acorde o atenție deosebită pentru a evita ca organizația de audit să presteze servicii care nu au legătură cu auditul atunci când verifică dacă o organizație de audit îndeplinește cerințele de independență și cerințele privind absența oricărui conflict de interese. Furnizorul auditat ar trebui, de exemplu, să evalueze dacă au fost furnizate servicii, precum cele legate de orice sistem, software sau proces implicat în aspecte relevante pentru obligația sau angajamentul auditat, cum ar fi serviciile de consultanță pentru evaluarea performanței, a guvernanței și a software-ului, servicii de formare, dezvoltarea sau întreținerea sistemelor sau subcontractarea moderării conținutului. Astfel de servicii cuprind, de asemenea, serviciile furnizate furnizorului auditat care constau în consultarea sau dezvoltarea controalelor interne sau evaluarea, în scopuri interne, a respectării de către furnizorul auditat a Regulamentului (UE) 2022/2065 sau a codurilor de conduită și a protocoalelor pentru situații de criză, inclusiv atunci când acest lucru se limitează la teste punctuale, cum ar fi testele efectuate de terți cu privire la performanța sistemelor de moderare a conținutului. În speță, nu ar trebui să fie excluse organizațiile de audit care au efectuat audituri financiare statutare. |
|
(9) |
Având în vedere complexitatea și natura specială a auditurilor de conformitate în raport cu Regulamentul (UE) 2022/2065, expertiza în domeniu a organizației de audit este esențială pentru efectuarea de audituri cu un nivel rezonabil de asigurare și pentru exercitarea raționamentului și a scepticismului profesional care permit organizației respective să știe, de exemplu, care sunt informațiile de care are nevoie pentru a efectua procedurile de audit sau pentru a contesta informațiile contradictorii. Prin urmare, furnizorul auditat ar trebui să verifice dacă organizația de audit oferă o astfel de expertiză, inclusiv în domeniul gestionării riscurilor, atât în ceea ce privește riscurile de audit, cât și obiectul Regulamentului (UE) 2022/2065 și, în special, riscurile societale sistemice menționate la articolul 34 din regulamentul respectiv. În plus, furnizorul auditat ar trebui să verifice competența tehnică și capacitățile organizației de audit în ceea ce privește serviciul auditat specific, inclusiv expertiza sa în domeniu, de exemplu în ceea ce privește funcționarea și efectele sistemelor algoritmice, cum ar fi sistemele de recomandare și alte sisteme sociotehnice întreținute de furnizor. Organizația de audit ar trebui să aibă posibilitatea de a subcontracta sau de a obține și utiliza în alt mod expertiza și capacitățile necesare, iar furnizorul auditat ar trebui să verifice și să se asigure că organizația de audit este în măsură să dobândească expertiza și capacitățile respective în timp util pentru efectuarea auditului. |
|
(10) |
Atunci când verifică dacă organizațiile de audit îndeplinesc condițiile prevăzute la articolul 37 alineatul (3) din Regulamentul (UE) 2022/2065, furnizorul auditat ar trebui să evalueze probele relevante, inclusiv, după caz, certificările, declarațiile și rapoartele de audit emise de organizația de audit. Expertiza adecvată ar putea fi dovedită, de exemplu, prin experiențe practice în evaluarea și gestionarea riscurilor, precum și prin activități academice, publicații științifice și experiență în audituri relevante. Rapoartele de audit ar trebui să conțină toate documentele justificative relevante care să ateste că organizația de audit îndeplinește condițiile necesare. |
|
(11) |
În temeiul articolului 37 alineatul (2) din Regulamentul (UE) 2022/2065, furnizorul auditat trebuie să asigure orice cooperare și asistență necesare pentru ca organizația de audit să efectueze auditul în mod eficace, eficient și în timp util, precum și să se abțină de la a interveni în orice fel în deciziile independente ale organizației de audit. De exemplu, furnizorul auditat nu ar trebui să impună, să ofere orientări sau să influențeze în alt mod organizația de audit prin niciun fel de limitări sau stimulente contractuale sau de altă natură în alegerea și executarea procedurilor de audit, a metodologiilor, a colectării și prelucrării informațiilor și a probelor de audit, a analizelor, testelor, opiniei de audit sau în elaborarea concluziilor de audit. |
|
(12) |
Pentru a garanta cooperarea și asistența necesare în timpul auditului, furnizorul auditat ar trebui să se asigure că se acordă organizației de audit acces la toate informațiile necesare pentru efectuarea auditului. Furnizorul auditat ar trebui să trimită toate documentele și explicațiile necesare, cât mai curând posibil și, în orice caz, înainte ca organizația de audit să înceapă să efectueze procedurile de audit. De exemplu, în temeiul articolului 41 alineatul (3) literele (d) și (e) din Regulamentul (UE) 2022/2065, funcția de conformitate a furnizorului auditat este de a monitoriza respectarea tuturor obligațiilor și angajamentelor auditate, ceea ce va duce probabil la elaborarea unor controale interne. Prin urmare, ar trebui să se acorde acces organizației de audit la toate informațiile referitoare la astfel de controale, precum și la orice alte informații care prezintă strategia furnizorului auditat de a asigura conformitatea. În special, furnizorul auditat ar trebui să pună la dispoziția organizației de audit criteriile de referință pe care se bazează pentru a asigura conformitatea cu Regulamentul (UE) 2022/2065, astfel încât organizația de audit să își poată baza criteriile de audit pe aceste informații. În plus, ar trebui să se acorde acces organizației de audit la orice analiză pe care furnizorul auditat ar fi putut să o efectueze cu privire la riscurile inerente și la riscurile de control. Furnizorul respectiv ar trebui să pună la dispoziția organizației de audit informații care facilitează înțelegerea serviciului auditat, guvernanța sa, competența echipelor și a structurilor decizionale respective, inclusiv funcția sa de asigurare a conformității, precum și prezentări ale sistemelor sale de tehnologie a informației, ale structurilor sale de date și înregistrări, precum și interacțiunea dintre diferitele sisteme algoritmice relevante pentru audit. |
|
(13) |
Organizația de audit ar trebui să poată solicita în orice moment orice alte informații necesare în cadrul auditului. Accesul la aceste informații ar trebui acordat fără întârzieri nejustificate, într-un mod care să nu împiedice în niciun fel efectuarea auditului. Acesta ar trebui să includă accesul la date, inclusiv la date cu caracter personal, colectate din diferite surse, cum ar fi documente, sisteme algoritmice, baze de date sau interviuri, după caz. Furnizorul auditat ar trebui, de asemenea, să acorde organizației de audit acces la proceduri și procese, la sisteme informatice, cum ar fi sistemele algoritmice și informatice, inclusiv la mediile de testare. Pentru a permite organizației de audit să inspecteze în mod semnificativ astfel de sisteme, furnizorul auditat ar trebui să pună la dispoziție toate resursele necesare pentru a ajuta organizația respectivă să acceseze și să evalueze sistemele, de exemplu prin punerea la dispoziție a personalului competent al furnizorului pentru a răspunde la întrebări sau pentru a opera medii de testare și pentru a oferi explicații cu privire la funcționarea acestora sau pentru a facilita orice alt acces necesar la personal și la sedii, cum ar fi în clădiri. Accesul la proceduri și procese ar putea implica, de exemplu, accesul la descrieri sau la documente referitoare la procesul decizional intern al furnizorului auditat. Accesul la informațiile relevante poate necesita, de asemenea, alte acțiuni auxiliare din partea furnizorului auditat pentru a-și îndeplini obligația de cooperare și asistență. De exemplu, pentru efectuarea interviurilor cu personalul ar putea fi necesar ca furnizorul auditat să pună la dispoziție facilități securizate. În cazul în care acest lucru este necesar pentru efectuarea auditului, furnizorii auditați ar trebui să îndeplinească obligația de cooperare și asistență față de organizația de audit, printre altele prin facilitarea accesului la datele relevante referitoare la operațiunile lor deținute de contractanții lor terți. Acesta ar putea fi cazul, de exemplu, în ceea ce privește rezultatele acțiunilor de moderare a conținutului, materialele de formare sau orientările utilizate de contractanții terți care moderează conținutul sau de vânzătorii și furnizorii de servicii pentru soluții informatice, inclusiv, de exemplu, algoritmii și aplicațiile utilizate în sistemele de recomandare sau în sistemele de publicitate utilizate de furnizorul auditat. |
|
(14) |
Pentru a facilita transparența semnificativă a constatărilor de audit și pentru a asigura un format cuprinzător și comparabil al rapoartelor de audit menționate la articolul 37 alineatul (4) din Regulamentul (UE) 2022/2065 și al rapoartelor privind punerea în aplicare a măsurilor recomandate în urma auditului menționate la articolul 37 alineatul (6) din regulamentul respectiv, prezentul regulament ar trebui să stabilească modele pentru rapoartele respective și să solicite un număr de anexe pentru fiecare dintre rapoarte. Deși modelele prevăzute în prezentul regulament necesită o raportare cuprinzătoare, acestea nu ar trebui să afecteze cerințele privind publicarea rapoartelor prevăzute la articolul 42 alineatele (4) și (5) din Regulamentul (UE) 2022/2065. |
|
(15) |
Pentru a se asigura că organizația de audit primește toată asistența necesară din partea furnizorului auditat, fără a interveni în efectuarea auditului, și că organizația de audit îndeplinește toate condițiile pentru pregătirea auditului și furnizează raportul de audit în timp util și la calitatea necesară pentru a atinge un nivel rezonabil de asigurare, anumite norme ar trebui să specifice procedurile de pregătire a auditului. Sarcinile și responsabilitățile furnizorului auditat și ale organizației de audit, inclusiv ale tuturor subcontractanților sau organizațiilor partenere și ale personalului responsabil cu efectuarea auditului, ar trebui stabilite printr-un acord scris, inclusiv prin clauze contractuale. Acordul scris ar trebui să specifice, de asemenea, obligațiile și angajamentele auditate, alocarea resurselor, precum și regulile de interacțiune și punctele de contact dintre organizația de audit și furnizorul auditat. Toate documentele justificative și contractele ar trebui anexate la raportul de audit, inclusiv atunci când documentele iau forma unei scrisori de angajament de audit sau a altor clauze contractuale. |
|
(16) |
Pentru a oferi o imagine de ansamblu cuprinzătoare și pentru a facilita asumarea răspunderii de către furnizorii auditați, raportul de audit ar trebui să includă o concluzie a evaluării de către organizația de audit a conformității furnizorului auditat cu fiecare obligație sau angajament auditat. Fiecare concluzie a auditului ar trebui să se bazeze pe un nivel rezonabil de asigurare și ar trebui să fie „pozitivă”, „pozitivă, cu observații” sau „negativă”, pentru a fundamenta în mod corespunzător opinia de audit. Concluziile „pozitive, cu observații” nu ar trebui să se refere la evaluarea conformității în sine. Astfel de observații se pot referi, de exemplu, la producerea de informații de către furnizor la cererea organizației de audit sau la îmbunătățiri în ceea ce privește întreținerea ori controalele instituite de furnizorul auditat sau pot avea în vedere planuri ulterioare de atenuare și îmbunătățiri pe care furnizorul intenționează să le realizeze. În orice caz, dacă organizația de audit consideră că furnizorul auditat respectă o obligație sau un angajament auditat în conformitate cu criteriile de referință raportate de furnizorul auditat, dar consideră că este necesar să se includă observații cu privire la criteriile de referință respective, concluzia auditului ar trebui să fie „pozitivă, cu observații”, deoarece astfel de observații ar putea informa în mod util furnizorul cu privire la posibilitățile de modificare a criteriilor sale de referință, pe baza cunoștințelor și a expertizei organizației de audit, precum și a informațiilor din surse externe. De exemplu, observațiile ar putea fi fundamentate prin orientări din partea Comisiei, inclusiv prin orientările Comisiei menționate la articolul 35 alineatul (3) din Regulamentul (UE) 2022/2065, și prin orice alte orientări relevante emise de Comisie cu privire la aplicarea regulamentului respectiv, prin rapoartele Comitetului european pentru servicii digitale menționate la articolul 35 alineatul (2) din regulamentul respectiv, prin acțiuni de asigurare a respectării legislației, prin decizii luate de Comisie în temeiul regulamentului respectiv, prin jurisprudența relevantă, în special din partea Curții de Justiție a Uniunii Europene, prin consultări publice sau surse oficiale relevante. |
|
(17) |
Pentru a permite controlul public și supravegherea reglementară, în cazul în care o concluzie a auditului este „negativă”, dar se aplică numai pentru o perioadă limitată de timp, iar organizația de audit consideră că furnizorul auditat a respectat obligația sau angajamentul pentru restul perioadei auditate, acest lucru ar trebui să se reflecte în raportul de audit pentru fiecare obligație sau angajament vizat. Raportul ar trebui să includă observațiile organizației de audit cu privire la orice informații puse la dispoziția sa de către furnizorul auditat în ceea ce privește planurile de atenuare existente sau planificate pentru remedierea neconformității. |
|
(18) |
Având în vedere natura diferită a obligațiilor juridice prevăzute în capitolul III din Regulamentul (UE) 2022/2065 și angajamentele voluntare asumate în temeiul codurilor de conduită și al protocoalelor pentru situații de criză prevăzute la articolele 45, 46 și 48 din regulamentul respectiv, organizația de audit ar trebui să emită opinii de audit cu privire la conformitatea cu capitolul respectiv și cu fiecare cod și protocol. |
|
(19) |
Pentru a efectua auditul cu un nivel rezonabil de asigurare și pentru a concepe proceduri de audit adecvate în conformitate cu metodologii care reduc riscul de audit la un nivel scăzut, o parte esențială a metodologiei de efectuare a auditului ar trebui să constea în estimarea riscurilor de audit, și anume riscul ca organizația de audit să exprime o opinie sau o concluzie de audit necorespunzătoare. Prin urmare, organizația de audit ar trebui să evalueze riscul de audit chiar la începutul auditului, înainte de elaborarea metodologiei exacte și de efectuarea procedurilor de audit. Analiza riscurilor de audit este necesară pentru a permite organizației de audit să selecteze metodologiile precise pentru audit și să determine cât de cuprinzătoare trebuie să fie procedurile de audit astfel încât să se atingă un nivel rezonabil de asigurare pentru opinia de audit. Organizația de audit ar trebui să efectueze analiza riscurilor de audit pentru evaluarea conformității cu fiecare obligație sau angajament auditat, luând în considerare riscurile inerente, riscurile de control și riscurile de nedetectare. |
|
(20) |
Pentru a evalua în mod corect riscurile de audit, analiza riscurilor de audit ar trebui să țină seama de natura serviciului auditat, în special de profilul său de risc, precum și de domeniul de aplicare și complexitatea auditului. De exemplu, este probabil ca platformele online care permit încheierea de contracte la distanță între consumatori să prezinte riscuri inerente diferite de cele ale platformelor de partajare a materialelor video sau ale motoarelor de căutare. În plus, ar trebui luat în considerare contextul societal și economic în care este furnizat serviciul auditat, de exemplu în ceea ce privește grupurile tipice de utilizatori, cum ar fi minorii, sau comportamentul frecvent, precum incidența ridicată a utilizării neautentice și comportamentele coordonate în campaniile de dezinformare. Contextul societal și economic care trebuie avut în vedere ar trebui să includă, de asemenea, probabilitatea și, în mod independent, gravitatea expunerii la situații de criză și la evenimente neprevăzute, astfel cum se menționează în Regulamentul (UE) 2022/2065. |
|
(21) |
Pentru a se asigura că analiza riscurilor de audit reflectă evoluția riscurilor la care este supus serviciul, analiza riscurilor de audit ar trebui să se bazeze, de asemenea, pe informațiile din auditurile anterioare la care a fost supus furnizorul auditat, după caz, și să se bazeze pe informații provenite din surse precum rapoartele de audit ale altor furnizori cu un profil de risc similar. Pentru a se asigura că analiza riscurilor de audit se bazează în totalitate pe dovezi de ultimă oră ale riscurilor în contexte similare celor în care își desfășoară activitatea furnizorul auditat și pe surse oficiale cu relevanță directă pentru aplicarea Regulamentului (UE) 2022/2065, analiza ar trebui să se bazeze, totodată, pe informații din rapoartele emise de Comitetul european pentru servicii digitale sau pe orientări din partea Comisiei, după caz. Alte informații ar putea include, de asemenea, informații din rapoartele de audit publicate în temeiul articolului 42 alineatul (4) din Regulamentul (UE) 2022/2065 de către alți furnizori de platforme online foarte mari sau de motoare de căutare online foarte mari. |
|
(22) |
Organizația de audit ar trebui să elaboreze, fără nicio influență din partea furnizorului auditat, metodologiile de audit utilizate pentru a evalua respectarea obligațiilor și a angajamentelor auditate. Criteriile de audit ar trebui să se bazeze pe informațiile prezentate de furnizorul auditat în ceea ce privește criteriile de referință utilizate de furnizorul auditat pentru monitorizarea conformității. De asemenea, metodologia poate lua în considerare alte informații puse la dispoziție de furnizorul auditat, cum ar fi analiza riscurilor inerente, atunci când furnizorul auditat a efectuat o astfel de analiză, de exemplu prin măsuri elaborate de responsabilul de conformitate sau de organul de conducere în conformitate cu articolul 41 din Regulamentul (UE) 2022/2065 sau prin alte măsuri integrate în funcționarea serviciului pentru evaluările riscurilor sistemice menționate la articolul 34 din regulamentul respectiv. |
|
(23) |
Pentru a garanta că metodologiile de audit sunt adecvate pentru atingerea unui nivel rezonabil de asigurare pentru opiniile de audit, alegerea metodologiei pentru procedurile de audit ar trebui să abordeze particularitățile obligației sau ale angajamentului auditat și ar trebui să fie adaptată, de exemplu, la natura obligației auditate ca obligație privind mijloacele sau ca obligație privind rezultatele pe care furnizorul trebuie să le obțină pentru a fi conform. De exemplu, procedurile de audit pentru evaluarea conformității cu raportarea în materie de transparență în temeiul articolului 15 din Regulamentul (UE) 2022/2065 ar putea permite organizației de audit să concluzioneze dacă rapoartele au fost publicate în termenele și formatele solicitate în regulamentul respectiv, precum și dacă acestea au fost complete și dacă datele raportate au fost exacte, reprezentative și defalcate în mod corespunzător, de exemplu, pentru fiecare categorie de conținut ilegal în cazul căreia s-au luat măsuri. |
|
(24) |
Alegerea metodologiei ar trebui să depindă, de asemenea, de faptul că evaluarea conformității necesită interpretări contextuale din partea organizației de audit sau nu. Selectarea metodologiilor ar trebui, de asemenea, să fie adaptată la riscurile inerente legate de activitățile desfășurate în cursul furnizării serviciului și la contextul în care este furnizat serviciul, de exemplu, dacă serviciul implică vânzarea de bunuri care ar putea fi ilegale sau dacă serviciul este utilizat în principal de minori. De exemplu, metodologiile de evaluare a respectării obligațiilor de a institui măsuri adecvate și proporționale pentru a asigura un nivel ridicat de confidențialitate, siguranță și securitate a minorilor în temeiul articolului 28 alineatul (1) din Regulamentul (UE) 2022/2065 ar trebui să permită organizației de audit să înțeleagă suficient modul în care serviciul auditat este utilizat de minori și riscurile la adresa vieții private, a siguranței și a securității acestora, precum și ceea ce constituie o măsură adecvată și proporțională în contextul specific al serviciului auditat și al utilizării acestuia de către minori. În acest scop, organizațiile de audit ar trebui să împartă evaluarea în etape adecvate. Ar trebui să evalueze riscurile de audit în funcție de profilul de risc al furnizorului auditat, în special dacă acesta este disponibil pentru minori sau dacă este utilizat în mod predominant de către minori. Organizațiile de audit ar trebui să evalueze, de exemplu, dacă furnizorul a instituit instrumente de confirmare a vârstei, dacă acestea sunt eficace și modul în care furnizorul auditat evaluează și monitorizează eficacitatea acestora. Ar trebui să evalueze dacă furnizorul auditat a instituit măsuri adecvate care să detecteze utilizarea contradictorie a serviciilor sale și modelele comportamentale ce încearcă sau sunt susceptibile să le dăuneze minorilor. |
|
(25) |
Selectarea metodologiilor ar trebui să fie adaptată la riscurile de control legate de măsurile de conformitate instituite de furnizorul auditat, precum și la riscurile de nedetectare, și anume riscul de a nu detecta inexactitățile în informațiile pe care furnizorul le pune la dispoziția organizației de audit. De exemplu, în cazul în care o obligație auditată ar putea implica auditul unui sistem algoritmic bazat pe personalizarea destinatarilor individuali ai serviciului auditat și pe actualizările recurente ale sistemului algoritmic, cum ar fi obligațiile de informare pentru sistemele de recomandare în temeiul articolului 27 din Regulamentul (UE) 2022/2065, alegerea metodologiei ar trebui să permită organizației de audit să conceapă teste adecvate pentru a reduce la minimum riscurile de nedetectare. În mod similar, în cazul în care organizația de audit urmărește să evalueze dacă au fost atenuate toate riscurile relevante în ceea ce privește proiectarea, funcționarea și utilizarea aplicațiilor bazate pe modele lingvistice la scară largă, cum ar fi funcționalitățile de chat sau sistemele de recomandare implementate de furnizorul auditat, organizația de audit ar trebui să evalueze mai întâi caracterul adecvat al controalelor instituite de furnizor. Alegerea testelor ar trebui să se bazeze pe soliditatea controalelor interne respective. În special, dar fără a se limita la cazurile în care controalele interne sunt deficitare, incomplete sau neconcludente pentru a evalua dacă normele sunt respectate atunci când se analizează populația de destinatari ai serviciului auditat, procedurile de audit ar trebui să se bazeze pe o combinație de metodologii. De exemplu, metodologiile ar putea include proceduri analitice de fond, cum ar fi analiza interacțiunilor dintre toate sistemele algoritmice implicate în sistemele de recomandare și normele și procesele decizionale conexe pentru stabilirea principalilor parametri ai acestor sisteme de recomandare, observații privind înregistrările și jurnalele digitale. Metodologiile ar trebui să includă, de asemenea, teste ale sistemului, cum ar fi testele în medii simulate. |
|
(26) |
Pentru a se asigura că metodologia este relevantă și adaptată la noile constatări din timpul desfășurării auditului, selectarea metodologiilor ar trebui să se bazeze pe raționamentul profesional al organizației de audit și ar trebui să fie ajustată pentru a răspunde acestor noi constatări, în special atunci când organizația de audit are îndoieli întemeiate cu privire la informațiile prezentate de furnizorul auditat. Scepticismul profesional al organizației de audit ar trebui să se bazeze pe expertiza acesteia, precum și pe alte surse de informații deosebit de relevante pentru aplicarea Regulamentului (UE) 2022/2065, cum ar fi rapoartele Comitetului european pentru servicii digitale, orientările Comisiei, rapoartele de audit emise pe baza codurilor de conduită sau a protocoalelor pentru situații de criză menționate la articolele 45, 46 și 48 din regulamentul respectiv sau informațiile apărute în cursul efectuării auditului, inclusiv atunci când sunt legate de evenimente, în special de situații de criză, care necesită acțiuni suplimentare din partea furnizorului auditat pentru a asigura respectarea anumitor obligații sau angajamente auditate. |
|
(27) |
Pentru a se asigura că în timpul auditului sunt colectate suficiente probe de audit, organizațiile de audit ar trebui atât să evalueze controalele interne ale furnizorului auditat, cât și să efectueze proceduri de audit de fond pentru evaluarea conformității furnizorului auditat. În anumite cazuri, organizația de audit ar trebui, de asemenea, să efectueze teste. |
|
(28) |
Având în vedere complexitatea sistemelor algoritmice utilizate de furnizorii de platforme online și rolul important al acestora în respectarea mai multor obligații prevăzute în Regulamentul (UE) 2022/2065, ar trebui să se acorde o atenție deosebită opțiunilor metodologice necesare și adecvate pentru auditarea sistemelor algoritmice. Acest lucru este valabil atât atunci când sistemele algoritmice fac parte din controalele instituite de furnizorul auditat, cât și atunci când fac ele însele obiectul obligațiilor sau angajamentelor auditate, cum ar fi în ceea ce privește sistemele de recomandare, de exemplu în temeiul articolelor 27, 34, 35 și 38 din Regulamentul (UE) 2022/2065, sau sistemele de publicitate, de exemplu în temeiul articolelor 26, 28, 34, 35 și 39 din regulamentul respectiv, sistemele de moderare a conținutului, de exemplu în temeiul articolelor 14, 15, 34 și 35 din regulamentul respectiv, sau orice alt sistem algoritmic care contribuie la riscurile menționate la articolul 34 din regulamentul respectiv. |
|
(29) |
De asemenea, ar trebui utilizată o combinație de proceduri analitice de fond, inclusiv, după caz, pe baza observațiilor privind procesele și activitățile furnizorului auditat în proiectarea, dezvoltarea, operarea, testarea și monitorizarea sistemelor algoritmice sau pe baza observațiilor privind înregistrările și jurnalele digitale produse de sisteme. Metodologiile ar trebui să fie adaptate la particularitățile sistemelor algoritmice, inclusiv la guvernanța acestora, la interacțiunea dintre diferitele sisteme algoritmice, precum și la sistemele conexe de gestionare a datelor, precum și la tehnologiile care stau la baza acestor sisteme algoritmice, cum ar fi modelele generative sau alți clasificatori, algoritmii de selecție sau de căutare. |
|
(30) |
În plus, metodologiile de audit pentru sistemele algoritmice ar trebui să includă teste, de exemplu, pentru colectarea informațiilor pe care furnizorul auditat nu le-a documentat anterior sau pentru reproducerea și evaluarea independentă a rezultatelor în ceea ce privește indicatorii de precizie, testele în medii de testare sau în medii simulate ori testele în sisteme de producție, inclusiv prin extragerea datelor (data scraping) sau teste contradictorii (adversarial testing). |
|
(31) |
Având în vedere că înalta calitate a probelor de audit este o condiție necesară pentru ca o organizație de audit să își formeze o opinie de audit cu un nivel rezonabil de asigurare, informațiile pe care organizația de audit decide să le utilizeze ca probe de audit ar trebui să fie adecvate și suficiente pentru a reduce riscurile de audit. În plus, probele de audit ar trebui să fie fiabile în conformitate cu raționamentul și scepticismul profesional al organizației de audit și, după caz, să țină cont de sursele alternative de informații. Raționamentul și scepticismul profesional ar trebui să includă o evaluare critică a probelor de audit și a posibilelor inexactități. Aceste standarde de calitate ar trebui să se aplice tuturor probelor de audit, indiferent dacă au fost furnizate de furnizorul auditat sau colectate din alte surse. |
|
(32) |
Organizația de audit ar trebui să țină seama de o serie de surse de informații, care ar putea include, de exemplu, interviuri cu personalul sau contractanții furnizorului auditat, inclusiv cu responsabili de conformitate, ingineri, oameni de știință în domeniul datelor, arhitecți software sau membri ai echipelor de audit intern. Acestea ar putea include, de asemenea, documentația tehnică privind proiectarea, punerea în aplicare, testarea și monitorizarea unui sistem relevant, inclusiv privind calitatea și guvernanța datelor și privind actualizările și versiunile sistemului, precum și alte documente privind guvernanța și procesele decizionale ale furnizorului auditat, inclusiv în ceea ce privește prioritățile, resursele, alocarea sarcinilor și a responsabilităților sau expertiza personalului relevant. |
|
(33) |
Pentru a asigura eficiența și proporționalitatea în efectuarea auditului, ar trebui să se permită organizației de audit să eșantioneze date și informații, acordând atenția cuvenită obținerii unui eșantion reprezentativ, pentru ca aceasta să poată formula o opinie de audit cu un nivel rezonabil de asigurare. Pentru a asigura transparența și reproductibilitatea procedurilor de audit, organizația de audit ar trebui să furnizeze justificări privind alegerea mărimii eșantionului și a metodei de eșantionare în raportul de audit. De exemplu, mărimea eșantionului și metodologia ar trebui să fie selectate luând în considerare ceea ce este eficace în îndeplinirea scopului auditării obligației sau a angajamentului specific auditat și pentru a reduce la minimum riscul ca concluzia auditului eșantionului specific să fie diferită de concluzia care s-ar stabili dacă întreaga populație de probe ar fi supusă procedurii de audit. Mărimea și metodologia eșantionului ar trebui selectate luând în considerare întregul domeniul de aplicare al auditului, precum și modificările interne sau externe ale serviciului auditat în această perioadă. De asemenea, acestea ar trebui să fie adaptate la particularitățile sistemelor algoritmice, inclusiv în ceea ce privește personalizarea prin crearea de profiluri. Ca parte a acestei analize, organizația de audit ar trebui, de exemplu, să eșantioneze în mod corespunzător diferitele cohorte sau partiții care pot rezulta din tehnicile de personalizare sau să identifice marja de eroare și să justifice de ce aceasta se află la un nivel acceptabil. |
|
(34) |
Având în vedere noutatea anumitor dispoziții din Regulamentul (UE) 2022/2065, este necesar să se stabilească principii metodologice, inclusiv întrebări de audit și orientări suplimentare pentru selectarea metodologiilor de audit și a probelor de audit pentru evaluarea conformității cu dispozițiile respective, și anume pentru evaluarea conformității cu articolele 34, 35 și 36 din Regulamentul (UE) 2022/2065 privind efectuarea evaluărilor riscurilor și adoptarea de măsuri de atenuare a riscurilor de către furnizorii auditați și privind aplicarea obligațiilor în ceea ce privește răspunsul în situații de criză. |
|
(35) |
Având în vedere că organizațiile de audit ar trebui, de asemenea, să evalueze respectarea de către furnizorul auditat a articolului 37 din Regulamentul (UE) 2022/2065, ar trebui furnizate, de asemenea, specificații suplimentare privind auditul specific cu privire la care ar trebui evaluată conformitatea, în special pentru a evita orice conflict de interese pentru organizația de audit. |
|
(36) |
Având în vedere caracterul voluntar al codurilor de conduită și al protocoalelor pentru situații de criză, este necesar să se prevadă norme specifice pentru auditarea conformității cu articolele 45, 46 și 48 din Regulamentul (UE) 2022/2065, în special pentru a se asigura că organizațiile de audit dispun de toate informațiile necesare pentru a efectua audituri specifice angajamentelor asumate în temeiul fiecărui cod de conduită și protocol pentru situații de criză, |
ADOPTĂ PREZENTUL REGULAMENT:
SECȚIUNEA I
Dispoziții generale
Articolul 1
Obiectul
Prezentul regulament stabilește norme privind efectuarea auditurilor în temeiul articolului 37 din Regulamentul (UE) 2022/2065, în ceea ce privește:
|
(a) |
etapele procedurale pentru a se asigura că organizația de audit care urmează să fie selectată îndeplinește condițiile prevăzute la articolul 37 alineatul (3) din Regulamentul (UE) 2022/2065; |
|
(b) |
etapele procedurale pentru cooperarea și asistența din partea furnizorului auditat în efectuarea auditurilor, inclusiv accesarea informațiilor relevante în vederea obținerii probelor de audit; |
|
(c) |
definirea și selectarea metodologiilor de audit; |
|
(d) |
modelele pentru raportul de audit și pentru raportul privind punerea în aplicare a măsurilor recomandate în urma auditului. |
Articolul 2
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
|
1. |
„organizație de audit” înseamnă o organizație individuală, un consorțiu sau o altă combinație de organizații, inclusiv subcontractanți, pe care furnizorul auditat le-a contractat pentru a efectua un audit independent în conformitate cu articolul 37 din Regulamentul (UE) 2022/2065; |
|
2. |
„serviciu auditat” înseamnă o platformă online foarte mare sau un motor de căutare online foarte mare desemnat în conformitate cu articolul 33 din Regulamentul (UE) 2022/2065; |
|
3. |
„furnizor auditat” înseamnă furnizorul unui serviciu auditat care face obiectul unor audituri independente în temeiul articolului 37 alineatul (1) din regulamentul respectiv; |
|
4. |
„obligație sau angajament auditat” înseamnă o obligație sau un angajament menționat la articolul 37 alineatul (1) din Regulamentul (UE) 2022/2065 care face obiectul auditului; |
|
5. |
„criterii de audit” înseamnă criteriile pe baza cărora organizația de audit evaluează conformitatea cu fiecare obligație sau angajament auditat; |
|
6. |
„probă de audit” înseamnă orice informație utilizată de o organizație de audit pentru a sprijini constatările și concluziile auditului și pentru a emite o opinie de audit, inclusiv date colectate din documente, baze de date sau sisteme informatice, interviuri sau teste efectuate; |
|
7. |
„inexactitate” înseamnă o omisiune, o declarație falsă sau o eroare intenționată sau neintenționată în declarațiile sau datele raportate sau furnizate de furnizorul auditat organizației de audit sau în mediul de testare pus la dispoziția organizației de audit de către furnizorul auditat; |
|
8. |
„risc de audit” înseamnă riscul ca organizația de audit să emită o opinie de audit incorectă sau să ajungă la o concluzie incorectă cu privire la respectarea de către furnizorul auditat a unei obligații sau a unui angajament auditat, având în vedere riscurile de nedetectare, riscurile inerente și riscurile de control în ceea ce privește obligația sau angajamentul auditat; |
|
9. |
„risc de nedetectare” înseamnă riscul ca organizația de audit să nu detecteze o inexactitate care este relevantă pentru evaluarea respectării de către furnizorul auditat a unei obligații sau a unui angajament auditat; |
|
10. |
„risc inerent” înseamnă riscul de neconformitate legat în mod intrinsec de natura, proiectarea, activitatea și utilizarea serviciului auditat, precum și de contextul în care acesta funcționează, cât și riscul de neconformitate legat de natura obligației sau a angajamentului auditat; |
|
11. |
„risc de control” înseamnă riscul ca o inexactitate să nu fie prevenită, detectată și corectată în timp util prin intermediul controalelor interne ale furnizorului auditat; |
|
12. |
„prag de semnificație” înseamnă pragul dincolo de care abaterile sau inexactitățile furnizorului auditat, individual sau cumulat, ar afecta în mod rezonabil constatările, concluziile și opiniile auditului; |
|
13. |
„nivel rezonabil de asigurare” înseamnă un nivel de asigurare ridicat, dar nu absolut, care permite organizației de audit să afirme, în cadrul opiniei sale de audit și în concluziile de audit, dacă furnizorul auditat respectă obligațiile sau angajamentele auditate, pe baza unor dovezi suficiente și adecvate; |
|
14. |
„control intern” înseamnă orice măsuri, inclusiv procese și teste, care sunt concepute, puse în aplicare și menținute de furnizorul auditat, inclusiv de responsabilii săi de conformitate și de organul său de conducere, pentru a monitoriza și a asigura respectarea de către furnizorul auditat a obligației sau a angajamentului auditat; |
|
15. |
„cercetător agreat” înseamnă un cercetător agreat în conformitate cu articolul 40 alineatul (8) din Regulamentul (UE) 2022/2065; |
|
16. |
„procedură de audit” înseamnă orice tehnică aplicată de organizația de audit în efectuarea auditului, inclusiv colectarea de date, alegerea și aplicarea metodologiilor, cum ar fi testele și procedurile analitice de fond, precum și orice altă acțiune întreprinsă pentru colectarea și analizarea informațiilor în vederea colectării probelor de audit și a formulării concluziilor auditului, fără a include emiterea unei opinii de audit sau a raportului de audit; |
|
17. |
„test” înseamnă o metodologie de audit care constă în măsurători, experimente sau alte verificări, inclusiv verificări ale sistemelor algoritmice, prin care organizația de audit evaluează respectarea de către furnizorul auditat a obligației sau a angajamentului auditat; |
|
18. |
„procedură analitică de fond” înseamnă o metodologie de audit utilizată de organizația de audit pentru a evalua informațiile pentru a deduce riscurile de audit sau respectarea obligației sau a angajamentului auditat. |
Articolul 3
Domeniul de aplicare al auditului și nivelul rezonabil de asigurare
(1) Auditul se efectuează într-un mod și pe o durată care să permită organizației de audit să evalueze respectarea de către furnizorul auditat a tuturor obligațiilor și angajamentelor auditate cu un nivel rezonabil de asigurare.
(2) Auditul acoperă perioada care începe imediat după perioada acoperită de auditul anterior și se încheie la o dată care permite organizației de audit să efectueze auditul în termenul prevăzut la articolul 37 alineatul (1) din Regulamentul (UE) 2022/2065, inclusiv prin declararea evaluării sale în temeiul alineatului (1) pe baza probelor colectate și a procedurilor de audit desfășurate în perioada respectivă, precum și prin completarea și transmiterea către furnizorul auditat a raportului de audit în temeiul articolului 37 alineatul (4) din regulamentul respectiv.
(3) În cazul în care nu a fost efectuat niciun audit anterior, auditul acoperă perioada care începe la patru luni de la notificarea menționată la articolul 33 alineatul (6) primul paragraf din Regulamentul (UE) 2022/2065, iar durata auditului permite ca raportul de audit efectuat în temeiul articolului 6 alineatul (1) să fie finalizat cel târziu în termen de un an de la începutul perioadei auditate.
SECȚIUNEA II
Condiții pentru efectuarea auditului
Articolul 4
Selectarea organizației de audit
(1) Înainte de selectarea unei organizații de audit în vederea efectuării auditului, furnizorul auditat verifică dacă organizația care urmează să fie selectată îndeplinește cerințele prevăzute la articolul 37 alineatul (3) din Regulamentul (UE) 2022/2065.
(2) În cazul în care organizația de audit care urmează să fie selectată este formată din mai mult de o persoană juridică sau intenționează să recurgă la unul sau mai mulți subcontractanți, furnizorul auditat verifică dacă toate aceste persoane juridice sau subcontractanți:
|
(a) |
îndeplinesc individual cerințele prevăzute la articolul 37 alineatul (3) literele (a) și (c) din Regulamentul (UE) 2022/2065; |
|
(b) |
îndeplinesc împreună cerința prevăzută la articolul 37 alineatul (3) litera (b) din Regulamentul (UE) 2022/2065. |
Articolul 5
Cooperarea și asistența dintre furnizorul auditat și organizația de audit
(1) La un moment convenit cu organizația de audit și, în orice caz, înainte de desfășurarea oricărei proceduri de audit, furnizorul auditat transmite organizației de audit selectate cel puțin următoarele informații:
|
(a) |
o descriere a controalelor interne instituite cu privire la fiecare obligație și angajament auditat, inclusiv indicatorii aferenți și toate măsurătorile actuale și istorice, precum și criteriile de referință utilizate de furnizorul auditat pentru a afirma sau a monitoriza respectarea obligațiilor și a angajamentelor auditate, precum și orice documente justificative; |
|
(b) |
analiza sa preliminară a riscurilor inerente și de control, în cazul în care furnizorul auditat a efectuat o astfel de analiză, precum și orice documente justificative; |
|
(c) |
informații cu privire la orice structuri decizionale relevante, competențele departamentelor furnizorului, inclusiv funcția de conformitate în temeiul articolului 41 din Regulamentul (UE) 2022/2065, sistemele informatice relevante, sursele de date, prelucrarea și stocarea, precum și explicații privind sistemele algoritmice relevante și interacțiunile dintre acestea. |
(2) Furnizorul auditat acordă organizației de audit, fără întârzieri nejustificate, acces la toate datele necesare pentru efectuarea auditului, inclusiv la date cu caracter personal, documentație, informații privind procedurile și procesele, precum și la sistemele informatice, mediile de testare, personalul și sediile furnizorului respectiv, precum și la orice subcontractanți relevanți.
(3) Furnizorul auditat pune la dispoziție toate resursele necesare și furnizează organizației de audit asistența și explicațiile necesare pentru ca organizația de audit să analizeze informațiile relevante și să efectueze teste, inclusiv în cazul în care informațiile solicitate de organizația de audit în conformitate cu articolul 37 alineatul (3) din Regulamentul (UE) 2022/2065 sunt deținute de o parte terță contractată de furnizorul auditat.
SECȚIUNEA III
Efectuarea auditurilor
Articolul 6
Raportul de audit și raportul privind punerea în aplicare a măsurilor recomandate în urma auditului
(1) Raportul de audit menționat la articolul 37 alineatul (4) din Regulamentul (UE) 2022/2065 este întocmit de organizația de audit, fără intervenția furnizorului auditat. Raportul de audit respectiv se întocmește în conformitate cu modelul din anexa I și conține concluzii detaliate și motivate cu privire la toate elementele modelului.
(2) Dacă este cazul, raportul privind punerea în aplicare a măsurilor recomandate în urma auditului menționat la articolul 37 alineatul (6) din Regulamentul (UE) 2022/2065 se întocmește în conformitate cu modelul din anexa II.
Articolul 7
Proceduri pentru pregătirea auditului
(1) Furnizorul auditat și organizația de audit încheie un acord scris care stabilește:
|
(a) |
lista exhaustivă a obligațiilor și angajamentelor auditate; |
|
(b) |
responsabilitățile organizației de audit, inclusiv, dacă este cazul, în mod detaliat pentru fiecare persoană juridică ce constituie organizația de audit, precum și pentru părțile împuternicite să semneze raportul de audit; |
|
(c) |
procedurile și punctele de contact puse la dispoziție de furnizorul auditat pentru ca organizația de audit să solicite accesul la datele menționate la articolul 5 alineatul (2); |
|
(d) |
calendarul auditului, inclusiv data de începere și de încheiere a procedurilor de audit și finalizarea raportului de audit; |
|
(e) |
o procedură privind modul în care trebuie soluționate litigiile dintre furnizorul auditat și organizația de audit care decurg din efectuarea auditului. |
(2) Acordul menționat la alineatul (1), precum și orice alte acorduri sau scrisori de angajament între organizația de audit și furnizorul auditat cu privire la efectuarea auditului se anexează la raportul de audit.
(3) În cazul în care, în cursul auditului, se aduc modificări acordului menționat la alineatul (1), acestea sunt menționate în mod explicit în raportul de audit.
Articolul 8
Opinia de audit, concluziile și recomandările auditului
(1) Raportul de audit include concluziile auditului la care a ajuns organizația de audit cu privire la respectarea de către furnizorul auditat a obligațiilor și angajamentelor auditate. Concluziile auditului sunt:
|
(a) |
„pozitive”, în cazul în care organizația de audit concluzionează cu un nivel rezonabil de asigurare că furnizorul auditat a respectat o obligație sau un angajament auditat; |
|
(b) |
„pozitive, cu observații”, în cazul în care organizația de audit concluzionează cu un nivel rezonabil de asigurare că furnizorul auditat a respectat o obligație sau un angajament auditat, dar:
|
|
(c) |
„negative”, în cazul în care organizația de audit concluzionează cu un nivel rezonabil de asigurare că furnizorul auditat nu a respectat o obligație sau un angajament auditat. |
(2) În cazul în care un raport de audit include recomandări operaționale în temeiul articolului 37 alineatul (4) litera (h) din Regulamentul (UE) 2022/2065, recomandările respective și calendarul recomandat pentru acestea sunt specifice fiecărei obligații auditate sau fiecărui angajament auditat pentru care concluzia auditului în temeiul alineatului (1) este „pozitivă, cu observații” sau „negativă”.
(3) În cazul în care recomandările operaționale menționate la alineatul (2) includ măsuri specifice de asigurare a conformității, acestea sunt formulate într-un mod care explică evaluarea organizației de audit cu privire la modul în care astfel de măsuri ar afecta pragul de semnificație în comparație cu concluzia auditului pentru obligația sau angajamentul auditat respectiv.
(4) Pe baza concluziilor auditului, raportul de audit include o opinie de audit privind respectarea de către furnizorul auditat a tuturor obligațiilor auditate menționate la articolul 37 alineatul (1) litera (a) din Regulamentul (UE) 2022/2065.
(5) Pe baza concluziilor tuturor angajamentelor auditate, raportul de audit include una sau mai multe opinii de audit, după caz, cu privire la respectarea de către furnizorul auditat a tuturor angajamentelor auditate asumate de furnizorul auditat în temeiul fiecărui cod de conduită și protocol pentru situații de criză menționat la articolul 37 alineatul (1) litera (b) din Regulamentul (UE) 2022/2065.
(6) Opiniile de audit emise în temeiul alineatelor (4) și (5) sunt fie:
|
(a) |
„pozitive”, dacă organizația de audit a ajuns la o concluzie de audit „pozitivă” pentru toate obligațiile sau angajamentele auditate, fie |
|
(b) |
„pozitive, cu observații”, dacă organizația de audit a ajuns la cel puțin o concluzie de audit care este „pozitivă, cu observații” pentru o obligație sau un angajament auditat și nu a ajuns la o concluzie de audit „negativă” pentru niciuna dintre obligațiile sau angajamentele auditate; fie |
|
(c) |
„negative”, dacă organizația de audit a ajuns la o concluzie de audit „negativă” pentru cel puțin o obligație auditată sau un angajament auditat. |
(7) În cazul în care organizația de audit estimează că, pentru o perioadă limitată în cursul perioadei menționate la articolul 3 alineatul (2), furnizorul nu a respectat o obligație sau un angajament auditat, raportul de audit documentează în mod corespunzător evaluarea respectivă.
(8) În cazul în care organizația de audit nu poate emite cu un nivel rezonabil de asigurare o concluzie de audit în temeiul alineatului (1) sau o opinie de audit în temeiul alineatelor (4) și (5), raportul de audit include o explicație a circumstanțelor și a motivelor pentru care un astfel de nivel de asigurare nu a putut fi atins.
SECȚIUNEA IV
Metodologiile de audit
Articolul 9
Analiza riscurilor de audit
(1) Raportul de audit include o analiză motivată a riscurilor de audit efectuată de organizația de audit pentru evaluarea respectării de către furnizorul auditat a fiecărei obligații auditate sau a fiecărui angajament auditat.
(2) Analiza riscurilor de audit se realizează înainte de efectuarea procedurilor de audit și se actualizează pe parcursul efectuării auditului, în lumina oricăror noi probe de audit care, conform raționamentului profesional al organizației de audit, modifică în mod semnificativ evaluarea riscului de audit.
(3) Analiza riscurilor de audit ia în considerare:
|
(a) |
riscurile inerente; |
|
(b) |
riscurile de control; |
|
(c) |
riscurile de nedetectare. |
(4) Analiza riscurilor de audit se desfășoară ținând cont de:
|
(a) |
natura serviciului auditat și contextul societal și economic în care funcționează serviciul auditat, inclusiv probabilitatea și gravitatea expunerii la situații de criză și la evenimente neprevăzute; |
|
(b) |
natura obligațiilor și a angajamentelor; |
|
(c) |
alte informații adecvate, inclusiv:
|
Articolul 10
Metodologii de audit adecvate
(1) Fără a aduce atingere metodologiilor de audit specifice prevăzute la articolele 13, 14 și 15, auditurile se efectuează prin utilizarea unor metodologii de audit adecvate pentru a reduce riscurile de audit evaluate la un nivel care să permită organizației de audit să ajungă la concluzii de audit cu un nivel rezonabil de asigurare.
(2) Raportul de audit include o descriere a metodologiilor de audit elaborate de organizația de audit înainte de efectuarea oricăror proceduri de audit, incluzând cel puțin:
|
(a) |
criteriile de audit, pentru evaluarea conformității cu fiecare obligație sau angajament auditat, definite pe baza informațiilor prevăzute la articolul 5 alineatul (1) litera (a), și pragul de semnificație tolerat și exprimat în termeni calitativi sau cantitativi, după caz; |
|
(b) |
toate testele și procedurile analitice de fond și probele de audit pe care organizația de audit intenționează să le utilizeze pentru a evalua conformitatea pentru fiecare obligație sau angajament auditat. |
Raportul de audit include o descriere a oricăror modificări ale metodologiilor utilizate în cursul auditului în comparație cu metodologiile concepute înainte de efectuarea procedurilor de audit.
(3) În cazul în care o organizație de audit are îndoieli justificate cu privire la informațiile evaluate în cursul auditului, în special în ceea ce privește informațiile prezentate de furnizorul auditat, alegerea și aplicarea metodologiei se adaptează pentru a permite organizației respective să dispună de probele de audit necesare, în conformitate cu articolul 11.
(4) Se consideră că îndoielile justificate menționate la alineatul (3) apar, în special, în prezența oricăruia dintre următoarele elemente:
|
(a) |
raționamentul și scepticismul profesional la evaluarea informațiilor, inclusiv în ceea ce privește controalele interne ale furnizorului auditat, fapt care determină organizația de audit să formuleze îndoieli rezonabile; |
|
(b) |
indicațiile externe care semnalează riscurile de audit, în special rapoartele Comitetului european pentru servicii digitale menționate la articolul 35 alineatul (2) din Regulamentul (UE) 2022/2065, orientările Comisiei, inclusiv prin intermediul orientărilor menționate la articolul 35 alineatul (3) din regulamentul respectiv și orice alte orientări relevante emise de Comisie cu privire la aplicarea Regulamentului (UE) 2022/2065, precum și rapoartele de audit emise în temeiul codurilor de conduită sau al protocoalelor pentru situații de criză menționate la articolele 45, 46 și 48 din regulamentul respectiv; |
|
(c) |
informațiile referitoare la evenimentele survenite în cursul auditului, inclusiv situații de criză, care necesită acțiuni suplimentare din partea furnizorului auditat pentru a asigura respectarea anumitor obligații sau angajamente auditate. |
(5) Procedurile de audit includ cel puțin:
|
(a) |
efectuarea testelor și a procedurilor analitice de fond pentru controalele interne pe care furnizorul auditat le-a instituit pentru fiecare dintre obligațiile sau angajamentele auditate; |
|
(b) |
efectuarea procedurilor analitice de fond pentru evaluarea conformității cu fiecare obligație și angajament auditat, inclusiv în ceea ce privește sistemele algoritmice; |
|
(c) |
efectuarea de teste, inclusiv în ceea ce privește sistemele algoritmice, privind obligațiile și angajamentele auditate cu privire la care organizația de audit are îndoieli justificate, astfel cum se menționează la alineatul (4), și privind obligațiile și angajamentele auditate, în cazul în care organizația de audit consideră că este necesar să efectueze teste referitoare la alegerea metodologiei în temeiul alineatului (1). |
(6) În cazul în care obligațiile sau angajamentele menționate la articolul 37 alineatul (1) din Regulamentul (UE) 2022/2065 impun furnizorului auditat să raporteze public anumite informații, metodologiile de audit includ o evaluare a faptului dacă informațiile raportate nu sunt afectate de erori sau de omisiuni semnificative care, în caz contrar, ar putea induce în eroare.
Articolul 11
Calitatea probelor de audit
Concluziile auditului și opiniile de audit se bazează pe probe de audit care îndeplinesc cumulativ următoarele două cerințe:
|
(a) |
sunt relevante și suficiente pentru a reduce riscurile de audit identificate în conformitate cu articolul 9 și pentru a permite organizației de audit să formuleze concluzii și opinii de audit în conformitate cu articolul 8; |
|
(b) |
sunt fiabile, conform raționamentului și scepticismului profesional al organizației de audit. |
Articolul 12
Metode de eșantionare
(1) În cazul în care probele de audit se bazează, parțial sau integral, pe un eșantion de date sau informații, mărimea eșantionului și metodologia de eșantionare se selectează astfel încât să asigure reducerea la minimum a riscului de nedetectare și fără interferențe din partea furnizorului auditat.
(2) Mărimea eșantionului și metodologia de eșantionare se selectează astfel încât să se asigure reprezentativitatea datelor sau a informațiilor și, după caz, luând în considerare toate elementele următoare:
|
(a) |
reprezentativitatea eșantionului pentru perioada menționată la articolul 3 alineatele (2) și (3); |
|
(b) |
modificările relevante ale serviciului auditat în perioada respectivă; |
|
(c) |
modificările relevante ale contextului în care este furnizat serviciul auditat în perioada respectivă; |
|
(d) |
caracteristicile relevante ale sistemelor algoritmice, după caz, inclusiv personalizarea bazată pe crearea de profiluri sau pe alte criterii; |
|
(e) |
alte caracteristici sau împărțiri relevante ale datelor, informațiilor și elementelor de probă în cauză; |
|
(f) |
reprezentarea și analiza corespunzătoare a preocupărilor legate de anumite grupuri, după caz, cum ar fi minorii sau grupurile vulnerabile și minoritățile, în legătură cu obligația sau angajamentul auditat. |
(3) Raportul de audit include o justificare a alegerii mărimii eșantionului și a metodologiei de eșantionare.
Articolul 13
Metodologii specifice pentru auditarea conformității cu articolul 34 din Regulamentul (UE) 2022/2065 privind evaluarea riscurilor
(1) Evaluarea respectării de către furnizorul auditat a articolului 34 din Regulamentul (UE) 2022/2065 include, dar nu se limitează la o analiză a tuturor elementelor următoare:
|
(a) |
dacă furnizorul auditat a identificat, a analizat și a evaluat cu diligență riscurile sistemice din Uniune menționate la articolul 34 alineatul (1) primul paragraf din Regulamentul (UE) 2022/2065, inclusiv evaluând:
|
|
(b) |
dacă evaluarea riscurilor a fost efectuată în termenele prevăzute la articolul 34 alineatul (1) al doilea paragraf din Regulamentul (UE) 2022/2065 și, după caz, în termenele prevăzute pentru activitățile stabilite ca măsuri de atenuare a riscurilor pentru detectarea riscurilor sistemice în temeiul articolului 35 alineatul (1) litera (f) din regulamentul respectiv; |
|
(c) |
modul în care furnizorul auditat a identificat funcționalități care pot avea un impact critic asupra riscurilor pentru care se efectuează evaluări ale riscurilor înainte de implementarea lor, în temeiul articolului 34 alineatul (1) al doilea paragraf din Regulamentul (UE) 2022/2065, dacă funcționalitățile respective au fost identificate corect și dacă evaluarea riscurilor a fost efectuată în mod corespunzător; |
|
(d) |
dacă furnizorul auditat a identificat în mod corect documentele justificative care ar trebui păstrate în ceea ce privește evaluarea riscurilor și dacă a instituit mijloacele necesare pentru a asigura păstrarea documentației respective timp de cel puțin trei ani, în temeiul articolului 34 alineatul (3) din Regulamentul (UE) 2022/2065, și dacă documentația a fost păstrată în consecință. |
(2) Fără a aduce atingere vreunei alte analize necesare pentru atingerea unui nivel rezonabil de asigurare, metodologiile de auditare a conformității cu articolul 34 din Regulamentul (UE) 2022/2065 includ cel puțin o evaluare de către organizația de audit a următoarelor elemente:
|
(a) |
controalele interne pe care furnizorul auditat le-a instituit pentru a monitoriza efectuarea evaluărilor riscurilor în ceea ce privește fiecare factor menționat la articolul 34 alineatul (2) primul paragraf din Regulamentul (UE) 2022/2065; o astfel de evaluare:
|
|
(b) |
acțiunile, mijloacele și procesele instituite de furnizorul auditat pentru a asigura conformitatea cu articolul 34 din Regulamentul (UE) 2022/2065 și rezultatele acestora; o astfel de evaluare se bazează pe:
|
(3) Informațiile analizate de organizația de audit în sprijinul evaluării efectuate în temeiul prezentului articol constau în, dar nu se limitează la:
|
(a) |
raportul de evaluare a riscurilor pentru perioada auditată relevantă, care a fost întocmit de furnizorul auditat, inclusiv, dacă este necesar, informațiile confidențiale care nu fac parte din informațiile publicate în temeiul articolului 42 alineatul (2) din regulamentul respectiv, precum și toate documentele justificative; |
|
(b) |
dacă este cazul, alte rapoarte de evaluare a riscurilor ale furnizorului auditat și documentele justificative aferente; |
|
(c) |
informațiile prezentate de furnizorul auditat în temeiul articolului 5; |
|
(d) |
toate rapoartele relevante privind transparența ale furnizorului auditat menționate la articolul 15 alineatul (1) din Regulamentul (UE) 2022/2065; |
|
(e) |
orice alte rezultate ale testelor, documente, dovezi, declarații făcute ca răspuns la întrebările scrise sau orale adresate de organizația de audit personalului furnizorului auditat și observațiile făcute la fața locului, după caz; |
|
(f) |
alte dovezi relevante, inclusiv pe baza informațiilor puse la dispoziție de furnizorul auditat; |
|
(g) |
după caz, rapoartele menționate la articolul 35 alineatul (2) din Regulamentul (UE) 2022/2065 și orientările Comisiei, inclusivi orientările emise în temeiul articolului 35 alineatul (3) din regulamentul respectiv, precum și orice alte orientări relevante emise de Comisie cu privire la aplicarea Regulamentului (UE) 2022/2065. |
(4) Informațiile analizate de organizația de audit pot cuprinde, după caz, informațiile menționate la articolul 42 alineatul (4) din Regulamentul (UE) 2022/2065, inclusiv din rapoartele de audit, de evaluare a riscurilor și de atenuare a riscurilor, privind alte platforme online foarte mari sau motoare de căutare online foarte mari sau date și cercetări puse la dispoziția publicului de către cercetătorii agreați în temeiul articolului 40 alineatul (8) litera (g) din regulamentul respectiv.
Articolul 14
Metodologii specifice pentru auditarea conformității cu articolul 35 din Regulamentul (UE) 2022/2065 privind atenuarea riscurilor
(1) Evaluarea respectării de către furnizorul auditat a articolului 35 din Regulamentul (UE) 2022/2065 include, dar nu se limitează la o analiză a tuturor elementelor următoare:
|
(a) |
modul în care furnizorul auditat a identificat măsuri de atenuare a riscurilor pentru fiecare dintre riscurile sistemice menționate la articolul 34 alineatul (1) din Regulamentul (UE) 2022/2065 și dacă identificarea unor astfel de măsuri de atenuare a riscurilor a fost efectuată cu diligență; |
|
(b) |
modul în care furnizorul auditat a evaluat dacă măsurile de atenuare a riscurilor prevăzute la articolul 35 alineatul (1) literele (a)-(k) din Regulamentul (UE) 2022/2065 erau aplicabile serviciului auditat și dacă concluzia evaluării respective a fost adecvată, inclusiv în ceea ce privește măsurile care nu au fost aplicate de furnizorul auditat; |
|
(c) |
dacă măsurile de atenuare instituite de furnizorul auditat sunt rezonabile, proporționale și eficace pentru atenuarea riscurilor respective, inclusiv:
|
(2) Fără a aduce atingere vreunei alte analize necesare pentru atingerea unui nivel rezonabil de asigurare, metodologiile de auditare a conformității cu articolul 35 din Regulamentul (UE) 2022/2065 includ cel puțin o evaluare de către organizația de audit a următoarelor elemente:
|
(a) |
controalele interne pe care furnizorul auditat le-a instituit pentru a monitoriza aplicarea măsurilor de atenuare a riscurilor menționate la articolul 35 alineatul (1) din Regulamentul (UE) 2022/2065 și dacă acestea sunt rezonabile, proporționale și eficace; o astfel de evaluare:
|
|
(b) |
măsurile de atenuare puse în aplicare de furnizorii auditați; o astfel de evaluare se bazează pe:
|
(3) Informațiile analizate de organizația de audit în sprijinul evaluării efectuate în temeiul prezentului articol constau în, dar nu se limitează la:
|
(a) |
rapoartele privind evaluarea și atenuarea riscurilor pentru perioada auditată relevantă, care au fost întocmite de furnizorul auditat, inclusiv, dacă este necesar, informațiile confidențiale care nu fac parte din informațiile publicate în temeiul articolului 42 alineatul (2) din Regulamentul (UE) 2022/2065, precum și toate documentele justificative; |
|
(b) |
dacă este cazul, alte rapoarte ale furnizorului auditat privind evaluarea și atenuarea riscurilor și documentele justificative aferente; |
|
(c) |
informațiile prezentate de furnizorul auditat în temeiul articolului 5; |
|
(d) |
toate rapoartele relevante privind transparența ale furnizorului auditat menționate la articolul 15 alineatul (1) din Regulamentul (UE) 2022/2065; |
|
(e) |
dacă este cazul, rapoartele anterioare privind atenuarea riscurilor și documentele justificative aferente, care se referă la perioade care nu sunt acoperite de perioada auditată, inclusiv, dacă este necesar, informații confidențiale care nu fac parte din informațiile publicate în temeiul articolului 42 alineatul (2) din Regulamentul (UE) 2022/2065; |
|
(f) |
orice alte rezultate ale testelor, documente, dovezi, declarații făcute ca răspuns la întrebările scrise și/sau orale adresate de organizația de audit personalului furnizorului auditat și observațiile făcute la fața locului, după caz; |
|
(g) |
alte dovezi relevante, inclusiv pe baza informațiilor puse la dispoziție de furnizorul auditat; |
|
(h) |
după caz, rapoartele menționate la articolul 35 alineatul (2) din Regulamentul (UE) 2022/2065 și orientările Comisiei, inclusivi orientările emise în temeiul articolului 35 alineatul (3) din regulamentul respectiv, precum și orice alte orientări relevante emise de Comisie cu privire la aplicarea Regulamentului (UE) 2022/2065. |
(4) Informațiile analizate de organizația de audit pot cuprinde, după caz, informațiile menționate la articolul 42 alineatul (4) din Regulamentul (UE) 2022/2065, inclusiv din rapoartele de audit, de evaluare a riscurilor și de atenuare a riscurilor, privind alte platforme online foarte mari sau motoare de căutare online foarte mari sau date și cercetări puse la dispoziția publicului de către cercetătorii agreați în temeiul articolului 40 alineatul (8) litera (g) din Regulamentul (UE) 2022/2065.
Articolul 15
Metodologii specifice pentru auditarea conformității cu articolul 36 din Regulamentul (UE) 2022/2065 privind mecanismul de răspuns în situații de criză
(1) Evaluarea conformității furnizorului auditat cu articolul 36 alineatul (1) primul paragraf litera (a) din Regulamentul (UE) 2022/2065 include, dar nu se limitează la o analiză a măsurii și a modului în care furnizorul auditat a efectuat acțiunile necesare, în special:
|
(a) |
dacă și în ce mod furnizorul auditat a identificat sistemele relevante implicate în funcționarea și utilizarea serviciului său care contribuie în mod semnificativ la amenințarea gravă și dacă sistemele respective au fost identificate în mod corespunzător; |
|
(b) |
dacă și în ce mod furnizorul auditat a definit și a monitorizat contribuția semnificativă la amenințarea gravă și dacă evaluarea sa a fost adecvată; |
|
(c) |
orice altă cerință specificată în decizia Comisiei menționată la articolul 36 alineatul (1) sau la articolul 36 alineatul (7) al doilea paragraf din Regulamentul (UE) 2022/2065, după caz. |
(2) Evaluarea conformității furnizorului auditat cu articolul 36 alineatul (1) primul paragraf litera (b) din Regulamentul (UE) 2022/2065 include, dar nu se limitează la o analiză a măsurii și a modului în care furnizorul auditat a efectuat acțiunile necesare, în special:
|
(a) |
dacă și în ce mod furnizorul auditat a identificat măsuri de prevenire, eliminare sau limitare a oricărei contribuții la amenințarea gravă; |
|
(b) |
dacă și în ce mod măsurile luate de furnizorul auditat au abordat gravitatea amenințării grave, urgența și dacă măsurile au fost adecvate în acest sens; |
|
(c) |
dacă și în ce mod furnizorul auditat a identificat părțile vizate de măsuri și interesele lor legitime, precum și modul în care furnizorul auditat a evaluat impactul real sau potențial al măsurilor asupra drepturilor părților respective, inclusiv asupra drepturilor fundamentale, și asupra intereselor legitime; |
|
(d) |
dacă măsurile luate de furnizorul auditat au fost eficace și proporționale; |
|
(e) |
orice altă cerință specificată în decizia Comisiei menționată la articolul 36 alineatul (1) sau la articolul 36 alineatul (7) al doilea paragraf din Regulamentul (UE) 2022/2065, după caz. |
(3) Evaluarea conformității furnizorului auditat cu articolul 36 alineatul (1) primul paragraf litera (c) din Regulamentul (UE) 2022/2065 include, dar nu se limitează la o analiză a modului în care furnizorul auditat a întreprins acțiunile necesare, în special dacă furnizorul auditat a furnizat Comisiei informațiile solicitate în decizia Comisiei menționată la articolul 36 alineatul (1) sau la articolul 36 alineatul (7) al doilea paragraf din Regulamentul (UE) 2022/2065 și dacă rapoartele respective au fost exacte.
Articolul 16
Auditarea conformității cu articolul 37 din Regulamentul (UE) 2022/2065 privind auditul independent
(1) Respectarea obligațiilor prevăzute la articolul 37 din Regulamentul (UE) 2022/2065 și în prezentul regulament se evaluează în raport cu auditul sau auditurile efectuate în perioada anuală anterioară auditului în curs.
(2) În plus față de alineatul (1), auditul include o evaluare a conformității furnizorului auditat cu articolul 37 alineatul (2) din Regulamentul (UE) 2022/2065 în ceea ce privește auditul în curs.
(3) În cazul în care auditul sau auditurile anterioare menționate la alineatul (1) au fost efectuate de aceeași organizație de audit ca și auditul în curs sau în cazul în care organizația de audit care efectuează auditul actual cuprinde cel puțin o entitate juridică care a participat la auditul anterior, raportul de audit include o explicație a etapelor instituite de organizația de audit pentru a asigura obiectivitatea evaluării.
Articolul 17
Auditarea respectării codurilor de conduită și a protocoalelor pentru situații de criză
(1) Furnizorul auditat pune la dispoziția organizației de audit:
|
(a) |
o listă și textul tuturor codurilor de conduită menționate la articolele 45 și 46 din Regulamentul (UE) 2022/2065 și al protocoalelor pentru situații de criză menționate la articolul 48 din regulamentul respectiv, la care furnizorul auditat este semnatar; |
|
(b) |
o listă detaliată a angajamentelor asumate în cadrul codurilor de conduită și al protocoalelor pentru situații de criză pe care furnizorul auditat și le-a asumat; |
|
(c) |
după caz, indicatorii-cheie de performanță conveniți în cadrul fiecărui cod de conduită și protocol pentru situații de criză; |
|
(d) |
după caz, orice măsurători, date și documente disponibile, precum și orice rapoarte întocmite de furnizorul auditat cu privire la respectarea de către furnizorul auditat a angajamentelor asumate, inclusiv accesul la toate informațiile și datele relevante referitoare la funcționarea serviciilor oferite de prestatorul auditat, relevante pentru punerea în aplicare a codului de conduită sau a protocolului pentru situații de criză; |
|
(e) |
după caz, alte măsurători, date și documente pregătite de semnatarii codului de conduită sau ai protocolului pentru situații de criză, precum și evaluările Comisiei sau ale comitetului menționate la articolul 45 alineatul (4) din Regulamentul (UE) 2022/2065. |
(2) Evaluarea respectării de către furnizorul auditat a codurilor de conduită menționate la articolul 45 din Regulamentul (UE) 2022/2065 include, dar nu se limitează la măsurarea indicatorilor-cheie de performanță conveniți în codul de conduită în temeiul articolului 45 alineatul (3) din regulamentul respectiv, precizând pragul de semnificație al concluziilor auditului, precum și exactitatea datelor raportate.
SECȚIUNEA V
Dispoziții finale
Articolul 18
Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 20 octombrie 2023.
Pentru Comisie
Președinta
Ursula VON DER LEYEN
ANEXA I
MODEL PENTRU RAPORTUL DE AUDIT MENȚIONAT LA ARTICOLUL 6
Cuprins
|
SECȚIUNEA B: Organizație (organizații) de audit Pentru a completa secțiunea de mai jos, a se introduce oricâte rânduri sunt necesare pentru fiecare punct. |
||||||||||||||||||||||||||||||
|
|
SECȚIUNEA F.1: Părți terțe consultate A se repeta această secțiune pentru fiecare parte terță consultată, crescând numărul din denumirea secțiunii cu unu (de exemplu, F.1, F.2 etc.). |
||||||||
|
|
SECȚIUNEA G: Orice alte informații pe care organismul de audit dorește să le includă în raportul de audit (cum ar fi o descriere a posibilelor limitări inerente). |
|
|
|
|
A se include oricâte rânduri sunt necesare în conformitate cu alocarea responsabilităților și competența delegată menționată la articolul 7 alineatul (1) litera (b) |
|
Data: … |
Semnat de: … |
|
Locul: … |
În numele: … |
|
|
Responsabil cu: … |
Anexe la raportul de audit (după caz):
Documentele solicitate în temeiul articolului 7 alineatul (2) din prezentul regulament.
Documente referitoare la analiza riscurilor de audit în temeiul articolului 9 din prezentul regulament.
Documente care atestă că organizația de audit respectă obligațiile prevăzute la articolul 37 alineatul (3) litera (a) din Regulamentul (UE) 2022/2065.
Documente care atestă că organizația de audit respectă obligațiile prevăzute la articolul 37 alineatul (3) litera (b) din Regulamentul (UE) 2022/2065.
Documente care atestă că organizația de audit respectă obligațiile prevăzute la articolul 37 alineatul (3) litera (c) din Regulamentul (UE) 2022/2065.
Documentația și rezultatele oricăror teste efectuate de organizația de audit, inclusiv în ceea ce privește sistemele algoritmice ale furnizorului auditat.
Codurile de conduită menționate la articolele 45 și 46 din Regulamentul (UE) 2022/2065 în temeiul cărora furnizorul auditat și-a asumat angajamente, inclusiv o indicație clară a oricărui angajament asumat și a oricărui indicator-cheie de performanță convenit pentru angajamentul respectiv.
Protocoalele pentru situații de criză menționate la articolul 48 din Regulamentul (UE) 2022/2065 puse în aplicare de furnizorul auditat.
Orice altă anexă pe care organizația de audit dorește să o includă.
ANEXA II
MODEL PENTRU RAPORTUL PRIVIND PUNEREA ÎN APLICARE A MĂSURILOR RECOMANDATE ÎN URMA AUDITULUI MENȚIONAT LA ARTICOLUL 6
Cuprins
|
SECȚIUNEA A: Informații generale |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0782 (electronic edition)