Uradni list
Evropske unije
SL
Serija L
|
|
Uradni list |
SL Serija L |
|
2024/436 |
2.2.2024 |
DELEGIRANA UREDBA KOMISIJE (EU) 2024/436
z dne 20. oktobra 2023
o dopolnitvi Uredbe (EU) 2022/2065 Evropskega parlamenta in Sveta z določitvijo pravil o izvajanju revizij za zelo velike spletne platforme in zelo velike spletne iskalnike
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah) (1) in zlasti člena 37(7) navedene uredbe,
ob upoštevanju naslednjega:
|
(1) |
Neodvisne revizije so pomembno orodje pri nadzoru skladnosti ponudnikov zelo velikih spletnih platform in zelo velikih spletnih iskalnikov z njihovimi obveznostmi iz Uredbe (EU) 2022/2065. Medtem ko so v navedeni uredbi predvidena druga orodja odgovornosti, med drugim z okrepljenim javnim nadzorom poročil o preglednosti in drugih zahtev po razkritju podatkov, imajo neodvisne revizijske organizacije posebno vlogo pri zgodnjem ocenjevanju skladnosti takih ponudnikov z navedeno uredbo. Sklepi in ugotovitve takih neodvisnih revizij ter njihova priporočila lahko pomembno vplivajo na regulativni nadzor. Hkrati so neodvisne revizije eden od več virov informacij in analiz, ki jih lahko regulatorji uporabljajo pri svojem nadzoru in izvrševanju. |
|
(2) |
Za zagotovitev, da se neodvisne revizije od datuma začetka uporabe Uredbe (EU) 2022/2065 izvajajo učinkovito, uspešno, pravočasno in primerljivo, kot je opredeljeno v členih 92 in 93 Uredbe, bi morala Komisija določiti pravila o izvajanju revizij, zlasti kar zadeva pravne obveznosti revidiranih ponudnikov in postopkovne ukrepe za zagotovitev, da organizacije, ki izvajajo revizije, izpolnjujejo pogoje glede neodvisnosti, prepovedi nasprotja interesov, strokovnega znanja in poklicne etike iz člena 37(3) Uredbe (EU) 2022/2065. |
|
(3) |
Da bi se olajšalo ustrezno izvajanje revizij z visoko ravnjo strokovnega znanja in preprečile nenamerne posledice na trgu revizijskih storitev, bi bilo treba pojasniti, da lahko revizije v skladu s členom 37 Uredbe (EU) 2022/2065 izvaja več revizorjev. Kadar je ustrezno, na primer zaradi potrebe po posebnem strokovnem znanju pri reviziji nekaterih obveznosti ali zavez, kot so tiste v zvezi z oblikovanjem in delovanjem algoritemskih sistemov, razumevanjem tveganj za temeljne pravice ali širjenjem nezakonite vsebine, lahko revidirani ponudnik za izvedbo revizije pooblasti različne revizijske organizacije ali konzorcij organizacij. Revizijske organizacije lahko potrebno strokovno znanje naročijo tudi pri podizvajalcih, če tako revizijska organizacija kot podizvajalci izpolnjujejo potrebne pogoje glede neodvisnosti, prepovedi nasprotja interesov, dokazane objektivnosti in poklicne etike ter če skupaj izpolnjujejo pogoje glede tehničnega strokovnega znanja. V takih primerih bi moral revidirani ponudnik še vedno zagotoviti, da se njegova skladnost z vsemi obveznostmi in zavezami iz člena 37(1) Uredbe (EU) 2022/2065 revidira vsaj enkrat na leto. |
|
(4) |
Revizijska mnenja iz člena 37(4), točka (g), Uredbe (EU) 2022/2065 bi morale revizijske organizacije potrditi z razumno ravnjo zanesljivosti. Da bi revizijska organizacija dosegla razumno raven zanesljivosti, bi morala imeti visoko, vendar ne absolutno raven zaupanja, da ni prišlo do napačnih navedb, kot so izpusti, napačne predstavitve ali napake, ki niso bile odkrite med revizijo. Za zagotovitev navedene ravni zanesljivosti bi morala revizijska organizacija med drugim pridobiti zadostne dokaze in pri ocenjevanju uporabiti ustrezne metodologije revizije. |
|
(5) |
V skladu s členom 37(1) Uredbe (EU) 2022/2065 bi bilo treba neodvisne revizije izvajati vsaj enkrat letno in jih uskladiti z letnim ciklom ocen tveganja iz člena 34 navedene uredbe. Vendar bodo v nekaterih primerih morda potrebne pogostejše revizije. Zaporedje revizij bi moralo zagotavljati neprekinjen nadzor nad skladnostjo revidiranih ponudnikov z Uredbo (EU) 2022/2065 ter ustreznimi kodeksi ravnanja in kriznimi protokoli. Revidirani ponudnik bi moral zagotoviti, da obdobje, za katero se pri določeni reviziji ocenjuje skladnost z revidiranimi obveznostmi in zavezami, dopolnjuje obdobje, zajeto v prejšnji reviziji skladnosti ponudnika z navedenimi obveznostmi in zavezami, ter se začne najpozneje takrat, ko se obdobje, zajeto v prejšnji reviziji, konča. Ker zaključek revizije vključuje oceno, ki jo opravi revizijska organizacija, in tudi pripravo revizijskega poročila, bi morali revidirani ponudniki zagotoviti, da trajanje revizije omogoča, da se revizije zaključijo vsaj enkrat letno, ter da predložitev revizijskih poročil Komisiji in koordinatorju digitalnih storitev sledi brez nepotrebnega odlašanja v skladu s členom 42(4) Uredbe (EU) 2022/2065. |
|
(6) |
Čeprav revidirani ponudniki v nobenem primeru ne bi smeli posegati v izvajanje revizije in njene sklepe, bi morali izpolniti svoje obveznosti iz člena 37 Uredbe (EU) 2022/2065, vključno z dogovorom o pogodbenih pogojih z revizijsko organizacijo, in pred izbiro revizijske organizacije preveriti, ali navedena organizacija izpolnjuje pogoje iz člena 37(3) Uredbe (EU) 2022/2065. |
|
(7) |
Revidirani ponudnik bi moral na primer oceniti pogodbe, ki jih je predhodno sklenil z revizijsko organizacijo, ali pogodbe, sklenjene med revizijsko organizacijo in pravnimi osebami, povezanimi z revidiranim ponudnikom. Revidirani ponudnik bi moral v pogodbe z revizijskimi organizacijami vključiti tudi klavzule, ki zagotavljajo spoštovanje pogojev iz člena 37(3) Uredbe (EU) 2022/2065. Če revizijsko organizacijo sestavlja več subjektov, bi moral revidirani ponudnik zagotoviti, da vsi navedeni subjekti izpolnjujejo navedene pogoje, kadar je ustrezno, vključno z vsemi podizvajalci, ki jih revizijska organizacija najame za kakršno koli podporo pri izvajanju revizije. Medtem ko bi moral vsak subjekt, ki izvaja revizijo, posamično izpolnjevati zahteve glede neodvisnosti in zahteve glede prepovedi nasprotja interesov, bi morali navedeni subjekti skupaj izpolnjevati zahteve v zvezi s kompetencami, strokovnim znanjem ali tehničnimi viri, s čimer bi omogočili, da različni subjekti izvajajo različne dele revizije in prispevajo z zmogljivostmi, kompetencami in strokovnim znanjem, ki so potrebni za izvedbo revizije. V revizijskem poročilu bi morala biti navedena odgovornost vsakega od navedenih subjektov za posamezne dele revizije. |
|
(8) |
V skladu s členom 37(3), točka (a)(i), Uredbe (EU) 2022/2065 bi moral revidirani ponudnik pri preverjanju, ali revizijska organizacija izpolnjuje zahteve glede neodvisnosti in zahteve glede neobstoja nasprotja interesov, posebno pozornost nameniti temu, da revizijska organizacija ne opravlja nerevizijskih storitev za revidiranega ponudnika. Revidirani ponudnik bi moral na primer oceniti, ali so bile opravljene storitve, kot so storitve, povezane s katerim koli sistemom, programsko opremo ali postopkom, vključenim v zadeve, pomembne za revidirano obveznost ali zavezo, na primer svetovalne storitve za oceno uspešnosti, upravljanja in programske opreme, storitve usposabljanja, razvoj ali vzdrževanje sistemov ali oddajanje moderiranja vsebin podizvajalcem. Take storitve vključujejo tudi storitve, zagotovljene revidiranemu ponudniku, ki vključujejo svetovanje ali razvoj notranjih kontrol ali ocenjevanje skladnosti revidiranega ponudnika z Uredbo (EU) 2022/2065 ali kodeksi ravnanja in kriznimi protokoli za notranje namene, tudi kadar je to omejeno na točkovne preskuse, kot so preskusi delovanja sistemov za moderiranje vsebin, ki jih opravijo tretje osebe. To ne bi smelo izključevati revizijskih organizacij, ki so opravile zakonsko predpisane finančne revizije. |
|
(9) |
Glede na zapletenost in posebno naravo revizij skladnosti z Uredbo (EU) 2022/2065 je strokovno znanje revizijske organizacije ključnega pomena za izvajanje revizij z razumno ravnjo zanesljivosti ter uporabo strokovne presoje in poklicne nezaupljivosti, ki tej organizaciji omogočata, da na primer ve, katere informacije potrebuje za izvajanje revizijskih postopkov ali izpodbijanje nasprotujočih si informacij. Zato bi moral revidirani ponudnik preveriti, ali revizijska organizacija zagotavlja tako strokovno znanje, tudi na področju obvladovanja tveganj, tako glede revizijskih tveganj kot tudi glede predmeta urejanja Uredbe (EU) 2022/2065 in zlasti sistemskih družbenih tveganj iz člena 34 navedene uredbe. Poleg tega bi moral revidirani ponudnik preveriti tehnično usposobljenost in zmogljivosti revizijske organizacije glede na določeno revidirano storitev, vključno z njenim strokovnim področnim znanjem, na primer glede delovanja in učinkov algoritemskih sistemov, kot so priporočilni sistemi, in drugih družbeno-tehničnih sistemov, ki jih vzdržuje ponudnik. Revizijska organizacija bi morala imeti možnost, da najame podizvajalce ali kako drugače pridobi in uporabi potrebno strokovno znanje in zmogljivosti, revidirani ponudnik pa bi moral preveriti in zagotoviti, da lahko revizijska organizacija pravočasno pridobi to strokovno znanje in zmogljivosti za izvedbo revizije. |
|
(10) |
Pri preverjanju, ali revizijske organizacije izpolnjujejo pogoje iz člena 37(3) Uredbe (EU) 2022/2065, bi moral revidirani ponudnik oceniti ustrezne dokaze, kadar je ustrezno, vključno s potrdili, izjavami in revizijskimi poročili, ki jih je izdala revizijska organizacija. Ustrezno strokovno znanje se lahko dokaže na primer s praktičnimi izkušnjami pri ocenjevanju in obvladovanju tveganj, pa tudi z akademsko dejavnostjo, znanstvenimi objavami in izkušnjami z ustreznimi revizijami. Revizijska poročila bi morala vsebovati vso ustrezno podporno dokumentacijo, ki potrjuje, da revizijska organizacija izpolnjuje potrebne pogoje. |
|
(11) |
V skladu s členom 37(2) Uredbe (EU) 2022/2065 mora revidirani ponudnik revizijski organizaciji nuditi vse potrebno sodelovanje in pomoč za uspešno, učinkovito in pravočasno izvedbo revizije, hkrati pa ne sme na noben način posegati v neodvisne odločitve revizijske organizacije. Na primer, revidirani ponudnik ne bi smel vsiljevati, dajati navodil ali kako drugače vplivati na revizijsko organizacijo s kakršnimi koli pogodbenimi ali drugimi omejitvami ali spodbudami pri izbiri in izvajanju revizijskih postopkov, metodologij, zbiranju in obdelavi informacij in revizijskih dokazov, analizah, preskusih, revizijskem mnenju ali oblikovanju revizijskih sklepov. |
|
(12) |
Da bi zagotovil potrebno sodelovanje in pomoč med revizijo, bi moral revidirani ponudnik revizijski organizaciji omogočiti dostop do vseh informacij, potrebnih za izvedbo revizije. Revidirani ponudnik bi moral vse potrebne dokumente in pojasnila poslati čim prej, vsekakor pa preden revizijska organizacija začne izvajati revizijske postopke. Na primer, naloga revidiranega ponudnika v zvezi s funkcijo za zagotavljanje skladnosti v skladu s členom 41(3), točki (d) in (e), Uredbe (EU) 2022/2065 je spremljanje skladnosti z vsemi revidiranimi obveznostmi in zavezami, kar bi moralo privesti do priprave notranjih kontrol. Zato bi bilo treba revizijski organizaciji omogočiti dostop do vseh informacij, povezanih s takimi kontrolami, in vseh drugih informacij, ki opisujejo strategijo revidiranega ponudnika za zagotavljanje skladnosti. Revidirani ponudnik bi moral revizijski organizaciji zlasti dati na voljo referenčna merila, na katera se opira za zagotovitev skladnosti z Uredbo (EU) 2022/2065, tako da lahko revizijska organizacija revizijska merila utemelji na teh informacijah. Poleg tega bi bilo treba revizijski organizaciji omogočiti dostop do vseh analiz, ki jih je revidirani ponudnik morda opravil v zvezi s tveganji pri delovanju in tveganji pri kontroli. Navedeni ponudnik bi moral revizijski organizaciji dati na voljo informacije, ki olajšujejo razumevanje revidirane storitve, njenega upravljanja, usposobljenosti zadevnih skupin in struktur odločanja, vključno z njegovo funkcijo za zagotavljanje skladnosti, pa tudi predstavitve svojih sistemov informacijske tehnologije (IT), struktur podatkov in evidenc ter medsebojnega delovanja različnih algoritemskih sistemov, pomembnih za revizijo. |
|
(13) |
Revizijska organizacija bi morala imeti možnost, da kadar koli med izvajanjem revizije zahteva vse druge potrebne informacije. Dostop do teh informacij bi bilo treba zagotoviti brez nepotrebnega odlašanja na način, ki nikakor ne ovira izvajanja revizije. To bi moralo vključevati dostop do podatkov, vključno z osebnimi podatki, zbranimi iz različnih virov, kot so dokumenti, algoritemski sistemi, podatkovne zbirke ali razgovori, kakor je ustrezno. Revidirani ponudnik bi moral revizijski organizaciji omogočiti tudi dostop do postopkov in procesov, sistemov IT, kot so algoritemski in informacijski sistemi, vključno s preskusnimi okolji. Da bi revizijski organizaciji omogočil smiseln pregled takih sistemov, bi moral revidirani ponudnik dati na voljo vsa potrebna sredstva za pomoč tej organizaciji pri dostopu do sistemov in njihovem ocenjevanju, na primer tako, da bi dal na voljo svoje pristojno osebje, ki lahko odgovarja na vprašanja ali upravlja preskusna okolja in daje pojasnila o njihovem delovanju, ali omogočil drug potreben dostop do osebja in prostorov, kot so stavbe. Dostop do postopkov in procesov bi lahko na primer pomenil dostop do opisov ali dokumentov v zvezi z notranjim postopkom odločanja revidiranega ponudnika. Dostop do ustreznih informacij lahko od revidiranega ponudnika zahteva tudi druge dodatne ukrepe za izpolnitev obveznosti sodelovanja in pomoči. Na primer, za razgovore z osebjem so lahko potrebni varni prostori, ki jih zagotovi revidirani ponudnik. Kadar je to potrebno za izvedbo revizije, bi morali revidirani ponudniki izpolniti obveznost sodelovanja in pomoči v zvezi z revizijsko organizacijo, med drugim z olajšanjem dostopa do ustreznih podatkov, povezanih z njihovim poslovanjem, ki jih hranijo njihovi tretji izvajalci. To bi lahko na primer veljalo za rezultate ukrepov moderiranja vsebin, gradivo za usposabljanje ali smernice, ki jih uporabljajo tretji izvajalci, ki moderirajo vsebine, ali prodajalci in ponudniki storitev za rešitve IT, vključno na primer z algoritmi in aplikacijami, ki se uporabljajo v priporočilnih sistemih ali sistemih oglaševanja, ki jih uporablja revidirani ponudnik. |
|
(14) |
Da bi omogočili smiselno preglednost revizijskih ugotovitev ter zagotovili celovito in primerljivo obliko revizijskih poročil iz člena 37(4) Uredbe (EU) 2022/2065 in poročil o izvajanju revizije iz člena 37(6) navedene uredbe, bi morala ta uredba določati predloge za navedena poročila in zahtevati več prilog za vsako od teh poročil. Čeprav predloge iz te uredbe zahtevajo celovito poročanje, ne bi smele vplivati na zahteve glede objave poročil iz člena 42(4) in (5) Uredbe (EU) 2022/2065. |
|
(15) |
Za zagotovitev, da revizijska organizacija od revidiranega ponudnika prejme vso potrebno pomoč brez vmešavanja v izvajanje revizije ter da revizijska organizacija izpolnjuje vse pogoje za pripravo revizije in dostavi revizijsko poročilo pravočasno in kakovostno, da se doseže razumna raven zanesljivosti, bi bilo treba z nekaterimi pravili določiti postopke za pripravo revizije. Naloge in odgovornosti revidiranega ponudnika in revizijske organizacije, vključno z vsemi podizvajalci ali partnerskimi organizacijami in osebjem, odgovornim za izvedbo revizije, bi bilo treba določiti v pisnem sporazumu, tudi s pogodbenimi pogoji. V pisnem sporazumu bi bilo treba opredeliti tudi revidirane obveznosti in zaveze, dodelitev virov ter pravila interakcije in kontaktne točke med revizijsko organizacijo in revidiranim ponudnikom. Revizijskemu poročilu bi bilo treba priložiti vso podporno dokumentacijo in pogodbe, tudi če so dokumenti v obliki dopisa o revizijskem poslu ali drugih pogodbenih pogojev. |
|
(16) |
Da bi se zagotovil celovit pregled in omogočilo prevzemanje odgovornosti revidiranih ponudnikov, bi moralo revizijsko poročilo vsebovati sklep o oceni revizijske organizacije o skladnosti revidiranega ponudnika z vsako revidirano obveznostjo ali zavezo. Vsak revizijski sklep bi moral temeljiti na razumni ravni zanesljivosti in bi moral biti bodisi „pozitiven“, „pozitiven s pripombami“ ali „negativen“, da se ustrezno oblikuje revizijsko mnenje. Sklepi, ki so „pozitivni s pripombami“, se ne bi smeli nanašati na samo oceno skladnosti. Take pripombe bi se lahko na primer nanašale na predložitev informacij s strani ponudnika na zahtevo revizijske organizacije ali na izboljšave pri vzdrževanju ali kontrolah, ki jih je uvedel revidirani ponudnik, ali pa bi upoštevale nadaljnje načrte za zmanjševanje tveganj in izboljšave, ki jih ponudnik namerava izvesti. Če revizijska organizacija meni, da revidirani ponudnik izpolnjuje revidirano obveznost ali zavezo v skladu z referenčnimi merili, ki jih je sporočil revidirani ponudnik, vendar meni, da je treba vključiti pripombe o teh referenčnih merilih, bi moral biti revizijski sklep vsekakor „pozitiven s pripombami“, saj bi bil lahko ponudnik s takimi pripombami na podlagi strokovnega znanja in izkušenj revizijske organizacije ter informacij iz zunanjih virov koristno seznanjen s priložnostmi za morebitne spremembe svojih referenčnih meril. Pripombe bi lahko na primer temeljile na smernicah Komisije, vključno s smernicami Komisije iz člena 35(3) Uredbe (EU) 2022/2065, in vseh drugih ustreznih smernicah, ki jih Komisija izda v zvezi z uporabo navedene uredbe, poročilih Evropskega odbora za digitalne storitve iz člena 35(2) navedene uredbe, izvršilnih ukrepih, odločitvah, ki jih Komisija sprejme na podlagi navedene uredbe, ustrezni sodni praksi, zlasti Sodišča Evropske unije, javnih posvetovanjih ali ustreznih verodostojnih virih. |
|
(17) |
Če je revizijski sklep „negativen“, vendar velja le za omejeno obdobje, revizijska organizacija pa meni, da je revidirani ponudnik izpolnil obveznost ali zavezo v preostalem revidiranem obdobju, bi bilo treba to prikazati v revizijskem poročilu za vsako zadevno obveznost ali zavezo, da se omogočita javni nadzor in regulativni nadzor. Poročilo bi moralo vključevati ugotovitve revizijske organizacije glede vseh informacij, ki ji jih je dal revidirani ponudnik na voljo v zvezi z vzpostavljenimi ali predvidenimi načrti za odpravo neskladnosti. |
|
(18) |
Glede na različno naravo pravnih obveznosti iz poglavja III Uredbe (EU) 2022/2065 in prostovoljnih zavez iz kodeksov ravnanja in kriznih protokolov v skladu s členi 45, 46 in 48 navedene uredbe bi morala revizijska organizacija izdati revizijska mnenja o skladnosti s tem poglavjem ter posameznim kodeksom in protokolom. |
|
(19) |
Da bi revizijo izvedli z razumno ravnjo zanesljivosti in oblikovali ustrezne revizijske postopke v skladu z metodologijami, ki zmanjšujejo revizijsko tveganje na nizko raven, bi moral biti ključni del metodologije za izvedbo revizije ocena revizijskega tveganja, in sicer tveganja, da bo revizijska organizacija izrazila neustrezno revizijsko mnenje ali sklep. Zato bi morala revizijska organizacija oceniti revizijsko tveganje na samem začetku revizije, preden oblikuje natančno metodologijo in izvede revizijske postopke. Analiza revizijskega tveganja je potrebna, da lahko revizijska organizacija izbere natančne metodologije za revizijo in določi, kako obsežni morajo biti revizijski postopki, da se doseže razumna raven zanesljivosti za revizijsko mnenje. Revizijska organizacija bi morala opraviti analizo revizijskega tveganja za oceno skladnosti z vsako revidirano obveznostjo ali zavezo, pri čemer bi morala upoštevati tveganja pri delovanju, tveganja pri kontroliranju in tveganja pri odkrivanju. |
|
(20) |
Za pravilno oceno revizijskih tveganj bi bilo treba pri njihovi analizi upoštevati naravo revidirane storitve, zlasti njen profil tveganja, ter področje in zapletenost revizije. Na primer, spletne platforme, ki omogočajo sklepanje pogodb na daljavo med potrošniki, bodo verjetno vsebovale drugačna tveganja kot platforme za izmenjavo videoposnetkov ali spletni iskalniki. Poleg tega bi bilo treba upoštevati družbene in gospodarske okoliščine, v katerih se zagotavlja revidirana storitev, na primer glede tipičnih skupin uporabnikov, kot so mladoletniki, ali pogostega vedenja, kot sta pogosta neavtentična uporaba in usklajeno vedenje v dezinformacijskih kampanjah. Družbene in gospodarske okoliščine, ki jih je treba upoštevati, bi morale vključevati tudi verjetnost in, neodvisno, resnost izpostavljenosti krizam in nepričakovanim dogodkom, kot je navedeno v Uredbi (EU) 2022/2065. |
|
(21) |
Za zagotovitev, da analiza revizijskega tveganja odraža razvoj tveganj, ki jim je storitev izpostavljena, bi morala analiza revizijskega tveganja temeljiti tudi na informacijah iz prejšnjih revizij, ki jim je bil revidirani ponudnik podvržen, kadar je to primerno, in graditi na informacijah iz virov, kot so revizijska poročila drugih ponudnikov s podobnim profilom tveganja. Da bi bila analiza revizijskega tveganja v celoti podprta z najsodobnejšimi dokazi o tveganjih v okoliščinah, podobnih tistim, v katerih deluje revidirani ponudnik, in verodostojnimi viri, ki so neposredno pomembni za uporabo Uredbe (EU) 2022/2065, bi se morala, kadar je ustrezno, opirati tudi na informacije iz poročil, ki jih je izdal Evropski odbor za digitalne storitve, ali smernice Komisije. Druge informacije bi lahko vključevale tudi informacije iz revizijskih poročil, ki jih v skladu s členom 42(4) Uredbe (EU) 2022/2065 objavijo drugi ponudniki zelo velikih spletnih platform ali zelo velikih spletnih iskalnikov. |
|
(22) |
Revizijska organizacija bi morala brez vpliva revidiranega ponudnika pripraviti metodologije revizije, ki se uporabljajo za ocenjevanje skladnosti z revidiranimi obveznostmi in zavezami. Revizijska merila bi morala temeljiti na informacijah, ki jih revidirani ponudnik predloži glede referenčnih meril, ki jih uporablja za spremljanje skladnosti. Pri metodologiji se lahko upoštevajo tudi druge informacije, ki jih je dal na voljo revidirani ponudnik, kot je analiza tveganj pri delovanju, če je revidirani ponudnik izvedel tako analizo, na primer z ukrepi, ki jih razvije odgovorna oseba za zagotavljanje skladnosti ali upravljalni organ v skladu s členom 41 Uredbe (EU) 2022/2065, ali drugimi ukrepi, vključenimi v delovanje službe za oceno sistemskega tveganja iz člena 34 navedene uredbe. |
|
(23) |
Za zagotovitev, da so metodologije revizije ustrezne za doseganje razumne ravni zanesljivosti za revizijska mnenja, bi bilo treba pri izbiri metodologije za revizijske postopke upoštevati posebnosti revidirane obveznosti ali zaveze in jo na primer prilagoditi naravi revidirane obveznosti kot obveznosti sredstev ali obveznosti rezultatov, ki jih mora ponudnik doseči, da bi bil skladen. Revizijski postopki za ocenjevanje skladnosti s poročanjem o preglednosti v skladu s členom 15 Uredbe (EU) 2022/2065 bi na primer lahko revizijski organizaciji omogočili, da ugotovi, ali so bila poročila objavljena v rokih in oblikah, zahtevanih v navedeni uredbi, ter ali so bila popolna in ali so bili sporočeni podatki točni, reprezentativni in ustrezno razčlenjeni, na primer po kategorijah zadevne nezakonite vsebine. |
|
(24) |
Izbira metodologije bi morala biti odvisna tudi od tega, ali ocena skladnosti zahteva kontekstualne razlage s strani revizijske organizacije. Izbiro metodologij bi bilo treba prilagoditi tudi tveganjem, povezanim z dejavnostmi, ki se izvajajo pri opravljanju storitve, in kontekstu, v katerem se storitev opravlja, na primer, ali storitev vključuje prodajo blaga, ki bi lahko bilo nezakonito, ali pa storitev uporabljajo predvsem mladoletniki. Na primer, metodologije za ocenjevanje skladnosti z obveznostmi uvedbe ustreznih in sorazmernih ukrepov za zagotavljanje visoke ravni zasebnosti, varnosti in varstva mladoletnikov v skladu s členom 28(1) Uredbe (EU) 2022/2065 bi morale revizijski organizaciji omogočiti zadostno razumevanje tega, kako revidirano storitev uporabljajo mladoletniki in kakšna so lahko tveganja za njihovo zasebnost, varnost in varstvo ter kaj pomeni ustrezen in sorazmeren ukrep v posebnem okviru revidirane storitve in njene uporabe s strani mladoletnikov. V ta namen bi morale revizijske organizacije oceno razčleniti na ustrezne korake. Revizijska tveganja bi morale oceniti glede na profil tveganja revidiranega ponudnika, zlasti glede na to, ali je storitev na voljo mladoletnikom oziroma ali jo večinoma uporabljajo mladoletniki. Oceniti bi morale na primer, ali je ponudnik vzpostavil orodja za preverjanje starosti, ali so ta učinkovita ter kako revidirani ponudnik ocenjuje in spremlja njihovo učinkovitost. Oceniti bi morale, ali je revidirani ponudnik uvedel ustrezne ukrepe za odkrivanje škodljive uporabe njegove storitve in vedenjskih vzorcev, katerih namen je škodovati mladoletnikom ali ki bi lahko škodovali mladoletnikom. |
|
(25) |
Izbiro metodologij bi bilo treba prilagoditi tveganjem pri kontroliranju, povezanim z ukrepi skladnosti, ki jih je uvedel revidirani ponudnik, in tveganjem pri odkrivanju, in sicer tveganju, da ne bi odkrili napačnih navedb v informacijah, ki jih ponudnik da na voljo revizijski organizaciji. Kadar bi na primer revidirana obveznost lahko vključevala revizijo algoritemskega sistema, ki temelji na personalizaciji za posamezne prejemnike revidirane storitve in ponavljajočih se posodobitvah algoritemskega sistema, kot so obveznosti razkritja za priporočilne sisteme v skladu s členom 27 Uredbe (EU) 2022/2065, bi morala izbira metodologije revizijski organizaciji omogočiti oblikovanje ustreznih preskusov za zmanjševanje tveganj pri odkrivanju. Podobno bi morala revizijska organizacija, kadar želi oceniti, ali so bila vsa zadevna tveganja pri oblikovanju, delovanju in uporabi aplikacij, ki temeljijo na obsežnih jezikovnih modelih, kot so funkcije klepeta ali priporočilni sistemi, ki jih je uvedel revidirani ponudnik, zmanjšana, najprej oceniti ustreznost kontrol, ki jih je uvedel ponudnik. Pri izbiri preskusov bi bilo treba upoštevati zanesljivost navedenih notranjih kontrol. Revizijski postopki bi morali med drugim zlasti v primerih, ko so notranje kontrole šibke, nepopolne ali neopredeljive, temeljiti na kombinaciji metodologij, da bi se ocenilo, ali se pravila upoštevajo pri obravnavanju populacije prejemnikov revidiranih storitev. Metodologije bi lahko na primer vključevale temeljite analitične postopke, kot so analiza interakcij med vsemi algoritemskimi sistemi, vključenimi v priporočilne sisteme, in povezanimi pravili odločanja ter postopki za določitev glavnih parametrov navedenih priporočilnih sistemov, ugotovitve na podlagi digitalnih evidenc in dnevnikov. Metodologije bi morale vključevati tudi preskuse sistema, na primer preskuse v simuliranih okoljih. |
|
(26) |
Da bi bila metodologija ustrezna in prilagojena novim ugotovitvam med izvajanjem revizije, bi morala izbira metodologij temeljiti na strokovni presoji revizijske organizacije in bi jo bilo treba prilagoditi navedenim novim ugotovitvam, zlasti kadar ima revizijska organizacija utemeljeno dvomi o informacijah, ki jih je predložil revidirani ponudnik. Poklicna nezaupljivost revizijske organizacije bi morala temeljiti na njenem strokovnem znanju, pa tudi na drugih virih informacij, ki so zlasti pomembni za uporabo Uredbe (EU) 2022/2065, kot so poročila Evropskega odbora za digitalne storitve, smernice Komisije, revizijska poročila, izdana na podlagi kodeksov ravnanja ali kriznih protokolov iz členov 45, 46 in 48 navedene uredbe, ali informacije, ki se pojavijo med izvajanjem revizije, tudi če so povezane z dogodki, zlasti krizami, ki zahtevajo dodatne ukrepe revidiranega ponudnika, da se zagotovi izpolnjevanje določenih revidiranih obveznosti ali zavez. |
|
(27) |
Da bi se zagotovilo zbiranje zadostnih revizijskih dokazov med revizijo, bi morale revizijske organizacije oceniti notranje kontrole revidiranega ponudnika in izvesti temeljite revizijske postopke za ocenjevanje skladnosti revidiranega ponudnika. V nekaterih primerih bi morala revizijska organizacija izvesti tudi preskuse. |
|
(28) |
Zaradi kompleksnosti algoritemskih sistemov, ki jih uporabljajo ponudniki spletnih platform, in njihove pomembne vloge pri izpolnjevanju več obveznosti, določenih v Uredbi (EU) 2022/2065, bi bilo treba posebno pozornost nameniti potrebnim in ustreznim metodološkim izbiram za revizijo algoritemskih sistemov. To velja tako v primeru, ko so algoritemski sistemi del kontrol, ki jih izvaja revidirani ponudnik, kot tudi v primeru, ko so sami predmet revidiranih obveznosti ali zavez, na primer v zvezi s priporočilnimi sistemi, na primer v skladu s členi 27, 34, 35 in 38 Uredbe (EU) 2022/2065, ali sistemi oglaševanja, na primer v skladu s členi 26, 28, 34, 35 in 39 navedene uredbe, sistemi za moderiranje vsebin, na primer v skladu s členi 14, 15, 34 in 35 navedene uredbe, ali katerim koli drugim algoritemskim sistemom, ki prispeva k tveganjem iz člena 34 navedene uredbe. |
|
(29) |
Uporabiti bi bilo treba tudi kombinacijo temeljitih analitičnih postopkov, ki kadar je ustrezno, temeljijo na opazovanju procesov in dejavnosti revidiranega ponudnika pri načrtovanju, razvoju, delovanju, preskušanju in spremljanju algoritemskih sistemov ali na ugotovitvah na podlagi digitalnih evidenc in dnevnikov, ki jih ustvarjajo sistemi. Metodologije bi bilo treba prilagoditi posebnostim algoritemskih sistemov, vključno z njihovim upravljanjem, interakcijo med različnimi algoritemskimi sistemi in povezanimi sistemi za upravljanje podatkov ter tehnologijami, na katerih temeljijo navedeni algoritemski sistemi, kot so generativni modeli ali drugi klasifikatorji, algoritmi za izbiro ali iskanje. |
|
(30) |
Poleg tega bi morale metodologije revizije za algoritemske sisteme vključevati preskuse, na primer za zbiranje informacij, ki jih revidirani ponudnik predhodno ni dokumentiral, ali za neodvisno reprodukcijo in oceno rezultatov kazalnikov točnosti, preskuse v peskovnikih ali simuliranih okoljih ali preskuse v produkcijskih sistemih, tudi z izločanjem podatkov ali preskušanjem po načelu kontradiktornosti. |
|
(31) |
Glede na to, da je visoka kakovost revizijskih dokazov nujen pogoj, da lahko revizijska organizacija oblikuje revizijsko mnenje z razumno ravnjo zanesljivosti, bi morale biti informacije, ki se jih revizijska organizacija odloči uporabiti kot revizijske dokaze, ustrezne in zadostne za zmanjševanje revizijskih tveganj. Poleg tega bi morali biti revizijski dokazi zanesljivi v skladu s strokovno presojo in poklicno nezaupljivostjo revizijske organizacije, ter kjer je ustrezno, z vidika alternativnih virov informacij. Strokovna presoja in poklicna nezaupljivost bi morali vključevati kritično oceno revizijskih dokazov in morebitnih napačnih navedb. Navedeni standardi kakovosti bi se morali uporabljati za vse revizijske dokaze, ne glede na to, ali jih je zagotovil revidirani ponudnik ali so bili zbrani iz drugih virov. |
|
(32) |
Revizijska organizacija bi morala upoštevati različne vire informacij, ki bi lahko vključevali na primer razgovore z osebjem ali pogodbenimi sodelavci revidiranega ponudnika, vključno z odgovornimi osebami za zagotavljanje skladnosti, inženirji, podatkovnimi znanstveniki, arhitekti programske opreme ali člani skupin za notranjo revizijo. Vključujejo lahko tudi tehnično dokumentacijo o zasnovi, izvajanju, preskušanju in spremljanju zadevnega sistema, vključno s kakovostjo in upravljanjem podatkov ter posodobitvami in različicami sistema, ter druge dokumente o procesih upravljanja in odločanja revidiranega ponudnika, vključno z vidika prednostnih nalog, virov, dodeljevanja nalog in odgovornosti ali strokovnega znanja zadevnega osebja. |
|
(33) |
Za zagotovitev učinkovitosti in sorazmernosti pri izvajanju revizije, bi bilo treba revizijski organizaciji dovoliti, da vzorči podatke in informacije ob ustreznem upoštevanju reprezentativnega vzorca, da lahko oblikuje revizijsko mnenje z razumno ravnjo zanesljivosti. Za zagotovitev preglednosti in ponovljivosti revizijskih postopkov bi morala revizijska organizacija v revizijskem poročilu utemeljiti izbiro velikosti vzorca in metode vzorčenja. Na primer, velikost vzorca in metodologijo bi bilo treba izbrati glede na to, kaj je učinkovito pri doseganju namena revizije določene revidirane obveznosti ali zaveze, in za zmanjševanje tveganja, da bi bil sklep revizije določenega vzorca drugačen od sklepa v primeru, v katerem bi bila celotna populacija dokazov podvržena revizijskemu postopku. Velikost in metodologijo vzorca bi bilo treba izbrati ob upoštevanju celotnega področja revizije ter notranjih ali zunanjih sprememb revidirane storitve v tem času. Prav tako bi ju bilo treba prilagoditi posebnostim algoritemskih sistemov, tudi glede personalizacije s profiliranjem. V okviru tega premisleka bi morala revizijska organizacija na primer ustrezno vzorčiti iz različnih skupin ali razdelitev, ki lahko izhajajo iz tehnik personalizacije, ali določiti stopnjo napake in utemeljiti, zakaj je ta na sprejemljivi ravni. |
|
(34) |
Zaradi novosti nekaterih določb Uredbe (EU) 2022/2065 je treba določiti metodološka načela, vključno z revizijskimi vprašanji in nadaljnjimi usmeritvami za izbiro metodologij revizije in revizijskih dokazov za oceno skladnosti z navedenimi določbami, in sicer za oceno skladnosti s členi 34, 35 in 36 Uredbe (EU) 2022/2065 glede izvedbe ocen tveganja in sprejetja ukrepov za zmanjševanje tveganja s strani revidiranih ponudnikov ter glede uporabe obveznosti v zvezi z odzivanjem na krize. |
|
(35) |
Glede na to, da bi morale revizijske organizacije oceniti tudi skladnost revidiranega ponudnika s členom 37 Uredbe (EU) 2022/2065, bi bilo treba zagotoviti tudi dodatne specifikacije o natančni reviziji, v zvezi s katero bi bilo treba oceniti skladnost, zlasti zato, da se revizijska organizacija izogne nasprotju interesov. |
|
(36) |
Zaradi prostovoljne narave kodeksov ravnanja in kriznih protokolov je treba določiti posebna pravila za revidiranje skladnosti s členi 45, 46 in 48 Uredbe (EU) 2022/2065, zlasti za zagotovitev, da revizijske organizacije razpolagajo z vsemi potrebnimi informacijami za izvajanje revizij, specifičnih za obveznosti iz posameznega kodeksa ravnanja in kriznega protokola – |
SPREJELA TO UREDBO:
ODDELEK I
Splošne določbe
Člen 1
Predmet urejanja
Ta uredba določa pravila za izvajanje revizij v skladu s členom 37 Uredbe (EU) 2022/2065 glede:
|
(a) |
postopkovnih ukrepov za zagotovitev, da izbrana revizijska organizacija izpolnjuje pogoje iz člena 37(3) Uredbe (EU) 2022/2065; |
|
(b) |
postopkovnih ukrepov za sodelovanje in pomoč revidiranega ponudnika pri izvajanju revizij, vključno z dostopom do ustreznih informacij za pridobitev revizijskih dokazov; |
|
(c) |
opredelitve in izbire metodologij revizije; |
|
(d) |
predlog za revizijsko poročilo in poročilo o izvedbi revizijskih priporočil. |
Člen 2
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
|
(1) |
„revizijska organizacija“ pomeni individualno organizacijo, konzorcij ali drugo kombinacijo organizacij, vključno z morebitnimi podizvajalci, s katerimi je revidirani ponudnik sklenil pogodbo za izvedbo neodvisne revizije v skladu s členom 37 Uredbe (EU) 2022/2065; |
|
(2) |
„revidirana storitev“ pomeni zelo veliko spletno platformo ali zelo velik spletni iskalnik, določen v skladu s členom 33 Uredbe (EU) 2022/2065; |
|
(3) |
„revidirani ponudnik“ pomeni ponudnika revidirane storitve, ki je predmet neodvisne revizije v skladu s členom 37(1) navedene uredbe; |
|
(4) |
„revidirana obveznost ali zaveza“ pomeni obveznost ali zavezo iz člena 37(1) Uredbe (EU) 2022/2065, ki je predmet revizije; |
|
(5) |
„revizijska merila“ pomenijo merila, na podlagi katerih revizijska organizacija ocenjuje skladnost z vsako revidirano obveznostjo ali zavezo; |
|
(6) |
„revizijski dokazi“ pomenijo vse informacije, ki jih revizijska organizacija uporabi v podporo revizijskim ugotovitvam in sklepom ter za izdajo revizijskega mnenja, vključno s podatki, zbranimi iz dokumentov, podatkovnih zbirk ali sistemov IT, razgovorov ali opravljenih preskusov; |
|
(7) |
„napačna navedba“ pomeni namerno ali nenamerno opustitev, napačno predstavitev ali napako v izjavah ali podatkih, ki jih revidirani ponudnik sporoči ali zagotovi revizijski organizaciji, ali v preskusnem okolju, ki ga revidirani ponudnik da na voljo revizijski organizaciji; |
|
(8) |
„revizijsko tveganje“ pomeni tveganje, da revizijska organizacija izda nepravilno revizijsko mnenje ali sprejme nepravilen sklep o skladnosti revidiranega ponudnika z revidirano obveznostjo ali zavezo ob upoštevanju tveganj pri odkrivanju, tveganj pri delovanju in tveganj pri kontroliranju v zvezi s to revidirano obveznostjo ali zavezo; |
|
(9) |
„tveganje pri odkrivanju“ pomeni tveganje, da revizijska organizacija ne odkrije napačne navedbe, ki je pomembna za oceno skladnosti revidiranega ponudnika z revidirano obveznostjo ali zavezo; |
|
(10) |
„tveganje pri delovanju“ pomeni tveganje neskladnosti, ki je neločljivo povezano z naravo, zasnovo, dejavnostjo in uporabo revidirane storitve ter okvirom, v katerem se izvaja, in tveganje neskladnosti, povezano z naravo revidirane obveznosti ali zaveze; |
|
(11) |
„tveganje pri kontroliranju“ pomeni tveganje, da napačna navedba ni pravočasno preprečena, odkrita in popravljena s pomočjo notranjih kontrol revidiranega ponudnika; |
|
(12) |
„prag pomembnosti“ pomeni prag, nad katerim je razumno pričakovati, da bi odstopanja ali napačne navedbe revidiranega ponudnika, posamično ali skupaj, vplivale na revizijske ugotovitve, sklepe in mnenja; |
|
(13) |
„razumna raven zanesljivosti“ pomeni visoko, vendar ne absolutno raven zanesljivosti, ki revizijski organizaciji na podlagi zadostnih in ustreznih dokazov omogoča, da v svojem revizijskem mnenju in revizijskih sklepih potrdi, ali revidirani ponudnik izpolnjuje revidirane obveznosti ali zaveze; |
|
(14) |
„notranja kontrola“ pomeni vse ukrepe, vključno s procesi in preskusi, ki jih oblikuje, izvaja in vzdržuje revidirani ponudnik, vključno z njegovimi odgovornimi osebami za zagotavljanje skladnosti in upravljalnim organom, za spremljanje in zagotavljanje skladnosti revidiranega ponudnika z revidirano obveznostjo ali zavezo; |
|
(15) |
„preverjeni raziskovalec“ pomeni raziskovalca, preverjenega v skladu s členom 40(8) Uredbe (EU) 2022/2065; |
|
(16) |
„revizijski postopek“ pomeni vsako tehniko, ki jo revizijska organizacija uporabi pri izvajanju revizije, vključno z zbiranjem podatkov, izbiro in uporabo metodologij, kot so preskusi in temeljiti analitični postopki, ter vsemi drugimi ukrepi za zbiranje in analiziranje informacij za zbiranje revizijskih dokazov in oblikovanje revizijskih sklepov, ne vključuje pa izdaje revizijskega mnenja ali revizijskega poročila; |
|
(17) |
„preskus“ pomeni metodologijo revizije, ki vključuje meritve, poskuse ali druge preglede, vključno s pregledi algoritemskih sistemov, s katerimi revizijska organizacija oceni, ali revidirani ponudnik izpolnjuje revidirano obveznost ali zavezo; |
|
(18) |
„temeljiti analitični postopek“ pomeni metodologijo revizije, ki jo revizijska organizacija uporabi za ocenjevanje informacij za sklepanje o revizijskih tveganjih ali skladnosti z revidirano obveznostjo ali zavezo. |
Člen 3
Področje revizije in razumna raven zanesljivosti
1. Revizija se izvede na način in v trajanju, ki revizijski organizaciji omogočata, da z razumno ravnjo zanesljivosti oceni, ali revidirani ponudnik izpolnjuje vse revidirane obveznosti in zaveze.
2. Revizija zajema obdobje, ki se začne takoj po obdobju prejšnje revizije in konča na datum, ki revizijski organizaciji omogoča, da revizijo izvede v časovnem okviru, ki se zahteva s členom 37(1) Uredbe (EU) 2022/2065, vključno s tem, da na podlagi zbranih dokazov in revizijskih postopkov, izvedenih v navedenem obdobju, potrdi svojo oceno v skladu z odstavkom 1 ter da dokonča in predloži revizijsko poročilo v skladu s členom 37(4) navedene uredbe revidiranemu ponudniku.
3. Če predhodna revizija ni bila izvedena, revizija zajema obdobje, ki se začne štiri mesece po obvestilu iz člena 33(6), prvi pododstavek, Uredbe (EU) 2022/2065, trajanje revizije pa omogoča, da se revizijsko poročilo v skladu s členom 6(1) dokonča najpozneje v enem letu od začetka revidiranega obdobja.
ODDELEK II
Pogoji za izvedbo revizije
Člen 4
Izbira revizijske organizacije
1. Revidirani ponudnik pred izbiro revizijske organizacije za izvedbo revizije preveri, ali izbrana organizacija izpolnjuje zahteve iz člena 37(3) Uredbe (EU) 2022/2065.
2. Kadar izbrano revizijsko organizacijo sestavlja več kot ena pravna oseba ali kadar revizijska organizacija namerava uporabiti enega ali več podizvajalcev, revidirani ponudnik preveri, ali vse navedene pravne osebe ali podizvajalci:
|
(a) |
posamično izpolnjujejo zahteve iz člena 37(3), točki (a) in (c), Uredbe (EU) 2022/2065; |
|
(b) |
skupaj izpolnjujejo zahtevo iz člena 37(3), točka (b), Uredbe (EU) 2022/2065. |
Člen 5
Sodelovanje in pomoč med revidiranim ponudnikom in revizijsko organizacijo
1. Revidirani ponudnik ob času, dogovorjenem z revizijsko organizacijo, in v vsakem primeru pred izvedbo katerega koli revizijskega postopka, izbrani revizijski organizaciji posreduje vsaj naslednje informacije:
|
(a) |
opis notranjih kontrol, vzpostavljenih v zvezi z vsako revidirano obveznostjo in zavezo, vključno s povezanimi kazalniki in vsemi sedanjimi in preteklimi meritvami ter referenčnimi vrednostmi, ki jih revidirani ponudnik uporablja za zagotavljanje ali spremljanje skladnosti z revidiranimi obveznostmi in zavezami, in vso podporno dokumentacijo; |
|
(b) |
svojo predhodno analizo tveganj pri delovanju in tveganj pri kontroliranju, kadar revidirani ponudnik izvede tako analizo, in vso podporno dokumentacijo; |
|
(c) |
informacije o vseh ustreznih strukturah odločanja, pristojnostih oddelkov ponudnika, vključno s funkcijo za zagotavljanje skladnosti v skladu s členom 41 Uredbe (EU) 2022/2065, ustreznih sistemih IT, virih podatkov, obdelavi in shranjevanju ter pojasnila ustreznih algoritemskih sistemov in njihovega medsebojnega delovanja. |
2. Revidirani ponudnik revizijski organizaciji brez nepotrebnega odlašanja omogoči dostop do vseh podatkov, potrebnih za izvedbo revizije, vključno z osebnimi podatki, dokumentacijo, informacijami o postopkih in procesih, ter svojih sistemov informacijske tehnologije, preskusnih okolij, osebja in prostorov ter vseh ustreznih podizvajalcev.
3. Revidirani ponudnik da revizijski organizaciji na voljo vsa potrebna sredstva ter ji zagotovi pomoč in pojasnila, ki jih revizijska organizacija potrebuje za analizo ustreznih informacij in izvedbo preskusov, tudi kadar informacije, ki jih revizijska organizacija zahteva v skladu s členom 37(3) Uredbe (EU) 2022/2065, hrani tretja oseba, s katero je revidirani ponudnik sklenil pogodbo.
ODDELEK III
Izvedba revizij
Člen 6
Revizijsko poročilo in poročilo o izvedbi revizijskih priporočil
1. Revizijsko poročilo iz člena 37(4) Uredbe (EU) 2022/2065 pripravi revizijska organizacija brez posredovanja revidiranega ponudnika. Navedeno revizijsko poročilo se pripravi v skladu s predlogo iz Priloge I ter vsebuje podrobne in utemeljene sklepe v zvezi z vsemi elementi predloge.
2. Kadar je ustrezno, se poročilo o izvedbi revizijskih priporočil iz člena 37(6) Uredbe (EU) 2022/2065 pripravi v skladu s predlogo iz Priloge II.
Člen 7
Postopki za pripravo na revizijo
1. Revidirani ponudnik in revizijska organizacija skleneta pisni sporazum, v katerem so določeni:
|
(a) |
izčrpen seznam revidiranih obveznosti in zavez; |
|
(b) |
odgovornosti revizijske organizacije, kadar je ustrezno, vključno s podrobnostmi za vsako pravno osebo, ki sestavlja revizijsko organizacijo, in strani, pooblaščene za podpis revizijskega poročila; |
|
(c) |
postopki in kontaktne točke, ki jih je revidirani ponudnik dal na voljo revizijski organizaciji za zahtevo po dostopu do podatkov iz člena 5(2); |
|
(d) |
časovni okvir revizije, vključno z začetnim in končnim datumom revizijskih postopkov ter dokončanja revizijskega poročila; |
|
(e) |
postopek reševanja sporov med revidiranim ponudnikom in revizijsko organizacijo, ki izhajajo iz izvajanja revizije. |
2. Sporazum iz odstavka 1 ter vsi drugi sporazumi ali nalogi med revizijsko organizacijo in revidiranim ponudnikom, povezani z izvajanjem revizije, se priložijo revizijskemu poročilu.
3. Če se sporazum iz odstavka 1 med izvajanjem revizije spremeni, se spremembe izrecno navedejo v revizijskem poročilu.
Člen 8
Revizijsko mnenje, revizijski sklepi in priporočila
1. Revizijsko poročilo vključuje revizijske sklepe, ki jih je je revizijska organizacija sprejela glede skladnosti revidiranega ponudnika z vsemi revidiranimi obveznostmi in zavezami. Revizijski sklepi so:
|
(a) |
„pozitivni“, kadar revizijska organizacija z razumno ravnjo zanesljivosti sklene, da je revidirani ponudnik izpolnil revidirano obveznost ali zavezo; |
|
(b) |
„pozitivni s pripombami“, kadar revizijska organizacija z razumno ravnjo zanesljivosti sklene, da je revidirani ponudnik izpolnil revidirano obveznost ali zavezo, vendar:
|
|
(c) |
„negativni“, kadar revizijska organizacija z razumno ravnjo zanesljivosti sklene, da revidirani ponudnik ni izpolnil revidirane obveznosti ali zaveze. |
2. Kadar revizijsko poročilo vključuje operativna priporočila v skladu s členom 37(4), točka (h), Uredbe (EU) 2022/2065, so navedena priporočila in njihov priporočeni časovni okvir specifični za vsako revidirano obveznost ali zavezo, za katero je revizijski sklep v skladu z odstavkom 1 „pozitiven s pripombami“ ali „negativen“.
3. Kadar operativna priporočila iz odstavka 2 vključujejo posebne ukrepe za doseganje skladnosti, se oblikujejo na način, ki pojasnjuje oceno revizijske organizacije o tem, kako bi ti ukrepi vplivali na prag pomembnosti v primerjavi z revizijskim sklepom za zadevno revidirano obveznost ali zavezo.
4. Revizijsko poročilo na podlagi revizijskih sklepov vsebuje revizijsko mnenje o tem, ali revidirani ponudnik izpolnjuje vse revidirane obveznosti iz člena 37(1), točka (a), Uredbe (EU) 2022/2065.
5. Revizijsko poročilo na podlagi sklepov vseh revidiranih zavez vključuje revizijsko mnenje oziroma mnenja o tem, ali revidirani ponudnik izpolnjuje vse revidirane zaveze, ki jih je sprejel v skladu z vsakim kodeksom ravnanja in kriznim protokolom iz člena 37(1), točka (b), Uredbe (EU) 2022/2065.
6. Revizijska mnenja v skladu z odstavkoma 4 in 5 so:
|
(a) |
„pozitivna“, če je revizijska organizacija dosegla „pozitiven“ revizijski sklep za vse revidirane obveznosti ali zaveze; |
|
(b) |
„pozitivna s pripombami“, če je revizijska organizacija sprejela vsaj en revizijski sklep, ki je „pozitiven s pripombami“ za revidirano obveznost ali zavezo, in ni sprejela „negativnega“ revizijskega sklepa za nobeno od revidiranih obveznosti ali zavez; |
|
(c) |
„negativna“, če je revizijska organizacija dosegla „negativen“ revizijski sklep za vsaj eno revidirano obveznost ali zavezo. |
7. Če revizijska organizacija oceni, da ponudnik v omejenem obdobju v obdobju iz člena 3(2) ni izpolnil revidirane obveznosti ali zaveze, revizijsko poročilo to oceno ustrezno zabeleži.
8. Kadar revizijska organizacija ne more izdati revizijskega sklepa v skladu z odstavkom 1 ali revizijskega mnenja v skladu z odstavkoma 4 in 5 z razumno ravnjo zanesljivosti, revizijsko poročilo vsebuje razlago okoliščin in razlogov, zakaj take ravni zanesljivosti ni bilo mogoče doseči.
ODDELEK IV
Metodologije revizije
Člen 9
Analiza revizijskih tveganj
1. Revizijsko poročilo vključuje utemeljeno analizo revizijskega tveganja, ki jo opravi revizijska organizacija za oceno skladnosti revidiranega ponudnika z vsako revidirano obveznostjo ali zavezo.
2. Analiza revizijskega tveganja se opravi pred izvajanjem revizijskih postopkov in se med izvajanjem revizije posodablja glede na vse nove revizijske dokaze, ki po strokovni presoji revizijske organizacije bistveno spremenijo oceno revizijskega tveganja.
3. Pri analizi revizijskega tveganja se upoštevajo:
|
(a) |
tveganja pri delovanju; |
|
(b) |
tveganja pri kontroliranju; |
|
(c) |
tveganja pri odkrivanju. |
4. Analiza revizijskega tveganja se izvede ob upoštevanju:
|
(a) |
narave revidirane storitve ter družbenih in gospodarskih okoliščin, v katerih revidirana storitev deluje, vključno z verjetnostjo in resnostjo izpostavljenosti krizam in nepričakovanim dogodkom; |
|
(b) |
narave obveznosti in zavez; |
|
(c) |
drugih ustreznih informacij, kadar je ustrezno, vključno z:
|
Člen 10
Ustrezne metodologije revizije
1. Brez poseganja v posebne metodologije revizije iz členov 13, 14 in 15 se revizije izvajajo z uporabo ustreznih metodologij revizije za zmanjševanje ocenjenih revizijskih tveganj na raven, ki revizijski organizaciji omogoča sprejemanje revizijskih sklepov z razumno ravnjo zanesljivosti.
2. Revizijsko poročilo vključuje opis metodologij revizije, ki jih je revizijska organizacija oblikovala pred izvedbo revizijskih postopkov, vključno z vsaj:
|
(a) |
revizijskimi merili za ocenjevanje skladnosti z vsako revidirano obveznostjo ali zavezo, opredeljenimi na podlagi informacij iz člena 5(1), točka (a), in dopustnim pragom pomembnosti, izraženim v kvalitativnem ali kvantitativnem smislu, kakor je ustrezno; |
|
(b) |
vsemi preskusi in temeljitimi analitičnimi postopki ter revizijskimi dokazi, ki jih namerava revizijska organizacija uporabiti za oceno skladnosti za vsako revidirano obveznost ali zavezo. |
Revizijsko poročilo vključuje opis vseh sprememb metodologij, uporabljenih med izvajanjem revizije, v primerjavi z metodologijami, oblikovanimi pred izvajanjem revizijskih postopkov.
3. Kadar revizijska organizacija utemeljeno dvomi o informacijah, ocenjenih pri izvajanju revizije, zlasti v zvezi z informacijami, ki jih je predložil revidirani ponudnik, se izbira in uporaba metodologije prilagodita tako, da se tej organizaciji zagotovijo potrebni revizijski dokazi v skladu s členom 11.
4. Šteje se, da se utemeljeni dvomi iz odstavka 3 pojavijo zlasti ob prisotnosti katerega koli od naslednjih elementov:
|
(a) |
strokovne presoje in poklicne nezaupljivosti pri ocenjevanju informacij, vključno z informacijami o notranjih kontrolah revidiranega ponudnika, na podlagi katerih se pri revizijski organizaciji pojavijo razumni dvomi; |
|
(b) |
zunanjih kazalnikov revizijskih tveganj, zlasti poročil Evropskega odbora za digitalne storitve iz člena 35(2) Uredbe (EU 2022/2065, smernic Komisije, vključno s smernicami iz člena 35(3) navedene uredbe, in vseh drugih ustreznih smernic, ki jih Komisija izda v zvezi z uporabo Uredbe (EU) 2022/2065, ter revizijskih poročil, izdanih na podlagi kodeksov ravnanja ali kriznih protokolov iz členov 45, 46 in 48 navedene uredbe; |
|
(c) |
informacij v zvezi z dogodki, ki se zgodijo med izvajanjem revizije, vključno s krizami, ki od revidiranega ponudnika zahtevajo dodatne ukrepe za zagotovitev izpolnjevanja določenih revidiranih obveznosti ali zavez. |
5. Revizijski postopki vključujejo vsaj:
|
(a) |
izvajanje preskusov in temeljitih analitičnih postopkov za notranje kontrole, ki jih revidirani ponudnik vzpostavi za vsako revidirano obveznost ali zavezo; |
|
(b) |
izvajanje temeljitih analitičnih postopkov za oceno skladnosti z vsako revidirano obveznostjo in zavezo, tudi v zvezi z algoritemskimi sistemi; |
|
(c) |
izvajanje preskusov, tudi v zvezi z algoritemskimi sistemi, v zvezi z revidiranimi obveznostmi in zavezami, o katerih revizijska organizacija utemeljeno dvomi, kot je navedeno v odstavku 4, ter v zvezi z revidiranimi obveznostmi in zavezami, za katere revizijska organizacija pri izbiri metodologije v skladu z odstavkom 1 meni, da je treba izvesti preskuse. |
6. Kadar mora revidirani ponudnik v skladu z obveznostmi ali zavezami iz člena 37(1) Uredbe (EU) 2022/2065 nekatere informacije sporočiti javno, metodologije revizije vključujejo oceno, ali v sporočenih informacijah ni pomembnih napak ali opustitev, zaradi katerih bi bile lahko zavajajoče.
Člen 11
Kakovost revizijskih dokazov
Revizijski sklepi in revizijska mnenja temeljijo na revizijskih dokazih, ki izpolnjujejo obe naslednji zahtevi:
|
(a) |
so ustrezni in zadostni za zmanjševanje revizijskih tveganj, opredeljenih v skladu s členom 9, in revizijski organizaciji omogočajo, da poda revizijske sklepe in mnenja v skladu s členom 8; |
|
(b) |
so zanesljivi v skladu s strokovno presojo in skrbnostjo revizijske organizacije. |
Člen 12
Metode vzorčenja
1. Kadar revizijski dokazi delno ali v celoti temeljijo na vzorcu podatkov ali informacij, se velikost vzorca in metodologija vzorčenja izbereta tako, da se čim bolj zmanjša tveganje pri odkrivanju in brez vmešavanja revidiranega ponudnika.
2. Velikost vzorca in metodologija vzorčenja se izbereta tako, da se zagotovi reprezentativnost podatkov ali informacij, in kadar je ustrezno, ob upoštevanju vsega naslednjega:
|
(a) |
reprezentativnosti vzorca za obdobje iz člena 3(2) in (3); |
|
(b) |
pomembnih sprememb revidirane storitve v navedenem obdobju; |
|
(c) |
pomembnih sprememb okoliščin, v katerem je bila v navedenem obdobju opravljena revidirana storitev; |
|
(d) |
kadar je ustrezno, ustreznih funkcij algoritemskih sistemov, vključno s prilagajanjem na podlagi profiliranja ali drugih meril; |
|
(e) |
drugih pomembnih značilnosti ali razdelitev obravnavanih podatkov, informacij in dokazov; |
|
(f) |
zastopanosti in ustrezne analize pomislekov v zvezi s posameznimi skupinami, kot je ustrezno, kot so mladoletniki ali ranljive skupine in manjšine, v zvezi z revidirano obveznostjo ali zavezo. |
3. Revizijsko poročilo vključuje utemeljitev izbire velikosti vzorca in metodologije vzorčenja.
Člen 13
Posebne metodologije za revizijo skladnosti s členom 34 Uredbe (EU) 2022/2065 o oceni tveganja
1. Ocena skladnosti revidiranega ponudnika s členom 34 Uredbe (EU) 2022/2065 med drugim vključuje analizo vseh naslednjih elementov:
|
(a) |
ali je revidirani ponudnik skrbno ugotovil, analiziral in ocenil sistemska tveganja v Uniji iz člena 34(1), prvi pododstavek, Uredbe (EU) 2022/2065, vključno z oceno:
|
|
(b) |
ali je bila ocena tveganja opravljena v rokih iz člena 34(1), drugi pododstavek, Uredbe (EU) 2022/2065 in kadar je ustrezno, v rokih, določenih za dejavnosti, vzpostavljene kot ukrepi za zmanjševanje tveganja za odkrivanje sistemskih tveganj v skladu s členom 35(1), točka (f), navedene uredbe; |
|
(c) |
kako je revidirani ponudnik opredelil funkcionalnosti, ki bodo verjetno kritično vplivale na tveganja, za katera se v skladu s členom 34(1), drugi pododstavek, Uredbe (EU) 2022/2065 pred njihovo uvedbo izvede ocena tveganja, ali so bile navedene funkcionalnosti pravilno opredeljene in ali je bila ocena tveganja ustrezno izvedena; |
|
(d) |
ali je revidirani ponudnik pravilno opredelil podporno dokumentacijo, ki bi jo bilo treba hraniti v zvezi z oceno tveganja, in ali je v skladu s členom 34(3) Uredbe (EU) 2022/2065 vzpostavil potrebna sredstva za zagotovitev hranjenja te dokumentacije vsaj tri leta ter ali je bila dokumentacija ustrezno hranjena. |
2. Brez poseganja v katero koli drugo analizo, potrebno za doseganje razumne ravni zanesljivosti, metodologije za revidiranje skladnosti s členom 34 Uredbe (EU) 2022/2065 vključujejo vsaj oceno naslednjih elementov, ki jo opravi revizijska organizacija:
|
(a) |
notranjih kontrol, ki jih je revidirani ponudnik vzpostavil za spremljanje izvajanja ocen tveganja v zvezi z vsakim dejavnikom iz člena 34(2), prvi pododstavek, Uredbe (EU) 2022/2065; taka ocena:
|
|
(b) |
ukrepov, sredstev in postopkov, ki jih je revidirani ponudnik vzpostavil za zagotovitev skladnosti s členom 34 Uredbe (EU) 2022/2065, in njihovih rezultatov; taka ocena temelji na:
|
3. Informacije, ki jih analizira revizijska organizacija v podporo oceni, izvedeni v skladu s tem členom, med drugim vključujejo:
|
(a) |
poročilo o oceni tveganja za zadevno revidirano obdobje, ki ga je pripravil revidirani ponudnik, po potrebi vključno z zaupnimi informacijami, ki niso del informacij, objavljenih v skladu s členom 42(2) navedene uredbe, in vsemi dokazili; |
|
(b) |
kadar je ustrezno, druga poročila o ocenah tveganja revidiranega ponudnika in njihova dokazila; |
|
(c) |
informacije, ki jih revidirani ponudnik predloži v skladu s členom 5; |
|
(d) |
vsa ustrezna poročila o preglednosti revidiranega ponudnika iz člena 15(1) Uredbe (EU) 2022/2065; |
|
(e) |
vse druge rezultate preskusov, dokumentacijo, dokaze, izjave, podane kot odgovor na pisna ali ustna vprašanja, ki jih revizijska organizacija naslovi na osebje revidiranega ponudnika, in kadar je ustrezno, opažanja v prostorih; |
|
(f) |
druge ustrezne dokaze, tudi na podlagi informacij, ki jih je dal na voljo revidirani ponudnik; |
|
(g) |
kjer so na voljo, poročila iz člena 35(2) Uredbe (EU) 2022/2065 in smernice Komisije, vključno s smernicami, izdanimi v skladu s členom 35(3) navedene uredbe, ter vse druge ustrezne smernice, ki jih Komisija izda v zvezi z uporabo Uredbe (EU) 2022/2065. |
4. Informacije, ki jih analizira revizijska organizacija, lahko kadar je ustrezno, vključujejo informacije iz člena 42(4) Uredbe (EU) 2022/2065, vključno z informacijami iz revizijskih poročil, poročil o oceni tveganja in poročil o zmanjševanju tveganja, o drugih zelo velikih spletnih platformah ali zelo velikih spletnih iskalnikih, ali podatke in raziskave, ki jih preverjeni raziskovalci javno objavijo v skladu s členom 40(8), točka (g), Uredbe.
Člen 14
Posebne metodologije za revizijo skladnosti s členom 35 Uredbe (EU) 2022/2065 o zmanjševanju tveganj
1. Ocena skladnosti revidiranega ponudnika s členom 35 Uredbe (EU) 2022/2065 med drugim vključuje analizo vseh naslednjih elementov:
|
(a) |
kako je revidirani ponudnik opredelil ukrepe za zmanjševanje tveganja za vsako sistemsko tveganje iz člena 34(1) Uredbe (EU) 2022/2065 in ali je opredelitev teh ukrepov za zmanjševanje tveganja potekala skrbno; |
|
(b) |
kako je revidirani ponudnik ocenil, ali se ukrepi za zmanjševanje tveganja iz člena 35(1), točke (a) do (k), Uredbe (EU) 2022/2065 uporabljajo za revidirano storitev in ali je bil sklep te ocene ustrezen, med drugim v zvezi z ukrepi, ki jih revidirani ponudnik ni uporabil; |
|
(c) |
ali so ukrepi za zmanjševanje, ki jih je uvedel revidirani ponudnik, razumni, sorazmerni in učinkoviti za zmanjševanje zadevnih tveganj, vključno z
|
2. Brez poseganja v katero koli drugo analizo, potrebno za doseganje razumne ravni zanesljivosti, metodologije za revidiranje skladnosti s členom 35 Uredbe (EU) 2022/2065 vključujejo vsaj oceno naslednjih elementov, ki jo opravi revizijska organizacija:
|
(a) |
notranje kontrole, ki jih je revidirani ponudnik vzpostavil za spremljanje uporabe ukrepov za zmanjševanje tveganja iz člena 35(1) Uredbe (EU) 2022/2065, ter ali so te kontrole razumne, sorazmerne in učinkovite; taka ocena:
|
|
(b) |
ukrepi za zmanjševanje tveganja, ki so jih uvedli revidirani ponudniki; taka ocena temelji na:
|
3. Informacije, ki jih analizira revizijska organizacija v podporo oceni, izvedeni v skladu s tem členom, med drugim vključujejo:
|
(a) |
poročila o oceni tveganja in zmanjšanju tveganja za zadevno revidirano obdobje, ki jih je pripravil revidirani ponudnik, po potrebi vključno z zaupnimi informacijami, ki niso del informacij, objavljenih v skladu s členom 42(2) Uredbe (EU) 2022/2065, in vsemi dokazili; |
|
(b) |
kadar je ustrezno, druga poročila o oceni tveganja in zmanjševanju tveganja revidiranega ponudnika in njihova dokazila; |
|
(c) |
informacije, ki jih revidirani ponudnik predloži v skladu s členom 5; |
|
(d) |
vsa ustrezna poročila o preglednosti revidiranega ponudnika iz člena 15(1) Uredbe (EU) 2022/2065; |
|
(e) |
kadar je ustrezno, pretekla poročila o zmanjševanju tveganja in njihova dokazila za obdobja, ki niso zajeta v revidiranem obdobju, kadar je ustrezno, vključno z zaupnimi informacijami, ki niso del informacij, objavljenih v skladu s členom 42(2) Uredbe (EU) 2022/2065; |
|
(f) |
vse druge rezultate preskusov, dokumentacijo, dokaze, izjave, podane kot odgovor na pisna in/ali ustna vprašanja, ki jih revizijska organizacija naslovi na osebje revidiranega ponudnika, in kadar je ustrezno, opažanja v prostorih; |
|
(g) |
druge ustrezne dokaze, tudi na podlagi informacij, ki jih je dal na voljo revidirani ponudnik; |
|
(h) |
kjer so na voljo, poročila iz člena 35(2) Uredbe (EU) 2022/2065 in smernice Komisije, vključno s smernicami, izdanimi v skladu s členom 35(3) navedene uredbe, ter vse druge ustrezne smernice, ki jih Komisija izda v zvezi z uporabo Uredbe (EU) 2022/2065. |
4. Informacije, ki jih analizira revizijska organizacija, lahko kadar je ustrezno, vključujejo informacije iz člena 42(4) Uredbe (EU) 2022/2065, vključno z informacijami iz revizijskih poročil, poročil o oceni tveganja in poročil o zmanjševanju tveganja, o drugih zelo velikih spletnih platformah ali zelo velikih spletnih iskalnikih, ali podatke in raziskave, ki jih preverjeni raziskovalci dajo na voljo javnosti v skladu s členom 40(8), točka (g), Uredbe (EU) 2022/2065.
Člen 15
Posebne metodologije za revizijo skladnosti s členom 36 Uredbe (EU) 2022/2065 o mehanizmu za odzivanje na krize
1. Ocena skladnosti revidiranega ponudnika členom 36(1), prvi pododstavek, točka (a), Uredbe (EU) 2022/2065 med drugim vključuje analizo, ali in kako je revidirani ponudnik izvedel zahtevane ukrepe, zlasti:
|
(a) |
ali in kako je revidirani ponudnik opredelil ustrezne sisteme, vključene v delovanje in uporabo njegove storitve, ki pomembno prispevajo k resni grožnji, in ali so bili navedeni sistemi ustrezno opredeljeni; |
|
(b) |
ali in kako je revidirani ponudnik opredelil in spremljal pomemben prispevek k resni grožnji ter ali je bila njegova ocena ustrezna; |
|
(c) |
vse druge zahteve, določene v sklepu Komisije iz člena 36(1) ali (7), drugi pododstavek, Uredbe (EU) 2022/2065, kot je ustrezno. |
2. Ocena skladnosti revidiranega ponudnika s členom 36(1), prvi pododstavek, točka (b), Uredbe (EU) 2022/2065 med drugim vključuje analizo, ali in kako je revidirani ponudnik izvedel zahtevane ukrepe, zlasti:
|
(a) |
ali in kako je revidirani ponudnik opredelil ukrepe za preprečitev, odpravo ali omejitev kakršnega koli prispevka k resni grožnji; |
|
(b) |
ali in kako so ukrepi, ki jih je sprejel revidirani ponudnik, upoštevali težo resne grožnje, nujnost in ali so bili ukrepi v zvezi s tem ustrezni; |
|
(c) |
ali in kako je revidirani ponudnik opredelil strani, ki jih ukrepi zadevajo, in njihove zakonite interese ter kako je revidirani ponudnik ocenil dejanski ali morebitni vpliv ukrepov na pravice navedenih strani, vključno s temeljnimi pravicami, in njihove zakonite interese; |
|
(d) |
ali so bili ukrepi, ki jih je sprejel revidirani subjekt, učinkoviti in sorazmerni; |
|
(e) |
vse druge zahteve, določene v sklepu Komisije iz člena 36(1) ali (7), drugi pododstavek, Uredbe (EU) 2022/2065, kot je ustrezno. |
3. Ocena skladnosti revidiranega ponudnika s prvim pododstavkom člena 36(1), točka (c), Uredbe (EU) 2022/2065 med drugim vključuje analizo tega, kako je revidirani ponudnik izvedel zahtevane ukrepe, zlasti ali je revidirani ponudnik Komisiji predložil informacije, zahtevane v sklepu Komisije iz drugega pododstavka člena 36(1) ali (7) Uredbe (EU) 2022/2065, in ali so bila navedena poročila točna.
Člen 16
Revizija skladnosti s členom 37 Uredbe (EU) 2022/2065 o neodvisni reviziji
1. Skladnost z obveznostmi iz člena 37 Uredbe (EU) 2022/2065 in te uredbe se oceni v zvezi z revizijo ali revizijami, opravljenimi v letnem obdobju pred sedanjo revizijo.
2. Poleg odstavka 1 revizija vključuje oceno skladnosti revidiranega ponudnika s členom 37(2) Uredbe (EU) 2022/2065 v zvezi s sedanjo revizijo.
3. Če je predhodno revizijo ali revizije iz odstavka 1 opravila ista revizijska organizacija kot sedanjo revizijo ali če revizijska organizacija, ki opravlja sedanjo revizijo, vključuje vsaj en pravni subjekt, ki je sodeloval pri predhodni reviziji, revizijsko poročilo vključuje pojasnilo o korakih, ki jih je revizijska organizacija uvedla za zagotovitev objektivnosti ocene.
Člen 17
Revizija skladnosti s kodeksi ravnanja in kriznimi protokoli
1. Revidirani ponudnik da revizijski organizaciji na voljo:
|
(a) |
seznam in besedilo vseh kodeksov ravnanja iz členov 45 in 46 Uredbe (EU) 2022/2065 ter kriznih protokolov iz člena 48 navedene uredbe, katerih podpisnik je revidirani ponudnik; |
|
(b) |
podroben seznam zavez v okviru navedenih kodeksov ravnanja in kriznih protokolov, ki jih je sprejel revidirani ponudnik; |
|
(c) |
kadar je ustrezno, ključne kazalnike uspešnosti, dogovorjene v okviru vsakega kodeksa ravnanja in kriznega protokola; |
|
(d) |
kadar je ustrezno, vse razpoložljive meritve, podatke in dokumentacijo ter vsa poročila, ki jih pripravi revidirani ponudnik v zvezi s skladnostjo revidiranega ponudnika s sprejetimi obveznostmi, vključno z dostopom do vseh ustreznih informacij in podatkov v zvezi z delovanjem storitev, ki jih ponuja revidirani ponudnik, pomembnih za izvajanje kodeksa ravnanja ali kriznega protokola; |
|
(e) |
kadar je ustrezno, druge meritve, podatke in dokumentacijo, ki jih pripravijo podpisniki kodeksa ravnanja ali kriznega protokola, ter ocene Komisije ali Odbora iz člena 45(4) Uredbe (EU) 2022/2065. |
2. Ocena skladnosti revidiranega ponudnika s kodeksi ravnanja iz člena 45 Uredbe (EU) 2022/2065 med drugim vključuje merjenje ključnih kazalnikov uspešnosti, dogovorjenih v kodeksu ravnanja v skladu s členom 45(3) navedene uredbe, določanje praga pomembnosti revizijskih sklepov in ugotavljanje, ali so sporočeni podatki točni.
ODDELEK V
Končne določbe
Člen 18
Začetek veljavnosti
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 20. oktobra 2023
Za Komisijo
predsednica
Ursula VON DER LEYEN
PRILOGA I
PREDLOGA ZA REVIZIJSKO POROČILO IZ ČLENA 6
Kazalo
|
ODDELEK B: Revizijske organizacije Če želite izpolniti spodnji oddelek, vstavite ustrezno število vrstic za vsako točko. |
||||||||||||||||||||||||||||||
|
|
ODDELEK F.1: Posvetovanje s tretjimi osebami Ta oddelek ponovite za vsako tretjo osebo, pri čemer ime poglavja povečajte za ena (na primer F.1, F.2 itd.). |
||||||||
|
|
ODDELEK G: Vse druge informacije, ki jih želi revizijski organ vključiti v revizijsko poročilo (kot je opis morebitnih lastnih omejitev). |
|
|
|
|
Vključite ustrezno število vrstic v skladu z razdelitvijo odgovornosti in pooblastil iz člena 7(1), točka (b). |
|
Datum: … |
Podpisnik: … |
|
Kraj: … |
V imenu: … |
|
|
Pristojen za: … |
Priloge k revizijskemu poročilu (kakor je ustrezno):
Dokumenti, zahtevani na podlagi člena 7(2) te uredbe.
Dokumenti v zvezi z analizo revizijskega tveganja v skladu s členom 9 te uredbe.
Dokumenti, ki potrjujejo, da revizijska organizacija izpolnjuje obveznosti iz člena 37(3), točka (a), Uredbe (EU) 2022/2065.
Dokumenti, ki potrjujejo, da revizijska organizacija izpolnjuje obveznosti iz člena 37(3), točka (b), Uredbe (EU) 2022/2065.
Dokumenti, ki potrjujejo, da revizijska organizacija izpolnjuje obveznosti iz člena 37(3), točka (c), Uredbe (EU) 2022/2065.
Dokumentacija in rezultati vseh preskusov, ki jih je opravila revizijska organizacija, tudi v zvezi z algoritemskimi sistemi revidiranega ponudnika.
Kodeksi ravnanja iz členov 45 in 46 Uredbe (EU) 2022/2065, na podlagi katerih je revidirani ponudnik sprejel zaveze, vključno z jasno navedbo vseh sprejetih zavez in vseh dogovorjenih ključnih kazalnikov uspešnosti za to zavezo.
Krizni protokoli iz člena 48 Uredbe (EU) 2022/2065, ki jih izvaja revidirani ponudnik.
Vse druge priloge, ki jih želi vključiti revizijska organizacija.
PRILOGA II
PREDLOGA ZA POROČILO O IZVEDBI REVIZVIJSKIH PRIPOROČIL IZ ČLENA 6
Kazalo
|
ODDELEK A: Splošni podatki |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0804 (electronic edition)