(1)

Enligt artikel 47.1 i direktiv 2006/43/EG kan medlemsstaterna tillåta att revisionshandlingar eller andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag som de har godkänt samt utrednings- och kontrollrapporter som avser revisionerna i fråga överlämnas till behöriga myndigheter i ett tredjeland endast på villkor att dessa myndigheter uppfyller krav som kommissionen har fastställt som tillräckliga och att samarbetsformer på grundval av ömsesidighet har avtalats mellan dem och de behöriga myndigheterna i de berörda medlemsstaterna.

(2)

I ett beslut om tillräcklighet enligt artikel 47.3 i direktiv 2006/43/EG ingår inte andra särskilda villkor för överlämnandet av revisionshandlingar och andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag samt utrednings- och kontrollrapporter, såsom det avtal om samarbetsformer på grundval av ömsesidighet mellan de behöriga myndigheterna som avses i artikel 47.1 d i det direktivet, eller villkoren för överlämnande av personuppgifter som fastställs i artikel 47.1 e i det direktivet.

(3)

Samarbete om överlämnande av revisionshandlingar eller andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag och av utrednings- och kontrollrapporter till den behöriga myndigheten i ett tredjeland återspeglar det väsentliga allmänintresset i utövandet av oberoende offentlig tillsyn. De behöriga myndigheterna i medlemsstaterna bör, inom ramen för de samarbetsformer som avses i artikel 47.2 i direktiv 2006/43/EG, säkerställa att Sydafrikas behöriga myndighet använder sådana handlingar som överlämnas till dem i enlighet med artikel 47.1 i det direktivet endast för att utöva sitt uppdrag inom offentlig tillsyn, extern kvalitetskontroll och utredningar beträffande revisorer och revisionsföretag.

(4)

När kontroller eller utredningar utförs, får inte lagstadgade revisorer och revisionsföretag ge tillgång till eller överlämna sina revisionshandlingar eller andra handlingar till den behöriga myndigheten i Sydafrika på några som helst andra villkor än de som anges i artikel 47 i direktiv 2006/43/EG och i detta beslut.

(5)

För att säkerställa offentlig tillsyn, kvalitetssäkring och utredningar beträffande lagstadgade revisorer och revisionsföretag bör medlemsstaterna, utan att det påverkar tillämpningen av artikel 47.4 i direktiv 2006/43/EG, se till att kontakter mellan revisorer eller revisionsföretag som godkänts av den behöriga myndigheten i Sydafrika sker via de behöriga myndigheterna i de berörda medlemsstaterna.

(6)

I enlighet med artikel 47.1 d i direktiv 2006/43/EG kan medlemsstaterna tillåta att revisionshandlingar eller andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag som godkänts av dem samt utrednings- och kontrollrapporter överlämnas till den behöriga myndigheten i Sydafrika, men endast på villkor att samarbetsformer har avtalats mellan de berörda behöriga myndigheterna.

(7)

Medlemsstaterna bör se till att sådana samarbetsformer mellan deras behöriga myndigheter och den behöriga myndigheten i Sydafrika avtalas på grundval av ömsesidighet och på de villkor som anges i artikel 47.1 och 47.2 i direktiv 2006/43/EG, bland annat skydd av alla företagshemligheter och affärsintressen, inbegripet industriella och immateriella äganderätter, som ingår i handlingarna avseende de företag som var föremål för revisionen eller avseende de lagstadgade revisorer och revisionsföretag som utförde revisionen av företagen.

(8)

Om ett överlämnande av revisionshandlingar eller andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag och av utrednings- och kontrollrapporter till den behöriga myndigheten i Sydafrika innebär att personuppgifter överförs, är en sådan överföring laglig endast om den även uppfyller de villkor för internationell överföring av personuppgifter som fastställs i Europaparlamentets och rådets förordning (EU) 2016/679 (2). Enligt artikel 47.1 e i direktiv 2006/43/EG måste medlemsstaterna därför säkerställa att överföringen av personuppgifter mellan deras behöriga myndigheter och den behöriga myndigheten i Sydafrika sker i överensstämmelse med tillämpliga dataskyddsprinciper och dataskyddsregler och, framför allt, med bestämmelserna i kapitel V i förordning (EU) 2016/679. Medlemsstaterna bör se till att det finns lämpliga skyddsåtgärder i samband med överföring av personuppgifter, i enlighet med artikel 46 i förordning (EU) 2016/679. Dessutom bör medlemsstaterna säkerställa att den behöriga myndigheten i Sydafrika inte delar personuppgifter som ingår i de överlämnade handlingarna vidare utan förhandsgodkännande från de behöriga myndigheterna i de berörda medlemsstaterna.

(9)

Independent Regulatory Board for Auditors (IRBA) är Sydafrikas behöriga myndighet med ansvar för offentlig tillsyn, extern kvalitetskontroll och utredningar beträffande revisorer och revisionsföretag. Myndigheten genomför tillräckliga skyddsåtgärder som förbjuder, och vidtar straffåtgärder mot, anställdas och tidigare anställdas utlämnande av konfidentiella uppgifter till tredje man eller andra myndigheter. Enligt de sydafrikanska reglerna för revisionsyrket, Audit Profession Act 2005, och IRBA:s riktlinjer får IRBA till de behöriga myndigheterna i medlemsstaterna överlämna handlingar som är likvärdiga med dem som avses i artikel 47.1 i direktiv 2006/43/EG.

(10)

För att IRBA ska få dela kontrollrapporter och handlingar som erhållits vid kontroller krävs medgivande av revisorn eller revisionsföretaget som är registrerade hos IRBA. Detta krav kan medföra svårigheter vid genomförandet av de krav på regleringssamarbete som anges i artikel 47 i direktiv 2006/43/EG. Regleringssamarbetet mellan IRBA och medlemsstaternas behöriga myndigheter bör därför noga övervakas och granskas av kommissionen för att bedöma om kravet på samtycke utgör ett hinder för informationsutbyte i praktiken.

(11)

IRBA är den behöriga myndighet som ansvarar för att samarbeta och ingå bilaterala avtal med medlemsstaternas behöriga myndigheter när det gäller överlämnande av revisionshandlingar. Revisionshandlingars konfidentialitet säkerställs genom sydafrikansk ”common law” om tystnadsplikt, som anger en allmän yrkesskyldighet och plikt för revisorn att iaktta sekretess avseende uppgifterna i kundmaterialet.

(12)

Enligt Sydafrikas lagar och andra författningar kan IRBA omfattas av kravet på att dela sådan information som avses i artikel 47.1 i direktiv 2006/43/EG med en ”lämplig tillsynsmyndighet”, men har befogenhet att skönsmässigt besluta om huruvida överlämnande av uppgifter skulle vara förenligt med skyddet av allmänheten och allmänintresset. Vid upprättandet av bilaterala avtal om samarbetsformer med IRBA skulle de behöriga myndigheterna i medlemsstaterna kunna kräva att IRBA ber om deras förhandsgodkännande om IRBA anmodas att till en ”lämplig tillsynsmyndighet” överlämna icke-offentlig information som mottagits under samarbetets gång. De bör även överväga att kräva att IRBA får dela sådan information endast med enheter som anges i avtalen, och ange att dessa enheter måste hantera uppgifterna som konfidentiella och privilegierade. Behandling av personuppgifter får dessutom endast ske i det syfte som anges i detta beslut, såsom anges i skäl 3 och artikel 1, och i enlighet med de villkor som anges särskilt i skäl 8 i detta beslut.

(13)

I artikel 1 i kommissionens genomförandebeslut (EU) 2016/1010 (3) anges flera behöriga myndigheter i tredjeländer eller tredjeterritorier, inklusive IRBA, som uppfyller krav som ska anses vara tillräckliga i den mening som avses i artikel 47.1 c i direktiv 2006/43/EG för överlämnande av revisionshandlingar eller andra handlingar och utrednings- och kontrollrapporter. I enlighet med artikel 3 i genomförandebeslut (EU) 2016/1010 upphörde det genomförandebeslutet att gälla för IRBA den 1 augusti 2019.

(14)

Även om IRBA inte ingick några bilaterala avtal om samarbetsformer med någon av medlemsstaternas behöriga myndigheter före den 31 juli 2019 har vissa medlemsstater visat intresse för att utveckla samarbetet med IRBA.

(15)

Kommittén för europeiska tillsynsorgan för revisorer (Committee of European Auditing Oversight Bodies – (CEAOB) har gjort en ny bedömning av den rättsliga ramen i Sydafrika baserat på de sydafrikanska reglerna för revisionsyrket, Audit Profession Act 2005, som inte har ändrats sedan genomförandebeslut (EU) 2016/1010. Med beaktande av CEAOB:s tekniska utvärdering enligt vad som avses i artikel 30.7 c i Europaparlamentets och rådets förordning (EU) nr 537/2014 (4), uppfyller IRBA krav som bör fastställas som tillräckliga i den mening som avses i artikel 47.1 c i direktiv 2006/43/EG.

(16)

Detta beslut påverkar inte sådana samarbetsavtal som avses i artikel 25.4 i Europaparlamentets och rådets direktiv 2004/109/EG (5).

(17)

En eventuell slutsats om att behöriga myndigheter i ett tredjeland uppfyller krav som ska anses tillräckliga i enlighet med artikel 47.3 första stycket i direktiv 2006/43/EG föregriper inte beslut som kommissionen kan komma att anta om likvärdighet mellan offentliga tillsynssystem, system för kvalitetskontroll samt utrednings- och sanktionssystem för revisorer och revisionsföretag i det tredjelandet enligt artikel 46.2 i det direktivet.

(18)

Detta beslut syftar till att underlätta effektivt samarbete mellan medlemsstaternas behöriga myndigheter och IRBA. Avsikten är att göra det möjligt för dessa myndigheter att utöva sina uppdrag vad gäller offentlig tillsyn, extern kvalitetskontroll och utredningar och samtidigt skydda de berörda parternas rättigheter. Om en behörig myndighet beslutar att avtala om samarbetsformer på grundval av ömsesidighet med IRBA i syfte att möjliggöra överlämnande av revisionshandlingar och andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag samt utrednings- och kontrollrapporter, är den berörda medlemsstaten skyldig att underrätta kommissionen om de ömsesidiga samarbetsformer som avtalats med IRBA, för att kommissionen ska kunna bedöma om samarbetet är förenligt med artikel 47 i direktiv 2006/43/EG.

(19)

Det övergripande syftet med samarbete kring revisionstillsyn mellan medlemsstaternas behöriga myndigheter och IRBA är att skapa ömsesidig tillit för varandras tillsynssystem och att öka konvergensen i revisionskvalitet. En sådan ömsesidig tillit och ökad konvergens skulle bygga på likvärdighet mellan unionens och Sydafrikas revisionstillsynssystem. Därför torde överlämnande av revisionshandlingar eller andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag och av utrednings- och kontrollrapporter i slutändan utgöra ett undantag.

(20)

Eftersom det saknas praktisk erfarenhet av tillsynssamarbete med IRBA – och det därför för närvarande inte går att avgöra om informationsutbytet i praktiken hindras av kravet på att IRBA måste ha förhandsgodkännande från revisorn eller revisionsföretaget för att lämna vidare kontrollrapporter och handlingar som erhållits i samband med kontroller – bör detta beslut tillämpas under en begränsad tid.

(21)

Oavsett tidsbegränsningen kommer kommissionen regelbundet att övervaka marknadsutvecklingen, utvecklingen av tillsyns- och regleringsramarna och tillsynssamarbetets effektivitet, med beaktande av de erfarenheter som gjorts under tillsynssamarbetet, där man även beaktar information från medlemsstaterna. I synnerhet kan kommissionen göra en särskild översyn av detta beslut när som helst under dess giltighetstid, om relevant utveckling gör det nödvändigt att ompröva den tillräcklighet som fastställs genom detta beslut. En sådan omprövning kan leda till att detta beslut upphävs.

(22)

Europeiska datatillsynsmannen avgav sitt yttrande den 3 december 2019.

(23)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats i enlighet med artikel 48.1 i direktiv 2006/43/EG.