officiella tidning
Europeiska unionens
SV
Serien L
|
|
officiella tidning |
SV Serien L |
|
2024/436 |
2.2.2024 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2024/436
av den 20 oktober 2023
om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2065 genom fastställandet av regler för utförandet av revisioner av mycket stora onlineplattformar och mycket stora onlinesökmotorer
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) (1), särskilt artikel 37.7, och
av följande skäl:
|
(1) |
Oberoende revisioner är ett viktigt verktyg för att övervaka uppfyllandet av skyldigheterna för leverantörer av mycket stora onlineplattformar och av mycket stora onlinesökmotorer enligt förordning (EU) 2022/2065. Den förordningen innehåller även andra verktyg för att säkerställa ansvarsskyldighet, inte minst genom förbättrad offentlig granskning av transparensrapporter och andra upplysningskrav, men oberoende revisionsföretag spelar en särskild roll när det gäller att tidigt bedöma sådana leverantörers efterlevnad av den förordningen. Slutsatserna och resultaten av dessa oberoende revisioner, och de åtföljande rekommendationerna, kan ha en meningsfull inverkan på den rättsliga tillsynen. Samtidigt utgör oberoende revisioner en av flera källor till information och analys som tillsynsmyndigheter kan använda för att fullgöra sina övervaknings- och verkställighetsuppgifter. |
|
(2) |
För att säkerställa att de oberoende revisionerna utförs på ett ändamålsenligt, effektivt, snabbt och jämförbart sätt från och med den dag då förordning (EU) 2022/2065 börjar tillämpas, enligt vad som anges i artiklarna 92 och 93 i den förordningen, bör kommissionen fastställa regler för utförandet av revisioner, i synnerhet när det gäller de rättsliga skyldigheterna för de leverantörer som är föremål för revision och förfarandestegen för att säkerställa att de företag som utför revisionerna uppfyller de villkor för oberoende, avsaknad av intressekonflikter samt sakkunskap och yrkesetik som fastställs i artikel 37.3 i förordning (EU) 2022/2065. |
|
(3) |
För att underlätta lämpligt utförande av revisioner med en hög nivå av sakkunskap och föregripa oförutsedda konsekvenser på marknaden för revisionstjänster bör det förtydligas att revisioner som utförs i enlighet med artikel 37 i förordning (EU) 2022/2065 får utföras av flera revisorer. När så krävs, till exempel på grund av ett behov av särskild sakkunskap vid revision av vissa skyldigheter eller åtaganden, såsom de som rör algoritmiska systems utformning och funktion, eller en förståelse för riskerna för grundläggande rättigheter eller spridning av olagligt innehåll, får den leverantör som revisionen avser anlita olika revisionsföretag, eller ett konsortium av företag, för utförandet av revisionen. Revisionsföretag får även anlita underleverantörer som tillhandahåller den sakkunskap som krävs, förutsatt att både revisionsföretaget och underleverantören uppfyller de nödvändiga villkoren avseende oberoende, avsaknad av intressekonflikter, styrkt objektivitet och yrkesetik, och att de tillsammans uppfyller villkoren om teknisk sakkunskap. I sådana fall bör den leverantör som revisionen avser fortfarande säkerställa att dess uppfyllande av alla de skyldigheter och åtaganden som avses i artikel 37.1 i förordning (EU) 2022/2065 granskas minst en gång om året. |
|
(4) |
De revisionsuttalanden som avses i artikel 37.4 g i förordning (EU) 2022/2065 bör utfärdas av revisionsföretag med rimlig tillförlitlighetsnivå. För att uppnå en rimlig tillförlitlighetsnivå bör revisionsföretaget ha en hög, men inte absolut, konfidensgrad om att det inte förekommer några felaktigheter, såsom utelämnanden, missvisande uppgifter eller fel, som inte upptäcktes vid revisionen. För att säkerställa den tillförlitlighetsnivån bör revisionsföretaget bland annat hämta in tillräcklig bevisning och använda lämpliga revisionsmetoder vid bedömningen. |
|
(5) |
Enligt artikel 37.1 i förordning (EU) 2022/2065 bör oberoende revisioner utföras åtminstone årligen, i samband med den årliga omgång riskbedömningar som avses i artikel 34 i den förordningen. Det kan dock i vissa fall vara nödvändigt att utföra revisioner oftare. Revisionerna bör ske så att det säkerställs en fortlöpande övervakning av att de leverantörer som revisionen avser efterlever förordning (EU) 2022/2065 och relevanta uppförandekoder och krisprotokoll. Den leverantör som är föremål för revision bör säkerställa att den tidsperiod för vilken revisionen bedömer uppfyllandet av de skyldigheter och åtaganden som revisionen avser kompletterar den tidsperiod som omfattas av den föregående revisionen av leverantörens uppfyllande av dessa skyldigheter och åtaganden, och att den inleds senast då den tidsperiod som omfattas av den föregående revisionen avslutas. I och med att en slutförd revision omfattar både den bedömning som gjorts av revisionsföretaget och upprättandet av en revisionsrapport, bör de leverantörer som är föremål för revision säkerställa att tidsåtgången för revisionen gör att revisioner kan slutföras minst en gång per år och att revisionsrapporterna utan onödigt dröjsmål lämnas in till kommissionen och samordnaren för digitala tjänster, i enlighet med artikel 42.4 i förordning (EU) 2022/2065. |
|
(6) |
Leverantörer som är föremål för revision bör under inga omständigheter lägga sig i utförandet av revisionen och dess slutsatser, utan de ska uppfylla sina skyldigheter enligt artikel 37 i förordning (EU) 2022/2065 bland annat genom att enas om avtalsvillkor med revisionsföretaget och, före valet av revisionsföretag, kontrollera att företaget uppfyller de villkor som avses i artikel 37.3 i förordning (EU) 2022/2065. |
|
(7) |
Den leverantör som är föremål för revision bör till exempel bedöma de avtal som tidigare har tecknats med revisionsföretaget eller avtal som tecknats mellan revisionsföretaget och juridiska personer som har anknytning till den leverantör som är föremål för revision. Den leverantör som är föremål för revision bör även lägga till klausuler i avtal med revisionsföretag för att säkerställa att de villkoren i artikel 37.3 i förordning (EU) 2022/2065 uppfylls. Om revisionsföretaget består av flera enheter bör den leverantör som är föremål för revision kontrollera att alla dessa enheter uppfyller dessa villkor, inbegripet, i förekommande fall, eventuella underleverantörer som revisionsföretaget har anlitat i syfte att på något sätt bistå vid revisionen. Var och en av de enheter som utför revisionen ska individuellt uppfylla kraven på oberoende och avsaknad av intressekonflikter, men kraven på kompetens, sakkunskap och tekniska resurser ska uppfyllas tillsammans av dessa enheter, vilket innebär att olika enheter kan utföra olika delar av revisionen och bidra med den kapacitet, kompetens och sakkunskap som behövs för utförandet av revisionen. Revisionsrapporten ska innehålla uppgifter om varje enhets ansvarsområde för respektive del av revisionen. |
|
(8) |
I enlighet med artikel 37.3 a i i förordning (EU) 2022/2065 ska den leverantör som är föremål för revision särskilt bemöda sig om att undvika att revisionsföretaget tillhandahåller andra tjänster än revision till den leverantör som revisionen avser vid kontrollen av huruvida ett revisionsföretag uppfyller kraven på oberoende och avsaknad av intressekonflikter. Den leverantör som är föremål för revision bör till exempel bedöma huruvida några tjänster har tillhandahållits, såsom tjänster som rör något system, någon programvara eller någon process som har anknytning till ärenden som är relevanta för den skyldighet eller det åtagande som revisionen avser, till exempel konsulttjänster för bedömning av prestanda, styrning eller programvara, utbildningstjänster, utveckling eller underhåll av system eller underleverans av innehållsmoderering. Dessa tjänster inbegriper även tjänster som tillhandahållits den leverantör som är föremål för revision i form av rådgivning om eller utveckling av interna kontroller, eller intern bedömning av leverantörens efterlevnad av förordning (EU) 2022/2065 eller uppförandekoder och krisprotokoll, även när detta är begränsat till punktvisa tester, till exempel tredjepartstester av prestanda hos system för innehållsmoderering. Detta bör inte utesluta revisionsföretag som har utfört lagstadgad revision. |
|
(9) |
Med tanke på komplexiteten och särarten hos granskningar av efterlevnaden av förordning (EU) 2022/2065 är det avgörande att revisionsföretaget har sakkunskap inom ämnet, för att revisionerna ska kunna utföras med rimlig tillförlitlighetsnivå och för att revisionsföretaget ska kunna använda det yrkesmässiga omdöme och den professionella skepsis som krävs för att veta, till exempel, vilka uppgifter som behövs för att kunna utföra revisionsförfarandet eller ifrågasätta motsägelsefulla uppgifter. Den leverantör som är föremål för revision bör därför kontrollera att revisionsföretaget innehar denna sakkunskap, inbegripet inom riskhantering, när det gäller både revisionsrisker och innehållet i förordning (EU) 2022/2065 och i synnerhet de systemrisker för samhället som avses i artikel 34 i den förordningen. Den leverantör som är föremål för revision bör även kontrollera revisionsföretagets tekniska kompetens och kapacitet med avseende på den specifika tjänst som revisionen avser, inbegripet sakkunskap om dess innehåll, till exempel när det gäller funktion och effekter hos algoritmiska system såsom rekommendationssystem och andra sociotekniska system som drivs av leverantören. Revisionsföretaget bör ha möjlighet att anlita underleverantörer eller på annat vis erhålla och tillämpa den sakkunskap och kapacitet som krävs, och den leverantör som revisionen avser bör kontrollera och säkerställa att revisionsföretaget kan erhålla denna sakkunskap och kapacitet i tid för att kunna utföra revisionen. |
|
(10) |
Vid kontrollen av om revisionsföretaget uppfyller villkoren i artikel 37.3 i förordning (EU) 2022/2065 bör den leverantör som revisionen avser bedöma alla relevanta bevis, inbegripet, i tillämpliga fall, intyg, redovisningar och revisionsrapporter som utfärdats av revisionsföretaget. Lämplig sakkunskap kan styrkas exempelvis genom praktisk erfarenhet av riskbedömning och riskhantering samt genom akademiska studier, vetenskapliga publikationer och erfarenhet av relevanta revisioner. Revisionsrapporterna ska innehålla alla relevanta styrkande handlingar som visar att revisionsföretaget uppfyller de nödvändiga villkoren. |
|
(11) |
Enligt artikel 37.2 i förordning (EU) 2022/2065 ska den leverantör som är föremål för revision tillhandahålla revisionsföretaget det samarbete och bistånd som krävs för att revisionerna ska kunna utföras på ett ändamålsenligt, effektivt och snabbt sätt samt undvika att på något vis lägga sig i revisionsföretagets oberoende beslut. Den leverantör som revisionen avser bör till exempel inte tvinga, vägleda eller på annat sätt påverka revisionsföretaget med någon form av avtalsmässiga eller andra begränsningar eller incitament vad gäller dess val och utförande av revisionsförfaranden eller metoder, insamling och behandling av uppgifter och revisionsbevis, analys, tester, revisionsuttalande eller utarbetande av revisionsslutsatser. |
|
(12) |
För att säkerställa det samarbete och bistånd som krävs under revisionen bör den leverantör som revisionen avser se till att revisionsföretaget har tillgång till alla uppgifter som krävs för utförandet av revisionen. Den leverantör som revisionen avser bör så tidigt som möjligt, och i vart fall innan revisionsföretaget påbörjar revisionsförfarandena, översända alla handlingar och intyg som krävs. Enligt artikel 41.3 d och e i förordning (EU) 2022/2065, till exempel, ska funktionen för regelefterlevnad hos den leverantör som är föremål för revision övervaka efterlevnaden av alla de skyldigheter och åtaganden som omfattas av revisionen, vilket bör utmynna i inrättandet av interna kontroller. Revisionsföretaget bör därför ges tillgång till all information som rör sådana kontroller och all annan information som beskriver strategin för att säkerställa regelefterlevnad hos den leverantör som revisionen avser. Den leverantör som revisionen avser bör i synnerhet tillhandahålla revisionsföretaget de riktmärken som leverantören använder för att säkerställa efterlevnaden av förordning (EU) 2022/2065, så att revisionsföretaget kan basera revisionskriterierna på denna information.. Revisionsföretaget bör också ges tillgång till eventuella analyser som leverantören som revisionen avser har gjort av inneboende risker och kontrollrisker. Den berörda leverantören bör tillhandahålla revisionsföretaget information som underlättar förståelsen av den granskade tjänsten, dess styrelseformer, olika arbetsgruppers respektive ansvarsområden samt beslutsstrukturer, inbegripet dess funktion för regelefterlevnad, liksom presentationer av dess it-system, data- och registerstrukturer och samspelet mellan olika algoritmiska system av betydelse för revisionen. |
|
(13) |
Revisionsföretaget ska när som helst under utförandet av revisionen kunna begära eventuella ytterligare uppgifter som krävs. Tillgång till dessa uppgifter ska ges utan onödigt dröjsmål på ett sätt som inte på något vis hindrar utförandet av revisionen. Detta bör innefatta tillgång till uppgifter, inklusive personuppgifter, som samlats in från olika källor, såsom dokument, algoritmiska system, databaser eller intervjuer, enligt vad som är tillämpligt. Den leverantör som är föremål för revision bör även ge revisionsföretaget tillgång till förfaranden och processer samt it-system, såsom algoritmiska system och informationssystem, inbegripet testmiljöer. För att revisionsföretaget ska kunna granska dessa system på ett meningsfullt sätt bör den leverantör som revisionen avser tillhandahålla alla tillgängliga resurser som krävs för att hjälpa revisionsföretaget att komma åt och bedöma systemen, till exempel genom att ställa leverantörens behöriga personal till förfogande för att svara på frågor eller köra testmiljöer och förklara deras funktion, eller underlätta övrig tillgång som behövs till personal och lokaler, till exempel byggnader. Tillgång till förfaranden och processer kan till exempel innebära tillgång till beskrivningar eller handlingar som rör den interna beslutsprocessen för den leverantör som revisionen avser. Tillgång till relevanta uppgifter kan även kräva andra åtgärder från den leverantör som revisionen avser för att den ska uppfylla sin skyldighet till samarbete och bistånd. Intervjuer med personalen kan till exempel kräva att den leverantör som revisionen avser tillhandahåller säkra lokaler. När det är nödvändigt för utförandet av revisionen bör de leverantörer som är föremål för revision uppfylla sin samarbets- och biståndsskyldighet gentemot revisionsföretaget genom att bland annat underlätta tillgången till relevanta data om deras verksamhet som innehas av deras utomstående underleverantörer. Detta kan vara fallet exempelvis när det gäller resultatet av åtgärder för innehållsmoderering, utbildningsmaterial eller riktlinjer som används av utomstående underleverantörer som modererar innehåll, eller försäljare och tjänsteleverantörer för it-lösningar, inbegripet exempelvis algoritmer och tillämpningar som används i rekommendationssystem eller system för annonsering som används av den leverantör som revisionen avser. |
|
(14) |
För att underlätta meningsfull insyn i resultaten av revisionen och möjliggöra ett heltäckande och jämförbart format för de revisionsrapporter som avses i artikel 37.4 i förordning (EU) 2022/2065 och de rapporter om genomförandet av revisionen som avses i artikel 37.6 i den förordningen bör det i denna förordning fastställas mallar för dessa rapporter och ett krav på ett antal bilagor till var och en av rapporterna. De mallar som fastställs i denna förordning kräver omfattande rapportering, men de bör inte påverka de krav på offentliggörande av rapporter som fastställs i artikel 42.4 och 42.5 i förordning (EU) 2022/2065. |
|
(15) |
För att säkerställa att revisionsföretaget erhåller det bistånd som krävs av den leverantör som revisionen avser, utan inblandning i revisionen, och att revisionsföretaget uppfyller alla villkor för utarbetandet av revisionen och levererar revisionsrapporten i tid och med den kvalitet som krävs för att uppnå en rimlig tillförlitlighetsnivå bör vissa regler fastställas för att ange förfarandena för utarbetandet av revisionen. De skyldigheter och ansvar som åligger den leverantör som revisionen avser och revisionsföretaget, inbegripet alla underleverantörer eller partnerorganisationer och den personal som ansvarar för utförandet av revisionen, bör fastställas i ett skriftligt avtal, däribland genom avtalsvillkor. Det skriftliga avtalet bör även innehålla uppgifter om de skyldigheter och åtaganden som revisionen avser, fördelningen av resurser samt reglerna för interaktion och kontaktpunkter mellan revisionsföretaget och den leverantör som revisionen avser. Alla styrkande handlingar och avtal bör bifogas revisionsrapporten, även om handlingarna är i form av en skrivelse om åtagande av revision eller andra avtalsvillkor. |
|
(16) |
För att möjliggöra en heltäckande översikt och underlätta ansvarsskyldigheten för de leverantörer som är föremål för revision bör revisionsrapporten innehålla en slutsats avseende revisionsföretagets bedömning av om den leverantör som är föremål för revision har uppfyllt de skyldigheter eller åtaganden som revisionen avser. Varje revisionsslutsats ska bygga på en rimlig tillförlitlighetsnivå och vara antingen ”positiv”, ”positiv med anmärkningar” eller ”negativ” för att kunna ligga till grund för revisionsuttalandet. Slutsatsen ”positivt med anmärkningar” bör inte avse bedömningen av själva efterlevnaden. Sådana anmärkningar kan till exempel avse leverantörens tillhandahållande av uppgifter på revisionsföretagets begäran eller förbättringar av det underhåll eller de kontroller som utförs av den leverantör som revisionen avser, eller avse ytterligare begränsningsplaner och förbättringar som den berörda leverantören avser att göra. Om revisionsföretaget finner att den leverantör som revisionen avser uppfyller en skyldighet eller ett åtagande som granskats, i enlighet med de riktmärken som rapporterats av den leverantör som revisionen avser, men anser det nödvändigt att ta med anmärkningar som rör dessa riktmärken, bör revisionsslutsatsen vara ”positiv med anmärkningar”, eftersom sådana anmärkningar kan vara till nytta för att informera leverantören om eventuella ändringar av dessa riktmärken, baserat på revisionsföretagets kunnande och sakkunskaper samt information från externa källor. Exempelvis skulle anmärkningarna kunna beakta vägledning från kommissionen, inbegripet genom kommissionens riktlinjer enligt artikel 35.3 i förordning (EU) 2022/2065 och eventuella andra relevanta riktlinjer som utfärdats av kommissionen med avseende på tillämpningen av den förordningen, rapporter från den europeiska nämnd för digitala tjänster som avses i artikel 35.2 i den förordningen, verkställighetsåtgärder, beslut som kommissionen fattat i enlighet med den förordningen, relevant rättspraxis – i synnerhet från Europeiska unionens domstol, offentliga samråd eller andra relevanta officiella källor. |
|
(17) |
Om en revisionsslutsats är negativ men endast gäller under en begränsad tidsperiod och revisionsföretaget anser att den leverantör som revisionen avser har uppfyllt skyldigheten eller åtagandet för återstoden av den tidsperiod som revisionen omfattar bör detta återspeglas i revisionsrapporten för varje relevant skyldighet eller åtagande, för att möjliggöra offentlig granskning och rättslig tillsyn. Rapporten bör innefatta revisionsföretagets iakttagelser om all information om befintliga eller planerade begränsningsplaner för att åtgärda bristfällig efterlevnad som den leverantör som revisionen avser har gjort tillgänglig för det. |
|
(18) |
Mot bakgrund av den olikartade karaktären hos de rättsliga skyldigheter som fastställs i kapitel III i förordning (EU) 2022/2065, och de frivilliga åtaganden som gjorts inom ramen för de uppförandekoder och krisprotokoll som avses i artiklarna 45, 46 och 48 i den förordningen, bör revisionsföretaget utfärda revisionsuttalanden om efterlevnaden av det kapitlet och av varje kod och protokoll. |
|
(19) |
För att revisionen ska kunna utföras med rimlig tillförlitlighetsnivå, och lämpliga revisionsförfaranden ska kunna utarbetas enligt metoder som i högsta möjliga grad minimerar revisionsrisken, bör en viktig del av metoden för utförandet av revisionen vara bedömningen av revisionsrisken, dvs. risken för att revisionsföretaget utfärdar ett olämpligt revisionsuttalande eller en olämplig revisionsslutsats. Därför bör revisionsföretaget bedöma revisionsrisken alldeles i början av revisionen, innan en exakt metod tas fram och revisionsförfarandena utförs. Analysen av revisionsrisker behövs för att revisionsföretaget ska kunna välja de exakta metoderna för revisionen och fastställa hur omfattande revisionsförfarandena måste vara för att uppnå en rimlig tillförlitlighetsnivå i revisionsuttalandet. Revisionsföretaget bör utföra en analys av revisionsrisker inför bedömningen av varje skyldighet eller åtagande som revisionen avser, med beaktande av inneboende risker, kontrollrisker och upptäcktsrisker. |
|
(20) |
För att kunna utvärdera revisionsriskerna korrekt bör analysen av revisionsrisker ta hänsyn till den granskade tjänstens särdrag, i synnerhet dess riskprofil, samt revisionens omfattning och komplexitet. Det är till exempel sannolikt att onlineplattformar som tillåter att distansavtal ingås mellan kunder har andra inneboende risker än videodelningsplattformar eller sökmotorer. Dessutom bör det sociala och ekonomiska sammanhang där tjänsten i fråga tillhandahålls beaktas, till exempel i fråga om typiska användargrupper, såsom minderåriga, eller vanligt beteende, såsom en hög förekomst av icke-autentisk användning och samordnade beteenden vid desinformationskampanjer. Det sociala och ekonomiska sammanhanget som beaktas bör även omfatta sannolikheten och, oberoende av detta, allvarlighetsgraden vad gäller exponering för krissituationer och oförutsedda händelser, enligt vad som avses i förordning (EU) 2022/2065. |
|
(21) |
För att säkerställa att analysen av revisionsrisker motsvarar utvecklingen av de risker som tjänsten omfattas av, bör analysen av revisionsrisker även bygga på uppgifter från tidigare revisioner som leverantören har varit föremål för, i tillämpliga fall, och på uppgifter från sådana källor som revisionsrapporter som avser andra leverantörer med liknande riskprofil. För att säkerställa att analysen av revisionsrisker helt och hållet bygger på de senaste beläggen för risker i sammanhang som liknar de där den leverantör som revisionen avser verkar, och som enligt officiella källor har direkt relevans för tillämpningen av förordning (EU) 2022/2065, bör analysen även bygga på uppgifter från rapporter som utfärdats av den europeiska nämnden för digitala tjänster eller riktlinjer från kommissionen, i tillämpliga fall. Andra uppgifter kan även inbegripa uppgifter från revisionsrapporter som offentliggjorts i enlighet med artikel 42.4 i förordning (EU) 2022/2065 av andra leverantörer av mycket stora onlineplattformar eller mycket stora onlinesökmotorer. |
|
(22) |
Revisionsföretaget bör, utan påverkan från den leverantör som revisionen avser, ta fram de revisionsmetoder som ska användas för att bedöma uppfyllandet av de skyldigheter och åtaganden som revisionen avser. Revisionskriterierna bör baseras på uppgifter som lämnats in av den leverantör som revisionen avser vad gäller riktmärken som denna leverantör använder för att övervaka efterlevnaden. Metoden får även ta hänsyn till annan information som tillhandahålls av den leverantör som revisionen avser, exempelvis analysen av inneboende risker, om denna leverantör har gjort en sådan analys, till exempel genom åtgärder som tagits fram av den regelefterlevnadsansvariga eller ledningsorganet, i enlighet med artikel 41 i förordning (EU) 2022/2065, eller andra åtgärder som ingår i funktionen för den tjänst för bedömningar av systemrisker som avses i artikel 34 i den förordningen. |
|
(23) |
För att säkerställa att revisionsmetoderna är ändamålsenliga för att uppnå en rimlig tillförlitlighetsnivå för revisionsuttalandena bör valet av metod för revisionsförfarandena göras med hänsyn till särdragen hos den skyldighet eller det åtagande som revisionen avser, och metoderna bör exempelvis anpassas efter skyldighetens art som en skyldighet avseende medel eller en skyldighet avseende resultat som leverantören måste uppnå för att uppfylla skyldigheten. Till exempel skulle revisionsförfarandena för att bedöma uppfyllandet av transparensrapporteringsskyldigheten enligt artikel 15 i förordning (EU) 2022/2065 kunna ge revisionsföretaget möjligheten att fastställa huruvida rapporterna offentliggjordes i enlighet med de tidsgränser och format som föreskrivs i den förordningen, samt huruvida de var fullständiga och rapporterade data var korrekta, representativa och uppdelade på lämpligt sätt, exempelvis per kategori olagligt innehåll som lett till åtgärder. |
|
(24) |
Valet av metod bör även bero på om bedömningen av uppfyllande kräver att revisionsföretaget tolkar kontextuell information. Valet av metoder bör även anpassas efter de inneboende risker som är kopplade till de aktiviteter som utförs vid tillhandahållandet av tjänsten och det sammanhang i vilket tjänsten tillhandahålls, till exempel om tjänsten innebär försäljning av varor som kan vara olagliga eller om tjänsten främst används av minderåriga. Metoder för att bedöma uppfyllandet av skyldigheten att införa lämpliga och proportionella åtgärder för att säkerställa en hög nivå av integritet, säkerhet och trygghet för minderåriga enligt artikel 28.1 i förordning (EU) 2022/2065 bör till exempel ge revisionsföretaget möjligheten att erhålla en tillräcklig förståelse för hur den tjänst som revisionen avser används av minderåriga, för de risker för deras integritet, säkerhet och trygghet som den kan innebära, samt för innebörden av en lämplig och proportionell åtgärd i det specifika sammanhanget för den tjänst som revisionen avser och minderårigas användning av den. Därför bör revisionsföretagen dela in bedömningen i lämpliga steg. De bör bedöma revisionsriskerna i enlighet med riskprofilen för den leverantör som revisionen avser, i synnerhet huruvida denna leverantör är tillgänglig för eller huvudsakligen används av minderåriga. De bör exempelvis bedöma om leverantören har infört verktyg för ålderssäkring, om dessa är effektiva och hur den leverantör som revisionen avser bedömer och övervakar verktygens effektivitet. De bör bedöma om den leverantör som revisionen avser har infört lämpliga åtgärder för att upptäcka fientlig användning av deras tjänst och beteendemönster som syftar till att skada eller sannolikt kommer att skada minderåriga. |
|
(25) |
Valet av metod bör även anpassas efter de kontrollrisker som är kopplade till de efterlevnadsåtgärder som införts av den leverantör som revisionen avser, samt efter upptäcktsrisken, det vill säga risken för att inte upptäcka felaktigheter i de uppgifter som leverantören tillhandahåller revisionsföretaget. Till exempel, om en skyldighet som är föremål för revision kan innebära granskning av ett algoritmiskt system som bygger på personlig anpassning efter enskilda användare av den tjänst som revisionen avser och på återkommande uppdateringar av det algoritmiska systemet, såsom rapporteringsskyldigheten avseende rekommendationssystem enligt artikel 27 i förordning (EU) 2022/2065, bör valet av metod göra det möjligt för revisionsföretaget att utforma lämpliga tester för att minimera upptäcktsriskerna. På samma sätt gäller att om revisionsföretaget strävar efter att bedöma om alla relevanta risker begränsats vid utformningen, funktionen och användningen av tillämpningar baserade på storskaliga språkmodeller, såsom chattfunktioner eller rekommendationssystem som införts av den leverantör som revisionen avser, bör revisionsföretaget först bedöma hur ändamålsenliga de kontroller som leverantören infört är. Valet av tester bör göras med beaktande av hur robusta dessa interna kontroller är. I synnerhet, men inte enbart, i de fall där de interna kontrollerna är svaga, ofullständiga eller otillräckliga för att bedöma huruvida reglerna har uppfyllts med beaktande av användarna av den tjänst som revisionen avser bör revisionsförfarandena bygga på en kombination av metoder. Metoderna skulle till exempel kunna omfatta materiella analytiska förfaranden, såsom analys av interaktionerna mellan alla algoritmiska system som är relevanta för rekommendationssystemen och tillhörande regler för beslutsfattande och processer för att fastställa de huvudsakliga parametrarna för dessa rekommendationssystem, samt observationer av digitala arkiv och loggar. Metoderna skulle även kunna inbegripa tester av systemet, till exempel tester i simulerade miljöer. |
|
(26) |
För att säkerställa att metoden är relevant och anpassas efter nya uppgifter som framkommer under utförandet av revisionen bör valet av metoder vägledas av revisionsföretagets yrkesmässiga bedömning och vid behov justeras efter nya resultat, i synnerhet om revisionsföretaget hyser rimliga tvivel beträffande de uppgifter som lämnats av den leverantör som är föremål för revision. Revisionsföretagets professionella skepsis bör bygga på dess sakkunskap och på andra informationskällor som har särskild relevans för tillämpningen av förordning (EU) 2022/2065, till exempel rapporter från den europeiska nämnden för digitala tjänster, vägledning från kommissionen, revisionsrapporter som utfärdats enligt de uppförandekoder eller krisprotokoll som avses i artiklarna 45, 46 och 48 i den förordningen eller uppgifter som framkommer under utförandet av revisionen, även när det gäller händelser, i synnerhet krissituationer, som kräver ytterligare åtgärder av den leverantör som revisionen avser för att säkerställa uppfyllandet av vissa skyldigheter eller åtaganden som är föremål för revision. |
|
(27) |
För att säkerställa att tillräckliga revisionsbevis samlas in under revisionen bör revisionsföretag bedöma både de interna kontroller som införts av den leverantör som revisionen avser och utföra substansgranskningsåtgärder för att bedöma leverantörens efterlevnad. I vissa fall bör revisionsföretaget även utföra tester. |
|
(28) |
Med tanke på komplexiteten hos de algoritmiska system som används av leverantörer av onlineplattformar, och deras viktiga roll när det gäller att uppfylla flera av de skyldigheter som fastställs i förordning (EU) 2022/2065, bör särskild uppmärksamhet ägnas valet av nödvändiga och lämpliga metoder för revision av algoritmiska system. Detta gäller både när de algoritmiska systemen är en del av de kontroller som införts av den leverantör som är föremål för revision och när dessa system i sig är föremål för de skyldigheter eller åtaganden som revisionen avser, såsom när det gäller rekommendationssystem, exempelvis i enlighet med artiklarna 27, 34, 35 och 38 i förordning (EU) 2022/2065, system för annonsering, exempelvis i enlighet med artiklarna 26, 28, 34, 35 och 39 i den förordningen, system för innehållsmoderering, exempelvis i enlighet med artiklarna 14, 15, 34 och 35 i den förordningen, eller något annat algoritmiskt system som bidrar till de risker som avses i artikel 34 i den förordningen. |
|
(29) |
En kombination av materiella analytiska förfaranden bör även användas, som bygger på bland annat observationer av leverantörens processer och aktiviteter när det gäller utformning, utveckling, drift, testning och övervakning av algoritmiska system, eller observationer av digitala arkiv och loggar som producerats av systemen, enligt vad som är lämpligt. Metoderna bör anpassas efter de särskilda egenskaperna hos algoritmiska system, bland annat styrningen av dem, interaktionen mellan olika algoritmiska system och tillhörande datahanteringssystem, samt tekniken bakom dessa algoritmiska system, såsom generativa modeller eller andra klassificerare eller urvals- eller sökalgoritmer. |
|
(30) |
Revisionsmetoderna för algoritmiska system bör även omfatta tester, till exempel för att samla in uppgifter som den leverantör som revisionen avser inte tidigare har dokumenterat eller för att oberoende återskapa och bedöma resultatet av exempelvis noggrannhetsindikatorer, tester i sandlådor eller simulerade miljöer eller tester i produktionssystem, bland annat genom dataskrapning eller kontradiktorisk testning. |
|
(31) |
Eftersom revisionsbevis av hög kvalitet är en förutsättning för att ett revisionsföretag ska kunna formulera ett revisionsuttalande med rimlig tillförlitlighetsnivå bör de uppgifter som revisionsföretaget beslutar att använda som revisionsbevis vara lämpliga och tillräckliga för att minska revisionsriskerna. Revisionsbevisen bör även vara tillförlitliga enligt revisionsföretagets yrkesmässiga bedömning och skepsis och, när så är lämpligt, mot bakgrund av alternativa informationskällor. Yrkesmässig bedömning och skepsis bör inbegripa en kritisk bedömning av revisionsbevis och möjliga felaktigheter. Dessa kvalitetsnormer bör tillämpas på alla revisionsbevis oavsett om de lämnats in av den leverantör som revisionen avser eller samlats in från andra källor. |
|
(32) |
En mängd informationskällor bör beaktas av revisionsföretaget, såsom bland annat intervjuer med leverantörens personal eller underentreprenörer, inbegripet regelefterlevnadsansvariga, ingenjörer, dataanalytiker, programvaruarkitekter eller medlemmar i arbetsgrupper för internrevision. Det kan även handla om teknisk dokumentation om utformningen, implementeringen, testningen och övervakningen av ett relevant system, bland annat när det gäller datakvalitet och dataförvaltning samt uppdateringar och versioner av systemet, och andra dokument om leverantörens styrnings- och beslutsprocesser, bland annat när det gäller prioriteringar, resurser, fördelning av uppgifter och ansvarsområden eller den relevanta personalens sakkunskap. |
|
(33) |
För att säkerställa effektivitet och proportionalitet vid utförandet av revisionen bör revisionsföretaget tillåtas att ta stickprov på ett urval av data och uppgifter, med vederbörlig hänsyn till att ett representativt urval bör uppnås, för att revisionsföretaget ska kunna utarbeta ett revisionsuttalande med rimlig tillförlitlighetsnivå. För att säkerställa transparens och reproducerbarhet för revisionsförfarandena bör revisionsföretaget i revisionsrapporten motivera valet av urvalsstorlek och metod för att samla in urvalet. Exempelvis bör urvalsstorleken och metoden väljas med hänsyn till vad som krävs för att uppnå syftet med revisionen beträffande just den skyldighet eller det åtagande som revisionen avser och för att minimera risken för att slutsatsen av revisionen av det specifika urvalet skiljer sig från vad slutsatsen skulle vara om revisionsförfarandet omfattade det fullständiga underlaget. Storleken på och metoden för urvalet bör väljas med hänsyn till revisionens fullständiga omfattning samt till interna eller externa ändringar av den tjänst som revisionen avser under tidsperioden. De särskilda egenskaperna hos de algoritmiska systemen bör också beaktas, bland annat när det gäller personlig anpassning genom profilering. Som en del av detta bör revisionsföretaget exempelvis ta stickprov från de olika grupper eller avgränsningar som kan uppstå till följd av tekniker för personlig anpassning eller identifiera felmarginalen och motivera varför den är på en godtagbar nivå. |
|
(34) |
I och med att vissa bestämmelser i förordning (EU) 2022/2065 är av ny art är det nödvändigt att fastställa metodologiska principer, bland annat revisionsfrågor och ytterligare riktlinjer för valet av revisionsmetoder och revisionsbevis för bedömningen av efterlevnad av dessa bestämmelser, närmare bestämt för bedömning av efterlevnaden av artiklarna 34, 35 och 36 i förordning (EU) 2022/2065 om utförandet av riskbedömningar och antagandet av riskbegränsningsåtgärder av leverantörer som är föremål för revision, samt om tillämpningen av skyldigheter avseende krisrespons. |
|
(35) |
Med tanke på att revisionsföretag även bör bedöma leverantörers efterlevnad av artikel 37 i förordning (EU) 2022/2065 bör revisionen dessutom preciseras ytterligare med avseende på vilken bestämmelse som efterlevnadsbedömningen avser, i synnerhet för att undvika eventuella intressekonflikter för revisionsföretaget. |
|
(36) |
Eftersom uppförandekoderna och krisprotokollen är frivilliga behöver särskilda regler fastställas för bedömning av efterlevnaden av artiklarna 45, 46 och 48 i förordning (EU) 2022/2065, i synnerhet för att säkerställa att revisionsföretagen har tillgång till alla uppgifter som krävs för att utföra revisioner av de specifika skyldigheterna för varje uppförandekod och krisprotokoll. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
AVSNITT I
Allmänna bestämmelser
Artikel 1
Innehåll
I denna förordning fastställs bestämmelser om revisioner i enlighet med artikel 37 i förordning (EU) 2022/2065 när det gäller följande:
|
a) |
Förfarandestegen för att säkerställa att det utvalda revisionsföretaget uppfyller villkoren i artikel 37.3 i förordning (EU) 2022/2065. |
|
b) |
Förfarandestegen för samarbete och bistånd från den leverantör som revisionen avser under utförandet av revisionen, inbegripet tillgång till de uppgifter som krävs för att erhålla revisionsbevis. |
|
c) |
Fastställandet och valet av revisionsmetoder. |
|
d) |
Mallarna för revisionsrapporten och rapporten om genomförandet av revisionen. |
Artikel 2
Definitioner
I denna förordning gäller följande definitioner:
|
(1) |
revisionsföretag: ett enskilt företag, ett konsortium eller någon annan kombination av företag, inbegripet eventuella underleverantörer, som den leverantör som är föremål för revision har anlitat för att utföra en oberoende revision enligt artikel 37 i förordning (EU) 2022/2065. |
|
(2) |
tjänst som är föremål för revision/tjänst som revisionen avser: en mycket stor onlineplattform eller en mycket stor onlinesökmotor som utsetts enligt 33 i förordning (EU) 2022/2065. |
|
(3) |
leverantör som är föremål för revision/leverantör som revisionen avser: leverantören av en tjänst som är föremål för revision enligt kravet på oberoende revision i artikel 37.1 i den förordningen. |
|
(4) |
skyldighet eller åtagande som revisionen avser: en skyldighet eller ett åtagande enligt vad som avses i artikel 37.1 i förordning (EU) 2022/2065 som är föremål för revisionen. |
|
(5) |
revisionskriterier: de kriterier som revisionsföretaget använder för att bedöma uppfyllandet av varje skyldighet eller åtagande som revisionen avser. |
|
(6) |
revisionsbevis: alla uppgifter som ett revisionsföretag använder för att styrka revisionens resultat och slutsatser och för att utfärda ett revisionsuttalande, inbegripet uppgifter som hämtats från dokument, databaser eller it-system och intervjuer eller tester som utförts. |
|
(7) |
felaktighet: ett utelämnande, en missvisande uppgift eller ett fel som, avsiktligt eller oavsiktligt, förekommer i de intyg eller uppgifter som den leverantör som är föremål för revision rapporterat eller tillhandahållit revisionsföretaget, eller i den testmiljö som tillhandahållits revisionsföretaget av den leverantör som revisionen avser. |
|
(8) |
revisionsrisk: risken för att revisionsföretaget utfärdar ett felaktigt revisionsuttalande eller drar en felaktig slutsats avseende uppfyllandet av en skyldighet eller ett åtagande som revisionen avser av den leverantör som är föremål för revision, med beaktande av upptäcktsrisker, inneboende risker och kontrollrisker i samband med den skyldighet eller det åtagande som revisionen avser. |
|
(9) |
upptäcktsrisk: risken för att revisionsföretaget inte upptäcker en felaktighet som har betydelse för bedömningen av uppfyllandet av en skyldighet eller ett åtagande som revisionen avser av den leverantör som är föremål för revision. |
|
(10) |
inneboende risk: risken för bristande efterlevnad som är direkt avhängig av arten, utformningen, aktiviteten och användningen av den tjänst som är föremål för revision samt det sammanhang i vilket tjänsten drivs, och risken för bristande efterlevnad på grund av arten av den skyldighet eller det åtagande som revisionen avser. |
|
(11) |
kontrollrisk: risken för att en felaktighet inte förhindras, upptäcks och åtgärdas i god tid genom de interna kontroller som utförs av den leverantör som är föremål för revision. |
|
(12) |
väsentlighetsnivå: den nivå över vilken avvikelser eller felaktigheter hos den leverantör som är föremål för revision, enskilt eller sammanlagt, rimligen skulle påverka revisionens resultat och slutsatser och revisionsuttalanden. |
|
(13) |
rimlig tillförlitlighetsnivå: en hög, men inte absolut, tillförlitlighetsnivå, som gör det möjligt för revisionsföretaget att i sitt revisionsuttalande och sina revisionsslutsatser bekräfta huruvida den leverantör som är föremål för revision uppfyller de skyldigheter eller åtaganden som revisionen avser, utifrån tillräckliga och lämpliga bevis. |
|
(14) |
intern kontroll: alla åtgärder, inbegripet processer och tester, som utformas, införs och upprätthålls av den leverantör som är föremål för revision, inbegripet dess regelefterlevnadsansvariga och ledningsorgan, för att övervaka och säkerställa leverantörens uppfyllande av den skyldighet eller det åtagande som revisionen avser. |
|
(15) |
utvald forskare: en utvald forskare i enlighet med artikel 40.8 i förordning (EU) 2022/2065. |
|
(16) |
revisionsförfarande: alla tekniker som tillämpas av revisionsföretaget för utförandet av revisionen, inbegripet insamling av uppgifter, val och tillämpning av metoder, såsom tester och materiella analytiska förfaranden, och eventuella ytterligare åtgärder som vidtas för att hämta in och analysera uppgifter för att samla in revisionsbevis och utforma revisionsslutsatser, ej inbegripet utfärdandet av ett revisionsuttalande eller av revisionsrapporten. |
|
(17) |
test: en revisionsmetod som består av mätningar, experiment eller andra kontroller, inbegripet kontroller av algoritmiska system, som revisionsföretaget utför för att bedöma uppfyllandet av den skyldighet eller det åtagande som revisionen avser av den leverantör som är föremål för revision. |
|
(18) |
materiellt analytiskt förfarande: en revisionsmetod som används av revisionsföretaget för att bedöma uppgifter för att fastställa revisionsrisker eller uppfyllande av den skyldighet eller det åtagande som revisionen avser. |
Artikel 3
Revisionens omfattning och rimlig tillförlitlighetsnivå
1. Revisionen ska utföras på ett sätt och under en tidsperiod som gör det möjligt för revisionsföretaget att med en rimlig tillförlitlighetsnivå bedöma den leverantör som revisionen avser uppfyller alla de skyldigheter och åtaganden som omfattas av revisionen.
2. Revisionen ska omfatta den period som inleds omedelbart efter den period som omfattades av den föregående revisionen och ska avslutas på ett datum som gör det möjligt för revisionsretaget att utföra revisionen inom den tidsram som föreskrivs i artikel 37.1 i förordning (EU) 2022/2065, inbegripet genom att bekräfta sin bedömning i enlighet med punkt 1 baserat på den bevisning som samlats in och de revisionsförfaranden som genomförts under den perioden samt genom att sammanställa och lämna in revisionsrapporten enligt artikel 37.4 i den förordningen till den leverantör som revisionen avser.
3. Om ingen tidigare revision har utförts ska revisionen omfatta den tidsperiod som börjar fyra månader efter det meddelande som avses i artikel 33.6 första stycket i förordning (EU) 2022/2065, och revisionens tidsåtgång ska möjliggöra att revisionsrapporten enligt artikel 6.1 kan slutföras senast inom ett år från den granskade periodens inledning.
Avsnitt II
Villkor för utförandet av revisionen
Artikel 4
Val av revisionsföretag
1. Innan den leverantör som är föremål för revision utser ett revisionsföretag som ska utföra revisionen ska leverantören kontrollera huruvida det revisionsföretag som ska väljas ut uppfyller kraven i artikel 37.3 i förordning (EU) 2022/2065.
2. Om det revisionsföretag som ska väljas ut består av fler än en juridisk person eller avser att anlita en eller flera underleverantörer ska den leverantör som är föremål för revision kontrollera huruvida samtliga av dessa juridiska personer eller underleverantörer
|
a) |
individuellt uppfyller kraven i artikel 37.3 a och c i förordning (EU) 2022/2065, samt huruvida de |
|
b) |
tillsammans uppfyller kravet i artikel 37.3 b i förordning (EU) 2022/2065. |
Artikel 5
Samarbete och bistånd mellan den leverantör som är föremål för revision och revisionsföretaget
1. Vid en tidpunkt som överenskoms med revisionsföretaget, och under alla omständigheter före utförandet av något revisionsförfarande, ska den leverantör som är föremål för revision tillhandahålla det utvalda revisionsföretaget åtminstone följande uppgifter:
|
a) |
En beskrivning av de interna kontroller som införts avseende varje skyldighet och åtagande som revisionen avser, inbegripet relaterade indikatorer och alla aktuella och historiska mätningar, och riktmärken som används av den leverantör som revisionen avser för att bedöma eller övervaka uppfyllandet av de skyldigheter och åtaganden som revisionen avser, samt eventuella styrkande handlingar. |
|
b) |
Dess preliminära analys av inneboende risker och kontrollrisker, om leverantören har gjort en sådan analys, samt eventuella styrkande handlingar. |
|
c) |
Uppgifter om eventuella relevanta beslutsstrukturer, behörighetsområden för leverantörens avdelningar, inbegripet funktionen för regelefterlevnad i enlighet med artikel 41 i förordning (EU) 2022/2065, relevanta it-system, datakällor, behandling och lagring, samt förklaringar av relevanta algoritmiska system och deras interaktioner. |
2. Den leverantör som är föremål för revision ska, utan onödigt dröjsmål, ge revisionsföretaget tillgång till alla uppgifter som krävs för utförandet av revisionen, inklusive personuppgifter, dokument och information om förfaranden och processer, samt till leverantörens och eventuella underleverantörers it-system, testmiljöer, personal och lokaler.
3. Den leverantör som revisionen avser ska göra alla nödvändiga resurser tillgängliga och ge revisionsföretaget det bistånd och de förklaringar som det behöver för att analysera den berörda informationen och utföra tester, inbegripet när de uppgifter som begärts av revisionsföretaget i enlighet med artikel 37.3 i förordning (EU) 2022/2065 innehas av en tredje part som anlitas av den leverantör som revisionen avser.
Avsnitt III
Utförande av revisioner
Artikel 6
Revisionsrapport och rapport om genomförandet av revisionen
1. Den revisionsrapport som avses i artikel 37.4 i förordning (EU) 2022/2065 ska utarbetas av revisionsföretaget utan inblandning av den leverantör som revisionen avser. Denna revisionsrapport ska utarbetas i enlighet med mallen i bilaga I och ska innehålla detaljerade och underbyggda slutsatser om alla element i mallen.
2. I tillämpliga fall ska den rapport om genomförandet av revisionen som avses i artikel 37.6 i förordning (EU) 2022/2065 utarbetas i enlighet med mallen i bilaga II.
Artikel 7
Förfaranden för utarbetandet av revisionen
1. Den leverantör som är föremål för revision och revisionsföretaget ska teckna ett skriftligt avtal där följande fastställs:
|
a) |
En uttömmande förteckning över de skyldigheter och åtaganden som revisionen avser. |
|
b) |
Revisionsföretagets ansvarsområden, inbegripet, i tillämpliga fall, uppgifter om varje juridisk person som ingår i revisionsföretaget och de parter som har rätt att underteckna revisionsrapporten. |
|
c) |
De förfaranden och kontaktpunkter som tillhandahålls revisionsföretaget av den leverantör som är föremål för revision för att begära åtkomst till de uppgifter som avses i artikel 5.2. |
|
d) |
Tidsramen för revisionen, inbegripet start- och slutdatum för revisionsförfarandena och utarbetandet av revisionsrapporten. |
|
e) |
Ett förfarande för hur tvister som uppstår mellan revisionsföretaget och den leverantör som är föremål för revision till följd av utförandet av revisionen ska lösas. |
2. Det avtal som avses i punkt 1, samt eventuella ytterligare avtal eller skrivelser om åtagande mellan revisionsföretaget och den leverantör som revisionen avser, vilka rör utförandet av revisionen, ska bifogas revisionsrapporten.
3. Om det avtal som avses i punkt 1 ändras under utförandet av revisionen ska detta uttryckligen anges i revisionsrapporten.
Artikel 8
Revisionsuttalande, revisionsslutsatser och rekommendationer
1. Revisionsrapporten ska innehålla de revisionsslutsatser som revisionsföretaget har kommit fram till avseende uppfyllandet av alla de skyldigheter och åtaganden som revisionen avser av den leverantör som är föremål för revision. Revisionsslutsatsen ska vara antingen
|
a) |
positiv, om revisionsföretaget med rimlig tillförlitlighetsnivå slår fast att den leverantör som är föremål för revision har uppfyllt den skyldighet eller det åtagande som revisionen avser, |
|
b) |
positiv med anmärkningar, om revisionsföretaget med rimlig tillförlitlighetsnivå slår fast att den leverantör som är föremål för revision har uppfyllt den skyldighet eller det åtagande som revisionen avser, men
|
|
c) |
negativ, om revisionsföretaget med rimlig tillförlitlighetsnivå slår fast att den leverantör som är föremål för revision inte har uppfyllt den skyldighet eller det åtagande som revisionen avser. |
2. Om en revisionsrapport innehåller operativa rekommendationer enligt artikel 37.4 h i förordning (EU) 2022/2065 ska dessa rekommendationer och den rekommenderade tidsramen för dem vara specifika för just den skyldighet eller det åtagande som revisionen avser och för vilken/vilket revisionsslutsatsen enligt punkt 1 är positiv med anmärkningar eller negativ.
3. Om de operativa rekommendationer som avses i punkt 2 omfattar särskilda åtgärder för att uppnå efterlevnad ska de formuleras på så sätt att revisionsföretagets bedömning av hur dessa åtgärder skulle påverka väsentlighetsnivån framgår genom jämförelse med revisionsslutsatsen för respektive skyldighet eller åtagande som revisionen avser.
4. Revisionsrapporten ska, mot bakgrund av revisionsslutsatserna, innehålla ett revisionsuttalande om uppfyllandet av alla de skyldigheter som revisionen avser av den leverantör som är föremål för revision, enligt artikel 37.1 a i förordning (EU) 2022/2065.
5. Revisionsrapporten ska, på grundval av slutsatserna om alla skyldigheter som revisionen avser, innehålla ett eller flera revisionsuttalanden, enligt vad som är lämpligt, om uppfyllandet av alla de åtaganden som revisionen avser som gjorts av den leverantör som är föremål för revision enligt varje uppförandekod och krisprotokoll som avses i artikel 37.1 b i förordning (EU) 2022/2065.
6. De revisionsuttalanden som avses i punkterna 4 och 5 ska vara antingen
|
a) |
positiva, om revisionsföretaget har dragit en positiv revisionsslutsats för samtliga skyldigheter och åtaganden som revisionen avser, |
|
b) |
positiva med anmärkningar, om revisionsföretaget har dragit åtminstone en revisionsslutsats som är positiv med anmärkningar avseende någon skyldighet eller något åtagande som revisionen avser och inte har dragit någon negativ revisionsslutsats för någon skyldighet eller något åtagande som revisionen avser, eller |
|
c) |
negativa, om revisionsföretaget har dragit en negativ revisionsslutsats för åtminstone en skyldighet eller ett åtagande som revisionen avser. |
7. Om revisionsföretaget anser att den leverantör som är föremål för revision, under en begränsad tidsperiod inom ramen för den tidsperiod som avses i artikel 3.2, inte har uppfyllt en skyldighet eller ett åtagande som revisionen avser ska denna bedömning vederbörligen dokumenteras i revisionsrapporten.
8. Om revisionsföretaget inte med rimlig tillförlitlighetsnivå kan utfärda en revisionsslutsats enligt punkt 1 eller ett revisionsuttalande enligt punkterna 4 och 5 ska revisionsrapporten innehålla en redogörelse för de omständigheter och orsaker som ligger till grund för att denna tillförlitlighetsnivå inte kan uppnås.
Avsnitt IV
Revisionsmetoder
Artikel 9
Analys av revisionsrisker
1. Revisionsrapporten ska innehålla en väl underbyggd analys av revisionsrisker som gjorts av revisionsföretaget avseende bedömningen av om den leverantör som revisionen avser har uppfyllt varje skyldighet eller åtagande som revisionen avser.
2. Analysen av revisionsrisker ska göras före utförandet av revisionsförfarandena och ska uppdateras under utförandet av revisionen mot bakgrund av eventuella nya revisionsbevis som, enligt revisionsföretagets yrkesmässiga bedömning, har en betydande inverkan på bedömningen av revisionsrisker.
3. I analysen av revisionsrisker ska följande beaktas:
|
a) |
Inneboende risker. |
|
b) |
Kontrollrisker. |
|
c) |
Upptäcktsrisker. |
4. Analysen av revisionsrisker ska utföras med hänsyn till följande:
|
a) |
Arten av den tjänst som är föremål för revision samt det sociala och ekonomiska sammanhang där tjänsten i fråga drivs, inbegripet sannolikheten och allvarlighetsgraden vad gäller exponering för krissituationer och oförutsedda händelser. |
|
b) |
Arten av de skyldigheter och åtaganden som avses. |
|
c) |
Andra lämpliga uppgifter, som exempelvis följande:
|
Artikel 10
Lämpliga revisionsmetoder
1. Utan att det påverkar tillämpningen av de särskilda revisionsmetoder som fastställs i artiklarna 13, 14 och 15 ska revisionerna utföras genom användning av lämpliga revisionsmetoder för att begränsa de fastställda revisionsriskerna till en nivå som gör det möjligt för revisionsföretaget att dra revisionsslutsatser med rimlig tillförlitlighetsnivå.
2. Revisionsrapporten ska innehålla en beskrivning av de revisionsmetoder som utarbetats av revisionsföretaget innan några revisionsförfaranden utförs och den ska åtminstone omfattar följande:
|
a) |
Revisionskriterierna för att bedöma uppfyllandet av varje skyldighet eller åtagande som revisionen avser, definierade på grundval av uppgifter enligt artikel 5.1 a, samt den godtagbara väsentlighetsnivån uttryckt i kvalitativa eller kvantitativa termer enligt vad som är lämpligt. |
|
b) |
Alla tester, materiella analytiska förfaranden och revisionsbevis som revisionsföretaget avser använda för att bedöma uppfyllandet av varje skyldighet eller åtagande som revisionen avser. |
Revisionsrapporten ska innehålla en beskrivning av eventuella ändringar som gjorts av de metoder som användes under utförandet av revisionen jämfört med de metoder som utformades före utförandet av revisionsförfarandena.
3. Om ett revisionsföretag hyser rimliga tvivel beträffande de uppgifter som granskas under utförandet av revisionen, i synnerhet när det gäller uppgifter som lämnats av den leverantör som är föremål för revision, ska valet och tillämpningen av metod anpassas för att revisionsföretaget ska kunna inhämta de revisionsbevis som behövs enligt artikel 11.
4. De rimliga tvivel som avses i punkt 3 ska anses föreligga i synnerhet när något av följande element förekommer:
|
a) |
Yrkesmässig bedömning och skepsis vid bedömning av uppgifter, bland annat när det gäller de interna kontrollerna hos den leverantör som revisionen avser, som får revisionsföretaget att uttrycka rimligt tvivel. |
|
b) |
Externa indikationer som pekar på revisionsrisker, i synnerhet rapporter från den europeiska nämnden för digitala tjänster enligt artikel 35.2 i förordning (EU) 2022/2065, vägledning från kommissionen, inbegripet i form av riktlinjer enligt artikel 35.3 i den förordningen, och eventuella annan relevant vägledning som utfärdats av kommissionen med avseende på tillämpningen av förordning (EU) 2022/2065, samt revisionsrapporter som utfärdats enligt de uppförandekoder eller krisprotokoll som avses i artiklarna 45, 46 och 48 i den förordningen. |
|
c) |
Uppgifter som rör händelser som uppstår under utförandet av revisionen, inbegripet krissituationer, som kräver ytterligare åtgärder från den leverantör som är föremål för revision för att uppfylla vissa av de skyldigheter eller åtaganden som revisionen avser. |
5. Revisionsförfarandena ska omfatta åtminstone följande:
|
a) |
Utförande av tester och materiella analytiska förfaranden för de interna kontroller som införts av den leverantör som är föremål för revision för varje skyldighet eller åtagande som revisionen avser. |
|
b) |
Utförande av materiella analytiska förfaranden för att bedöma uppfyllandet av varje skyldighet och åtagande som revisionen avser, bland annat när det gäller algoritmiska system. |
|
c) |
Utförande av tester, bland annat när det gäller algoritmiska system, avseende de skyldigheter och åtaganden som revisionen avser och som revisionsföretaget hyser rimliga tvivel om, enligt punkt 4, samt avseende de skyldigheter och åtaganden som revisionen avser och för vilka revisionsföretaget anser det nödvändigt att utföra tester enligt sitt val av metod enligt punkt 1. |
6. Om de skyldigheter eller åtaganden som avses i artikel 37.1 i förordning (EU) 2022/2065 innebär att den leverantör som revisionen avser måste offentliggöra vissa uppgifter ska revisionsmetoderna innefatta en bedömning av om dessa uppgifter saknar materiella fel eller utelämnanden som annars skulle kunna göra dem vilseledande.
Artikel 11
Revisionsbevisens kvalitet
Revisionsslutsatser och revisionsuttalanden ska bygga på revisionsbevis som uppfyller båda följande krav:
|
a) |
De är relevanta och lämpliga för att minska de revisionsrisker som fastställts enligt artikel 9 och för att göra det möjligt för revisionsföretaget att utfärda revisionsslutsatser och revisionsuttalanden enligt artikel 8. |
|
b) |
De är tillförlitliga enligt revisionsföretagets yrkesmässiga bedömning och skepsis. |
Artikel 12
Urvalsmetoder
1. I de fall revisionsbevis helt eller delvis bygger på ett urval av data eller uppgifter ska urvalsstorleken och metoden för att samla in urvalet väljas med sikte på att minimera upptäcktsrisken och utan inblandning av den leverantör som revisionen avser.
2. Urvalsstorleken och metoden för att samla in urvalet ska väljas på ett sätt som säkerställer ett representativt urval av data eller uppgifter och, enligt vad som är lämpligt, med beaktande av följande:
|
a) |
Urvalets representativitet för den tidsperiod som avses i artikel 3.2 och 3.3. |
|
b) |
Relevanta ändringar av den tjänst som är föremål för revision under den tidsperioden. |
|
c) |
Relevanta ändringar av det sammanhang i vilket den tjänst som är föremål för revision tillhandahålls under den tidsperioden. |
|
d) |
Relevanta egenskaper hos algoritmiska system, i tillämpliga fall, bland annat personlig anpassning utifrån profilering eller andra kriterier. |
|
e) |
Andra relevanta egenskaper hos eller avgränsningar av de data, uppgifter och bevis som beaktas. |
|
f) |
Inringande och lämplig analys av farhågor som rör särskilda grupper, exempelvis minderåriga eller utsatta grupper och minoriteter, i förhållande till den skyldighet eller det åtagande som revisionen avser. |
3. Revisionsrapporten ska innehålla en motivering av valet av urvalsstorlek och metod för att samla in urvalet.
Artikel 13
Särskilda metoder för att bedöma efterlevnaden av artikel 34 i förordning (EU) 2022/2065 om riskbedömning
1. Bedömningen av efterlevnaden av artikel 34 i förordning (EU) 2022/2065 av den leverantör som är föremål för revision ska innehålla, men inte begränsas till, en analys av följande:
|
a) |
Huruvida den leverantör som revisionen avser noggrant har identifierat, analyserat och bedömt de eventuella systemrisker i unionen som avses i artikel 34.1 första stycket i förordning (EU) 2022/2065, bland annat genom att bedöma
|
|
b) |
Huruvida riskbedömningen utfördes inom den tidsram som anges i artikel 34.1 andra stycket i förordning (EU) 2022/2065 och, i tillämpliga fall, inom den tidsram som fastställts för åtgärder som antagits som riskbegränsningsåtgärder för upptäckt av systemrisker enligt artikel 35.1 f i den förordningen. |
|
c) |
Hur den leverantör som revisionen avser har identifierat funktioner som sannolikt kommer att ha en kritisk inverkan på de risker för vilka riskbedömningar ska utföras innan de införs, enligt artikel 34.1 andra stycket i förordning (EU) 2022/2065, huruvida dessa funktioner har identifierats korrekt samt huruvida riskbedömningen har utförts på lämpligt vis. |
|
d) |
Huruvida den leverantör som revisionen avser på ett korrekt sätt har identifierat de styrkande handlingar som ska bevaras avseende riskbedömningen, huruvida leverantören har infört de medel som krävs för att säkerställa att dessa handlingar bevaras i minst tre år, enligt artikel 34.3 i förordning (EU) 2022/2065, samt huruvida dessa handlingar har bevarats enligt dessa bestämmelser. |
2. Utan att det påverkar eventuella ytterligare analyser som krävs för att uppnå en rimlig tillförlitlighetsnivå ska metoderna för granskning av efterlevnaden av artikel 34 i förordning (EU) 2022/2065 åtminstone omfatta revisionsföretagets bedömning av följande element:
|
a) |
De interna kontroller som införts av den leverantör som är föremål för revision för att övervaka utförandet av riskbedömningarna avseende var och en av de faktorer som avses i artikel 34.2 första stycket i förordning (EU) 2022/2065. Följande ska gälla för en sådan bedömning:
|
|
b) |
De åtgärder, medel och processer som införts av den leverantör som är föremål för revision för att säkerställa efterlevnad av artikel 34 i förordning (EU) 2022/2065 och resultaten av dessa. Följande ska gälla för en sådan bedömning:
|
3. De uppgifter som analyseras av revisionsföretaget för att styrka den bedömning som görs enligt denna artikel ska bestå av åtminstone följande:
|
a) |
Riskbedömningsrapporten för den berörda tidsperiod som revisionen omfattar, som utarbetats av den leverantör som revisionen avser och som vid behov innehåller konfidentiell information som inte tillhör de uppgifter som ska offentliggöras enligt artikel 42.2 i den förordningen, samt alla styrkande handlingar. |
|
b) |
I förekommande fall övriga riskbedömningsrapporter från den leverantör som revisionen avser och tillhörande styrkande handlingar. |
|
c) |
De uppgifter som lämnats av den leverantör som är föremål för revision enligt artikel 5. |
|
d) |
Alla relevanta transparensrapporter från den leverantör som är föremål för revision enligt artikel 15.1 i förordning (EU) 2022/2065. |
|
e) |
Eventuella övriga testresultat, dokument, bevis, uttalanden som gjorts till svar på skriftliga eller muntliga frågor från revisionsföretaget till leverantörens personal samt, i förekommande fall, observationer som gjorts i leverantörens lokaler. |
|
f) |
Andra relevanta bevis, däribland baserat på de uppgifter som lämnats av den leverantör som är föremål för revision. |
|
g) |
Om tillgängligt, de rapporter som avses i artikel 35.2 i förordning (EU) 2022/2065 och vägledning från kommissionen, inbegripet riktlinjer som utfärdats i enlighet med artikel 35.3 i den förordningen och eventuell annan relevant vägledning som utfärdats av kommissionen med avseende på tillämpningen av förordning (EU) 2022/2065. |
4. De uppgifter som analyseras av revisionsföretaget får utgöras av de uppgifter som avses i artikel 42.4 i förordning (EU) 2022/2065, bland annat från revisionsrapporter, riskbedömningsrapporter och riskbegränsningsrapporter som rör andra mycket stora onlineplattformar eller mycket stora onlinesökmotorer, eller data och forskningsresultat som offentliggjorts av utvalda forskare enligt artikel 40.8 g i den förordningen.
Artikel 14
Särskilda metoder för att bedöma efterlevnaden av artikel 35 i förordning (EU) 2022/2065 om riskbegränsning
1. Bedömningen av efterlevnaden av artikel 35 i förordning (EU) 2022/2065 av den leverantör som är föremål för revision ska innehålla, men inte begränsas till, en analys av följande:
|
a) |
Hur den leverantör som revisionen avser har fastställt riskbegränsningsåtgärder för alla de systemrisker som avses i artikel 34.1 i förordning (EU) 2022/2065 och huruvida dessa riskbegränsningsåtgärder har fastställts på ett noggrant sätt. |
|
b) |
Hur den leverantör som revisionen avser har bedömt huruvida de riskbegränsningsåtgärder som avses i artikel 35.1 a–k i förordning (EU) 2022/2065 är tillämpliga på den tjänst som revisionen avser och huruvida resultatet av den bedömningen är lämpligt, inbegripet när det gäller de åtgärder som inte har tillämpats av den leverantör som revisionen avser. |
|
c) |
Huruvida de riskbegränsningsåtgärder som införts av den leverantör som revisionen avser är rimliga, proportionella och effektiva för att begränsa riskerna, bland annat genom att
|
2. Utan att det påverkar eventuella ytterligare analyser som krävs för att uppnå en rimlig tillförlitlighetsnivå ska metoderna för granskning av efterlevnaden av artikel 35 i förordning (EU) 2022/2065 åtminstone omfatta revisionsföretagets bedömning av följande element:
|
a) |
De interna kontroller som införts av den leverantör som är föremål för revision för att övervaka tillämpningen av de riskbegränsningsåtgärder som avses i artikel 35.1 i förordning (EU) 2022/2065 och huruvida de är rimliga, proportionella och effektiva. Följande ska gälla för en sådan bedömning:
|
|
b) |
De riskbegränsningsåtgärder som införts av den leverantör som är föremål för revision. Följande ska gälla för en sådan bedömning:
|
3. De uppgifter som analyseras av revisionsföretaget för att styrka den bedömning som görs enligt denna artikel ska bestå av åtminstone följande:
|
a) |
Rapporterna om riskbedömning och riskbegränsning för den tidsperiod som revisionen omfattar, som utarbetats av den leverantör som är föremål för revision och som vid behov innehåller konfidentiell information som inte är en del av de uppgifter som ska offentliggöras enligt artikel 42.2 i förordning (EU) 2022/2065, samt alla styrkande handlingar. |
|
b) |
I förekommande fall, andra rapporter om riskbedömning och riskbegränsning från den leverantör som revisionen avser och tillhörande styrkande handlingar. |
|
c) |
De uppgifter som lämnats av den leverantör som är föremål för revision enligt artikel 5. |
|
d) |
Alla relevanta transparensrapporter från den leverantör som är föremål för revision enligt artikel 15.1 i förordning (EU) 2022/2065. |
|
e) |
I förekommande fall, tidigare rapporter om riskbegränsning och tillhörande styrkande handlingar som täcker tidsperioder som inte omfattas av den tidsperiod som revisionen avser och som vid behov innehåller konfidentiell information som inte är en del av de uppgifter som ska offentliggöras enligt artikel 42.2 i förordning (EU) 2022/2065. |
|
f) |
Eventuella övriga testresultat, dokument, bevis eller uttalanden som gjorts till svar på skriftliga och/eller muntliga frågor från revisionsföretaget till leverantörens personal samt, i förekommande fall, observationer som gjorts i leverantörens lokaler. |
|
g) |
Övriga relevanta bevis, som bland annat bygger på de uppgifter som lämnats av den leverantör som är föremål för revision. |
|
h) |
Om tillgängligt, de rapporter som avses i artikel 35.2 i förordning (EU) 2022/2065 och vägledning från kommissionen, inbegripet riktlinjer som utfärdats i enlighet med artikel 35.3 i den förordningen och eventuell annan relevant vägledning som utfärdats av kommissionen med avseende på tillämpningen av förordning (EU) 2022/2065. |
4. De uppgifter som analyseras av revisionsföretaget får utgöras av de uppgifter som avses i artikel 42.4 i förordning (EU) 2022/2065, bland annat från revisionsrapporter, riskbedömningsrapporter och riskbegränsningsrapporter som rör andra mycket stora onlineplattformar eller mycket stora onlinesökmotorer, eller uppgifter och forskningsresultat som offentliggjorts av utvalda forskare i enlighet med artikel 40.8 g i förordning (EU) 2022/2065, enligt vad som är tillämpligt.
Artikel 15
Särskilda metoder för att bedöma efterlevnaden av artikel 36 i förordning (EU) 2022/2065 om krisresponsmekanism
1. Bedömningen av efterlevnaden av artikel 36.1 första stycket led a i förordning (EU) 2022/2065 av den leverantör som är föremål för revision ska innehålla, men inte begränsas till, en analys av om och hur den leverantör som revisionen avser har utfört de åtgärder som krävs, i synnerhet följande:
|
a) |
Om och hur den leverantör som revisionen avser har identifierat de berörda system som används för driften och användningen av dess tjänst som på ett betydande sätt bidrar till det allvarliga hotet samt om dessa system har identifierats på lämpligt vis. |
|
b) |
Om och hur den leverantör som revisionen avser har definierat och övervakat det betydande bidraget till det allvarliga hotet samt om denna bedömning har gjorts på lämpligt vis. |
|
c) |
Eventuella övriga krav som anges i det beslut som kommissionen får anta enligt artikel 36.1 eller 36.7 andra stycket i förordning (EU) 2022/2065, enligt vad som är lämpligt. |
2. Bedömningen av hur den leverantör som revisionen avser efterlever artikel 36.1 första stycket led b i förordning (EU) 2022/2065 ska omfatta, men inte begränsas till, en analys av huruvida och hur denna leverantör har utfört de åtgärder som krävs, i synnerhet följande:
|
a) |
Om och hur den leverantör som revisionen avser har fastställt åtgärder för att förebygga, undanröja eller begränsa bidrag till det allvarliga hotet. |
|
b) |
Om och hur de åtgärder som vidtagits av den leverantör som revisionen avser är tillräckliga för att hantera allvarlighetsgraden hos det allvarliga hotet och den brådskande karaktären samt om åtgärderna är ändamålsenliga i detta avseende. |
|
c) |
Om och hur den leverantör som revisionen avser har identifierat de parter som berörs av åtgärderna och deras legitima intressen, samt hur den leverantör som revisionen avser har bedömt de faktiska eller potentiella konsekvenserna av åtgärderna för dessa parters rättigheter, inbegripet grundläggande rättigheter, och legitima intressen. |
|
d) |
Huruvida de åtgärder som vidtagits av den leverantör som revisionen avser är effektiva och proportionella. |
|
e) |
Eventuella övriga krav som anges i det beslut som kommissionen får anta enligt artikel 36.1 eller 36.7 andra stycket i förordning (EU) 2022/2065, enligt vad som är lämpligt. |
3. Bedömningen av efterlevnaden av artikel 36.1 första stycket led c i förordning (EU) 2022/2065 av den leverantör som är föremål för revision vilken ska omfatta, men inte begränsas till, en analys av hur den leverantör som revisionen avser har utfört de åtgärder som krävs, i synnerhet huruvida leverantören har tillhandahållit kommissionen de uppgifter som krävs enligt det beslut som kommissionen får anta enligt artikel 36.1 eller 36.7 andra stycket i förordning (EU) 2022/2065, och huruvida dessa rapporter är korrekta.
Artikel 16
Bedömning av efterlevnaden av artikel 37 i förordning (EU) 2022/2065 om oberoende revision
1. Uppfyllandet av de skyldigheter som fastställs i artikel 37 i förordning (EU) 2022/2065 och i denna förordning ska bedömas i förhållande till den eller de revisioner som utförts för den ettårsperiod som föregår perioden för den aktuella revisionen.
2. Utöver punkt 1 ska revisionen omfatta en bedömning av efterlevnaden av artikel 37.2 i förordning (EU) 2022/2065 med avseende på den aktuella revisionen av den leverantör som är föremål för revision.
3. Om den eller de tidigare revisioner som avses i punkt 1 utfördes av samma revisionsföretag som utför den aktuella revisionen, eller om det revisionsföretag som utför den aktuella revisionen omfattar åtminstone en juridisk enhet som deltog i den tidigare revisionen, ska revisionsrapporten innehålla en redogörelse för de åtgärder som revisionsföretaget vidtagit för att säkerställa bedömningens objektivitet.
Artikel 17
Bedömning av efterlevnaden av uppförandekoder och krisprotokoll
1. Den leverantör som är föremål för revision ska tillhandahålla revisionsföretaget följande:
|
a) |
En förteckning över samt texten för, alla de uppförandekoder som avses i artiklarna 45 och 46 i förordning (EU) 2022/2065 och de krisprotokoll som avses i artikel 48 i den förordningen och som undertecknats av den leverantör som är föremål för revision. |
|
b) |
En detaljerad förteckning över de åtaganden i dessa uppförandekoder och krisprotokoll som gjorts av den leverantör som är föremål för revision. |
|
c) |
I förekommande fall, de nyckelutförandeindikatorer som fastställts enligt varje uppförandekod och krisprotokoll. |
|
d) |
I förekommande fall, alla tillgängliga mätningar, uppgifter och dokument samt eventuella rapporter som tagits fram av den leverantör som är föremål för revision avseende leverantörens uppfyllande av de åtaganden som gjorts, inbegripet tillgång till alla relevanta uppgifter och data som rör driften av de tjänster som tillhandahålls av den leverantör som revisionen avser och som är relevanta för genomförandet av uppförandekoden eller krisprotokollet. |
|
e) |
I förekommande fall, andra mätningar, uppgifter och dokument som utarbetats av undertecknarna av uppförandekoden eller krisprotokollet samt de bedömningar som kommissionen och nämnden ska göra enligt artikel 45.4 i förordning (EU) 2022/2065. |
2. Bedömningen av efterlevnaden av de uppförandekoder som avses i artikel 45 i förordning (EU) 2022/2065 av den leverantör som är föremål för revision ska omfatta, men inte begränsas till, en mätning av de nyckelutförandeindikatorer som fastställts i uppförandekoden enligt artikel 45.3 i den förordningen, med uppgift om revisionsslutsatsernas väsentlighetsnivå och huruvida de rapporterade uppgifterna är korrekta.
Avsnitt V
Slutbestämmelser
Artikel 18
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 20 oktober 2023.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
BILAGA I
MALL FÖR DEN REVISIONSRAPPORT SOM AVSES I ARTIKEL 6
Innehållsförteckning
|
AVSNITT B Revisionsföretag Lägg till så många rader som behövs för varje punkt när du fyller i avsnittet nedan. |
||||||||||||||||||||||||||||||
|
|
AVSNITT F.1 Tredje parter med vilka samråd genomförts Upprepa detta avsnitt för varje tredje part med vilken samråd genomförts och ange motsvarande siffra i avsnittets benämning (till exempel F.1, F.2 och så vidare). |
||||||||
|
|
AVSNITT G Eventuella övriga uppgifter som revisionsföretaget önskar ange i revisionsrapporten (t.ex. en beskrivning av eventuella begränsningar). |
|
|
|
|
Lägg till så många rader som behövs i enlighet med fördelningen av ansvarsområden och berättiganden enligt artikel 7.1 b |
|
Datum: … |
Undertecknat av: … |
|
Ort: … |
På uppdrag av: … |
|
|
Med ansvar för: … |
Bilagor till revisionsrapporten (enligt vad som är tillämpligt):
Handlingar som efterfrågas enligt artikel 7.2 i denna förordning.
Handlingar som avser den analys av revisionsrisker som avses i artikel 9 i denna förordning.
Handlingar som intygar att revisionsföretaget uppfyller de skyldigheter som fastställs i artikel 37.3 a i förordning (EU) 2022/2065.
Handlingar som intygar att revisionsföretaget uppfyller de skyldigheter som fastställs i artikel 37.3 b i förordning (EU) 2022/2065.
Handlingar som intygar att revisionsföretaget uppfyller de skyldigheter som fastställs i artikel 37.3 c i förordning (EU) 2022/2065.
Dokumentation och resultat av eventuella tester som utförts av revisionsföretaget, inbegripet när det gäller algoritmiska system som drivs av den leverantör som revisionen avser.
De uppförandekoder enligt artiklarna 45 och 46 i förordning (EU) 2022/2065 enligt vilka den leverantör som revisionen avser har gjort åtaganden, inbegripet en tydlig redogörelse för det åtagande som gjorts och fastställda nyckelutförandeindikatorer för det åtagandet.
De krisprotokoll enligt artikel 48 i förordning (EU) 2022/2065 som införts av den leverantör som revisionen avser.
Eventuella övriga bilagor som revisionsföretaget önskar bifoga.
BILAGA II
MALL FÖR DEN RAPPORT OM GENOMFÖRANDET AV REVISIONEN SOM AVSES I ARTIKEL 6
Innehållsförteckning
|
AVSNITT A Allmänna uppgifter |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0820 (electronic edition)