LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (1), y en particular su artículo 37, apartado 7,
Considerando lo siguiente:
(1) |
Las auditorías independientes suponen una herramienta importante en la supervisión del cumplimiento por parte de los prestadores de las plataformas en línea de muy gran tamaño y los motores de búsqueda en línea de muy gran tamaño de las obligaciones que les impone el Reglamento (UE) 2022/2065. Aunque se contemplan otras herramientas de rendición de cuentas en dicho Reglamento, en particular el refuerzo del control público de los informes de transparencia y otros requisitos de divulgación de datos, las entidades auditoras independientes tienen un papel especial a la hora de evaluar el cumplimiento del Reglamento por parte de los prestadores en un momento inicial. Las conclusiones, observaciones y recomendaciones de dichas auditorías independientes pueden constituir una aportación significativa a la supervisión reguladora. Al mismo tiempo, las auditorías independientes son una de las varias fuentes de información y análisis que los reguladores pueden usar en su labor de supervisar y garantizar el cumplimento de la normativa. |
(2) |
Para asegurar el desarrollo eficaz, eficiente, en tiempo oportuno y equiparable de las auditorías independientes realizadas a partir de la fecha de aplicación prevista en los artículos 92 y 93 del Reglamento (UE) 2022/2065, procede que la Comisión establezca normas de auditoría, en particular, en lo que respecta a las obligaciones legales de los prestadores auditados y las fases del procedimiento para asegurar que las organizaciones auditoras reúnan las condiciones de independencia, ausencia de conflictos de intereses, conocimientos especializados y ética profesional establecidas en el artículo 37, apartado 3, del Reglamento (UE) 2022/2065. |
(3) |
Al objeto de facilitar la correcta realización de las auditorías con un alto nivel de conocimientos especializados y evitar consecuencias imprevistas en el mercado de los servicios de auditoría, es preciso aclarar que son varios los auditores que pueden realizar las auditorías previstas en el artículo 37 del Reglamento (UE) 2022/2065. En caso de necesidad —por ejemplo, si se precisan conocimientos específicos sobre la auditoría de determinadas obligaciones o compromisos, como los relacionados con el diseño y funcionamiento de los sistemas algorítmicos, o una comprensión de los riesgos en materia de derechos fundamentales o la difusión de contenidos ilícitos—, el prestador auditado tiene la posibilidad de contratar a distintas entidades auditoras, o un consorcio de entidades, para realizar la auditoría. Las entidades auditoras también tienen la posibilidad de subcontratar a terceros con los conocimientos especializados necesarios, siempre que tanto la entidad auditora como los subcontratistas reúnan las condiciones necesarias de independencia, ausencia de conflictos de intereses y objetividad y ética profesional acreditadas, además de satisfacer de forma conjunta las condiciones en materia de conocimientos técnicos. Aun en tales supuestos, sigue siendo necesario que el prestador auditado garantice que se lleve a cabo, con una periodicidad mínima anual, la auditoría de su cumplimiento de todas las obligaciones y todos los compromisos a que se refiere el artículo 37, apartado 1, del Reglamento (UE) 2022/2065. |
(4) |
Es necesario que las entidades auditoras emitan los dictámenes de auditoría contemplados en el artículo 37, apartado 4, letra g), del Reglamento (UE) 2022/2065 con un grado de seguridad razonable, para lo cual han de tener un grado de confianza alto, aunque no absoluto, en que no existen incorrecciones, como omisiones, inexactitudes o errores, que no se hayan detectado en la auditoría. Para garantizar dicho grado de seguridad, es necesario, entre otros aspectos, que la entidad auditora obtenga una evidencia de auditoría suficiente y emplee metodologías de auditoría adecuadas en su evaluación. |
(5) |
A tenor de lo dispuesto en el artículo 37, apartado 1, del Reglamento (UE) 2022/2065, las auditorías independientes deben realizarse al menos una vez al año, atendiendo al ciclo anual de las evaluaciones de riesgos contempladas en el artículo 34. Sin embargo, en determinados supuestos puede requerirse una mayor frecuencia de las auditorías. La frecuencia las auditorías ha de asegurar que haya una continuidad en la supervisión del cumplimiento por parte de los prestadores auditados del Reglamento (UE) 2022/2065 y de los códigos de conducta y protocolos de crisis pertinentes. El prestador auditado debe asegurarse de que el período abarcado por una determinada auditoría en la que se evalúe su cumplimiento de las obligaciones y compromisos objeto de auditoría complemente el período cubierto por la auditoría anterior de su cumplimiento de las mismas obligaciones y compromisos y que dicho período comience, a más tardar, cuando se haya cerrado el período de la auditoría anterior. Dado que la conclusión de una auditoría implica tanto la evaluación por parte de la entidad auditora como la elaboración de un informe de auditoría, los prestadores auditados deben garantizar que las auditorías tengan una duración que permita finalizarlas al menos una vez al año y que los informes de auditoría se transmitan a la Comisión y al coordinador de servicios digitales sin dilación indebida, tal como establece el artículo 42, apartado 4, del Reglamento (UE) 2022/2065. |
(6) |
Los prestadores auditados, si bien deben abstenerse de interferir en el desarrollo de la auditoría y en sus conclusiones, han de cumplir las obligaciones contempladas en el artículo 37 del Reglamento (UE) 2022/2065, entre otros aspectos mediante la concertación de condiciones contractuales con la entidad auditora y la verificación, previa a la elección de la entidad auditora, de que esta cumple las condiciones contempladas en el artículo 37, apartado 3, del Reglamento (UE) 2022/2065. |
(7) |
Por ejemplo, el prestador auditado tiene que evaluar los contratos que haya celebrado con la entidad auditora con anterioridad o los contratos que la entidad auditora haya celebrado con personas jurídicas vinculadas al prestador auditado. También es necesario que, en los contratos con las entidades auditoras, el prestador auditado incluya cláusulas destinadas a garantizar el respeto de las condiciones establecidas en el artículo 37, apartado 3, del Reglamento (UE) 2022/2065. Cuando la entidad auditora esté integrada por varias entidades, el prestador auditado tiene que comprobar el cumplimiento de dichas condiciones por todas ellas, incluidos, en su caso, los subcontratistas contratados por la entidad auditora para prestar algún tipo de apoyo en la realización de la auditoría. Mientras que cada entidad que intervenga en la auditoría debe reunir los requisitos de independencia y ausencia de conflictos de intereses de forma individual, los requisitos relacionados con la competencia, los conocimientos especializados o los recursos técnicos han de cumplirse de forma conjunta, lo que permite que distintas entidades puedan encargarse de distintas partes de la auditoría y aportar las capacidades, la competencia y los conocimientos especializados necesarios para su realización. En el informe de auditoría se deben especificar las responsabilidades de cada una de esas entidades respecto a las distintas partes de la auditoría. |
(8) |
Conforme a lo dispuesto en el artículo 37, apartado 3, letra a), inciso i), del Reglamento (UE) 2022/2065, a la hora de verificar si una entidad auditora cumple los requisitos de independencia y de ausencia de conflictos de intereses, el prestador auditado debe poner especial atención en evitar que la entidad auditora le preste servicios que no sean de auditoría. Entre los servicios cuya posible prestación debe comprobar se encuentran, por ejemplo, los relacionados con cualquier sistema, programa informático o proceso que intervenga en cuestiones pertinentes para la obligación o compromiso objeto de auditoría, tales como servicios de consultoría para la evaluación del desempeño, la gobernanza y los programas informáticos, servicios de formación, desarrollo o mantenimiento de sistemas, o subcontratación de la moderación de contenidos. También se incluyen los servicios prestados al prestador auditado en materia de asesoramiento sobre controles internos, o de desarrollo de estos, así como en materia de evaluación, con fines internos, de su cumplimiento del Reglamento (UE) 2022/2065 o de los códigos de conducta y protocolos de crisis, aunque lo anterior se haya limitado a la realización de pruebas puntuales, como, por ejemplo, pruebas de funcionamiento de los sistemas de moderación de contenidos realizadas por terceros. Esto no debe excluir a las organizaciones de auditoría que hayan realizado auditorías financieras legales. |
(9) |
Dada la complejidad y peculiaridad de las auditorías de cumplimiento del Reglamento (UE) 2022/2065, los conocimientos especializados de la entidad auditora en la materia son un requisito fundamental para la realización de las auditorías con un grado de seguridad razonable y aplicando el juicio y escepticismo profesionales que permiten a la entidad saber, por ejemplo, qué información necesita para realizar los procedimientos de auditoría o cuestionar la información contradictoria. Resulta, por lo tanto, necesario que el prestador auditado compruebe que la entidad auditora posee dichos conocimientos especializados, entre otros en materia de gestión de riesgos, tanto por lo que respecta a los riesgos de auditoría como al objeto del Reglamento (UE) 2022/2065, y, en particular, los riesgos sistémicos para la sociedad contemplados en el artículo 34 del mismo. También corresponde al prestador auditado verificar la competencia y capacidades técnicas de la entidad auditora, atendiendo al servicio concreto objeto de auditoría, y, en particular, sus conocimientos especializados en la materia, por ejemplo, en lo referente al funcionamiento y los efectos de sistemas algorítmicos tales como los sistemas de recomendación y otros sistemas sociotécnicos que gestione el prestador. Es necesario que la entidad auditora tenga la posibilidad de recurrir a la subcontratación u otras modalidades para obtener y utilizar los conocimientos especializados y capacidades necesarios, y que el prestador auditado verifique y se asegure de que la entidad auditora sea capaz de reunir dichos conocimientos especializados y capacidades a tiempo para la realización de la auditoría. |
(10) |
A la hora de verificar el cumplimiento por parte de las entidades auditoras de las condiciones establecidas en el artículo 37, apartado 3, del Reglamento (UE) 2022/2065, el prestador auditado tiene que evaluar las pruebas que lo acrediten, incluidas, en su caso, las certificaciones, las declaraciones y los informes de auditoría emitidos por la entidad auditora. A modo de ejemplo, la posesión de los conocimientos especializados adecuados podría acreditarse a través de la experiencia práctica en la evaluación y gestión de riesgos, y también mediante la actividad académica, publicaciones científicas y experiencia en auditorías pertinentes. Los informes de auditoría han de contener toda la documentación justificativa del cumplimiento de las condiciones pertinentes por parte de la entidad auditora. |
(11) |
A tenor de lo dispuesto en el artículo 37, apartado 2, del Reglamento (UE) 2022/2065, el prestador auditado debe proporcionar la cooperación y la asistencia necesarias para permitir que la entidad auditora lleve a cabo la auditoría de manera eficaz, eficiente y en tiempo oportuno, y abstenerse de toda injerencia en las decisiones independientes de la entidad auditora. A modo de ejemplo, el prestador auditado no debe imponer, asesorar o ejercer cualquier otro tipo de influencia sobre la entidad auditora, mediante restricciones o incentivos, sean contractuales o no, en su elección y ejecución de procedimientos de auditoría, metodologías, obtención y tratamiento de datos y evidencias de auditoría, análisis, pruebas, dictamen de auditoría o elaboración de las conclusiones de auditoría. |
(12) |
Al objeto de garantizar la cooperación y la asistencia necesarias durante la auditoría, el prestador auditado ha de asegurarse de que la entidad auditora tenga acceso a toda la información necesaria para realizar la auditoría. Es preciso que el prestador auditado remita todos los documentos y explicaciones necesarios a la mayor brevedad posible y, en todo caso, antes de que la entidad auditoria inicie la ejecución de los procedimientos de auditoría. Por ejemplo, en virtud del artículo 41, apartado 3, letras d) y e), del Reglamento (UE) 2022/2065, la función de comprobación del cumplimiento del prestador auditado consiste en hacer el seguimiento del cumplimiento de todas las obligaciones y compromisos objeto de auditoría, lo que debe traducirse en la elaboración de controles internos. Por consiguiente, la entidad auditora debe tener acceso a toda la información relativa a esos controles internos y a cualquier otra información que describa la estrategia del prestador para garantizar el cumplimiento. En concreto, el prestador auditado debe poner a disposición de la entidad auditora los valores de referencia utilizados para garantizar el cumplimiento del Reglamento (UE) 2022/2065, de modo que la entidad auditora pueda basar los criterios de auditoría en esta información. Además, la entidad auditora debe tener acceso a todo análisis que el prestador auditado pueda haber realizado en materia de riesgos inherentes y riesgos de control. El prestador debe poner a disposición de la entidad auditora información que facilite la comprensión del servicio auditado, su gobernanza, la competencia de los diferentes equipos y estructuras de toma de decisiones, en particular su función de comprobación del cumplimiento, así como presentaciones de sus sistemas informáticos, datos y estructuras de registros, y la interacción entre los diferentes sistemas algorítmicos pertinentes para la auditoría. |
(13) |
Es importante que la entidad auditora tenga la posibilidad, en cualquier momento durante la auditoría, de requerir cualquier otra información necesaria, y que se le facilite el acceso a dicha información sin demora injustificada y de tal forma que no se vea obstaculizado en modo alguno el desarrollo de la auditoría. Este requisito debe aplicarse igualmente al acceso a los datos, incluidos los de carácter personal, recabados de diversas fuentes, tales como documentos, sistemas algorítmicos, bases de datos o entrevistas, según proceda. También resulta necesario que el prestador auditado facilite a la entidad auditora el acceso a sus procedimientos y procesos y a los sistemas informáticos, entre ellos los sistemas algorítmicos y de información, incluidos los entornos de pruebas. Para asegurar la eficacia de la revisión de los citados sistemas por parte de la entidad auditora, es necesario que el prestador auditado ponga a su disposición todos los recursos necesarios a su alcance para facilitarle el acceso a los sistemas y su evaluación, pudiendo citarse a modo de ejemplo la puesta a disposición de la entidad auditora del personal competente del prestador para contestar preguntas o manejar los entornos de pruebas y explicar su funcionamiento, o la facilitación del acceso necesario al personal y a instalaciones tales como edificios. El acceso a los procedimientos y procesos podría también implicar, por ejemplo, dar acceso a descripciones o documentos relacionados con el proceso interno de toma de decisiones del prestador auditado. Puede que sean necesarias otras actuaciones accesorias por parte del prestador auditado para facilitar el acceso a la información pertinente y dar así cumplimiento a sus obligaciones de cooperación y asistencia. Por ejemplo, en caso de llevarse a cabo entrevistas con el personal, puede que el prestador auditado tenga que facilitar instalaciones seguras para su desarrollo. Cuando sea necesario para la realización de la auditoría, los prestadores auditados deben facilitar el acceso a la información pertinente y dar así cumplimiento a sus obligaciones de cooperación y asistencia con la entidad auditora, entre otras cosas, proporcionando acceso a los datos pertinentes relativos a sus operaciones que obren en poder de sus contratistas externos. Este podría ser el caso, por ejemplo, de los resultados de las actividades de moderación de contenidos, el material didáctico o las orientaciones utilizados por los contratistas externos que moderan los contenidos, o, en el caso de los prestadores de servicios y proveedores de soluciones informáticas, entre otras cosas, los algoritmos y aplicaciones utilizados en los sistemas de recomendación o publicitarios de que dispone el prestador auditado. |
(14) |
A fin de dotar a las conclusiones de auditoría de una verdadera transparencia y establecer un formato de informe que garantice la exhaustividad y comparabilidad de los informes de auditoría contemplados en el artículo 37, apartado 4, del Reglamento (UE) 2022/2065 y los informes de aplicación de la auditoría contemplados en su artículo 37, apartado 6, es necesario que el presente Reglamento establezca los modelos para dichos informes, junto con el requisito de adjuntar una serie de anexos a los mismos. Aunque el nivel de información exigido por los modelos establecidos en el presente Reglamento es alto, no debe afectar a los requisitos de publicación de informes a que se refiere el artículo 42, apartados 4 y 5, del Reglamento (UE) 2022/2065. |
(15) |
Al objeto de garantizar que el prestador auditado preste toda la asistencia necesaria a la entidad auditora, absteniéndose de interferir en el desarrollo de la auditoría, y de asegurar que la entidad auditora reúna todas las condiciones previas a la auditoría y emita el informe de auditoría en plazo y con la calidad necesaria para alcanzar un grado de seguridad razonable, es necesario establecer determinadas normas relativas a los procedimientos de preparación de la auditoría. Las funciones y responsabilidades del prestador auditado y de la entidad auditora, incluidos todos los subcontratistas o las entidades colaboradoras, así como el personal encargado de la auditoría, se deben acordar por escrito, siendo posible su inclusión en las cláusulas contractuales. En dicho acuerdo escrito se deben fijar también las obligaciones y compromisos objeto de auditoría, la asignación de recursos y las normas que rijan las interacciones y los puntos de contacto entre la entidad auditora y el prestador auditado. Es necesario adjuntar la totalidad de la documentación justificativa y los contratos al informe de auditoría, también cuando dicha documentación revista la forma de una carta de encargo u otras cláusulas contractuales. |
(16) |
Al objeto de ofrecer una visión de conjunto completa y facilitar la rendición de cuentas por parte de los prestadores auditados, el informe de auditoría de la entidad auditora debe incluir las conclusiones extraídas de su valoración del cumplimiento de cada una de las obligaciones o compromisos objeto de auditoría por parte del prestador auditado. A finalidad de contribuir debidamente al dictamen de auditoría, cada conclusión de auditoría ha de sustentarse en un grado de seguridad razonable y ser «favorable», «favorable con observaciones» o «negativa». Las conclusiones «favorable con observaciones» no deben referirse a la evaluación del cumplimiento en sí misma. A modo de ejemplo, las observaciones pueden referirse a la aportación de información por el prestador a requerimiento de la entidad auditora o a mejoras en el mantenimiento o los controles implantados por el prestador auditado, así como registrar los planes de reducción de riesgos y mejoras adicionales que el prestador pretenda llevar a cabo. En todo caso, cuando la entidad auditora considere que el prestador auditado cumple una obligación o compromiso objeto de auditoría con arreglo a los valores de referencia notificados por el prestador auditado, pero considere necesario incluir observaciones sobre dichos valores de referencia, la conclusión de la auditoría debe ser «favorable con observaciones», ya que estas podrían resultar de utilidad para respaldar posibles cambios en los valores de referencia utilizados, sobre la base de los conocimientos y la experiencia de la entidad auditora, así como de información procedente de fuentes externas. Por ejemplo, las observaciones podrían basarse en orientaciones de la Comisión, en particular las indicadas en el artículo 35, apartado 3, del Reglamento (UE) 2022/2065, así como en: cualquier otra orientación emitida por la Comisión en relación con la aplicación de dicho Reglamento; los informes de la Junta Europea de Servicios Digitales a que se refiere el artículo 35, apartado 2, de dicho Reglamento; medidas de ejecución; las decisiones adoptadas por la Comisión en virtud de dicho Reglamento; la jurisprudencia pertinente, en particular del Tribunal de Justicia de la Unión Europea; consultas públicas; o documentos emitidos por fuentes autorizadas pertinentes. |
(17) |
Al objeto de facilitar el control público y la supervisión regulatoria, cuando una conclusión de auditoria sea «negativa», pero solo se aplique durante un tiempo determinado y la entidad auditora considere que el prestador auditado ha cumplido la obligación o compromiso durante el resto del período auditado, se debe reflejar este extremo en el informe de auditoría para cada obligación y cada compromiso afectados. El informe debe incluir las observaciones de la entidad auditora acerca de toda información que el prestador auditado haya puesto a su disposición en relación con los planes de reducción de riesgos existentes o previstos para subsanar el incumplimiento. |
(18) |
Vista la distinta naturaleza de las obligaciones legales establecidas en el capítulo III del Reglamento (UE) 2022/2065 y los compromisos voluntarios asumidos en virtud de los códigos de conducta y protocolos de crisis contemplados en los artículos 45, 46 y 48 del mismo Reglamento, la entidad auditora debe emitir sendos dictámenes de auditoría sobre el cumplimiento del mencionado capítulo y de cada código y protocolo. |
(19) |
Para que se realice la auditoría con un grado de seguridad razonable y se diseñen procedimientos de auditoría adecuados, atendiendo a metodologías que reduzcan el riesgo de auditoría a niveles bajos, la estimación de los riesgos de auditoría, es decir, el riesgo de que la entidad auditora exprese una opinión o conclusión de auditoría inadecuada, se configura como un elemento clave de la metodología para la realización de la auditoría. Es necesario, por tanto, que la entidad auditora evalúe el riesgo de auditoría en el primer momento de la auditoría, antes de diseñar la metodología exacta y ejecutar los procedimientos de auditoría. El análisis de los riesgos de auditoría es necesario a fin de permitir a la entidad auditora elegir las metodologías concretas para la auditoría y determinar el nivel de exhaustividad que los procedimientos de auditoría tendrán que alcanzar para lograr el grado de seguridad razonable exigido para el dictamen de auditoría. La entidad auditora debe analizar los riesgos de auditoría en su evaluación del cumplimiento de cada obligación o compromiso objeto de auditoría, atendiendo a los riesgos inherentes, de control y de detección. |
(20) |
Para que los riesgos de auditoría se evalúen de forma correcta, es preciso que en el análisis de dichos riesgos se tengan en cuenta la naturaleza del servicio objeto de auditoría, en especial su perfil de riesgo, y el alcance y la complejidad de la auditoría. Resulta probable, por ejemplo, que los riesgos inherentes de las plataformas en línea que permitan la celebración de contratos a distancia entre consumidores sean distintos de los de las plataformas de distribución de vídeos o los motores de búsqueda. Es importante, además, considerar el contexto social y económico en el que se preste el servicio objeto de auditoría, pudiendo citarse, entre otros aspectos, los grupos típicos de usuarios, como, por ejemplo, los menores, o las conductas frecuentes, como, por ejemplo, una elevada incidencia de uso no auténtico y las actuaciones concertadas en las campañas de desinformación. En la consideración del contexto social y económico es necesario que se atienda también a la probabilidad y, de forma independiente, la gravedad de la exposición a situaciones de crisis y acontecimientos imprevistos de acuerdo con lo dispuesto en el Reglamento (UE) 2022/2065. |
(21) |
Al objeto de garantizar que el análisis de los riesgos de auditoría refleje la evolución de los riesgos a los que se encuentre expuesto el servicio, dicho análisis también debe basarse en la información procedente de las auditorías a las que, en su caso, haya estado sometido el prestador auditado con anterioridad, y en la información obtenida, por ejemplo, de los informes de auditoría de otros prestadores con un perfil de riesgo similar. Para garantizar que el análisis de los riesgos de auditoría se sustente en las pruebas más recientes de los riesgos existentes en contextos similares a aquellos en los que ejerce su actividad el prestador auditado, así como en información procedente de fuentes fiables y directamente pertinentes a efectos de la aplicación del Reglamento (UE) 2022/2065, también es preciso que el análisis se fundamente en los informes emitidos por la Junta Europea de Servicios Digitales o, en su caso, las orientaciones de la Comisión. Otra posible fuente de información son los informes de auditoría publicados por otros prestadores de plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño al amparo del artículo 42, apartado 4, del Reglamento (UE) 2022/2065. |
(22) |
La entidad auditora debe elaborar, sin injerencias del prestador auditado, las metodologías de auditoría que vayan a emplearse en la evaluación del cumplimiento de las obligaciones y compromisos objeto de auditoría. Los criterios de auditoría deben basarse en la información facilitada por el prestador auditado, como la información sobre los valores de referencia empleados por el prestador auditado en el seguimiento de su cumplimiento. La metodología también puede tener en cuenta otra información facilitada por el prestador auditado, como un análisis de riesgos inherentes efectuado por este, por ejemplo, a través de las medidas desarrolladas por el encargado del cumplimiento o el órgano de dirección de conformidad con el artículo 41 del Reglamento (UE) 2022/2065 u otras medidas incorporadas en el funcionamiento del servicio con el objeto de evaluar los riesgos sistémicos según lo dispuesto en el artículo 34 de dicho Reglamento. |
(23) |
Al objeto de garantizar que las metodologías de auditoría se adecuen a la consecución del grado de seguridad razonable necesario para la emisión de los dictámenes de auditoría, es necesario que la elección de la metodología para los procedimientos de auditoría se haga teniendo en cuenta las peculiaridades de la obligación o el compromiso objeto de auditoría y se ajuste, por ejemplo, a la naturaleza de la obligación objeto de auditoría según se trate de una obligación de medios o de resultados que el prestador tiene que conseguir para lograr la conformidad. A modo de ejemplo, en la evaluación del cumplimiento de la obligación de transparencia informativa contemplada en el artículo 15 del Reglamento (UE) 2022/2065 se podrían emplear procedimientos de auditoría que permitieran a la entidad auditora concluir si los informes se han publicado en el plazo y forma establecidos en el Reglamento, además de determinar su integridad y la exactitud, la representatividad y el desglose adecuado (por ejemplo, por categoría de contenido ilegal) de los datos presentados en ellos. |
(24) |
La selección de metodología también dependerá de la necesidad o no de que la entidad auditora efectúe interpretaciones contextuales para evaluar el cumplimiento. La selección de metodologías también debe adecuarse a los riesgos inherentes vinculados con las actividades realizadas en el marco de la prestación del servicio y con el contexto en el que el mismo se presta, por ejemplo, si el servicio implica la venta de mercancías potencialmente ilícitas o si lo usan ante todo menores de edad. Por ejemplo, las metodologías empleadas para evaluar el cumplimiento de las obligaciones contempladas en el artículo 28, apartado 1, del Reglamento (UE) 2022/2065, que exige el establecimiento de medidas adecuadas y proporcionadas para garantizar un elevado nivel de privacidad, seguridad y protección de los menores, deben permitir que la entidad auditora llegue a comprender adecuadamente el uso que los menores de edad hacen del servicio auditado, los riesgos que pueden presentarse en relación con su privacidad, seguridad y protección, y qué puede considerarse una medida adecuada y proporcionada en el contexto específico del servicio auditado y su uso por parte de los menores. A tal fin, las entidades auditoras deben dividir la evaluación en fases adecuadas. Deben evaluar los riesgos de auditoría en función del perfil de riesgo del prestador auditado, en particular si el servicio prestado está disponible para los menores de edad o si estos representan su público principal. También deben examinar, por ejemplo, si el prestador ha implementado herramientas que permitan garantizar la edad, si son eficaces y cómo evalúa y controla su eficacia. Otro aspecto que deben evaluar es si el prestador auditado ha adoptado medidas adecuadas para detectar el uso indebido de su servicio y patrones de comportamiento que busquen perjudicar a menores o sean susceptibles de hacerlo. |
(25) |
La selección de las metodologías también debe adaptarse a los riesgos de control vinculados a las medidas de cumplimiento establecidas por el prestador auditado y a los riesgos de detección, es decir, el riesgo de la no detección de incorrecciones en la información puesta a disposición de la entidad auditora por parte del prestador. A modo de ejemplo, cuando la obligación objeto de auditoría pueda implicar la auditoría de un sistema algorítmico basado en la configuración personalizada para cada destinatario del servicio auditado y en la actualización recurrente de tal sistema, como es el caso de las obligaciones de divulgación de información aplicables a los sistemas de recomendación a tenor de lo dispuesto en el artículo 27 del Reglamento (UE) 2022/2065, la selección de la metodología tendrá que permitir a la entidad auditora diseñar las pruebas adecuadas para minimizar los riesgos de detección. Del mismo modo, cuando la entidad auditora pretenda evaluar la reducción de todos los riesgos pertinentes en lo que se refiere al diseño, el funcionamiento y el uso de aplicaciones basadas en grandes modelos de lenguaje, como funcionalidades de chat o sistemas de recomendación desplegados por el prestador auditado, deberá evaluar en primer lugar la idoneidad de los controles establecidos por el prestador. La selección de pruebas debe basarse en la solidez de dichos controles internos. En ese sentido, uno de los supuestos en los que los procedimientos de auditoría tendrían que sustentarse en una combinación de metodologías es la existencia de controles internos débiles, incompletos o insuficientes para concluir si se cumplen las normas atendiendo a la población de destinatarios del servicio objeto de auditoría. Dichas metodologías podrían incluir, por ejemplo, procedimientos analíticos sustantivos como el análisis de las interacciones entre todos los sistemas algorítmicos que intervienen en los sistemas de recomendación, así como las normas y procesos de toma de decisiones conexos para el establecimiento de los principales parámetros de dichos sistemas de recomendación, u observaciones de registros y archivos digitales. Es necesario que las metodologías incluyan también pruebas de sistema tales como pruebas en entornos de simulación. |
(26) |
Al objeto de garantizar que la metodología sea pertinente y se adapte a las nuevas observaciones que vayan surgiendo durante la realización de la auditoría, la selección de las metodologías debe orientarse por el juicio profesional de la entidad auditora y modificarse a fin de tener en cuenta esas nuevas observaciones, especialmente en caso de que la entidad auditora albergue dudas razonables sobre la información remitida por el prestador auditado. El escepticismo profesional de la entidad auditora debe basarse en sus conocimientos especializados y en otras fuentes de información de especial pertinencia para la aplicación del Reglamento (UE) 2022/2065, como los informes de la Junta Europea de Servicios Digitales, las orientaciones de la Comisión, los informes de auditoría emitidos en relación con los códigos de conducta y protocolos de crisis contemplados en los artículos 45, 46 y 48 del mismo Reglamento, o la información revelada durante la realización de la auditoría, incluida la relacionada con hechos, en particular, situaciones de crisis, que requieran actuaciones suplementarias por parte del prestador auditado para asegurar el cumplimiento de determinadas obligaciones o compromisos objeto de auditoría. |
(27) |
Para asegurar la obtención de una evidencia de auditoría suficiente durante el desarrollo de la auditoría, es necesario que las entidades auditoras evalúen los controles internos del prestador auditado y lleven a cabo procedimientos sustantivos de auditoría destinados a evaluar su cumplimiento. En determinados supuestos, la entidad auditora también tendrá que efectuar pruebas. |
(28) |
Debido a la complejidad de los sistemas algorítmicos empleados por los prestadores de plataformas en línea y su papel importante en el cumplimiento de varias de las obligaciones contempladas en el Reglamento (UE) 2022/2065, es necesario que se preste una atención especial a la elección de las metodologías necesarias y adecuadas para la auditoría de los sistemas algorítmicos. Esto resulta de aplicación tanto si los sistemas algorítmicos se integran en los controles implantados por el prestador auditado como si los propios sistemas algorítmicos son el objeto de las obligaciones o compromisos auditados, como en el caso de los sistemas de recomendación en virtud de los artículos 27, 34, 35 y 38 del Reglamento (UE) 2022/2065, los sistemas publicitarios en virtud de sus artículos 26, 28, 34, 35 y 39, los sistemas de moderación de contenidos en virtud de sus artículos 14, 15, 34 y 35, o cualquier otro sistema algorítmico que contribuya a los riesgos indicados en el artículo 34 del mismo Reglamento. |
(29) |
También es necesario emplear una combinación de distintos procedimientos analíticos sustantivos, basándose, según proceda, en observaciones de los procesos y actividades del prestador auditado en relación con el diseño, desarrollo, manejo, prueba y seguimiento de los sistemas algorítmicos, o en observaciones de los registros y archivos digitales generados por los sistemas. Las metodologías tienen que adaptarse a las peculiaridades de los sistemas algorítmicos, pudiendo citarse, entre otras, su gobernanza, la interacción entre los diferentes sistemas algorítmicos y los correspondientes sistemas de gestión de datos, y a las tecnologías que sustenten dichos sistemas algorítmicos, como los modelos generativos u otros clasificadores o los algoritmos de selección o búsqueda. |
(30) |
Asimismo, las metodologías de auditoría de los sistemas algorítmicos deben incluir pruebas para, por ejemplo, obtener información no documentada con anterioridad por el prestador auditado o reproducir de forma independiente y evaluar los resultados de los indicadores de precisión, así como pruebas realizadas en entornos de pruebas o de simulación o en sistemas de producción, entre ellas las realizadas mediante la extracción de información (data scraping) o la emulación de adversarios (adversarial testing). |
(31) |
Dado que una calidad alta de la evidencia de auditoría se configura como condición esencial para permitir a la entidad auditora emitir un dictamen de auditoría con un grado de seguridad razonable, la información elegida por la entidad auditora como evidencia de auditoría tiene que ser adecuada y suficiente para reducir los riesgos de auditoría. Además, la evidencia de auditoría tiene que ser fiable según el juicio y el escepticismo profesionales de la entidad auditora y, cuando proceda, a la vista de fuentes de información alternativas. El juicio y escepticismo profesionales deben incluir una valoración crítica de la evidencia de auditoría y las posibles incorrecciones. Estos requisitos de calidad deben aplicarse a toda evidencia de auditoría, tanto la proporcionada por el prestador auditado como la obtenida de otras fuentes. |
(32) |
La entidad auditora debe considerar diversas fuentes de información, como, por ejemplo, entrevistas con el personal o los contratistas del prestador auditado, incluidos los encargados del cumplimiento, los ingenieros, los científicos de datos, los arquitectos de software, o el personal que integre los equipos de auditoría interna. Otras posibles fuentes son la documentación técnica relativa al diseño, manejo, pruebas y seguimiento de un sistema pertinente, incluida la documentación sobre calidad y gobernanza de datos, así como la relativa a las actualizaciones y versiones del sistema, además de otros documentos sobre los procesos de gobernanza y toma de decisiones del prestador auditado, atendiendo, entre otros aspectos, a las prioridades, los recursos, la asignación de funciones y responsabilidades, o los conocimientos especializados del personal pertinente. |
(33) |
Para garantizar la eficiencia y proporcionalidad del desarrollo de la auditoría, es necesario que la entidad auditora tenga la posibilidad de muestrear los datos e información, atendiendo en la debida medida a la obtención de una muestra representativa, al objeto de permitir a la entidad auditora emitir un dictamen de auditoría con un grado de seguridad razonable. En aras de la transparencia y reproducibilidad de los procedimientos de auditoría, en su informe de auditoría la entidad auditora tendrá que justificar sus decisiones relativas al tamaño de la muestra y el método de muestreo. Por ejemplo, el tamaño de la muestra y la metodología deben determinarse en función de su eficacia en la consecución del objetivo fijado para la auditoría de la obligación o el compromiso específicos, y con la finalidad de minimizar el riesgo de que existan discrepancias entre la conclusión extraída tras someter a auditaría la muestra concreta y la conclusión que pudiera alcanzarse en caso de someter la población entera de evidencia al procedimiento de auditoría. El tamaño de la muestra y la metodología de muestreo deben determinarse atendiendo al alcance global de la auditoría y a los cambios internos o externos que se hayan producido en el servicio auditado durante el período analizado. También deben adaptarse a las peculiaridades de los sistemas algorítmicos, entre ellas las relativas a la personalización basada en la elaboración de perfiles. En ese sentido, la entidad auditora debe, por ejemplo, asegurar el muestreo adecuado de las distintas cohortes o particiones que puedan derivarse del empleo de técnicas de personalización, o determinar el margen de error y justificar que se encuentra en un nivel aceptable. |
(34) |
Dada la novedad de algunas de las disposiciones del Reglamento (UE) 2022/2065, resulta necesario el establecimiento de principios metodológicos, entre otros las preguntas de auditoría, así como otras orientaciones para la selección de las metodologías de auditoría y la evidencia de auditoría a efectos de la evaluación del cumplimiento de dichas disposiciones, y más concretamente de los artículos 34, 35 y 36 del citado Reglamento, relativos a la realización de evaluaciones de riesgo y la adopción de medidas de reducción de riesgos por los prestadores auditados y a la aplicación de las obligaciones relacionadas con la respuesta a las crisis. |
(35) |
Las entidades auditoras también han de evaluar el cumplimiento del artículo 37 del Reglamento (UE) 2022/2065 por parte del prestador auditado, por lo que resulta igualmente necesario especificar de forma más concreta la auditoría específica con respecto a la cual debe evaluarse el cumplimiento, al objeto, en particular, de evitar todo conflicto de intereses para la entidad auditora. |
(36) |
Dado el carácter facultativo de los códigos de conducta y protocolos de crisis, es necesario establecer normas específicas para la auditoría del cumplimiento de los artículos 45, 46 y 48 del Reglamento (UE) 2022/2065, al objeto, en particular, de garantizar que las entidades auditoras dispongan de toda la información necesaria para realizar las auditorías específicas de los compromisos asumidos en virtud de cada código de conducta y protocolo de crisis. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Objeto
El presente Reglamento establece las normas aplicables a la realización de las auditorías contempladas en el artículo 37 del Reglamento (UE) 2022/2065, en lo relativo a:
a) las fases procedimentales para asegurar que la entidad auditora que se elija reúna las condiciones del artículo 37, apartado 3, del Reglamento (UE) 2022/2065;
b) las fases procedimentales a efectos de la cooperación y asistencia por parte del prestador auditado en la realización de las auditorías, incluido el acceso a la información pertinente con la finalidad de obtener evidencia de auditoría;
c) la definición y selección de las metodologías de auditoría;
d) los modelos de informe de auditoría e informe de aplicación de la auditoría.
Definiciones
A efectos del presente Reglamento, se entenderá por:
1) |
«entidad auditora»: una entidad individual, o un consorcio u otra agrupación de entidades, y, en su caso, sus subcontratistas, contratada por el prestador auditado para la realización de una auditoría independiente de conformidad con el artículo 37 del Reglamento (UE) 2022/2065; |
2) |
«servicio auditado»: una plataforma en línea de muy gran tamaño o un motor de búsqueda en línea de muy gran tamaño, designados como tales de conformidad con el artículo 33 del Reglamento (UE) 2022/2065; |
3) |
«prestador auditado»: el prestador de un servicio auditado sujeto a auditorías independientes en virtud del artículo 37, apartado 1, del citado Reglamento; |
4) |
«obligación o compromiso objeto de auditoría»: una obligación o un compromiso a que se refiere el artículo 37, apartado 1, del Reglamento (UE) 2022/2065 que constituya el objeto de la auditoría; |
5) |
«criterios de auditoría»: los criterios empleados por la entidad auditora para evaluar el cumplimiento de cada obligación o compromiso objeto de auditoría; |
6) |
«evidencia de auditoría»: toda aquella información empleada por una entidad auditora para sustentar sus observaciones y conclusiones de auditoría y emitir un dictamen de auditoría, incluidos los datos procedentes de documentos, bases de datos o sistemas informáticos, entrevistas o la realización de pruebas; |
7) |
«incorrección»: toda omisión, distorsión o error, ya sea deliberado o no, en las declaraciones o en los datos comunicados o suministrados a la entidad auditora por parte del prestador auditado, o en el entorno de pruebas puesto a disposición de la entidad auditora por parte del prestador auditado; |
8) |
«riesgo de auditoría»: el riesgo de que la entidad auditora emita un dictamen de auditoría incorrecto o extraiga una conclusión incorrecta sobre el cumplimiento de una obligación o un compromiso objeto de auditoría por parte del prestador auditado, atendiendo a los riesgos de detección, riesgos inherentes y riesgos de control relacionados con dicha obligación o dicho compromiso objeto de auditoría; |
9) |
«riesgo de detección»: el riesgo de que la entidad auditora no detecte una incorrección que tenga pertinencia a efectos de la evaluación del cumplimiento de una obligación o de un compromiso objeto de auditoría por parte del prestador auditado; |
10) |
«riesgo inherente»: el riesgo de incumplimiento intrínsecamente vinculado a la naturaleza, el diseño, la actividad y el uso del servicio auditado, así como al contexto en el que se desarrolla, y el riesgo de incumplimiento vinculado a la naturaleza de la obligación o compromiso objeto de auditoría; |
11) |
«riesgo de control»: el riesgo de que una incorrección no sea prevenida, detectada y corregida oportunamente por los controles internos del prestador auditado; |
12) |
«umbral de importancia relativa»: el umbral a partir del cual las desviaciones o incorrecciones del prestador auditado, consideradas de forma individual o de forma agregada, afectarían razonablemente a las observaciones, conclusiones y dictámenes de la auditoría; |
13) |
«grado de seguridad razonable»: un grado de seguridad alto, aunque no absoluto, que permite a la entidad auditora determinar en su dictamen de auditoría y en sus conclusiones de auditoría si el prestador auditado cumple o no las obligaciones o compromisos objeto de auditoría, sobre la base de una evidencia suficiente y adecuada; |
14) |
«control interno»: todas aquellas actuaciones, incluidos los procesos y las pruebas, diseñadas, implementadas y mantenidas por el prestador auditado, en particular, por sus encargados del cumplimiento y su órgano de dirección, para el seguimiento y la garantía de su cumplimiento de la obligación o del compromiso objeto de auditoría; |
15) |
«investigador autorizado»: un investigador autorizado según lo establecido en el artículo 40, apartado 8, del Reglamento (UE) 2022/2065; |
16) |
«procedimiento de auditoría»: toda técnica aplicada por la entidad auditora al llevar a cabo la auditoría, entre otras, la obtención de datos, la selección y aplicación de metodologías, tales como pruebas y procedimientos analíticos sustantivos, y cualquier otra actuación realizada al objeto de recopilar y analizar información con la finalidad de obtener evidencia de auditoría y formular conclusiones de auditoría, excluida la emisión de dictámenes e informes de auditoría; |
17) |
«prueba»: una metodología de auditoría que consiste en mediciones, experimentos u otras verificaciones, incluidas las de sistemas algorítmicos, empleada por la entidad auditora para evaluar el cumplimiento de la obligación o compromiso objeto de auditoría por parte del prestador auditado; |
18) |
«procedimiento analítico sustantivo»: una metodología de auditoría utilizada por la entidad auditora para evaluar la información al objeto de inferir los riesgos de auditoría o el cumplimiento de la obligación o compromiso objeto de auditoría. |
Alcance de la auditoría y grado de seguridad razonable
1. La forma y la duración de la auditoría serán las adecuadas para permitir a la entidad auditora evaluar el cumplimiento por parte del prestador auditado de todas las obligaciones y compromisos objeto de auditoría con un grado de seguridad razonable.
2. La auditoría cubrirá un período que comience inmediatamente después del cierre del período de la auditoría anterior y finalice en una fecha que permita a la entidad auditora realizarla en el plazo exigido por el artículo 37, apartado 1, del Reglamento (UE) 2022/2065, lo que implica llevar a cabo su evaluación conforme a lo dispuesto en dicho apartado sobre la base de la información obtenida y de los procedimientos de auditoría llevados a cabo durante dicho período, así como completar el informe de auditoría y remitirlo al prestador auditado con arreglo al artículo 37, apartado 4, de dicho Reglamento.
3. Cuando no se haya realizado ninguna auditoría con anterioridad, el período cubierto por la auditoría comenzará transcurridos cuatro meses a contar desde la notificación contemplada en artículo 33, apartado 6, párrafo primero, del Reglamento (UE) 2022/2065, y su duración permitirá finalizar el informe de auditoría de conformidad con el artículo 6, apartado 1, del presente acto delegado en un plazo máximo de un año a partir del inicio del período auditado.
Condiciones aplicables a la realización de la auditoría
Elección de la entidad auditora
1. De forma previa a la elección de una entidad auditora para la realización de la auditoría, el prestador auditado comprobará si la entidad que vaya a elegir reúne los requisitos establecidos en el artículo 37, apartado 3, del Reglamento (UE) 2022/2065.
2. Cuando la entidad auditora que se vaya a elegir esté integrada por más de una persona jurídica o tenga la intención de recurrir a uno o varios subcontratistas, el prestador auditado verificará que todas las personas jurídicas o todos los subcontratistas:
a) cumplen de forma individual los requisitos contemplados en el artículo 37, apartado 3, letras a) y c), del Reglamento (UE) 2022/2065;
b) cumplen de forma conjunta el requisito contemplado en el artículo 37, apartado 3, letra b), del Reglamento (UE) 2022/2065.
Cooperación y asistencia entre el prestador auditado y la entidad auditora
1. En el momento acordado con la entidad auditora, y, en todo caso, de forma previa a la ejecución de cualquier procedimiento de auditoría, el prestador auditado transmitirá a la entidad auditora elegida al menos la información siguiente:
a) una descripción de los controles internos implantados con respecto a cada obligación y compromiso objeto de auditoría, con los indicadores correspondientes y todas las medidas actuales e históricas, además de los valores de referencia empleados para afirmar o hacer el seguimiento de su cumplimiento de las obligaciones y compromisos objeto de auditoría, así como, en su caso, la documentación justificativa;
b) su análisis preliminar de los riesgos inherentes y de control, cuando haya realizado dicho análisis, y, en su caso, la documentación justificativa;
c) información sobre las estructuras de toma de decisiones pertinentes, las competencias de los diferentes departamentos del prestador —en particular en lo que respecta a la función de comprobación del cumplimiento con arreglo al artículo 41 del Reglamento (UE) 2022/2065—, los sistemas informáticos pertinentes y las fuentes, el tratamiento y el almacenamiento de los datos, así como explicaciones sobre los sistemas algorítmicos pertinentes y sus interacciones.
2. Sin demora injustificada, el prestador auditado facilitará a la entidad auditora el acceso a todos los datos precisos para la realización de la auditoría, incluidos los datos personales, la documentación y la información sobre procedimientos y procesos, y a los sistemas informáticos, los entornos de pruebas, su personal e instalaciones y, en su caso, los subcontratistas pertinentes.
3. El prestador auditado pondrá a disposición de la entidad auditora todos los recursos necesarios y le facilitará la asistencia y las explicaciones necesarias para que pueda analizar la información pertinente y llevar a cabo las pruebas, en particular cuando la información solicitada por la entidad auditora de conformidad con el artículo 37, apartado 3, del Reglamento (UE) 2022/2065 esté en poder de un tercero contratado por el prestador auditado.
Realización de las auditorías
Informe de auditoría e informe de aplicación de la auditoría
1. La entidad auditora emitirá el informe de auditoría contemplado en el artículo 37, apartado 4, del Reglamento (UE) 2022/2065, sin interferencia por parte del prestador auditado. Dicho informe se elaborará de acuerdo con el modelo del anexo I y contendrá conclusiones detalladas y fundamentadas al respecto de todos los elementos que integran en modelo.
2. En su caso, se redactará el informe de aplicación de la auditoría a que se refiere el artículo 37, apartado 6, del Reglamento (UE) 2022/2065 de acuerdo con el modelo del anexo II.
Procedimientos de preparación de la auditoría
1. El prestador auditado y la entidad auditora celebrarán un acuerdo por escrito en el que figurarán:
a) la relación exhaustiva de las obligaciones y los compromisos objeto de auditoría;
b) las responsabilidades de la entidad auditora, desglosadas, en su caso, por las personas jurídicas que la integren, y las partes facultadas para la firma del informe de auditoría;
c) los procedimientos y puntos de contacto facilitados por el prestador auditado para que la entidad auditora pueda solicitar el acceso a los datos a que se refiere el artículo 5, apartado 2;
d) el calendario de la auditoría, con las fechas de inicio y fin de los procedimientos de auditoría y la fecha de finalización del informe de auditoría;
e) un procedimiento para la resolución de las controversias derivadas de la realización de la auditoría que surjan entre el prestador auditado y la entidad auditora.
2. Se adjuntarán al informe de auditoría el acuerdo contemplado en el apartado 1 y cualquier otro acuerdo o carta de encargo entre la entidad auditora y el prestador auditado en relación con la auditoría.
3. En el supuesto de realizarse modificaciones del acuerdo indicado en el apartado 1 durante la realización de la auditoría, estas se explicitarán en el informe de auditoría.
Dictamen de auditoría, conclusiones de auditoría y recomendaciones
1. El informe de auditoría incluirá las conclusiones de auditoría que la entidad auditora haya extraído sobre el cumplimiento de cada obligación y cada compromiso objeto de auditoría por parte del prestador auditado. Una conclusión de auditoría será:
a) «favorable» cuando la entidad auditora concluya, con un grado de seguridad razonable, que el prestador auditado ha cumplido la obligación o el compromiso objeto de auditoría;
b) «favorable con observaciones» cuando la entidad auditora concluya, con un grado de seguridad razonable, que el prestador auditado ha cumplido la obligación o el compromiso objeto de auditoría, pero:
i) la entidad auditora formula observaciones acerca de los valores de referencia facilitados por el prestador auditado con arreglo al artículo 5, apartado 1, letra a); o bien
ii) la entidad auditora recomiende mejoras que no afecten al fondo de su conclusión;
c) «negativa» cuando la entidad auditora concluya, con un grado de seguridad razonable, que el prestador auditado no ha cumplido la obligación o el compromiso objeto de auditoría.
2. Cuando un informe de auditoría incluya recomendaciones operativas a tenor de lo dispuesto en el artículo 37, apartado 4, letra h), del Reglamento (UE) 2022/2065, dichas recomendaciones y el calendario recomendado de su aplicación se indicarán de forma individual para cada obligación o compromiso objeto de auditoría respecto al cual se haya alcanzado una conclusión de auditoría «favorable con observaciones» o «negativa» según lo indicado en el apartado 1.
3. Cuando las recomendaciones operativas a que se refiere el apartado 2 incluyan medidas específicas destinadas a lograr el cumplimiento, en la redacción de su recomendación la entidad auditora explicará su valoración de los efectos de dichas medidas en el umbral de importancia relativa en comparación con la conclusión de auditoría alcanzada respecto a la obligación o al compromiso objeto de auditoría de que se trate.
4. Con base en las conclusiones de auditoría, en el informe de auditoría se incluirá un dictamen de auditoría sobre el cumplimiento por parte del prestador auditado de todas las obligaciones del artículo 37, apartado 1, letra a), del Reglamento (UE) 2022/2065 que hayan sido objeto de auditoría.
5. Con base en las conclusiones relativas a todos los compromisos objeto de auditoría, el informe de auditoría incluirá, según proceda, uno o varios dictámenes de auditoría sobre el cumplimiento por parte del prestador auditado de todos los compromisos asumidos en virtud de cada uno de los códigos de conducta y protocolos de crisis a que se refiere el artículo 37, apartado 1, letra b), del Reglamento (UE) 2022/2065 que hayan sido objeto de auditoría.
6. El dictamen de auditoría emitido en virtud de los apartados 4 y 5 será:
a) «favorable» en caso de que la entidad auditora haya alcanzado una conclusión de auditoría «favorable» con respecto a la totalidad de las obligaciones y compromisos objeto de auditoría;
b) «favorable con observaciones» en caso de que la entidad auditora haya alcanzado una conclusión de auditoría «favorable con observaciones» con respecto a, al menos, una de las obligaciones o uno de los compromisos objeto de auditoría, sin que se haya alcanzado una conclusión de auditoría «negativa» respecto a ninguna de las obligaciones o compromisos objeto de auditoría;
c) «negativo» en caso de que la entidad auditora haya alcanzado una conclusión «negativa» con respecto a, al menos, una de las obligaciones o uno de los compromisos objeto de auditoría.
7. Cuando la entidad auditora estime que el prestador auditado no ha cumplido la obligación o el compromiso objeto de auditoría por un tiempo determinado durante el período indicado en el artículo 3, apartado 2, se dejará debida constancia de ello en el informe de auditoría.
8. Cuando la entidad auditora no se halle en condiciones de emitir, con un grado de seguridad razonable, una conclusión de auditoría conforme al apartado 1 o un dictamen de auditoría conforme a los apartados 4 y 5, en el informe de auditoría se incorporará la explicación de las circunstancias y causas por las que no se haya podido lograr dicho grado de seguridad.
Metodologías de auditoría
Análisis de los riesgos de auditoría
1. En el informe de auditoría se incluirá un análisis justificado de los riesgos de auditoría, efectuado por la entidad auditora al objeto de evaluar el cumplimiento por parte del prestador auditado de cada obligación o compromiso objeto de auditoría.
2. El análisis de los riesgos de auditoría se efectuará de forma previa a la realización de los procedimientos de auditoría y se actualizará durante el desarrollo de la auditoría a la luz de toda nueva evidencia de auditoría que, a juicio profesional de la entidad auditora, suponga una modificación de importancia relativa en la evaluación del riesgo de auditoría.
3. En el análisis de los riesgos de auditoría se tendrán en cuenta:
a) los riesgos inherentes;
b) los riesgos de control;
c) los riesgos de detección.
4. En el análisis de los riesgos de auditoría se tendrá en cuenta:
a) la naturaleza del servicio auditado y el contexto social y económico en que se preste el servicio auditado, atendiendo también a la probabilidad y gravedad de la exposición a situaciones de crisis y acontecimientos imprevistos;
b) la naturaleza de las obligaciones y los compromisos;
c) otra información pertinente, en particular:
i) en su caso, información procedente de auditorías anteriores a las que se haya sometido el servicio auditado;
ii) en su caso, información procedente de los informes emitidos por la Junta Europea de Servicios Digitales o de orientaciones la Comisión, en particular las emitidas en aplicación del artículo 35, apartados 2 y 3, del Reglamento (UE) 2022/2065, así como de cualquier otra orientación pertinente emitida por la Comisión con respecto a la aplicación del Reglamento (UE) 2022/2065;
iii) en su caso, información procedente de los informes de auditoría publicados al amparo del artículo 42, apartado 4, del Reglamento (UE) 2022/2065 por otros prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño que desarrollen sus actividades en condiciones similares o presten servicios similares al servicio auditado.
Metodologías de auditoría adecuadas
1. Sin perjuicio de las metodologías de auditoría específicas contempladas en los artículos 13, 14, y 15, las auditorías se llevarán a cabo empleando metodologías de auditoría adecuadas para reducir los riesgos de auditoría evaluados a un nivel que permita a la entidad auditora alcanzar las conclusiones de auditoría con un grado de seguridad razonable.
2. En el informe de auditoría se incluirá una descripción de las metodologías de auditoría diseñadas por la entidad auditora de forma previa a la ejecución de cualquier procedimiento de auditoría, con el siguiente contenido mínimo:
a) los criterios de auditoría para la evaluación del cumplimiento de cada obligación o compromiso objeto de auditoría, definidos con base en la información indicada en el artículo 5, apartado 1, letra a), y el umbral de importancia relativa tolerado, expresado en términos cualitativos o cuantitativos, según proceda;
b) todas las pruebas, procedimientos analíticos sustantivos y evidencia de auditoría que la entidad auditora pretenda emplear en su evaluación del cumplimiento de cada obligación o compromiso objeto de auditoría.
En el informe de auditoría se incluirá una descripción de las modificaciones que se hayan producido en las metodologías empleadas durante el desarrollo de la auditoría respecto a las metodologías diseñadas de forma previa a la realización de los procedimientos de auditoría.
3. Cuando una entidad auditora albergue dudas razonables sobre la información evaluada durante la auditoría, en particular, la información presentada por el prestador auditado, se adaptarán la elección y aplicación de la metodología para proporcionar a la entidad la evidencia de auditoría necesaria a tenor del artículo 11.
4. En particular, se considerará que se plantean las dudas razonables a que se refiere el apartado 3 cuando se dé cualquiera de los elementos siguientes:
a) juicio y escepticismo profesionales en la evaluación de la información, en particular la información sobre los controles internos del prestador auditado que induzca a la entidad auditora a albergar dudas razonables;
b) indicios externos que apunten a riesgos de auditoría, en particular, los informes de la Junta Europea de Servicios Digitales contemplados en el artículo 35, apartado 2, del Reglamento (UE) 2022/2065, las orientaciones de la Comisión, en particular las indicadas en su artículo 35, apartado 3, así como cualquier otra orientación pertinente emitida por la Comisión en relación con la aplicación del Reglamento (UE) 2022/2065 y los informes de auditoría emitidos en virtud de los códigos de conducta o protocolos de crisis a que se refieren los artículos 45, 46 y 48 del citado Reglamento;
c) información relacionada con hechos acaecidos durante la auditoría, incluidas las situaciones de crisis, que requieran actuaciones suplementarias por parte del prestador auditado para asegurar el cumplimiento de determinadas obligaciones o compromisos objeto de auditoría.
5. Entre los procedimientos de auditoría figurarán al menos:
a) la realización de pruebas y procedimientos analíticos sustantivos en relación con los controles internos implantados por el prestador auditado con respecto a cada obligación y cada compromiso objeto de auditoría;
b) la realización de procedimientos analíticos sustantivos al objeto de evaluar el cumplimiento de cada obligación y compromiso objeto de auditoría, también con respecto a los sistemas algorítmicos;
c) la realización de pruebas, también con respecto a los sistemas algorítmicos, en relación con las obligaciones y los compromisos objeto de auditoría sobre los que la entidad auditora albergue dudas razonables, tal y como se indica en el apartado 4, y en relación con las obligaciones y los compromisos objeto de auditoría respecto a los cuales la entidad auditora estime necesario efectuar pruebas según la metodología de su elección en virtud del apartado 1.
6. Cuando las obligaciones o compromisos a que se refiere el artículo 37, apartado 1, del Reglamento (UE) 2022/2065 exijan que el prestador auditado haga pública determinada información, las metodologías de auditoría evaluarán si la información comunicada está exenta de errores materiales u omisiones que, de constatarse, podrían hacer que esta resultara engañosa.
Calidad de la evidencia de auditoría
Las conclusiones y los dictámenes de auditoría se basarán en una evidencia de auditoría que reúna los dos requisitos que se indican a continuación:
a) que sea pertinente y suficiente para reducir los riesgos de auditoría detectados de acuerdo con el artículo 9 y para permitir a la entidad auditora emitir conclusiones y dictámenes de auditoría de acuerdo con el artículo 8;
b) que sea fiable según el juicio y escepticismo profesionales de la entidad auditora.
Métodos de muestreo
1. Cuando la evidencia de auditoría se base, parcial o íntegramente, en una muestra de datos o información, el tamaño de la muestra y la metodología de muestreo se determinarán procurando minimizar el riesgo de detección y sin interferencia por parte del prestador auditado.
2. El tamaño de la muestra y la metodología de muestreo se determinarán de tal forma que se asegure la representatividad de los datos o la información y, según proceda, atendiendo a todos los aspectos siguientes:
a) la representatividad de la muestra respecto al período indicado en el artículo 3, apartados 2 y 3;
b) los cambios pertinentes en el servicio auditado durante dicho período;
c) los cambios pertinentes en el contexto en que se presta el servicio auditado durante dicho período;
d) las funciones pertinentes de los sistemas algorítmicos, como la personalización basada en la elaboración de perfiles u otros criterios, en su caso;
e) otras características pertinentes o particiones de los datos, información y evidencia objeto de examen;
f) según proceda, la representación y el análisis adecuado de las preocupaciones relacionadas con grupos concretos, como los menores o los grupos y minorías vulnerables, en relación con la obligación o el compromiso auditados.
3. El tamaño de la muestra y la metodología de muestreo se justificarán en el informe de auditoría.
Metodologías específicas para la auditoría del cumplimiento del artículo 34, sobre la evaluación de riesgos, del Reglamento (UE) 2022/2065
1. En la evaluación del cumplimiento del artículo 34 del Reglamento (UE) 2022/2065 por parte del prestador auditado se analizarán, entre otros aspectos, los siguientes:
a) si el prestador auditado ha detectado, analizado y evaluado con diligencia los riesgos sistémicos en la Unión a los que se refiere el artículo 34, apartado 1, párrafo primero, del Reglamento (UE) 2022/2065, evaluando, entre otros aspectos:
i) cómo el prestador auditado ha detectado los riesgos vinculados a su servicio, atendiendo a los aspectos regionales y lingüísticos del uso que se dé a su servicio, incluso cuando sean específicos de un Estado miembro, y si los riesgos se han detectado de forma adecuada;
ii) cómo el prestador auditado ha analizado y evaluado cada riesgo y considerado la probabilidad y gravedad de los riesgos, y si su evaluación es adecuada;
iii) cómo el prestador auditado ha determinado, analizado y evaluado los factores contemplados en el artículo 34, apartado 2, párrafo primero, del Reglamento (UE) 2022/2065, si los ha determinado de forma adecuada y en qué medida dichos factores inciden en los riesgos señalados en el apartado 1 de dicho artículo;
iv) qué fuentes de información ha utilizado el prestador auditado, cómo ha obtenido la información, y si, y en su caso cómo, ha basado su análisis en conocimientos científicos y técnicos;
v) si, y en su caso cómo, el prestador auditado ha probado sus hipótesis sobre los riesgos con los grupos más afectados por los riesgos específicos;
b) si la evaluación de riesgos se ha hecho en los plazos contemplados en el artículo 34, apartado 1, párrafo segundo, del Reglamento (UE) 2022/2065 y, en su caso, en los plazos indicados para las actividades configuradas como medidas de reducción de riesgos para la detección de riesgos sistémicos con arreglo al artículo 35, apartado 1, letra f) del citado Reglamento;
c) cómo el prestador auditado ha detectado las funcionalidades susceptibles de tener un impacto crítico en los riesgos y que, por lo tanto, deben ser objeto de evaluaciones de riesgos antes de su implantación con arreglo al artículo 34, apartado 1, párrafo segundo, del Reglamento (UE) 2022/2065, si dichas funcionalidades se han detectado correctamente y si la evaluación de riesgos se ha llevado a cabo de forma adecuada;
d) si el prestador auditado ha determinado correctamente la documentación justificativa de la evaluación de riesgos que debe conservar, si cuenta con los medios necesarios para asegurar la conservación de dicha documentación durante al menos tres años, de acuerdo con el artículo 34, apartado 3, del Reglamento (UE) 2022/2065, y si dicha documentación se encuentra debidamente conservada.
2. Sin perjuicio de cuantos otros análisis sean precisos para alcanzar un grado de seguridad razonable, las metodologías de auditoría del cumplimiento del artículo 34 del Reglamento (UE) 2022/2065 incluirán la evaluación por parte de la entidad auditora de, al menos, los elementos que se indican a continuación:
a) los controles internos implantados por el prestador auditado al objeto de controlar que se lleven a cabo las evaluaciones de riesgos para cada uno de los factores indicados en el artículo 34, apartado 2, párrafo primero, del Reglamento (UE) 2022/2065; esta evaluación:
i) se fundamentará en procedimientos analíticos sustantivos relativos a dichos controles internos;
ii) se basará en pruebas encaminadas a determinar la fiabilidad de dichos controles internos y la diligencia empleada en su diseño, ejecución y seguimiento;
iii) verificará el desempeño del encargado o de los encargados del cumplimiento con arreglo al artículo 41, apartado 3, letras b), d), e) y, en su caso, f), del Reglamento (UE) 2022/2065, y la participación del órgano de dirección del prestador auditado en la toma de decisiones relacionadas con la gestión de riesgos conforme al artículo 41, apartados 6 y 7, del mismo Reglamento;
b) las actuaciones, los recursos y los procesos implantados por el prestador auditado para asegurar el cumplimiento del artículo 34 del Reglamento (UE) 2022/2065 y sus resultados; esta evaluación se basará en:
i) procedimientos analíticos sustantivos;
ii) pruebas, incluidas pruebas de los sistemas algorítmicos, en caso de que la entidad auditora albergue dudas razonables, a la luz de los resultados de los procedimientos analíticos sustantivos y la evaluación de los controles internos, o estime necesario realizar pruebas según la metodología de su elección en virtud del artículo 10, apartado 1.
3. La entidad auditora sustentará la evaluación realizada de acuerdo con el presente artículo en el análisis, entre otros datos, de la información que se cita a continuación:
a) el informe de evaluación de riesgos correspondiente al período auditado, elaborado por el prestador auditado, junto con la información confidencial que, en su caso, se haya omitido de la información publicada con arreglo al artículo 42, apartado 2, de dicho Reglamento, y toda la documentación justificativa;
b) cuando proceda, los otros informes de evaluación de riesgos del prestador auditado y la correspondiente documentación justificativa;
c) la información remitida por el prestador auditado con arreglo al artículo 5;
d) todos los informes de transparencia pertinentes del prestador auditado a que se refiere el artículo 15, apartado 1, del Reglamento (UE) 2022/2065;
e) otros resultados de pruebas, documentación, evidencia, declaraciones en respuesta a preguntas formuladas por escrito o de forma oral al personal del prestador auditado por parte de la entidad auditora y, en su caso, observaciones realizadas en las instalaciones;
f) otras evidencias pertinentes, incluidas las basadas en información facilitada por el prestador auditado;
g) cuando estén disponibles, los informes contemplados en el artículo 35, apartado 2, del Reglamento (UE) 2022/2065, las orientaciones de la Comisión, en particular las emitidas con arreglo al artículo 35, apartado 3, de dicho Reglamento y cualquier otra orientación emitida por la Comisión en relación con la aplicación del Reglamento (UE) 2022/2065.
4. La información analizada por la entidad auditora podrá comprender, según proceda, la información contemplada en el artículo 42, apartado 4, del Reglamento (UE) 2022/2065, incluida la procedente de informes de auditoría, de evaluación de riesgos y de reducción de riesgos relativos a otras plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, o datos e investigaciones publicados por investigadores autorizados con arreglo al artículo 40, apartado 8, letra g), de dicho Reglamento.
Metodologías específicas para la auditoría del cumplimiento del artículo 35, sobre la reducción de riesgos, del Reglamento (UE) 2022/2065
1. En la evaluación del cumplimiento del artículo 35 del Reglamento (UE) 2022/2065 por parte del prestador auditado se analizarán, entre otros aspectos, los siguientes:
a) cómo el prestador auditado ha determinado las medidas de reducción de riesgos para cada uno de los riesgos sistémicos indicados en el artículo 34, apartado 1, del Reglamento (UE) 2022/2065 y si tales medidas de reducción de riesgos se han determinado con diligencia;
b) cómo el prestador auditado ha evaluado la aplicabilidad al servicio auditado de las medidas de reducción de riesgos previstas en el artículo 35, apartado 1, letras a) a k), del Reglamento (UE) 2022/2065 y si la conclusión de dicha evaluación es adecuada, también con respecto a las medidas no aplicadas por el prestador auditado;
c) si las medidas de reducción de riesgos aplicadas por el prestador auditado son razonables, proporcionadas y eficaces para mitigar los diferentes riesgos, en particular mediante lo siguiente:
i) evaluando si, en su conjunto, responden a todos los riesgos, prestando particular atención a los riesgos relacionados con el ejercicio de derechos fundamentes;
ii) comparando cómo se abordaron los riesgos antes y después de la aplicación de las medidas específicas de reducción de riesgos;
iii) valorando si las medidas de reducción de riesgos se diseñaron y ejecutaron adecuadamente.
2. Sin perjuicio de cuantos otros análisis sean precisos para alcanzar un grado de seguridad razonable, las metodologías de auditoría del cumplimiento del artículo 35 del Reglamento (UE) 2022/2065 incluirán la evaluación por parte de la entidad auditora de, al menos, los elementos que se indican a continuación:
a) los controles internos implantados por el prestador auditado para el seguimiento de la aplicación de las medidas de reducción de riesgos contempladas en el artículo 35, apartado 1, del Reglamento (UE) 2022/2065, y si son razonables, proporcionadas y efectivas; esta evaluación:
i) se fundamentará en procedimientos analíticos sustantivos relativos a dichos controles internos;
ii) se basará en pruebas encaminadas a determinar la fiabilidad de dichos controles internos y la diligencia empleada en su diseño, ejecución y seguimiento;
iii) verificará el desempeño del encargado o de los encargados del cumplimiento con arreglo al artículo 41, apartado 3, letras b), d), e) o, en su caso, f), del Reglamento (UE) 2022/2065, y la participación del órgano de dirección del prestador conforme al artículo 41, apartados 6 y 7, del mismo Reglamento;
b) las medidas de reducción de riesgos establecidas por los prestadores auditados; esta evaluación se basará en:
i) procedimientos analíticos sustantivos;
ii) pruebas, incluidas pruebas de los sistemas algorítmicos, en caso de que la entidad auditora albergue dudas razonables, a la luz de los resultados de los procedimientos analíticos sustantivos y la evaluación de los controles internos, o estime necesario realizar pruebas según la metodología de su elección en virtud del artículo 10, apartado 1.
3. La entidad auditora sustentará la evaluación realizada de acuerdo con el presente artículo en el análisis, entre otros datos, de la información que se cita a continuación:
a) los informes de evaluación y reducción de riesgos correspondientes al período auditado elaborados por el prestador auditado, junto con la información confidencial que, en su caso, se haya omitido de la información publicada con arreglo al artículo 42, apartado 2, del Reglamento (UE) 2022/2065, y toda la documentación justificativa;
b) cuando proceda, los otros informes de evaluación y reducción de riesgos del prestador auditado y la correspondiente documentación justificativa;
c) la información remitida por el prestador auditado con arreglo al artículo 5;
d) todos los informes de transparencia pertinentes del prestador auditado a que se refiere el artículo 15, apartado 1, del Reglamento (UE) 2022/2065;
e) cuando proceda, informes anteriores de reducción de riesgos, con la correspondiente documentación justificativa, relativos a períodos no abarcados por el período auditado, junto con la información confidencial que, en su caso, se haya omitido de la información publicada con arreglo al artículo 42, apartado 2, del Reglamento (UE) 2022/2065;
f) otros resultados de pruebas, documentación, evidencia, declaraciones en respuesta a preguntas formuladas por escrito o de forma oral al personal del prestador auditado por parte de la entidad auditora y, en su caso, observaciones realizadas en las instalaciones;
g) otras evidencias pertinentes, incluidas las basadas en información facilitada por el prestador auditado;
h) cuando estén disponibles, los informes contemplados en el artículo 35, apartado 2, del Reglamento (UE) 2022/2065, las orientaciones de la Comisión, en particular las emitidas con arreglo al artículo 35, apartado 3, de dicho Reglamento y cualquier otra orientación emitida por la Comisión en relación con la aplicación del Reglamento (UE) 2022/2065.
4. La información analizada por la entidad auditora podrá comprender, según proceda, la información contemplada en el artículo 42, apartado 4, del Reglamento (UE) 2022/2065, incluida la procedente de informes de auditoría, de evaluación de riesgos y de reducción de riesgos relativos a otras plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, o datos e investigaciones publicados por investigadores autorizados con arreglo al artículo 40, apartado 8, letra g), del Reglamento (UE) 2022/2065.
Metodologías específicas para la auditoría del cumplimiento del artículo 36, sobre el mecanismo de respuesta a las crisis, del Reglamento (UE) 2022/2065
1. La evaluación del cumplimiento por parte del prestador auditado del artículo 36, apartado 1, párrafo primero, letra a), del Reglamento (UE) 2022/2065 incluirá, entre otros aspectos, un análisis de si, y de qué manera, el prestador auditado ha llevado a cabo las actuaciones necesarias, en particular:
a) si, y de qué manera, el prestador auditado ha determinado los sistemas pertinentes que intervienen en el funcionamiento y el uso de su servicio y contribuyen a una amenaza grave, y si dichos sistemas se han determinado adecuadamente;
b) si, y de qué manera, el prestador auditado ha definido y hecho un seguimiento de la contribución significativa a la amenaza grave, y si su evaluación es adecuada;
c) cualquier otro requisito recogido, en su caso, en la decisión adoptada por la Comisión en aplicación del artículo 36, apartado 1 o apartado 7, párrafo segundo, del Reglamento (UE) 2022/2065.
2. La evaluación del cumplimiento por parte del prestador auditado del artículo 36, apartado 1, párrafo primero, letra b), del Reglamento (UE) 2022/2065 incluirá, entre otros aspectos, un análisis de si, y de qué manera, el prestador auditado ha llevado a cabo las actuaciones necesarias, en particular:
a) si, y de qué manera, el prestador auditado ha determinado las medidas para prevenir, eliminar o limitar cualquier contribución a la amenaza grave;
b) si, y de qué manera, las medidas adoptadas por el prestador auditado hacen frente a la gravedad de la amenaza y la urgencia, y si las medidas son adecuadas en este sentido;
c) si, y de qué manera, el prestador auditado ha determinado las partes afectadas por las medidas y sus intereses legítimos, y de qué manera ha evaluado la incidencia real o potencial de las medidas en los derechos, en particular, los derechos fundamentales, y los intereses legítimos de dichas partes;
d) si las medidas adoptadas por el prestador auditado son efectivas y proporcionadas;
e) cualquier otro requisito recogido, en su caso, en la decisión adoptada por la Comisión en aplicación del artículo 36, apartado 1 o apartado 7, párrafo segundo, del Reglamento (UE) 2022/2065.
3. La evaluación del cumplimiento por parte del prestador auditado del artículo 36, apartado 1, párrafo primero, letra c), del Reglamento (UE) 2022/2065 incluirá, entre otros aspectos, un análisis del desarrollo de las actuaciones necesarias por parte del prestador auditado y, en particular, si ha comunicado a la Comisión la información especificada en una decisión adoptada por esta con arreglo al artículo 36, apartado 1 o apartado 7, párrafo segundo, del Reglamento (UE) 2022/2065, así como un análisis de la exactitud de los informes correspondientes.
Auditoría del cumplimiento del artículo 37, sobre la auditoría independiente, del Reglamento (UE) 2022/2065
1. El cumplimiento de las obligaciones establecidas en el artículo 37 del Reglamento (UE) 2022/2065 y en el presente Reglamento se evaluará respecto a la auditoría o las auditorías del período anual precedente al que es objeto de la auditoría en curso.
2. Además de lo dispuesto en el apartado 1, la auditoría incluirá la evaluación del cumplimiento por parte del prestador auditado del artículo 37, apartado 2, del Reglamento (UE) 2022/2065 respecto a la auditoría en curso.
3. Cuando la auditoría o auditorías anteriores a que se refiere el apartado 1 hayan sido realizadas por la misma entidad auditora a cargo de la auditoría en curso, o cuando la entidad de auditoría encargada de la auditoría en curso esté integrada por al menos una persona jurídica que haya participado en la auditoría anterior, en el informe de auditoría se explicarán los pasos que la entidad auditora ha seguido para asegurar la objetividad de su evaluación.
Auditoría del cumplimiento de los códigos de conducta y protocolos de crisis
1. El prestador auditado pondrá a disposición de la entidad auditora:
a) la relación y el texto de todos los códigos de conducta contemplados en los artículos 45 y 46 del Reglamento (UE) 2022/2065 y los protocolos de crisis indicados en el artículo 48 del mismo Reglamento de los que el prestador auditado sea signatario;
b) una relación pormenorizada de los compromisos asumidos por el prestador auditado en virtud de dichos códigos de conducta y protocolos de crisis;
c) según proceda, los indicadores clave de eficacia acordados en virtud de cada código de conducta y protocolo de crisis;
d) según proceda, todas las mediciones, datos y documentos disponibles, así como todos los informes elaborados por el prestador auditado respecto a su cumplimiento de los compromisos asumidos, incluido el acceso a la totalidad de la información y los datos que sean de interés en relación con el funcionamiento de los servicios ofrecidos por el prestador auditado pertinentes para la aplicación del código de conducta o protocolo de crisis;
e) en su caso, otras mediciones, datos y documentos elaborados por las partes signatarias del código de conducta o el protocolo de crisis, así como las evaluaciones llevadas a cabo por la Comisión o la Junta según lo dispuesto en el artículo 45, apartado 4, del Reglamento (UE) 2022/2065.
2. La evaluación del cumplimiento por parte del prestador auditado de los códigos de conducta a que se refiere el artículo 45 del Reglamento (UE) 2022/2065 incluirá, entre otros aspectos, la medición de los indicadores clave de eficacia establecidos en el código de conducta en virtud del artículo 45, apartado 3, de dicho Reglamento, con indicación del umbral de importancia relativa de las conclusiones de auditoría, y la determinación de la exactitud de los datos comunicados.
Disposiciones finales
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 20 de octubre de 2023.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 277 de 27.10.2022, p. 1.
Índice
SECCIÓN B: Entidad(es) auditora(s) Añádanse tantas líneas como sean necesarias para cumplimentar esta sección. |
||||||||||||||||||||||||||||||
|
SECCIÓN F.1: Terceros consultados Repítase esta sección para cada tercero consultado, incrementando la numeración en uno cada vez (por ejemplo, F.1, F.2 y así sucesivamente) |
||||||||
|
SECCIÓN G: Cualquier otra información que, en su caso, la entidad auditora desee incluir en el informe de auditoría (como una descripción de posibles limitaciones inherentes). |
|
|
Inclúyanse tantas líneas como sean necesarias según la asignación de responsabilidades y la atribución de la facultad a que se refiere el artículo 7, apartado 1, letra b) |
Fecha: … |
Firmado por: … |
Lugar: … |
En nombre de: … |
|
A cargo de: … |
Documentación relativa al análisis de los riesgos de auditoría contemplado en el artículo 9 del presente Reglamento.
Documentación acreditativa del cumplimiento por parte de la entidad auditora de las obligaciones contempladas en el artículo 37, apartado 3, letra a), del Reglamento (UE) 2022/2065.
Documentación acreditativa del cumplimiento por parte de la entidad auditora de las obligaciones contempladas en el artículo 37, apartado 3, letra b), del Reglamento (UE) 2022/2065.
Documentación acreditativa del cumplimiento por parte de la entidad auditora de las obligaciones contempladas en el artículo 37, apartado 3, letra c), del Reglamento (UE) 2022/2065.
Documentación y resultados de las pruebas realizadas por la entidad auditora, en su caso, incluidas las relativas a los sistemas algorítmicos del prestador auditado.
Códigos de conducta contemplados en los artículos 45 y 46 del Reglamento (UE) 2022/2065 en virtud de los cuales el prestador auditado haya asumido compromisos, con una indicación clara de todos los compromisos asumidos y los indicadores clave de eficacia pactados al respecto.
Protocolos de crisis contemplados en el artículo 48 del Reglamento (UE) 2022/2065 implantados por el prestador auditado.
Cualquier otro anexo que la entidad auditora desee adjuntar.
Índice
SECCIÓN A: Información general |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid