Regl. · n.º 436
Reglamento (UE) 2024/436
 Abrir lector completo

Art. 13

Metodologías específicas para la auditoría del cumplimiento del artículo 34, sobre la evaluación de riesgos, del Reglamento (UE) 2022/2065

En vigor desde 20 oct 2023
Artículo 13 Metodologías específicas para la auditoría del cumplimiento del artículo 34, sobre la evaluación de riesgos, del Reglamento (UE) 2022/2065 1.   En la evaluación del cumplimiento del artículo 34 del Reglamento (UE) 2022/2065 por parte del prestador auditado se analizarán, entre otros aspectos, los siguientes: a) si el prestador auditado ha detectado, analizado y evaluado con diligencia los riesgos sistémicos en la Unión a los que se refiere el artículo 34, apartado 1, párrafo primero, del Reglamento (UE) 2022/2065, evaluando, entre otros aspectos: i) cómo el prestador auditado ha detectado los riesgos vinculados a su servicio, atendiendo a los aspectos regionales y lingüísticos del uso que se dé a su servicio, incluso cuando sean específicos de un Estado miembro, y si los riesgos se han detectado de forma adecuada; ii) cómo el prestador auditado ha analizado y evaluado cada riesgo y considerado la probabilidad y gravedad de los riesgos, y si su evaluación es adecuada; iii) cómo el prestador auditado ha determinado, analizado y evaluado los factores contemplados en el artículo 34, apartado 2, párrafo primero, del Reglamento (UE) 2022/2065, si los ha determinado de forma adecuada y en qué medida dichos factores inciden en los riesgos señalados en el apartado 1 de dicho artículo; iv) qué fuentes de información ha utilizado el prestador auditado, cómo ha obtenido la información, y si, y en su caso cómo, ha basado su análisis en conocimientos científicos y técnicos; v) si, y en su caso cómo, el prestador auditado ha probado sus hipótesis sobre los riesgos con los grupos más afectados por los riesgos específicos; b) si la evaluación de riesgos se ha hecho en los plazos contemplados en el artículo 34, apartado 1, párrafo segundo, del Reglamento (UE) 2022/2065 y, en su caso, en los plazos indicados para las actividades configuradas como medidas de reducción de riesgos para la detección de riesgos sistémicos con arreglo al artículo 35, apartado 1, letra f) del citado Reglamento; c) cómo el prestador auditado ha detectado las funcionalidades susceptibles de tener un impacto crítico en los riesgos y que, por lo tanto, deben ser objeto de evaluaciones de riesgos antes de su implantación con arreglo al artículo 34, apartado 1, párrafo segundo, del Reglamento (UE) 2022/2065, si dichas funcionalidades se han detectado correctamente y si la evaluación de riesgos se ha llevado a cabo de forma adecuada; d) si el prestador auditado ha determinado correctamente la documentación justificativa de la evaluación de riesgos que debe conservar, si cuenta con los medios necesarios para asegurar la conservación de dicha documentación durante al menos tres años, de acuerdo con el artículo 34, apartado 3, del Reglamento (UE) 2022/2065, y si dicha documentación se encuentra debidamente conservada. 2.   Sin perjuicio de cuantos otros análisis sean precisos para alcanzar un grado de seguridad razonable, las metodologías de auditoría del cumplimiento del artículo 34 del Reglamento (UE) 2022/2065 incluirán la evaluación por parte de la entidad auditora de, al menos, los elementos que se indican a continuación: a) los controles internos implantados por el prestador auditado al objeto de controlar que se lleven a cabo las evaluaciones de riesgos para cada uno de los factores indicados en el artículo 34, apartado 2, párrafo primero, del Reglamento (UE) 2022/2065; esta evaluación: i) se fundamentará en procedimientos analíticos sustantivos relativos a dichos controles internos; ii) se basará en pruebas encaminadas a determinar la fiabilidad de dichos controles internos y la diligencia empleada en su diseño, ejecución y seguimiento; iii) verificará el desempeño del encargado o de los encargados del cumplimiento con arreglo al artículo 41, apartado 3, letras b), d), e) y, en su caso, f), del Reglamento (UE) 2022/2065, y la participación del órgano de dirección del prestador auditado en la toma de decisiones relacionadas con la gestión de riesgos conforme al artículo 41, apartados 6 y 7, del mismo Reglamento; b) las actuaciones, los recursos y los procesos implantados por el prestador auditado para asegurar el cumplimiento del artículo 34 del Reglamento (UE) 2022/2065 y sus resultados; esta evaluación se basará en: i) procedimientos analíticos sustantivos; ii) pruebas, incluidas pruebas de los sistemas algorítmicos, en caso de que la entidad auditora albergue dudas razonables, a la luz de los resultados de los procedimientos analíticos sustantivos y la evaluación de los controles internos, o estime necesario realizar pruebas según la metodología de su elección en virtud del artículo 10, apartado 1. 3.   La entidad auditora sustentará la evaluación realizada de acuerdo con el presente artículo en el análisis, entre otros datos, de la información que se cita a continuación: a) el informe de evaluación de riesgos correspondiente al período auditado, elaborado por el prestador auditado, junto con la información confidencial que, en su caso, se haya omitido de la información publicada con arreglo al artículo 42, apartado 2, de dicho Reglamento, y toda la documentación justificativa; b) cuando proceda, los otros informes de evaluación de riesgos del prestador auditado y la correspondiente documentación justificativa; c) la información remitida por el prestador auditado con arreglo al artículo 5; d) todos los informes de transparencia pertinentes del prestador auditado a que se refiere el artículo 15, apartado 1, del Reglamento (UE) 2022/2065; e) otros resultados de pruebas, documentación, evidencia, declaraciones en respuesta a preguntas formuladas por escrito o de forma oral al personal del prestador auditado por parte de la entidad auditora y, en su caso, observaciones realizadas en las instalaciones; f) otras evidencias pertinentes, incluidas las basadas en información facilitada por el prestador auditado; g) cuando estén disponibles, los informes contemplados en el artículo 35, apartado 2, del Reglamento (UE) 2022/2065, las orientaciones de la Comisión, en particular las emitidas con arreglo al artículo 35, apartado 3, de dicho Reglamento y cualquier otra orientación emitida por la Comisión en relación con la aplicación del Reglamento (UE) 2022/2065. 4.   La información analizada por la entidad auditora podrá comprender, según proceda, la información contemplada en el artículo 42, apartado 4, del Reglamento (UE) 2022/2065, incluida la procedente de informes de auditoría, de evaluación de riesgos y de reducción de riesgos relativos a otras plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, o datos e investigaciones publicados por investigadores autorizados con arreglo al artículo 40, apartado 8, letra g), de dicho Reglamento.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:436:oj#art-13

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil