AI tar snabbt plats i revisionsprocessen, från riskbedömning till automatiskt ifyllda arbetspapper. Men när verktygen blir smartare än våra rutiner uppstår den verkliga frågan: hur behåller vi kontrollen, spårbarheten och ansvaret när AI:s svar ser övertygande ut – men kan vara fel?
AI i revisionen är här. Frågan är inte om vi använder den, utan om vi kan stå för resultatet även när den har fel.
Jag läser Stephen Foleys artikel i Financial Times ”AI has arrived in auditing – Are regulators ready?” och tänker att vi är redan förbi diskussionen om AI är ”på väg”. Den är här. Och den flyttar gränsen för vad som räknas som ett acceptabelt arbetssätt snabbare än våra rutiner, våra utbildningar och ibland också våra reflexer.
AI skapar en ny sorts rutin
Artikeln beskriver hur flera stora revisionsbyråer bygger in AI i sitt arbetssätt med snabbare riskbedömning, vägledning som medarbetare notifieras om i realtid och arbetspapper som fylls i automatiskt. Problemet är att AI också skapar en ny sorts rutin, nämligen att acceptera ett svar som låter rimligt. Men i revision är ”låter rimligt” inte ett revisionsbevis.
Financial Times lyfter en vägledning för generativ och agentisk AI från den brittiska tillsynsorganisationen Financial Reporting Council, FRC. Den sammanfattar riskerna i tre centrala misstag:
- AI kan ha fel.
- Vi kan misstolka svaret.
- Tekniken kan göra för lite arbete för att nå upp till vad en mänsklig revisor anser vara tillräcklig kvalitet och tillförlitlighet.
I Foleys artikel finns ett citat av Mark Babington från FRC som också förtjänar att läggas på minnet: Du kan inte skylla på lådan. Använder du tekniken är du fortfarande ansvarig.
Hur används det professionella omdömet?
Med AI går det att i efterhand se hur omdömet faktiskt användes. Vad gjorde du när verktyget gav ett svar? Tänkte du efter? Kollade du om det höll? Eller lät du det passera för att det gick snabbare och såg bra ut?
Foley pekar också på en friktion i standarderna. Ibland står det att en ”person” måste göra vissa moment, trots att AI skulle kunna göra dem och att en människa sedan kontrollerar.
Jag förstår frustrationen. Men risken är att vi fastnar i ordval i stället för att bygga tydlighet. Om AI fyller i arbetspapper måste vi kunna visa vad som kommer från verktyget, vad vi faktiskt har granskat och var det professionella omdömet användes.
Det kan bli ett förtroendeproblem för hela branschen
Artikeln varnar dessutom för att byråerna springer snabbare än tillsynen. Om det stämmer, är det inte bara ett regulatoriskt problem utan ett förtroendeproblem för hela branschen. En viktig fråga för FAR blir att definiera miniminivåer för kompetens och dokumentation samt kontroll av AI-stöd i revisionen, så att vi inte får 50 byråvarianter av vad ”rimlig säkerhet” betyder i en AI-era.
För mig är tre frågor helt avgörande:
- Vad måste en revisor förstå om modellrisk och datakvalitet för att få använda verktygen skarpt?
- Hur ska arbetspapperen se ut när AI har skrivit halva första utkastet?
- Vilka kontroller är ”nog” innan vi vågar luta oss mot resultatet?
AI bör behandlas som en ny riskklass
AI kan göra revisionen bättre. Men bara om vi slutar behandla den som en smart genväg och börjar behandla den som en ny riskklass. Jag tar med mig Financial Times-artikelns kärna: tillsynen måste hinna i kapp, men vi kan inte vänta på att någon annan sätter ribban. Om vi i branschen inte snabbt enas om vad som krävs för att använda AI ansvarsfullt, kommer nästa stora revisionsmiss inte bara att handla om ett bolag. Den kommer att handla om oss.
Per Johansson,
generalsekreterare och vd FAR