Definition

L'AI Act dell'UE, entrato in vigore il 24 giugno 2024, distingue i sistemi di IA sulla base dei rischi che comportano. Un sistema di IA utilizzato per supportare decisioni di audit (ad esempio, la selezione di voci di bilancio critiche mediante algoritmi, l'identificazione di pattern di frode anomali, o la valutazione automatizzata della qualità delle evidenze) ricade nella classificazione a rischio elevato. Ai sensi dell'articolo 6 dell'AI Act, i sistemi a rischio elevato devono essere conformi a una serie di requisiti stringenti prima di essere messi sul mercato o utilizzati operativamente.

Come funziona

L'AI Act dell'UE, entrato in vigore il 24 giugno 2024, distingue i sistemi di IA sulla base dei rischi che comportano. Un sistema di IA utilizzato per supportare decisioni di audit (ad esempio, la selezione di voci di bilancio critiche mediante algoritmi, l'identificazione di pattern di frode anomali, o la valutazione automatizzata della qualità delle evidenze) ricade nella classificazione a rischio elevato. Ai sensi dell'articolo 6 dell'AI Act, i sistemi a rischio elevato devono essere conformi a una serie di requisiti stringenti prima di essere messi sul mercato o utilizzati operativamente.
Questi requisiti includono: (1) valutazioni di impatto sulla conformità normativa e sulla gestione dei rischi documentate; (2) registrazione nel database pubblico dell'UE dei sistemi a rischio elevato; (3) conservazione della documentazione tecnica e dei log di funzionamento del sistema per almeno tre anni dalla messa fuori servizio; (4) monitoraggio continuativo delle prestazioni post-commercializzazione; (5) garanzia che una persona fisica eserciti un controllo significativo sulla decisione finale (per un incarico di audit, il revisore deve mantenere la responsabilità professionale finale, non delegarla all'algoritmo); e (6) notifica agli utilizzatori dei rischi identificati e del modo in cui il sistema può essere utilizzato in modo sicuro.
Per uno studio di revisione che implementa uno strumento di IA per la selezione dei campioni (come il software che identifica automaticamente le voci anomale da testare), la conformità significa: documentare come lo strumento è stato sviluppato e sottoposto a test; verificare che lo strumento funzioni in modo affidabile su dati di bilancio tipici della propria base cliente; mantenere registri del risultato di ogni esecuzione dello strumento; e garantire che il partner dell'incarico (non l'algoritmo) approvi la selezione finale del campione e comprenda come l'algoritmo ha funzionato in quel contesto specifico.
La responsabilità ricade sul deployer (lo studio di revisione), non solo sul fornitore (il venditore del software). Se l'IA Act non viene rispettato, le sanzioni vanno da EUR 15 milioni fino al 6% del fatturato annuale globale, oltre alla responsabilità civile verso i clienti dell'incarico che subiscono danni.

Esempio pratico: Studio di revisione con software di data analytics

Cliente: Manifatture Ceramiche Venete S.r.l., società produttiva italiana, fatturato EUR 28M, incarico di revisione annuale del bilancio IFRS.
Circostanza: Lo studio ha implementato un software di data analytics che utilizza un modello di machine learning per identificare automaticamente le transazioni sospette nei dati di un cliente e raccomandare il test. Il partner dell'incarico ha programmato il software per flaggare il 5% delle transazioni mensili come ad alto rischio di errore.
Fase 1: Classificazione del rischio.
Il software rientra nella categoria a rischio elevato (articolo 6 dell'AI Act) perché influenza una decisione di audit significativa: la selezione del campione per la verificazione.
Documentazione richiesta: una relazione che descriva l'architettura del modello, i dati di addestramento utilizzati, i meccanismi di validazione, i test sui dati di bilancio storici dello studio.
Fase 2: Valutazione di conformità ante-implementazione.
Lo studio deve condurre una valutazione di impatto prima di mettere il software in produzione su incarichi. La valutazione risponde: il software funziona in modo affidabile su bilanci con dimensione e composizione simile a Manifatture Ceramiche? Ci sono gruppi di transazioni (ad esempio, resi di vendita) su cui il modello è stato adeguatamente testato? Quali sono i tassi di falsi positivi e false assenze?
Documentazione richiesta: relazione di valutazione d'impatto (IRR, Impact Risk Report) sottoscritta dal partner; test su un campione di 6-12 mesi di dati storici della cliente.
Fase 3: Controllo umano conforme.
Durante l'esecuzione dell'incarico 2025, il software identifica 1.400 transazioni come ad alto rischio su 28.000 transazioni mensili. Il software non sceglie il campione da testare da solo; genera un elenco di raccomandazioni. Il supervisor incaricato (il senior manager di revisione) esamina le raccomandazioni, ne comprende la logica (in che modo il modello ha identificato quelle transazioni come anomale?), e poi decide: testerò tutte queste transazioni, oppure affinerò i criteri? Il supervisor mantiene la responsabilità professionale della selezione. Il software è uno strumento consultivo, non l'autorità decisionale.
Documentazione richiesta: una nota di carta di lavoro che documentare il ragionamento del supervisor nel valutare e accettare/modificare le raccomandazioni del software. Qualcosa del genere: "Il software ha identificato 47 fatture di dicembre come anomale. Tutte hanno valori superiori a EUR 85.000 e sono state emesse da tre clienti nuovi. Ho revisionato i contratti e le spedizioni; sono transazioni legittime. Ho accettato il profilo di rischio del software ma incluso nella popolazione altre 12 fatture di clienti storici basate su un criterio di selezione aggiuntivo per coprire l'intera base di ricavi."
Fase 4: Tracciabilità e registrazione.
Lo studio mantiene un registro delle date di esecuzione del software, dei parametri di input utilizzati, del numero di transazioni flagged, della composizione del campione finale selezionato, e della giustificazione del supervisor per qualsiasi deviazione dalla raccomandazione del software. Questo registro rimane nel fascicolo per tre anni dalla data di conclusione dell'incarico.
Documentazione richiesta: scheda di tracciabilità del software (può essere parte della documentazione di pianificazione dell'incarico o un allegato dedicato).
Fase 5: Notifica e comunicazione.
Il partner e il supervisore garantiscono che il team di incarico (almeno le persone che lavorano direttamente con il software) comprendano: (a) il software utilizza machine learning per identificare anomalie; (b) il software non è infallibile e genera falsi positivi; (c) la decisione finale sulla selezione del campione rimane del revisore; e (d) se il team osserva pattern anormali nel comportamento del software (ad esempio, il software non riesce più a identificare anomalie per un sottogruppo di transazioni), deve segnalarlo affinché il software possa essere rivalutato.
Documentazione richiesta: una sessione di briefing documentata o una sezione nel memorandum di pianificazione che descriva il software, i suoi limiti e il ruolo del controllo umano.
Conclusione: Lo studio è conforme all'AI Act. Il software è stato valutato, documentato, registrato, sottoposto a controllo umano significativo in ogni decisione, e tracciato. Se un ispettore AFM o della CONSOB esamina il fascicolo e scopre che il software è stato utilizzato senza questa documentazione di conformità e questo controllo umano verificabile, lo studio affronta il rischio di: (1) una citazione normativa per il mancato rispetto dell'AI Act; (2) una conclusione dell'ispettore secondo cui la selezione del campione era insufficiente (il rischio di audit non era adeguatamente testato); e (3) una richiesta ai clienti dell'incarico di considerare il danno derivante da un incarico che si è affidato a un sistema di IA non conforme e non controllato.

Cosa gli ispettori e i professionisti fraintendono

  • Tier 1 (Rilievo ispettivo): L'AFM ha segnalato in incarichi 2024 che gli studi non stavano documentando adeguatamente l'uso di sistemi di IA negli incarichi di audit o non stavano dimostrando controllo umano significativo sulle decisioni di selezione dei campioni supportate da IA. La mancanza di documentazione di conformità all'AI Act e di valutazione d'impatto costituisce una deficienza nei procedimenti della carta di lavoro che influisce sulla qualità dell'incarico.
  • Tier 2 (Errore standard-referenziato): Molti studi ritengono erroneamente che "controllo umano significativo" significhi semplicemente che un responsabile ha approvato i risultati dell'IA prima che venissero utilizzati. In realtà, secondo l'articolo 5 dell'AI Act, il controllo umano deve includere: (a) comprensione da parte della persona umana di come il sistema funziona e perché ha prodotto quel risultato specifico, (b) una valutazione critica indipendente della decisione (non una rubber-stamp), e (c) il potere di eseguire l'override della raccomandazione del sistema con motivazione documentata. Il semplice "approvazione" non è sufficiente se la persona che approva non comprende il funzionamento del sistema.
  • Tier 3 (Gap documentale pratico): Uno studio potrebbe utilizzare un software per identificare voci di bilancio critiche da testare e ritenersi pienamente conforme perché il software è tracciato nei sistemi interni. Tuttavia, non ha condotto una valutazione d'impatto formale per verificare che il software funzioni in modo affidabile sui dati dei suoi clienti tipici, non ha registrato il software nel database pubblico dell'UE (se distribuito internamente come strumento) e non ha documentato la base razionale dei supervisori per le deviazioni dalle raccomandazioni del software. La conformità superficiale non è conformità reale; la documentazione è evidenza della conformità.

Confronto: AI Act UE vs. Linee guida IAASB sulla tecnologia

L'AI Act UE è una legislazione normativa vincolante che impone obblighi legali e sanzioni in caso di non conformità. Le linee guida IAASB sulla tecnologia di audit (ad esempio, ISA 315 Revised 2019 che enfatizza la considerazione della tecnologia nel contesto dell'entità, e la guida di implementazione su "Technology-Enabled Audit") sono principi professionali che guidano come il revisore dovrebbe esercitare il giudizio professionale quando utilizza la tecnologia. L'AI Act è vincolante dal punto di vista normativo e rivolto ai fornitori e ai deployer di sistemi di IA. Le linee guida IAASB sono lo standard professionale per come il revisore integra la tecnologia nella procedura di audit.
In pratica: uno studio deve conformarsi sia all'AI Act (per la conformità normativa e legale) sia alle linee guida dell'ISA (per la qualità dell'incarico). Un sistema di IA che è conforme all'AI Act ma utilizzato in modo che violi l'ISA 300 (pianificazione dell'audit) non produce un incarico di qualità. Allo stesso modo, un sistema di IA utilizzato in conformità ai principi ISA ma non conforme all'AI Act espone lo studio a responsabilità normativa.

Termini correlati

---

  • Documentazione di revisione: il mezzo attraverso il quale lo studio evidenzia la conformità ai requisiti di tracciabilità dell'AI Act.
  • Evidenze di revisione: la base su cui il revisore esercita il controllo umano sulle raccomandazioni dei sistemi di IA.
  • ISA 315 revised vs original: l'aggiornamento che ha introdotto la considerazione esplicita della tecnologia automatizzata nella valutazione dei rischi.
  • ISA 240 revised vs current: l'evoluzione dei requisiti sul rilevamento della frode, con rilevanza per gli strumenti di anomaly detection basati su IA.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.