Nel contesto contemporaneo della revisione legale dei conti, la tecnologia non rappresenta un semplice ausilio operativo, ma ridisegna il modo in cui l’informazione economico finanziaria viene generata, trattata e sottoposta a verifica. I dati oggetto di audit sono sempre più il risultato di sistemi informativi complessi, basati su architetture interconnesse e processi fortemente automatizzati, nei quali il contributo umano si concentra in momenti circoscritti e ad elevato contenuto decisionale.
In questa cornice, la materia prima dell’attività di revisione non è più soltanto la documentazione contabile statica, ma anche e soprattutto l’insieme dei flussi informativi dinamici che attraversano i sistemi informatici aziendali. Tali flussi devono essere compresi nel loro processo di formazione, salvaguardati nella loro integrità e valutati in termini di attendibilità, tenendo conto della complessità tecnologica che ne consente la produzione.
Dall’esame del bilancio alla comprensione dell’ambiente IT
Il cambiamento tecnologico modifica radicalmente il baricentro del lavoro del revisore. Non è più sufficiente soffermarsi sull’esito contabile, perché il giudizio dipende in misura crescente dalla capacità di comprendere l’ambiente informatico in cui i dati sono generati e trattati, di identificare i rischi di errore significativo connessi ai processi digitali e di valutarne la risposta mediante procedure di revisione adeguate.
I bilanci sottoposti a revisione derivano sempre più da piattaforme digitali integrate, cloud, sistemi gestionali avanzati e strumenti di data analytics, all’interno dei quali trovano spazio algoritmi di machine learning e applicazioni di intelligenza artificiale utilizzate nei processi aziendali. L’attività del revisore deve quindi estendersi alla comprensione di tali architetture, dei flussi automatizzati che le attraversano e dei presidi di controllo che le governano.
Revisione legale e ISA Italia 315: centralità della comprensione dei sistemi
Il principio di revisione internazionale ISA Italia 315, applicabile ai bilanci con esercizio avente inizio dal 1° gennaio 2022, impone al revisore di acquisire una conoscenza approfondita dell’ambiente informatico dell’entità, dei relativi processi informativi e dei controlli interni rilevanti ai fini della revisione. L’oggetto dell’analisi non è dunque limitato al dato contabile finale, ma si estende alla qualità e all’affidabilità del sistema che lo elabora.
L’adozione di Automated Tools and Techniques, vale a dire tecnologie, software, algoritmi e procedure automatizzate che supportano l’audit, non attenua la diligenza richiesta al professionista. Al contrario, la rafforza. Il revisore è tenuto a comprendere il funzionamento degli strumenti di cui si avvale, a verificarne la logica operativa, a definire e validare i parametri di analisi, nonché a documentare in modo chiaro le scelte metodologiche effettuate. La responsabilità professionale si estende così anche alla progettazione, alla selezione e alla supervisione delle soluzioni tecnologiche utilizzate nelle procedure di revisione.
Le tecniche automatizzate tra big data e sostituzione del campionamento tradizionale
L’impiego di tecniche automatizzate consente di analizzare volumi di dati molto ampi, spesso superiori a quelli intercettabili con il tradizionale campionamento statistico. L’analisi automatica di popolazioni complete, la ricerca di anomalie e correlazioni, la segmentazione avanzata dei dati e la verifica di intere basi informative permettono, almeno potenzialmente, una maggiore profondità di indagine.
Ciò nonostante, l’elemento decisivo rimane la valutazione critica del revisore. Gli output generati dalle soluzioni tecnologiche non costituiscono, da soli, un giudizio di revisione, ma rappresentano informazioni da interpretare, confrontare con altre evidenze probative e integrare in un quadro complessivo coerente con gli obiettivi dell’incarico. L’algoritmo, anche quando sofisticato, opera su basi statistiche e probabilistiche, mentre il giudizio di revisione deve fondarsi su un percorso logico argomentato e imputabile a una persona fisica abilitata.
Intelligenza artificiale generativa e limiti dell’affidamento sugli algoritmi
L’utilizzo di sistemi di intelligenza artificiale generativa introduce profili di rischio specifici. Gli output algoritmici, per loro natura probabilistici, possono presentare criticità in termini di tracciabilità del processo di elaborazione, di riproducibilità dei risultati e di completezza dell’audit trail necessario a fini di verifica e di controllo successivo.
La Monografia ASSIREVI n. 5 evidenzia con chiarezza che il risultato prodotto dall’algoritmo non può essere considerato sufficiente, di per sé, a fondare il giudizio di revisione. Il revisore deve esercitare una valutazione autonoma, critica e documentata, verificando se e in che misura l’output dell’intelligenza artificiale sia coerente con le altre evidenze disponibili e con la conoscenza acquisita sull’impresa e sul suo sistema di controllo interno.
Ne deriva che i sistemi di intelligenza artificiale, anche quando in grado di individuare schemi, anomalie o correlazioni non immediatamente percepibili, svolgono un ruolo di supporto ma non di sostituzione del ragionamento professionale. L’adozione di tali strumenti richiede inoltre procedure adeguate di validazione, di monitoraggio continuo delle prestazioni e di gestione dei possibili errori sistematici.
Automation bias e scetticismo professionale del revisore
Accanto alle opportunità offerte dalla tecnologia, occorre considerare il rischio di automation bias, ossia la tendenza umana ad attribuire agli output automatizzati un’elevata affidabilità presunta, talvolta superiore a quella riservata alle valutazioni tradizionali. Questo fenomeno contrasta con il principio di scetticismo professionale che costituisce un cardine dell’attività di revisione.
Lo scetticismo professionale impone al revisore di mantenere un atteggiamento critico e vigile, di non accettare acrcriticamente le informazioni ottenute, anche quando derivano da strumenti tecnologici avanzati, e di ricercare ulteriori elementi probativi in presenza di incoerenze, anomalie o aspetti non adeguatamente spiegati. L’affidamento sulle tecnologie deve quindi essere bilanciato da controlli di ragionevolezza, riconciliazioni, verifiche incrociate e riesami indipendenti, così da preservare la qualità del giudizio.
La persistenza della responsabilità personale nel giudizio di revisione
L’evoluzione digitale può modificare profondamente le modalità operative della revisione, ma non incide sulla titolarità del giudizio. La responsabilità del parere sul bilancio continua a ricadere integralmente sul revisore legale incaricato, che non può trasferirla né condividerla con il fornitore di una determinata soluzione tecnologica, né con l’algoritmo che ha elaborato parte delle informazioni utilizzate.
La tecnologia espande il perimetro delle analisi possibili, rende più efficiente l’esecuzione di molte procedure e consente una maggiore ampiezza di copertura informativa. Tuttavia, il momento conclusivo dell’incarico, rappresentato dall’espressione del giudizio professionale, rimane un atto personale e non delegabile, che richiede l’integrazione di tutte le evidenze disponibili in una valutazione complessiva, consapevole e motivata.
Un ruolo professionale che si rafforza nella trasformazione digitale
L’introduzione di strumenti basati su intelligenza artificiale e su tecniche automatizzate non riduce la funzione del revisore legale, ma ne eleva il livello di responsabilità e di competenza richiesto. Il professionista è chiamato a governare l’innovazione, a comprenderne i limiti oltre che i vantaggi e a utilizzarla in modo coerente con i principi di revisione applicabili e con i presidi di deontologia e indipendenza.
In definitiva, la trasformazione tecnologica trasferisce al revisore l’onere di presidiare con maggiore consapevolezza il connubio tra dati, sistemi e controlli. È su questa capacità di combinare metodo professionale e uso critico delle tecnologie che si misurerà, sempre più, la qualità dell’attività di revisione legale dei conti.