Revisione legale e sistemi digitali complessi: il giudizio professionale resta insostituibile
Revisione legale e sistemi digitali complessi: il giudizio professionale resta insostituibile

Revisione legale e sistemi digitali complessi: il giudizio professionale resta insostituibile

Trasformazione digitale dell’informazione contabile

Nel contesto della revisione legale dei conti, l’innovazione tecnologica non consiste soltanto nell’adozione di nuovi strumenti operativi. Essa incide in profondità sulle modalità con cui l’informazione economico finanziaria viene generata, organizzata e messa a disposizione del revisore. I dati contabili, sui quali si fonda il giudizio di audit, scaturiscono sempre più da infrastrutture informatiche articolate, basate su architetture interconnesse e processi automatizzati, in cui l’intervento umano si concentra su fasi limitate e circoscritte.

In un simile scenario, l’oggetto della verifica non è più costituito esclusivamente da documenti statici, ma comprende flussi informativi continui, prodotti, elaborati e trasformati da sistemi digitali. Tali flussi devono essere compresi nella loro origine, monitorati nella loro integrità e sottoposti a criteri di valutazione coerenti con la complessità tecnologica dei processi che li generano.

Dal controllo del dato alla comprensione dell’ambiente informatico

Il ruolo del revisore legale si colloca oggi dentro un ambiente in cui il bilancio è spesso il risultato di catene applicative e infrastrutture digitali che includono piattaforme cloud, sistemi gestionali integrati, soluzioni di data analytics e, in misura crescente, strumenti di intelligenza artificiale inseriti nei processi aziendali. La verifica non può quindi arrestarsi all’esito contabile finale, ma deve necessariamente estendersi alla comprensione dei meccanismi tecnologici che presiedono alla formazione del dato.

Ciò implica una diversa impostazione della valutazione del rischio di errore significativo. L’attenzione del revisore si sposta anche sui punti di vulnerabilità insiti nei sistemi informatici, nei processi automatizzati di elaborazione delle informazioni e nei controlli applicativi progettati dall’entità. Il giudizio di revisione, in questo contesto, richiede la capacità di leggere correttamente l’impatto che tali sistemi hanno sull’affidabilità del bilancio.

Il quadro delineato dall’ISA Italia 315

Il principio di revisione internazionale ISA Italia 315, applicabile dal 1° gennaio 2022, conferma questo cambio di prospettiva. Il revisore è tenuto a ottenere una comprensione adeguata dell’ambiente informatico dell’entità, dei relativi processi informativi e dei controlli connessi che risultano rilevanti ai fini della revisione. Non è sufficiente limitarsi alla verifica dei saldi contabili, poiché la qualità del dato dipende in misura decisiva dall’affidabilità dell’intero sistema che lo produce.

Il riferimento alle Automated Tools and Techniques, intese come tecnologie, software, algoritmi e procedure automatizzate utilizzate nell’audit, non introduce alcuna attenuazione degli obblighi di diligenza professionale. Al contrario, tali obblighi si estendono alla comprensione della logica di funzionamento degli strumenti adottati, alla loro progettazione e validazione e alla documentazione delle impostazioni e dei parametri utilizzati nelle analisi. La responsabilità del revisore si misura quindi anche sulla capacità di governare in modo consapevole le tecnologie che integra nelle proprie procedure.

Automazione delle verifiche e limiti del supporto algoritmico

L’impiego di strumenti tecnologici avanzati consente di superare, almeno in parte, le tradizionali logiche di campionamento statistico, rendendo possibile l’analisi di insiemi di dati molto estesi o persino dell’intera popolazione contabile. Le tecniche automatizzate permettono l’individuazione di anomalie, pattern ricorrenti o scostamenti significativi che difficilmente emergerebbero con metodologie manuali.

Resta tuttavia centrale una questione di fondo: l’incidenza degli algoritmi sulla formazione del giudizio di revisione. La tecnologia può affinare le evidenze a disposizione, ma non può assumere una propria autonomia decisionale rispetto alla valutazione finale, che appartiene esclusivamente al professionista responsabile dell’incarico.

Intelligenza artificiale generativa e problemi di tracciabilità

L’utilizzo di sistemi di intelligenza artificiale generativa introduce ulteriori criticità. Gli output di tali sistemi sono frutto di elaborazioni probabilistiche, spesso non immediatamente spiegabili. Di conseguenza presentano notevoli difficoltà sul piano della tracciabilità dei ragionamenti sottostanti, della riproducibilità dei risultati e della ricostruzione dell’audit trail, elementi che costituiscono presidi essenziali in un’attività di revisione regolata e verificabile.

La Monografia ASSIREVI n. 5 chiarisce che le risultanze prodotte da un algoritmo non possono essere considerate, da sole, sufficienti a fondare il giudizio di revisione. Esse costituiscono un elemento informativo che deve essere sottoposto a vaglio critico autonomo, integrato con altre evidenze e sempre accompagnato da un’adeguata documentazione delle valutazioni svolte dal revisore. Anche quando il sistema algoritmico si dimostri particolarmente efficace nell’individuare rischi o anomalie, la decisione finale richiede un apprezzamento umano motivato.

Scetticismo professionale e rischio di automation bias

L’inserimento di strumenti automatizzati nel processo di revisione porta con sé il rischio di automation bias, ossia la tendenza a ritenere intrinsecamente corretti e affidabili i risultati prodotti dai sistemi informatici. Questa inclinazione è in aperto contrasto con il principio di scetticismo professionale, che impone al revisore un atteggiamento di costante valutazione critica nei confronti delle evidenze acquisite, indipendentemente dalla loro origine.

Mantenere vivo lo scetticismo significa non accettare in modo acritico l’output di un algoritmo, per quanto sofisticato, ma verificarne la coerenza con le altre informazioni disponibili, considerare i limiti del modello sottostante, valutare la qualità dei dati di input e tenere conto delle possibili distorsioni introdotte dai processi di addestramento o configurazione del sistema. L’affidamento consapevole sugli strumenti digitali richiede quindi una continua vigilanza, non un’abdicazione del giudizio.

La responsabilità del revisore nell’era dell’intelligenza artificiale

In questo contesto normativo e operativo, la titolarità del giudizio di revisione rimane interamente in capo al revisore legale. La tecnologia incide sulle modalità con cui le procedure sono progettate ed eseguite, ma non modifica la natura personale e non delegabile della responsabilità professionale. Né l’ISA Italia 315 né la Monografia ASSIREVI n. 5 riconoscono all’algoritmo un ruolo che travalichi quello di strumento di supporto.

Di conseguenza, anche quando vengono impiegate Automated Tools and Techniques o sistemi di intelligenza artificiale generativa, il revisore deve poter dimostrare la comprensione delle logiche applicate, la correttezza delle modalità di utilizzo, la coerenza tra gli output prodotti e le conclusioni tratte, nonché il rispetto del principio di scetticismo professionale. La responsabilità non si trasferisce al fornitore del software o al sistema informatico, ma resta ancorata alle scelte e alle valutazioni del professionista che conduce l’audit.

La revisione legale nell’era digitale si sviluppa dunque all’intersezione tra competenze tecnologiche e competenze giuridico contabili, richiedendo al revisore di integrare gli strumenti innovativi in un quadro metodologico che preservi integrità, tracciabilità e autonomia del giudizio. È in questo equilibrio che la tecnologia esprime il massimo potenziale, senza intaccare la centralità del ruolo umano nella formazione del giudizio di revisione.