L’intelligenza artificiale amplifica l’attività del revisore ma il giudizio resta una prerogativa umana

L’adeguamento metodologico è ispirato dall’evoluzione dei principi di revisione. In particolare, l’ISA Italia 315 (Revised) valorizza una comprensione approfondita dell’ambiente informatico dell’entità, dei processi informativi e dei controlli pertinenti ai fini dell’identificazione e valutazione dei rischi di errori significativi. Tale impianto, lungi dall’essere un adempimento meramente formale, impone un approccio “system-based”: occorre comprendere come i dati transitano, chi li governa, quali controlli ne presidiano completezza e accuratezza, quali dipendenze sussistono rispetto a fornitori o piattaforme esterne. Nella medesima cornice metodologica si innestano le c.d. Automated Tools and Techniques (ATT), vale a dire procedure di revisione eseguite con tool automatizzati e integrate nel disegno complessivo dell’incarico. Non è un obbligo indiscriminato, poiché l’adozione di tali tecnologie dipende dalle risorse effettivamente disponibili e deve, in ogni caso, rispettare il principio di proporzionalità.

Laddove si faccia impiego di ATT, si intensifica l’obbligo di governance della procedura. Occorre dar conto, nelle carte di lavoro, dell’efficacia dello strumento, della riconciliazione dei dataset estratti, della logica delle trasformazioni operate e della ragionevolezza dei parametri di analisi adottati. Per converso, l’automazione non comporta alcuna attenuazione della responsabilità professionale, essa accresce l’onere di controllo, poiché il baricentro si trasferisce dall’esecuzione materiale alla corretta ingegnerizzazione, validazione e vigilanza della procedura.

I driver tecnologici nell’impresa e la metamorfosi del rischio

Le tecnologie che incidono maggiormente sull’audit possono essere ricondotte a 4 categorie.

1. la connettività cloud, che consente archiviazione ed elaborazione su infrastrutture remote, con automazione dei workflow e riduzione dei costi. Il vantaggio operativo ottenuto impone di presidiare profili critici quali la continuità del servizio, la governance degli accessi, la dipendenza da fornitori terzi e la resilienza rispetto a eventi di cyber security;
2. la robotic process automation (RPA) – vale a dire la tecnologia software che utilizza “robot” digitali (bot) per automatizzare attività aziendali ripetitive – consente di processare ingenti informazioni. La RPA permette di standardizzare i flussi informativi nelle aree di amministrazione, finanza e controllo, riducendo l’errore umano. Tuttavia, un’impostazione o una regola errata può propagare errori sistemici su larga scala, con conseguenze rilevanti;
3. l’impiego avanzato di Big Data e strumenti di data analytics consente di elaborare grandi quantità di informazioni eterogenee, identificare correlazioni significative e agevolare la pianificazione predittiva. Ciò muta la natura delle fonti, ai dati strutturati si affiancano informazioni non strutturate (contratti, e-mail, comunicazioni, verbali), che richiedono tecniche di estrazione e lettura diverse;
4. l’intelligenza artificiale, con machine learning e natural language processing, permette analisi testuali, classificazione, rilevamento di anomalie e applicazioni generative nei processi contabili e nell’informativa finanziaria. Tale ultimo punto apre una frontiera delicata: se la tecnologia è usata per “produrre” informazione, il revisore deve valutarne l’attendibilità con un livello di attenzione commisurato all’impatto. Non è casuale che tali dinamiche abbiano favorito la nascita e la crescita di nuovi operatori, quali le FinTech, in cui i servizi bancari risultano “scomposti” (unbundling) e poi riaggregati in chiave digitale, e le InsurTech, che utilizzano modelli predittivi per personalizzare le coperture e raffinare la gestione del rischio.

Per il revisore, tutto ciò implica confrontarsi con catene del valore data-driven, ove la vulnerabilità può annidarsi nell’interfaccia tra piattaforme, fornitori terzi e presìdi di controllo interno. La valutazione del rischio deve, pertanto, includere l’affidabilità dei flussi informativi, la segregazione dei ruoli, i log di accesso e le evidenze di monitoraggio.

Impatti procedurali: dal campionamento statistico alla lettura integrale delle popolazioni dati

Sul piano operativo, le tecnologie di analisi massiva consentono di ridurre la dipendenza esclusiva dal campionamento casuale. L’accesso a popolazioni complete di dati rende possibile individuare valori anomali (outlier), transazioni atipiche e segnali di rischio tempestivamente, orientando la strategia di audit verso le aree a più elevata significatività.

Il campionamento, lungi dall’essere ridotto, diviene “mirato” per cui la selezione delle operazioni da testare è guidata da indicatori ex ante, anziché da estrazioni indifferenziate. Ne consegue un rafforzamento della base informativa del giudizio e l’audit può poggiare su un’analisi più ampia, a condizione che siano governati i passaggi di estrazione, pulizia e trasformazione dei dati, evitando che l’efficienza operativa si traduca in opacità metodologica.

Parallelamente, la meccanizzazione delle attività ripetitive permette di rendere più efficienti procedure che tradizionalmente richiedono molto tempo. Si pensi alla circolarizzazione vale a dire attività che, in molte realtà, può essere gestita tramite processi automatizzati di invio, raccolta, tracciamento e archiviazione delle risposte, con riduzione della dispersione documentale e incremento della standardizzazione delle carte di lavoro. L’efficienza non basta, ogni automatismo va sottoposto a controlli per verificare l’identità del destinatario, la provenienza della risposta, l’integrità degli allegati e la conservazione sicura delle evidenze.

IA bifronte, strumento di revisione e oggetto di revisione

L’intelligenza artificiale produce effetti “a due vie”. Da un lato, può fungere da ausilio al revisore, in quanto consente di analizzare testi contrattuali e comunicazioni, individuare incoerenze, riconoscere pattern anomali nei dataset, supportare la selezione delle aree critiche. Da questo punto di vista, l’IA può rafforzare la base informativa su cui poggia il giudizio professionale. Dall’altro lato, l’IA adottata dall’impresa diviene essa stessa oggetto di valutazione, poiché incide sui processi contabili e di reporting.

Se cresce l’utilizzo di strumenti di IA generativa in amministrazione, finanza e controllo, aumenta la necessità di comprendere come tali modelli sono addestrati, quali dati utilizzano, quali metodi di validazione sono attivi e quali responsabilità sono allocate. L’attenzione si concentra sulla qualità dei dati di training (provenienza, completezza, accuratezza), sulla prevenzione di bias e di errori sistematici, nonché sulla conformità a regole interne ed esterne (privacy, sicurezza, tracciabilità).

In sostanza, il revisore deve accertare che l’adozione dell’intelligenza artificiale sia accompagnata da una governance appropriata, costituita da politiche, controlli, ruoli, responsabilità e monitoraggi. Questo garantisce che il risultato prodotto dall’algoritmo non diventi privo di responsabilità e trasparenza.

Rischi emergenti: cyber security, privacy e automation bias

L’evoluzione tecnologica, per quanto promettente, amplia la superficie di rischio. L’interconnessione e la dipendenza da infrastrutture digitali accrescono l’esposizione ad attacchi informatici, violazioni della riservatezza e incidenti che possono compromettere disponibilità e integrità dei dati.

Per il revisore ciò implica un’analisi più profonda dei rischi IT e dei controlli correlati, nonché una valutazione dell’impatto che eventi cyber possono avere sulla rappresentazione contabile e sulla continuità operativa. Accanto a questi profili, vi è un rischio meno “tecnico”, ma altrettanto insidioso e latente, inquanto non immediatamente riconoscibile: l’automation bias, ossia la tendenza a conferire agli output automatizzati una presunzione di correttezza, attenuando la capacità critica.

Tale inclinazione confligge con la stessa ratio della revisione, poiché lo scetticismo professionale costituisce presidio indefettibile e non è suscettibile di delega a sistemi algoritmici, per quanto essi siano sofisticati. Anche con strumenti avanzati, l’evidenza va sempre valutata, verificata e confrontata con altre fonti in modo critico.

Capitale umano e architettura organizzativa: verso team interdisciplinari

La tecnologia non “sostituisce” il revisore, ne amplifica le capacità, ma richiede un riassetto della macchina organizzativa. Le attività di revisione, in linea con una tendenza ormai consolidata, si sviluppano secondo due assi portanti che operano in parallelo. Da una parte, si assiste all’integrazione all’interno dei team di revisione di figure professionali dotate di competenze STEM, ossia esperti in data science, programmazione informatica e analytics, capaci di gestire e interpretare grandi moli di dati attraverso strumenti tecnologici avanzati. Dall’altra, viene dato grande rilievo al rafforzamento della formazione permanente per i revisori che tradizionalmente operano nel settore, con particolare attenzione all’aggiornamento su tematiche quali automazione dei processi e applicazione dell’intelligenza artificiale. Questo doppio percorso consente di costruire team interdisciplinari, in cui la conoscenza tecnica si integra con l’esperienza professionale, garantendo una maggiore adattabilità alle sfide poste dall’evoluzione digitale e una più efficace capacità di presidio dei rischi emergenti.

Sempre più spesso le organizzazioni di revisione istituiscono technology hub interni, presidiati da competenze informatiche, che operano in modo trasversale a supporto dei team spaziando dalla data extraction e data preparation sino alle analisi avanzate. Ciò consente di elevare la qualità delle procedure e di rendere più solida la documentazione, a condizione che resti chiaro il perimetro delle responsabilità. La specializzazione tecnica deve essere integrata nel governo dell’incarico, senza frammentare il controllo complessivo del rischio e del giudizio.

La prospettiva di ASSIREVI: l’IA potenzia le procedure, ma il giudizio del revisore resta non delegabile

Nel processo di revisione supportato dalla tecnologia, la letteratura professionale più recente sottolinea che l’innovazione non “sostituisce” la responsabilità del revisore, ma ne ridefinisce le garanzie di qualità. In particolare, la Monografia ASSIREVI n. 5 (dicembre 2025) chiarisce che, pur a fronte di un incremento di efficienza ed efficacia (automazione di procedure ripetitive, analisi evoluta di dati strutturati e non strutturati), permane fermo il principio per cui il giudizio sul bilancio è imputabile al professionista, in un quadro di integrità e indipendenza.

In tale cornice, ASSIREVI distingue nettamente tra automazione deterministica e IA generativa (GenAI), evidenziando che l’output probabilistico può generare criticità specifiche per l’audit trail, soprattutto in termini di documentazione, tracciabilità e riproducibilità delle evidenze. Al momento, non è possibile affidarsi solo ai risultati di GenAI senza una verifica critica e documentata da parte del revisore, che rimane il responsabile finale della procedura di verifica e controllo.

Prospettive di sistema

In definitiva, la traiettoria è irreversibile, l’audit si svolge in un ambiente in cui dati e processi sono digitali, e l’IA diviene componente ordinaria dell’operatività aziendale. Ciò rende imprescindibile un confronto costruttivo tra professione, standard setter, autorità e stakeholder, al fine di assicurare un quadro tecnico-regolamentare coerente con i cambiamenti tecnologici.

L’obiettivo è evitare che l’innovazione si traduca in opacità o in acritico affidamento, preservando indipendenza, integrità dei processi e, soprattutto, la centralità del giudizio professionale. L’IA non si configura quale vicario del revisore, bensì quale strumento abilitante che può ampliare la capacità di analisi, ferma restando la personalità del giudizio e la responsabilità della conclusione professionale che non può essere abdicata alla macchina.