Du har över 10 års erfarenhet av revisionsyrket med fokus på digitalisering från KPMG och gick över till FAR för drygt ett halvt år sedan. Hur känns det att "vara på andra sidan"?
Skulle inte säga att det är andra sidan på FAR. På många sätt jobbar jag med liknande frågor idag som på KPMG men med fokus på branschen i stället för byrån. Största skillnaden är så klart att inte längre ha kundarbetet och den praktiska revisionen. Under min tid på FAR har jag fått nya perspektiv på branschen som helhet vilket jag tror gjort mig mer ödmjuk för den verklighet vi har idag och förutsättningarna för att ta oss framåt.
Hur skulle du beskriva FAR:s roll för den digitala utvecklingen inom revisionsbranschen?
FAR har en jätteviktig roll att visa vägen för att främja digitalisering och användning av teknik. FAR kan inte ta fram applikationer som löser den digitala utvecklingen men vi vill jobba för att utbilda och skapa förutsättningar för våra medlemmar och i branschen. Med den takt som den digitala utvecklingen har idag handlar förändring mer om att bygga en organisation som med sin strategi och kultur är redo att anamma nya innovationer. Det är lätt att ändra i vägledningar men att få till praktisk förändring är en stor utmaning och något som nästan alla organisationer kämpar med.
Är det utmanande att para digitala möjligheter med revisionsregelverket? Den snabba utvecklingen inom teknologi och digitalisering kan ibland leda till att regelverket inte hänger med i samma takt.
Det här är en utveckling vi ser i flera områden, inte bara digitalisering. Ökade regelkrav har stor påverkan på revisionsyrket och gör att det finns fler aspekter att ta hänsyn till. Det gör också att behovet av specialistkompetens ökar inom branschen. FAR ser också att de lagkrav och standarder som lägger grunden för vår revision inte är helt anpassade efter de utmaningar branschen möter idag och de behöver tolkas för att skapa förutsättningar för en fortsatt digital utveckling. Regelkraven gör i många fall att revisorer tvekar inför att använda nya digitala verktyg eftersom det finns en osäkerhet kring hur revisionsbevisen värderas, verktygens funktioner och säkerhet.
Hur ser FAR på möjligheten för revisorer att använda tjänster som aggregerar och anonymiserar kunders data för att hjälpa revisorn att utföra sitt jobb bättre?
Som revisorer måste vi beakta vår tystnadsplikt när vi hanterar våra kunders data eftersom tystnadsplikten är en grundsten för förtroendet i vår bransch. Det är därför viktigt att säkerställa att tystnadsplikten kan upprätthållas för att inte riskera att data eller information delas på ett olämpligt sätt. Data är en stor tillgång, vilket blir än tydligare när vi kommer in på utveckling av AI-modeller, och vi måste säkerställa att både vår egen organisations data och kunders data hanteras säkert. Det finns idag många tjänster som kan hjälpa till att anonymisera data eller jämföra data mot andra källor. Här måste revisorn vara kritiskt för de verktyg som finns tillgängliga och utvärdera hur data som läggs in faktiskt används och om användande av verktyget i sig också ger en tredjepartsleverantör åtkomst att kunna använda datan i fortsatt utveckling. Med det sagt kommer dataanalys och AI-verktyg vara en förutsättning för revisorer i en snar framtid och att kunna använda kunddata i den utvecklingen kommer vara viktigt för att modellerna ska fungera på rätt sätt. Här vill vi på FAR bidra genom att lyfta riskerna kring detta och vägleda hur data kan hanteras på ett sätt som inte bryter mot tystnadsplikten.
Vad skulle det innebära för en revisor avtalsmässigt gentemot sin kund att använda en sådan tjänst? Behöver det specifikt avtalas om?
Som jag nämnde är tystnadsplikten en viktig grundsten. På samma sätt som vi, som revisorer, behöver säkra de tjänster vi köper in kan det behövas förtydligas i uppdragsavtal för våra revisionsuppdrag hur data används och får användas för att kunderna ska känna sig trygga med hur deras data hanteras.
Vilka konsekvenser ser FAR om det skulle finnas aktörer på marknaden som använt data från sin revisionsverksamhet för att träna modeller för att hitta avvikelser?
Vi på FAR förstår att många vill kunna utveckla AI-modeller för att förbättra revisionskvaliteten men risken här är främst om data har delats i strid med tystnadsplikten. Revisorer förstår den lagstiftning som finns men kanske inte har den tekniska kompetensen att utvärdera dataanvändning vid utveckling av AI-modeller. Beroende på kompetens kan det därmed vara bättre att anlita en tredjepart som kan stötta i utvecklingen alternativt att köpa in färdiga modeller i stället för att träna upp egna. Vid användning av köpta tjänster är det dock också viktigt att utvärdera hur den data som tolkas av AI-modellen hanteras hos tredjepart.
Senseworks har sina avtal offentligt tillgängliga på sin hemsida och är GDPR-kompatibla samt genomgår flera säkerhetstester varje år för att garantera våra kunders data och dess användning. Men med AI:s intåg öppnas en rad automatiseringsmöjligheter. Hur ser du på framtiden med AI?
EU:s AI-reglering genom AI-förordningen visar på behovet av att förstå de AI-modeller som utvecklas och används. Transparensen blir viktig att hantera så att både framtagandet av AI-lösningar och mottagare förstår vad modellerna gör, så gott det går. Behovet av att bestyrka både data och IT kommer att öka med tredjepartsintyg eller motsvarande. Det viktiga här skulle jag säga är att satsa på utbildning och att bygga en kultur för digital utveckling samt förbereda organisationen för användning av AI. Strategi och styrning är superviktigt för att lyckas.
Hur kändes det här?
Det känns som att ni på Senseworks ser liknande utmaningar som oss på FAR vilket är bra grund för att ta diskussioner vidare och skapa rätt förutsättningar i branschen.
