logoRevisjon og regnskap

Digitalisering
Ph.D.
Lars Erlend Leganger

Chief Technical Officer, Advokatfirmaet PwC

Magnus Haukeberg Skaar

Director, PwC

AI og revisjon: Fremtiden er her. Tenk deg et system som aldri tar pause, og som alltid er på vakt mot feil og avvik – helt uten menneskelig innblanding. I denne faste spalten tar vi pulsen på hvordan kunstig intelligens endrer revisjonsbransjen. Er du klar for å bli kjent med morgendagens digitale kollegaer?

I kjølvannet av SaaSpokalypsen bygger revisor revisjonsverktøyene selv

70-72

Hva skjer når revisor ikke bare bruker programvaren, men begynner å beskrive arbeidsoppgaven og lar AI bygge løsningen? Det som nå skjer i møtet mellom agentisk AI, vibecoding og revisjon, kan endre både hvordan arbeidet utføres — og hva som må kontrolleres.

I 2011 spådde Marc Andreessen i Wall Street Journal at «software is eating the world» – at den ene fagdisiplinen etter den andre ville erstattes eller domineres av software. Femten år senere kan fagfolkene slå tilbake: Nå er det AI-agenter og vibecoding – der fageksperter beskriver ønsket funksjonalitet i naturlig språk og lar AI lage løsningene – som spiser deler av programvareselskapenes brukergrensesnitt. For revisjonsbransjen er dette mer enn en teknologitrend. Det rokker ved hvordan revisjonsarbeid utføres, dokumenteres og kvalitetssikres. Ikke fordi kunstig intelligens (AI) kan overta revisjonsansvaret, men fordi den kan overta stadig flere av handlingene som tidligere fylte arbeidsdagen: Hente dokumentasjon, sammenligne datasett, skrive førsteutkast, følge opp avvik og foreslå neste revisjonshandling. Hva skjer med revisjonsfaget når verktøyene våre begynner å utføre revisjonsarbeid, ikke bare støtte det?

Hva er vibecoding?

«Vibecoding» betyr at man beskriver i vanlig språk hva en digital løsning skal gjøre, og lar kunstig intelligens hjelpe til med å lage koden, arbeidsflyten eller prototypen.

For revisorer og regnskapsførere betyr dette at avstanden mellom faglig idé og fungerende verktøy blir kortere. En revisor kan for eksempel beskrive en avstemmingsrutine, kundeoppfølging eller en kontroll av arbeidsnotater, og få hjelp til å lage en digital løsning som støtter eller automatiserer oppgaven.

Vibecoding gjør ikke fagpersonen til systemutvikler over natten. Og AI-generert kode må fortsatt testes, kvalitetssikres og styres. Men det gjør det mulig for fagfolk å delta mye mer direkte i utviklingen av små, målrettede verktøy for egne arbeidsprosesser.

Apokalypsen nyansert

I SaaS (Software as a Service) støtter og organiserer programvare en arbeidsflyt, men mennesket utfører den. Typisk betaler man en lisenskostnad per «sete»: Jo flere mennesker som bruker løsningen, desto høyere blir inntektene. Når programvarens verdi er proporsjonal med antall mennesker som bruker den, er interaksjonsflaten og brukeropplevelsen viktig.

Agentisk AI endrer denne arbeidsdelingen. En AI-agent kan ta et mål, bryte det ned i deloppgaver, hente informasjon fra flere systemer, bruke API-er, produsere dokumentasjon og be mennesket om godkjenning der mandatet stopper. Og her kommer «SaaSpokalypsen»: Hvis en agent kan utføre oppgaver direkte, blir mange SaaS-løsninger redusert fra arbeidsflate til datakilde, kontrollag eller transaksjonsmotor. På samme måte som AI svekker time & material prismodellen i professional services, presses SaaS-prising fra brukerorientering over mot resultatorientering.

Det betyr ikke at SaaS dør. Gode systemer forblir viktige fordi de eier data, rettigheter, historikk, integrasjoner og transaksjonell konsistens. Men brukernes forhold til systemene endres. Revisor trenger ikke nødvendigvis å klikke seg gjennom alle skjermene selv. Revisor kan beskrive hva som skal gjøres, og kontrollere hva agenten faktisk gjorde. Det høres lite ut. Det er det ikke.

Revisjon er både eksponert og beskyttet

Revisjon er en kunnskapsintensiv profesjon, men store deler av revisjonsprosessen består av repeterbare, digitale arbeidsoppgaver. Vi innhenter dokumentasjon, strukturerer data, avstemmer beløp, sammenligner lister, leser kontrakter, skriver notater, følger opp mangler og dokumenterer konklusjoner.

Mye av dette er nettopp den typen arbeid agentisk AI er god til. En agent kan oppdatere PBC-lister. Den kan lese innsendt dokumentasjon og foreslå hvilke punkter som kan lukkes. Den kan hente hovedbok og reskontro, kjøre en avstemming og lage en avviksoversikt. Den kan lese leiekontrakter og trekke ut klausuler som er relevante for regnskapsmessig behandling. Den kan foreslå posteringer med forhøyet risiko basert på tidspunkt, bruker, beløp og uvanlige kombinasjoner.

Dette er ikke nødvendigvis revisjonens intellektuelt mest krevende arbeid. Men det er arbeid som tar tid, og som ofte er avgjørende for fremdrift og dokumentasjonskvalitet.

Samtidig er revisjon beskyttet mot full automatisering av de samme forholdene som gjør faget krevende: vesentlighet, profesjonelt skjønn, uavhengighet, revisjonsbevis og ansvar. En agent kan analysere en populasjon. Den kan ikke alene avgjøre hva som er tilstrekkelig og hensiktsmessig revisjonsbevis. Den kan skrive et notat. Den kan ikke eie konklusjonen. Den kan foreslå. Den kan ikke signere.

Derfor er revisjon verken immun mot AI eller på vei til å bli helautomatisert. Det mer sannsynlige er en hybrid modell, der AI utfører mer av arbeidet, mens mennesker må bli bedre til å definere, kontrollere og dokumentere.

Vibecodede revisjonsverktøy

De store revisjonshusene er allerede godt i gang med å bygge AI inn i nye og eksisterende revisjonsplattformer. Men den aller mest spennende utviklingen nå er at revisjonsteam, støttet av AI-agenter, selv kan «vibecode» små, spesialiserte verktøy. En revisor kan beskrive en ønsket arbeidsflyt i naturlig språk: «Hent inn hovedbok og kundereskontro, match åpne poster, identifiser differanser over terskelverdi, foreslå forklaringstyper og lag et arbeidsnotat med spor til datakildene.» En AI-agent kan deretter kode opp en første versjon av verktøyet. Dette åpner opp for enny kategori revisjonsapplikasjoner: små, målrettede «audit apps» som løser konkrete oppgaver nær revisjonsteamets faktiske behov. Ikke som en erstatning for store plattformer og generelle systemer, men som supplerende små verktøy for avgrensede oppgaver. Eksempler kan være:

  • Kontrollere om arbeidsnotater inneholder formål, handling, resultat, vurdering og konklusjon.

  • Sammenligne mottatt dokumentasjon mot PBC-listen og foreslå status.

  • Avstemmingsmotor som lager avviksrapporter med lenke til underliggende transaksjoner.

  • Kontraktleser som trekker ut regnskapsrelevante vilkår.

  • Metodeoppslag som bare svarer basert på godkjente interne og eksterne kilder.

Slik fagekspert-vibecoding er kraftfullt, men det kan også bli farlig hvis det kun behandles som triviell prosessuell automatisering. I revisjon er et verktøy sjelden bare et verktøy. Hvis det påvirker hvilke bevis som innhentes, hvordan bevis vurderes, eller hva som dokumenteres i arbeidsfilen, er det en del av revisjonsprosessen, og da må det styres deretter.

Den nye kontrollfilen

Fremtidens revisjonsfil må ikke bare dokumentere hva revisor gjorde. Den må dokumentere hva AI-agenter – både fra sentrale revisjonsplattformer og lokale løsninger – har gjort på revisors vegne.

Det innebærer en ny type kontrollspor:

  • Hvilken agent eller applikasjon ble brukt?

  • Hvilken versjon av modellen og verktøyet?

  • Hvilke data fikk agenten tilgang til?

  • Hvilke instrukser ble gitt?

  • Hvilke API-kall eller systemhandlinger ble utført?

  • Hvilke resultater ble produsert?

  • Hvilke feilmeldinger, unntak eller avvik oppstod?

  • Hvordan ble output vurdert av et menneske?

  • Hva ble akseptert, endret eller forkastet?

Dette er ikke byråkrati for byråkratiets skyld, men en forutsetning for etterprøvbarhet. Et AI-verktøy som sparer tid, er ikke automatisk et godt revisjonsverktøy – det må også gi kontroll, sporbarhet og forklarbarhet.

Profesjonell skepsis mot maskinen

Profesjonell skepsis har tradisjonelt vært rettet mot ledelsens påstander, estimater og forklaringer. I en agentisk revisjon må skepsisen også rettes mot teknologien som hjelper oss å vurdere dem.

Det første spørsmålet er datagrunnlaget: Har agenten sett alt den burde se, eller bare det som var lett tilgjengelig? En elegant analyse av et ufullstendig datasett er fortsatt ufullstendig.

Det andre er instruksen: Ba vi agenten om å finne risiko, eller ba vi den indirekte om å bekrefte en forventning? Prompten blir en del av metodebruken.

Det tredje er handlingsrommet: Kan agenten bare lese og foreslå, eller kan den endre status, sende forespørsler, lukke oppgaver og oppdatere dokumentasjon? Jo mer agenten kan gjøre, desto strengere må kontrollene være.

Det fjerde er menneskelig review. Dette er kanskje den vanskeligste risikoen. AI-genererte notater kan se svært gode ut. De kan være strukturerte, presise i tonen og tilsynelatende faglige. Men god språkføring er ikke det samme som godt revisjonshåndverk. Risikoen er at mennesket blir en passiv godkjenner av noe som ser ferdig ut.

Den profesjonelle skepsisen må derfor utvides fra «kan jeg stole på denne forklaringen?» til «kan jeg stole på prosessen som produserte denne forklaringen?»

AI i revisjon er partneragenda, ikke et IT-prosjekt

Utrulling av agentisk AI og revisor-vibecoding griper inn i revisjonsmetodikk, kvalitetsstyring og profesjonsansvar, og partnerne måeie de viktigste beslutningene:

  • Hvor kan AI brukes fritt?

  • Hvor kreves forhåndsgodkjente verktøy?

  • Hvor er AI bare tillatt som støtte, ikke som revisjonshandling?

  • Hvilke krav stilles til dokumentasjon?

  • Hvem godkjenner lokale vibecodede løsninger?

  • Hvilke oppgaver skal alltid eies av mennesker?

Et godt startpunkt er å dele AI-bruk i tre kategorier.

Administrativ bruk: møteoppsummeringer, intern strukturering, språkvask. Her er risikoen ofte lavere, men konfidensialitet og databehandling må fortsatt håndteres.

Revisjonsstøtte: utkast til notater, analyseforslag, statusoppfølging, metodeoppslag. Her må output vurderes aktivt, og bruk bør dokumenteres når det påvirker revisjonsfilen.

Revisjonshandlinger: analyser, avstemminger, risikovurderinger eller dokumentasjonsvurderinger som inngår i revisjonsbeviset. Her må kravene til testing, logging, tilgangsstyring og menneskelig godkjenning være betydelig strengere.

Hvordan komme i gang med revisor-vibecoding?

Revisjonsforetak som vil komme i gang med AI-støttet revisor-vibecoding bør starte med kontrollerbare forbedringer i arbeidsflyter som er hyppige, avgrensede og dokumentasjonstunge. Tre områder peker seg ut:

Dokumentasjonskvalitet. AI kan sjekke om arbeidsnotater har nødvendige elementer, om konklusjoner henger sammen med utførte handlinger, og om referanser mangler. Dette er lavere risiko enn skjønnsmessige vurderinger, men kan gi stor kvalitetsgevinst.

Datainnhenting og avstemming. Agentiske arbeidsflyter kan redusere mye manuelt arbeid, særlig der datakilder og kontrollregler er godt definert. Her er logging og datakvalitet avgjørende.

Metode- og fagstøtte. AI som svarer basert på kuraterte kilder, kan gjøre metodikk mer tilgjengelig. Men den må være tydelig på kildegrunnlag, usikkerhet og når spørsmålet bør løftes til fagavdeling.

Felles for disse områdene er at de kan bygges trinnvis. Man kan gradvis bygge menneske – maskin-prosesser, uten å overlate konklusjonene til AI.

Mindre klikk, mer ansvar

Vi tror AI-SaaSpokalypsen treffer revisjon som en gradvis forskyvning i arbeidsform og -flater. Først forsvinner noen manuelle klikk. Så automatiseres enkelte arbeidsflyter. Revisjonsteam begynner å bygge egne småverktøy. Metodikk og kontroller justeres og tilpasses. Til slutt kan vi oppdage at deler av revisjonsprosessen er blitt agentisk uten at vi nødvendigvis har endret revisjonsmetodikken tilsvarende. Der ligger det en reell risiko.

Revisjonsbransjen bør ikke møte dette med forbud. Da flytter bruken seg bare ut i uformelle kanaler. Den bør heller ikke møte det med ukritisk begeistring. Da får vi effektiviserte prosesser, men uten tilstrekkelig kontroll. Den riktige responsen er å gjøre det revisjonsfaget allerede kan: definere risiko, etablere kontroller, dokumentere arbeid, utøve profesjonell skepsis og ta ansvar for konklusjonen.

AI-agenter kan gjøre mye. De kan hente, lese, sammenligne, skrive, foreslå og forklare. Men i revisjonens kjerne ligger et spørsmål som ikke kan automatiseres bort: Kan jeg stå inne for dette?