Regelverket, som blir omtalt som verdens hittil mest omfattende lovgivning innen AI, setter strenge krav til utvikling, bruk, og overvåkning av AI-systemer. Spesielt viktig er delen av regelverket som tar for seg high-risk AI systems, systemer som kan ha betydelige implikasjoner for mennesker og samfunn dersom de feiler.
Som en sikring mot feil ved bruk av høyrisiko AI-systemer krever AI Act tredjepartsattestasjon. Kort sagt innebærer dette at en uavhengig tredjepart må vurdere og bekrefte at et gitt AI-system oppfyller de strenge kravene til sikkerhet, personvern og transparens som EU setter, både før lansering og ved løpende bruk. Det er riktignok mange delte meninger om AI, men noe ser vi altså ut til å være enige om jevnt over: I noen kritiske deler av samfunnet har vi ikke råd til at AI-modellene skal feile. AI Act og dens lovpålagte tredjepartsattestasjon er en manifestasjon av denne enigheten.
Og det er her, i kontroll-leddet av høyrisiko AI-systemer, at menneskene – revisorene – må komme inn i bildet. Det råder kanskje jevnt over uenighet, eller usikkerhet, rundt hvor grensen mellom maskin og menneske bør trekkes. Heller ikke AI Act-en er helt klar på dette. Men personlig er jeg, og verdens største revisjons- og rådgivningsselskap Deloitte, sikker på at revisoren både har kompetansen og posisjonen som kreves for å sikre bruken av AI i deler av samfunnet vårt hvor vi ikke har råd til at det feiler.
Sikre tilliten
Revisorens jobb er jo nettopp å sikre tilliten mellom autoritetene, folket og næringslivet, og for å kunne forvalte denne tilliten må revisoren til enhver tid ha styr på de nye standardene, systemene og markedspraksisene som medfølger verdensutviklingen vår. De siste årene har ESG- og AI-evolusjonen bidratt til en kompetanseutvikling blant revisorer som jeg sjelden har sett maken til. Det jobbes intenst med å innlemme AI i egne revisjonsprosesser etter de samme prinsippene om sikkerhet, personvern og transparens som er etablert i finansiell revisjon. Det er revisorene lovpålagt å gjøre. Det gjelder ikke så mange andre, akkurat nå.
Ettersom revidering og attestering av teknologiske systemer som høyrisiko AI-systemer er en såpass vanskelig oppgave, må den med andre ord falle i revisorens kvalitetsbevisste og kunnskapsrike hånd. Og det er en god ting. Der bør den forbli.
For AI er ikke helt som sine andre teknologivenner. Den vokser seg større og raskere enn de andre teknologiene, og blir bare mer og mer selvsikker, som et slags beist vi må temme. Samtidig er den lett å manipulere. Ikke minst mangler den det etiske og moralske kompasset som de fleste mennesker syntes å være født med.
Så når AI skal spille en stadig viktigere rolle i livene våre fremover, og høyrisiko AI-systemer vil innlemmes i helsesektoren, rettssystemet, infrastruktur og andre kritiske grunnstener i et godt og levelig samfunn, trenger vi enkelt og greit beviset, rettere sagt attestasjonen, på at modellene fungerer som de skal. Vi trenger revisorene.
Gjort tunge investeringer
Heldigvis har de store revisjonsselskapene allerede investert tungt i å bygge opp egne AI-modeller for revisjon og andre økonomisentrerte funksjoner. Modeller som må fungere hver gang de benyttes. Tillitsverdige modeller er nødvendig for at revisoren bevarer sin posisjon som tillitsbyggeren i samfunnet. Ikke minst skal regler fra Finanstilsynet og andre myndigheter etterleves, uten unntak. De store revisjonsselskapene har derfor kompetanse som trengs for “vanntett” modellutvikling som i tilstrekkelig grad hensyntar datasikkerhet og personvern på den ene siden, og kapasiteten til effektiv gjennomføring av uavhengige kontroller på den andre. Dette gjør revisjonsselskapene som skapt for rollen som uavhengige voktere av AI.
Og der revisoren er vokteren, er til sammenligning tilsynsmyndighetene nødt til å være høvdingen som sikrer at EUs AI Act-regelverket rulles ut og håndheves på en effektiv og effektfull måte. Et tett samarbeid mellom tilsynsmyndighetene og de store revisjonsselskapene, der revisjonsselskapene utfører den tekniske evalueringen og myndighetene sørger for overordnet tilsyn, er avgjørende for AI Act-ens suksess. AI-systemene blir da vurdert av de som har best forutsetninger for å forstå dem, samtidig som det opprettholder myndighetenes overordnede ansvar for offentligheten. Og sånn beveger samfunnet seg trygt fremover. Ved hjelp av både vokteren og høvdingen.