BLOG

EU AI Act og Revisorer: AI i Regnskabskontrol, Finansiel Revision og Compliance

kategori: Finansiel Sektor

laengde_ord: ~2350

dato: 2026-05-14

Revisorer bruger i stigende grad kunstig intelligens til at gennemgå årsrapporter, opdage uregelmæssigheder i regnskaber og understøtte kreditvurderinger. Deloitte AI, KPMG Clara, PwC GenAI og EY Canvas er blot de mest kendte eksempler på platforme, der allerede er i brug. Men med EU AI Act trådt i kraft og centrale dele gældende fra 2. august 2026 opstår et naturligt spørgsmål: Hvad betyder forordningen konkret for revisionsbranchen, og hvor stor er risikoen for at havne i den tunge høj-risiko-kategori?

Denne artikel gennemgår klassificeringen af revisions-AI, det vigtige overlap med ISQM 2 og revisorlovgivningen, revisors erstatningsansvar for AI-fejl og de praktiske skridt, en revisionsvirksomhed bør tage nu.

Er Revisions-AI Høj-Risiko? En Analyse af Annex III

EU AI Act opdeler AI-systemer i fire kategorier: forbudt, høj-risiko, begrænset risiko og minimal risiko. For revisorer er det navnlig Annex III — listen over høj-risiko-AI-systemer — der er afgørende.

Annex III indeholder otte produktkategorier. De to mest relevante for revisorer er:

  • Punkt 5 (b): AI-systemer til kreditvurdering og kreditscoring, der vurderer fysiske personers kreditværdighed eller fastsætter deres kreditscore.
  • Punkt 8: AI-systemer til administration af kritisk infrastruktur, herunder finansielle systemer, såfremt systemet træffer eller understøtter beslutninger med potentielt alvorlig indvirkning.
  • Derudover kan AI-systemer brugt til at screene og sortere regnskaber med henblik på at identificere fejl, svindel eller usikkerheder have berøring med punkt 5 (a) om vurdering af fysiske personers adgang til finansielle ydelser — særligt hvis systemet behandler data om enkeltpersoner snarere end juridiske enheder.

    Konklusion: Revisions-AI, der udelukkende analyserer juridiske enheders (virksomheders) regnskaber og ikke træffer eller understøtter afgørelser om fysiske personers økonomi, befinder sig typisk uden for Annex III's direkte rækkevidde. Men grænsen er ikke skarp — og mange revisionsvirksomheder opererer i en gråzone, som kræver en eksplicit risikovurdering og dokumentation.

    AI til Anomali-Detektion i Regnskaber: Klassificering

    Et af de mest udbredte anvendelsesområder for AI i revision er automatiseret anomali-detektion: systemet gennemgår bogføring, posteringer og transaktionsmønstre for at markere usædvanlige beløb eller mønstre til nærmere undersøgelse.

    Klassificeringen af sådanne systemer afhænger af, hvad output bruges til:

    | Brug af AI-output | Klassificering |

    |---|---|

    | Internt redskab — revisor tager alle afgørelser | Sandsynligvis minimal/begrænset risiko |

    | Understøtter revisors konklusion i revisionspåtegning | Gråzone — risikovurdering anbefales |

    | Automatiseret filtrering med direkte kundekonsekvens (f.eks. afvisning af låneansøgning) | Potentielt høj-risiko (Annex III punkt 5) |

    Nøglen er altså hvem der er berørt, og i hvilken grad AI'en erstatter menneskelig vurdering frem for blot at understøtte den. EU AI Act artikel 6 fastslår, at en AI-komponent, der er integreret i et ellers ikke-reguleret produkt, kan medføre høj-risiko-klassificering for hele produktet, hvis den komponent falder under Annex III.

    Kreditvurdering i Revision: Annex III Punkt 5

    Mange revisorer udfører due diligence-opgaver for banker, kapitalfonde og virksomheder, der ønsker at vurdere en modparts kreditværdighed. Når AI bruges til at understøtte eller automatisere vurderingen af fysiske personers kreditværdighed, er vi direkte i Annex III punkt 5 (b)-territorium.

    Det medfører en lang række krav, der gælder fra 2. august 2026:

  • Artikel 9: Et dokumenteret risikoledelsessystem skal etableres og vedligeholdes løbende.
  • Artikel 10: Strenge krav til datakvalitet og -styring for de datasæt, AI-systemet er trænet på og løbende bruger.
  • Artikel 11 og Annex IV: Teknisk dokumentation skal foreligge, opdateres og opbevares i mindst ti år efter systemets ophør.
  • Artikel 13: Gennemsigtighed og oplysningspligt over for de berørte (se særskilt afsnit nedenfor).
  • Artikel 14: Krav om menneskelig kontrol (human oversight) — systemet må ikke fuldt ud erstatte menneskelig vurdering.
  • Artikel 72: Post-market monitoring — løbende overvågning af systemets performance i praksis efter udrulning.
  • Revisionsvirksomheder, der leverer AI-assisterede kreditanalyser til tredjeparter, bør straks afklare, om de er udbydere eller deployere af det pågældende AI-system — og hvilke forpligtelser der følger deraf under henholdsvis artikel 16 og artikel 26.

    ISQM 2 og EU AI Act: Overlappende Krav

    International Standard on Quality Management 2 (ISQM 2) regulerer kvalitetsstyring på engagementsniveau og stiller krav til, at den ansvarlige partner aktivt kontrollerer og dokumenterer, at revisionshandlinger er tilstrækkeligt udført. Standarden trådte i kraft for perioder, der begynder 15. december 2022 eller senere.

    Overlappet med EU AI Act er betydeligt:

  • ISQM 2 kræver dokumentation for, at konklusioner er underbyggede. EU AI Act artikel 12 kræver logging og hændelsesregistrering for høj-risiko-AI.
  • ISQM 2 forudsætter menneskelig ansvarlighed for revisionskonklusioner. EU AI Act artikel 14 kræver menneskelig kontrol med høj-risiko-AI.
  • ISQM 2 fordrer kvalitetsgennemgang af komplekse eller risikobetonede engagementer. EU AI Act artikel 9 stiller tilsvarende krav om løbende risikovurdering af AI-systemet.
  • De gode nyheder er, at virksomheder, der allerede opfylder ISQM 2 fuldt ud, er godt på vej til at leve op til EU AI Act's dokumentations- og kontrolkrav for høj-risiko-AI. Det kræver dog en bevidst kortlægning af, hvilke AI-komponenter der indgår i revisionsprocessen, og en eksplicit stillingtagen til, om de falder under forordningens krav.

    Revisorlovgivning og AI: Revisorlovens Krav til Uafhængighed

    Revisorloven (lovbekendtgørelse nr. 1219 af 1. november 2023) stiller krav om, at revisorer handler uafhængigt og ikke lader sig påvirke af uvedkommende hensyn. Spørgsmålet er, om brugen af leverandørleveret AI — for eksempel Deloitte AI eller KPMG Clara — udgør en trussel mod denne uafhængighed.

    Svaret er nuanceret:

  • Uafhængighed af systemleverandøren: Hvis AI-platformen er leveret af moderselskabet i et internationalt netværk, og revisoren ikke har indsigt i, hvilke data eller parametre systemet er trænet på, kan der op
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr