SOX è stato costruito per gli esseri umani. L’IA non si adatta a quel modello.
Per oltre due decenni, i framework di assicurazione e conformità si sono basati su un semplice presupposto: le decisioni materiali sono prese da persone. Il ripristino dell’assicurazione post-Sarbanes-Oxley Act (SOX) ha funzionato perché ha allineato la responsabilità con il comportamento umano. Questo presupposto plasma il modo in cui sono progettati i controlli interni, come viene assegnata la responsabilità e come viene fornita l’assicurazione.
I controlli circondano il giudizio umano. La documentazione spiega il ragionamento umano. I meccanismi di escalation presuppongono che una persona o un ruolo specifico possa essere identificato, interrogato e ritenuto responsabile quando le decisioni vengono messe in discussione.
L’intelligenza artificiale sta lentamente interrompendo questo modello, non eliminando i controlli, ma introducendo un giudizio non umano negli ambienti di controllo, con un design di governance chiaramente in ritardo.
Un presupposto di design mai riesaminato
Il ripristino dell’assicurazione post-Sarbanes-Oxley (SOX) ha funzionato perché ha allineato la responsabilità con il comportamento umano. Le affermazioni della direzione, la documentazione dei controlli, le tracce di audit e i processi di rimedio assumevano che le decisioni provenissero da operatori identificabili all’interno di ruoli definiti. Quel design SOX è rimasto valido, anche di fronte alle crisi successive, perché alla fine il giudizio rimaneva umano, anche quando era imperfetto.
L’intelligenza artificiale cambia il punto di origine.
Con i sistemi automatizzati che influenzano sempre più le previsioni, le analisi, le approvazioni delle transazioni e l’interpretazione dei contratti, il giudizio non risiede più esclusivamente nelle persone. È incorporato a monte nei dati di addestramento, nella logica dei modelli, nelle soglie e nella gestione delle eccezioni, e questo avviene spesso molto prima che le funzioni di conformità o audit siano coinvolte. Tuttavia, il framework di controllo rimane sostanzialmente invariato.
Le sfide della conformità e dell’audit
Gran parte della discussione attuale sull’IA e sulla conformità si concentra sull’estensione dei framework esistenti. I professionisti esplorano il testing continuo di SOX, l’espansione della copertura dei controlli, il miglioramento della documentazione e i principi di IA responsabile per mantenere i sistemi auditabili. Questi sforzi sono importanti; mostrano una professione che si adatta progressivamente e attivamente ai propri strumenti. Tuttavia, gran parte di questo discorso parte da un presupposto non messo in discussione: che il modello di assicurazione rimanga solido e che l’IA debba semplicemente essere governata al suo interno.
Ciò che riceve meno attenzione è se questo presupposto sia ancora valido. I framework post-SOX presumono che le decisioni possano essere documentate, messe in discussione, escalate e attribuite a un operatore o a un ruolo. L’IA complica questo non perché manchi di controlli, ma perché incorpora un giudizio che è distribuito, probabilistico e spesso opaco per design.
I rischi della governance inadeguata
Quando il giudizio si sposta, ma i controlli rimangono fermi, in molte organizzazioni, i sistemi di IA vengono introdotti come strumenti di efficienza piuttosto che come decisioni di governance. Velocità, coerenza e scala sono prioritari. I controlli vengono valutati dopo il deployment. L’assicurazione è attesa a valle. I team di conformità e audit sono chiamati a convalidare i risultati senza visibilità sul giudizio incorporato nei sistemi che li hanno prodotti. Il testing dei controlli conferma l’esecuzione, ma la spiegazione diventa più difficile. Quando sorgono domande durante le revisioni interne, le indagini normative o le discussioni del consiglio, la questione è raramente inquadrata come un problema di design del sistema. È diventato un problema di responsabilità. Chi possiede la decisione quando nessuna singola persona l’ha presa?
Questa tensione non riflette un fallimento di SOX. È una riflessione dei suoi limiti di design. I controlli dell’era SOX presuppongono decisori umani, ragionamento spiegabile e proprietà basata su ruoli. L’IA introduce un processo decisionale che è distribuito, adattabile e difficile da interpretare in termini umani.
Conclusione
Se i framework di governance non evolvono insieme al deployment, le organizzazioni rischiano di operare ambienti di controllo che sembrano robusti ma mancano di visibilità su come vengono prese le decisioni. In questo scenario, le funzioni di conformità e audit ereditano la responsabilità senza autorità e diventano responsabili per risultati plasmati da logiche che non possono interrogare completamente.
Il rischio non è l’automazione stessa. È consentire al giudizio di migrare nei modelli di IA mentre le assunzioni di governance rimangono ancorate ai modelli decisionali umani. I passati ripristini di assicurazione sono stati innescati da fallimenti di fiducia. Questi erano momenti in cui i framework esistenti non potevano più spiegare come venivano prese o difese le decisioni sotto scrutinio. L’IA non ha ancora prodotto una crisi definitoria, ma le condizioni che sfidano la responsabilità, l’interpretabilità e la proprietà sono già in atto.
Per i leader della conformità, del rischio e dell’audit, la domanda non è più se l’IA si espanderà. Si espanderà. La domanda più urgente è se le assunzioni di governance verranno riesaminate prima di essere testate. Se i framework di assicurazione non possono spiegare come vengono prese le decisioni, non possono difenderle. E quando la fiducia viene messa in discussione, la spiegazione e non l’efficienza è ciò che alla fine conta.
