Cosa dovrebbero richiedere i consigli dall’IA: valutazione, audit e garanzia
In un precedente articolo, si è sostenuto che la governance dell’IA va oltre la supervisione di alcuni progetti tecnologici e ora comprende l’assicurazione che le decisioni abilitate dall’IA all’interno dell’organizzazione rimangano allineate con la strategia, l’appetito al rischio e gli standard etici. Una domanda naturale per i consigli è: oltre a stabilire aspettative, come può un’organizzazione verificare che i propri sistemi di IA stiano effettivamente funzionando come previsto, in modo responsabile e all’interno dei confini definiti?
La risposta risiede in tre discipline correlate ma distinte: valutazione del rischio dell’IA, audit dell’IA e garanzia dell’IA. I consigli familiari con la supervisione finanziaria troveranno la logica intuitiva. La sfida, e l’opportunità, è applicare quella stessa disciplina all’IA.
Tre concetti distinti ma correlati
È utile essere precisi su cosa significhi ciascun termine, poiché vengono spesso usati in modo intercambiabile quando non dovrebbero.
La valutazione del rischio dell’IA è il processo interno attraverso il quale un’organizzazione identifica, valuta e prioritizza i rischi associati ai propri sistemi di IA. Si chiede cosa potrebbe andare storto, quanto è probabile e quale sarebbe l’impatto. Questa è la base su cui tutto il resto poggia. Senza una valutazione del rischio credibile, né l’audit né la garanzia hanno una base significativa su cui lavorare. I sistemi materiali di IA esistono in ogni settore: un modello di scoring creditizio in una banca, uno strumento di triage dei pazienti in un ospedale, un predittore delle performance studentesche in un’università, un sistema di prioritizzazione dei casi in un’agenzia governativa. Ciò che condividono è la conseguenza, che include output che influenzano le persone in modi significativi.
Per qualsiasi sistema di questo tipo, la valutazione del rischio dovrebbe essere sistematica, documentata e rivisitata regolarmente man mano che il modello evolve e che cambia l’ambiente operativo.
L’audit dell’IA è l’esame indipendente per verificare se un sistema di IA, o il quadro di governance che lo circonda, è conforme a standard, politiche o requisiti definiti. È un processo basato su prove condotto da una parte sufficientemente indipendente da coloro che sono responsabili del sistema sotto esame. Un audit dell’IA potrebbe valutare se le pratiche di gestione dell’IA di un’organizzazione sono conformi a uno standard riconosciuto a livello internazionale, come l’ISO/IEC 42001, il primo standard di gestione dell’IA pubblicato nel 2023, o se un modello specifico sta operando all’interno dei parametri approvati e senza pregiudizi involontari.
È importante notare che lo standard che governa gli auditor stessi, l’ISO/IEC 42006, pubblicato a luglio 2025, stabilisce ora le competenze e il rigore richiesti per i soggetti che auditano e certificano i sistemi di gestione dell’IA. La professione di auditing, in altre parole, sta iniziando a formalizzare la propria responsabilità per gli impegni relativi all’IA.
La garanzia dell’IA è la conclusione formale, rivolta agli stakeholder, che emerge da quel processo di audit. È l’opinione professionale, emessa da una parte qualificata e indipendente, che fornisce ai consigli, ai regolatori, agli investitori e al pubblico fiducia che un sistema di IA o un quadro di gestione dell’IA soddisfi uno standard definito. La garanzia è ciò che trasforma una revisione interna in un segnale esterno credibile.
Fondamenta della garanzia dell’IA
Il concetto di garanzia indipendente non è nuovo per i consigli. Ogni anno, gli auditor esterni esaminano i bilanci di un’organizzazione e rilasciano un’opinione; una conclusione basata su prove, condotta secondo standard riconosciuti a livello internazionale e sostenuta dall’indipendenza professionale dell’auditor. Questa opinione ha peso proprio perché il quadro che la governa è rigoroso e ben stabilito. Questa logica si applica indipendentemente dal settore; se l’organizzazione è una banca, un ospedale, un conglomerato o un’istituzione pubblica, l’audit finanziario è un meccanismo familiare e fidato.
La stessa logica ora si applica all’IA. Quando un’organizzazione fa una dichiarazione pubblica o regolatoria sui propri sistemi di IA, affermando che sono equi, trasparenti, conformi a uno standard definito o privi di pregiudizi materiali, la domanda è: chi convalida indipendentemente quella dichiarazione, e sotto quale quadro professionale?
La risposta, per la professione di contabilità e auditing, è l’ISAE 3000, lo Standard Internazionale sugli Impegni di Garanzia emesso dal Consiglio Internazionale degli Standard di Auditing e Garanzia. L’ISAE 3000 governa gli impegni di garanzia su questioni diverse dalle informazioni finanziarie storiche, rendendolo la sede naturale per la garanzia dell’IA. Sotto questo standard, un professionista può condurre un impegno di garanzia ragionevole, il più alto standard analogo a un audit finanziario, o un impegno di garanzia limitato, che è più vicino in profondità a una revisione. La scelta del livello è importante e dovrebbe essere deliberata, calibrata sulla materialità e sul rischio del sistema di IA in questione.
Un parallelo contemporaneo stretto è la garanzia di sostenibilità o ESG. Molte aziende quotate nelle Filippine stanno già commissionando garanzie indipendenti sulle loro dichiarazioni di sostenibilità, spesso secondo l’ISAE 3000. Le meccaniche sono esattamente le stesse: un professionista indipendente esamina un insieme di affermazioni rispetto a criteri definiti e rilascia una conclusione formale. L’argomento soggetto differisce; la disciplina professionale non.
Implicazioni per i consigli
Tre implicazioni pratiche seguono da questo quadro.
In primo luogo, i consigli dovrebbero chiedere se le loro organizzazioni hanno condotto valutazioni rigorose dei rischi dell’IA sui sistemi materiali. Non un esercizio una tantum, ma un processo vivo che viene aggiornato man mano che i modelli vengono riaddestrati, i casi d’uso si espandono e l’ambiente normativo evolve. La qualità del lavoro di audit e garanzia a valle è tanto buona quanto la valutazione del rischio che la precede.
In secondo luogo, i consigli dovrebbero distinguere tra audit dell’IA interni ed esterni. Le funzioni di audit interne svolgono un ruolo critico nel fornire garanzia che i controlli dell’IA operino come progettato. Tuttavia, i consigli dovrebbero anche considerare se sia opportuno un audit indipendente di terze parti sui sistemi materiali di IA, in particolare per i sistemi che influenzano clienti, dipendenti o il pubblico in modi significativi. Come nell’audit finanziario, l’indipendenza rafforza la credibilità.
In terzo luogo, man mano che le organizzazioni fanno sempre più impegni pubblici sulle proprie pratiche di IA verso regolatori, investitori e comunità servite, i consigli dovrebbero chiedere se tali impegni siano supportati da garanzie credibili. Affermazioni senza validazione indipendente sono, nel migliore dei casi, un rischio reputazionale in attesa di materializzarsi.
Una professione ancora in fase di sviluppo
Sarebbe incompleto presentare questo panorama senza riconoscerne i limiti attuali. L’infrastruttura per la garanzia dell’IA è ancora in fase di costruzione. Gli standard professionali stanno emergendo. Le competenze degli auditor in IA, che comprendono l’apprendimento automatico, il pregiudizio algoritmico, la governance dei dati e la trasparenza dei modelli, non sono ancora uniformemente sviluppate nella professione. L’ISAE 3000 fornisce il quadro di garanzia, ma le metodologie specifiche per l’IA che si trovano al suo interno sono ancora in fase di maturazione.
Per le organizzazioni che non sono ancora pronte a perseguire una garanzia formale, questo non è un motivo per restare fermi. Una valutazione strutturata e regolare dei sistemi materiali di IA è un primo passo significativo e pratico. Costruisce la disciplina interna, la documentazione e le abitudini di governance che la preparazione alla garanzia richiede eventualmente. I consigli che commissionano tali valutazioni oggi, anche informalmente, stanno sviluppando una capacità istituzionale che sarà importante quando le aspettative normative si induriranno e l’attenzione degli stakeholder aumenterà.
Questa visione è stata esplorata più in profondità in ricerche sviluppate con colleghi che esaminano la governance dell’IA generativa in economie in cui la regolamentazione deve ancora tenere il passo con la tecnologia. L’argomento centrale è che le aziende sono già agenti morali con obblighi etici esistenti verso i propri stakeholder; aspettare una legislazione specifica per l’IA non è né necessario né sufficiente per una governance responsabile. L’obbligo di agire è già presente. Ciò che serve è la volontà organizzativa di operazionalizzarlo.
Questa non è una ragione per i consigli di attendere l’agenda più ampia. È un motivo per porre domande informate ora, ai propri auditor esterni, alle proprie funzioni di audit interne e ai propri team di gestione, in modo che, quando le capacità della professione raggiungeranno la domanda, le loro organizzazioni siano pronte a impegnarsi in modo significativo.
L’audit finanziario non è emerso completamente formato. Ci sono voluti decenni di definizione degli standard, sviluppo professionale e dure lezioni derivanti da fallimenti aziendali affinché l’audit indipendente diventasse l’istituzione credibile che è oggi. La garanzia dell’IA si trova a un punto di infrazione comparabile. I consigli che si impegnano ora, pongono domande più acute ai propri auditor, richiedono più delle semplici affermazioni della direzione e sviluppano capacità interne prima che i regolatori li costringano a farlo, non solo ridurranno la propria esposizione. Aiuteranno a definire come appare la responsabilità dell’IA responsabile per le organizzazioni e per la regione più ampia.
