ketl cloud
Til revisjons-landingssideAI Act compliance · for revisor

Slik møter Ketl AI Act — for revisor som krever transparent AI

Article 50 i AI Act aktiveres 2. august 2026. Da må alle nye AI-systemer på EØS-markedet eksplisitt informere brukeren om at de er AI, merke AI-generert innhold maskinlesbart, og — for deployers i regulert virksomhet — koples til Nkom-registeret når det åpner. For revisor som er underlagt Revisorlovens uavhengighetskrav og ISA 540 (Revised), er dette ikke en avkrysningsboks: det er en kjøps-blokker.

Denne siden viser hvordan Ketl møter Art. 50 (1)–(4), hvilke konkrete artefakter du kan vise compliance-teamet, og hvordan vi mapper hver AI Act-bestemmelse mot kontroller dere allerede har i deres ISQM-1- rammeverk.

AI Act-ready fra dag én
Art. 50 (1)–(4)-kravene er dekket via first-use modal,AiGenerertBadgepå alle AI-genererte sammendrag, og signert AI System Card v1.4.
Audit-trail som tåler tilsyn
Hver AI-konklusjon logger modell-id, prompt-hash, kilde-data-hash og revisor-signatur. Eksporteres som CSV til Finanstilsynet ved tilsyn — ferdig pakket for ISA 540 (Revised)-dokumentasjon.
Forhåndsutfylt due-diligence
DPA, security-questionnaire, governance-dokumentasjon, risiko-assessment for revisjon-use-case og Nkom-checklist — typisk 2–3 uker i innkjøps-prosessen som forsvinner.

Article 50 (1)–(4) — krav og levering

Hver kravs-tekst er parafrasert fra forordningen. Ketls levering peker på faktiske, deployede artefakter som er testet (sesrc/__tests__/).

Art. 50(1)
Bruker skal vite at de snakker med AI

Hva kreves

Leverandører skal sikre at AI-systemer designes slik at de informerer berørte fysiske personer om at de samhandler med et AI-system, med mindre dette er åpenbart for en rimelig informert person.

Ketls levering

AI-cloud-assistenten viser en first-use modal (komponent `AiFirstUseModal`) ved første besøk som tydelig sier at all dialog skjer med en AI-modell. Acknowledgement persisteres via localStorage og kan tilbakekalles fra `/ai-transparens`.

Art. 50(2)
Merking av AI-generert innhold

Hva kreves

Leverandører av AI-systemer som genererer syntetisk audio, bilde, video eller tekst, skal sikre at output merkes i et maskinlesbart format og er detekterbar som kunstig generert.

Ketls levering

Alle AI-genererte sammendrag i `/innsikt` rendres med `<AiGenerertBadge>` (synlig label + ARIA) og signeres i AI System Card v1.3.0 (`output_labelling.scope`). Maskinlesbar metadata leveres via `<meta name="ai-generated">` og JSON-LD.

Art. 50(3)
Disclosure ved emotion- eller biometric-AI

Hva kreves

Deployere som tar i bruk emotion-recognition eller biometric-categorization-systemer skal informere personer som blir eksponert.

Ketls levering

Ketl bruker IKKE emotion-recognition eller biometric AI. Eksplisitt eksklusjon dokumentert i `public/.well-known/ai-system-card.json` (`use_cases.excluded`) og `/ai-transparens` (Hva vi IKKE gjør).

Art. 50(4)
Deepfake-merking

Hva kreves

AI-generert eller -manipulert bilde, lyd eller video som ligner en virkelig person skal merkes som kunstig.

Ketls levering

Ketl genererer ikke bilde, lyd eller video. Tekstutdrag fra Brreg/SAF-T parafraseres aldri som om de var sitater. AI System Card dokumenterer `output_modalities = ["text"]` kun.

For revisor: avhengigheter du selv må håndtere

AI Act treffer revisor som deployer, ikke bare Ketl som leverandør. Disse kravene må din egen compliance-enhet adressere — vi har mappet dem mot konkrete kontroller i Ketl slik at jobbene gjøres mens dere bruker tjenesten.

Revisorlovens uavhengighetskrav (§ 4-1)
Revisorloven 2020 § 4-1
Revisor må kunne dokumentere at AI-verktøy ikke svekker uavhengig profesjonell skjønnsutøvelse. Vi leverer audit-trail per assessment + kill-switch slik at revisor kan vise Finanstilsynet at hen styrer verktøyet, ikke omvendt.
Finanstilsynet rundskriv om bruk av AI i revisjon
Finanstilsynet (forventet rundskriv 2026)
Finanstilsynet har varslet at de vil utgi rundskriv som speiler AI Act-kravene mot revisorbransjen. Vi mapper hvert AI Act-krav til en konkret kontroll i Ketl slik at rundskrivet kan møtes uten gjennomtenking.
ISA 540 (Revised) — accounting estimates
International Standard on Auditing 540 (Revidert 2018)
Når AI brukes til å vurdere management estimates skal revisor utføre risikorespons proporsjonalt. Ketl logger hvilken modell som ga hvilket estimat på hvilke data — input til ISA 540-dokumentasjon.
GDPR Art. 22 — automatiserte avgjørelser
Personvernforordningen art. 22
Selv ved revisjon på vegne av klient må revisor vite om en automatisert avgjørelse skjer på fysiske personer (f.eks. PEP-screening). Ketl markerer alle slike steg og krever menneskelig review før de føres som funn.

Spørsmål compliance-teamet ditt typisk stiller

Funnet i sales-questionnaire-arbeidet for #105 og DPA-malen for revisjon. Bruk svarene rett inn i din interne kjøps-prosess.

Er Ketl klassifisert som høyrisiko-AI under AI Act?
Nei. Ketl klassifiserer seg som minimal-risk + GPAI deployer for alle nåværende use-cases (revisjon, journalistikk, compliance). Klassifiseringen er dokumentert i `docs/ai-governance/README.md` og signert i AI System Card.
Trener Ketl modeller på vår klients data?
Nei. Anthropic Sonnet/Opus/Haiku 4.x kjøres med zero-retention-policy aktivert (verifisert i Anthropic-konsoll). Vi har ingen fine-tuning, ingen RAG over kundedata på tvers av tenants, og ingen embedding-lagring av kundedata utenfor kundens egen tenant.
Hvordan kan vi vise Finanstilsynet at vi har kontroll på AI-verktøyet?
Hver AI-generert konklusjon i Ketl har en audit-trail som inneholder modell-id, prompt-hash, kilde-data-hash og signatur fra revisor som godkjente den. Eksporteres som CSV til Finanstilsynet ved tilsyn. Se `docs/ai-governance/internal-controls.md`.
Hva skjer 2. august 2026?
AI Act Art. 50 og GPAI-kravene aktiveres for alle nye systemer. Ketl er allerede compliant siden M1 (15. juli 2026-mål) og M2 (system-card + sporbarhet) er levert. Vi har en månedlig sjekk for å overvåke Nkom-registerets åpning (M3, forventet Q3 2026).
Kan vi få DPA og security-questionnaire forhåndsutfylt?
Ja. Ferdig DPA tilpasset revisjon ligger i `docs/sales-enablement/dpa-mal-revisor.md`. Pre-utfylt security-questionnaire (30+ spørsmål) i `docs/sales-enablement/security-questionnaire-revisor.md`.
Hva med Nkom AI-registeret?
Nkom blir koordinerende tilsyn for AI Act-implementeringen i Norge. Registeret er forventet åpnet Q3 2026. Vi har en dokumentert månedlig sjekkliste (`docs/ai-governance/nkom-registration-checklist.md`) og forhåndsutfylt registrerings-payload klar.

Lese-rute for compliance-teamet ditt

Fem stopp som dekker due-diligence på under én time. Hver stopp er en faktisk artefakt — testet, deployet, lenkbar.

  1. 1
    AI-transparens (offentlig)5 min
    Modeller, treningsdata-grenser og hvordan output verifiseres mot kildedata.
  2. 2
    AI System Card (.well-known)2 min (eller automatisk i ditt compliance-tooling)
    Maskinlesbar deklarasjon av AI-systemet — versjonert, signert.
  3. 3
    AI-governance-dokumentasjon20 min
    Roller, lifecycle, audit-log-rutiner, hendelses-kategorier (AI-1..AI-5), kvartalsvis review.
  4. 4
    Risiko-vurdering for revisjon-use-case15 min
    6 risiko-funn (R-REV-1..6) med kompenserende kontroller — svar på ISA 540 (Revised) + Revisorloven § 4-1.
  5. 5
    Kontinuerlig revisjon — produktposisjonering10 min
    Hvordan AI Act-compliance og kontinuerlig revisjon henger sammen — tre konkrete scenarioer.

Tre kjøps-blokker AI Act-compliance løser

Felles funn fra ICP-intervjuer (#105). Disse er ikke akademiske — de er grunnen til at innkjøps-prosessen drar ut.

Compliance-team har vetorett — uten AI Act-dokumentasjon kommer vi ikke gjennom gate.
Hele dokumentasjons-stacken er forhåndsutfylt og oppdatert: System Card, governance-docs, risiko-assessments, security-questionnaire og DPA-mal — typisk to-tre uker i kjøpsprosessen som forsvinner.
Hva sier vi til Finanstilsynet ved tilsyn — har dere kontroll på AI-verktøyet?
Hver konklusjon har audit-trail (modell-id, prompt-hash, kilde-hash, revisor-signatur). Eksporteres som CSV. Hendelses-kategorier AI-1..AI-5 mapper direkte mot Finanstilsynets antatte rundskrivs-spørsmål.
Klienten vår spør 'bruker dere AI på våre tall? Hvilke?' — hva svarer vi?
Klient-vendt one-pager (`docs/sales-enablement/kontinuerlig-revisjon-one-pager.md`) + AI-transparens-side er utviklet for revisor å videresende uten redigering. Modeller, data-grenser og verifikasjons-prosess på én side.

Kilder og videre lesing

  • EU AI Act Implementation Timeline (artificialintelligenceact.eu)
  • Kennedys Law — AI Act implementation timeline (2026)
  • Twoday — Nordic AI Governance i 2026 (Nkom som koordinerende tilsyn)
  • CMS Norway — AI Regulation Scanner (EØS-inkorporering)
  • Ketls AI System Card v1.4.0 (maskinlesbar)
Klar for compliance-gjennomgang?
Vi setter opp én time med ditt compliance-team og går gjennom lese-ruten med dere — kostnadsfritt for revisorer som vurderer pilot.
ketl cloud
DataApperMCPPriser
AI-transparensPersonvernSikkerhet

© 2026 ketl cloud

build c372edd · 2026-05-11 14:18:12 UTC