Caseware (Caseware International Inc.)

Vad det är

Slutbruksplattform för revisionsarbete med inbyggda AI-funktioner i hela engagement-lifecyclen (planning → fieldwork → reporting). Inte ett bokföringssystem för klient — utan ett byrå-verktyg som revisor-team använder för att utföra själva granskningsarbetet.

AI-produktfamilj (namngivna i Caseware-marknadsföringen):

1. Caseware AiDA — digital assistant integrerad i hela plattformen
2. Validate — AI-driven validering av finansiella rapporter (mathematical accuracy, internal consistency, prior period comparison)
3. Extractly — AI-powered transaction testing (substantive testing, journal entry anomaly detection)
4. AI Audit Assistance — sammanfattar klient-support, extraherar nyckeldetaljer, svarar på audit-frågor i kontext
5. PEG-aligned Planning — guided prompts för audit-planering anpassat efter förinställt innehåll
6. Built-in Analytics — journal entry anomaly detection för bedrägeri-risk-screening

Caseware betonar att AI är "embedded, not bolted on" — alltså integrerat i workflows snarare än lagt på som separat tool.

Typisk dataaccess

• Klientens fullständiga finansiella data: general ledger, journal entries, financial statements, prior period data
• Engagement working papers: arbetsblad, anteckningar, granskningsbevis
• AI-genererade sammanfattningar av klient-support och anteckningar
• Vid Extractly transaction testing: hela klientens transaktionsdatabase för anomaly detection
• Vid AiDA-användning: konversationer som kan innehålla klient-specifika frågor
• Vid multi-engagement byråinstans: data från flera klientföretag potentiellt åtkomligt för samma team

EU AI Act-bedömning

Risknivå: Limited, men med Annex III-flagga.

Motivering:

• Standard audit-workflow-AI (AiDA, AI Audit Assistance, Validate, Caseware-genererade sammanfattningar) faller under Limited risk = transparensplikt enligt Article 50
• Extractly + Built-in Analytics för anomaly detection ligger nära Annex III område 5(c): "AI systems intended to be used in credit institutions for fraud detection". Audit-byrå är inte "credit institution" — så formellt utanför Annex III. Men funktionen är exakt den typ av fraud-detection-AI som EU AI Act flaggat som high-risk. Tolkningen utvecklas.
• Om Caseware-output används som primärt beslutsunderlag för "going concern"-bedömning eller väsentlighetsbedömning utan substantiv revisor-granskning, glider risken upp

Caseware har viss publik AI-positionering (marknadsför "purpose-built AI for audit") men har ingen offentligt dokumenterad EU AI Act-position specifikt — varken Article 50-disclosure för AiDA, Article 4-stöd för slutkunder, eller formell impactanalys.

GDPR-överväganden

Datalagring:

• Kanadensiska datacenter explicit för audit-produkten
• Data retention-period inte specificerad i publik dokumentation
• Behöver verifieras: om EU-användare kan välja EU-hosting (vissa leverantörer erbjuder EU-tier för enterprise) eller om kanadensisk hosting är obligatorisk

Datatransfer:

• Canada → EU har adequacy decision (sedan 2001 för PIPEDA-täckta enheter) → ingen SCC krävs lagligt
• Detta gör Caseware enklare GDPR-mässigt än US-baserade leverantörer
• Men data ligger fortfarande utanför EU — kvalificerar inte som EU data residency
• Behöver verifieras: om Caseware använder US- eller annan tredjelands-baserade sub-processors (sannolikt: Microsoft Azure US-regions, OpenAI/Anthropic-API:er om AiDA-stack bygger på det)

DPA tillgänglig: Inte verifierat publikt — kräver direktförfrågan. Som global enterprise-leverantör är DPA standard för enterprise-kunder.

Särskilda risker:

• Datalokalisering-krav: klienter med strikta krav (offentlig sektor, försvar, vissa finansiella institutioner) kan ha problem med Canada-hosting trots adequacy decision
• AI-tech-stack opaque: vilka LLM:er driver AiDA? Egen modell? OpenAI/Anthropic-API:er? Om externt → ytterligare tredjelandsöverföring
• Multi-klient-byråinstans: byrå med många klienters fullständiga finansiella data → om AI-modeller inte är klient-isolerade kan mönster läcka över
• Adequacy decision-status kan ändras — Canada har varit stabil men EU-kommissionen reviderar regelbundet (Schrems III-typ-risker)

Vanliga risker

• AI-validering accepteras utan substantiv revisorsbedömning → falska försäkran om att finansiella rapporter "är OK"
• Anomaly detection (Extractly) ger varningar som missuppfattas som "bedrägeri-bevis" snarare än "områden att utreda"
• AiDA-konversationer matar in klient-specifika frågor i AI-systemet utan att användaren reflekterar
• Klient antar att kanadensisk hosting är OK eftersom det "är nära EU" — utan att förstå att data lämnar EU-jurisdiktion
• Audit-team använder AI-sammanfattningar som granskningsbevis i strid mot ISA-krav på revisorns självständiga observation

Rekommenderade mitigeringar

• Fråga Caseware direkt: "Vilken LLM driver AiDA? Var processas konversationer? Tränas modellerna på vår kund-/klientdata?"
• Fråga direkt: "Är klient-data isolerad mellan engagements? Kan AI-mönster från klient A appliceras på klient B i samma byråinstans?"
• Fråga direkt: "Erbjuder ni EU-hosting-tier för enterprise-kunder, eller är kanadensisk hosting obligatorisk?"
• Kräv aktuell DPA + sub-processor-lista före upphandling
• Förbjud i policy: att använda AiDA för diskussion om klient-specifika frågor utan anonymisering
• Granska Extractly-anomaly-output substantivt — verktyget identifierar potentiella avvikelser, inte bedrägerier
• Dokumentera AI-användning i audit-engagements enligt ISA-krav på dokumentation av revisorns process

Branschspecifik vägledning – revision/redovisning

Får användas för (med granskning):

• Audit-workflow-stöd: planning, fieldwork-strukturering, working-paper-management
• Initial AI-sammanfattning av klient-data som startpunkt för revisorns egen analys
• Validate för konsistenscheck av finansiella rapporter (mathematical accuracy, period-jämförelse) — som tidigt steg före revisorns substantiva granskning
• AiDA för icke-klient-specifika frågor om audit-standards, ISA-tolkningar (med försiktighet)
• Multi-engagement-administration när byrå hanterar många klienter

Får INTE användas för (utan substantiv granskning):

• Slutgiltigt granskningsbevis enligt ISA — AI-output är inte revisorns självständiga observation
• "Going concern"-bedömning baserad enbart på Validate/Extractly-varningar
• Fraud detection-slutsatser baserade enbart på Extractly-anomaly-output — verktyget identifierar mönster, inte intent
• Klient-kommunikation där AI-genererade slutsatser presenteras som "byråns bedömning" utan revisorns egen analys
• Klientmedel-relaterade granskningssteg (revisorslagen 19 §) utan extra granskning

Särskild försiktighet vid:

• Klienter med strikta datalokaliseringskrav (offentlig sektor, försvar) — kanadensisk hosting kan vara diskvalificerande
• Klienter med extra känslig affärsdata (M&A, börsbolag i tystnadsperiod) — multi-jurisdiktion-juridiken kompliceras av Canada-hosting
• Bedrägeri-utredningar (forensic audit) — AI-anomaly-detection är hjälpmedel, inte slutsats
• Multi-klient-byråinstans — risk för cross-engagement modell-läckage om inte klient-isolerad

Källor

• Caseware huvudsajt (AI-driven platform): https://www.caseware.com
• Caseware Audit-produkt: https://www.caseware.com/products/audit
• Caseware Platform Overview: https://www.caseware.com/platform-overview
• AI Business — Caseware launches AI-driven platform for audit industry: https://aibusiness.com/caseware-launches-an-ai-driven-platform-for-the-audit-industry/
• Saknas: officiell EU AI Act-position, Article 50-disclosure för AiDA/Validate/Extractly, sub-processor-lista, AI-tech-stack-uppgifter, EU-hosting-tier-information, aktuell DPA-version
• Saknas: svensk lokal närvaro-detaljer (om Caseware har svensk reseller/säljbolag eller endast direktförsäljning från Toronto/Europa-HQ)

Specifika frågor att ställa till revisor med Caseware-erfarenhet under verifieringssamtal:

1. Använder du Caseware i klientarbete idag? Vilka typer av klienter? Vilka audit-engagements?
2. Stämmer beskrivningen av AI-produktfamiljen (AiDA / Validate / Extractly / AI Audit Assistance / Built-in Analytics)? Saknar vi någon viktig komponent? Är produkter omdöpta?
3. AiDA-användning i praktiken: matar du in klient-specifika frågor? Om ja, hur tänker du kring sekretess (revisorslagen 19 §)?
4. Validate: hur träffsäker är AI-valideringen av finansiella rapporter? Vilka fel hittar den som manuell granskning skulle missa? Vilka false positives?
5. Extractly anomaly detection: används den i praktiken? Hur många "anomalier" är verkliga bedrägeri-signaler vs strukturella variationer i klientens bokföring?
6. Annex III-frågan: anomaly detection ligger nära fraud detection. Tycker du att verktyget är fraud-detection (vilket gör det Annex III high-risk i finansiella institutioner), eller står det tillräckligt långt från finalt beslut för att stanna i Limited risk?
7. Kanadensisk hosting: har klienter ifrågasatt att data lagras i Canada (även om Canada har EU adequacy decision)?
8. Caseware vs Capego vs alternativ (TeamMate etc): vilket är ditt val och varför? Vilka byråstorlekar passar Caseware bäst?