Caseware (Caseware International Inc.)
- Leverantör
- Caseware International Inc. (Canada)
- Kategori
- audit + accounting
- Hosting
- **AWS, region-routat.** EU-kunder hostas i **AWS Ireland (Leinster)** — inom EU. (Montreal-regionen gäller kanadensiska kunder, North Virginia US-kunder.) AES-256 i vila, TLS i transit. Källa: https://www.caseware.com/legal/security-certifications
Vad det är
Slutbruksplattform för revisionsarbete med inbyggda AI-funktioner i hela engagement-lifecyclen (planning → fieldwork → reporting). Inte ett bokföringssystem för klient — utan ett byrå-verktyg som revisor-team använder för att utföra själva granskningsarbetet.
AI-produktfamilj (namngivna i Caseware-marknadsföringen):
- Caseware AiDA — digital assistant integrerad i hela plattformen
- Validate — AI-driven validering av finansiella rapporter (mathematical accuracy, internal consistency, prior period comparison)
- Extractly — AI-powered transaction testing (substantive testing, journal entry anomaly detection)
- AI Audit Assistance — sammanfattar klient-support, extraherar nyckeldetaljer, svarar på audit-frågor i kontext
- PEG-aligned Planning — guided prompts för audit-planering anpassat efter förinställt innehåll
- Built-in Analytics — journal entry anomaly detection för bedrägeri-risk-screening
Caseware betonar att AI är "embedded, not bolted on" — alltså integrerat i workflows snarare än lagt på som separat tool.
Typisk dataaccess
- Klientens fullständiga finansiella data: general ledger, journal entries, financial statements, prior period data
- Engagement working papers: arbetsblad, anteckningar, granskningsbevis
- AI-genererade sammanfattningar av klient-support och anteckningar
- Vid Extractly transaction testing: hela klientens transaktionsdatabase för anomaly detection
- Vid AiDA-användning: konversationer som kan innehålla klient-specifika frågor
- Vid multi-engagement byråinstans: data från flera klientföretag potentiellt åtkomligt för samma team
EU AI Act-bedömning
Risknivå: Pending formell klassificering — Extractly + anomaly detection nära Annex III 5(c)
Motivering:
- Standard audit-workflow-AI (AiDA, AI Audit Assistance, Validate, Caseware-genererade sammanfattningar) faller under Limited risk ≈ transparensplikt enligt Article 50
- Extractly + Built-in Analytics för anomaly detection ligger nära Annex III område 5(c): "AI systems intended to be used in credit institutions for fraud detection". Audit-byrå är inte "credit institution" — så formellt utanför Annex III. Men funktionen är exakt den typ av fraud-detection-AI som EU AI Act flaggat som high-risk. Tolkningen utvecklas.
- Om Caseware-output används som primärt beslutsunderlag för "going concern"-bedömning eller väsentlighetsbedömning utan substantiv revisor-granskning, glider risken upp
- Före pilot-leverans: formell EU AI Act-impact-analys av Extractly + analytics plus skriftlig position från Caseware behövs. Tills dess klassas posten "pending".
Caseware har viss publik AI-positionering (marknadsför "purpose-built AI for audit") men har ingen offentligt dokumenterad EU AI Act-position specifikt — varken Article 50-disclosure för AiDA, Article 4-stöd för slutkunder, eller formell impactanalys. Caseware lutar sig istället mot en tredjeparts-utvärdering från Holistic AI Governance Platform (feb 2025) som klassade AiDA som "low-risk" på transparens/efficacy/robusthet/integritet (https://www.caseware.com/news/caseware-aida-positive-evaluation-ai-risk-assurance-holistic-ai/). Det är en privat utvärdering, inte en EU AI Act-klassificering.
AI-tech-stack (resolverat via research 2026-05-26): AiDA kör på Anthropic Claude via Amazon Bedrock på AWS (samma AWS som Caseware Cloud) — alltså tredjepartsmodell, inte egen. Caseware anger uttryckligen: "We do not store prompts nor are prompts fed back into any models" och "AiDA does not share content or dialogue between users or use your firm's data to train its model." Källor: https://insights.caseware.com/ai-powered-audits-with-caseware-aida · https://www.caseware.com/news/caseware-aida-positive-evaluation-ai-risk-assurance-holistic-ai/. Validate + Extractly+ kommer från förvärvet av Extractly.ai (jan 2025) (https://www.caseware.com/news/caseware-acquires-extractly-ai).
GDPR-överväganden
Datalagring:
- EU-kunder: AWS Ireland (Leinster) — inom EU (region-routat, se hosting ovan). Tidigare "Kanada-only"-antagandet är korrigerat.
- Data retention-period inte specificerad i publik dokumentation
- AiDA-prompts lagras inte (se AI-tech-stack nedan)
Datatransfer:
- För svensk byrå hostas kärndata i EU (AWS Ireland) → ingen Kanada-överföring för själva engagement-datan
- Men AiDA:s LLM körs på Anthropic Claude via Amazon Bedrock (se nedan). Anthropic är US-bolag — CLOUD Act-relevans kvarstår även när inferensen körs i EU-region. Verifiera Bedrock-regionplacering för AiDA-anrop.
- Behöver verifieras: fullständig sub-processor-lista (gated bakom Caseware Trust Center / SafeBase: https://trust.caseware.com/)
DPA tillgänglig: Publiceras via Caseware Trust Center (SafeBase, https://trust.caseware.com/) — vissa dokument gated. Fristående publik direkt-URL ej hittad; legal hub: https://www.caseware.com/legal/. Som global enterprise-leverantör är DPA standard för enterprise-kunder.
Certifieringar (verifierat 2026-05-26): ISO/IEC 27001:2022 + SOC 2 Type 2 (AICPA-bekräftat). HIPAA/FedRAMP: ej bekräftat på officiell sida. Källa: https://www.caseware.com/legal/security-certifications
Särskilda risker:
- Datalokalisering-krav: klienter med strikta krav (offentlig sektor, försvar, vissa finansiella institutioner) kan ha problem med Canada-hosting trots adequacy decision
- AI-tech-stack opaque: vilka LLM:er driver AiDA? Egen modell? OpenAI/Anthropic-API:er? Om externt → ytterligare tredjelandsöverföring
- Multi-klient-byråinstans: byrå med många klienters fullständiga finansiella data → om AI-modeller inte är klient-isolerade kan mönster läcka över
- Adequacy decision-status kan ändras — Canada har varit stabil men EU-kommissionen reviderar regelbundet (Schrems III-typ-risker)
Vanliga risker
- AI-validering accepteras utan substantiv revisorsbedömning → falska försäkran om att finansiella rapporter "är OK"
- Anomaly detection (Extractly) ger varningar som missuppfattas som "bedrägeri-bevis" snarare än "områden att utreda"
- AiDA-konversationer matar in klient-specifika frågor i AI-systemet utan att användaren reflekterar
- Klient antar att kanadensisk hosting är OK eftersom det "är nära EU" — utan att förstå att data lämnar EU-jurisdiktion
- Audit-team använder AI-sammanfattningar som granskningsbevis i strid mot ISA-krav på revisorns självständiga observation
Rekommenderade mitigeringar
- Verifierat: AiDA = Anthropic Claude via Amazon Bedrock; inga prompts lagras eller används för träning (se AI-tech-stack ovan). Återstår att bekräfta: i vilken Bedrock-region AiDA-anropen körs (idealt EU/Ireland) och CLOUD Act-exponering via Anthropic (US-bolag).
- Fråga direkt: "Är klient-data isolerad mellan engagements? Kan AI-mönster från klient A appliceras på klient B i samma byråinstans?" (Casewares "no sharing between users" pekar mot ja, men bekräfta för byrå-instans.)
- Verifierat: EU-kunder hostas i AWS Ireland (EU) — den tidigare "Kanada-only"-oron gäller inte; bekräfta serverplaceringen vid teckning (Caseware uppger den då).
- Kräv aktuell DPA + sub-processor-lista före upphandling
- Förbjud i policy: att använda AiDA för diskussion om klient-specifika frågor utan anonymisering
- Granska Extractly-anomaly-output substantivt — verktyget identifierar potentiella avvikelser, inte bedrägerier
- Dokumentera AI-användning i audit-engagements enligt ISA-krav på dokumentation av revisorns process
Branschspecifik vägledning – revision/redovisning
Får användas för (med granskning):
- Audit-workflow-stöd: planning, fieldwork-strukturering, working-paper-management
- Initial AI-sammanfattning av klient-data som startpunkt för revisorns egen analys
- Validate för konsistenscheck av finansiella rapporter (mathematical accuracy, period-jämförelse) — som tidigt steg före revisorns substantiva granskning
- AiDA för icke-klient-specifika frågor om audit-standards, ISA-tolkningar (med försiktighet)
- Multi-engagement-administration när byrå hanterar många klienter
Får INTE användas för (utan substantiv granskning):
- Slutgiltigt granskningsbevis enligt ISA — AI-output är inte revisorns självständiga observation
- "Going concern"-bedömning baserad enbart på Validate/Extractly-varningar
- Fraud detection-slutsatser baserade enbart på Extractly-anomaly-output — verktyget identifierar mönster, inte intent
- Klient-kommunikation där AI-genererade slutsatser presenteras som "byråns bedömning" utan revisorns egen analys
- Klientmedel-relaterade granskningssteg (revisorslagen 19 §) utan extra granskning
Särskild försiktighet vid:
- Klienter med strikta datalokaliseringskrav (offentlig sektor, försvar) — kärndata ligger i EU (AWS Ireland), men AiDA:s Claude/Bedrock-anrop + Anthropic som US-bolag kan vara diskvalificerande för de allra striktaste
- Klienter med extra känslig affärsdata (M&A, börsbolag i tystnadsperiod) — överväg att stänga av AiDA för sådana engagements snarare än att lita på "no prompt storage"
- Bedrägeri-utredningar (forensic audit) — AI-anomaly-detection är hjälpmedel, inte slutsats
- Multi-klient-byråinstans — risk för cross-engagement modell-läckage om inte klient-isolerad
Källor
- Caseware huvudsajt (AI-driven platform): https://www.caseware.com
- Caseware Audit-produkt: https://www.caseware.com/products/audit
- Caseware Security & Certifications (hosting-regioner, ISO 27001:2022, SOC 2 Type 2): https://www.caseware.com/legal/security-certifications
- Caseware AiDA — AI-powered audits (LLM-stack, no-prompt-storage): https://insights.caseware.com/ai-powered-audits-with-caseware-aida
- Caseware AiDA — Holistic AI low-risk-utvärdering (feb 2025): https://www.caseware.com/news/caseware-aida-positive-evaluation-ai-risk-assurance-holistic-ai/
- Caseware förvärvar Extractly.ai (jan 2025): https://www.caseware.com/news/caseware-acquires-extractly-ai
- Caseware Trust Center (SafeBase, DPA + sub-processors, delvis gated): https://trust.caseware.com/
- Saknas: officiell EU AI Act-position/Article 50-disclosure, fullständig publik sub-processor-lista (gated), exakt Bedrock-region för AiDA, Article 4-stöd för slutkund
Specifika frågor att ställa till revisor med Caseware-erfarenhet under verifieringssamtal:
- Använder du Caseware i klientarbete idag? Vilka typer av klienter? Vilka audit-engagements?
- Stämmer beskrivningen av AI-produktfamiljen (AiDA / Validate / Extractly / AI Audit Assistance / Built-in Analytics)? Saknar vi någon viktig komponent? Är produkter omdöpta?
- AiDA-användning i praktiken: matar du in klient-specifika frågor? Om ja, hur tänker du kring sekretess (revisorslagen 19 §)?
- Validate: hur träffsäker är AI-valideringen av finansiella rapporter? Vilka fel hittar den som manuell granskning skulle missa? Vilka false positives?
- Extractly anomaly detection: används den i praktiken? Hur många "anomalier" är verkliga bedrägeri-signaler vs strukturella variationer i klientens bokföring?
- Annex III-frågan: anomaly detection ligger nära fraud detection. Tycker du att verktyget är fraud-detection (vilket gör det Annex III high-risk i finansiella institutioner), eller står det tillräckligt långt från finalt beslut för att stanna i Limited risk?
- Kanadensisk hosting: har klienter ifrågasatt att data lagras i Canada (även om Canada har EU adequacy decision)?
- Caseware vs Capego vs alternativ (TeamMate etc): vilket är ditt val och varför? Vilka byråstorlekar passar Caseware bäst?
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Fortnox AI
Fortnox AB (Sverige)
Hogia AI (OpenBusiness, HogiaLön, Smart Bokföring)
Hogia AB (Sverige, Stenungsund)
Bokio AI
Bokio (Sverige, Göteborg)
Visma eEkonomi (numera Visma Bokföring & Fakturering)
Visma (svensk-norskt bolag, huvudkontor Oslo, omfattande svensk närvaro)
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →