مقالمتوسط

مخاطر الذكاء الاصطناعي للأطراف الثالثة في المؤسسات المالية

نُشر 6 يوليو 2026

مخاطر الذكاء الاصطناعي للأطراف الثالثة في المؤسسات المالية

المؤسسات المالية اليوم لا تشتري "برمجيات" بالمعنى التقليدي، بل تشتري قدرات ذكاء اصطناعي مدمجة داخل خدمات موردين متعددين. هذا التحول يعني أن مخاطر الطرف الثالث لم تعد مسألة سلسلة توريد كلاسيكية، بل أصبحت جزءاً مباشراً من مخاطر النموذج والبيانات والحوكمة.

لماذا لم تعد مخاطر الموردين تقليدية؟

في الماضي، كان تقييم المورد يركز على استقرار الشركة، جودة الخدمة، وضوابط الأمن. اليوم يجب أن يشمل التقييم النموذج المستخدم، مصدر بيانات التدريب، سياسات الاحتفاظ، ومسار البيانات إلى معالجات فرعية قد لا تعرفها المؤسسة. الأداة نفسها قد تكون مألوفة، لكن ما بداخلها تغيّر.

كيف يدخل الذكاء الاصطناعي إلى المؤسسة عبر الموردين؟

  • عبر مزايا مضمنة (Embedded AI) داخل منتجات معتمدة قائمة.
  • عبر مزايا مفعّلة افتراضياً (Default-Enabled) دون طلب صريح.
  • عبر تكاملات API بين نظام معتمد ونماذج خارجية.
  • عبر وكلاء ذكيين ينفذون أفعالاً في بيئات المؤسسة.

كل قناة من هذه القنوات تنشئ نقطة خروج بيانات جديدة تحتاج إلى ضبط وتسجيل.

الفرق بين النظام المعتمد والنظام غير المرئي

النظام المعتمد يمر بمراجعة الحوكمة، ويوثق في سجل الأنظمة، ويخضع لسجل محفزات وإعادة تقييم. النظام غير المرئي يدخل بصمت عبر مورد قائم أو ميزة جديدة، ولا يظهر في السجل، فيتحول إلى ذكاء اصطناعي ظل بمرور الوقت.

لماذا تتحمل المؤسسة المسؤولية حتى لو كان النظام لدى طرف ثالث؟

الجهات الرقابية لا تعترف بحجة "المورد هو المسؤول". المؤسسة تظل المسؤولة أمام العميل وأمام المنظّم عن نتائج القرارات المؤتمتة، عن حماية البيانات، وعن جودة الأدلة. لذلك يجب أن تنعكس هذه المسؤولية داخل العقود عبر شروط عدم التدريب، حق التدقيق، إشعار تغيير النموذج، وقائمة المعالجات الفرعية.

ما الأدلة التي تحتاجها المؤسسة أمام المدقق أو الجهة الرقابية؟

  • سجل أنظمة الذكاء الاصطناعي الشامل مع مالك واضح لكل نظام.
  • تصنيف مخاطر لكل مورد مع مبرر مكتوب للتصنيف.
  • تقييم مكتوب لكل مورد مع مرفقات (تقارير تدقيق، سياسات، شهادات).
  • سجل اكتشاف يثبت أن المؤسسة تبحث فعلاً عن الذكاء الاصطناعي الظل.
  • سجل محفزات مراجعة يظهر التفاعل مع الأحداث والتغييرات.
  • ضوابط تعاقدية موثقة: عدم التدريب، حق التدقيق، الاستبقاء، إشعار التغيير.

الرسالة الأساسية: مخاطر الطرف الثالث لم تعد ملفاً منفصلاً عن حوكمة الذكاء الاصطناعي؛ هي نفس الملف يقرأ من زاوية مختلفة.