انتقل إلى المحتوى الرئيسي
العودة إلى الرؤى
البنية10 دقائق قراءة

قانون التشغيل الرقمي (DORA) واختبار الصندوق الأسود: ماذا تعني متطلبات الوصول إلى التدقيق التنظيمي لأنظمة الذكاء الاصطناعي في المؤسسات المالية

تتطلب المادة 30(2)(د) من قانون DORA أن تتمكن الكيانات المالية من تدقيق مزود تكنولوجيا المعلومات والاتصالات التابع لطرف ثالث، إما مباشرة أو من خلال طرف ثالث. عندما يكون المزود نظام ذكاء اصطناعي تحدد فيه قرارات الموافقة وتقييم المخاطر واكتشاف الاحتيال النتائج، يقتصر حق التدقيق على الوثيقة القانونية. يمكن للمدقق قراءة العقود. ويمكنه التحقق من ادعاءات المزود. لكنه لا يمكنه فحص عملية اتخاذ القرار التي تحدث داخل الصندوق الأسود.

يُظهر تحليل AIMA أن 85% من المؤسسات المالية في الاتحاد الأوروبي تستخدم الذكاء الاصطناعي في وظائف الأنوية المصرفية في عام 2026، لكن 78% من هذه الأنظمة معرضة لعمليات اتخاذ قرار معتمة: نماذج مملوكة، ومجموعات بيانات تدريب مغلقة، ومخرجات غير قابلة للتفسير. وتزداد نسبة الأنظمة المعتمة، لا تنخفض، لأن قدرة تطوير الذكاء الاصطناعي داخل المؤسسات لا تسابق الطلب، وتتزايد التبعية على شركات التكنولوجيا المالية.

متطلب الوصول إلى التدقيق بموجب قانون DORA

تتطلب المادة 30 من قانون DORA وجود اتفاقيات تعاقدية مكتوبة مع جميع مزودي تكنولوجيا المعلومات والاتصالات التابعين لأطراف ثالثة تحتوي على معلومات حول مستويات الخدمة، وأمان البيانات، وحقوق التدقيق، واستراتيجيات الخروج، والإبلاغ عن الحوادث. تحدد المادة 30(2)(د) أن الكيان "يحق له حق التدقيق المناسب في مزود تكنولوجيا المعلومات والاتصالات التابع لطرف ثالث".

حق التدقيق ليس اختياريًا. إنه التزام تعاقدي يجب أن يُدرج في كل اتفاقية مع مزود تكنولوجيا المعلومات والاتصالات التابع لطرف ثالث. بالنسبة للبرمجيات التقليدية، يكون حق التدقيق عمليًا: يمكن للمدقق قراءة الكود، وفحص البنية، وتحليل سجلات الوصول، وتقييم تغطية الاختبار. بالنسبة لأنظمة الذكاء الاصطناعي، يكون حق التدقيق مقيدًا هيكليًا.

فحص الكود في الشبكات العصبية. قد تحتوي الشبكة العصبية التي تقيّم العملاء للمخاطر الائتمانية على ملايين المعلمات. الكود الذي يدرب الشبكة قابل للقراءة. المعلمات نفسها قابلة للقراءة. لكن المعلمات كمجموعة تشفر سلوك اتخاذ قرار لا تمثل أي سطر فردي من الكود. "القرار" هو دالة تنشيط على مصفوفة أوزان، والتي ككل تُقرب نمطًا لا يمكن للإنسان فحصه مباشرة. يمكن للمدقق التحقق من كود التدريب، لا السلوك المُدرَّب.

فحص بيانات التدريب. تحدد بيانات التدريب قرارات نموذج الذكاء الاصطناعي. إذا كانت بيانات التدريب مملوكة (مقدمة من مزود طرف ثالث لا يكشف عن المصدر)، لا يمكن للمدقق تقييم جودة البيانات واكتمالها والتحيزات المحتملة فيها. يمكنه التحقق من ادعاء المزود حول البيانات، لا البيانات نفسها.

فحص القرارات. يجب أن يكون بإمكان المدقق مراجعة كل مخرج فردي لنظام الذكاء الاصطناعي. إذا رفض نظام الذكاء الاصطناعي طلب قرض، يجب أن يكون المدقق قادرًا على تتبع العوامل التي أسهمت في هذا الرفض وبأي وزن. النموذج الذي ينتج درجة (0 إلى 1) دون مساهمة الميزات لا يفي بهذا المتطلب. النموذج الذي ينتج درجة مع مساهمة الميزات (الدخل أسهم بـ 0.4، والتاريخ الائتماني أسهم بـ -0.3، والمخاطر الجغرافية أسهمت بـ 0.1) يفي به.

ما تتطلبه السلطة الأوروبية لمكافحة غسل الأموال من أنظمة الذكاء الاصطناعي

توسّع السلطة الأوروبية لمكافحة غسل الأموال (AMLA)، التي أصبحت قيد التشغيل بموجب اللائحة (EU) 2024/1620، متطلب التدقيق بموجب قانون DORA ليشمل أنظمة الذكاء الاصطناعي الخاصة بمكافحة غسل الأموال. تتطلب المادة 28 من السلطة من المؤسسات المالية التي تستخدم الذكاء الاصطناعي في تحديد هوية العملاء، ومراقبة المعاملات، أو تقييم المخاطر، تقديم "وثائق تفصيلية كاملة" تصف الخوارزمية، وبيانات التدريب، ونتائج التحقق، والمراقبة المستمرة للنظام.

بالنسبة لأنظمة الذكاء الاصطناعي المؤسسي، يكون لهذا المتطلب ثلاثة تداعيات ملموسة.

توثيق الخوارزمية. يجب أن تصف الوثائق التقنية النموذج: البنية (على سبيل المثال، شجرة القرارات مقابل الشبكة العصبية)، والمعلمات الفائقة، وإجراء التدريب، ومنهجية التحقق، والمقاييس. الوثائق ليست النموذج نفسه. إنها وصف يمكن للبشر قراءته للنموذج. لا تستطيع المؤسسة التي تنفذ نموذج ذكاء اصطناعي مملوك ليس لديها وثائق تقنية عنه (لأنه قُدّم من قبل مزود طرف ثالث كخدمة صندوق أسود) تلبية هذا المتطلب.

توثيق بيانات التدريب. يجب توثيق المصدر، والفترة، وطريقة أخذ العينات، وخطوات هندسة الميزات، وطريقة التسمية. بالنسبة لنماذج مكافحة غسل الأموال المدربة على بيانات المعاملات التاريخية، تكون طريقة التسمية حرجة بشكل خاص: كيف تم تصنيف المعاملات على أنها "مشبوهة" أو "غير مشبوهة"؟ إذا تم إنشاء التصنيفات بواسطة نظام قواعد سابق، ربما عفا عليه الزمن، فإن النموذج ينقل تحيزات ذلك النظام.

توثيق المراقبة المستمرة. تتطلب السلطة الأوروبية لمكافحة غسل الأموال مراقبة أنظمة الذكاء الاصطناعي للكشف عن انحراف النموذج، وانحراف المفهوم، وانحراف المدخلات. انحراف النموذج: هل تدهورت دقة النموذج مع مرور الوقت؟ انحراف المفهوم: هل تغير تعريف ما يعني "مشبوه" (على سبيل المثال، بسبب متطلبات تنظيمية جديدة)؟ انحراف المدخلات: هل تغير توزيع بيانات الإدخال (على سبيل المثال، نوع منتج جديد، أو مجموعة عملاء جديدة، أو قناة دفع جديدة)؟ يجب أن توضح وثائق المراقبة كيف يتم اكتشاف هذا الانحراف ومعالجته.

المعنى العملي لأنظمة الذكاء الاصطناعي في القطاع المالي

تخلق مجموعة حقوق التدقيق بموجب قانون DORA ومتطلبات التوثيق بموجب السلطة الأوروبية لمكافحة غسل الأموال متطلبًا بنيويًا واضحًا: يجب على المؤسسات المالية التي تستخدم الذكاء الاصطناعي في العمليات المنظمة أن تختار أو تبني أنظمة تنتج سجلات قرارات قابلة للتدقيق، وليس مجرد نماذج قابلة للتدقيق.

إمكانية التدقيق على مستوى المخرج. يجب تسجيل كل قرار يتخذه نظام الذكاء الاصطناعي (رفض طلب قرض، وضع علامة على معاملة كمشبوهة، تقييم مخاطر عميل) في سجل منظم وغير قابل للتغيير يحتوي على الحقول التالية:

  • الطابع الزمني للقرار
  • بيانات الإدخال (قيم الميزات التي دخلت في النموذج)
  • إصدار النموذج (الإصدار المحدد للنموذج المدرب)
  • المخرج (الدرجة أو التصنيف)
  • مساهمات الميزات (قيم المساهمة لكل ميزة في المخرج)
  • تكوين الحد (الحد الذي حدد القرار)
  • القرار (موافقة / رفض / علامة / تصعيد)

هذا السجل ليس إدخال سجل. إنه وثيقة امتثال تمكّن المنظّم من فهم القرار دون الحاجة إلى تشغيل النموذج نفسه.

إصدار النماذج كإدارة للتكوين. يجب إصدار كل نموذج مدرب بمعرف فريد يُسجل في سجل التدقيق. عند إعادة تدريب نموذج، يحصل الإصدار الجديد على معرف جديد. تشير سجلات التدقيق التي تم إنشاؤها بالإصدار القديم إلى المعرف القديم. تشير سجلات التدقيق التي تم إنشاؤها بالإصدار الجديد إلى المعرف الجديد. يتيح ذلك للمنظم تتبع القرارات التي اتخذها أي إصدار من النموذج، والتحقق من أن تحديثات النموذج لم تُطبَّق retroactively على القرارات السابقة.

القابلية للتفسير كخاصية بنيوية، وليس كمعالجة لاحقة. تقنيات التفسير اللاحقة (SHAP، LIME، التفسيرات المضادة للواقع) ذات قيمة لتطوير النماذج، لكنها غير كافية لأغراض التدقيق التنظيمي، لأنها تُقرب النموذج، لا تُعيد إنتاج السلوك الفعلي. المساهمة المستخرجة من النموذج نفسه (على سبيل المثال، من نموذج خطي أو شجرة قرارات) دقيقة. المساهمة المُقدَّرة بواسطة SHAP هي تقدير. لأغراض تنظيمية، يجب أن تكون القابلية للتفسير دقيقة.

مفاضلات أنظمة الذكاء الاصطناعي

لا يمكن لجميع بنى الذكاء الاصطناعي تلبية متطلبات التدقيق التنظيمي بنفس القدر من الفعالية.

النماذج الخطية وأشجار القرارات توفر أعلى قابلية طبيعية للتفسير. المساهمة في الميزات يمكن قراءتها مباشرة من معلمات النموذج. لكن دقة النموذج أقل للأنماط المعقدة مقارنة بالشبكات العصبية العميقة أو أشجار التعزيز التدريجي.

أشجار التعزيز التدريجي (على سبيل المثال، XGBoost، LightGBM) توفر توازنًا جيدًا بين الدقة والقابلية للتفسير. يمكن استخراج مساهمة الميزات من النموذج نفسه (Gain، Split). لكن حجم النموذج غالبًا ما يكون كبيرًا (آلاف الأشجار)، مما يصعّب التفسير البشري.

الشبكات العصبية توفر أعلى دقة للأنماط المعقدة، لكن أقل قابلية طبيعية للتفسير. لا يمكن قراءة مساهمات الميزات مباشرة من الأوزان. تقنيات ما بعد الحدث ضرورية، لكن كما ذكرنا سابقًا، هي غير كافية من الناحية التنظيمية.

طرق التجميع، التي تجمع أنواعًا متعددة من النماذج، تزيد الدقة ولكن تقلل القابلية للتفسير. إذا كان التجميع يتكون من شبكة عصبية وشجرة قرارات، يجب أن يُظهر سجل التدقيق أي نوع من النماذج كان مسؤولاً عن القرار وكيف تم تقدير التركيبة.

Fernel Context

يخزّن محرك الامتثال في فرنل كل درجة مخاطر مع تفصيل كامل لمساهمات الميزات: الميزات التي تم تقييمها، والقيم التي كانت عليها، ومقدار مساهمة كل منها في الدرجة، وإصدار السياسة الساري في لحظة التقييم. يتم تخزين الدرجة مع سجل التدقيق الخاص بها في سجل غير قابل للتغيير. لا يمكن لأي قرار أن يوجد بدون سجله. ولا يمكن تعديل أي سجل بعد إنشائه. فحص السلطة الأوروبية لمكافحة غسل الأموال لأي قرار امتثال هو استعلام واحد، وليس إعادة بناء قانونية.

اقرأ المزيد: بنية الامتثال | أتمتة إجراءات العناية الواجبة للعملاء | الأمان والامتثال

المصادر:

  • تحليل AIMA 2026: 85% من المؤسسات المالية في الاتحاد الأوروبي تستخدم الذكاء الاصطناعي في وظائف الأنوية المصرفية، و78% منها عمليات قرار معتمة
  • DORA، اللائحة (EU) 2022/2554، المادة 30 (الترتيبات التعاقدية مع مزودي تكنولوجيا المعلومات والاتصالات التابعين لأطراف ثالثة)، المادة 30(2)(د) (حق التدقيق)
  • السلطة الأوروبية لمكافحة غسل الأموال (AMLA)، اللائحة (EU) 2024/1620، المادة 28 (متطلبات التوثيق لأنظمة الذكاء الاصطناعي في سياق مكافحة غسل الأموال)
  • قانون الاتحاد الأوروبي للذكاء الاصطناعي، اللائحة (EU) 2024/1689، الملحق الثالث (أنظمة الذكاء الاصطناعي عالية المخاطر)، المادة 11 (التوثيق التقني)، المادة 13 (الشفافية وتقديم المعلومات للمستخدمين)
  • اللائحة العامة لحماية البيانات (GDPR)، اللائحة 2016/679، المادة 22 (اتخاذ القرارات الآلية الفردية بما في ذلك تكوين الملفات الشخصية)
  • الهيئة المصرفية الأوروبية، إرشادات استخدام التعلم الآلي للنماذج الداخلية (مسودة 2025-2026)