-الحوكمة المتكيفة | التقنية وإدارة المخاطر والأطر التنظيمية-

يواصل المشهد التنظيمي في المملكة العربية السعودية المتعلق بالتقنية والبيانات والعمليات الرقمية تطوره بوتيرة متسارعة. وفي مجالات حماية البيانات الشخصية والأمن السيبراني والتقنيات الناشئة، تتشكل التوقعات التنظيمية بصورة متزايدة ليس فقط من خلال الأنظمة واللوائح الرسمية، وإنما أيضًا عبر الإرشادات والممارسات الإشرافية والمؤشرات السائدة في السوق. وتهدف هذه السلسلة إلى استعراض الكيفية التي يمكن من خلالها للمنشآت التنقل ضمن هذا الإطار من خلال حوكمة عملية، واتخاذ قرارات مستنيرة، ووعي تنظيمي استباقي، بما يدعم امتثالًا مستدامًا ويُمكّن الابتكار في الوقت ذاته.

لا تنشأ العديد من تحديات الامتثال في الوقت الراهن عن غياب الأنظمة أو الأطر أو الضوابط التقنية، وإنما تعود في جوهرها إلى عامل التوقيت، وبوجه خاص التأخر في تفسير المتطلبات التنظيمية، أو في استجابة المنشأة لها، أو في تنفيذها ضمن أطر الحوكمة المعتمدة. وغالبًا ما يظهر هذا التأخر في صورة فجوة زمنية بين صدور الأنظمة واللوائح وبين نشر إرشاداتها التنفيذية، أو بين المؤشرات التنظيمية وقرارات الإدارة الداخلية، أو بين بروز المخاطر واتخاذ التدابير اللازمة لمعالجتها على مستوى الحوكمة. وفي ظل البيئة التنظيمية المتسارعة في المملكة العربية السعودية، تمثل هذه الفجوات الزمنية مصدرًا يُستهان به في كثير من الأحيان لمخاطر قانونية وتشغيلية ومخاطر تتعلق بالسمعة.

لقد تجاوزت حماية البيانات الشخصية وضوابط الأمن السيبراني وحوكمة الذكاء الاصطناعي مرحلة الاعتماد على أدلة أو قواعد ثابتة، وأصبحت تعمل ضمن منظومات تنظيمية ديناميكية تتشكل ليس فقط من خلال الأنظمة واللوائح الرسمية، بل كذلك عبر الإرشادات والتوقعات الإشرافية وأولويات الإنفاذ المتغيرة. ولم يعد التعامل مع هذه الالتزامات بوصفها إجراءات امتثال لمرة واحدة متوافقًا مع هذه الحقيقة. فالمخاطر الرئيسة لم تعد تقتصر على عدم الامتثال بالمعنى الضيق، وإنما تمتد إلى التأخر في الاستيعاب والاستجابة للتطورات التنظيمية.

تاريخيًا، كانت برامج الامتثال تتبع نموذجًا واضح المعالم يقوم على تفسير النصوص النظامية، وتطبيق الضوابط اللازمة، وإجراء تقييمات دورية، ومعالجة أوجه القصور التي يتم رصدها. وقد أثبت هذا النموذج فعاليته في فترات كان فيها التطور التنظيمي تدريجيًا ودورات الإنفاذ محددة المعالم. إلا أن التوقعات التنظيمية في مجالات الخصوصية والأمن السيبراني والتقنيات الناشئة باتت اليوم تتطور بصورة مستمرة. إذ لا تقتصر وسائل تواصل الجهات التنظيمية على الأنظمة واللوائح الملزمة فحسب، وإنما تشمل أيضًا النماذج، والأحكام النموذجية، والأدلة الإرشادية، والأسئلة الشائعة، والتعاميم، والمتطلبات الخاصة بالقطاعات المتنوعة، والممارسات الإشرافية. ونتيجة لذلك؛ قد تبرز الالتزامات التنظيمية بين جولات التدقيق أو دورات التقييم، وليس فقط عند مرحلة التطبيق الأولي.

وعلى الرغم من هذا التحول، لا تزال العديد من المنشآت تنظر إلى الامتثال بوصفه مشروعًا محدود الأجل، وتتعامل مع التحديثات التنظيمية على أنها أحداث قانونية منفصلة، ومع الحوكمة بوصفها مجرد ممارسة توثيقية. ويؤدي هذا النهج إلى نشوء فجوة هيكلية؛ إذ قد تظل المنشأة متوافقة من الناحية الشكلية، في حين تنحرف الممارسات التشغيلية تدريجيًا عن المتطلبات التنظيمية السارية.

وعلى الرغم من أن نظام حماية البيانات الشخصية والأمن السيبراني وحوكمة الذكاء الاصطناعي غالبًا ما تُتناول بوصفها مجالات مستقلة، إلا أنها تشترك في ديناميكيات مخاطر متقاربة. ففي سياق نظام حماية البيانات الشخصية، لا تنشأ المخاطر في كثير من الأحيان عن سوء فهم النص النظامي ذاته، بقدر ما تنشأ عن عدم مواكبة تطور التفسير التنظيمي، ولا سيما في مجالات المساءلة، وآليات الحصول على الموافقة، ونقل البيانات، والاستجابة للحوادث. ونادرًا ما تكون برامج الخصوصية الجامدة كافية لمجاراة هذه التطورات.

وفي مجال الأمن السيبراني، تتبلور التوقعات التنظيمية في كثير من الأحيان قبل وقتٍ طويل من إجراء أعمال التدقيق الرسمية أو اتخاذ إجراءات إنفاذ فعلية. وتسهم المعايير المعتمدة، والأطر القطاعية، والمؤشرات الإشرافية بشكل متزايد في تحديد ما يُنتظر تطبيقه على أرض الواقع. أما المنشآت التي تنتظر التقييمات الرسمية، فقد تجد نفسها في موقف ردة الفعل بعد أن تكون المخاطر قد تحققت بالفعل.

وتطرح حوكمة الذكاء الاصطناعي تحديًا أكثر وضوحًا. إذ إن التنظيم في هذا المجال يتسم بطبيعته التكيفية، بما يعكس وتيرة التطور التقني المتسارعة. وغالبًا ما تظهر مؤشرات المخاطر في مراحل مبكرة من خلال البيانات والسياسات العامة، والأطر الأخلاقية، والإرشادات العابرة للقطاعات، أكثر من ظهورها عبر قواعد ملزمة صريحة. والمنشآت التي تعتمد حلول الذكاء الاصطناعي دون متابعة نشطة لهذه المؤشرات، قد تجد نفسها تطبق حوكمة لتقنيات الأمس في مواجهة توقعات تنظيمية تتشكل للمستقبل.

وعبر المجالات الثلاثة جميعها، تظل الإشكالية الجوهرية واحدة؛ إذ تتطور الأطر التنظيمية بصورة مستمرة، في حين تتأخر آليات الحوكمة في كثير من الأحيان عن مجاراة هذا التطور.

يغيب أحيانًا الاستيعاب الأمثل لمفهوم المراقبة المستمرة؛ إذ قد يفسّره البعض على أنه يقتصر على تلقي التنبيهات التنظيمية أو النشرات القانونية. غير أن ذكاء الحوكمة الفعّالة يتطلب ما هو أبعد من ذلك، فهو يقوم على رصد الإشارات التنظيمية في مراحل مبكرة، وتقييم مدى ارتباطها بالمنشأة، وتحويلها إلى أثر تشغيلي واضح، ومن ثم تحفيز اتخاذ إجراءات داخلية في التوقيت المناسب. وفي جوهرها، تجيب المراقبة الفعّالة عن أربعة تساؤلات عملية: ما الذي تغيّر؟ ولماذا يُعد ذلك ذا أهمية للمنشأة؟ ومن الجهة المعنية باتخاذ الإجراء؟ وما مدى إلحاح الاستجابة؟

وتتجه المنشآت ذات نماذج الحوكمة الأكثر نضجًا إلى تضمين هذا النهج في هياكلها التشغيلية؛ إذ يُنظر إلى الجاهزية للامتثال لنظام حماية البيانات الشخصية بوصفها حالة مستمرة، لا نتيجة ثنائية تُقاس بالتحقق أو عدمه، كما تُوائم ضوابط الأمن السيبراني مع المسارات التنظيمية المتوقعة، وليس مع المتطلبات القائمة فحسب، ويجري التعامل مع حوكمة الذكاء الاصطناعي بصورة استباقية، حتى في الحالات التي لا تزال فيها أطر الإنفاذ في طور التبلور. وسواء تم تطبيق ذلك من خلال تعزيز مهام مسؤول حماية البيانات، أو عبر هياكل حوكمة سيبرانية متكاملة، أو نماذج إشراف افتراضية على الذكاء الاصطناعي، فقد أصبحت المراقبة المستمرة عنصرًا محوريًا في حوكمة الامتثال الفعّالة.

لم تعد متطلبات الامتثال لنظام حماية البيانات الشخصية والأمن السيبراني والذكاء الاصطناعي قوائم جامدة تُستكمل وتُحفظ في الأرشيف، بل أصبحت منظومات حية تتطلب تفسيرًا مستمرًا، ومواءمة متواصلة، وتحديثًا دائمًا. وفي هذا السياق، لم يعد السؤال المطروح أمام القيادات يقتصر على: «هل نحن ملتزمون؟» وإنما بات يتمحور حول: «ما مدى سرعتنا في رصد التغيرات التنظيمية، وفهمها، والاستجابة لها؟». وفي المشهد التنظيمي الراهن، فإن الامتثال دون مراقبة مستمرة يُعد، في جوهره، امتثالًا لمتطلبات الماضي.

ومع استمرار نضوج الأطر التنظيمية في مجالات حماية البيانات والأمن السيبراني والتقنيات الناشئة، تُصبح المنشآت مُطالبة بصورة متزايدة بمواءمة الحوكمة والعمليات وآليات اتخاذ القرار مع التوقعات التنظيمية المتغيرة. ولا يعتمد الامتثال المستدام في هذه البيئة على الضوابط الجامدة بقدر اعتماده على القدرة على رصد التغيرات في مراحل مبكرة، وتقييم مدى ارتباطها، والاستجابة لها بصورة منهجية وفي الوقت المناسب. أما على مستوى القيادات، فلم يعد التركيز منصبًا على محطات امتثال منفصلة، بل على الحفاظ على الجاهزية التنظيمية بوصفها قدرة تشغيلية مستمرة.

محمد الأحمد وبتانيا ألو
فريق تقنية المعلومات والإعلام والاتصالات (TMT) | التقنية والبيانات والأمن السيبراني وحوكمة الذكاء الاصطناعي