لشركات المراجعة والمحاماة والخدمات المهنية في السعودية

كيف تكتب سياسة استخدام الذكاء الاصطناعي لمكتب مهني سعودي - وما يجب أن تتضمنه

دليل إثبات·عربية أولاً·صُنع في السعودية
الإجابة المختصرة

تحتاج سياسة استخدام الذكاء الاصطناعي القابلة للتطبيق في مكتب تدقيق أو محاسبة أو محاماة سعودي إلى خمسة عناصر: نطاق وتصنيف للبيانات، وقواعد واضحة للبيانات الحساسة وغير الحساسة، وقائمة بالأدوات المعتمدة والممنوعة، ومتطلبات للتسجيل والإبلاغ عن الحوادث، ودورة مراجعة بتوقيع من الشركاء.

يجب أن تكون السياسة قصيرة بما يكفي ليقرأها الموظفون فعلاً، وأن تُطبَّق عبر أدوات تقنية لا مجرد وثيقة لا يلتزم بها أحد.

لماذا يحتاج مكتبك إلى سياسة مكتوبة الآن

من المرجح جداً أن موظفيك يستخدمون بالفعل أدوات مثل ChatGPT أو Copilot أو ما شابهها في أعمال العملاء - لصياغة مذكرات، أو تلخيص عقود، أو مراجعة أرقام - سواء وافق أحد على ذلك أم لا. وبدون سياسة مكتوبة، يحمل مكتبك هذا الخطر دون أن يكون قد اختاره: لا أحد قرر أي الأدوات مقبولة، وأي بيانات يمكن إدخالها فيها، وما الذي يحدث إذا لصق أحد الموظفين قوائم مالية لعميل في روبوت محادثة عام. سياسة واضحة وقصيرة تحوّل عادة غير منضبطة إلى قرار مُدار.

هذا مهم بشكل خاص لمكاتب التدقيق والمحاسبة والمحاماة، حيث يوجد واجب مهني بالحفاظ على سرية بيانات العميل بمعزل عن أي أداة ذكاء اصطناعي - وسياسة الذكاء الاصطناعي هي فقط الطريقة التي يُطبَّق بها هذا الواجب على فئة جديدة من البرمجيات.

ما يجب أن تتضمنه سياسة قابلة للتطبيق

السياسة التي يلتزم بها الموظفون فعلياً يجب أن تكون قصيرة ومحددة ومنظمة حول قرارات حقيقية يتخذها الناس يومياً. كحد أدنى، يجب أن تتضمن الأقسام التالية:

  1. الغرض والنطاق - لماذا وُجدت السياسة، ومن تنطبق عليه (الشركاء، الموظفون، المتعاقدون)، وأي الأنشطة تغطيها (أعمال العملاء، الإدارة الداخلية، التسويق، وغيرها).
  2. تصنيف البيانات - تعريف واضح ومبسّط لما يُعتبر بيانات عميل حساسة في السياق السعودي، بحيث لا يضطر أحد للتخمين.
  3. الأدوات المعتمدة والممنوعة - قائمة محددة بأدوات الذكاء الاصطناعي المسموح للموظفين استخدامها، والأدوات الممنوعة صراحةً، وإلى من يُرجع عند ظهور أداة جديدة.
  4. القواعد حسب فئة البيانات - بيانات العميل الحساسة تبقى فقط على أنظمة داخلية أو معتمدة؛ والأعمال اليومية غير الحساسة يمكن أن تستخدم أدوات ذكاء اصطناعي سحابية معتمدة تحت حساب المكتب نفسه.
  5. متطلبات التسجيل والأدلة - أي سجل، إن وُجد، يُحفظ لاستخدام الذكاء الاصطناعي، ومن يحق له مراجعته.
  6. الإبلاغ عن الحوادث - ما يجب أن يفعله الموظف فوراً إذا اشتبه بأن بيانات عميل لُصقت في أداة خاطئة، وأن الإبلاغ المبكر لا يُعامَل كأمر تأديبي.
  7. التدريب والإقرار - يقرأ كل موظف السياسة، ويحضر جلسة توجيهية قصيرة، ويوقّع إقراراً قبل استخدام أي أداة ذكاء اصطناعي في أعمال العملاء.
  8. دورة المراجعة - جدول ثابت، كل ستة أشهر مثلاً، لتحديث قائمة الأدوات والقواعد مع تغيّر منتجات الذكاء الاصطناعي.

ما يُعتبر بيانات عميل حساسة في السياق السعودي: رقم الهوية الوطنية أو الإقامة، رقم الآيبان والبيانات المصرفية، الرقم الضريبي ورقم السجل التجاري، أرقام الهاتف والبريد الإلكتروني المرتبطة بعميل، السجلات والأرقام المالية للعميل، وأسماء العملاء مقترنة بسياق قضية أو صفقة أو تكليف. إذا كان أي من هذه قد يظهر في طلب موجّه للذكاء الاصطناعي، فعامل هذا الطلب كطلب حساس.

ترتيب واقعي لتطبيق السياسة

كتابة السياسة هي الجزء الأسهل؛ تبنّيها فعلياً ليس كذلك. التطبيق الذي ينجح فعلاً يتبع عادة هذا الترتيب:

  1. المسودة - كتابة السياسة باستخدام الأقسام أعلاه، بلغة مبسّطة، ويُفضّل في أقل من صفحتين.
  2. توقيع الشركاء - يجب أن تحمل السياسة ملكية واضحة من الشركاء، لا من قسم تقنية المعلومات أو موظف امتثال مبتدئ فقط، وإلا لن يأخذها الموظفون بجدية.
  3. جلسة توجيهية للموظفين - جلسة قصيرة وإلزامية يمكن للموظفين فيها طرح أسئلة حقيقية عن أدواتهم اليومية الفعلية، لا مجرد رسالة اقرأ ووقّع.
  4. أدوات تقنية تُطبّق السياسة - نشر أي ضوابط تقنية تجعل الالتزام بالقواعد سهلاً، كحظر أدوات معينة، أو بوابة معتمدة، أو تصنيف تلقائي، بدل الاعتماد على الذاكرة فقط.
  5. مراجعة دورية - إعادة النظر في السياسة وقائمة الأدوات وفق الجدول المحدد، وأسرع من ذلك إذا انتشرت أداة ذكاء اصطناعي جديدة بين الموظفين.

الحدّ الصريح: الوثيقة وحدها لا تكفي

لا يمكن لسياسة مكتوبة أن تصنّف طلباً في الوقت الفعلي، والموظفون تحت ضغط المواعيد يرتكبون أخطاء حتى عندما يعرفون القواعد. سياسة تقول "لا تلصق بيانات مالية لعميل في أدوات ذكاء اصطناعي عامة" ضرورية لكنها غير كافية - فهي تعتمد كلياً على أن يلاحظ شخص، في تلك اللحظة، أن الفقرة التي سيلصقها تحتوي على آيبان، أو اسم عميل بجانب أرقام مالية. وهذا تحديداً نوع القرار الذي ينهار تحت ضغط الوقت.

لهذا السبب، أقوى السياسات هي التي تجمع بين الوثيقة وأدوات تقنية تُطبّق القواعد نفسها تلقائياً، بحيث لا يتحول خطأ في لحظة كتابة إلى حادثة سرية بيانات.

كيف يُفعّل إثبات هذه السياسة عملياً

صُمم إثبات ليكون طبقة التطبيق العملي خلف سياسة من هذا النوع تحديداً. يُثبَّت على الأجهزة التي يملكها المكتب فعلاً، ويصنّف كل طلب قبل معالجته، بالتحقق من بيانات حساسة بالسياق السعودي - رقم الهوية الوطنية أو الإقامة، الآيبان، الرقم الضريبي ورقم السجل التجاري، التفاصيل المالية للعميل، وكلمات مفتاحية حساسة بالعربية والإنجليزية. الطلبات التي تُصنَّف حساسة تُحفظ ويُرد عليها على أجهزة المكتب نفسها ولا تُعرض أبداً على أي مزوّد سحابي؛ أما الطلبات اليومية غير الحساسة فيمكن توجيهها إلى نموذج ذكاء اصطناعي سحابي متقدم عبر حساب المكتب نفسه، وبموجب سياسة المكتب نفسها.

كل استدلال، حساساً كان أم لا، يُنتج سجل أدلة مترابطاً تشفيرياً ومقاوماً للتلاعب. لا يُشارك مع لوحة المتابعة سوى البيانات الوصفية؛ أما محتوى الطلبات والردود، وأي مفاتيح API سحابية، فتبقى على جهاز المكتب نفسه. وبما أن البيانات الحساسة تُصنَّف وتُعالَج على أجهزة المكتب داخل المملكة، فهذا يدعم أيضاً التوافق مع نظام حماية البيانات الشخصية بحكم التصميم نفسه - مع بقاء برنامج الامتثال الخاص بالمكتب ومُدقّقه المستقل هو المرجع النهائي. تبدأ المشاريع كتجربة محددة النطاق لمدة ستة أسابيع بسعر يبدأ من 15,000 ريال سعودي لمكتب واحد.

الأسئلة الشائعة

هل يلتزم المكتب السعودي قانونياً بوضع سياسة لاستخدام الذكاء الاصطناعي؟
لا يوجد نص قانوني واحد يفرض تحديداً وجود سياسة استخدام ذكاء اصطناعي، لكن الالتزامات المرتبطة بنظام حماية البيانات الشخصية، وواجب السرية المهنية الذي تحمله مكاتب التدقيق والمحاسبة والمحاماة بالأساس، يعني أن استخدام الذكاء الاصطناعي مع بيانات العميل دون قواعد موثّقة يترك المكتب غير قادر على إثبات أنه أدار هذا الخطر. عملياً، يُتوقّع من المكاتب التي تتعامل مع بيانات مالية أو شخصية للعملاء أن تكون قادرة على توضيح كيفية ضبطها - والسياسة المكتوبة هي وسيلة القيام بذلك.
ما الذي يُعتبر بيانات عميل حساسة بموجب سياسة الذكاء الاصطناعي في السعودية؟
كحد أدنى: رقم الهوية الوطنية أو الإقامة، رقم الآيبان والبيانات المصرفية، الرقم الضريبي ورقم السجل التجاري، أرقام الهاتف والبريد الإلكتروني المرتبطة بعميل محدد، السجلات والأرقام المالية للعميل، وأسماء العملاء مقترنة بسياق قضية أو صفقة أو تكليف. إذا كان الطلب قد يحتوي على أي من هذه العناصر، فيجب معاملته كطلب حساس بموجب السياسة.
هل يمكن للموظفين استخدام ChatGPT أو أدوات مشابهة في أعمال العملاء أصلاً؟
غالباً نعم، لكن فقط في الأعمال غير الحساسة وفق قواعد السياسة - كالصياغة العامة أو البحث أو التنسيق الذي لا يتضمن بيانات تعريفية أو مالية للعميل. أما بيانات العميل الحساسة فيجب أن تبقى على أنظمة معتمدة وداخلية بدل أدوات الذكاء الاصطناعي الاستهلاكية العامة، بصرف النظر عن مزوّد الخدمة السحابية المستخدم.
من يجب أن يملك السياسة ويوقّع عليها - تقنية المعلومات، الامتثال، أم الشركاء؟
يجب أن تشارك الأطراف الثلاثة في صياغتها، لكن التوقيع النهائي يجب أن يأتي من الشركاء. فإذا صدرت السياسة من قسم تقنية المعلومات أو موظف امتثال مبتدئ دون دعم واضح من الشركاء، سيميل الموظفون إلى التعامل معها كأمر اختياري. توقيع الشركاء هو ما يجعل مرحلتي التوجيه والتطبيق ذات مصداقية.
كم مرة يجب مراجعة سياسة استخدام الذكاء الاصطناعي؟
وفق جدول ثابت - غالباً كل ستة أشهر - بالإضافة إلى مراجعة استثنائية كل مرة تنتشر أداة ذكاء اصطناعي جديدة بين الموظفين أو يغيّر أحد المزوّدين شروط التعامل مع البيانات. أدوات ونماذج الذكاء الاصطناعي تتغيّر أسرع من دورة مراجعة معظم سياسات المكاتب، فالمراجعة السنوية فقط غالباً بطيئة جداً.

اعرف أين تقف شركتك — خلال 60 ثانية

أجرِ الفحص الذاتي المجاني لترى مستوى تعرّضك لمخاطر سرية بيانات العملاء فوراً. لا حاجة للتسجيل لرؤية نتيجتك.