تحتفظ كل مؤسسة خاضعة للتنظيم بالفعل بجرد للأشياء التي يجب عليها حوكمتها. فهي تعرف أي الأنظمة تحتوي بيانات خاضعة للتنظيم، ومن يملك الوصول المتميز، وأي المفاتيح تشفّر ماذا، وأي المورّدين يقعون في المسار الحرج. والذكاء الاصطناعي هو أحدث بند على تلك القائمة، وهو في معظم المؤسسات الأقل جردًا. فالفرق تشغّل النماذج عبر عشرات الأدوات، وتستدعي مزوّدين خارجيين من داخل التطبيقات، وتلصق مواد حساسة في المساعدين، وكثيرًا ما تعجز وظيفة الحوكمة عن تقديم قائمة محدّثة بما هو قيد الاستخدام، وعلى أي بيانات، ولأي قرار. والمبدأ الذي حكم كل أصل خاضع للتنظيم آخر ينطبق هنا دون تعديل: لا يمكنك حوكمة ما لم تُجرِ له جردًا.
الأداة التي تسد هذه الفجوة هي قائمة مكوّنات الذكاء الاصطناعي: سجل منظّم ومُحدَّث لكل نظام ذكاء اصطناعي، والمورّد والنموذج خلفه، والإصدار في الإنتاج، والبيانات التي يلمسها، واستخدامه المقصود، وتصنيف مخاطره، ومن وافق عليه، ومسار التدقيق لكيفية تغيّر كل ذلك عبر الزمن. هذا ليس مطلبًا مستحدثًا اختُرع للذكاء الاصطناعي، بل هو انضباط التسجيل والتوثيق نفسه القائم بالفعل للأنظمة والمورّدين والمواد التشفيرية، موجَّهًا نحو فئة أصول جديدة. والأطر التي تتوالى عبر الولايات القضائية تتقارب على هذا المطلب بالتحديد، والتوقيت مهم لأن الفجوة بين تبنّي الذكاء الاصطناعي وحوكمته هائلة حاليًا.
لا يمكنك حوكمة ما لم تُجرِ له جردًا
الفجوة بين التبنّي والحوكمة هي أقوى دليل على أن الجرد هو العنصر الأساسي المفقود. أفاد استطلاع ISACA لعام 2024 لمختصي الثقة الرقمية بأن نحو سبعين بالمئة من المؤسسات لديها موظفون يستخدمون أدوات الذكاء الاصطناعي التوليدي، بينما خمسة عشر بالمئة فقط لديها سياسة للذكاء الاصطناعي. وتجد استطلاعات القوى العاملة الشكل نفسه من الجهة الأخرى: غالبية العاملين المكتبيين يفيدون باستخدام الذكاء الاصطناعي في العمل، ونسبة ضئيلة فقط على دراية بأن جهة عملهم لديها أي سياسة للذكاء الاصطناعي على الإطلاق. والنتيجة هي "الذكاء الاصطناعي الظلّي" (shadow AI)، الخلف المباشر لتقنية المعلومات الظلّية، بالسبب الجذري نفسه. فالمؤسسة لا تستطيع وضع قاعدة، أو إرفاق ضابط، أو تقديم دليل لنظام لا تعرف بوجوده.
الجرد هو الشرط المسبق لكل شيء آخر. فتصنيف المخاطر، وسير عمل الموافقات، وقواعد التعامل مع البيانات، والعناية الواجبة تجاه المورّدين، والاستجابة للحوادث، كلها تفترض أن لديك قائمة محدّثة بما تحكمه. ودون ذلك، يُطبَّق كل ضابط ذكاء اصطناعي آخر على تخمين.
ماذا تحتوي قائمة مكوّنات الذكاء الاصطناعي
للفكرة نسب. فبطاقة النموذج (model card)، التي اقترحها Mitchell وزملاؤه في 2019، أرست أن النموذج المُصدَر ينبغي أن يُرافقه توثيق لاستخدامه المقصود وخصائص أدائه وحدوده. وقائمة مكوّنات الذكاء الاصطناعي تعمّم ذلك إلى جرد قابل للقراءة آليًا لكل مكوّن يُشكّل نظام ذكاء اصطناعي: النماذج، ومجموعات بيانات التدريب والمرجعية، والتبعيات البرمجية، والأطر، وبيانات الحوكمة الوصفية المحيطة بها. وهي الامتداد الخاص بالذكاء الاصطناعي لقائمة مكوّنات البرمجيات (SBOM) التي تحتفظ بها فرق الأمن بالفعل، والأدوات تنضج لتواكب ذلك: فصيغة قائمة مكوّنات تعلّم الآلة من CycloneDX وملف SPDX 3.0 للذكاء الاصطناعي كلاهما موجود لحمل هذه البيانات، وأطلقت OWASP مشروع AIBOM مخصصًا في 2025 إلى جانب قائمتها Top 10 لتطبيقات نماذج اللغة الكبيرة، حيث تُعد مخاطر سلسلة التوريد (LLM03) بندًا مُسمّى تحديدًا لأن أي نموذج أو تبعية مجهولة هي نموذج أو تبعية غير محكومة.
عمليًا، تجيب قائمة المكوّنات عن مجموعة ثابتة من الأسئلة لكل نظام ذكاء اصطناعي: أي نموذج وإصدار يعمل، وأي مورّد يزوّده، وأي بيانات تتدفق إليه، وأي قرار يفيده، ومدى خطورة ذلك الاستخدام، ومن أجاز ذلك، وما الذي تغيّر منذ ذلك الحين. احتفظ بهذه الإجابات وأبقها محدّثة، يصبح حوار الحوكمة ممكنًا. تجاوزها، ولن يكون كذلك.
الأطر تطلب الآن هذا الجرد
أقوى إشارة هي EU AI Act (اللائحة (EU) 2024/1689)، التي دخلت حيّز النفاذ في 1 أغسطس 2024 وتُطبَّق على مراحل: الممارسات المحظورة والتزامات الإلمام بالذكاء الاصطناعي اعتبارًا من 2 فبراير 2025، والتزامات النماذج عامة الغرض اعتبارًا من 2 أغسطس 2025، والتزامات عالية المخاطر اعتبارًا من 2 أغسطس 2026. وتُقرأ متطلبات التوثيق فيها كأنها مواصفة لقائمة مكوّنات الذكاء الاصطناعي. فالمادة 11 (Article 11) تشترط أن تُعَدّ الوثائق الفنية للنظام عالي المخاطر "قبل طرح ذلك النظام في السوق أو وضعه قيد الخدمة وأن تُبقى محدّثة"، شاملةً العناصر الواردة في الملحق الرابع (Annex IV): الغرض المقصود من النظام، والمورّد، وإصدارات البرمجيات ذات الصلة، ومجموعات البيانات ومصادرها، وإجراءات التحقق والاختبار، والتغييرات المُجراة عبر دورة الحياة. والمادة 9 (Article 9) تشترط نظام إدارة مخاطر "يُنشأ ويُنفَّذ ويُوثَّق ويُصان" بوصفه "عملية تكرارية مستمرة مخطّطة ومُدارة طوال دورة الحياة بأكملها". والمادة 12 (Article 12) تشترط التسجيل التلقائي للأحداث طوال عمر النظام، والمادتان 49 و71 تشترطان تسجيل الأنظمة عالية المخاطر في قاعدة بيانات أوروبية عامة. والعقوبات تمنح المطلب أنيابًا: تصل إلى خمسة وثلاثين مليون يورو أو سبعة بالمئة من حجم الأعمال السنوي العالمي لأشد المخالفات جسامة.
ISO/IEC 42001:2023، أول معيار دولي لنظام إدارة الذكاء الاصطناعي، يجعل الجرد انضباطًا إداريًا لا وثيقة لمرة واحدة. فهو يشترط على المؤسسات تحديد أنظمة الذكاء الاصطناعي لديها وإدارتها عبر دورة الحياة، وإجراء تقييمات أثر الذكاء الاصطناعي، وتوثيق معالجة المخاطر. والتبنّي يتحرك بسرعة كافية للإشارة إلى تشكّل خط أساس: حصلت AWS على اعتماد معتمد في نوفمبر 2024، واعتمدت IBM نماذج Granite الخاصة بها، وأعلنت KPMG عن اعتماد في أواخر 2025. أما NIST AI Risk Management Framework (إطار إدارة مخاطر الذكاء الاصطناعي، AI RMF 1.0، يناير 2023) فهو أكثر صراحة. إذ تتضمن وظيفة الحوكمة فيه الضابط GOVERN 1.6: "توجد آليات لجرد أنظمة الذكاء الاصطناعي وتُخصَّص لها الموارد وفقًا لأولويات المخاطر التنظيمية". وملف NIST للذكاء الاصطناعي التوليدي، الصادر في يوليو 2024، يمدّ وظائف الرسم والقياس والإدارة والحوكمة لتشمل الأنظمة التوليدية ويتجه أكثر نحو التوثيق عبر دورة الحياة.
في الولايات المتحدة، الصورة هدف متحرك لكن الاتجاه ثابت. سنّت كولورادو أول قانون شامل للذكاء الاصطناعي على مستوى الولاية في 2024، فارضةً واجبات توثيق وتقييم أثر على مطوّري ومُشغّلي الأنظمة عالية المخاطر، وإن أُجّلت تلك الواجبات مرارًا وقُلّصت جوهريًا خلال 2025 و2026. واشترط القانون المحلي 144 لمدينة نيويورك (Local Law 144)، منذ بدء الإنفاذ في يوليو 2023، تدقيق تحيّز مستقل سنوي لأدوات قرارات التوظيف الآلية ونشر النتائج علنًا. وأوضح التوجيه الفني لـ EEOC لعام 2023 أن صاحب العمل قد يكون مسؤولًا بموجب الباب السابع (Title VII) عن أداة ذكاء اصطناعي لمورّد مُستخدَمة نيابةً عنه، ما يعني أن الجرد يجب أن يمتد إلى ذكاء اصطناعي لم تصنعه.
ويتشكّل التوقّع نفسه في منطقة الشرق الأوسط وشمال أفريقيا. فقد نشرت الإمارات ميثاقًا وطنيًا لتطوير الذكاء الاصطناعي واستخدامه، وأصدرت SDAIA السعودية مبادئ أخلاقيات للذكاء الاصطناعي، وكلاهما يؤكّد المساءلة وتوثيق أنظمة الذكاء الاصطناعي قيد الاستخدام. تختلف المفردات باختلاف الولاية القضائية، أما التعليمة الأساسية فلا.
الجواب البنيوي
قائمة مكوّنات الذكاء الاصطناعي لا تساوي إلا بقدر حداثتها ودليلها. فجدول بيانات للنماذج يُصان يدويًا هو أداة من الدرجة الأولى في سُلّم نضج الأدلة: قديم لحظة الاستلام، غير قابل للتحقق، ومنفصل عن الأنظمة التي يزعم وصفها. وحوكمة الذكاء الاصطناعي بالطريقة التي تحكم بها كل شيء آخر تعني أن الجرد يجب أن يعيش حيث تعيش أصولك المحكومة الأخرى، تحت سلسلة التدقيق نفسها، بالإثبات نفسه.
هذا ما صُمّمت طبقة حوكمة الذكاء الاصطناعي من نوفانترا لفعله. فنوفانترا تُسجّل كل نظام ذكاء اصطناعي ومورّد ونموذج بوصفه كائنًا محكومًا من الدرجة الأولى، وتربط كلًا منه بتصنيف مخاطره وموافقاته ومطالباته واستخدامه المقصود، وتحتفظ بالتوثيق والأدلة ومسار التدقيق في السجل المُسلسَل بالتجزئة نفسه الذي يضم مراجعات الوصول وعمليات تدوير المفاتيح لديك. ويُلتقَط سجل استخدام النماذج والقرارات وقت حدوثه بدلًا من إعادة بنائه من أجل جهة تنظيمية. ولأن نوفانترا تدعم إحضار نموذجك الخاص وتعمل دون رجوع صامت إلى مزوّد غير معتمد، فإن قائمة المكوّنات تعكس ما يُنفَّذ فعليًا لا ما نوى أحدهم نشره. ولأن النشر السيادي من نوفانترا يعمل داخل بنيتك التحتية الخاصة بمفاتيح يتحكم بها العميل، فإن جرد الذكاء الاصطناعي، شأنه شأن البيانات التي يحكمها، لا يغادر سيطرتك أبدًا. والانضباط الشقيق للتحكم في المزوّد متناوَل في مفاتيح التشفير التي يتحكم بها العميل، وأساس النشر في السيادة بحكم البنية.
الذكاء الاصطناعي هو السطح الذي تسأل عنه الجهات التنظيمية بأعلى صوت، وهو الذي تعجز معظم المؤسسات عن تفسيره. والحل ليس فئة جديدة من الحوكمة، بل أقدم انضباط على الإطلاق، مُطبَّقًا على أحدث أصل: اعرف ما لديك، وأثبت أنه محدّث، واحتفظ بالسجل.