top of page
Ara

Denetim ve Şeffaflık: Şirketler için Yapay Zeka İç Denetim Rehberi

  • Paksoy
  • 3 Eki
  • 3 dakikada okunur

Şirketler için Yapay Zeka İç Denetim Rehberinin Amacı

Bu taslak rehber, yapay zeka sistemlerinin şirket içi kullanımlarında hukuki riskleri azaltmak için gerekli iç denetimi sağlamak amacıyla hazırlanmış bir yol haritası özetidir. Bu taslak ile hedeflenen, kurum içi yapay zeka uygulamalarını şeffaf, izlenebilir, var olan ve var olacağı tahmin edilen mevzuata uygun hale getirip kamu otoriteleri ve olası yasal süreçler karşısında delillendirilebilecek düzeye getirmektir.


Yapay zeka iç denetim rehberi ile şirket içinde hangi modellerin kullanıldığı, bu modellerin hangi verilerle eğitildiği, yapay zekanın hangi otomatik karar alma süreçlerinde kullanıldığı ve bu uygulamaların olası risklerinin ne olduğu, açık, tarih damgalı ve denetlenebilir şekilde belgelenebilir.


Aşağıda müvekkillerimize sunduğumuz kapsamlı şirketler için yapay zeka iç denetim rehberinin ve denetim şablonunun sadeleştirilmiş halini bulabilirsiniz:


Neden denetim ve şeffaflık şart?

Yapay zeka insan kararlarını desteklemek veya insan tarafından takdir edilemeyen bir kararı almak gibi işlevlerle artık kurumsal kararların bir parçası olduğundan bu durumun ileride yaratabileceği hukuki sonuçlara hazırlıklı olmak şirketin geleceği bakımından önemlidir.


Avrupa Birliği genelinde uygulama alanı bulan AB Yapay Zeka Tüzüğü, yapay zekayı iç hukuklarında düzenleyen İtalya, ve Kanada yasaları, şeffaflık ve denetim süreçleri bakımından son derece kapsamlı düzenlemeler içermektedir. Düzenleyici otoritelerin öngördüğü yükümlülüklere uyulmaması veya bu yükümlülüklere uyulsa bile oluşan neticenin bir insana zarar vermesi önemli maddi kayıplara yol açabilir. Neticede şirketin asıl sermayesi olan itibar zedelenebilir veya bütünüyle kaybedilebilir.


İç denetim, kurumun “AI nasıl çalışıyor?”, “hangi verileri kullanıyor?”, “hangi riskler var?” gibi sorulara açık ve belgelendirilebilir yanıtlar vermesine imkan sağlamaktadır. Bu sayede potansiyel risk ve sorumluluk azaltılabilir.


Şirket içi roller ve bunların sorumlulukları:

AI Uyum Sorumlusu (AIO): Kurum içi denetimi yürütmeli ve bulguları takibe almalıdır.

Veri Koruma Görevlisi (DPO): Kişisel veri ve KVKK uyumu kontrolü yapmalıdır.

CTO / ML Ekipleri: Teknik delilleri sağlamalı, belgelemelidir (kod, model versiyonları, log kayıtları).

Hukuk Ekibi: Hukuki görüş sunmalı ve gerektiğinde sözleşmeleri hazırlamalıdır.


-Bağımsız Denetçi: Bir dış denetçiden yılda bir veya iki kez denetim desteği alınmalıdır.


Şirket içi yapay zeka denetimi nasıl işlemeli?

  1. Model envanteri oluşturulması: Kurum içinde hangi modeller kullanılıyor, ne için kullanılıyor, sağlayıcısı ve kullanıcıları kimler?

  2. Modellerin risk sınıflandırmasının yapılması: Her model için, düşük / orta / yüksek risk sınıflarından biri seçilmelidir. AB yapay zeka tüzüğü, dünya üzerindeki en kapsamlı ve kamuoyu desteği almış düzenleme olduğundan kaynak olarak kullanılabilir.

  3. Denetim planı hazırlanması: Önce yüksek risk modelleri denetlenmelidir. Denetimde hangi belgelerin isteneceği belirlenmeli ve daha sonra orta ile düşük risk sınıflarında olan modeller denetlenmelidir.

  4. Delil niteliğindeki belgelerin toplanması: Kullanılan yapay zeka modelinin eğitildiği veri kaynakları, model card, test raporları, üretim logları gibi delil niteliğindeki teknik belgeler toplanmalıdır.

  5. Teknik değerlendirme yapılması: İlgili yapay zeka modelinin performansı, önyargı testi (bias/fairness), güvenlik açıkları (robustness & privacy), model açıklanabilirliği (explainability) değerlendirmeleri yapılmalı ve belgelenmelidir.

  6. Hukuki değerlendirme yapılması: KVKK, tüketici hukuku, herhangi bir sözleşmeden kaynaklı yükümlülükler kontrol edilmelidir.

  7. Raporlama: Yukarıda sayılı maddelerden edinilmiş raporlar, bulgular ve bunların tarihleri bütüncül bir rapor haline getirilmelidir.

  8. Rapor sonrası takip gerekliliği: Bulgular doğrultusunda yapılması gereken düzeltmeler uygulanıp, uygulandıkları doğrulanmalıdır.


Teknik ve hukuki kontrollerde sorulacak örnek sorular:

Veri kaynağı ve anonimleştirme: Eğitim verisi nereden geldi? Kişisel veri var mı? Verilerin hukuki dayanağı (rıza metni, mevzuat vb.) nedir?

Model Card: Modelin ne yaptığı, hangi verilerle eğitildiği, performans sınırları ve bilinen riskleri nelerdir?

Adillik testleri: Farklı demografik gruplarda performans farklı mı? (Aynı başarı oranı tüm gruplarda sağlanıyor mu? Model herhangi bir sebeple ayrımcılık yapıyor mu?)

Açıklanabilirlik: Modelin çıktısı kullanıcıya veya denetçiye nasıl açıklanabilir? (feature importance, counterfactuals vb.)

Loglama ve izlenebilirlik: Hangi istek ne zaman, hangi model/versiyonla işlendi? Karar kaydı (decision record) tutuluyor mu?

Vendor yönetimi: Üçüncü taraf model varsa sözleşmede denetim hakkı, veri politikası ve düzeltme mekanizmaları açık mı?


Basit log örneği (basit formattır, uyarlanabilir)

  • timestamp — işlem zamanı (ISO format)

  • request_id — benzersiz istek kimliği

  • model_name / model_version

  • input_summary (hash/özet)

  • output_summary (kısa açıklama)

  • confidence_score (varsa)

  • decision_record_id — hangi kural/insan incelemesi ilişkili?

  • action_taken — (ör. bildirildi / bloke edildi / onaylandı)


Bu kayıtlar değiştirilemez şekilde saklanmalıdır. Erişim rolleri net olmalıdır.


5 adımda şirket içi olay yönetimi (incident response) sağlama

  1. İhbar: Her çalışan olay gördüğünde AIO veya DPO’ya bildirmelidir.

  2. İlk değerlendirme (24 saat): Kritikse model durdurulmalı veya geri getirme (rollback) yapılmalıdır.

  3. Veri kaydı ve analiz: Ne oldu, hangi veriler etkilendi, kimler etkilendi?

  4. Raporlama: KVKK ve ilgili düzenleyicilere bildirim gerekli mi?

  5. Kapanış: Düzeltici önlem uygulanmalı, test edilmeli ve kapanış raporu hazırlanmalıdır.


10 Maddelik Checklist

  1. Model envanteri var mı?

  2. Her model risk sınıfına ayrıldı mı?

  3. Model card ve datasheet erişilebilir mi?

  4. Eğitim veri kaynakları belgelendi mi?

  5. Üretim logları güvenli şekilde tutuluyor mu?

  6. Adillik testleri düzenli olarak uygulanıyor mu?

  7. Drift detection (performans veya veri kayması) var mı?

  8. Üçüncü taraf denetim hakları sözleşmede tanımlı mı?

  9. Olay yönetimi prosedürü yazılı mı ve test edildi mi?

  10. DPO ve AIO rollerinin görev tanımları var mı ve açık mı?


Nasıl destek olabiliriz?

Yukarıda sadeleştirilmiş halini gördüğünüz rehberi işletmenizin ihtiyaçlarına uygun ve doğrudan kullanabileceğiniz bir AI İç Denetim Paketi haline getirebilir ve bir uygulama eğitimi verebiliriz. Aşağıda dayanak AB Yapay Zeka Tüzüğüne ve çalışanların sahip olması beklenen yapay zeka okuryazarlığına ilişkin diğer yazılarımızı okuyabilir, sorularınızı bize iletebilirsiniz.



ree

bottom of page