Yapay Zekâ Risk Envanteri Çıkarma Rehberi
AI risk envanteri, yönetemediğinizi görünür kılan ilk adımdır: kuruluşta hangi yapay zekâ sistemleri var, ne amaçla kullanılıyor, hangi veriyle çalışıyor, hangisi gerçek risk taşıyor? ISO 42001 denetiminden EU AI Act tedarik anketine kadar her uyum konuşması bu tabloyla başlar. Bu rehber, envanteri pratik olarak nasıl çıkaracağınızı ve sık yapılan hataları anlatır.
Önce kapsamı doğru çizin: “AI sistemi” nedir?
En yaygın hata dar kapsam. Envantere yalnızca “bizim geliştirdiğimiz model” değil, şunların tümü girer:
- İç geliştirme: kendi modelleriniz, fine-tune edilmiş açık modeller
- Satın alınan ürünler içindeki AI: CRM’in skorlama modülü, İK yazılımının CV eleme özelliği
- API tüketimi: LLM API’leri, görüntü/ses servisleri
- Hazır araçlar: sohbet asistanları, kod asistanları, çeviri ve içerik araçları
- Gölge AI: çalışanların bireysel hesaplarla kullandığı onaysız araçlar
Ölçüt teknoloji değil, etki: sistem bir kararı etkiliyor, içerik üretiyor veya kişisel veri işliyorsa listeye girer.
Envanter alanları: asgari şablon
| Alan | Neden gerekli |
|---|---|
| Sistem adı + iş sahibi | Sorumluluk ataması (Madde 5.3) |
| Kullanım amacı | Amaç dışı kullanım tespiti |
| Tür: iç geliştirme / satın alma / API / hazır araç | Üçüncü taraf kontrolleri (Ek A.10) |
| İşlenen veri türleri | KVKK eşleşmesi, özel nitelikli veri bayrağı |
| Karar üzerindeki rol: bilgi / öneri / otomatik karar | İnsan gözetimi ihtiyacı |
| Etkilenen kişiler: çalışan / müşteri / kamu | Etki değerlendirmesi girdisi (Madde 6.1.4) |
| Risk ön sınıfı | Önceliklendirme, EU AI Act eşleşmesi |
| Durum: aktif / pilot / emekli | Yaşam döngüsü takibi (Ek A.6) |
Bu tabloyu doldurmak, AI risk değerlendirmesinin girdisini üretir; değerlendirme metodolojisinin ayrıntısı o rehberde.
Bilgiyi nereden toplarsınız?
- Birim görüşmeleri: 30 dakikalık yapılandırılmış görüşme, anketten daha çok şey çıkarır — insanlar kullandıkları aracı “AI” olarak etiketlemez.
- Satın alma ve sözleşme kayıtları: son 2 yılın yazılım alımlarını tarayın; “AI özellikli” modüller genelde burada saklanır.
- BT görünürlüğü: ağ/proxy kayıtlarında bilinen AI servislerinin alan adları, gölge kullanımı gösterir.
- Kısa çalışan anketi: “İşinizde hangi AI araçlarını kullanıyorsunuz?” — cezalandırma değil kayıt amacı taşıdığını açıkça yazın; yoksa beyan gelmez.
Risk ön sınıflandırması
Envanter aşamasında derin analiz yapmayın; kaba ama tutarlı bir ön etiket yeterli:
- Yüksek öncelik: otomatik/yarı otomatik karar + kişi etkisi (işe alım, kredi, fiyatlama) veya EU AI Act yüksek risk alanlarına temas
- Orta: içerik üretimi, müşteriye dönük asistanlar, kişisel veri işleyen analitik
- Düşük: iç verimlilik araçları, kişisel veri işlemeyen yardımcılar
Derin değerlendirme sırası bu önceliğe göre kurulur — ISO/IEC 42001 denetçisi de aynı mantığı arar: kritik sistemden başlamışsınız mı?
Sık yapılan 5 hata
- Envanteri BT’ye havale etmek — iş birimleri olmadan kullanım amacı ve etki bilinemez.
- Gölge AI’ı yok saymak — en büyük veri sızıntısı riski orada.
- Tek seferlik proje sanmak — güncelleme tetikleyicisi tanımlanmazsa tablo 3 ayda ölür.
- Sahipsiz satırlar — her sistemin bir iş sahibi olmalı; “BT” bir sahip değildir.
- KVKK envanterinden kopukluk — aynı veri iki tabloda farklı anlatılıyorsa denetimde ikisi de zayıflar.
Envanterden yönetim sistemine
Envanter amaç değil araçtır: risk değerlendirmesini, kontrolleri ve SoA’yı besler. Mevcut durumunuzu 10 dakikada görmek için ücretsiz gap analizini çözün — operasyon kategorisindeki ilk soru tam olarak bu envanteri sorar. Envanter atölyesini uzman eşliğinde yapmak isterseniz danışmanlık hizmetimize bakın.