Blog · 6 Temmuz 2026

Yapay Zekâ Risk Envanteri Çıkarma Rehberi

AI risk envanteri, yönetemediğinizi görünür kılan ilk adımdır: kuruluşta hangi yapay zekâ sistemleri var, ne amaçla kullanılıyor, hangi veriyle çalışıyor, hangisi gerçek risk taşıyor? ISO 42001 denetiminden EU AI Act tedarik anketine kadar her uyum konuşması bu tabloyla başlar. Bu rehber, envanteri pratik olarak nasıl çıkaracağınızı ve sık yapılan hataları anlatır.

Önce kapsamı doğru çizin: “AI sistemi” nedir?

En yaygın hata dar kapsam. Envantere yalnızca “bizim geliştirdiğimiz model” değil, şunların tümü girer:

  • İç geliştirme: kendi modelleriniz, fine-tune edilmiş açık modeller
  • Satın alınan ürünler içindeki AI: CRM’in skorlama modülü, İK yazılımının CV eleme özelliği
  • API tüketimi: LLM API’leri, görüntü/ses servisleri
  • Hazır araçlar: sohbet asistanları, kod asistanları, çeviri ve içerik araçları
  • Gölge AI: çalışanların bireysel hesaplarla kullandığı onaysız araçlar

Ölçüt teknoloji değil, etki: sistem bir kararı etkiliyor, içerik üretiyor veya kişisel veri işliyorsa listeye girer.

Envanter alanları: asgari şablon

AlanNeden gerekli
Sistem adı + iş sahibiSorumluluk ataması (Madde 5.3)
Kullanım amacıAmaç dışı kullanım tespiti
Tür: iç geliştirme / satın alma / API / hazır araçÜçüncü taraf kontrolleri (Ek A.10)
İşlenen veri türleriKVKK eşleşmesi, özel nitelikli veri bayrağı
Karar üzerindeki rol: bilgi / öneri / otomatik kararİnsan gözetimi ihtiyacı
Etkilenen kişiler: çalışan / müşteri / kamuEtki değerlendirmesi girdisi (Madde 6.1.4)
Risk ön sınıfıÖnceliklendirme, EU AI Act eşleşmesi
Durum: aktif / pilot / emekliYaşam döngüsü takibi (Ek A.6)

Bu tabloyu doldurmak, AI risk değerlendirmesinin girdisini üretir; değerlendirme metodolojisinin ayrıntısı o rehberde.

Bilgiyi nereden toplarsınız?

  1. Birim görüşmeleri: 30 dakikalık yapılandırılmış görüşme, anketten daha çok şey çıkarır — insanlar kullandıkları aracı “AI” olarak etiketlemez.
  2. Satın alma ve sözleşme kayıtları: son 2 yılın yazılım alımlarını tarayın; “AI özellikli” modüller genelde burada saklanır.
  3. BT görünürlüğü: ağ/proxy kayıtlarında bilinen AI servislerinin alan adları, gölge kullanımı gösterir.
  4. Kısa çalışan anketi: “İşinizde hangi AI araçlarını kullanıyorsunuz?” — cezalandırma değil kayıt amacı taşıdığını açıkça yazın; yoksa beyan gelmez.

Risk ön sınıflandırması

Envanter aşamasında derin analiz yapmayın; kaba ama tutarlı bir ön etiket yeterli:

  • Yüksek öncelik: otomatik/yarı otomatik karar + kişi etkisi (işe alım, kredi, fiyatlama) veya EU AI Act yüksek risk alanlarına temas
  • Orta: içerik üretimi, müşteriye dönük asistanlar, kişisel veri işleyen analitik
  • Düşük: iç verimlilik araçları, kişisel veri işlemeyen yardımcılar

Derin değerlendirme sırası bu önceliğe göre kurulur — ISO/IEC 42001 denetçisi de aynı mantığı arar: kritik sistemden başlamışsınız mı?

Sık yapılan 5 hata

  1. Envanteri BT’ye havale etmek — iş birimleri olmadan kullanım amacı ve etki bilinemez.
  2. Gölge AI’ı yok saymak — en büyük veri sızıntısı riski orada.
  3. Tek seferlik proje sanmak — güncelleme tetikleyicisi tanımlanmazsa tablo 3 ayda ölür.
  4. Sahipsiz satırlar — her sistemin bir iş sahibi olmalı; “BT” bir sahip değildir.
  5. KVKK envanterinden kopukluk — aynı veri iki tabloda farklı anlatılıyorsa denetimde ikisi de zayıflar.

Envanterden yönetim sistemine

Envanter amaç değil araçtır: risk değerlendirmesini, kontrolleri ve SoA’yı besler. Mevcut durumunuzu 10 dakikada görmek için ücretsiz gap analizini çözün — operasyon kategorisindeki ilk soru tam olarak bu envanteri sorar. Envanter atölyesini uzman eşliğinde yapmak isterseniz danışmanlık hizmetimize bakın.

SSS

Sık sorulan sorular

Envantere Excel yeter mi? +

Başlangıç için evet. 10-15 sistemin altındaki kuruluşlarda paylaşılan bir tablo işler; kritik olan alanların standart ve sahipliğin net olması. Sistem sayısı ve güncelleme sıklığı arttıkça panel tabanlı takip gerekir.

Çalışanların kendi başına kullandığı AI araçları (gölge AI) envantere girer mi? +

Evet, en riskli kalemler çoğu zaman onlardır. Kurumsal veri, onaysız bir araca yapıştırıldığı anda risk gerçekleşir. Kısa anket + ağ trafiği görünürlüğü + açık bir 'onaylı araç listesi' politikasıyla gölge AI yüzeye çıkarılır.

Envanter hangi sıklıkla güncellenmeli? +

Tanımlı tetikleyicilerle: yeni sistem/araç alımı, model veya veri seti değişikliği, yeni kullanım alanı (Madde 6.3). Ayrıca planlı gözden geçirme — çeyreklik pratik bir ritimdir.

Envanter ile KVKK veri envanteri ilişkisi nedir? +

İki envanter birbirini besler: kişisel veri işleyen her AI sistemi, KVKK envanterindeki işleme faaliyetiyle eşleşmelidir. Tek kaynaktan çapraz referans, hem denetimde hem VERBİS güncellemelerinde işinizi kolaylaştırır.