Yapay Zekâ Risk Değerlendirmesi Nasıl Yapılır?

AI risk değerlendirmesi, kuruluşunuzdaki yapay zekâ sistemlerinin yol açabileceği zararları sistematik biçimde belirleme, ölçme ve işleme sürecidir. ISO 42001’in çekirdeğidir: Madde 6.1 risk metodolojisini, Madde 6.1.4 ise AI’a özgü etki değerlendirmesini şart koşar. Bu rehber, AI risk değerlendirmesini envanterden Uygulanabilirlik Bildirgesi’ne (SoA) kadar adım adım anlatır.

AI riski nedir, neden klasik riskten farklıdır?

AI riskleri üç özellikle ayrışır:

  1. Olasılıksal davranış: Model çıktıları deterministik değildir; aynı girdi farklı sonuç üretebilir.
  2. Veri bağımlılığı: Riskin kaynağı çoğu zaman kod değil, eğitim/girdi verisidir — önyargılı veri, önyargılı karar üretir.
  3. Etki alanı: Zarar yalnızca kuruluşa değil, bireylere ve topluma dokunur. EU AI Act tam da bu nedenle risk temelli yasal sınıflar getirir.

Bu yüzden ISO 42001, klasik “olasılık × kuruluşa etki” bakışını AI etki değerlendirmesiyle (birey/toplum ekseni) tamamlar.

ISO 42001 risk metodolojisi

Madde 6.1’e göre tanımlamanız gerekenler:

  • Risk kriterleri: neyi kabul edilebilir sayıyorsunuz (kabul eşiği)
  • Değerlendirme yöntemi: olasılık ve etki ölçekleri, puanlama
  • İşleme seçenekleri: azalt (kontrol), devret (sözleşme/sigorta), kaçın (kullanımı durdur), kabul et (gerekçeli)
  • Kayıt düzeni: risk kaydı, sahiplik, gözden geçirme takvimi

Metodoloji yazılı olmalı ve her değerlendirmede aynı şekilde uygulanmalıdır; denetçinin ilk baktığı tutarlılıktır.

Adım 1: AI sistem envanteri

Değerlendiremeyeceğiniz sistemi yönetemezsiniz. Envanter satırı asgari şunları içerir:

AlanÖrnek
Sistem adı ve sahibi”Kredi ön değerlendirme modeli — Risk Birimi”
Kullanım amacıBaşvuru ön elemesi
Model türü ve kaynağıİç geliştirme / API (üçüncü taraf)
İşlenen veriKimlik, finansal geçmiş (KVKK kapsamında)
Karar üzerindeki rolüÖneri / otomatik karar
Risk ön sınıfıYüksek (EU AI Act Ek III alanı)

Hazır araçlar (sohbet botları, kod asistanları, API’ler) da envantere girer — KVKK veri envanterinizle çapraz beslenir.

Adım 2: Risk kategorileri

Değerlendirmede en az dört boyuta bakın:

  • Güvenlik ve dayanıklılık: model manipülasyonu, veri sızıntısı, hatalı çıktı
  • Önyargı ve adalet: ayrımcı sonuçlar, temsil edilmeyen gruplar
  • Mahremiyet: kişisel verinin amaç dışı işlenmesi, yeniden kimliklendirme
  • Şeffaflık ve açıklanabilirlik: kararın gerekçelendirilememesi, kullanıcının AI ile etkileştiğini bilmemesi

Her kategori için hem kuruluş etkisi (finansal, yasal, itibar) hem birey/toplum etkisi puanlanır.

Adım 3: Olasılık × etki matrisi

Basit ve işleyen bir örnek — 5×5 matris:

Etki: DüşükOrtaYüksekÇok yüksek
Olasılık: YüksekOrtaYüksekKritikKritik
OrtaDüşükOrtaYüksekKritik
DüşükDüşükDüşükOrtaYüksek

Kural örneği: “Kritik” seviyesi üst yönetim onayı olmadan kabul edilemez; “Yüksek” için kontrol planı zorunlu; “Düşük” gerekçeyle kabul edilebilir. Kabul kararları kayıt altına alınır.

Adım 4: Kontroller ve SoA

Belirlenen her risk, Ek A’daki 38 kontrolle eşlenir: etki değerlendirmesi (A.5), yaşam döngüsü yönetimi (A.6), veri kalitesi (A.7), şeffaflık (A.8), üçüncü taraf (A.10)… Sonuç Uygulanabilirlik Bildirgesi’ne yazılır: hangi kontrol uygulanıyor, hangisi neden dışlandı. SoA, risk değerlendirmenizle tutarlı olmak zorundadır — dışladığınız kontrolün adres ettiği risk kayıtta “yüksek” görünüyorsa denetimde bulgu alırsınız.

EU AI Act ile ilişki

EU AI Act, AI sistemlerini yasak/yüksek/sınırlı/minimum risk sınıflarına ayırır ve yüksek riskli sistemlere risk yönetim sistemi şartı getirir. ISO 42001 metodolojiniz bu şartın kanıt çerçevesi olur: envanter + etki değerlendirmesi + kontrol eşleştirmesi, AB müşterilerinizin tedarik denetimlerinde sorduğu belgelerin ta kendisidir. Ayrıntı: EU AI Act ve Türkiye yansımaları.

Başlarken

  1. Mevcut olgunluğunuzu görün: ücretsiz gap analizi — risk kategorisindeki sorular tam bu konuları ölçer.
  2. İç denetime hazırlanın: ISO 42001 iç denetim kontrol listesi — 9 başlıkta 116 soruyla belgelendirme öncesi boşluklarınızı çıkarın.
  3. Çerçeveyi tanıyın: ISO 42001 nedir ve belgelendirme süreci.
  4. Metodolojiyi birlikte kuralım: danışmanlık hizmetimiz risk atölyelerini ve SoA hazırlığını kapsar — teklif alın.

SSS

Sık sorulan sorular

AI risk değerlendirmesi ile klasik risk değerlendirmesi arasındaki fark nedir? +

Klasik kurumsal risk bakışı kuruluşa etkiyi ölçer. ISO 42001, buna bireyler ve toplum üzerindeki etkileri ekler (Madde 6.1.4 — AI etki değerlendirmesi): önyargı mağduriyeti, mahremiyet ihlali, yanlış otomatik karar gibi sonuçlar kuruluş zararından bağımsız değerlendirilir.

Hangi sıklıkla tekrarlanmalı? +

Planlı periyodda (tipik olarak yılda bir) ve her önemli değişiklikte: yeni model, yeni veri seti, yeni kullanım alanı, üçüncü taraf değişimi (Madde 6.3). Yüksek riskli sistemlerde daha sık gözden geçirme önerilir.

Hazır AI araçları (ChatGPT, Copilot gibi) da değerlendirilmeli mi? +

Evet. Tedarik edilen AI da envantere girer ve değerlendirilir: hangi veriler gönderiliyor, çıktılar hangi kararlarda kullanılıyor, sağlayıcının taahhütleri neler (Ek A.10 — üçüncü taraf ilişkileri).

Risk değerlendirmesini kim yapmalı? +

Tek kişi değil, karma ekip: AI sistem sahibi, veri sorumlusu/uzmanı, bilgi güvenliği, hukuk/uyum ve ilgili iş birimi. Metodolojiyi yöneten bir kolaylaştırıcı (kalite/uyum yöneticisi veya danışman) süreci standartlaştırır.

Sonuçlar denetimde nasıl kanıtlanır? +

Kayıtla: risk kaydı (register), etki değerlendirme formları, kabul kararları ve SoA. Denetçi metodolojinin tanımlı olduğunu (Madde 6.1) ve kayıtların yaşadığını (güncelleme tarihleri, aksiyon takibi) görmek ister.