Yapay Zekâ Risk Değerlendirmesi Nasıl Yapılır?
AI risk değerlendirmesi, kuruluşunuzdaki yapay zekâ sistemlerinin yol açabileceği zararları sistematik biçimde belirleme, ölçme ve işleme sürecidir. ISO 42001’in çekirdeğidir: Madde 6.1 risk metodolojisini, Madde 6.1.4 ise AI’a özgü etki değerlendirmesini şart koşar. Bu rehber, AI risk değerlendirmesini envanterden Uygulanabilirlik Bildirgesi’ne (SoA) kadar adım adım anlatır.
AI riski nedir, neden klasik riskten farklıdır?
AI riskleri üç özellikle ayrışır:
- Olasılıksal davranış: Model çıktıları deterministik değildir; aynı girdi farklı sonuç üretebilir.
- Veri bağımlılığı: Riskin kaynağı çoğu zaman kod değil, eğitim/girdi verisidir — önyargılı veri, önyargılı karar üretir.
- Etki alanı: Zarar yalnızca kuruluşa değil, bireylere ve topluma dokunur. EU AI Act tam da bu nedenle risk temelli yasal sınıflar getirir.
Bu yüzden ISO 42001, klasik “olasılık × kuruluşa etki” bakışını AI etki değerlendirmesiyle (birey/toplum ekseni) tamamlar.
ISO 42001 risk metodolojisi
Madde 6.1’e göre tanımlamanız gerekenler:
- Risk kriterleri: neyi kabul edilebilir sayıyorsunuz (kabul eşiği)
- Değerlendirme yöntemi: olasılık ve etki ölçekleri, puanlama
- İşleme seçenekleri: azalt (kontrol), devret (sözleşme/sigorta), kaçın (kullanımı durdur), kabul et (gerekçeli)
- Kayıt düzeni: risk kaydı, sahiplik, gözden geçirme takvimi
Metodoloji yazılı olmalı ve her değerlendirmede aynı şekilde uygulanmalıdır; denetçinin ilk baktığı tutarlılıktır.
Adım 1: AI sistem envanteri
Değerlendiremeyeceğiniz sistemi yönetemezsiniz. Envanter satırı asgari şunları içerir:
| Alan | Örnek |
|---|---|
| Sistem adı ve sahibi | ”Kredi ön değerlendirme modeli — Risk Birimi” |
| Kullanım amacı | Başvuru ön elemesi |
| Model türü ve kaynağı | İç geliştirme / API (üçüncü taraf) |
| İşlenen veri | Kimlik, finansal geçmiş (KVKK kapsamında) |
| Karar üzerindeki rolü | Öneri / otomatik karar |
| Risk ön sınıfı | Yüksek (EU AI Act Ek III alanı) |
Hazır araçlar (sohbet botları, kod asistanları, API’ler) da envantere girer — KVKK veri envanterinizle çapraz beslenir.
Adım 2: Risk kategorileri
Değerlendirmede en az dört boyuta bakın:
- Güvenlik ve dayanıklılık: model manipülasyonu, veri sızıntısı, hatalı çıktı
- Önyargı ve adalet: ayrımcı sonuçlar, temsil edilmeyen gruplar
- Mahremiyet: kişisel verinin amaç dışı işlenmesi, yeniden kimliklendirme
- Şeffaflık ve açıklanabilirlik: kararın gerekçelendirilememesi, kullanıcının AI ile etkileştiğini bilmemesi
Her kategori için hem kuruluş etkisi (finansal, yasal, itibar) hem birey/toplum etkisi puanlanır.
Adım 3: Olasılık × etki matrisi
Basit ve işleyen bir örnek — 5×5 matris:
| Etki: Düşük | Orta | Yüksek | Çok yüksek | |
|---|---|---|---|---|
| Olasılık: Yüksek | Orta | Yüksek | Kritik | Kritik |
| Orta | Düşük | Orta | Yüksek | Kritik |
| Düşük | Düşük | Düşük | Orta | Yüksek |
Kural örneği: “Kritik” seviyesi üst yönetim onayı olmadan kabul edilemez; “Yüksek” için kontrol planı zorunlu; “Düşük” gerekçeyle kabul edilebilir. Kabul kararları kayıt altına alınır.
Adım 4: Kontroller ve SoA
Belirlenen her risk, Ek A’daki 38 kontrolle eşlenir: etki değerlendirmesi (A.5), yaşam döngüsü yönetimi (A.6), veri kalitesi (A.7), şeffaflık (A.8), üçüncü taraf (A.10)… Sonuç Uygulanabilirlik Bildirgesi’ne yazılır: hangi kontrol uygulanıyor, hangisi neden dışlandı. SoA, risk değerlendirmenizle tutarlı olmak zorundadır — dışladığınız kontrolün adres ettiği risk kayıtta “yüksek” görünüyorsa denetimde bulgu alırsınız.
EU AI Act ile ilişki
EU AI Act, AI sistemlerini yasak/yüksek/sınırlı/minimum risk sınıflarına ayırır ve yüksek riskli sistemlere risk yönetim sistemi şartı getirir. ISO 42001 metodolojiniz bu şartın kanıt çerçevesi olur: envanter + etki değerlendirmesi + kontrol eşleştirmesi, AB müşterilerinizin tedarik denetimlerinde sorduğu belgelerin ta kendisidir. Ayrıntı: EU AI Act ve Türkiye yansımaları.
Başlarken
- Mevcut olgunluğunuzu görün: ücretsiz gap analizi — risk kategorisindeki sorular tam bu konuları ölçer.
- İç denetime hazırlanın: ISO 42001 iç denetim kontrol listesi — 9 başlıkta 116 soruyla belgelendirme öncesi boşluklarınızı çıkarın.
- Çerçeveyi tanıyın: ISO 42001 nedir ve belgelendirme süreci.
- Metodolojiyi birlikte kuralım: danışmanlık hizmetimiz risk atölyelerini ve SoA hazırlığını kapsar — teklif alın.