KÜRESEL BAKIŞ

AÇILARI VE ANLAYIŞLAR Yapay Zekâ – İç Denetim Mesleğine

İlişkin Dikkate Alınması Gerekenler

Özel Baskı

KISIM

Küresel Bakış Açıları: Yapay Zekâ I

İçindekiler Tablosu

Giriş ................................................................................................................. 0

Yapay Zekâyı Bağlama Oturtmak .................................................................... 0

Yapay Zekâ – Temel lkeler .............................................................................. 1

Büyük Veriler ve Algoritmalar ................................................................... 1

Yapay Zekâ Tipleri..................................................................................... 1

Yapay Zekânın Beraberinde Getirdiği Fırsatlar ve Riskler ................................. 2

Fırsatlar .................................................................................................... 3

Riskler ...................................................................................................... 3

İç Denetimin Rolü ............................................................................................ 3

Yapay Zeka Yetkinlikleri: Anlam Konusundaki Farkı Kapatmak ................. 4

Siber Esnekliğe Özel Önem Vermek ......................................................... 5

Yapay Zekâya İlişkin Denetim Çerçevesi ........................................................... 5

Yapay Zeka Stratejisi ................................................................................. 5

Yönetişim ................................................................................................. 6

İnsan Faktörü ........................................................................................... 7

Kapanış Görüşleri ............................................................................................ 7

IIA Hakkında İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin en tanınmış savunucusu, eğitmeni ve standart, rehber ve sertifika sağlayıcısıdır. 1941 yılında

kurulan IIA bugün 170’ten fazla ülke ve bölgeden 190.000’i aşkın üyeye hizmet vermektedir. Enstitünün dünya çapındaki genel merkezi Lake Mary,

Fla., ABD’de bulunmaktadır. Daha fazla bilgi için, www.globaliia.org sitesini ziyaret ediniz.

Sorumluluğun Reddi Beyanı Küresel Bakış Açıları ve Anlayışlar dokümanında dile getirilen görüşler münferit katkıda bulunanların veya onların işverenlerinin görüşleri

olmak zorunda değildir.

Telif Hakkı Telif Hakkı © 2017, The Institute of Internal Auditors, Inc.’a aittir. Tüm hakları saklıdır.

Danışma Konseyi Nur Hayati Baharuddin, CIA, CCSA,

CFSA, CGAP, CRMA –

IIA Üyesi–Malezya

Lesedi Lesetedi, CIA, QIAL –IIA Afrika

Federasyonu

Hans Nieuwlands, CIA, CCSA, CGAP

– IIA–Hollanda

Karem Obeid, CIA, CCSA, CRMA –IIA

Üyesi–Birleşik Arap Emirlikleri

Carolyn Saint, CIA, CRMA, CPA –

IIA–Kuzey Amerika

Ana Cristina Zambrano Preciado,

CIA, CCSA, CRMA – IIA–Kolombiya

Eski Sayılar Küresel Bakış Açıları ve Anlayışlar’ın

eski sayılarına ulaşmak için,

www.theiia.org/gpi web sitesini

ziyaret ediniz.

Okuyucu Geri

Bildirimleri Soru veya yorumlarınızı

globalperspectives@theiia.org

adresine gönderiniz.

Küresel Bakış Açıları: Yapay Zekâ I

Giriş Yapay Zekâ, makineleri “akıllı” kılan teknolojileri ifade etmek için kullanılan geniş

kapsamlı bir terimdir. Kurumlar, insan zekâsını – insanın analitik zekâsını ve/veya

karar alma kabiliyetini – otomatize etmek, arttırmak ve kopyalamak amacıyla,

yapay zekâ araştırmalarına ve uygulamalarına yatırım yapmaktadır ve iç denetim

mesleği de, buna paralel olarak, kurumsal yapay zekâ projelerine katılmaya her

anlamda hazırlıklı olmalıdır.

Derin öğrenme, makine öğrenmesi, görüntü tanımlama, doğal dil işleme, kavramsal

bilişim, zekâ yükseltme, kavramsal artış, makine ile arttırılmış zekâ ve artırılmış zekâ

gibi yapay zekâ ile ilişkili pek çok başka terim de kullanılmaktadır. Burada kullanılan

bağlamdaki “yapay zekâ” tüm bu kavramları içine almaktadır.

Yapay Zekâyı Bağlama Oturtmak

Yapay zekâ yeni bir kavram değildir. McKinsey Global Institute (MGI) tarafından

hazırlanan “Yapay Zekâ: Bir Sonraki Dijital Cephe” başlıklı tartışma makalesine göre,

Yapay Zekâ fikrinin geçmişi Alan Turing’in bir makinenin insan bir değerlendiriciyi

kendisinin de bir insan olduğuna ikna edecek kadar iyi iletişim kurabileceğini ilk

ortaya attığı 1950 yılına kadar gitmektedir.

Yapay zekâ, teknoloji bakımından bir dizi önemli ilerlemeyi temsil etmekle

birlikte, ne bir ilktir ne de muhtemelen son olacaktır. Geriye dönüp son birkaç on

yıla bakıldığında, bilgisayarların, kişisel bilgisayarların (PC), elektronik

çizelgelerin, ilişkisel veri tabanlarının ve karmaşık ve gelişmiş bağlantısallığın

ortaya çıkışı gibi tüm gelişmeler ve benzeri teknolojik ilerlemeler kurumların

çalışma ve hedeflerine ulaşma biçimlerini etkilemiştir. Yapay zekâ, kendisinden önceki pek çok teknolojik ilerleme

kadar veya onlardan daha yıkıcı olan potansiyeliyle aynı şeyi yapmaya hazır durumdadır.

Yapay zekâ, teknolojideki gelişmelerin ortaya çıkardığı pek çok ilerlemeden oluşan bir ilerlemeler bütünündeki kayda

değer en son ilerleme olarak görülebilir. Burada yeni olan şey, yapay zekânın pratikte uygulanmasının önünü açan

teknolojilerin ilerlemesi ve ölçeklenebilir olmasıdır.

Bu uygulama, IBM’in yapay zekâ platformu olan Watson’ın televizyonun en çok izlendiği saatlerde (prime time)

yayımlanan bir “Jeopardy!” oyununu kazandığı 2011 yılında geniş bir izleyici kitlesine tanıtıldı. IBM’in bu araştırmasına

göre, IBM “‘yapay zekâdan ziyade ‘arttırılmış zekâ’ terimiyle çalışmaktadır” ve “iyi tanımlanmış görevleri yerine getirme

konusunda insanlara yardımcı olacak pratik yapay zekâ uygulamalarını geliştirmeye” odaklanmaktadır. İnsanların

uzmanlığı makineleri daha akıllı hale getirecek teknolojileri geliştirmekte ve buna karşılık, akıllı makineler de pek çok

açıdan insanların kapasitelerini arttırmaktadır.

Çeşitli sektörlerde (Halka açık, özel, kamu ve kâr amacı gütmeyen) ve endüstrilerde Yapay Zekâ hâlihazırda zaten yaygın

olarak uygulanmaktadır. Örneğin, çok değil birkaç yıl öncesine kadar, üstesinden gelinmesi imkânsız olarak değerlendirilen

yeni ve daha önceden hayatımızda olmayan pek çok şeyin yapay zekâ sayesinde mümkün hale geldiğini biliyoruz. Bununla

birlikte, yapay zekâdan etkilenenler sadece yeni ve özgün faaliyetler değillerdir. Kayıp modelleme, kredi analizi, değerleme

işlemleri, işlem prosesleme gibi yıllardır yapılmakta olan sıradan günlük işler ve diğer pek çok iş de yapay zekâyla

iyileştirilmektedir.

Not Üç kısımdan oluşan bir serinin I.

Kısmı olan bu makale:

Yapay zekânın temellerine

ilişkin bir genel bakış sunar.

İç denetimin yapay zekâ

konusundaki rolünü araştırır ve

ele alır.

Yapay zekâ ile ilgili risk ve

fırsatları tartışır ve ele alır.

İç denetçilere yönelik bir

çerçeve (Çerçeve) sunar.

Kısım II ve III; iç denetim

faaliyetlerinin/birimlerinin, Yapay

zekâ denetim programlarını kendi

kurumlarının risk profiline ve

stratejik hedeflerine göre

özelleştirmek amacıyla

kullanabilecekleri görev hedefleri ve

prosedürleri de dahil, Yapay zekâ

denetim çerçevesinin pratik

uygulamaları hakkında bilgiler sunar.

Küresel Bakış Açıları: Yapay Zekâ I

İç denetçilerin, yapay zekânın iş dünyasındaki pratik uygulamalarına dikkat

etmeleri ve iç denetim mesleğinin tüm sektörlerde ve endüstrilerde faaliyet

gösteren kurumlara yapay zekâ hakkında tavsiye, danışmanlık ve güvence

sunmasına imkân verecek yetkinliklere sahip olmaları da hayati önemdedir.

Yapay zekânın temeli esas olarak büyük verilere ve algoritmalara dayanır ve bu,

özellikle büyük veriler konusuna henüz hâkim olmayan iç denetim birimlerinin ve

kurumların gözünü korkutabilir. Bununla birlikte, yapay zekânın kurumlar,

hükümetler ve genel itibariyle toplumlar için neler getirebileceğini anlamak için iç

denetçilerin birer veribilimci veya nicel analist olmaları da gerekmez.

Yapay Zekâ– Temel İlkeler

Büyük Veriler ve Algoritmalar

Yapay zekâ, algoritmalar sayesinde çalışır ve algoritmalar da büyük verilerden

beslenir, bu nedenle, bir kurum yapay zekâya el atmadan önce, büyük veriler

konusunda sağlam bir temele sahip olmalıdır. İç denetim biriminin yapay zekâyı ele

almayı düşünebilmesi için, hâlihazırda büyük veriler konusunda sağlam bir temele

sahip olması gerekir. İlgili fırsat ve risklere ilişkin bir tartışma ve örnek bir çalışma

programı da dâhil, büyük verilerin anlaşılması ve denetimi hakkında kapsamlı bir

rehberlik için, IIA üyelerine ücretsiz olarak sunulan ve IIA üyesi olmayanların da IIA

Kitabevi’nden (www.theiia.org) temin edebilecekleri “GTAG: Büyük Verileri

Anlamak ve Denetlemek” dokümanına bakınız.

Büyük veri kavramı, sadece büyük miktarlarda bulunan verileri değil, aksine

bundan çok daha fazlasını ifade etmektedir – zira büyük veriler; kurumları verileri

işlemek için özel olarak tasarlanmış sistem mimarilerine, araçlarına ve

uygulamalarına yatırım yapmaya yöneltecek kadar büyük bir hacme, çeşitliliğe, hıza

ve değişkenliğe sahip veriler (bilgiler) anlamına gelmektedir. Bu verilerin çoğu

kurumların kendileri tarafından üretilebilmekle birlikte, diğer veriler herkese açık

olan kaynaklardan veya dış kaynaklardan satın alınabilir.

Kurumlar, büyük verilerden istifade etmek amacıyla, algoritmalar geliştirmektedir. Algoritmalar ise, makinelerin

izleyecekleri kurallar dizisi anlamına gelmektedir. Algoritma; makinelerin bir insanın makul olarak işleyemeyeceği, hatta

anlayamayacağı kadar büyük miktarlardaki bilgiyi hızla işlemesini mümkün kılan teknolojidir. Algoritmaların

performansı ve doğruluğu çok önemlidir. Algoritmalar başlangıçta insanlar tarafından üretilirler, bu nedenle, insan

kaynaklı (kasıtlı veya kasıtlı olmayan) hata veya yanlılık algoritmaların performansını etkiler. Hatalı algoritmalar bir

kurumun operasyonlarında önemsiz istenmeyen sorunlar ortaya çıkarabileceği gibi, önemli katastrofik sonuçlar da

doğurabilir. 2008 yılında yaşanan küresel ekonomik krizi besleyen şeyin, en azından kısmen, hatalı algoritmalar olduğu

bugün hemen hemen herkesçe kabul edilmektedir.

Yapay Zekâ Tipleri

Michigan State University, Biyoloji & Bilgisayar Bilimi ve Mühendisliği bölümünde yardımcı doçent olan Arend Hintze

The Conversation’da yayımlanan “Understanding the four types of AI, from reactive robots to self-aware beings,”

(“Tepkisel robotlardan bilinçli varlıklara... Yapay Zekânın dört tipini anlamak”) başlıklı yazısında yapay zekânın dört tipini

aşağıdaki gibi özetlemektedir:

Yapay Zekâ Teknolojisinin

Kullanım Alanları

Otomobil üreticilerinin sürücüsüz araç geliştirmeleri;

Çevrim içi arama motorlarının hedefe yönelik arama sonuçları sunmaları;

Sosyal medya kurumlarının fotoğraflarda yüzleri tanımaları ve haber akışlarını filtrelemeleri;

Medya şirketlerinin kullanıcılarına kitap veya etkinlik önermeleri;

Perakendecilerin alışveriş yapanlar için kişileştirilmiş çevrim içi alışveriş deneyimleri yaratmaları;

Lojistik firmalarının teslimatlar için en iyi güzergahları seçmeleri;

Hükümetlerin salgınları önceden tahmin etmeleri.

Pazarlama uzmanlarının müşterilerine gerçek zamanda son derece kişiselleştirilmiş içerikler sunmaları.

Sanal yardımcıların tüketicilerle etkileşim kurmak için ses-kontrollü doğal bir dil kullanmaları.

Küresel Bakış Açıları: Yapay Zekâ I

Tip I. Tepkisel makineler: Bu makineler, yapay zekânın en basit halidir. Tepkisel makineler belirli bir duruma her

seferinde birebir aynı tepkiyi verirler. Buna, dünya çapında tanınmış satranç oyuncularını mağlup edebilen

makineler örnek olarak verilebilir, zira bu makineler satranç taşlarını tanıyacak, bu taşların her birinin nasıl

hareket ettiğini bilecek ve her iki oyuncunun bir sonraki hamlesini tahmin edebilecek şekilde

programlanmışlardır.

Tip II. Sınırlı hafıza: Sınırlı hafızalı yapay zekâ makineleri dönüp geçmişe bakabilirler, ancak bu makinelerde

hatıralar kaydedilmemektedir. Sınırlı hafızalı makineler hatıra biriktiremezler ya da geçmiş deneyimlerinden

“ders çıkaramazlar”. Bunun bir örneği, bir dakika önce yolda bir engel olduğunu fark ettiği için şerit

değiştirmeye karar verebilen sürücüsüz araçlardır.

Tip III. Zihin Kuramı: Zihin kuramı, bir makinenin etkileşimde bulunduğu kişilerin düşünceleri, duyguları ve

beklentileri olduğunu anlayabileceği fikrine dayanmaktadır. Tip III Yapay Zekâ ile donatılmış bir makine

başkalarının düşüncelerini, duygularını ve beklentilerini anlayabilir ve davranışını da buna uygun olarak

ayarlayabilir.

Tip IV. Kendisinin farkında olma: Tip IV Yapay Zekâ ile donatılmış bir makine kendi varlığının farkında olur. “Zihin

Kuramı”nın bir uzantısı olarak, bilinçli veya kendi varlığının olan farkında makineler kendilerini, kendi iç

dünyalarını bilirler ve başkalarının duygularını tahmin edebilirler.

Başka bir deyişle, Tip II yapay zekâ ile donatılmış sürücüsüz bir araç gideceği güzergâhta bir yaya varsa, şerit

değiştirmeye karar verir, çünkü bu makine, basitçe, o yayayı yolda bulunan bir engel olarak algılar. Tip III yapay zekâyla

donatılmış bir sürücüsüz araç, yayanın, kendisine doğru gelen bir aracın durmasını bekleyeceğini anlar; Tip IV yapay

zekâyla donatılmış bir sürücüsüz araç ise, kendisi (sürücüsüz araç) aynı durumda olsa ona doğru gelen aracın durmasını

isteyeceğini bildiği için, bunu yayanın hakkı olarak görür ve aynı durumda kendisinin de durması gerektiğini bilir.

İnanılmaz, değil mi?

Bugünkü “Akıllı Makineler”in çoğu Tip I veya Tip II yapay zekânın tezahürleridir. Devam eden araştırma ve geliştirme

projeleri kurumların Tip III ve Tip IV yapay zekânın pratik uygulamalarına doğru ilerlemelerini sağlayacaktır.

Yapay Zekânın Beraberinde Getirdiği Fırsatlar ve Riskler Yapay zekânın beraberinde getirdiği fırsat ve riskleri anlamanın ilk adımı, kurumun büyük veri imkânlarını ve risklerini

tam olarak anlamaktır. İlgili fırsat ve risklere ilişkin bir tartışma ve örnek bir çalışma programı da dâhil, büyük verilerin

anlaşılması ve denetimi hakkında kapsamlı bir rehberlik için, IIA üyelerine ücretsiz olarak sunulan ve IIA üyesi

olmayanların da IIA Kitabevi’nden (www.theiia.org) temin edebilecekleri “GTAG: Büyük Verileri Anlamak ve

Denetlemek” dokümanına bakınız. Yapay zekânın beraberinde getirdiği fırsat ve risklere ilişkin örnekler arasında

aşağıdakiler sayılabilir:

Küresel Bakış Açıları: Yapay Zekâ I

Fırsatlar

Veri işleme döngüsünü kısaltabilme.

Kusursuz ve hatasızca tekrarlanabilen makine hareketleriyle insan

hareketlerini ikame ederek hataları azaltabilme.

Çok zaman alan faaliyetleri, zamandan tasarruf sağlayan (süreç otomasyonu)

faaliyetlerle ikame ederek işçilik süresini ve maliyetini azaltabilme.

Potansiyel olarak tehlike arz eden durumlarda insanların, robot veya

dronlarla ikame edilmesini sağlayabilme.

Belirli pazarlarda, bazı ürünleri piyasaya sürmek ve satmaktan tutun da,

salgın hastalıkları ve doğal felaketleri önceden tespit etmeye kadar her

konuda daha iyi tahminlerde bulunabilme.

Yapay zekâ projeleri aracılığıyla kurumun gelirlerini arttırabilme ve

yönetebilme ve kurumun pazar payını arttırabilme.

Riskler

Yapay zekâ teknolojisinin yapısında, insanlardan kaynaklanan tanımlanmamış

ve tespit edilmemiş yanlılığın (bias) var olması riski.

Yapay zekâ teknolojisinin yapısında insanlardan kaynaklanan mantık

hatalarının bulunması riski.

Yapay zekânın yeterli test ve gözetimden geçirilmemesinin etik açıdan

sorgulanır nitelikte sonuçlar doğurma riski.

Yapay zekâ ürünlerinin ve hizmetlerinin zarara yol açıp mali duruma ve/veya

itibara zarar verecek sonuçlar doğurma riski.

Müşterilerin veya diğer paydaşların kurumun yapay zekâ projelerini kabul

etmeme veya benimsememe riski.

Kurumun, yapay zekâya yatırım yapmadığı takdirde, rakiplerinin gerisinde kalma riski.

Yapay zekâya (altyapı, araştırma ve geliştirme ve yetenek kazanma) yatırım yapmanın kabul edilebilir bir yatırım

getirisi (ROI) sağlamama riski.

Yapay zekâ ile ilgili riskler hakkında daha derinlemesine bilgiler, bu üç kısımdan oluşan Küresel Bakış Açıları ve Anlayışlar

serisinin II. ve III. Kısımlarında sunulacaktır.

İç Denetimin Rolü İç denetim, bir kurumun hedeflerine ulaşabilmesiyle ilgili riskleri ve fırsatları değerlendirme ve anlama konusunda işinin

uzmanıdır. İç denetim, bu deneyiminden sonuna kadar istifade ederek bir kurumun yapay zekânın kısa, orta veya uzun

vadede değer yaratma kabiliyetini ne derece etkileyeceğini (olumlu veya olumsuz) değerlendirmesine, anlamasına ve

başkalarına anlatmasına yardım edebilir. İç denetim, yapay zekâyla ilgili en az beş kritik ve farklı faaliyet aracılığıyla

sürece dâhil olabilir:

Tüm kurumlarda, iç denetim birimi, risk değerlendirmesine yapay zekâyı dâhil etmeli ve ayrıca yapay zekayı risk

temelli denetim planına da dâhil edip etmemeyi düşünmelidir.

Denetim Odağı IIA Standardı 2120: Risk Yönetimi

(Alıntı)

İç denetim faaliyeti risk yönetim

süreçlerinin etkinliğini değerlendirmeli ve

bu etkinliğin geliştirilmesine katkıda

bulunmalıdır.

2120.A1 – İç denetim faaliyeti,

aşağıdakileri dikkate alarak kurumun

yönetişim süreçlerinin, faaliyetlerinin ve

bilgi sistemlerinin maruz kaldığı riskleri

değerlendirmelidir:

Kurumun stratejik hedeflerine

ulaşması;

Mali ve operasyonel bilgilerin

güvenilirliği ve doğruluğu;

Faaliyetlerin ve programların

etkinlik ve verimliliği;

Varlıkların korunması;

Kanun, düzenleme, politika,

prosedür ve sözleşmelere uyum.

Küresel Bakış Açıları: Yapay Zekâ I

Yapay zekâyı araştıran kurumlarda, iç denetim birimi başlangıç

aşamasından itibaren yapay zekâ projelerine etkin olarak katılmalı ve tavsiyeler ve

anlayışlar ortaya koyarak bu projelerin başarıyla uygulamaya koyulmasına katkıda

bulunmalıdır. Bununla birlikte, bağımsızlığının ve objektifliğinin zeval gördüğü

algısının yaratılmasına ve bu özelliklerinin fiili olarak zeval görmesine mahal

vermemek amacıyla, iç denetim, yapay zekâ süreçlerinin, politikalarının veya

prosedürlerinin uygulamaya koyulmasının sahipliğini ve sorumluluğunu

üstlenmemelidir.

Yapay zeka teknolojisinin bir yönünü uygulamaya koymuş kurumlarda –

yapay zekayı operasyonlarına dahil etmek (örn. bir imalatçının üretim hattında

robot teknolojisini kullanması gibi) ya da ürüne veya hizmete entegre etmek (bir

perakendecinin, ürün veya hizmet satış geçmişi bilgilerini dikkate alarak ürün

sunumlarını kişiselleştirmesi gibi) suretiyle –, iç denetim, altta yatan algoritmaların

ve bu algoritmaların dayandığı verilerin güvenilirliğine ilişkin risklerin yönetilmesi

konusunda güvence vermelidir.

İç denetim, kurumun yapay zekâ kullanımına ilişkin ahlaki ve etik

sorunların ele alındığı konusunda kuruma güvence vermelidir.

Tüm büyük sistemlerin kullanımında olduğu gibi, burada da uygun

yönetişim yapılarının kurulması gerekmektedir ve iç denetim bu alanda güvence

sağlayabilir.

İç denetim, yapılan spesifik faaliyetlere bakılmaksızın, bir kurumun yapay zekayla ilgili faaliyetlerine katkıda bulunan

kilit bir paydaş olmak için çok iyi bir konumda bulunmaktadır. Zira iç denetçiler:

Kurumun stratejik amaçlarını ve bu amaçlara ulaşmak uğruna uygulamaya koyduğu süreçleri anlarlar.

Yapay zekâ ile ilgili faaliyetlerin amaçlarına ulaşıp ulaşmadıklarını değerlendirebilirler.

Yönetimin, yapay zekâ risklerine ilişkin risk yönetimi faaliyetleri hakkında kurum içi güvence sunabilirler.

İş süreçlerini iyileştirmek veya ürün ve hizmet sunumlarını arttırmak amacıyla yapay zekânın benimsenmesini

olumlu yönde destekleyebilecek güvenilir birer danışman olarak algılanırlar.

İç denetim yapay zekâ teknolojisine de diğer her şeye yaklaştığı gibi – yapay zekâ ile ilişkili risk yönetimi, kontrol ve

yönetişim süreçlerinin etkinliğini değerlendirmeye ve iyileştirmeye yönelik sistematik ve disiplinli yöntemlerle -

yaklaşmalıdır.

Yapay Zekâ Yetkinlikleri: Anlama Konusundaki Farkı Kapatmak

Yapay zekâ konusunda uzman teknoloji profesyonellerinden oluşan yetenek havuzu, raporlanan verilere bakıldığında,

küçüktür. Yapay zekâ devrimine katılmak isteyen kurumların aşağıda sayılanlar gibi çok sayıda alanda yetkinlikle birlikte

yeni yetenekler geliştirmesi veya kazanması gerekir.

Hâlihazırda teknoloji, otomotiv, imalat, finansal hizmetler ve yardımcı yazılım ve program sektörlerinde faaliyet

gösteren bir avuç kurum, yapay zekâ devriminin başını çekiyor gibi görünse de, herhangi bir kurumun yapay

zekâdan etkilenmeyeceğini düşünmek zordur. Bilgisayarlar gibi, elektronik çizelgeler ve dağıtılmış işleme

sistemleri de ilk zamanlarda sadece belirli sektörlerin odağında yer almasına rağmen, nihayetinde tüm kurumlar

bu teknolojilerin çeşitli yönlerini benimsemişlerdir. Yapay zekâ giderek daha fazla ana akım hale geldikçe ve

yaygınlaştıkça, iç denetçilerin, çalıştıkları kuruma yapay zekâ hakkında güvence ve danışmanlık hizmetleri

vermeye hazır olmasının gerekmeyeceğini tahayyül etmek güçtür.

Yapay Zekâ Yetkinlikleri Doğal dil işleme.

Yüz tanıma, görüntü

analizleri ve metin analizleri

gibi uygulama programı

arayüzleri (API).

Algoritmalar ve ileri

modellemeler.

Olasılıklar ve uygulamalı

istatistikler.

Veri analizi.

Yazılım mühendisliği.

Programlama dili.

Makine öğrenme.

Bilgisayar görüşü.

Robot teknolojisi.

Küresel Bakış Açıları: Yapay Zekâ I

İç Denetim Yöneticileri (İDY’ler), iç denetim faaliyetini bu zorluğa hazırlamak için, ona

gerekli ek becerileri nasıl kazandırabilirler? Bunun için atılacak ilk adım, yeni beceri

setleri edinmenin gerekli olduğunu kabul etmektir. İç denetim faaliyeti, yapay zekâ

teknolojisini, kurumun bu teknolojiyi nasıl kullandığını ve yapay zekâ teknolojisinin

kurum açısından arz etiği riskleri kolektif olarak iyice anlamalıdır. İDY bu konuda

anladıklarını ve edindiği bilgileri üst yönetime, kurula ve denetim komitesine

aktarabilmelidir. IIA’nın yapay zekâ konusundaki fikir önderliği ve IIA’nın büyük veriler

ve yetenek yönetimi gibi konularda yayımladığı ek rehberler bu konuya giriş açısından iyi

bir başlangıç noktası olabilir.

Siber Esnekliğe Özel Önem Vermek

Siber güvenlik tehditleri çağımızın karakterini belirlemeye devam etmektedir. Yapay

zekânın benimsenmesi ve gelişimi kurumları kendi siber güvenlik kapasitelerine yeniden

özel önem vermeye zorlamaktadır. Yapay zekâ güçlendikçe ve daha fazla karar yeni,

karmaşık ve şeffaf olmayan algoritmalara bırakıldıkça, devasa veri setlerini kullanmak ve

bu sistemleri kurum dışı ve kötü niyetli güçlerden korumak başarı açısından kritik bir

önem kazanmaktadır. 2014 tarihli bir EY (Ernst & Young) raporunda, siber esneklik siber

saldırılara direnme, müdahale etme ve saldırılardan sonra toparlanma kabiliyeti – ve

zaman içinde güvenliği ve sürdürülebilirliği arttırmak için bir ortamı modifiye etme -

olarak tanımlanmıştır. Yapay zekâ teknolojisine giderek daha fazla bel bağlayan tüm

kurumlar için siber esneklik kritik önemdedir.

Siber güvenlik konusunu çevreleyen bunca karmaşıklık arasında, iç denetimin doğrudan

etki edebileceği dört kilit alan bulunmaktadır:

Siber tehditlere karşı hazırlık ve müdahale hakkında güvence vermek.

İcrai yönetime ve kurula kurumun karşı karşıya olduğu risk seviyesini ve bu risklere cevap vermek için sarf ettiği

çabanın düzeyini bildirmek.

Etkili savunma ve müdahale mekanizmalarının uygulamaya koyulmasını temin etmek için BT ve diğer taraflarla birlikte

çalışmak.

Riskle ilgili olarak, kurumda bulunan taraflar arasında iletişimi ve koordinasyonu sağlamak ve kolaylaştırmak.

Yapay zekâyı ilgilendiren bir siber güvenlik ihlâlinin potansiyel tehlikeli etkilerinin üzerinde ne kadar durulsa azdır. Siber

güvenlik eğitimleri hâlihazırda kurumlarda uygulanmıyorsa, İDY’lerin, bu eğitimleri kendi ekipleri içinde hızla hayata

geçirmeleri gerekir.

Yapay Zekâya İlişkin Denetim Çerçevesi Bu Çerçeve üç bileşenden oluşmaktadır: Yapay Zekâ Stratejisi, Yönetişim ve İnsan Faktörü.

Yapay Zekâ Stratejisi

Kurumların yapay zekânın sunduğu fırsatlardan yararlanma ve avantaj sağlama yaklaşımına bağlı olarak her

kurumun yapay zekâ stratejisi kendisine özgü olacaktır. Kurumların yapay zekâ stratejileri , ilgili kurumların genel

dijital veya büyük veri stratejisinin açık ve belirgin bir uzantısı olabilir — yani iyi geliştirilmiş ve uygulanan bir

Denetim Odağı IIA Standardı 1210: Uzmanlık

(Alıntı)

İç denetçiler kendi münferit

sorumluluklarını yerine getirmek

için ihtiyaç duydukları bilgi, beceri

ve diğer yetkinliklere sahip

olmalıdır. İç denetim faaliyeti

sorumluluklarını yerine getirmek

için ihtiyaç duyduğu bilgi, beceri ve

diğer yetkinliklere kolektif olarak

sahip olmalı veya bunları

edinmelidir.

1210.A3 –İç denetçiler, kendilerine

verilen görevi yerine getirmek için

kilit nitelikteki bilgi teknolojisi risk

ve kontrolleri ve mevcut teknoloji-

temelli denetim teknikleri hakkında

yeterli bilgiye sahip olmalıdırlar.

Buna karşın, tüm iç denetçilerin,

esas sorumluluk alanı bilgi

teknolojisi denetimi olan bir iç

denetçiyle aynı düzeyde bir

uzmanlığa sahip olması

beklenmemektedir.

Küresel Bakış Açıları: Yapay Zekâ I

dijital/büyük veri stratejisi olan kurumlar yapay zekâ konusunda diğerlerinden bir adım öndedir. MGI’ye göre,

“güçlü bir dijital kabiliyeti, sağlam bir yapay zekâ kabulünü ve proaktif bir stratejiy i birleştiren” kurumlar

olağanüstü bir finansal performans gösterirler.

İç denetim, ilk olarak bir kurumun yapay zekâ stratejisini ele almalıdır. Kurumun yapay zekâya yönelik tanımlanmış

bir stratejisi var mıdır? Kurum yapay zekâ araştırma ve geliştirme çalışmalarına yatırım yapıyor mu? Yapay zekâ ile

ilgili tehdit ve fırsatları tanımlamak ve ele almak için herhangi bir plan uyguluyor mu? Yapay zekâ, kurumlar için bir

rekabet avantajı sağlayabilir ve iç denetim, kurumun kendi amaçlarıyla uyumlu planlı bir yapay zekâ stratejisi formüle

etmenin önemini fark etmesine yardım etmelidir.

Yönetişim

Yapay zekâ yönetişimi, bir kurumun hedeflerine ulaşmak adına faaliyetlerini yönlendirmek, yönetmek ve izlemek

için uygulamaya koyduğu yapılara, süreçlere ve prosedürlere atıfta bulunmaktadır. Bir kurumun yapay zekâ

yönetişiminin formalite seviyesi ve yapısı, o kurumun kendisine has özelliklerine bağlı olarak değişecektir. Kurumun

özgün yaklaşımından bağımsız olarak düşünüldüğünde ise, yapay zekâ yönetişimi, hesapverebilirliği ve gözetimi tesis

eder; sorumlu kişilerin yapay zekâyı etkin bir şekilde izlemek için gereken becerilere ve uzmanlığa sahip olmalarını

temin etmeye ve kurumun değerlerinin yapay zekâ faaliyetlerine yansıtılmasını garanti altına almaya yardım eder.

Bu son nokta göz ardı edilmemeli veya bu noktaya daha az önemliymiş gibi muamele edilmemelidir. Yapay zekâ

faaliyetleri sonucunda kurumun etik, toplumsal ve yasal sorumluluklarıyla uyumlu kararlar ve eylemler ortaya

çıkmalıdır.

Veri Mimarisi & Altyapısı Yapay zekâ veri mimarisi ve altyapısı kurumun büyük verileri ele alma mimarisi ve altyapısıyla muhtemelen aynı ve

tek olacaktır. Bu, aşağıdaki hususlara ilişkin dikkate alınması gerekenleri de kapsamaktadır:

Verilerin erişilebilir olma şekli (metaveri, taksonomi, özgün tanımlayıcılar ve adlandırma gelenekleri).

Veri yaşam döngüsü (verilerin toplanması, kullanılması, depolanması ve imha edilmesi) boyunca bilgi

mahremiyeti ve güvenliği.

Veri yaşam döngüsü boyunca veri sahipliği ve kullanımı konusunda üstlenilecek rol ve sorumluluklar.

Veri Kalitesi Yapay zekâ algoritmalarının dayandığı verilerin tamlığı, doğruluğu ve güvenilirliği kritik önemdedir. Ne yazık ki,

kurumların veri yapılarının yeterince tanımlanmamış ve kendi içinde tutarsız olması sık karşılaşılan bir durumdur.

Çoğunlukla, sistemler birbiriyle iletişim kurmazlar ya da karmaşık eklenti veya özel ayarlar yoluyla iletişim kurarlar. Bu

verilerin nasıl bir araya getirildiği, birleştirildiği ve doğrulandığı hayati önemdedir.

Performans Ölçümü Kurumlar yapay zekayı faaliyetlerine entegre ettikçe, performans ölçütleri, yapay zeka faaliyetlerini iş hedeflerine

bağlayacak ve yapay zekânın bu hedeflere ulaşmayı etkin bir biçimde destekleyip desteklemediğini açıkça gösterecek

şekilde tarif edilmelidir. Yönetim, yapay zekâ faaliyetlerinin performansını aktif bir şekilde izlemelidir.

Küresel Bakış Açıları: Yapay Zekâ I

İnsan Faktörü

Algoritmalar insanlar tarafından geliştirilmektedir. İnsan hataları ve yanlılıkları (ister

kasıtlı olsun ister kasıtsız olsun) algoritmanın performansını etkileyecektir. İnsan

faktörü unsuru:

Yapay zekâ tasarımında bir faktör olarak rol oynayan kasıtlı olmayan insan

yanlılığının mevcut olabileceği riskinin tespit edilip edilmediğini ve yönetilip

yönetilmediğini;

Elde edilen sonuçların asıl amacı yansıtmasını temin etmek amacıyla Yapay zekânın

etkin bir biçimde test edilip edilmediğini;

Söz konusu karmaşıklık düzeyi dikkate alındığında, Yapay zekâ teknolojisinin şeffaf

olup olamayacağını;

Yapay zekâ ürününün kanunlara uygun, etik ve sorumlu bir şekilde kullanılıp

kullanılmadığını;

değerlendirir.

İnsanlardan kaynaklanan hataların, bilgi mahremiyeti ve güvenlik ihlallerinin en yaygın

sebebi olduğu hemen hemen herkesçe kabul edilmektedir. Benzer şekilde, insan faktörü

unsuru da, insan hatasının Yapay zekânın beklenen sonuçları vermesini tehlikeye

atabileceği riskini ele alır.

Kara Kutu Merriam-Webster çevrim içi sözlüğünde verilen tanıma göre, kara kutu “iç mekanizması

genellikle kullanıcılardan gizlenmiş veya kullanıcılar için bir muamma olan genellikle

karmaşık yapılı bir elektronik cihaz; daha kapsamlı bir ifadeyle: anlaşılmaz veya bilinmeyen

nitelikte iç fonksiyonları veya mekanizmaları bulunan herhangi bir şey” olarak

tanımlanmaktadır. Kurumlar Tip III ve Tip IV Yapay Zekâ teknolojilerini uygulamaya

koymaya — yani kendi kendine öğrenebilen ve iletişim kurabilen makineleri veya

platformları kullanmaya – doğru ilerledikçe, algoritmaların çalışma biçimleri de giderek

daha az şeffaf veya anlaşılır olmaktadır. Kurumların Yapay zeka faaliyetleri giderek daha

karmaşık ve sofistike bir hal aldıkça, kara kutu faktörü de kurumlar için giderek daha

büyük bir zorluk haline gelecektir.

Kapanış Görüşleri İç denetim mesleği, bir sonraki dijital cephe olma potansiyeli taşıyan yapay zekâ konusunda geri bırakılamaz. Buna

hazırlanmak için iç denetçiler Yapay zekânın temel ilkelerini, iç denetimin oynayabileceği ve oynaması gereken rolleri

ve Yapay zekâ risk ve fırsatlarını anlamalıdır. İç denetçiler, bu zorluklarla başa çıkmak için, Yapay zekâ ile ilgili risk

yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmeye ve iyileştirmeye yönelik sistematik ve

disiplinli yöntemler sunma konusunda Çerçeve’yi desteklemeli ve geliştirmelidir.

Denetim Odağı Kilit IIA Standartları

IIA’nın İç Denetimin Uluslararası

Mesleki Uygulama Standartları’nda

aşağıda sayılanlar da dâhil, özellikle

yapay zekâ ile ilişkili olan birkaç

standart bulunmaktadır:

IIA Standardı 1210: Uzmanlık

IIA Standardı 2010: Planlama

IIA Standardı 2030: Kaynak Yönetimi

IIA Standardı 2100: İşin Niteliği

IIA Standardı 2110: Yönetişim

IIA Standardı 2130: Kontrol

IIA Standardı 2200: Görev

Planlaması

IIA Standardı 2201: Planlama

Mülahazaları

IIA Standardı 2210: Görev Hedefleri

IIA Standardı 2220: Görev Kapsamı

IIA Standardı 2230: Görev Kaynak

Tahsisi

IIA Standardı 2240: Görev Çalışma

Programı

IIA Standardı 2310: Bilgilerin

Tanımlanması