KÜRESEL BAKIŞ
AÇILARI VE ANLAYIŞLAR Yapay Zekâ – İç Denetim Mesleğine
İlişkin Dikkate Alınması Gerekenler
Özel Baskı
KISIM
Küresel Bakış Açıları: Yapay Zekâ I
İçindekiler Tablosu
Giriş ................................................................................................................. 0
Yapay Zekâyı Bağlama Oturtmak .................................................................... 0
Yapay Zekâ – Temel lkeler .............................................................................. 1
Büyük Veriler ve Algoritmalar ................................................................... 1
Yapay Zekâ Tipleri..................................................................................... 1
Yapay Zekânın Beraberinde Getirdiği Fırsatlar ve Riskler ................................. 2
Fırsatlar .................................................................................................... 3
Riskler ...................................................................................................... 3
İç Denetimin Rolü ............................................................................................ 3
Yapay Zeka Yetkinlikleri: Anlam Konusundaki Farkı Kapatmak ................. 4
Siber Esnekliğe Özel Önem Vermek ......................................................... 5
Yapay Zekâya İlişkin Denetim Çerçevesi ........................................................... 5
Yapay Zeka Stratejisi ................................................................................. 5
Yönetişim ................................................................................................. 6
İnsan Faktörü ........................................................................................... 7
Kapanış Görüşleri ............................................................................................ 7
IIA Hakkında İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin en tanınmış savunucusu, eğitmeni ve standart, rehber ve sertifika sağlayıcısıdır. 1941 yılında
kurulan IIA bugün 170’ten fazla ülke ve bölgeden 190.000’i aşkın üyeye hizmet vermektedir. Enstitünün dünya çapındaki genel merkezi Lake Mary,
Fla., ABD’de bulunmaktadır. Daha fazla bilgi için, www.globaliia.org sitesini ziyaret ediniz.
Sorumluluğun Reddi Beyanı Küresel Bakış Açıları ve Anlayışlar dokümanında dile getirilen görüşler münferit katkıda bulunanların veya onların işverenlerinin görüşleri
olmak zorunda değildir.
Telif Hakkı Telif Hakkı © 2017, The Institute of Internal Auditors, Inc.’a aittir. Tüm hakları saklıdır.
Danışma Konseyi Nur Hayati Baharuddin, CIA, CCSA,
CFSA, CGAP, CRMA –
IIA Üyesi–Malezya
Lesedi Lesetedi, CIA, QIAL –IIA Afrika
Federasyonu
Hans Nieuwlands, CIA, CCSA, CGAP
– IIA–Hollanda
Karem Obeid, CIA, CCSA, CRMA –IIA
Üyesi–Birleşik Arap Emirlikleri
Carolyn Saint, CIA, CRMA, CPA –
IIA–Kuzey Amerika
Ana Cristina Zambrano Preciado,
CIA, CCSA, CRMA – IIA–Kolombiya
Eski Sayılar Küresel Bakış Açıları ve Anlayışlar’ın
eski sayılarına ulaşmak için,
www.theiia.org/gpi web sitesini
ziyaret ediniz.
Okuyucu Geri
Bildirimleri Soru veya yorumlarınızı
adresine gönderiniz.
Küresel Bakış Açıları: Yapay Zekâ I
Giriş Yapay Zekâ, makineleri “akıllı” kılan teknolojileri ifade etmek için kullanılan geniş
kapsamlı bir terimdir. Kurumlar, insan zekâsını – insanın analitik zekâsını ve/veya
karar alma kabiliyetini – otomatize etmek, arttırmak ve kopyalamak amacıyla,
yapay zekâ araştırmalarına ve uygulamalarına yatırım yapmaktadır ve iç denetim
mesleği de, buna paralel olarak, kurumsal yapay zekâ projelerine katılmaya her
anlamda hazırlıklı olmalıdır.
Derin öğrenme, makine öğrenmesi, görüntü tanımlama, doğal dil işleme, kavramsal
bilişim, zekâ yükseltme, kavramsal artış, makine ile arttırılmış zekâ ve artırılmış zekâ
gibi yapay zekâ ile ilişkili pek çok başka terim de kullanılmaktadır. Burada kullanılan
bağlamdaki “yapay zekâ” tüm bu kavramları içine almaktadır.
Yapay Zekâyı Bağlama Oturtmak
Yapay zekâ yeni bir kavram değildir. McKinsey Global Institute (MGI) tarafından
hazırlanan “Yapay Zekâ: Bir Sonraki Dijital Cephe” başlıklı tartışma makalesine göre,
Yapay Zekâ fikrinin geçmişi Alan Turing’in bir makinenin insan bir değerlendiriciyi
kendisinin de bir insan olduğuna ikna edecek kadar iyi iletişim kurabileceğini ilk
ortaya attığı 1950 yılına kadar gitmektedir.
Yapay zekâ, teknoloji bakımından bir dizi önemli ilerlemeyi temsil etmekle
birlikte, ne bir ilktir ne de muhtemelen son olacaktır. Geriye dönüp son birkaç on
yıla bakıldığında, bilgisayarların, kişisel bilgisayarların (PC), elektronik
çizelgelerin, ilişkisel veri tabanlarının ve karmaşık ve gelişmiş bağlantısallığın
ortaya çıkışı gibi tüm gelişmeler ve benzeri teknolojik ilerlemeler kurumların
çalışma ve hedeflerine ulaşma biçimlerini etkilemiştir. Yapay zekâ, kendisinden önceki pek çok teknolojik ilerleme
kadar veya onlardan daha yıkıcı olan potansiyeliyle aynı şeyi yapmaya hazır durumdadır.
Yapay zekâ, teknolojideki gelişmelerin ortaya çıkardığı pek çok ilerlemeden oluşan bir ilerlemeler bütünündeki kayda
değer en son ilerleme olarak görülebilir. Burada yeni olan şey, yapay zekânın pratikte uygulanmasının önünü açan
teknolojilerin ilerlemesi ve ölçeklenebilir olmasıdır.
Bu uygulama, IBM’in yapay zekâ platformu olan Watson’ın televizyonun en çok izlendiği saatlerde (prime time)
yayımlanan bir “Jeopardy!” oyununu kazandığı 2011 yılında geniş bir izleyici kitlesine tanıtıldı. IBM’in bu araştırmasına
göre, IBM “‘yapay zekâdan ziyade ‘arttırılmış zekâ’ terimiyle çalışmaktadır” ve “iyi tanımlanmış görevleri yerine getirme
konusunda insanlara yardımcı olacak pratik yapay zekâ uygulamalarını geliştirmeye” odaklanmaktadır. İnsanların
uzmanlığı makineleri daha akıllı hale getirecek teknolojileri geliştirmekte ve buna karşılık, akıllı makineler de pek çok
açıdan insanların kapasitelerini arttırmaktadır.
Çeşitli sektörlerde (Halka açık, özel, kamu ve kâr amacı gütmeyen) ve endüstrilerde Yapay Zekâ hâlihazırda zaten yaygın
olarak uygulanmaktadır. Örneğin, çok değil birkaç yıl öncesine kadar, üstesinden gelinmesi imkânsız olarak değerlendirilen
yeni ve daha önceden hayatımızda olmayan pek çok şeyin yapay zekâ sayesinde mümkün hale geldiğini biliyoruz. Bununla
birlikte, yapay zekâdan etkilenenler sadece yeni ve özgün faaliyetler değillerdir. Kayıp modelleme, kredi analizi, değerleme
işlemleri, işlem prosesleme gibi yıllardır yapılmakta olan sıradan günlük işler ve diğer pek çok iş de yapay zekâyla
iyileştirilmektedir.
Not Üç kısımdan oluşan bir serinin I.
Kısmı olan bu makale:
Yapay zekânın temellerine
ilişkin bir genel bakış sunar.
İç denetimin yapay zekâ
konusundaki rolünü araştırır ve
ele alır.
Yapay zekâ ile ilgili risk ve
fırsatları tartışır ve ele alır.
İç denetçilere yönelik bir
çerçeve (Çerçeve) sunar.
Kısım II ve III; iç denetim
faaliyetlerinin/birimlerinin, Yapay
zekâ denetim programlarını kendi
kurumlarının risk profiline ve
stratejik hedeflerine göre
özelleştirmek amacıyla
kullanabilecekleri görev hedefleri ve
prosedürleri de dahil, Yapay zekâ
denetim çerçevesinin pratik
uygulamaları hakkında bilgiler sunar.
Küresel Bakış Açıları: Yapay Zekâ I
İç denetçilerin, yapay zekânın iş dünyasındaki pratik uygulamalarına dikkat
etmeleri ve iç denetim mesleğinin tüm sektörlerde ve endüstrilerde faaliyet
gösteren kurumlara yapay zekâ hakkında tavsiye, danışmanlık ve güvence
sunmasına imkân verecek yetkinliklere sahip olmaları da hayati önemdedir.
Yapay zekânın temeli esas olarak büyük verilere ve algoritmalara dayanır ve bu,
özellikle büyük veriler konusuna henüz hâkim olmayan iç denetim birimlerinin ve
kurumların gözünü korkutabilir. Bununla birlikte, yapay zekânın kurumlar,
hükümetler ve genel itibariyle toplumlar için neler getirebileceğini anlamak için iç
denetçilerin birer veribilimci veya nicel analist olmaları da gerekmez.
Yapay Zekâ– Temel İlkeler
Büyük Veriler ve Algoritmalar
Yapay zekâ, algoritmalar sayesinde çalışır ve algoritmalar da büyük verilerden
beslenir, bu nedenle, bir kurum yapay zekâya el atmadan önce, büyük veriler
konusunda sağlam bir temele sahip olmalıdır. İç denetim biriminin yapay zekâyı ele
almayı düşünebilmesi için, hâlihazırda büyük veriler konusunda sağlam bir temele
sahip olması gerekir. İlgili fırsat ve risklere ilişkin bir tartışma ve örnek bir çalışma
programı da dâhil, büyük verilerin anlaşılması ve denetimi hakkında kapsamlı bir
rehberlik için, IIA üyelerine ücretsiz olarak sunulan ve IIA üyesi olmayanların da IIA
Kitabevi’nden (www.theiia.org) temin edebilecekleri “GTAG: Büyük Verileri
Anlamak ve Denetlemek” dokümanına bakınız.
Büyük veri kavramı, sadece büyük miktarlarda bulunan verileri değil, aksine
bundan çok daha fazlasını ifade etmektedir – zira büyük veriler; kurumları verileri
işlemek için özel olarak tasarlanmış sistem mimarilerine, araçlarına ve
uygulamalarına yatırım yapmaya yöneltecek kadar büyük bir hacme, çeşitliliğe, hıza
ve değişkenliğe sahip veriler (bilgiler) anlamına gelmektedir. Bu verilerin çoğu
kurumların kendileri tarafından üretilebilmekle birlikte, diğer veriler herkese açık
olan kaynaklardan veya dış kaynaklardan satın alınabilir.
Kurumlar, büyük verilerden istifade etmek amacıyla, algoritmalar geliştirmektedir. Algoritmalar ise, makinelerin
izleyecekleri kurallar dizisi anlamına gelmektedir. Algoritma; makinelerin bir insanın makul olarak işleyemeyeceği, hatta
anlayamayacağı kadar büyük miktarlardaki bilgiyi hızla işlemesini mümkün kılan teknolojidir. Algoritmaların
performansı ve doğruluğu çok önemlidir. Algoritmalar başlangıçta insanlar tarafından üretilirler, bu nedenle, insan
kaynaklı (kasıtlı veya kasıtlı olmayan) hata veya yanlılık algoritmaların performansını etkiler. Hatalı algoritmalar bir
kurumun operasyonlarında önemsiz istenmeyen sorunlar ortaya çıkarabileceği gibi, önemli katastrofik sonuçlar da
doğurabilir. 2008 yılında yaşanan küresel ekonomik krizi besleyen şeyin, en azından kısmen, hatalı algoritmalar olduğu
bugün hemen hemen herkesçe kabul edilmektedir.
Yapay Zekâ Tipleri
Michigan State University, Biyoloji & Bilgisayar Bilimi ve Mühendisliği bölümünde yardımcı doçent olan Arend Hintze
The Conversation’da yayımlanan “Understanding the four types of AI, from reactive robots to self-aware beings,”
(“Tepkisel robotlardan bilinçli varlıklara... Yapay Zekânın dört tipini anlamak”) başlıklı yazısında yapay zekânın dört tipini
aşağıdaki gibi özetlemektedir:
Yapay Zekâ Teknolojisinin
Kullanım Alanları
Otomobil üreticilerinin sürücüsüz araç geliştirmeleri;
Çevrim içi arama motorlarının hedefe yönelik arama sonuçları sunmaları;
Sosyal medya kurumlarının fotoğraflarda yüzleri tanımaları ve haber akışlarını filtrelemeleri;
Medya şirketlerinin kullanıcılarına kitap veya etkinlik önermeleri;
Perakendecilerin alışveriş yapanlar için kişileştirilmiş çevrim içi alışveriş deneyimleri yaratmaları;
Lojistik firmalarının teslimatlar için en iyi güzergahları seçmeleri;
Hükümetlerin salgınları önceden tahmin etmeleri.
Pazarlama uzmanlarının müşterilerine gerçek zamanda son derece kişiselleştirilmiş içerikler sunmaları.
Sanal yardımcıların tüketicilerle etkileşim kurmak için ses-kontrollü doğal bir dil kullanmaları.
Küresel Bakış Açıları: Yapay Zekâ I
Tip I. Tepkisel makineler: Bu makineler, yapay zekânın en basit halidir. Tepkisel makineler belirli bir duruma her
seferinde birebir aynı tepkiyi verirler. Buna, dünya çapında tanınmış satranç oyuncularını mağlup edebilen
makineler örnek olarak verilebilir, zira bu makineler satranç taşlarını tanıyacak, bu taşların her birinin nasıl
hareket ettiğini bilecek ve her iki oyuncunun bir sonraki hamlesini tahmin edebilecek şekilde
programlanmışlardır.
Tip II. Sınırlı hafıza: Sınırlı hafızalı yapay zekâ makineleri dönüp geçmişe bakabilirler, ancak bu makinelerde
hatıralar kaydedilmemektedir. Sınırlı hafızalı makineler hatıra biriktiremezler ya da geçmiş deneyimlerinden
“ders çıkaramazlar”. Bunun bir örneği, bir dakika önce yolda bir engel olduğunu fark ettiği için şerit
değiştirmeye karar verebilen sürücüsüz araçlardır.
Tip III. Zihin Kuramı: Zihin kuramı, bir makinenin etkileşimde bulunduğu kişilerin düşünceleri, duyguları ve
beklentileri olduğunu anlayabileceği fikrine dayanmaktadır. Tip III Yapay Zekâ ile donatılmış bir makine
başkalarının düşüncelerini, duygularını ve beklentilerini anlayabilir ve davranışını da buna uygun olarak
ayarlayabilir.
Tip IV. Kendisinin farkında olma: Tip IV Yapay Zekâ ile donatılmış bir makine kendi varlığının farkında olur. “Zihin
Kuramı”nın bir uzantısı olarak, bilinçli veya kendi varlığının olan farkında makineler kendilerini, kendi iç
dünyalarını bilirler ve başkalarının duygularını tahmin edebilirler.
Başka bir deyişle, Tip II yapay zekâ ile donatılmış sürücüsüz bir araç gideceği güzergâhta bir yaya varsa, şerit
değiştirmeye karar verir, çünkü bu makine, basitçe, o yayayı yolda bulunan bir engel olarak algılar. Tip III yapay zekâyla
donatılmış bir sürücüsüz araç, yayanın, kendisine doğru gelen bir aracın durmasını bekleyeceğini anlar; Tip IV yapay
zekâyla donatılmış bir sürücüsüz araç ise, kendisi (sürücüsüz araç) aynı durumda olsa ona doğru gelen aracın durmasını
isteyeceğini bildiği için, bunu yayanın hakkı olarak görür ve aynı durumda kendisinin de durması gerektiğini bilir.
İnanılmaz, değil mi?
Bugünkü “Akıllı Makineler”in çoğu Tip I veya Tip II yapay zekânın tezahürleridir. Devam eden araştırma ve geliştirme
projeleri kurumların Tip III ve Tip IV yapay zekânın pratik uygulamalarına doğru ilerlemelerini sağlayacaktır.
Yapay Zekânın Beraberinde Getirdiği Fırsatlar ve Riskler Yapay zekânın beraberinde getirdiği fırsat ve riskleri anlamanın ilk adımı, kurumun büyük veri imkânlarını ve risklerini
tam olarak anlamaktır. İlgili fırsat ve risklere ilişkin bir tartışma ve örnek bir çalışma programı da dâhil, büyük verilerin
anlaşılması ve denetimi hakkında kapsamlı bir rehberlik için, IIA üyelerine ücretsiz olarak sunulan ve IIA üyesi
olmayanların da IIA Kitabevi’nden (www.theiia.org) temin edebilecekleri “GTAG: Büyük Verileri Anlamak ve
Denetlemek” dokümanına bakınız. Yapay zekânın beraberinde getirdiği fırsat ve risklere ilişkin örnekler arasında
aşağıdakiler sayılabilir:
Küresel Bakış Açıları: Yapay Zekâ I
Fırsatlar
Veri işleme döngüsünü kısaltabilme.
Kusursuz ve hatasızca tekrarlanabilen makine hareketleriyle insan
hareketlerini ikame ederek hataları azaltabilme.
Çok zaman alan faaliyetleri, zamandan tasarruf sağlayan (süreç otomasyonu)
faaliyetlerle ikame ederek işçilik süresini ve maliyetini azaltabilme.
Potansiyel olarak tehlike arz eden durumlarda insanların, robot veya
dronlarla ikame edilmesini sağlayabilme.
Belirli pazarlarda, bazı ürünleri piyasaya sürmek ve satmaktan tutun da,
salgın hastalıkları ve doğal felaketleri önceden tespit etmeye kadar her
konuda daha iyi tahminlerde bulunabilme.
Yapay zekâ projeleri aracılığıyla kurumun gelirlerini arttırabilme ve
yönetebilme ve kurumun pazar payını arttırabilme.
Riskler
Yapay zekâ teknolojisinin yapısında, insanlardan kaynaklanan tanımlanmamış
ve tespit edilmemiş yanlılığın (bias) var olması riski.
Yapay zekâ teknolojisinin yapısında insanlardan kaynaklanan mantık
hatalarının bulunması riski.
Yapay zekânın yeterli test ve gözetimden geçirilmemesinin etik açıdan
sorgulanır nitelikte sonuçlar doğurma riski.
Yapay zekâ ürünlerinin ve hizmetlerinin zarara yol açıp mali duruma ve/veya
itibara zarar verecek sonuçlar doğurma riski.
Müşterilerin veya diğer paydaşların kurumun yapay zekâ projelerini kabul
etmeme veya benimsememe riski.
Kurumun, yapay zekâya yatırım yapmadığı takdirde, rakiplerinin gerisinde kalma riski.
Yapay zekâya (altyapı, araştırma ve geliştirme ve yetenek kazanma) yatırım yapmanın kabul edilebilir bir yatırım
getirisi (ROI) sağlamama riski.
Yapay zekâ ile ilgili riskler hakkında daha derinlemesine bilgiler, bu üç kısımdan oluşan Küresel Bakış Açıları ve Anlayışlar
serisinin II. ve III. Kısımlarında sunulacaktır.
İç Denetimin Rolü İç denetim, bir kurumun hedeflerine ulaşabilmesiyle ilgili riskleri ve fırsatları değerlendirme ve anlama konusunda işinin
uzmanıdır. İç denetim, bu deneyiminden sonuna kadar istifade ederek bir kurumun yapay zekânın kısa, orta veya uzun
vadede değer yaratma kabiliyetini ne derece etkileyeceğini (olumlu veya olumsuz) değerlendirmesine, anlamasına ve
başkalarına anlatmasına yardım edebilir. İç denetim, yapay zekâyla ilgili en az beş kritik ve farklı faaliyet aracılığıyla
sürece dâhil olabilir:
Tüm kurumlarda, iç denetim birimi, risk değerlendirmesine yapay zekâyı dâhil etmeli ve ayrıca yapay zekayı risk
temelli denetim planına da dâhil edip etmemeyi düşünmelidir.
Denetim Odağı IIA Standardı 2120: Risk Yönetimi
(Alıntı)
İç denetim faaliyeti risk yönetim
süreçlerinin etkinliğini değerlendirmeli ve
bu etkinliğin geliştirilmesine katkıda
bulunmalıdır.
2120.A1 – İç denetim faaliyeti,
aşağıdakileri dikkate alarak kurumun
yönetişim süreçlerinin, faaliyetlerinin ve
bilgi sistemlerinin maruz kaldığı riskleri
değerlendirmelidir:
Kurumun stratejik hedeflerine
ulaşması;
Mali ve operasyonel bilgilerin
güvenilirliği ve doğruluğu;
Faaliyetlerin ve programların
etkinlik ve verimliliği;
Varlıkların korunması;
Kanun, düzenleme, politika,
prosedür ve sözleşmelere uyum.
Küresel Bakış Açıları: Yapay Zekâ I
Yapay zekâyı araştıran kurumlarda, iç denetim birimi başlangıç
aşamasından itibaren yapay zekâ projelerine etkin olarak katılmalı ve tavsiyeler ve
anlayışlar ortaya koyarak bu projelerin başarıyla uygulamaya koyulmasına katkıda
bulunmalıdır. Bununla birlikte, bağımsızlığının ve objektifliğinin zeval gördüğü
algısının yaratılmasına ve bu özelliklerinin fiili olarak zeval görmesine mahal
vermemek amacıyla, iç denetim, yapay zekâ süreçlerinin, politikalarının veya
prosedürlerinin uygulamaya koyulmasının sahipliğini ve sorumluluğunu
üstlenmemelidir.
Yapay zeka teknolojisinin bir yönünü uygulamaya koymuş kurumlarda –
yapay zekayı operasyonlarına dahil etmek (örn. bir imalatçının üretim hattında
robot teknolojisini kullanması gibi) ya da ürüne veya hizmete entegre etmek (bir
perakendecinin, ürün veya hizmet satış geçmişi bilgilerini dikkate alarak ürün
sunumlarını kişiselleştirmesi gibi) suretiyle –, iç denetim, altta yatan algoritmaların
ve bu algoritmaların dayandığı verilerin güvenilirliğine ilişkin risklerin yönetilmesi
konusunda güvence vermelidir.
İç denetim, kurumun yapay zekâ kullanımına ilişkin ahlaki ve etik
sorunların ele alındığı konusunda kuruma güvence vermelidir.
Tüm büyük sistemlerin kullanımında olduğu gibi, burada da uygun
yönetişim yapılarının kurulması gerekmektedir ve iç denetim bu alanda güvence
sağlayabilir.
İç denetim, yapılan spesifik faaliyetlere bakılmaksızın, bir kurumun yapay zekayla ilgili faaliyetlerine katkıda bulunan
kilit bir paydaş olmak için çok iyi bir konumda bulunmaktadır. Zira iç denetçiler:
Kurumun stratejik amaçlarını ve bu amaçlara ulaşmak uğruna uygulamaya koyduğu süreçleri anlarlar.
Yapay zekâ ile ilgili faaliyetlerin amaçlarına ulaşıp ulaşmadıklarını değerlendirebilirler.
Yönetimin, yapay zekâ risklerine ilişkin risk yönetimi faaliyetleri hakkında kurum içi güvence sunabilirler.
İş süreçlerini iyileştirmek veya ürün ve hizmet sunumlarını arttırmak amacıyla yapay zekânın benimsenmesini
olumlu yönde destekleyebilecek güvenilir birer danışman olarak algılanırlar.
İç denetim yapay zekâ teknolojisine de diğer her şeye yaklaştığı gibi – yapay zekâ ile ilişkili risk yönetimi, kontrol ve
yönetişim süreçlerinin etkinliğini değerlendirmeye ve iyileştirmeye yönelik sistematik ve disiplinli yöntemlerle -
yaklaşmalıdır.
Yapay Zekâ Yetkinlikleri: Anlama Konusundaki Farkı Kapatmak
Yapay zekâ konusunda uzman teknoloji profesyonellerinden oluşan yetenek havuzu, raporlanan verilere bakıldığında,
küçüktür. Yapay zekâ devrimine katılmak isteyen kurumların aşağıda sayılanlar gibi çok sayıda alanda yetkinlikle birlikte
yeni yetenekler geliştirmesi veya kazanması gerekir.
Hâlihazırda teknoloji, otomotiv, imalat, finansal hizmetler ve yardımcı yazılım ve program sektörlerinde faaliyet
gösteren bir avuç kurum, yapay zekâ devriminin başını çekiyor gibi görünse de, herhangi bir kurumun yapay
zekâdan etkilenmeyeceğini düşünmek zordur. Bilgisayarlar gibi, elektronik çizelgeler ve dağıtılmış işleme
sistemleri de ilk zamanlarda sadece belirli sektörlerin odağında yer almasına rağmen, nihayetinde tüm kurumlar
bu teknolojilerin çeşitli yönlerini benimsemişlerdir. Yapay zekâ giderek daha fazla ana akım hale geldikçe ve
yaygınlaştıkça, iç denetçilerin, çalıştıkları kuruma yapay zekâ hakkında güvence ve danışmanlık hizmetleri
vermeye hazır olmasının gerekmeyeceğini tahayyül etmek güçtür.
Yapay Zekâ Yetkinlikleri Doğal dil işleme.
Yüz tanıma, görüntü
analizleri ve metin analizleri
gibi uygulama programı
arayüzleri (API).
Algoritmalar ve ileri
modellemeler.
Olasılıklar ve uygulamalı
istatistikler.
Veri analizi.
Yazılım mühendisliği.
Programlama dili.
Makine öğrenme.
Bilgisayar görüşü.
Robot teknolojisi.
Küresel Bakış Açıları: Yapay Zekâ I
İç Denetim Yöneticileri (İDY’ler), iç denetim faaliyetini bu zorluğa hazırlamak için, ona
gerekli ek becerileri nasıl kazandırabilirler? Bunun için atılacak ilk adım, yeni beceri
setleri edinmenin gerekli olduğunu kabul etmektir. İç denetim faaliyeti, yapay zekâ
teknolojisini, kurumun bu teknolojiyi nasıl kullandığını ve yapay zekâ teknolojisinin
kurum açısından arz etiği riskleri kolektif olarak iyice anlamalıdır. İDY bu konuda
anladıklarını ve edindiği bilgileri üst yönetime, kurula ve denetim komitesine
aktarabilmelidir. IIA’nın yapay zekâ konusundaki fikir önderliği ve IIA’nın büyük veriler
ve yetenek yönetimi gibi konularda yayımladığı ek rehberler bu konuya giriş açısından iyi
bir başlangıç noktası olabilir.
Siber Esnekliğe Özel Önem Vermek
Siber güvenlik tehditleri çağımızın karakterini belirlemeye devam etmektedir. Yapay
zekânın benimsenmesi ve gelişimi kurumları kendi siber güvenlik kapasitelerine yeniden
özel önem vermeye zorlamaktadır. Yapay zekâ güçlendikçe ve daha fazla karar yeni,
karmaşık ve şeffaf olmayan algoritmalara bırakıldıkça, devasa veri setlerini kullanmak ve
bu sistemleri kurum dışı ve kötü niyetli güçlerden korumak başarı açısından kritik bir
önem kazanmaktadır. 2014 tarihli bir EY (Ernst & Young) raporunda, siber esneklik siber
saldırılara direnme, müdahale etme ve saldırılardan sonra toparlanma kabiliyeti – ve
zaman içinde güvenliği ve sürdürülebilirliği arttırmak için bir ortamı modifiye etme -
olarak tanımlanmıştır. Yapay zekâ teknolojisine giderek daha fazla bel bağlayan tüm
kurumlar için siber esneklik kritik önemdedir.
Siber güvenlik konusunu çevreleyen bunca karmaşıklık arasında, iç denetimin doğrudan
etki edebileceği dört kilit alan bulunmaktadır:
Siber tehditlere karşı hazırlık ve müdahale hakkında güvence vermek.
İcrai yönetime ve kurula kurumun karşı karşıya olduğu risk seviyesini ve bu risklere cevap vermek için sarf ettiği
çabanın düzeyini bildirmek.
Etkili savunma ve müdahale mekanizmalarının uygulamaya koyulmasını temin etmek için BT ve diğer taraflarla birlikte
çalışmak.
Riskle ilgili olarak, kurumda bulunan taraflar arasında iletişimi ve koordinasyonu sağlamak ve kolaylaştırmak.
Yapay zekâyı ilgilendiren bir siber güvenlik ihlâlinin potansiyel tehlikeli etkilerinin üzerinde ne kadar durulsa azdır. Siber
güvenlik eğitimleri hâlihazırda kurumlarda uygulanmıyorsa, İDY’lerin, bu eğitimleri kendi ekipleri içinde hızla hayata
geçirmeleri gerekir.
Yapay Zekâya İlişkin Denetim Çerçevesi Bu Çerçeve üç bileşenden oluşmaktadır: Yapay Zekâ Stratejisi, Yönetişim ve İnsan Faktörü.
Yapay Zekâ Stratejisi
Kurumların yapay zekânın sunduğu fırsatlardan yararlanma ve avantaj sağlama yaklaşımına bağlı olarak her
kurumun yapay zekâ stratejisi kendisine özgü olacaktır. Kurumların yapay zekâ stratejileri , ilgili kurumların genel
dijital veya büyük veri stratejisinin açık ve belirgin bir uzantısı olabilir — yani iyi geliştirilmiş ve uygulanan bir
Denetim Odağı IIA Standardı 1210: Uzmanlık
(Alıntı)
İç denetçiler kendi münferit
sorumluluklarını yerine getirmek
için ihtiyaç duydukları bilgi, beceri
ve diğer yetkinliklere sahip
olmalıdır. İç denetim faaliyeti
sorumluluklarını yerine getirmek
için ihtiyaç duyduğu bilgi, beceri ve
diğer yetkinliklere kolektif olarak
sahip olmalı veya bunları
edinmelidir.
1210.A3 –İç denetçiler, kendilerine
verilen görevi yerine getirmek için
kilit nitelikteki bilgi teknolojisi risk
ve kontrolleri ve mevcut teknoloji-
temelli denetim teknikleri hakkında
yeterli bilgiye sahip olmalıdırlar.
Buna karşın, tüm iç denetçilerin,
esas sorumluluk alanı bilgi
teknolojisi denetimi olan bir iç
denetçiyle aynı düzeyde bir
uzmanlığa sahip olması
beklenmemektedir.
Küresel Bakış Açıları: Yapay Zekâ I
dijital/büyük veri stratejisi olan kurumlar yapay zekâ konusunda diğerlerinden bir adım öndedir. MGI’ye göre,
“güçlü bir dijital kabiliyeti, sağlam bir yapay zekâ kabulünü ve proaktif bir stratejiy i birleştiren” kurumlar
olağanüstü bir finansal performans gösterirler.
İç denetim, ilk olarak bir kurumun yapay zekâ stratejisini ele almalıdır. Kurumun yapay zekâya yönelik tanımlanmış
bir stratejisi var mıdır? Kurum yapay zekâ araştırma ve geliştirme çalışmalarına yatırım yapıyor mu? Yapay zekâ ile
ilgili tehdit ve fırsatları tanımlamak ve ele almak için herhangi bir plan uyguluyor mu? Yapay zekâ, kurumlar için bir
rekabet avantajı sağlayabilir ve iç denetim, kurumun kendi amaçlarıyla uyumlu planlı bir yapay zekâ stratejisi formüle
etmenin önemini fark etmesine yardım etmelidir.
Yönetişim
Yapay zekâ yönetişimi, bir kurumun hedeflerine ulaşmak adına faaliyetlerini yönlendirmek, yönetmek ve izlemek
için uygulamaya koyduğu yapılara, süreçlere ve prosedürlere atıfta bulunmaktadır. Bir kurumun yapay zekâ
yönetişiminin formalite seviyesi ve yapısı, o kurumun kendisine has özelliklerine bağlı olarak değişecektir. Kurumun
özgün yaklaşımından bağımsız olarak düşünüldüğünde ise, yapay zekâ yönetişimi, hesapverebilirliği ve gözetimi tesis
eder; sorumlu kişilerin yapay zekâyı etkin bir şekilde izlemek için gereken becerilere ve uzmanlığa sahip olmalarını
temin etmeye ve kurumun değerlerinin yapay zekâ faaliyetlerine yansıtılmasını garanti altına almaya yardım eder.
Bu son nokta göz ardı edilmemeli veya bu noktaya daha az önemliymiş gibi muamele edilmemelidir. Yapay zekâ
faaliyetleri sonucunda kurumun etik, toplumsal ve yasal sorumluluklarıyla uyumlu kararlar ve eylemler ortaya
çıkmalıdır.
Veri Mimarisi & Altyapısı Yapay zekâ veri mimarisi ve altyapısı kurumun büyük verileri ele alma mimarisi ve altyapısıyla muhtemelen aynı ve
tek olacaktır. Bu, aşağıdaki hususlara ilişkin dikkate alınması gerekenleri de kapsamaktadır:
Verilerin erişilebilir olma şekli (metaveri, taksonomi, özgün tanımlayıcılar ve adlandırma gelenekleri).
Veri yaşam döngüsü (verilerin toplanması, kullanılması, depolanması ve imha edilmesi) boyunca bilgi
mahremiyeti ve güvenliği.
Veri yaşam döngüsü boyunca veri sahipliği ve kullanımı konusunda üstlenilecek rol ve sorumluluklar.
Veri Kalitesi Yapay zekâ algoritmalarının dayandığı verilerin tamlığı, doğruluğu ve güvenilirliği kritik önemdedir. Ne yazık ki,
kurumların veri yapılarının yeterince tanımlanmamış ve kendi içinde tutarsız olması sık karşılaşılan bir durumdur.
Çoğunlukla, sistemler birbiriyle iletişim kurmazlar ya da karmaşık eklenti veya özel ayarlar yoluyla iletişim kurarlar. Bu
verilerin nasıl bir araya getirildiği, birleştirildiği ve doğrulandığı hayati önemdedir.
Performans Ölçümü Kurumlar yapay zekayı faaliyetlerine entegre ettikçe, performans ölçütleri, yapay zeka faaliyetlerini iş hedeflerine
bağlayacak ve yapay zekânın bu hedeflere ulaşmayı etkin bir biçimde destekleyip desteklemediğini açıkça gösterecek
şekilde tarif edilmelidir. Yönetim, yapay zekâ faaliyetlerinin performansını aktif bir şekilde izlemelidir.
Küresel Bakış Açıları: Yapay Zekâ I
İnsan Faktörü
Algoritmalar insanlar tarafından geliştirilmektedir. İnsan hataları ve yanlılıkları (ister
kasıtlı olsun ister kasıtsız olsun) algoritmanın performansını etkileyecektir. İnsan
faktörü unsuru:
Yapay zekâ tasarımında bir faktör olarak rol oynayan kasıtlı olmayan insan
yanlılığının mevcut olabileceği riskinin tespit edilip edilmediğini ve yönetilip
yönetilmediğini;
Elde edilen sonuçların asıl amacı yansıtmasını temin etmek amacıyla Yapay zekânın
etkin bir biçimde test edilip edilmediğini;
Söz konusu karmaşıklık düzeyi dikkate alındığında, Yapay zekâ teknolojisinin şeffaf
olup olamayacağını;
Yapay zekâ ürününün kanunlara uygun, etik ve sorumlu bir şekilde kullanılıp
kullanılmadığını;
değerlendirir.
İnsanlardan kaynaklanan hataların, bilgi mahremiyeti ve güvenlik ihlallerinin en yaygın
sebebi olduğu hemen hemen herkesçe kabul edilmektedir. Benzer şekilde, insan faktörü
unsuru da, insan hatasının Yapay zekânın beklenen sonuçları vermesini tehlikeye
atabileceği riskini ele alır.
Kara Kutu Merriam-Webster çevrim içi sözlüğünde verilen tanıma göre, kara kutu “iç mekanizması
genellikle kullanıcılardan gizlenmiş veya kullanıcılar için bir muamma olan genellikle
karmaşık yapılı bir elektronik cihaz; daha kapsamlı bir ifadeyle: anlaşılmaz veya bilinmeyen
nitelikte iç fonksiyonları veya mekanizmaları bulunan herhangi bir şey” olarak
tanımlanmaktadır. Kurumlar Tip III ve Tip IV Yapay Zekâ teknolojilerini uygulamaya
koymaya — yani kendi kendine öğrenebilen ve iletişim kurabilen makineleri veya
platformları kullanmaya – doğru ilerledikçe, algoritmaların çalışma biçimleri de giderek
daha az şeffaf veya anlaşılır olmaktadır. Kurumların Yapay zeka faaliyetleri giderek daha
karmaşık ve sofistike bir hal aldıkça, kara kutu faktörü de kurumlar için giderek daha
büyük bir zorluk haline gelecektir.
Kapanış Görüşleri İç denetim mesleği, bir sonraki dijital cephe olma potansiyeli taşıyan yapay zekâ konusunda geri bırakılamaz. Buna
hazırlanmak için iç denetçiler Yapay zekânın temel ilkelerini, iç denetimin oynayabileceği ve oynaması gereken rolleri
ve Yapay zekâ risk ve fırsatlarını anlamalıdır. İç denetçiler, bu zorluklarla başa çıkmak için, Yapay zekâ ile ilgili risk
yönetimi, kontrol ve yönetişim süreçlerinin etkinliğini değerlendirmeye ve iyileştirmeye yönelik sistematik ve
disiplinli yöntemler sunma konusunda Çerçeve’yi desteklemeli ve geliştirmelidir.
Denetim Odağı Kilit IIA Standartları
IIA’nın İç Denetimin Uluslararası
Mesleki Uygulama Standartları’nda
aşağıda sayılanlar da dâhil, özellikle
yapay zekâ ile ilişkili olan birkaç
standart bulunmaktadır:
IIA Standardı 1210: Uzmanlık
IIA Standardı 2010: Planlama
IIA Standardı 2030: Kaynak Yönetimi
IIA Standardı 2100: İşin Niteliği
IIA Standardı 2110: Yönetişim
IIA Standardı 2130: Kontrol
IIA Standardı 2200: Görev
Planlaması
IIA Standardı 2201: Planlama
Mülahazaları
IIA Standardı 2210: Görev Hedefleri
IIA Standardı 2220: Görev Kapsamı
IIA Standardı 2230: Görev Kaynak
Tahsisi
IIA Standardı 2240: Görev Çalışma
Programı
IIA Standardı 2310: Bilgilerin
Tanımlanması