Posted on

“İşletmelerin Yapay Zekâ Düzenlemeleri Öncesinde ‘Üçüncü Taraf Risk Yönetimi’nin Dikkate Alınması” Üzerine

Şu anda ortaya çıkan yapay zekâ düzenlemelerine şirket içi uyuma büyük önem verilmiş olsa da konuyla ilgili çevreler, şirketlerin önemli bir dış etken olan üçüncü tarafları (third parties) gözden kaçırmaması gerektiğini savunuyor.

Yapay zekâ (artificial intelligence) modern dünyayı hızla yeniden şekillendirmekte ve hükümetler, bunun sorumlu bir şekilde kullanılmasını sağlamak amacıyla güvenlik önlemleri oluşturmak için acele etmektedirler. Teknolojinin hızlı büyümesi, neredeyse her sektördeki işletmelerin, kârlılıklarını artırma nihai hedefiyle üretkenlik ve verimlilik kazanımları sunduğu için yapay zekâyı benimsemesine de yol açmıştır.

Ancak bu fırsatların yanı sıra, şirketlerin yapay zekâyı etik bir şekilde ve yasalar çerçevesinde dağıtma konusunda önemli sorumlulukları da bulunmaktadır. Bu sorumluluk yalnızca kendi uygulamalarını değil aynı zamanda satıcılar ve hizmet sağlayıcılar da dâhil olmak üzere etkileşim içinde oldukları tüm üçüncü tarafları da kapsamalıdır.

Güvenli ve sorumlu yapay zekâ dağıtımının getirdiği birçok hareketli alanda gezinmek, Amerika Birleşik Devletleri (ABD), Kanada, Avrupa Birliği (AB) ve Birleşik Krallık dâhil olmak üzere yapay zekâ düzenlemelerinin ön planda olduğu bölgelerde bulunan şirketler için özellikle zorlayıcı olacaktır.

Bu bölgeler, hızla ilerleyen teknolojiyi düzenlemek için benzersiz hukuki çerçeveler geliştirmektedir. Bu düzenlemeleri anlamak ve bunlara uymak, bu bölgelerde faaliyet gösteren işletmelerin yasal yansımalardan kaçınması ve paydaşların güvenini koruması açısından kritik öneme sahip olacaktır.

1. Öndeki Yol

Dünya çapındaki düzenleyici kurumlar, yapay zekâyı nasıl düzenleyeceklerine karar vermekte ve tasarılar bağlayıcı yasalar haline geldikçe işletmelerin bu konuda dikkatli olmaları gerekmektedir. Ülkeden ülkeye farklılıklar olsa da önerilen kuralların çoğu gizlilik, güvenlik ve işletmelerin yapay zekâyı etik ve yasal olarak nasıl kullanabilecekleri ile ilgili çevre, toplum ve kurumsal yönetişim (ESG) konularına odaklanmaktadır.

Örneğin, ABD’de Ulusal Standartlar ve Teknoloji Enstitüsü’nün yapay zekâ (National Institute of Standards and Technology Artificial Intelligence) risk yönetimi çerçevesi, Ocak 2023’te; “yapay zekânın birçok riskini yönetmeye yardımcı olmak ve yapay zekâ sistemlerinin güvenilir ve sorumlu bir şekilde geliştirilmesini ve kullanımını teşvik etmek için yapay zekâ sistemlerini tasarlayan, geliştiren, dağıtan veya kullanan kuruluşlara kaynak sunmak” amacıyla tanıtılmıştır. Bu gönüllü hukuki çerçeve, kuruluşlar için bir yapay zekâ yönetişim stratejisinin geliştirilmesi konusunda kapsamlı rehberlik sunmaktadır.

Kuruluşlar, yapay zekâ sistemlerinin aşağıdaki gibi muhtemel olumsuz etkilerini azaltmak için risk yönetimi ilkelerini uygulamalıdır:

  • Güvenlik açıkları ve yapay zekâ uygulamaları: Her hangi bir kuruluş uygun yönetim ve korumalar olmadan sistem veya veri ihlallerine maruz kalabilir.
  • Yapay zekâ risk metodolojileri veya ölçümlerinde şeffaflık eksikliği: Yetersiz ölçüm ve raporlama uygulamaları, potansiyel yapay zekâ risklerinin etkisinin hafife alınmasına neden olabilir.
  • Tutarsız yapay zekâ güvenlik politikaları: Yapay zekâ güvenlik politikaları mevcut risk yönetimi prosedürleri ile uyumlu olmadığında, karmaşık ve zamana duyarlı denetimlerle sonuçlanabilir ve potansiyel olarak olumsuz yasal veya uyum sonuçlarına yol açabilir.

Yukarıdakilerin tümü yalnızca işletmelerle değil aynı zamanda bu işletmelerin iş yaptıkları ortaklar, satıcılar ve diğer üçüncü taraflarla (partners, vendors and other third parties) da ilgilidir. Şirketler, satıcılarının, tedarikçilerinin ve diğer üçüncü taraf iş ortaklarının (vendors, suppliers and other third-party partners) yapay zekâyı nasıl kullandıklarına, özellikle de müşteri verilerini nasıl yönettiklerine ilişkin giderek daha fazla sorumlu tutulmayı beklemelidir.

Önümüzdeki yıllar, dünya çapındaki kuruluşların yapay zekâ stratejilerini nasıl uyarlamaları gerektiğini açıklığa kavuşturacak ve üçüncü taraf riskini yönetmek muhtemelen denklemin giderek daha önemli bir parçası haline gelecektir.

Yeni yasaların yürürlüğe girmesiyle birlikte her sektördeki işletmeler için yeni gerçeklikler ortaya çıkacaktır. Yapay zekâ için kabul edilebilir kullanım politikaları oluşturmak ve bu politikaları üçüncü taraflara iletmek de dâhil olmak üzere, bu yeni gerçeklere hazırlanmaya başlamanın zamanı gelmiştir.

2. Üçüncü Taraf Yapay Zekâ Riskini Azaltma [mitigate third-party artificial intelligence risk]

Konumdan bağımsız olarak, satıcılarla temkinli bir yaklaşım ve proaktif etkileşim, bu riskleri yönetmek için temel stratejilerdir. Şirketler, sorumlu yapay zekâ yönetiminin kendi iç operasyonlarının ötesine geçtiğini ve yapay zekâ ekosisteminde yer alan tüm tarafların uygulamalarını kapsadığını kabul etmelidir.

Her işletmenin kendine özgü hedefleri ve zorlukları vardır ki, bu da üçüncü taraf ortaklarla ilişkilerin büyük ölçüde değişeceği anlamına gelir. Ancak herhangi bir şirketin, üçüncü taraf ilişkileriyle ilintili yapay zekâya ilişkin riskleri proaktif bir şekilde azaltmak için atabileceği bazı temel adımlar mevcuttur:

  • Hangi üçüncü taraf iş ortaklarının yapay zekâyı ve bunu nasıl kullandıkları belirlenmelidir. Bu minvalde, hangi üçüncü taraf satıcıların ve tedarikçilerin yapay zekâyı kullandığını ve kullanım kapsamını belirlemek için kapsamlı bir envanter yapılmalıdır. Bu süreç, veri gizliliği, önyargı ve hesap verebilirlik de dâhil olmak üzere yapay zekâ uygulamalarıyla ilişkili doğal riskleri anlamak için ilgili soruların sorulmasını içerir.
  • Üçüncü tarafların yapay zekâ kullanımını katmanlandırıp puanlayacak bir sistem geliştirilmelidir. Yapay zekâ kullanımlarına ve ilgili risklere göre üçüncü taraf iş ortakları için katmanlama sistemi güncellenmelidir. İşledikleri verilerin hassasiyeti, yapay zekâ uygulamalarının paydaşlar ve iş süreçleri üzerindeki etkisi ve yapay zekâ karar verme süreçlerindeki şeffaflık ve hesap verebilirlik düzeyleri gibi faktörleri göz önünde bulundurulmalıdır.
  • Riskler ayrıntılı olarak değerlendirilmelidir. Yüzey düzeyindeki değerlendirmelerin ötesine geçmek önemlidir ve bu, üçüncü tarafların yapay zekâ uygulamalarının ayrıntılı analizleriyle yapılabilir. Bu, yönetişim yapılarının, veri güvenliği protokollerinin, yapay zekâ kullanımındaki şeffaflığın ve yapay zekâ karar alma sürecine insan gözetiminin ve müdahalesinin kapsamının değerlendirilmesini içerir. Durum tespiti sürecinde kılavuz olarak yerleşik yasal uyum çerçevelerinden ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün yapay zekâ çerçevesi gibi sektördeki en iyi uygulamalardan yararlanılmalıdır.
  • Mümkün olan her durumda, hafifletme stratejileri önerilmelidir. Risk değerlendirmelerinden ve kademeli puanlamadan elde edilen bilgilere dayanarak, üçüncü taraf iş ortaklarına belirli iyileştirme önlemleri önerilmelidir. Bu önlemler, veri güvenliği protokollerinin geliştirilmesini, önyargı tespiti ve azaltma stratejilerinin uygulanmasını, yapay zekâ karar verme sürecinde şeffaflığın sağlanmasını ve etik yapay zekâ uygulamalarını uygulamak için sözleşme hükümlerinin oluşturulmasını içerebilir.
  • Sürekli izleme uygulanmalıdır. Bu kapsamda, üçüncü taraf risklerinin azaltılmasının sürekli izleme ve değerlendirme gerektiren devam eden bir süreç olduğunun bilincinde olunmalıdır. Bu nedenle, düzenli denetimler, politika ve kontrol değişikliği incelemeleri ve işletme faaliyetini etkileyebilecek yapay zekâ ile ilgili ortaya çıkan sorunlar hakkında bilgi sahibi olmak dâhil olmak üzere üçüncü tarafların yapay zekâ uygulamalarının sürekli izlenmesine yönelik mekanizmalar geliştirilmelidir.

Hükümetler yapay zekâ ile ilgili yeni düzenleyici ve yasal çerçeveler uygulamaya koydukça işletmelerin, azaltılması ve yönetilmesi gereken başka bir risk kaynağı olarak tedarikçilerine ve üçüncü taraf ortaklarına giderek daha fazla bakması gerekmektedir. Bu önemli adımları atmak, şu anda yüksek talep gören yapay zekâ yönetişiminde uzmanlık gerektirmektedir. Özel yapay zekâ risk yönetimi ekiplerine sahip olmayan şirketler, bu karmaşık ortamda etkili bir şekilde yer alma konusunda uzmanlaşmış kuruluşlardan dış yardım bulabilir.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.