AI Yönetişim Komitesi Kurulması
Roller, Yetkiler, Süreç

Komite Neden Gerekli?

Pek çok kurumda yapay zeka kararları farkında olmadan dağınık biçimde alınır. Bir ürün ekibi müşteri segmentasyonu için yeni bir model devreye alır; bilgi işlem departmanı geliştiriciler için yeni bir kodlama asistanı satın alır; pazarlama ekibi sosyal medya içerikleri için bir yapay zeka aracı kullanmaya başlar. Bu kararlar bağımsız bağımsız mantıklı görünebilir; ama bir araya geldiğinde kurumun yapay zeka maruziyeti haritada yer almayan bir yığına dönüşür.

Bu dağınıklığın doğurduğu birkaç somut sorun var. Birincisi uyumluluk boşluğudur. KVKK, EU AI Act ve sektörel düzenlemeler kurumun yapay zeka kullanımına dair belirli yükümlülükler getirir; ancak bu yükümlülüklerin sahibi belirlenmemişse kimse sistemli biçimde takip etmez. İkincisi güvenlik birikimi: her yeni yapay zeka aracı bir saldırı yüzeyi ekler ve bu yüzeyin envanteri ortada yoksa SOC ekibi neyi izleyeceğini bilmez. Üçüncüsü etik tutarsızlık: işe alımda yapay zeka kullanan İK ile sigorta fiyatlandırmasında yapay zeka kullanan finans birbirinden habersiz politikalar uyguladığında, kurum dışarıdan tutarsız bir kuruluş gibi görünür.

Yönetişim komitesi bu boşlukları kapatan tek yapıdır. Kararların sahibini belirler, çakışan görüşler arasında hakemlik yapar, kurumun yapay zeka kullanımını tek bir hafızada toplar. Bir bürokratik formalite gibi düşünmek mümkündür; ama doğru kurulduğunda gerçekten karar üreten ve sorumluluk taşıyan bir yapıdır.

Üye Kompozisyonu

AI yönetişim komitesinin sağlam olması için yedi farklı bakış açısını masaya getirmek gerekir. Bu sayı keyfi değil; pratikte daha az kişi karar alanını kapatamaz, daha fazlası karar verimini düşürür.

İlk üye CISO ya da bilgi güvenliği yöneticisidir; teknik güvenlik perspektifini, saldırı yüzeyi farkındalığını ve regülasyon disiplinini masaya taşır. İkincisi baş hukuk müşaviri ya da kurumsal hukuk yöneticisidir; KVKK, EU AI Act ve sözleşmesel yükümlülüklerin somut anlamını anlatır. Üçüncü üye etik temsilcisidir; bu kişi kurumda var olan bir compliance officer olabileceği gibi, özellikle yapay zeka için atanmış bir AI ethics lead da olabilir.

Dördüncü ve beşinci üyeler iş birimi liderleridir; en az iki tane olmalıdır ve aktif yapay zeka projesi olan birimlerden seçilirler. Örneğin müşteri hizmetleri ve risk yönetimi birimlerinin temsilcileri olabilir. İş birimi katılımı kritik çünkü komite kararları sahada uygulayacak olanlar onlardır; kararı dışarıdan dayatmak yerine bizzat üreten taraf olmaları benimsenmeyi kolaylaştırır.

Altıncı üye baş veri sorumlusu ya da CTO/teknik mimardır; modelin nasıl çalıştığına dair somut teknik bilgiye sahip olan kişidir. Yedinci üye, koşullara göre değişen bir dış görüş olabilir: kurum dışından bir akademisyen, bağımsız bir danışman ya da sektör birliği temsilcisi. Bu üyenin asıl işlevi, içeri kapanmış bir komitenin görmediği şeyleri görmektir.

Komitenin başkanlığı CISO ya da CTO seviyesinde bir yöneticide olmalı; gündemi belirleyen, toplantıyı yöneten ve nihai kararı yazıya döken kişidir. Sekreterya görevini bir politika analisti ya da uyumluluk uzmanı üstlenebilir.

Karar Alanları

Komitenin önüne her küçük karar getirilmemelidir; hem komite verimsizleşir hem ekipler operasyonel hızını kaybeder. Bu yüzden başlangıçta hangi kararların komitede ele alınacağını netleştirmek gerekir. Pratikte üç ana karar sınıfı tanımlanır.

Birinci sınıf: yeni bir yapay zeka sisteminin devreye alınması. Kurum içine girecek her yeni model, asistan, agent ya da yapay zeka tabanlı SaaS hizmeti komitenin onayından geçer. Onay sürecinde sistemin amacı, kullanacağı veri kategorileri, risk sınıfı (EU AI Act çerçevesi referans alınabilir), tedarikçi değerlendirmesi, KVKK etkisi ve güvenlik kontrolleri gözden geçirilir.

İkinci sınıf: kabul edilebilir kullanım politikasının değişiklikleri. Hangi araçların izinli, hangilerinin yasak olduğu, hangi veri kategorilerinin prompt'a yazılabileceği, hangi durumlarda insan denetiminin zorunlu olduğu komite kararıyla belirlenir. Tekil değişiklikler değil, politika düzeyindeki güncellemeler buradan geçer.

Üçüncü sınıf: olay sonrası kararlar. Ciddi bir güvenlik olayı, kişisel veri ihlali ya da yüksek profilli bir halüsinasyon vakası sonrasında komite toplanır; hangi politika değişikliğinin yapılacağı, hangi sistemin askıya alınacağı, müşteri iletişiminin nasıl yönetileceği gibi kararlar burada alınır.

Bu üç sınıfın dışındaki günlük operasyonel kararlar — model versiyon yükseltme, küçük yapılandırma değişiklikleri, kullanıcı ekleme — ilgili ekibin yetkisinde kalır. Komite kapısının önünde kuyruk oluşmamalıdır; aksi halde komite bürokrasiye dönüşür.

Toplantı Düzeni ve Karar Akışı

Komitenin işlerlik kazanabilmesi için toplantı ritminin baştan oturtulması gerekir. Pratikte iki ayrı toplantı tipi tanımlanır.

Birinci tip düzenli ay sonu toplantısıdır. Sabit tarihli ve gündemli olmalı; bekleyen tüm onaylar, politika değişiklik önerileri ve son ay metriklerinin gözden geçirilmesi bu toplantıda yapılır. Bir saatten uzun sürmemeli; süre uzuyorsa gündemde fazla yapılandırılmamış konu var demektir, daha küçük çalışma grupları kurmak gerekir. Toplantının çıktıları yazılı bir karar tutanağına bağlanır ve komite arşivinde saklanır.

İkinci tip olağanüstü toplantıdır. Yüksek profilli bir olay yaşandığında, kritik bir tedarikçi değişikliği gerektiğinde ya da düzenleyici otoriteden bir görüş geldiğinde komite başkanının çağrısıyla en geç beş iş günü içinde toplanır. Bu toplantılar daha kısa, daha odaklı ve tek konuludur.

Karar akışında belirli bir disiplin gerekir. Her gündem maddesi için bir sahip atanır; sahip, kararı destekleyen materyali (risk analizi, KVKK etkisi, tedarikçi incelemesi) en az üç gün önceden komite üyeleriyle paylaşır. Toplantıda tartışma yapılır, kararın metni netleşir ve oylama mantığı uygulanır. Karar nihai olsa bile uygulama detayları için ilgili birime devredilir; komite her detayı kendisi yazmaz.

Politikalar ve Standartlar

Komitenin somut çıktısı politikalar ve standartlardır. Kurumun yapay zeka kullanımına dair yazılı kuralları bu komite üretir ve günceller. Asgari olarak şu dokümanların hazır olması beklenir.

Kabul edilebilir kullanım politikası, çalışanların yapay zeka araçlarını hangi sınırlar içinde kullanabileceğini tanımlar; daha önce ChatGPT Kurumsal Kullanım yazısında ele aldığımız mantığın yazılı kurumsal versiyonudur. Yapay zeka risk değerlendirme çerçevesi, yeni bir sistem komiteye geldiğinde hangi soruların sorulacağını ve hangi metriklerin ölçüleceğini standardize eder.

Veri yönetişim politikası, hangi veri kategorisinin hangi tür sistemde kullanılabileceğini netleştirir; KVKK Madde 4'ün ölçülü işleme ilkesinin pratik karşılığıdır. İnsan denetim standardı, otomatik karar veren sistemler için insan denetiminin nasıl tasarlanacağını ve hangi durumlarda zorunlu olduğunu belirler. Tedarikçi değerlendirme standardı, üçüncü taraf yapay zeka servislerini kurumsal kullanıma almadan önce uygulanacak kontrol listesini içerir.

Bu beş doküman bir kerede yazılıp rafa kaldırılan belgeler olmamalı; komite tarafından yıllık olarak gözden geçirilen, düzenleyici değişikliklere göre güncellenen yaşayan metinler olarak konumlandırılmalıdır.

Raporlama ve Şeffaflık

Komitenin kurumsal güvenirliği üretebilmesi için kararlarının ve faaliyetinin yönetim kuruluna düzenli olarak raporlanması gerekir. Genel olarak üç ayda bir, en geç altı ayda bir bir özet rapor yayımlanmalıdır. Raporda yıl içinde alınan kararlar, devreye alınan ve askıya alınan sistemler, gözden geçirilen politikalar, yaşanan olaylar ve önümüzdeki dönemde gündemde olan başlıklar yer alır.

Bu rapor yönetim kurulu seviyesinde okunduğunda hem üst yönetim kurumun yapay zeka maruziyetini doğru biçimde görür hem de komitenin işlevsel kaldığı doğrulanır. Şeffaflık sadece üst yönetime değil; gerektiğinde düzenleyici otoritelere, denetçilere ve gelecekteki olası soruşturmalara da hizmet eder. Yazılı bir karar tarihçesi olmayan bir kurumun "uygun kararı uygun zamanda aldık" demesi pratikte ispatlanamaz; bu yüzden raporlama sadece iyi yönetişimin değil aynı zamanda hukuki savunmanın da temelidir.

Belirli yapay zeka sistemleri için ayrıca kamuya açık şeffaflık raporları tercih edilebilir. Müşteriye yönelik bir asistan ya da işe alımda kullanılan bir filtre için kurum, yıllık olarak "bu sistem hangi verilerle eğitildi, hangi denetimlerden geçti, kaç itiraz aldı, hangi sonuçlar düzeltildi?" sorularına cevap veren bir doküman yayımlayabilir. Bu uygulama hem güven artırır hem düzenleyici hazırlığı sağlam tutar.

Üç Aylık Kurulum Yol Haritası

Komitenin sıfırdan kurulup işler hale gelmesi tipik olarak üç aylık bir süreç ister. Aşağıdaki yol haritası kurumların büyük çoğunluğunda uygulanabilir bir tempodadır.

Birinci ay temel taşları yerleştirme dönemidir. Komite başkanı ve üyeleri belirlenir, görev tanımları yazılır, ilk gündem hazırlanır. Bu süreçte kurumun mevcut yapay zeka kullanımının envanteri çıkarılır; hangi birimde hangi sistemler kullanılıyor, hangi tedarikçilerle çalışılıyor, hangi veri kategorileri devrede sorularına cevap veren bir liste oluşturulur. Bu envanter komitenin ilk toplantısının temel girdisidir.

İkinci ay politika oluşturma dönemidir. Beş temel doküman — kabul edilebilir kullanım, risk değerlendirme, veri yönetişim, insan denetim standardı, tedarikçi değerlendirme — taslak halinde hazırlanır. Bu taslaklar komite toplantılarında tartışılır, ilgili birimlerle gözden geçirilir ve son halini alır. Aynı dönemde komitenin yazılı işleyiş kuralları (toplantı sıklığı, oylama biçimi, sekreterya görevi) netleşir.

Üçüncü ay uygulamaya geçiş dönemidir. Politikalar tüm kuruma duyurulur, çalışan eğitimi başlar, mevcut sistemler envanter üzerinden tek tek gözden geçirilir. Aynı dönemde komiteye gelen ilk gerçek onay talepleri işlenmeye başlar; süreç oturana kadar bu ilk talepler özel olarak yakından takip edilmelidir. Üç ayın sonunda komite aktif olmalı, kararları yazılı belgelere bağlanmış olmalı ve yönetim kuruluna ilk özet rapor sunulmalıdır.

Sık Yapılan Hatalar

Yönetişim komitesi kurma çalışmalarında karşılaştığımız tipik tuzakların başında komiteyi tamamen güvenlik ya da tamamen hukukla doldurmak gelir. Tek bir disiplinden gelen üyelerle dolan bir komite hem kör noktalar üretir hem iş birimlerinden uzaklaşır; sonuçta üretilen kararlar sahada uygulanmaz.

Bir diğer klasik hata, komiteyi onay damgası mekanizmasına dönüştürmektir. Gündemin tamamı "şu şu projeleri onaylayalım" şeklinde geçtiğinde, gerçek müzakere ortamı yok olur ve komite bir formaliteye dönüşür. Komitenin gücü tam da burada gerçek soruları sormasında yatar; bu sorgulayıcı kültür baştan oturmazsa sonradan kazanmak çok zordur.

Toplantı tutanaklarını ihmal etmek, ileride çıkacak bir denetim ya da soruşturmada en pahalı eksiklerden biridir. Komitenin ne tartıştığı, hangi kararı hangi gerekçeyle aldığı yazıya dökülmüyorsa, kurumun düşünce süreci kanıtlanamaz hale gelir. Dış görüş üyesini sembolik tutmak bir başka tuzaktır; dışarıdan gelen üye gerçekten karara katılmıyor ve gündem hakkında zamanında bilgilendirilmiyorsa, sadece toplantıda hazır görünen bir isim olarak kalır.

Son olarak iş birimlerini sürece geç dahil etmek kurumsal sürtüşmenin başlıca nedenidir. Komite politika ürettiğinde iş birimleri "bizden habersiz mi alınmış?" hissini taşırsa, kararı uygulamada direnç oluşur. İş birimi üyelerini en başta masaya almak hem politika kalitesini hem uygulanabilirliğini artırır.

Sonuç

Yapay zeka projelerinin kurum içinde sahibi belirsiz biçimde dağılması, hem güvenlik hem hukuk hem operasyonel risk açısından zamanla büyüyen bir sorundur. AI yönetişim komitesi bu boşluğu kapatan, kararların sahibini netleştiren ve kurumun yapay zeka maruziyetini tek bir hafızada toplayan yapıdır. Doğru üyelerden oluşturulduğunda ve sembolik bir formaliteye dönüşmeden gerçek karar üreten bir yapı olarak konumlandırıldığında, kurumun olgunluk seviyesini somut biçimde yükseltir.

Üç aylık bir kurulum süreci, beş temel politika dokümanı ve düzenli ay sonu toplantı ritmi ile pek çok kurum bu yapıyı kendi içinde kurabilir. AltaySec olarak Türk kurumlarına bu süreçte mimari ve içerik desteği veriyoruz; bir sonraki yazımız komitenin sektöre özgü hareket etmesi gereken alanlardan birini, Finans Sektöründe AI Tehditleri'ni ele alacak.