Bir bankaya, bir sigorta şirketine ya da bir hastane grubuna yapay zeka projelerinin neden tıkandığını sorun; genellikle omuz silkerek aynı yanıtı alırsınız: "Hukuk onay vermedi." Uyum ekibi kötü adam ilan edilir — hayır diyen departman, umut vaat eden demonun kum havuzundan bir türlü çıkamamasının nedeni.
Bu çerçeve yalnızca haksız değil. Pahalı. Çalıştığımız en ağır regüle sektörlerde uyum fonksiyonu, yayına giden tek en hızlı yoldur. Onu bir ortak olarak gören şirketler yapay zekayı sahaya sürüyor. Bir engel olarak görenler bir yıl sonra hâlâ sunum cilalıyor.
Hukuk "güvenli mi?" diye sormuyor. "Ne yaptığını bana gösterebilir misin?" diye soruyor.
İçgüdü, bir uyum incelemesine güvence vererek yanıt vermektir: model doğru, test ettik, bize güvenin. Bu yanlış para birimidir. Bir baş hukuk müşaviri, bir denetçi ve bir düzenleyici güvenceyle çalışmaz. Kanıtla çalışır.
Neredeyse her uyum itirazının altında yatan soru "bu güvenli mi?" değildir. "Bu iş ters gittiğinde — ve en az bir kez gidecek — tam olarak ne olduğunu, hangi verinin kullanıldığını, kimin sorumlu olduğunu ve ne yaptığınızı bana gösterebilir misin?" sorusudur. Dürüst yanıt bir omuz silkmeyse, proje ölmeyi hak ediyordur. Yanıt temiz bir kayıtsa, itiraz buharlaşır.
AB Yapay Zeka Yasası gereksinim dokümanınızı çoktan yazdı
Çoğu ekip AB Yapay Zeka Yasası'nı bir tehdit olarak okur. Onu bir şartname olarak yeniden okuyun. Yapay zeka kullanımlarını risk katmanlarına ayırır ve yüksek olanlara somut yükümlülükler bağlar: risk yönetimi, veri yönetişimi, kayıt tutma ve loglama, insan gözetimi, şeffaflık ve piyasaya sürüm sonrası izleme.
Hukuki dili soyduğunuzda, bu, müşterilerinize gerçekten emanet edeceğiniz herhangi bir yapay zeka için — regüle olsun olmasın — dikkat çekici derecede iyi bir mühendislik kontrol listesidir. Bir kredi skorlama desteği ya da bir hasar önceliklendirme iş akışı yüksek risk katmanına düşer ve gerçek görevler devralır. Kurum içi bir toplantı özetleyici neredeyse hiç sayılmaz. Yasa size yavaşlamanızı söylemiyor. Zarar görmeden hızlı gitmek için hangi kontrolleri kurmanız gerektiğini söylüyor.
Denetim izi bir evrak değil. Ürünün kendisi.
Regüle yapay zekanın önünü açan kaymayı şudur: loglamayı en sonda denetçiler için eklediğiniz bir şey olarak görmeyi bırakın ve onu sistemin çekirdeği olarak görmeye başlayın.
Her çalıştırma eksiksiz bir kayıt üretmelidir — hangi konektörler çağrıldı, ne veri döndürdüler, hangi model hangi istemle çalıştı, her koruma kararı (modele ulaşmadan önce maskelenen kişisel veri dâhil), çıktıyı kim onayladı, ne zaman ve onaylamadan önce neyi değiştirdi. Bu kayıt bir ek yük değildir. Bir uyum sorumlusunun evet demesini, bir denetçinin aylar sonra herhangi bir kararı yeniden kurmasını sağlayan ve "bize güvenin"i "kendiniz bakın"a çeviren yapıttır.
Yönetişim bir kapı değil, bir yönlendirme problemidir
Hata, yönetişimi her çıktının çarptığı tek bir duvar gibi hayal etmektir. Gerçek yönetişim yönlendirmedir. Farklı çıktılar farklı risk taşır, dolayısıyla farklı yollar izlemelidir.
Geri dönen bir müşteriye 200 TL'lik bir teklif kendiliğinden tamamlanabilir. Yeni bir karşı tarafa 2 milyonluk bir limit, adı belli bir insana yönlenir. Müşteriye dönük her şey incelenir; kurum içi özetler incelenmez. Yüksek riskli kategoriler daha sıkı kontroller ve daha yavaş yollar alır; düşük riskli işler serbestçe akar. Düzenlemenin zaten tanımladığı risk katmanlarını doğrudan iş akışına kodlayın; insan gözetimi her şeyin üzerindeki bir darboğaz olmaktan çıkar ve tam olarak gereken yere uygulanan hassas bir araca dönüşür.
Uyumu yirminci haftada değil, birinci haftada dâhil edin
Tıkanan ekipler her şeyi kurar, demoyu yapar ve sonra onay için hukuka götürür. Beklenebileceği gibi hukuk, mimarinin karşılayamayacağı bir sorun bulur ve yeniden çalışma ivmeyi öldürür.
Bunu tersine çevirin. İlk hafta uyum ekibini karşınıza oturtun ve tek bir soru sorun: bunun bir müşteriye gitmesini onaylamak için neyi görmeniz gerekir? Yanıtları sizin mimariniz olur — log alanları, onay noktaları, veri işleme kuralları. Baştan buna göre kurun; nihai inceleme bir formaliteye dönüşür, çünkü kanıtı ilk günden içine yerleştirmişsinizdir.
Yönetişim kurumsal yapay zekayı hiçbir zaman yavaşlatan şey olmadı. Denetim izinin yokluğu yavaşlatıyordu. İzi kurun, riske göre yönlendirin; herkesin korktuğu departman ilk siz sahaya çıktığınız için teşekkür edeceğiniz departmana dönüşsün.
Kaynaklar
- Regulation (EU) 2024/1689 of the European Parliament and of the Council (Yapay Zeka Yasası), Avrupa Birliği Resmî Gazetesi, 2024.
Uyum ekibinizin gerçekten onaylayacağı bir denetim kaydının nasıl göründüğünü görmek ister misiniz? 30 dakikalık bir demo ayarlayın.
