Metodoloji Neden Önemli?
AI governance tartışmalarında iki yaygın yanılgı var. Birincisi: governance bir kontrol listesidir; doldur, imzala, rafına koy. İkincisi: governance büyük şirketlerin meselesidir; kaynak, bütçe, uzman ekip gerektiren bir lüks.
Her ikisi de yanlış. Ve her ikisi de ciddi sonuçlar doğuruyor.
Gerçekte AI governance; AI sistemlerinin tüm yaşam döngüsü (lifecycle) boyunca, tasarımdan dağıtıma (deployment), izlemeden (monitoring) olay yönetimine (incident management) kadar sürekli uygulanan bir pratiktir. Bu pratiğin işe yaraması için bir metodoloji gerekir. Metodoloji olmadan governance, iyi niyet beyanına dönüşür.
“Uyum bir kontrol listesi değil, bir pratik yönelimdir.”
AIGP BoK Ne Söylüyor?
IAPP'ın Certified AI Governance Professional (AIGP) sertifikası, AI governance alanındaki en kapsamlı uluslararası yetkinlik çerçevelerinden birini sunuyor. Version 2.1.0 Bilgi Çerçevesi (Body of Knowledge, BoK, Şubat 2026), dört temel domain üzerine kurulu:
- Domain I: AI Governance'ın Temelleri
- Domain II: Yasalar, Standartlar ve Çerçeveler
- Domain III: AI Geliştirmeyi Yönetmek
- Domain IV: AI Dağıtımı (Deployment) ve Kullanımı Yönetmek
BoK'un temel mesajı şu: AI governance tek boyutlu değil. Teknik, hukuki, etik ve operasyonel boyutları aynı anda kapsamak zorunda. Hiçbir tek fonksiyon bunu tek başına yönetemez. Her aşamada, tasarımdan dağıtıma (deployment), izlemeden (monitoring) olay yönetimine (incident management) kadar aktif olmalı.
ORIENT ve BoK: Yapısal Örtüşme
ORIENT, altı aşamalı bir AI governance metodolojisidir. Her aşama, AIGP BoK'taki belirli yetkinliklerle (competency) doğrudan örtüşüyor.
| ORIENT Aşaması | AIGP BoK Karşılığı | EU AI Act / KVKK |
|---|---|---|
| Observe | Kullanım Amacı Değerlendirmesi · Paydaş Haritası | Madde 6 · KVKK Madde 4 |
| Risk | Risk ve Zarar Türleri · Risk Yönetimi | Madde 9 · KVKK Madde 12 |
| Identify | Tasarımda Etik · Veri Edinimi | Madde 10 · KVKK Madde 5 |
| Evaluate | Eğitim ve Test · Belgeleme | Annex IV · KVKK Madde 12 |
| Navigate | Çok Fonksiyonlu İşbirliği · Dağıtım | Madde 26 · KVKK Madde 12 |
| Track | İzleme · Olay Yönetimi | Madde 72 · KVKK Madde 12 |
Bu tablo tesadüf değil. Her iki çerçeve de aynı temel soruyu cevaplıyor: Bir organizasyon AI sistemlerini sorumlu biçimde nasıl yönetir? Cevap; yaşam döngüsü (lifecycle) boyunca, çok boyutlu, belgelenmiş bir pratikle.
Türk Şirketleri İçin Ne Anlama Geliyor?
Türkiye'deki şirketler için AI governance çift boyutlu bir zorunluluk: EU AI Act ve KVKK. Bu iki çerçeve farklı perspektiflerden aynı temel gerekliliklere ulaşıyor.
EU AI Act risk bazlı bir yaklaşım benimsiyor: hangi AI sistemi, hangi amaçla kullanılıyor? KVKK ise veri işleme odaklı: hangi kişisel veri, hangi yasal dayanakla işleniyor? Her Türk şirketi bu iki soruyu aynı anda cevaplamak zorunda.
“Tek bir metodoloji, iki düzenleyici çerçevenin gerekliliklerini aynı anda karşılıyor.”
Sürekli İzleme: En Göz Ardı Edilen Boyut
Türk şirketlerinin büyük çoğunluğu AI sistemlerini kendisi geliştirmiyor; yabancı tedarikçilerden (vendor) satın alıyor veya API ile kullanıyor. Microsoft Azure AI, Google Cloud AI, OpenAI API... Bu şirketler hem EU AI Act kapsamında dağıtıcı (deployer) hem KVKK kapsamında veri sorumlusu konumunda.
Kritik yanılgı şu: tedarikçi uyumlu olduğu için şirket de uyumlu sayılır. Bu doğru değil. Tedarikçi modeli güncellediğinde başlangıçtaki ön değerlendirme (due diligence) geçersiz hale gelebiliyor.
ORIENT'in Track aşaması tam bu boşluğu dolduruyor: dağıtım (deployment) sonrası sürekli izleme (monitoring), periyodik tedarikçi değerlendirmesi, performans bozulması tespiti. Bu kapsamlı bir yazılım sistemi gerektirmiyor; metodoloji ve düzenli değerlendirme pratiği yeterli.
Metodoloji Güveni, Araç Değil
AI governance araçları önemli. Ama araçlar metodolojinin önüne geçtiğinde governance görünür olmaktan çıkar; form doldurmaya dönüşür.
ORIENT'in AIGP BoK ile örtüşmesi bize şunu gösteriyor: sağlam bir AI governance metodolojisi uluslararası standartlarla tutarlı olmak zorunda. Hexis bu tutarlılığı bilinçli olarak tasarladı; AIGP BoK v2.1.0 bu tasarımı doğruluyor.
Türk şirketleri için mesaj net: AI governance'a başlamak için dev bir bütçe veya uzman bir ekip şart değil. Doğru metodoloji, doğru önceliklendirme ve süreklilik yeterli.