Yapay zekâ ile kamu hizmetlerinde denetim: Uyum, şeffaflık ve risk yönetimi için yeni yaklaşım

Yapay zekâ tabanlı kamu uygulamalarında denetim neden bu kadar kritik?

Son yıllarda yapay zekâ sistemleri kamu hizmetlerine daha hızlı sızarken, “hesap verme” meselesi de ister istemez aynı hızda büyüyor. Türkiye’de de farklı ülkelerde de kurumlar; başvuru değerlendirmesinden çağrı merkezi yönlendirmesine, planlama ve kaynak tahsisinden karar destek süreçlerine kadar pek çok alanda otomasyon ve karar destek sistemlerini devreye alıyor. Bu noktada vatandaşın yaşadığı deneyim doğrudan etkileniyor; fakat işin asıl hassas tarafı şu: veri güvenliği, ayrımcılık riski, modelin beklenmedik hataları ve denetim izinin nasıl tutulacağı… Bunlar “sonradan bakılır” türünden başlıklar değil, tasarımın tam ortasına yerleşmesi gereken meseleler.

Uzman raporlarında sıkça tekrarlanan vurgu da bunu açık ediyor: Denetim, yalnızca en son aşamada yapılan bir “kontrol” gibi düşünülmemeli. Daha doğru yaklaşım, denetimi sürecin bir parçası olarak kurgulamak. Yani tasarlarken düşünmek, üretime geçerken ölçmek, kullanımdayken izlemek, gerektiğinde geri çağırmak.

Yaşam döngüsü boyunca “uyum denetimi” mantığı

Bu alanda öne çıkan yaklaşım, yapay zekâ tabanlı karar destek sistemlerinde “uyum denetimi”nin yaşam döngüsü boyunca işletilmesi. Sistem geliştirme aşamasından üretime geçişe; kullanım sırasında sürekli izleme ve gerektiğinde geri çağırma süreçlerine kadar uzanan bir hatta ölçülebilir kontrollerin kurulması amaçlanıyor.

Kurumların burada kaçınmaması gereken şey, denetimi belirsiz bir niyete sıkıştırmak. Bunun yerine; hangi verilerin kullanıldığı, modellerin nasıl eğitildiği, hangi performans metriklerinin referans alındığı ve hatalı çıktılar geldiğinde hangi önlemlerin devreye gireceği net biçimde dokümante ediliyor. Böylece denetim ekipleri, teknik ekipler ve gerektiğinde dış paydaşlar aynı zeminde konuşabiliyor; “ben öyle anladım” gibi gri alanlar daralıyor.

Veri kalitesi: Denetimin ilk halkası, ama en sarsıcı olanı

Denetimin merkezinde veri kalitesi ve veri yönetişimi duruyor. Kamu uygulamalarında kullanılan veriler; bölge farkı, yaş grupları, sosyoekonomik koşullar ve başvuru kanalları gibi değişkenlere göre bambaşka örüntüler gösterebiliyor. İşin aslı şu ki, veri kalitesi bozulduğunda modelin “yanlış” demesi çoğu zaman bir anda olmuyor; yavaş yavaş, fark edilmeden birikiyor.

Bu yüzden kurumlar veri setlerinde dengesizlik (örneğin belirli grupların temsil oranlarının kayması) olup olmadığını inceliyor. Veri temizleme süreçlerinin yeni bir hata üretip üretmediği de ayrı bir başlık. Ayrıca veri toplama yöntemlerinin yasal ve etik çerçevelere uygunluğu denetim planlarına dahil ediliyor.

Buna ek olarak veri soyutlama ve erişim kontrolü gibi teknikler kişisel verilerin riskini azaltmak için devreye alınıyor. Hedef sadece performansı “yükseltmek” değil; verinin güvenli, izlenebilir ve gerektiğinde geriye dönük olarak açıklanabilir şekilde işlendiğini kanıtlayabilmek.

Model performansı: Doğruluk tek başına yetmiyor

Bir diğer kritik mesele model performansı ve genelleme yeteneği. Eğitim verisinde gayet iyi görünen modeller, sahada farklı koşullarla karşılaştığında sapabiliyor. Kamu kurumları bu yüzden sadece “tek seferlik test” mantığıyla ilerlemiyor. Farklı senaryolarda test edilmesi, stres testleriyle uç durumların ölçülmesi ve zaman içinde veri akışındaki değişimlerin (veri kayması) performansa etkisinin izlenmesi gerekiyor.

Ölçüm metrikleri de tek bir düğmeye sıkışmıyor. Sadece doğrulukla yetinmek yerine; sınıf dengesizliği olan durumlarda hassasiyet, duyarlılık ve özgüllük gibi metrikler inceleniyor. Hatta hata maliyeti meselesi ayrıca ele alınıyor: Her hata aynı ağırlıkta değil; kararın türüne göre “yanlışın bedeli” değişiyor. Bu yaklaşım denetimi sadece sayısal performansın ötesine taşıyor; kararın etkisini de kapsıyor.

Ayrımcılık riski: Proxy’ler yüzünden denetim daha da zorlaşıyor

Adil kullanım ve ayrımcılık riski denetimin en hassas başlıklarından biri. Kamu hizmetlerinde kararlar; başvuru kabul/red, önceliklendirme, yönlendirme ve kaynak tahsisi gibi somut sonuçlar doğuruyor. Dolayısıyla modelin belirli gruplar üzerinde sistematik biçimde daha dezavantajlı sonuçlar üretip üretmediği inceleniyor.

Bu inceleme çoğu zaman cinsiyet, yaş, coğrafi bölge, engellilik durumu gibi hassas değişkenler üzerinden yürütülüyor. Fakat mesele bununla bitmiyor. Kurumlar, doğrudan yasaklı değişkenleri kullanmadan da “proxy” etkileriyle ayrımcılık oluşabileceğini dikkate alıyor. Yani model, farkında olmadan başka sinyaller üzerinden aynı sonuca varabiliyor.

Bu yüzden denetim, çıktı dağımlarını grup bazında analiz etmeyi içeriyor. Gerekirse düzeltici önlemler devreye alınıyor: yeniden ağırlıklandırma, eşitlenmiş eşikleme, eğitim verisinin iyileştirilmesi gibi adımlar. Burada amaç “mükemmel adalet” söylemi değil; en azından riskin nerede büyüdüğünü görmek ve kontrol altına almak.

Şeffaflık ve açıklanabilirlik: “Doğru çıktı” anlatmak yetmez

Şeffaflık ve açıklanabilirlik, kamu denetiminin hem teknik hem idari tarafını birbirine bağlayan köprü gibi çalışıyor. Bir yapay zekâ sisteminin kararını sadece “doğru/yanlış” diye etiketlemek kamu uygulamalarında çoğu zaman yetersiz kalıyor. Vatandaşın süreç içinde neyle karşılaştığını, hangi gerekçelerle yönlendirildiğini anlayabilmesi gerekiyor.

Bu nedenle kurumlar; hangi özelliklerin kararı etkilediğini gösteren yerel açıklama yöntemleri, kararın hangi kurallar veya olasılıklar üzerinden şekillendiğine dair özet raporlar ve başvuru sürecinde vatandaşın görebileceği bilgilendirme metinleri hazırlıyor. Denetim ekipleri de açıklama çıktılarının tutarlılığını değerlendiriyor; “güven hissi veren ama yanıltan” açıklamalara kapı aralamamak şart.

Güvenlik ve kötüye kullanım: Sadece model değil, giriş de denetlenir

Denetim gündeminde güvenlik ve kötüye kullanım senaryoları da yer alıyor. Kamuya açık kanallardan gelen girdilerde hata üretme, manipülasyon veya yanıltma girişimleri görülebiliyor. Örneğin metin tabanlı sistemlerde prompt manipülasyonu; görüntü tabanlı sistemlerde sahte veri üretimi; kimlik doğrulama süreçlerinde kimlik taklidi gibi riskler gündeme geliyor.

Bu yüzden denetim; dayanıklılık testleri, anomali tespiti, hız sınırlama ve olay kayıtlarının tutulması gibi önlemleri kapsıyor. Ayrıca model güncellemeleri ve veri güncellemeleri sonrası geriye dönük doğrulama (regresyon testleri) yapılıyor. Böylece “düzeltme yaptık ama başka bir yerde patlattık” gibi sürprizlerin önüne geçilmeye çalışılıyor.

Denetim izi (audit trail): Operasyonun hafızası

Denetim izinin tasarımı, operasyonel sürdürülebilirlik açısından belirleyici. Kamu kurumları; model sürümünü, eğitim tarihini, kullanılan veri seti sürümünü, karar için üretilen skorları, karar eşiğini ve sonrasında yapılan insan onay adımlarını kayıt altına alıyor.

Bu kayıtlar, gerektiğinde itiraz süreçleri, iç denetim incelemeleri ve dış denetim talepleri için temel referans oluyor. Böylece kararın hangi koşullarda üretildiği geriye dönük olarak izlenebiliyor. Denetim izinin bütünlüğünü korumak için değiştirilemez kayıt saklama yöntemleri ve erişim logları gibi teknikler de devreye alınıyor. Çünkü iz yoksa, denetim de eksik kalıyor.

Human-in-the-loop: Özellikle yüksek riskte “otomasyon körlüğü” önlenir

İnsan denetimi (human-in-the-loop) uygulamaları, özellikle yüksek riskli karar alanlarında kritik görülüyor. Otomasyonun tamamen devreye girdiği senaryolarda hatanın etkisi büyüyebiliyor; bu da denetimi sadece modelin performansına indirgemeyi riskli hale getiriyor.

Bu nedenle kurumlar, belirli eşiklerin üzerinde otomatik karar üretirken belirli eşiklerin yakınında ya da düşük güven skorlarında insan incelemesi yapılmasını planlıyor. İnsan incelemesi yalnızca onay mekanizması değil; modelin yanlış eğilimlerini yakalayan bir geri besleme kanalı olarak kurgulanıyor.

İtirazlardan gelen geri bildirimler model eğitimine veri olarak geri döndürülebiliyor; ancak burada asıl mesele şu: bu geri dönüş denetlenebilir, izlenebilir ve kontrollü biçimde yapılıyor mu? Kayıt altına alma ve süreç tasarımı bu noktada belirleyici.

Kurumsal yönetim: Kim karar verir, kim hesap verir?

Denetim çerçevesinin kurumsal yönetim boyutu da en az teknik kadar önemli. Kurumlar, hangi birimin risk değerlendirmesini yapacağını, hangi birimin teknik onayı vereceğini ve hangi birimin operasyonel sorumluluğu üstleneceğini açıkça belirliyor. Bu belirsizlikler giderilmezse denetim de “kağıt üzerinde” kalıyor.

Ayrıca etik kurul benzeri mekanizmalar, vatandaş haklarını etkileyen uygulamalarda değerlendirme süreçlerini daha standart hale getiriyor. Eğitim ve farkındalık programları da denetimin gerçek parçası oluyor; teknik olmayan personelin karar akışını anlaması, denetim sırasında doğru soruların sorulmasını kolaylaştırıyor.

Sahadaki hedef: Daha öngörülebilir, daha güvenli bir vatandaş deneyimi

Bu yaklaşımın sahadaki yansıması, kamu hizmetlerinde daha öngörülebilir bir deneyim hedefiyle şekilleniyor. Vatandaş başvurularında karar süreçlerinin tutarlı olması, itiraz mekanizmalarının gerçekten çalışması ve sistem performansının zaman içinde izlenmesi; güveni besleyen unsurlar olarak görülüyor.

Kurumlar model performansını yalnızca başlangıçta test etmekle kalmıyor. Düzenli aralıklarla yeniden doğrulama yapılıyor. Yeni mevzuat değişiklikleri veya veri kaynaklarındaki güncellemeler gündeme geldiğinde denetim tekrar devreye alınarak sistemin “eski doğrularla” yetinmemesi sağlanıyor.

Tek bir çerçeve: Denetim, veriyle başlar; insanla tamamlanır

İşin özü şu: yapay zekâ tabanlı kamu denetimi; veri yönetişimi, model performansı, adil kullanım, açıklanabilirlik, güvenlik, denetim izi ve insan gözetimini birlikte ele alan bütüncül bir yaklaşım gerektiriyor. Bu yaklaşım sadece teknik bir kontrol listesi değil; kurumların karar alma süreçlerini şeffaf, ölçülebilir ve hesap verebilir hale getirme hedefi taşıyan bir yönetim modeli olarak konumlanıyor.

Kamu kurumları denetimi sistemi tasarlarken kurduğu ölçüde, hem vatandaş haklarını daha iyi koruyor hem de hizmet kalitesini sürdürülebilir biçimde iyileştirebiliyor. Yani denetim, “sonradan eklenen bir fren” değil; baştan doğru yola koyan bir direksiyon gibi çalışıyor.