← Bilgi Bankasına dön← Önceki soruSonraki soru →
İş Analistiİş Analisti

Üçüncü taraf **AI** destekli satıcı risk değerlendirme platformunun, eski **SharePoint** depolarından yapılandırılmamış sözleşme verilerini alması, satıcıya ait kişisel bilgilerin silinmesi hakkı için **GDPR** Madde 17'ye uyması ve satın alma ekibinin iç denetim standartlarını karşılamak için belirleyici karar mantığı talep etmesi gereken gereksinim doğrulama stratejisini nasıl formüle edersiniz? Satıcının **SaaS** çözümü yalnızca olasılıklı risk skorları sağlıyorsa ve fikri mülkiyet korunması nedeniyle model ağırlıklarını açıklamayı reddediyorsa?

Hintsage yapay zeka asistanı ile mülakatları geçin

Sorunun Cevabı

İş Analisti, veri alımını karar mantığından ayıran ve SharePoint içeriğini gelişmiş PII tespiti ve anonimleştirme ile birlikte, bir ara ETL boru hattı aracılığıyla ön işleme tabi tutan iki katmanlı bir mimari uygulayan karma bir doğrulama çerçevesi kurmalıdır.

Aynı zamanda, analist, olasılıklı çıktıları eşik tabanlı kategorilendirme yoluyla belirleyici iş kurallarına dönüştüren bir "açıklanabilirlik sarıcı" gereksinimini müzakere etmelidir. Bu, denetim izlerinin GDPR silme olaylarını belirli model eğitim veri seti sürümlerine bağlamasını sağlarken, satın alma ekibinin belirleyici denetim gereksinimlerini de bir kural tabanlı işlem sonlandırma katmanı aracılığıyla korur.

Hayattan bir Durum

Küresel bir üretim şirketi, yeni tedarik zinciri özen gerekliliklerine uymak için 12.000 tedarikçi arasındaki satıcı risk değerlendirmesini otomatikleştirmek zorundaydı. Mevcut süreçleri, yapılandırılmamış satıcı verilerini içeren eski bir SharePoint 2013 ortamında saklanan sözleşmelerin manuel incelemesine dayanıyordu. Satın alma direktörü, 95% doğruluk vaadiyle çalışan bir AI destekli SaaS platformunu seçti, ancak bu platform karar verme sürecinde siyah kutu sinir ağı olarak işlerken, yalnızca 0-100 arasındaki risk skorları sağlıyordu. İç denetim ekibi hemen itirazda bulundu, SOX gerekliliklerini vurguladı ve hukuki ekip GDPR uyumu risklerini öne sürdü, çünkü platform eğitim verilerini sonsuza kadar saklıyor ve belirli satıcı kayıtlarının silinmesini garanti etmiyordu.

Proje ekibi bu çatışmaları çözmek için üç ayrı mimari yaklaşım düşündü.

İlk çözüm, AI'yi tamamen devre dışı bırakıp, SharePoint belgelerini ayrıştırmak için Microsoft Power Automate kullanarak özel bir kural tabanlı sistem kurmayı önerdi. Bu yaklaşım, doğrudan veritabanı silinmesi yoluyla tam belirleyici kontrol ve basit GDPR uyumu sağlıyordu, ancak 18 aylık bir geliştirme süresi gerektiriyordu, yapılandırılmamış sözleşme maddelerini işleyebilmek için gereken NLP yeteneklerini yetersiz bulmuştu ve karmaşık risk kalıpları için gerekli olan %95 doğruluk oranını yakalayamıyordu. Ayrıca, projenin altı aylık düzenleyici uyum tarihini kaçıracaktı.

İkinci çözüm, SaaS satıcısının standart uygulamasını kabul etmeyi önerdi, burada yasal personel her satıcı kaydını silme talepleri için üç aylık periyotlarla inceleyecekti. Bu, zamanlamayı karşıladı ve AI'nin doğruluğundan faydalanmayı sağladı, ancak kabul edilemez hukuki maruziyetler getirdi. Manuel süreçler tarihsel olarak %30'unu yasal süre olan 30 gün içinde kaçırdığı için, küresel gelirinin %4'üne kadar ceza alma riski taşıyordu. Ayrıca, denetim ekibinin belirleyici mantık gereksinimleri için bir çözüm sağlamadı, böylece SOX sertifikasını engelledi.

Son olarak seçilen üçüncü çözüm, Microsoft Presidio kullanarak satıcı verilerini anonimleştirip PII tespiti ile Azure ara veri boru hattı kurmaktı. Bu, isimleri modelin yeniden eğitilmesine gerek kalmadan silinebilecek tuzlu hashlerle değiştirdi. Ekip, SaaS satıcısıyla özelliklerin önem derecelerini paylaşması için müzakere etti ve BA bu verileri belirleyici eşik kurallarına dönüştürdü—örneğin, ">3 dava bildirimi ve yıllık harcama >$5M olan satıcı = Yüksek Risk"—olasılıklı temelin üzerinde denetlenebilir bir kural katmanı yaratarak. Bu karma yaklaşım, anonimleştirme yoluyla GDPR gereksinimlerini karşıladı, açık iş kuralları aracılığıyla denetim gerekliliklerini sağladı ve AI'nin öngörücü gücünü korudu.

Uygulama, beş içinde başarılı bir şekilde tamamlandı, %94.5 risk tahmin doğruluğu sağlandı, 24 saat içinde %100 silme tamamlanması ile GDPR uyumluluk testini geçti ve tüm yüksek riskli tedarikçi sınıflandırmaları için belirleyici karar yollarını göstererek temiz denetim görüşleri aldı.

Adayların Sıklıkla Göz Ardı Ettiği Şeyler

Üçüncü taraf AI satıcısı, eğitim verileri saklama politikaları için veritabanı şemaları veya API belgelerini sağlamayı reddettiğinde veri kökenini teknik olarak nasıl uyguluyorsunuz?

Aday, sözleşmeli SLA eklerinin teknik doğrulama olmaksızın yetersiz olduğunu fark etmelidir. Doğru yaklaşım, Apache Kafka veya Azure Event Hubs kullanarak bir kesim katmanı üzerinden "veri sözleşmesi" deseninin uygulanmasını içermektedir; burada satıcıya gönderilen tüm veriler, işleme için yasal temel ve saklama sonlandırma tarihleri gibi değişmez meta verilerle etiketlenir.

BA, satıcının silme olaylarını doğrulayan webhook geri bildirimlerini uygulamasını talep etmelidir ve satıcının ML boru hattının, bireysel kayıtların kaldırılmasının model çıktıları üzerinde etki yaratmadığını matematiksel olarak garanti eden farklı gizlilik tekniklerini kullanmasını şart koşmalıdır. Önemli olarak, analist, gereksinimlerde, satıcının Merkle ağaçları veya benzeri doğrulanabilir veri yapıları aracılığıyla silme işleminin kriptografik kanıtını sağlamasını belirtmelidir, yalnızca e-posta onayları yeterli olmayacaktır. Bu, GDPR Madde 17 uyumunun teknik olarak doğrulanabilir olmasını sağlar, prosedürel olarak varsayılamaz.

Regüle edici satın alma süreçlerinde kabul edilebilir olasılıklı karar verme ile kabul edilemez siyah kutu opasitesini ayırt eden doğrulama kriterileri nelerdir?

Birçok aday, "açıklanabilirlik" ile "belirleyicilik" arasında bir fark olduğu konusunda kafa karışıklığı yaşamaktadır. Temel ayrım, karşıt-faktüel akıl yürütme yeteneklerindedir. Geçerli gereksinimler, AI platformunun her risk skoru için SHAP (SHapley Additive exPlanations) değerleri veya LIME (Local Interpretable Model-agnostic Explanations) sağlamasını zorunlu kılmalıdır, bu da denetçilerin şu soruyu yanıtlamasına olanak tanır: "Bu satıcı, dava geçmişi farklı olsaydı hala yüksek riskli olur muydu?"

BA, açıklanabilirliğin eyleme geçirilebilir olması gerektiğini belirtmelidir—puanı etkileyen belirli sözleşme maddelerinin gösterilmesi gerekir, yalnızca özellik önem listeleri değil. Ayrıca, gereksinimler, aynı girdi ile aynı çıktı kategorisini (Yüksek/Orta/Düşük) %95 güven aralığında üretecek şekilde "algoritmik istikrar" kısıtlamalarını da zorunlu kılmalıdır, bu da denetim tutarsızlıklarını önlerken olasılıklı nüansı mümkün kılmalıdır.

AI satıcısının hizmeti kritik bir tedarikçi onboarding penceresi sırasında kullanılabilir hale gelmediğinde geri dönüş gereksinimlerini nasıl yapılandırırsınız?

Adaylar genellikle AI entegrasyon gereksinimlerinde operasyonel dayanıklılığı göz ardı eder. BA, API gecikmesi 500ms'yi aştığında veya kullanılabilirlik %99.9'un altına düştüğünde devreye girecek bir "nazik düşüş" protokolü istemelidir. Bu, en son bilinen risk modelinin yerel olarak önbelleklenmiş, yalnızca okunabilir bir sürümünü saklamayı ve yeni satıcılar için belirleyici kural mantığını (örneğin, "eğer sözleşme değeri >$1M ve AI kullanılamıyorsa manuel incelemeye otomatik olarak geç") kapsamaktadır.

Gereksinimler, yüksek riskli kararları insan analistlere otomatik olarak yönlendiren bir "devre kesici" modelini içermelidir. Ancak normal riskli, rutin yenilemeler, geçmiş verilere dayanarak devam etmelidir. Kritik bir eksiklik, satıcıdan her gün modelin PMML (Predictive Model Markup Language) veya ONNX formatında ihracını sağlamasını talep etmeyi unutmaktır; bu, belirleyici kural katmanının bağımsız çalışabilmesini sağlayacaktır, hatta satıcı tamamen devre dışı kaldığında bile.