top of page

KURGAN Sistemi ve Yapay Zeka Destekli Kamu Denetimi


KURGAN Sistemi ve Yapay Zeka Destekli Kamu Denetimi
KURGAN Sistemi ve Yapay Zeka Destekli Kamu Denetimi

Vergi Denetim Kurulu (VDK) tarafından 2025’te devreye alınan KURGAN (Kuruluş Gözetimli Analiz Sistemi), e-fatura, e-defter ve banka verilerini büyük ölçekli ilişkisel analiz ile tarayarak anomali tespiti yapar. KURGAN, cari ve geçmiş dönemdeki tüm alım-satım işlemlerini tarayıp “riskli” görünenleri anlık olarak belirler. Bu süreçte satış-alış kayıtları, sevkiyat bilgileri, banka ödemeleri, e-imza zamanlamaları gibi çok sayıda dijital veri değerlendirilir. VDK rehberine göre KURGAN, “sayısal ve elektronik veriler ile çalışan merkezi bir vergisel risk analiz sistemidir” ve mükelleflerin risk durumuna ilişkin duyurular (bilgi isteme yazıları) gönderir. Burada önemli vurgulardan biri, KURGAN’ın nihai karar verici değil, risk raporlayıcı olmasıdır. AA Haber Ajansı’nın bildirdiği gibi, sistemin “riskli” olarak işaretlediği işlemler satıcı ve alıcıları otomatik olarak “sahte belge düzenleyicisi” statüsüne sokmaz. KURGAN’ın tespitleri mükelleflere ön uyarı niteliğinde iletilir; böylece denetime alınacak işlem varlığı durumunda, mükellefler erken dönemde durumu inceleme imkânı bulur. Bu bakımdan KURGAN, “yapay zeka destekli anomali detektörü” olarak tasarlanmış, kurumun karar süreçlerini iyileştirmeyi ve gönüllü uyum kültürünü teşvik etmeyi amaçlayan bir araçtır.


KURGAN, kamu denetiminde yapay zeka tabanlı anomali tespiti ve gerçek zamanlı risk analizine bir örnektir. Sistem, büyük veri tabanları üzerinde makine öğrenmesi teknikleri kullanarak sahtecilik ve uyumsuzluk risklerini önceden saptar. Bu sayede VDK, tespit ettiği riskli işlemler için mükelleflere bilgi talep yazısı gönderir ve mükellef cevaplarını denetim planlarına girdi olarak kullanır. CIO’lar açısından burada güvenilirlik ön plandadır: AI sistemlerinin yanlış pozitif (hata) ihtimallerine karşı önlem, mutlaka insan denetçisi müdahalesiyle sağlanır. KURGAN verilerinden çıkan risk raporları sonrası yapılacak incelemelerde, tüm nihai değerlendirmeler insan denetçilere aittir. Nitekim yapılan vurgulardan biri de budur: KURGAN’ın bulguları sadece inceleme gereksinimi uyarısıdır ve herhangi bir mükellefe “sahte fatura düzenlemek” hükmü yüklemez.


Denetimde anomali tespit sistemi olarak KURGAN’ın mimari yaklaşımı, veri kaynaklarının çeşitliliği ve kalitesine dayanır. Gelişmiş yapay zeka modelleri büyük hacimli yapılandırılmış ve yapısal olmayan veri kullanır. Bu noktada verinin doğru, güncel ve bütünlüklü olması kritik önemdedir. Özellikle kamu verileriyle çalışan AI modellerinde veri kökeni (provenance) şeffaf olmalı; her bilgi parçasının kaynağı ve işlenme şekli izlenebilir olmalıdır. ISO 42001 de veri kalitesi ve soy izleme (data lineage) gerekliliğini vurgular. KURGAN özelinde, e-fatura, e-defter ve banka kayıtları gibi resmi kaynak veriler merkezi bir risk analiz sistemine beslenir; alınan muhasebe verilerine dayanarak oluşturulan risk puanları denetim stratejilerini doğrudan etkiler. Özetle güçlü bir veri altyapısı olmadan yapay zekâ tahminleri yanıltıcı olabilir; bu nedenle veri temizleme, boyut azaltma ve model eğitimi öncesi hazırlık adımları titizlikle uygulanır (örneğin INTOSAI büyük veri rehberinde vurgulandığı gibi).


ISO 42001 ve 27001: AI Yönetişimi ve Güvenlik Çerçeveleri


Kamu kurumlarında yapay zekanın güvenli ve sorumlu kullanımı için AI yönetim sistemleri kritik hale gelmiştir. ISO/IEC 42001:2023 standardı, yapay zeka yaşam döngüsü boyunca risk yönetimini, etik ilkeleri ve şeffaflığı kapsayan gereklilikler sunar. OECD’ye göre ISO 42001, AI etiği, şeffaflık ve sürekli öğrenme gibi zorlukları ele alır ve kurumlara “AI ile ilişkili riskleri yönetecek, inovasyon ile yönetişimi dengeleyecek yapılandırılmış bir çerçeve” sağlar. Örneğin Nemko Digital rehberine göre ISO 42001; model şeffaflığı, veri kalitesi denetimi, algoritmik şeffaflık ve önyargı tespiti gibi başlıkları içeren yapay zekâya özgü bir risk yönetimi uygular. ISO 42001’in özünde, yapay zeka algoritmalarının adaletli ve sorumlu şekilde geliştirildiğine ilişkin yönetişim süreçleri yatar; yinelemeli test, etki değerlendirmeleri ve sorumlu paydaş etkileşimi sağlanır.


ISO 27001 ise geleneksel bilişim güvenliği kontrollerini içererek bu yönetişimi tamamlar. Nemko Digital’e göre, ISO 27001’in Ek A kontrolleri arasında şebeke segmentasyonu, veri şifreleme, kimlik ve erişim yönetimi, olay müdahale planları gibi önlemler bulunur. ISO 42001’in “veri kalitesi ve izlenebilirlik” gereksinimleri, ISO 27001’in veriyi şifreleme ve erişim kayıtları ile koruma kontrolleri ile desteklenir. Örneğin, ISO 42001’in güvenli geliştirme ortamı şartı için ISO 27001’le “güvenli geliştirme ortamları ve ağ izolasyonu” uygulanır. Böylece KURGAN gibi yapay zeka sistemleri, modellerin bütünsel bir güvenlik ve yönetişim çerçevesinde çalışmasını sağlar. ISO 42001 ile ISO 27001’in bütünleşik bir yönetim sistemi olarak uygulanması, kamu kurumlarında hem etik AI yönetişimini hem de siber güvenliği garantileyerek kurumsal riski önemli ölçüde azaltır.


Model Yönetişimi, Açıklanabilirlik ve İnsan Denetimi


Yapay zeka modellerinin güvenilirliği için model yönetişimi (model governance) ilkeleri gereklidir. Bu, model versiyon yönetiminden, performans takibine ve lojistik regresyonlar gibi sınanabilir algoritmalara kadar tüm süreci kapsar. KURGAN örneğinde, kullanılan makine öğrenmesi algoritmalarının (genellikle denetimli öğrenme yöntemleri) çıktıları insan uzmanlarca düzenli olarak kontrol edilmeli, “kara kutu” kararlar resmileşmemelidir. Model açıklanabilirliği sağlanmalı ve kritik denetim kararlarında mutlaka insan incelemesi (%100 başarı vaat edilmeyen yapay zeka çıktıları) şart koşulmalıdır. KVKK’nın yapay zekâ ile ilgili tavsiyeleri de bu yaklaşımı destekler: “Karar alma süreçlerinde insan müdahalesinin rolünün belirlenmesi” gerektiği özellikle vurgulanmıştır. Kısaca, KURGAN’ın raporladığı riskler üzerine nihai karar (örneğin vergi incelemesi başlatılması) daima insan eliyle verilir.


Açıklanabilirlik bağlamında, kurum içi süreçlerin şeffaf belgelenmesi ve hesap verebilirlik mekanizmaları kritik role sahiptir. Kişisel verilerle işlem gören yapay zekâ projelerinde KVKK, önceden Mahremiyet Etki Değerlendirmesi (DPIA) yapılmasını ve mümkünse verilerin anonim hale getirilmesini önermektedir. Bu, KURGAN’ın kullandığı verilerin mevzuata uygunluğunu sağlarken model çıktılarına dayalı işlemlerin şeffaf olmasını da destekler. Ayrıca, EDPB (Avrupa Veri Koruma Kurulu) da GDPR kapsamında AI teknolojilerinin kişisel veriyi koruyacak şekilde tasarlanması gerektiğini hatırlatmıştır: AI inovasyonlarının “etik, güvenli ve GDPR’a tam saygı içinde” gerçekleşmesi hedeflenmelidir. Açık veri tanımları ve KURGAN’a özgü güvenlik belgeleriyle, gerektiğinde içerik sahibi sayılabilecek kullanıcılar bile sistemin nasıl çalıştığını inceleyebilmeli ve sonuçlara itiraz edebilmelidir. ISO 42001’e göre de model değişiklik yönetimi ve dokümantasyonu zorunludur, bu da denetimlerde hesap verebilirliği artırır.


Yasal Düzenlemeler: KVKK, GDPR, CMK ve HMK


Kamu denetiminde yapay zeka kullanımı, ulusal ve AB düzeyinde sıkı hukuki gözetim altındadır. Kişisel veri içeren her yapay zeka uygulaması, KVKK ve GDPR’ın temel ilkeleri (hukuka uygunluk, amaca uygunluk, veri minimizasyonu vb.) ile uyumlu olmalıdır. KVKK bağlamında, kişisel verilerin işlenme amacı ve hukuki dayanağı açık olmalı; KURGAN örneğinde vergi denetimi gibi kamu hizmeti görevi, KVKK’nın AİHS’de öngörülen istisna hükümleriyle meşru kılar. Ancak KVKK yine de etki değerlendirmesi, şeffaflık ve veri sahibinin bilgi haklarına dikkat edilmesini öngörür. GDPR cephesinde de benzer kurallar geçerlidir; örneğin EDPB, AI modelleri geliştirmek için kullanılan verilerin kişiyi tanımlamayı çok güçleştirecek şekilde anonimleştirilmesi gerektiğini belirtmiştir.


Türk usul hukukunda (CMK, HMK) yapay zeka temelli delil kullanımı henüz özel düzenlemesi olmayan yeni bir alandır. Ancak temel ilke olarak, bir AI sistemi yalnızca soruşturma/inceleme süreçlerine ön bilgi sağlar; suçlama veya yargı kararına esas olabilecek deliller, insan kontrollü tespitler ve yasal süreçler sonucu elde edilir. Ceza Muhakemesi Kanunu’nda (CMK) adil yargılanma hakkı, taraflara delillere itiraz hakkı tanır ve yapay zekanın hatalı raporları bu itiraz yoluyla giderilebilir. Benzer şekilde Hukuk Muhakemeleri Kanunu’nda (HMK) da usulüne uygun şekilde elde edilmeyen bilgi ile hüküm kurulamaz. Diğer yandan vergi kanunlarında (VUK) da vergi incelemesi öncesi mükelleflere bilgi isteme hakkı veren maddeler (VUK 160/A, 5) bulunur; KURGAN sonuçlarına dayanılarak gönderilen yazılar da bu yasal izin zemininde düzenlenir. Özetle, KURGAN’ın veri erişim yetkisi kanundan doğarken, denetim ve cezai süreçlerde nihai belirleyici insan denetçidir. Bu yaklaşım, hem KVKK/GDPR mahremiyet haklarına hem de CMK/HMK kapsamındaki hukuki savunma ve itiraz haklarına uygunluk sağlar.


Kurumsal Risk Yönetimi ve Sonuç


Yapay zeka sistemlerinin güvenilirliği ve kabulü, güçlü kurumsal yönetişim mekanizmaları ile sağlanabilir. OECD’nin de vurguladığı gibi, kamu kuruluşları yapay zekada şeffaflık ve hesap verebilirlik için politika ve denetim çerçeveleri oluşturmalıdır. ISO 42001 gibi standartlar, bu ihtiyacı karşılayacak risk yönetimi ve etki değerlendirme süreçleri getirir. Sertifikasyon ve iç denetimlerle yapay zeka projeleri periyodik olarak gözden geçirilerek olası hatalar erkenden yakalanır. Böylece CIO’ların en çok endişe ettiği “AI güvenilir mi, yanlış karar verir mi?” sorusu, öngörülebilir risk yönetimi ile büyük oranda yanıtlanmış olur. Nihayetinde KURGAN sistemi gibi yapay zeka destekli denetim araçları, doğru tasarlandığında kurumlara yeni bir güvence sunar: Sahtecilik gibi karmaşık olaylar erken tespit edilerek gelir kaybı önlenir ve gerçeklerin aydınlatılması kolaylaşır. Bu çerçevede ISO 42001 ile ISO 27001 uyumu ve Avrupa/yerel mevzuata tam uyum, yapay zeka uygulamalarına kurumsal güven ve yasal teminat sağlar. Sonuç olarak, KURGAN gibi sistemlerin “bağlayıcı değil uyarıcı” olduğu açıkça belirtilerek, yapay zeka odaklı denetimlerde insan-inisiyatifli süreçler korunmuş olur; bu da hem kurumsal riski azaltır hem de tüm paydaşlarda güven uyandırır.


Referanslar:


  • Genaro-Moya, T., et al. 2025. “Artificial Intelligence and Public Sector Auditing: Challenges and Opportunities for Supreme Audit Institutions.” World 6, no. 2: 78. https://doi.org/10.3390/world6020078.

  • Kişisel Verileri Koruma Kurumu (KVKK). 2021. Yapay Zeka Alanında Kişisel Verilerin Korunmasına İlişkin Tavsiyeler. 17 Eylül 2021.

  • Nemko Digital. 2025. “ISO 42001 AI Cybersecurity: Complete Implementation Guide.” Nemko, 7 Ağustos 2025.

  • OECD. 2025. Governing with Artificial Intelligence: The State of Play and Way Forward in Core Government Functions. Paris: OECD Publishing.

  • OECD.AI. 2024. “ISO/IEC 42001:2023 – Information Technology — Artificial Intelligence — Management System.” OECD.AI, 2 Temmuz 2024.

  • Resmi Gazete. 2016. Kişisel Verilerin Korunması Kanunu (6698). (25.03.2016).

  • Resmi Gazete. 2016. Regulation (EU) 2016/679 (GDPR). (27.04.2016).

  • Resmi Gazete. 2004. Ceza Muhakemesi Kanunu (5271). (08.12.2004).

  • Resmi Gazete. 2011. Hukuk Muhakemeleri Kanunu (6100). (04.10.2011).

  • T.C. Hazine ve Maliye Bakanlığı. 2025. Sahte Belgeyle Mücadele Stratejisi ve KURGAN (Kuruluş Gözetimli Analiz Sistemi) Rehberi. (1 Ekim 2025).

  • European Data Protection Board (EDPB). 2024. “Opinion 1/2024 on the Use of Personal Data for the Development and Deployment of AI Models.” (18 Aralık 2024).

  • White & Case LLP. 2024. “Long Awaited EU AI Act Becomes Law after Publication in the EU’s Official Journal.” 16 Temmuz 2024. (www.whitecase.com).

  • Yayla, H. ve K. Konukçu. 2021. Yapay Zeka Alanında Kişisel Verilerin Korunmasına İlişkin Tavsiyeler. Yayla & Konukçu Hukuk Bürosu, 17 Eylül 2021.

Yorumlar

bottom of page