Grafik Sinir Ağlarıyla Güçlendirilmiş Uyarlanabilir Kanıt Atama Motoru

Anahtar Kelimeler: güvenlik anket otomasyonu, grafik sinir ağı, kanıt atama, yapay zekâ‑destekli uyumluluk, gerçek‑zamanlı kanıt haritalama, tedarik riski, üretken yapay zekâ

Bugünün hızlı tempolu SaaS ortamında, güvenlik ve uyumluluk ekipleri anketler, denetim istekleri ve satıcı risk değerlendirmeleriyle boğuşuyor. Manuel kanıt toplama, anlaşma süreçlerini yavaşlatmakla kalmıyor, aynı zamanda insan hatası ve denetim boşlukları da oluşturuyor. Procurize AI, akıllı modüllerle bu sorunu çözüyor; bu modüller arasında Uyarlanabilir Kanıt Atama Motoru (AEAE), Grafik Sinir Ağları (GNN) kullanarak her anket yanıtına en uygun kanıtı gerçek zamanlı otomatik şekilde bağlayan oyun değiştirici bir bileşen olarak öne çıkıyor.

Bu makale, AEAE’nin temel kavramlarını, mimari tasarımını, uygulama adımlarını ve ölçülebilir faydalarını açıklıyor. Okuduktan sonra, bu motoru uyumluluk platformunuza nasıl entegre edeceğinizi, mevcut iş akışlarıyla nasıl bütünleştirileceğini ve ölçeklenebilir güvenlik anket otomasyonu için neden vazgeçilmez olduğunu anlayacaksınız.

1. Kanıt Atamanın Önemi

Güvenlik anketleri genellikle çok sayıda sorudan oluşur ve birden fazla çerçeve (ör. SOC 2, ISO 27001, GDPR, NIST 800‑53) kapsar. Her yanıtın kanıt ile desteklenmesi gerekir – politika belgeleri, denetim raporları, yapılandırma ekran görüntüleri veya loglar. Geleneksel iş akışı şu şekildedir:

Soru bir uyumluluk sorumlusuna atanır.
Sorumlu, iç depoda ilgili kanıtı arar.
Kanıt manuel olarak eklenir, genellikle birden fazla iterasyondan sonra.
İnceleyen kişi haritalamayı doğrular, yorum ekler ve onaylar.

Her adımda süreç şu risklere açıktır:

Zaman kaybı – binlerce dosya içinde arama yapmak.
Tutarsız haritalama – aynı kanıt farklı sorulara farklı alaka düzeyleriyle bağlanabilir.
Denetim riski – eksik ya da güncel olmayan kanıt, uyumluluk bulgularına yol açabilir.

Yapay zekâ‑destekli bir atama motoru, en uygun kanıtları otomatik olarak seçip sıralayarak ve inceleme geri bildirimlerinden öğrenerek bu sıkıntıları ortadan kaldırır.

2. Grafik Sinir Ağları – Ideal Çözüm

Bir GNN, ilişkisel veriden öğrenmede ustadır. Güvenlik anketleri bağlamında veriler bir bilgi grafiği şeklinde modellenebilir:

Düğüm Tipi	Örnek
Soru	“Verileri dinlenme halinde şifreliyor musunuz?”
Kanıt	“AWS KMS politikası PDF”, “S3 bucket şifreleme kaydı”
Kontrol	“Şifreleme‑Anahtar‑Yönetimi Prosedürü”
Çerçeve	“SOC 2 – CC6.1”

Kenarlar “gerektirir”, “kapsar”, “türetilir”, “doğrulanır” gibi ilişkileri yakalar. Bu grafik, uyumluluk ekiplerinin zaten düşündüğü çok boyutlu haritalamaları doğal olarak yansıttığı için GNN, gizli bağlantıları ortaya çıkarmak için mükemmel bir motor olur.

2.1 GNN İş Akışı Genel Görünümü

  graph TD
    Q["Soru Düğümü"] -->|gerektirir| C["Kontrol Düğümü"]
    C -->|destekler| E["Kanıt Düğümü"]
    E -->|doğrular| R["İnceleyen Düğümü"]
    R -->|geri bildirim→| G["GNN Modeli"]
    G -->|günceller| E
    G -->|sağlar| A["Atama Skorları"]

Q → C – Soru bir veya daha fazla kontrol ile ilişkilendirilir.
C → E – Kontroller, depodaki kanıt nesneleriyle desteklenir.
R → G – İnceleyenlerin kabul/ret geri bildirimi, GNN’ye sürekli öğrenme için beslenir.
G → A – Model, her kanıt‑soru çifti için bir güven skorunu üretir; UI bu skoru otomatik ekleme için gösterir.

3. Uyarlanabilir Kanıt Atama Motorunun Detaylı Mimarisi

Aşağıda, Procurize AI ile bütünleştirilmiş üretim‑seviyesinde bir AEAE’ye ait bileşen‑seviyesinde bir görünüm bulunmaktadır.

  graph LR
    subgraph Frontend
        UI[Kullanıcı Arayüzü]
        Chat[Konuşma AI Koçu]
    end

    subgraph Backend
        API[REST / gRPC API]
        Scheduler[Görev Zamanlayıcı]
        GNN[Grafik Sinir Ağı Servisi]
        KG[Bilgi Grafiği Deposu (Neo4j/JanusGraph)]
        Repo[Belge Deposu (S3, Azure Blob)]
        Logs[Denetim Günlüğü Servisi]
    end

    UI --> API
    Chat --> API
    API --> Scheduler
    Scheduler --> GNN
    GNN --> KG
    KG --> Repo
    GNN --> Logs
    Scheduler --> Logs

3.1 Temel Modüller

Modül	Sorumluluk
Bilgi Grafiği Deposu	Soru, kontrol, kanıt, çerçeve ve inceleyen düğümlerinin düğüm/kenarlarını kalıcı olarak saklar.
GNN Servisi	Grafikte çıkarım yapar, atama skorları üretir ve geri bildirim üzerine kenar ağırlıklarını günceller.
Görev Zamanlayıcı	Yeni anket alındığında veya kanıt değiştiğinde atama işleri tetikler.
Belge Deposu	Ham kanıt dosyalarını tutar; meta verileri hızlı arama için grafikte indeksler.
Denetim Günlüğü Servisi	Otomatik eklemeler ve inceleme işlemlerini tam izlenebilirlik için kaydeder.
Konuşma AI Koçu	Kullanıcıları yanıt sürecinde yönlendirir, talep üzerine önerilen kanıtları gösterir.

3.2 Veri Akışı

Alım – Yeni anket JSON’u ayrıştırılır; her soru bilgi grafiğinde bir düğüm oluşturur.
Zenginleştirme – Önceden tanımlı şablonlarla mevcut kontroller ve çerçeve eşlemeleri otomatik eklenir.
Çıkarım – Zamanlayıcı GNN Servisini çağırır; model her soru düğümüyle her kanıt düğümü arasındaki skoru hesaplar.
Eklem – En iyi‑N kanıt (konfigüre edilebilir) otomatik olarak soruya eklenir. UI bir güven rozeti (ör. %92) gösterir.
İnsan İncelemesi – İnceleyen kabul, reddet veya yeniden sıralama yapar; bu geri bildirim grafik üzerindeki kenar ağırlıklarını günceller.
Sürekli Öğrenme – GNN, birikmiş geri bildirim veri kümesiyle gecelik yeniden eğitilir ve gelecekteki tahminleri iyileştirir.

4. GNN Modelinin Oluşturulması – Adım Adım

4.1 Veri Hazırlığı

Kaynak	Çıkarma Yöntemi
Anket JSON	JSON ayrıştırıcı → Soru düğümleri
Politika Belgeleri (PDF/Markdown)	OCR + NLP → Kanıt düğümleri
Kontrol Kataloğu	CSV içe aktarım → Kontrol düğümleri
İnceleme Eylemleri	Olay akışı (Kafka) → Kenar ağırlığı güncellemeleri

Tüm varlıklar özellik vektörleriyle normlaştırılır:

Soru özellikleri – metnin gömme temsili (BERT‑temelli), önem seviyesi, çerçeve etiketi.
Kanıt özellikleri – belge türü, oluşturulma tarihi, ilgili anahtar kelimeler, içerik gömme temsili.
Kontrol özellikleri – uyumluluk gereksinimi kimliği, olgunluk seviyesi.

4.2 Grafik Oluşturma

import torch
import torch_geometric as tg

# Örnek sahte‑kod
question_nodes = tg.data.Data(x=question_features, edge_index=[])
control_nodes  = tg.data.Data(x=control_features, edge_index=[])
evidence_nodes = tg.data.Data(x=evidence_features, edge_index=[])

# Soruları kontrollerle bağla
edge_qc = tg.utils.links.edge_index_from_adj(adj_qc)

# Kontrolleri kanıtlara bağla
edge_ce = tg.utils.links.edge_index_from_adj(adj_ce)

# Hepsini tek bir heterojen grafikte birleştir
data = tg.data.HeteroData()
data['question'].x = question_features
data['control'].x = control_features
data['evidence'].x = evidence_features
data['question', 'requires', 'control'].edge_index = edge_qc
data['control', 'supported_by', 'evidence'].edge_index = edge_ce

4.3 Model Mimarisi

Bir İlişkisel Grafik Konvolüsyonel Ağ (RGCN), heterojen grafikleri işlemek için idealdir.

class EvidenceAttributionRGCN(torch.nn.Module):
    def __init__(self, hidden_dim, num_relations):
        super().__init__()
        self.rgcn1 = tg.nn.RGCN(in_channels=feature_dim,
                               out_channels=hidden_dim,
                               num_relations=num_relations)
        self.rgcn2 = tg.nn.RGCN(in_channels=hidden_dim,
                               out_channels=hidden_dim,
                               num_relations=num_relations)
        self.classifier = torch.nn.Linear(hidden_dim, 1)  # güven skoru

    def forward(self, x_dict, edge_index_dict):
        x = self.rgcn1(x_dict, edge_index_dict)
        x = torch.relu(x)
        x = self.rgcn2(x, edge_index_dict)
        scores = self.classifier(x['question'])  # daha sonra kanıt uzayına eşlenir
        return torch.sigmoid(scores)

Eğitim hedefi: binary cross‑entropy, tahmin edilen skorlar ile inceleyenlerin onayladığı bağlantılar arasındaki fark.

4.4 Dağıtım Hususları

Açıklama	Öneri
Çıkarım gecikmesi	Son grafiğin anlık anlık önbelleklemesi; sub‑ms çıkarım için ONNX ihracı.
Model yeniden eğitimi	GPU‑destekli gecelik batch işleri; versiyonlanmış kontrol noktaları saklanır.
Ölçeklenebilirlik	Bilgi grafiği çerçeve bazında yatay bölümlendirme; her dilim ayrı bir GNN örneği çalıştırır.
Güvenlik	Model ağırlıkları dinleme sırasında şifrelenir; çıkarım servisi zero‑trust VPC içinde çalışır.

5. AEAE’nin Procurize İş Akışına Entegrasyonu

5.1 Kullanıcı Deneyimi Akışı

Anket Alımı – Güvenlik ekibi yeni bir anket dosyasını yükler.
Otomatik Haritalama – AEAE, her yanıt için kanıt önerilerini anında gösterir; önerinin yanında bir güven rozeti bulunur.
Tek‑Tık Eklem – Kullanıcı rozet üzerine tıklayarak öneriyi kabul eder; dosya bağlanır ve sistem işlem kaydını tutar.
Geri Bildirim Döngüsü – Öneri hatalıysa, inceleyen farklı bir belge sürükleyip bırakır ve kısa bir yorum ekler (“Kanıt eski – Q3‑2025 denetim raporu kullanılmalı”). Bu yorum, GNN’ye negatif bir kenar olarak beslenir.
Denetim İzleme – Otomatik ve manuel tüm eylemler zaman damgalı, dijital olarak imzalı ve değişmez bir deftere (ör. Hyperledger Fabric) kaydedilir.

5.2 API Sözleşmesi (Basitleştirilmiş)

POST /api/v1/attribution/run
Content-Type: application/json

{
  "questionnaire_id": "qnr-2025-11-07",
  "max_evidence_per_question": 3,
  "retrain": false
}

Yanıt

{
  "status": "queued",
  "run_id": "attr-20251107-001"
}

Çalışma sonuçları GET /api/v1/attribution/result/{run_id} ile alınabilir.

6. Etki Ölçümü – KPI Gösterge Tablosu

KPI	Elle (Temel)	AEAE ile	% İyileşme
Soru başına ortalama süre	7 dk	1 dk	%86
Kanıt yeniden kullanım oranı	%32	%71	+121 %
İnceleme düzeltme oranı	%22 (elle)	%5 (AI sonrası)	-77 %
Denetim bulgusu oranı	%4	%1,2	-70 %
Anlaşma kapanış süresi	45 gün	28 gün	-38 %

Canlı Kanıt Atama Gösterge Tablosu, Grafana ile oluşturulmuş olup, yöneticilerin darboğazları anlık görüp kapasite planlaması yapmasını sağlar.

7. Güvenlik ve Yönetişim Hususları

Veri Gizliliği – AEAE yalnızca meta veri ve şifreli kanıtlara erişir; hassas içerik modele doğrudan gösterilmez; gömmeler güvenli bir bölmede üretilir.
Açıklanabilirlik – Güven rozeti, en yüksek 3 etkeni gösteren bir araç ipucu içerir (ör. “Anahtar kelime eşleşmesi: ‘dinlenme şifreleme’, belge tarihi 90 gün içinde, eşleşen kontrol SOC 2‑CC6.1”). Bu, açıklanabilir AI gereksinimlerini karşılar.
Sürüm Kontrolü – Her kanıt eklemesi versiyonlanır. Bir politika belgesi güncellendiğinde, motor ilgili sorular için yeniden çalıştırılır ve güven düşüşleri işaretlenir.
Erişim Kontrolü – Rol‑bazlı politikalar, kimlerin yeniden eğitimi tetikleyebileceğini veya ham model loglarını görebileceğini sınırlar.

8. Gerçek Dünya Başarı Hikayesi

Şirket: FinTech SaaS sağlayıcısı (Series C, 250 çalışan)
Zorluk: SOC 2 ve ISO 27001 anketlerine aylık ortalama 30 saat harcama; sık sık eksik kanıt.
Uygulama: Mevcut Procurize kurulumunun üzerine AEAE yerleştirildi. Model, 2 yıllık tarihli (≈ 12 k soru‑kanıt çifti) tarihsel veri setiyle eğitildi.
Sonuçlar (ilk 3 ay):

Yanıt süresi 48 saattan 6 saate düştü.
Manuel kanıt araması %78 azaldı.
Denetim bulguları kanıt eksikliği nedeniyle sıfır oldu.
Gelir etkisi: Daha hızlı anlaşma kapanışı, ARR’da $1.2 M artış sağladı.

Müşteri, AEAE sayesinde “uyumluluk kabusunu rekabet avantajına dönüştürdük” diyor.

9. Başlarken – Pratik Kılavuz

Veri Hazırlığını Değerlendirin – Mevcut kanıt dosyalarınızı, politika dokümanlarınızı ve kontrol eşlemelerinizi kataloglayın.
Grafik Veritabanı Kurun – Neo4j Aura veya yönetilen JanusGraph kullanın; düğüm/kenarları CSV ya da ETL boru hatlarıyla içe aktarın.
Temel GNN’yi Oluşturun – Açık kaynak rgcn-evidence-attribution deposunu klonlayın, özellik çıkarımını sektörünüze göre uyarlayın.
Pilot Çalıştırın – Tek bir çerçeve (ör. SOC 2) ve sınırlı anket setiyle deneme yapın. Geliştirici skorlarını inceleyen geri bildirimiyle karşılaştırın.
Geri Bildirimle İterasyon – İnceleyen yorumlarını dahil edin, kenar ağırlıklarını ayarlayın ve modeli yeniden eğitin.
Ölçeklendirin – Daha fazla çerçeve ekleyin, gecelik yeniden eğitimleri CI/CD boru hattına bağlayın.
İzleme ve Optimizasyon – KPI gösterge tablosunu izleyin; %70’in altında güven skoru için uyarı kuralları oluşturun.

10. Gelecek Yönelimler

Federated GNN’ler – Birçok şirket, ham kanıtı paylaşmadan ortak bir model eğitebilir; gizliliği korurken daha geniş desenlerden yararlanılır.
Zero‑Knowledge Proof Entegrasyonu – Son derece gizli kanıtlar için, motor kanıtın gerekliliğini kanıtlayan bir zk‑proof üretebilir, içeriği ifşa etmez.
Çoklu‑Modlu Kanıt – Görüntü‑dil dönüştürücüleriyle ekran görüntüleri, yapılandırma dosyaları ve kod snippet’lerini anlayacak şekilde genişletilir.
Regülasyon Değişim Radarı – Motor, gerçek‑zamanlı düzenleyici güncellemeleri izler; yeni kontrol düğümleri otomatik eklenir, kanıt yeniden ataması anında tetiklenir.

11. Sonuç

Grafik Sinir Ağlarıyla Güçlendirilmiş Uyarlanabilir Kanıt Atama Motoru, güvenlik anket yanıtlarını kanıtlarla eşleştirme sürecini kesin, denetlenebilir ve sürekli öğrenen bir hale getiriyor. Uyumluluk ekosistemini bir bilgi grafiği olarak modelleyip, GNN’nin inceleyen davranışlarından öğrenmesi sayesinde kuruluşlar:

Anket yanıt sürelerini kısaltır, satış döngülerini hızlandırır.
Kanıt yeniden kullanımını artırır, depo şişmesini azaltır.
Açıklanabilir AI sayesinde denetim şeffaflığını yükseltir.

Procurize AI ya da kendi uyumluluk platformunuzu geliştiren herkes için, GNN‑temelli atama motoruna yatırım artık bir “deneysel” fikir değil; kurumsal güvenlik ve uyumluluk otomasyonunu ölçeklendirmek için stratejik bir zorunluluktur.