Risk & Uyum Yönetimi · AIGüven İstanbul · KVKK uyumlu · Yakında — erken erişim
FinHouse.ai  /  AIGüven
AIGüven · Kurumsal risk & uyum (GRC) · Yakında

Mevzuatı izleyen,
boşluğu bulan risk zekâsı.

AIGüven, kurumsal risk ve mevzuat uyumunu yapay zekâ ile yöneten GRC uygulamasıdır — şu an geliştirme aşamasında. Risk envanterinden iç kontrole, KVKK'dan bilgi güvenliğine kadar uyum süreçlerini tek panelde toplar: mevzuat değişimini radar gibi izler, boşluğu tespit eder, denetime hazır kanıt üretir. Nihai değerlendirme her zaman insanda kalır.

Yakında — erken erişim 7 modül Yerel LLM, veri dışarı çıkmaz
01 · Modüller

Yedi modül, tek risk & uyum kasası.

Her modül klasik bir kayıt ekranı değil — kendi alanında tespit eden ve öneren bir zekâ katmanı taşıyacak şekilde tasarlanıyor.

/01

Risk Yönetimi

Kurumsal risk envanterini olasılık × etki ile skorlar. AI: geçmiş olaylardan ve mevzuat sinyalinden yeni risk adayı önerir, risk iştahı eşiğini aşan noktaları otomatik işaretler.

Risk envanteriOtomatik skorlamaErken uyarı
/02

İç Kontrol Sistemi (İKS)

Kontrol matrisini ve test takvimini yönetir. AI: testten geçmeyen kontrolü tespit edip sorumluya görev açar, tekrarlayan zafiyeti örüntü olarak yakalar.

Kontrol matrisiTest takvimiZafiyet örüntüsü
/03

Uyum & Mevzuat Radarı

BDDK, SPK, MASAK ve Resmî Gazete değişikliklerini sürekli izler. AI: kurumu etkileyen maddeyi tespit eder, sade özetler ve ilgili birime aksiyon önerisiyle yönlendirir.

Mevzuat izlemeEtki analiziMadde atıflı özet
/04

KVKK & Veri Koruma

Veri işleme envanterini (VERBİS) ve aydınlatma metinlerini yönetir. AI: yeni bir işleme faaliyeti tanımlandığında hukuki dayanak ve saklama süresi boşluğunu tespit eder.

İşleme envanteriVERBİS desteğiBoşluk tespiti
/05

Bilgi Güvenliği (ISMS / ISO 27001)

ISO 27001 Ek A kontrol setini izler. AI: kanıt toplamayı otomatikleştirir, sertifikasyon ve iç denetime hazır kanıt paketini kendiliğinden derler.

ISO 27001 Ek AKanıt otomasyonuDenetime hazır paket
/06

İş Sürekliliği (BCM / ISO 22301)

Kritik süreç ve iş etki analizini (BIA) yönetir. AI: RTO/RPO hedeflerine göre tatbikat takvimini önerir, senaryo tatbikatı sonrası açık kalan boşluğu işaretler.

İş etki analiziRTO / RPOTatbikat takibi
/07

Üçüncü Taraf Risk Yönetimi

Tedarikçi ve iş ortağı risk değerlendirmesini yönetir. AI: sözleşme ve anket yanıtlarından kritik tedarikçiyi önceliklendirir, yenileme ve yeniden değerlendirme tarihini hatırlatır.

Tedarikçi değerlendirmeKritik tedarikçi tespitiYenileme takibi
02 · Regülasyon bildirim motoru

Yayınlanan her değişiklik, doğru kuruma ulaşır.

AIGüven'in kalbinde bir RegTech motoru var: Resmî Gazete, BDDK, SPK, KVKK, MASAK ve SEDDK'da yayınlanan her düzenlemeyi izler. Yalnız haber vermekle kalmaz — değişikliğin sizi hangi maddede, nasıl etkilediğini çıkarır ve ilgili birime önerilen aksiyonuyla ulaştırır. Ham veriyi, kamu kaynaklarını makine-okunur hale getiren AIveri katmanı besler.

7/24
Yayın izleme
6+
Resmî kaynak
3 kanal
Mail · panel · WhatsApp
/01

İzle

Resmî Gazete, BDDK, SPK, KVKK, MASAK ve SEDDK yayınları kesintisiz taranır. Kaynaklar AIveri katmanında makine-okunur veriye çevrilir — PDF ya da JS-render fark etmez.

Resmî GazeteKurum tebliğleriAIveri beslemesi
/02

Eşle

Her değişiklik kurumun sektörü, faaliyet izinleri ve süreçleriyle eşlenir. Gürültü değil, yalnız sizi gerçekten etkileyen düzenlemeler geçer.

Alaka filtresiSektör / süreç eşleme
/03

Yorumla

Etkilenen madde sade dille özetlenir; etki analizi ve önerilen aksiyon üretilir — hepsi madde atıflı, dayanağı gösterilerek. Dayanağı olmayan bilgi uydurulmaz.

Etki analiziMadde atıflı özetAksiyon önerisi
/04

Bildir

İlgili birime mail, panel ve WhatsApp ile ulaşır; sorumluya görev açar, uyum son tarihini takvimler ve hatırlatır. Kritik değerlendirme her zaman insan onayından geçer.

Mail · panel · WhatsAppGörev + son tarihHITL
03 · Otonom ajanlar

Modülleri çalıştıran otonom ajanlar.

AIGüven'i kuran ajanlardan bazıları — her biri araçlarını kullanır, kritik aksiyon insan onayına düşer (HITL). Kuruma özel yeni ajanlar JSON ile tanımlanabilir.

/01

Mevzuat Radar Ajanı

Resmî Gazete, BDDK, SPK, KVKK ve MASAK yayınlarını izler; kurumu etkileyen maddeyi tespit edip bildirim motorunu tetikler ve ilgili birime aksiyon önerisiyle ulaştırır.

Yayın izlemeEtki analiziBildirim
/02

Uyum Kontrol Ajanı

Kontrol test takvimini yürütür; testten geçmeyen kontrolü yakalar, sorumluya görev açar, tekrarlayan zafiyeti örüntü olarak işaretler.

Kontrol testiGörev açmaZafiyet örüntüsü
/03

KVKK / VERBİS Ajanı

Yeni işleme faaliyeti tanımlandığında hukuki dayanak ve saklama süresi boşluğunu tespit eder; işleme envanterini ve VERBİS kaydını güncel tutar.

İşleme envanteriBoşluk tespitiVERBİS
/04

Denetim Kanıtı Ajanı

ISO 27001 ve iç denetim için kanıtı sürekli toplar; sertifikasyon ve denetime hazır kanıt paketini kendiliğinden derler.

Kanıt toplamaAudit-ready paket
/05

Üçüncü Taraf Risk Ajanı

Tedarikçi anket ve sözleşmelerinden kritik tedarikçiyi önceliklendirir; yeniden değerlendirme ve sözleşme yenileme tarihini hatırlatır.

Tedarikçi skorlamaKritik tespitiHatırlatma
/06

İş Sürekliliği Ajanı

BIA ve RTO/RPO hedeflerine göre tatbikat takvimini önerir; senaryo tatbikatı sonrası açık kalan boşluğu işaretler ve YK panosuna özet çıkarır.

İş etki analiziTatbikat takibiYK panosu
04 · AI farkı

Kayıt tutan araç değil, tespit eden zekâ.

Klasik GRC yazılımı veriyi saklar; AIGüven'in hedefi, veriyi yorumlayıp bir sonraki adımı önermek.

BoyutKlasik GRCAIGüven
Mevzuat takibi Elle tarama; değişiklik genelde gecikmeyle fark edilir. Radar sürekli izler; kurumu etkileyen maddeyi otomatik özetler ve yönlendirir.
Kontrol testi Manuel checklist, e-posta ve Excel üzerinden takip. Kanıt toplama yarı otomatik; testten geçmeyen kontrol ve tekrarlayan zafiyet işaretlenir.
Kayıt biçimi Statik CRUD kaydı — girilir, arşivlenir. Tespit + aksiyon önerisi; sorumluya görev olarak düşer.
Kanıt üretimi Denetim öncesi haftalarca elle derleme. Sürekli derlenen, denetime hazır kanıt paketi audit-ready.
Veri işleme Genelde bulut SaaS; veri kurum dışına çıkar. Yerel LLM hedefi; kişisel veri kurumdan çıkmadan işlenir KVKK.
Karar mekanizması Kural motoru veya tamamen manuel değerlendirme. AI önerir, gerekçelendirir; nihai karar her zaman insan onayında HITL.

Tablo — AIGüven'in hedeflediği yapay zekâ katmanı, klasik GRC yazılımına kıyasla.

/01

Yerel LLM — veri kurumdan çıkmaz

Risk ve uyum değerlendirmeleri yoğun kurumsal ve kişisel veri taşır. Hedef mimaride bu değerlendirmeler kurumun kendi altyapısındaki yerel modelde işlenir; buluta gitmesi gereken içerik önce maskelenir.

On-premise seçeneğiPII maskeleme
/02

Madde atıflı mevzuat kasası (RAG)

Mevzuat cevapları ezberden değil, ilgili maddeyi getirip ona atıfla üretilecek şekilde tasarlanıyor. Dayanağı olmayan bilgi uydurulmaz — kaynak yoksa açıkça belirtilir.

Kaynak: mevzuat.gov.tr, kurum tebliğleriMadde atfı
/03

İnsan onayı & denetim izi

AI tespit eder ve önerir; risk değerlendirmesi, kontrol kapatma ve uyum kararı her zaman yetkili kişinin onayından geçer. Her aksiyon denetim izine (audit trail) yazılır.

Human-in-the-loopAudit trail
05 · KVKK & egemenlik

Zekâ ≠ veriyi buluta yollamak.

AIGüven'de akıllı olmak, kişisel veriyi dışarı çıkarmak anlamına gelmiyor. Deterministik çözülebilen sorular LLM'siz çözülür; kişisel veri içeren muhakeme yerelde kalır. Amaç, deneyimin akıllı hissetmesi — güvenliği feda etmeden.

%100 hedef
Yerel PII işleme
RAG
Madde atıflı cevap
HITL
İnsan onaylı karar
06 · Sık sorulanlar

Kısa cevaplar, net beklenti.

Burada olmayan sorunuz için: [email protected]

/01

AIGüven nedir?

+
AIGüven, FinHouse.ai'nin geliştirmekte olduğu, yapay zekâ destekli kurumsal risk ve mevzuat uyumu (GRC) yönetim uygulamasıdır. Risk envanterinden iç kontrole, KVKK'dan bilgi güvenliğine kadar uyum süreçlerini tek panelde toplar. Şu an geliştirme aşamasındadır ve henüz canlı değildir.
/02

AIGüven hangi mevzuat çerçevelerini kapsayacak?

+
AIGüven; KVKK (VERBİS ve veri işleme envanteri), BDDK, SPK, MASAK, ISO 27001 bilgi güvenliği yönetim sistemi ve ISO 22301 iş sürekliliği çerçevelerini hedefler; sigorta sektörü için SEDDK mevzuatı da kapsama dahildir.
/03

Klasik GRC yazılımlarından AI farkı nedir?

+
Klasik GRC araçları çoğunlukla kayıt tutan CRUD sistemleridir. AIGüven; mevzuat değişimini sürekli izleyen bir radar, kontrol testlerini otomatik yürüten ve boşluğu tespit eden bir zekâ katmanı, ve denetime hazır kanıt paketini kendiliğinden derleyen bir asistan olarak tasarlanıyor. Nihai değerlendirme ve karar her zaman insan onayından (human-in-the-loop) geçer.
/04

Verilerimiz nerede işlenir?

+
Kişisel veri içeren değerlendirmelerin kurumun kendi altyapısındaki yerel büyük dil modelinde işlenmesi hedefleniyor; mevzuat cevapları madde atıflı bir bilgi tabanından (RAG) üretilecek, dayanağı olmayan bilgi uydurulmayacak. Sistem on-premise kurulabilecek şekilde tasarlanıyor.
Erken erişim · AIGüven

Risk ve uyum ekibinizle
birlikte tasarlayalım.

AIGüven henüz canlı değil; erken erişim listesine girenlerle birlikte kurgulanıyor. Kısa bir görüşmede kurumunuzun risk & uyum ihtiyacını dinler, öncelikli modülleri birlikte belirleriz.