Mevzuatı izleyen,
boşluğu bulan risk zekâsı.
AIGüven, kurumsal risk ve mevzuat uyumunu yapay zekâ ile yöneten GRC uygulamasıdır — şu an geliştirme aşamasında. Risk envanterinden iç kontrole, KVKK'dan bilgi güvenliğine kadar uyum süreçlerini tek panelde toplar: mevzuat değişimini radar gibi izler, boşluğu tespit eder, denetime hazır kanıt üretir. Nihai değerlendirme her zaman insanda kalır.
Yedi modül, tek risk & uyum kasası.
Her modül klasik bir kayıt ekranı değil — kendi alanında tespit eden ve öneren bir zekâ katmanı taşıyacak şekilde tasarlanıyor.
Risk Yönetimi
Kurumsal risk envanterini olasılık × etki ile skorlar. AI: geçmiş olaylardan ve mevzuat sinyalinden yeni risk adayı önerir, risk iştahı eşiğini aşan noktaları otomatik işaretler.
İç Kontrol Sistemi (İKS)
Kontrol matrisini ve test takvimini yönetir. AI: testten geçmeyen kontrolü tespit edip sorumluya görev açar, tekrarlayan zafiyeti örüntü olarak yakalar.
Uyum & Mevzuat Radarı
BDDK, SPK, MASAK ve Resmî Gazete değişikliklerini sürekli izler. AI: kurumu etkileyen maddeyi tespit eder, sade özetler ve ilgili birime aksiyon önerisiyle yönlendirir.
KVKK & Veri Koruma
Veri işleme envanterini (VERBİS) ve aydınlatma metinlerini yönetir. AI: yeni bir işleme faaliyeti tanımlandığında hukuki dayanak ve saklama süresi boşluğunu tespit eder.
Bilgi Güvenliği (ISMS / ISO 27001)
ISO 27001 Ek A kontrol setini izler. AI: kanıt toplamayı otomatikleştirir, sertifikasyon ve iç denetime hazır kanıt paketini kendiliğinden derler.
İş Sürekliliği (BCM / ISO 22301)
Kritik süreç ve iş etki analizini (BIA) yönetir. AI: RTO/RPO hedeflerine göre tatbikat takvimini önerir, senaryo tatbikatı sonrası açık kalan boşluğu işaretler.
Üçüncü Taraf Risk Yönetimi
Tedarikçi ve iş ortağı risk değerlendirmesini yönetir. AI: sözleşme ve anket yanıtlarından kritik tedarikçiyi önceliklendirir, yenileme ve yeniden değerlendirme tarihini hatırlatır.
Yayınlanan her değişiklik, doğru kuruma ulaşır.
AIGüven'in kalbinde bir RegTech motoru var: Resmî Gazete, BDDK, SPK, KVKK, MASAK ve SEDDK'da yayınlanan her düzenlemeyi izler. Yalnız haber vermekle kalmaz — değişikliğin sizi hangi maddede, nasıl etkilediğini çıkarır ve ilgili birime önerilen aksiyonuyla ulaştırır. Ham veriyi, kamu kaynaklarını makine-okunur hale getiren AIveri katmanı besler.
İzle
Resmî Gazete, BDDK, SPK, KVKK, MASAK ve SEDDK yayınları kesintisiz taranır. Kaynaklar AIveri katmanında makine-okunur veriye çevrilir — PDF ya da JS-render fark etmez.
Eşle
Her değişiklik kurumun sektörü, faaliyet izinleri ve süreçleriyle eşlenir. Gürültü değil, yalnız sizi gerçekten etkileyen düzenlemeler geçer.
Yorumla
Etkilenen madde sade dille özetlenir; etki analizi ve önerilen aksiyon üretilir — hepsi madde atıflı, dayanağı gösterilerek. Dayanağı olmayan bilgi uydurulmaz.
Bildir
İlgili birime mail, panel ve WhatsApp ile ulaşır; sorumluya görev açar, uyum son tarihini takvimler ve hatırlatır. Kritik değerlendirme her zaman insan onayından geçer.
Modülleri çalıştıran otonom ajanlar.
AIGüven'i kuran ajanlardan bazıları — her biri araçlarını kullanır, kritik aksiyon insan onayına düşer (HITL). Kuruma özel yeni ajanlar JSON ile tanımlanabilir.
Mevzuat Radar Ajanı
Resmî Gazete, BDDK, SPK, KVKK ve MASAK yayınlarını izler; kurumu etkileyen maddeyi tespit edip bildirim motorunu tetikler ve ilgili birime aksiyon önerisiyle ulaştırır.
Uyum Kontrol Ajanı
Kontrol test takvimini yürütür; testten geçmeyen kontrolü yakalar, sorumluya görev açar, tekrarlayan zafiyeti örüntü olarak işaretler.
KVKK / VERBİS Ajanı
Yeni işleme faaliyeti tanımlandığında hukuki dayanak ve saklama süresi boşluğunu tespit eder; işleme envanterini ve VERBİS kaydını güncel tutar.
Denetim Kanıtı Ajanı
ISO 27001 ve iç denetim için kanıtı sürekli toplar; sertifikasyon ve denetime hazır kanıt paketini kendiliğinden derler.
Üçüncü Taraf Risk Ajanı
Tedarikçi anket ve sözleşmelerinden kritik tedarikçiyi önceliklendirir; yeniden değerlendirme ve sözleşme yenileme tarihini hatırlatır.
İş Sürekliliği Ajanı
BIA ve RTO/RPO hedeflerine göre tatbikat takvimini önerir; senaryo tatbikatı sonrası açık kalan boşluğu işaretler ve YK panosuna özet çıkarır.
Kayıt tutan araç değil, tespit eden zekâ.
Klasik GRC yazılımı veriyi saklar; AIGüven'in hedefi, veriyi yorumlayıp bir sonraki adımı önermek.
| Boyut | Klasik GRC | AIGüven |
|---|---|---|
| Mevzuat takibi | Elle tarama; değişiklik genelde gecikmeyle fark edilir. | Radar sürekli izler; kurumu etkileyen maddeyi otomatik özetler ve yönlendirir. |
| Kontrol testi | Manuel checklist, e-posta ve Excel üzerinden takip. | Kanıt toplama yarı otomatik; testten geçmeyen kontrol ve tekrarlayan zafiyet işaretlenir. |
| Kayıt biçimi | Statik CRUD kaydı — girilir, arşivlenir. | Tespit + aksiyon önerisi; sorumluya görev olarak düşer. |
| Kanıt üretimi | Denetim öncesi haftalarca elle derleme. | Sürekli derlenen, denetime hazır kanıt paketi audit-ready. |
| Veri işleme | Genelde bulut SaaS; veri kurum dışına çıkar. | Yerel LLM hedefi; kişisel veri kurumdan çıkmadan işlenir KVKK. |
| Karar mekanizması | Kural motoru veya tamamen manuel değerlendirme. | AI önerir, gerekçelendirir; nihai karar her zaman insan onayında HITL. |
Tablo — AIGüven'in hedeflediği yapay zekâ katmanı, klasik GRC yazılımına kıyasla.
Yerel LLM — veri kurumdan çıkmaz
Risk ve uyum değerlendirmeleri yoğun kurumsal ve kişisel veri taşır. Hedef mimaride bu değerlendirmeler kurumun kendi altyapısındaki yerel modelde işlenir; buluta gitmesi gereken içerik önce maskelenir.
Madde atıflı mevzuat kasası (RAG)
Mevzuat cevapları ezberden değil, ilgili maddeyi getirip ona atıfla üretilecek şekilde tasarlanıyor. Dayanağı olmayan bilgi uydurulmaz — kaynak yoksa açıkça belirtilir.
İnsan onayı & denetim izi
AI tespit eder ve önerir; risk değerlendirmesi, kontrol kapatma ve uyum kararı her zaman yetkili kişinin onayından geçer. Her aksiyon denetim izine (audit trail) yazılır.
Zekâ ≠ veriyi buluta yollamak.
AIGüven'de akıllı olmak, kişisel veriyi dışarı çıkarmak anlamına gelmiyor. Deterministik çözülebilen sorular LLM'siz çözülür; kişisel veri içeren muhakeme yerelde kalır. Amaç, deneyimin akıllı hissetmesi — güvenliği feda etmeden.
Kısa cevaplar, net beklenti.
Burada olmayan sorunuz için: [email protected]
/01AIGüven nedir?
+
/02AIGüven hangi mevzuat çerçevelerini kapsayacak?
+
/03Klasik GRC yazılımlarından AI farkı nedir?
+
/04Verilerimiz nerede işlenir?
+
Risk ve uyum ekibinizle
birlikte tasarlayalım.
AIGüven henüz canlı değil; erken erişim listesine girenlerle birlikte kurgulanıyor. Kısa bir görüşmede kurumunuzun risk & uyum ihtiyacını dinler, öncelikli modülleri birlikte belirleriz.