İçeriğe geç

Yapay Zeka Etkileşimli Araçları

Bankacılık AI Risk Skoru

BDDK + KVKK + MASAK + SPK + EU AI Act uyumu — 6 boyut, 36 soruda risk değerlendirmesi.

Tanım
Bankacılık & Finans AI Uyumu
Bir finans kuruluşunun (banka, ödeme/e-para kuruluşu, sigorta şirketi, finansman/fintech) AI sistemlerini BDDK Bilgi Sistemleri Yönetmeliği, KVKK 6698, MASAK 5549, TCMB Ödeme Hizmetleri Yönetmeliği, SEDDK mevzuatı, IFRS 9 / TFRS 9 ve EU AI Act çerçevesinde regülatif yükümlülüklere uygun çalıştırması.
Ayrıca: BDDK AI, banking AI compliance, MASAK AI, IFRS 9 ECL, TCMB ödeme, SEDDK, model risk SR 11-7, EU AI Act Annex III

Kurum Tipi

Bu kurum tipi için 9 boyut · 70 soru geçerli.

0/70 cevaplandı0%
BDDK Bilgi Sistemleri Uyumu0/8

BS Yönetmeliği + Bulut Rehberi + dış hizmet + operasyonel dayanıklılık.

  1. Q1.Yapay zeka iş yükü Türkiye'de bulunan veri merkezinde mi çalışıyor?

    BDDK BSY m.4 · ağırlık 5/5

  2. Q2.Birincil ve ikincil (yedek) sistemler ile yedekler Türkiye'de mi tutuluyor?

    BDDK BSY m.7 · ağırlık 4/5

  3. Q3.AI vendor hizmet alımı için risk analizi yapıldı ve BDDK'ya bildirildi mi?

    BDDK Dış Hizmet Tebliği · ağırlık 4/5

  4. Q4.AI vendor sözleşmesinde BDDK denetim erişim hakkı yer alıyor mu?

    BDDK BSY m.9 · ağırlık 4/5

  5. Q5.AI vendor için çıkış stratejisi ve veri taşınabilirliği planı var mı?

    BDDK Bulut Rehberi · ağırlık 3/5

  6. Q6.AI sistemleri için rollback ve felaket kurtarma (DR) prosedürü test edilmiş mi?

    BDDK BSY m.16 · ağırlık 4/5

  7. Q7.AI sistemlerine erişimde görevler ayrılığı + ayrıcalıklı erişim yönetimi var mı?

    BDDK BSY m.11 · ağırlık 3/5

  8. Q8.AI model güncellemeleri resmi değişiklik yönetimi sürecinden geçiyor mu?

    BDDK BSY m.14 · ağırlık 3/5

KVKK Uyumu0/8

Kişisel veri işleme + hukuki sebep + yurt dışı aktarım + ilgili kişi hakları.

  1. Q1.Aydınlatma metninde AI kullanımı ve mantığı açıkça belirtiliyor mu?

    KVKK m.10 · ağırlık 4/5

  2. Q2.Her AI işleme faaliyeti için hukuki sebep (rıza/sözleşme/meşru menfaat) belirlendi mi?

    KVKK m.5-6 · ağırlık 4/5

  3. Q3.Otomatik karara karşı itiraz ve insan değerlendirmesi mekanizması var mı?

    KVKK m.11/g · ağırlık 5/5

  4. Q4.Model eğitimi/çıkarımında veri minimizasyonu ve amaçla bağlılık sağlanıyor mu?

    KVKK m.4 · ağırlık 3/5

  5. Q5.Public LLM vendor'a aktarım için KVKK m.9 uygun güvencesi (taahhütname/SCC) mevcut mu?

    KVKK m.9 · ağırlık 5/5

  6. Q6.AI işleme faaliyetleri VERBİS sicilinde güncel mi?

    VERBİS · ağırlık 3/5

  7. Q7.AI çıktıları ve eğitim verisi için saklama + imha politikası tanımlı mı?

    KVKK m.7 + Yönetmelik · ağırlık 3/5

  8. Q8.Yüksek riskli AI işleme için veri koruma etki değerlendirmesi (DPIA) yapıldı mı?

    KVKK Kurul + GDPR m.35 · ağırlık 4/5

MASAK / AML Uyumu0/7

AML risk skorlama + yaptırım taraması + yükümlü görevleri + log saklama.

  1. Q1.AI tabanlı AML risk skoru için açıklanabilirlik (XAI) raporu üretiliyor mu?

    MASAK Rehberi · ağırlık 5/5

  2. Q2.AI üretimli AML kararları model versiyonuyla 8 yıl loglanıyor mu?

    5549 SK m.7 · ağırlık 4/5

  3. Q3.Yaptırım ve PEP taraması güncel listelerle (BM, OFAC, AB) AI destekli yapılıyor mu?

    MASAK + BM/OFAC · ağırlık 5/5

  4. Q4.False-positive oranı periyodik izleniyor + eşikler kalibre ediliyor mu?

    MASAK Rehberi · ağırlık 3/5

  5. Q5.Model yeni dolandırıcılık tipolojilerini (AI destekli sahtecilik) kapsayacak şekilde güncelleniyor mu?

    MASAK Rehberi · ağırlık 4/5

  6. Q6.AI flag'li işlemler uyum görevlisi tarafından inceleniyor mu (otomatik SAR yok)?

    5549 SK · ağırlık 4/5

  7. Q7.AML modeli geliştirenden bağımsız bir fonksiyonca valide ediliyor mu?

    MASAK + SR 11-7 · ağırlık 3/5

EU AI Act Uyumu0/8

Kredi & sigorta fiyatlama yüksek riskli (Annex III §5); QMS + insan denetimi + FRIA.

  1. Q1.AI sistem(ler)i için EU AI Act risk sınıfı resmi olarak belirlendi mi?

    Annex III §5(b)/(c) · ağırlık 5/5

  2. Q2.Yüksek riskli sistemler için Annex IV teknik dokümantasyon tamamlandı mı?

    Annex IV · ağırlık 4/5

  3. Q3.AI Kalite Yönetim Sistemi (QMS) kuruldu mu?

    Art. 17 · ağırlık 4/5

  4. Q4.Yüksek riskli AI kararları için insan denetimi katmanı tasarlandı mı?

    Art. 14 · ağırlık 5/5

  5. Q5.Temel haklar etki değerlendirmesi (FRIA) yapıldı mı?

    Art. 27 · ağırlık 4/5

  6. Q6.Sistem otomatik olay kaydı (logging) tutuyor ve izlenebilirlik sağlıyor mu?

    Art. 12 · ağırlık 3/5

  7. Q7.Doğruluk, sağlamlık ve siber güvenlik seviyeleri tanımlanıp test edildi mi?

    Art. 15 · ağırlık 4/5

  8. Q8.Kullanıcıya AI ile etkileşimde olduğu ve sistemin sınırları şeffaf bildiriliyor mu?

    Art. 13/50 · ağırlık 3/5

Model Risk Yönetimi0/8

SR 11-7 + BCBS 239: envanter, bağımsız validasyon, backtesting, izleme.

  1. Q1.Tüm AI/ML modelleri sahiplik ve risk derecesiyle bir envanterde kayıtlı mı?

    SR 11-7 · ağırlık 4/5

  2. Q2.Modeller geliştirenden bağımsız bir fonksiyonca valide ediliyor mu?

    SR 11-7 · ağırlık 5/5

  3. Q3.Periyodik backtesting ve benchmark karşılaştırması yapılıyor mu?

    SR 11-7 · ağırlık 4/5

  4. Q4.Modeller risk derecesine göre sınıflandırılıp kontrol yoğunluğu buna göre belirleniyor mu?

    SR 11-7 · ağırlık 3/5

  5. Q5.Üretimde drift / performans izleme + eşik alarmları kurulu mu?

    SR 11-7 · ağırlık 4/5

  6. Q6.Model geliştirme, varsayımlar ve sınırlamalar tam dökümante ediliyor mu?

    SR 11-7 · ağırlık 3/5

  7. Q7.Champion-challenger model karşılaştırması yapılıyor mu?

    Internal MRM · ağırlık 3/5

  8. Q8.Yönetim kurulu model risk iştahını onayladı ve düzenli raporlama alıyor mu?

    SR 11-7 + BCBS 239 · ağırlık 4/5

Kredi Skorlama & IFRS 9 / ECL0/8

TFRS 9 beklenen kredi zararı (ECL) + PD/LGD/EAD + staging + açıklanabilirlik.

  1. Q1.IFRS 9 beklenen kredi zararı (ECL) modeli resmi yönetişim altında mı?

    TFRS 9 + BDDK Karşılıklar · ağırlık 5/5

  2. Q2.PD/LGD/EAD parametreleri AI ile tahmin ediliyorsa ayrı ayrı valide ediliyor mu?

    TFRS 9 / Basel · ağırlık 4/5

  3. Q3.Stage 1/2/3 ve önemli kredi riski artışı (SICR) kriterleri açıkça tanımlı mı?

    TFRS 9 · ağırlık 4/5

  4. Q4.İleriye dönük makroekonomik senaryolar (TCMB) modele dahil ediliyor mu?

    TFRS 9 · ağırlık 4/5

  5. Q5.Kredi skorunun üst etmenleri müşteriye gerekçe olarak sunuluyor mu?

    EU AI Act Annex III §5(b) + KVKK m.11 · ağırlık 5/5

  6. Q6.Manuel override (skor geçersiz kılma) oranı izleniyor ve gerekçelendiriliyor mu?

    Internal credit policy · ağırlık 3/5

  7. Q7.ECL/kredi modeli girdilerinde veri kalitesi kontrolleri uygulanıyor mu?

    BCBS 239 · ağırlık 4/5

  8. Q8.Kredi/ECL modeli stres testi ve duyarlılık analizine tabi tutuluyor mu?

    BDDK + ICAAP · ağırlık 3/5

TCMB Ödeme & Açık Bankacılık0/7

6493 SK + gerçek zamanlı dolandırıcılık + SCA + açık bankacılık rızası.

  1. Q1.Gerçek zamanlı ödeme dolandırıcılık skorlaması mevcut mu?

    TCMB Ödeme Yön. · ağırlık 5/5

  2. Q2.Risk-bazlı SCA muafiyeti yönetişimi (AI risk skoru) düzenlemeye uygun mu?

    TCMB + güçlü kimlik doğrulama · ağırlık 4/5

  3. Q3.Açık bankacılık API'lerinde müşteri rıza yönetimi (kapsam + süre) uygulanıyor mu?

    TCMB Açık Bankacılık · ağırlık 4/5

  4. Q4.Ödeme verileri TCMB yönetmeliği gereği Türkiye'de saklanıyor mu?

    6493 SK + TCMB Yön. · ağırlık 5/5

  5. Q5.Bloke edilen işlem için açıklanabilirlik + müşteri itiraz kanalı var mı?

    KVKK m.11 + TCMB · ağırlık 4/5

  6. Q6.İşlem izleme modeli yanlış pozitif / müşteri sürtünmesi dengesini izliyor mu?

    TCMB + MASAK · ağırlık 3/5

  7. Q7.Ödeme AI sistemine ilişkin olaylar tanımlı sürede TCMB'ye raporlanıyor mu?

    TCMB Olay Bildirimi · ağırlık 4/5

Güvenlik (OWASP LLM Top 10)0/8

Prompt injection, hassas ifşa, aşırı yetki, RAG zehirlenmesi, tedarik zinciri.

  1. Q1.Müşteri verisi LLM context'ine girmeden önce PII redaction uygulanıyor mu?

    OWASP LLM02 · ağırlık 4/5

  2. Q2.Prompt injection için yıllık penetration / red-team testi yapılıyor mu?

    OWASP LLM01 · ağırlık 4/5

  3. Q3.LLM çıktısı downstream sisteme gitmeden şema/iş kuralıyla doğrulanıyor mu?

    OWASP LLM05 · ağırlık 4/5

  4. Q4.Agent tool yetkileri en az ayrıcalık + kritik aksiyonda onay ile sınırlı mı?

    OWASP LLM06 · ağırlık 4/5

  5. Q5.RAG / bilgi tabanı zehirlenmesine karşı kaynak doğrulama yapılıyor mu?

    OWASP LLM08 · ağırlık 3/5

  6. Q6.Model ve bağımlılık tedarik zinciri (kaynak, lisans, CVE) doğrulanıyor mu?

    OWASP LLM03 · ağırlık 3/5

  7. Q7.AI vendor API anahtarları 90 günde bir rotasyona giriyor mu?

    OWASP LLM07 · ağırlık 3/5

  8. Q8.Model DoS / sınırsız tüketime karşı rate limit + bütçe sınırı var mı?

    OWASP LLM10 · ağırlık 3/5

Adillik ve Açıklanabilirlik0/8

Korunan özellik proxy'leri + bias denetimi + olumsuz aksiyon + counterfactual.

  1. Q1.Periyodik bias denetimi (cinsiyet, yaş, coğrafya) yapılıyor mu?

    EU AI Act Art. 10 + KVKK m.6 · ağırlık 5/5

  2. Q2.Korunan özelliklerin proxy'leri (örn. mahalle → etnik köken) tespit ediliyor mu?

    KVKK m.6 + EU AI Act · ağırlık 4/5

  3. Q3.Müşteriye karar gerekçesi anlaşılır dilde sunuluyor mu?

    KVKK m.11/g + Tüketici Kanunu · ağırlık 4/5

  4. Q4.Olumsuz aksiyon (red) bildiriminde spesifik gerekçeler veriliyor mu?

    Tüketici + ECOA benzeri · ağırlık 4/5

  5. Q5.Müşteriye counterfactual ('ne değişseydi onaylanırdı') açıklaması sunulabiliyor mu?

    XAI best practice · ağırlık 3/5

  6. Q6.İtiraz için tanımlı SLA ve insan değerlendirmesi süreci var mı?

    KVKK m.13 + iç politika · ağırlık 3/5

  7. Q7.Reddedilen başvurular için reject-inference bias yönetiliyor mu?

    Credit modeling · ağırlık 3/5

  8. Q8.Modelin TR sektörel benchmark + adillik performansı yılda ölçülüyor mu?

    Internal standard · ağırlık 3/5

Bankacılık & Finans AI Risk Skoru

Tüm soruları yanıtlayıp skoru hesaplayın.

Sıkça Sorulan Sorular

  • Geçerli boyutları filtreler: bankada IFRS 9 + TCMB ödeme + BDDK BSY gelir; sigortada SEDDK underwriting + sağlık verisi; ödeme kuruluşunda TCMB ödeme; fintech finansmanda kredi + ödeme.

Kaynaklar

  1. , BDDK
  2. , BDDK
  3. , MASAK
  4. , SPK
  5. , EUR-Lex