Aralık ayı kaosundanregülatif otomasyona.SPK Bilgi Sistemleri Bağımsız Denetimi rehberi.

Sermaye Piyasası Kurulu'na tabi finans kuruluşlarının bilişim yönetiminin (politika, güvenlik, veri koruma, iş sürekliliği) kurallara uygun olup olmadığını her yıl bağımsız bir denetçinin kontrol ettiği yasal süreçtir. Dayanağı VII-128.10 sayılı 'Bilgi Sistemleri Yönetimi Tebliği' ile III-62.2 sayılı 'Bilgi Sistemleri Bağımsız Denetim Tebliği'dir. Uyumsuzluk; idari para cezası, itibar kaybı, en ağır durumda faaliyet izninde yaptırım anlamına gelebilir.

SPK'ya kayıtlı tüm finans kuruluşları — portföy yönetim şirketleri, aracı kurumlar, yatırım danışmanlığı şirketleri, yatırım fonu kurucuları ve benzeri yapılar. Kurumun büyüklüğü değişse de uygulanan tebliğ aynıdır; küçük şirket de büyük şirket de aynı kontrol seti ile karşılaşır.

Türkiye'de SPK'ya tabi kurumların her denetim döneminde yaşadığı tipik sahnedir: uyum ekibi geceleri çalışır, BT birimi eski e-postalardan dosya arar, hukuk satır satır tebliği okur, yönetim 'bu sefer de geçtik' diyerek nefes alır. Sonra bir sonraki denetim yaklaşır ve aynı sahne neredeyse aynı aktörlerle tekrarlanır. Sorun şudur: kurum denetimi bir olay olarak yönetiyor, sürekli işleyen bir sistem olarak değil.

Beş tipik kör nokta var: (1) Politika SharePoint'te, prosedür e-posta ekinde, kanıt çalışan masaüstünde — uyum dağınık. (2) Cevaplar tebliğ maddesiyle bağlı değil; 'sanırım' ile başlayan cümleler denetçide 'kontrol eksikliği' tespiti yazdırır. (3) Uyum ekibi ChatGPT'ye müşteri verisi yüklüyor — KVKK ihlali. (4) Önceki denetimle bu yıl arasında cevaplar birbirini tutmuyor. (5) Denetçiye dosyalar e-posta eki, WeTransfer veya USB ile gönderiliyor; izlenebilir kanal yok.

Müşteri adı, T.C. kimlik numarası, portföy pozisyonu gibi kişisel veriler bulut tabanlı bir AI servisine yüklendiğinde KVKK'ya göre bu, 'yurt dışı veri aktarımı' olarak değerlendirilebilir ve doğrudan idari para cezası riski yaratır. SPK denetçisi bir sonraki denetimde bunu mutlaka soracaktır — kurumun veri sorumlusu sıfatıyla yanıt vermesi gerekir. 'Hızlı bir özet için yapay zekaya yapıştırmak' cümlesi, bir denetim raporunda yer almak için en pahalı cümlelerden biridir.

Aynı kontrole verilen cevapların art arda gelen denetimler arasında çelişmesi, denetçi tarafından tablo halinde yan yana konulduğunda kurumun güvenilirliği için ciddi bir zarar yaratır. Çoğu kurumda bu çelişkileri sistematik olarak kontrol eden kimse yoktur. Bir kontrole 'evet var' demek yetmez — geçmiş cevaplarla aynı dilde, aynı kanıta dayanarak söylenmek zorundadır.

SPK Bilgi Sistemleri uyumunu bir makine olarak kurgulayan, kurumun kendi sunucusunda çalışan bir RegTech platformudur. Politikalar, kanıtlar, cevaplar ve kontroller sistemin içinde tutulur; tebliğ maddesiyle otomatik bağlanır; denetçiye şifreli paket olarak gönderilir. Uyum 'Aralık'ta hatırlanan bir proje' olmaktan çıkıp her gün çalışan bir sürece dönüşür.

Hayır. Alnera RegTech tamamen yerinde (on-premise) kurulur — kurumun kendi veri merkezinde veya özel bulutunda. Müşteri verisi, kanıt dosyaları, iç yazışmalar kurumun fiziksel kontrolü dışına asla çıkmaz. Bulut sürümü yoktur; bu bir pazarlama vaadi değil, sistemin mimari kuralıdır. Dışarı çıkan tek şey, denetçiye gönderilen şifreli '.alnerap' paketidir.

Yok. Sistem 'Deterministik RAG' yaklaşımını kullanır: yapay zeka yalnızca SPK tebliğ metnine ve sisteme yüklenmiş kanıtlara bakarak cevap üretir, dışına çıkamaz. Her çıktı tebliğin ilgili maddesine kaynak bağlıdır ve doğrulanabilir. FAISS embedding ve LangChain orkestrasyonu sayesinde her cevap, kanıtın hangi sayfasına dayandığını gösterir.

Klasik yöntemde altı hafta süren denetim hazırlığı, Alnera RegTech ile beş güne iner. Çünkü kanıt dosyaları zaten sistemde, politikalar tebliğle bağlı, cevaplar geçmiş yıllarla tutarlı. 'Hazırlanmak' bir projeye dönüşmekten çıkıp düğmeye basmak haline gelir.

Evet. LDAP ve Active Directory entegrasyonu standart olarak gelir; çalışanlarınız mevcut kurumsal kullanıcı/parolalarıyla giriş yapar. Sistemde dört rol vardır: Yetkili Kullanıcı (kullanıcı yönetir), Yarı Yetkili (kanıt yükler/siler), İzleyici (yalnız okuma) ve sistem Admin'i. Tüm yetkilendirme API katmanında uygulanır; her aksiyon zaman damgalı, değiştirilemez log olarak yazılır.

PDF, Word, Excel, CSV, TXT ve görsel dosyalar (OCR ile okunur) yüklenebilir; her dosyaya SHA-256 kriptografik özet uygulanır ve değiştirilemez kayda alınır. Raporlar Excel ve PDF formatında çıkar — her bulguda tebliğ maddesi referansı, uyum skoru ve yapay zeka gerekçesi yer alır. Sistem logları SIEM (Splunk, ELK) ortamlarına standart formatta dışa aktarılabilir.