Bu yazı, ana düzenleyici gelişmeleri ve finansal kurumların bu hızlı şekilde değişen ortamda alması gereken uygulama adımlarını vurgulayacaktır.

Yazan: Xiao Naiying, Fei Si, Yu Leimin; Jin Du Araştırmaları

Üretken Yapay Zekâ hızla yayılıyor—Düzenleyiciler uygulamalara odaklanıyor

Kurumsal finans kurumlarının üretken yapay zekâyı (“üretken AI”) sürekli olarak benimsemesiyle, düzenleyicilerin odak noktası, ilke temelli politika ifadelerinden pratik uygulamalara doğru kaymaktadır. 2025 yılında Ocak ayında yayınladığımız “Üretken AI için Finansal Kurumlar Rehberi”[1]’de, ilgili çerçevelerin hâlâ ilke temelli olmasına rağmen, üretken AI düzenlemelerinin bir yapıya kavuşmakta olduğu belirtilmişti.[2]

Daha sonra, düzenleyici odak, genel ilkelerden operasyonel yönetime kaydı. Hong Kong, deneme aşamasından sorumlu uygulamalara geçiş yaparken, ana kararlı düzenlemeler özellikle içerik yönetimi, veri işleme, bildirim yükümlülükleri ve model düzenlemesi yönünde giderek daha detaylı hale gelmektedir. Bu makale, ana düzenleyici gelişmeleri ve finansal kurumların bu hızlı gelişen ortamda alması gereken uygulama adımlarını vurgulayacaktır.

Hong Kong: Denemeden yapılandırılmış uygulamalara

Hong Kong'un son gelişmeleri, finansal hizmetler sektöründe üretken AI uygulamalarının daha olgun ve pratik bir şekilde ilerlediğini göstermektedir. Düzenleyici odak, finansal kurumların ilgili teknolojileri sorumlu, kontrol edilebilir, yatırımcı korumasına öncelik veren ve denetim incelemelerine dayanıklı bir şekilde nasıl dağıttığı üzerinedir.

Hong Kong Finansal Yönetim Kurumu (“Finansal Yönetim Kurumu”), 2025 yılı Nisan ayında yayımlanan “GenA.I. Yeni Dönemi: Finansal Hizmetlerde Yapay Zekânın Sorumlu Uygulanması” [3] raporunda, Hong Kong'da üretken AI hakkındaki algının değiştiğini belirtti—yüzde 75'i katılımcı finans kurumu AI uygulamalarını uygulamaya başlamış veya geliştirme aşamasındadır ve gelecek üç ile beş yıl içinde bu oranın yüzde 87'ye ulaşması beklenmektedir.

Aynı zamanda, uygulama kılavuzları giderek daha spesifik hale gelmektedir. Örneğin, Hong Kong Kişisel Veri Gizlilik Komisyonu, Mart 2025'te yayımlanan “Üretici AI Kullanımı İçin Çalışanlar Kılavuzu Listesi”[4] ile gizlilik ve yönetimle ilgili endişeleri somut operasyonel kontroller haline getirmiştir. Bu liste, araç kullanımına, veri girdilerine, çıktıların saklanmasına ve tutulmasına, doğrulamaya, yanlılık düzeltmeye ve raporlamaya, su damlası ve etiketlemeye, cihaz erişimine ve olay bildirimine ilişkin net politikalar oluşturmayı önermektedir.

Hong Kong Dijital Politika Ofisi, 2025 yılında Nisan'da yayımlayıp aynı yıl Aralık'ta güncellediği "Hong Kong Üretken Yapay Zeka Teknolojisi ve Uygulama Kılavuzu"[5] ile adillik, şeffaflık, kullanıcı seçim hakkı ve yanlılık düzeltme gibi ilkeleri vurgulayan en iyi uygulamalar rehberi sunmaktadır. Müşteri etkileşimi, öneri motorları, uygunluk desteği, iç sınıflandırma veya risk filtreleme amacıyla üretken AI kullanan finans kurumları, bu kılavuzu genel uyumluluk çerçevesinin önemli bir parçası olarak görmelidir.

Özellikle önemli bir gelişme, Hong Kong'un üretken AI düzenleyici çerçevesinin sürekli genişlemesidir. 2025 yılının Ocak ayındaki makalemizde belirttiğimiz gibi, Para ve Finansal Hizmetler Kurumu, 2024 yılında Digital Hub ile iş birliği yaparak, onaylı kurumların bankacılık üretken AI için yenilikçi kullanım senaryolarını geliştirmesi ve test etmesi için kontrol edilmiş bir ortam sunan GenA.I. kum havuzunu çıkarttı.

Ekim 2025'te Finansal Yönetim Kurumu, "İlk GenA.I. Kumaş Raporu"[6]'u yayınladı ve risk yönetimi, dolandırıcılık önleme önlemleri ile müşteri deneyimini üç ana test alanını olarak belirledi; aynı zamanda içerik illüzyonları ve bilgi hataları gibi teknik ve yönetim zorluklarını vurguladı. Bu, düzenleyici odak noktasının yeniden oluşturulmasını işaret ediyor: Üretken Yapay Zekânın bankacılık operasyonlarına güvenli bir şekilde entegre edilmesi nasıl sağlanır?

Ayrıca, aynı yıl Ekim'de başlatılan ikinci GenA.I. kum havuzu programı, AI yeteneklerini test etmekten güvenli ve güvenilir uygulamalara geçişin önemli bir aşamasını yansıtmaktadır. MAS, 20 banka ve 14 teknoloji ortağı tarafından sunulan 27 kullanım senaryosunu seçmiş olup, aktif AI yönetimi, otomatik kalite denetimi ve karşılaştırmalı simülasyonlara odaklanarak derin sahtekârlık dolandırıcılığına karşı koruma kapasitesini artırmayı hedeflemektedir. Bu, dağıtım hazırlığına, kontrol etkinliğine ve AI tabanlı risk azaltmaya yönelik net bir geçişi işaret etmektedir.

Mart 2026'da, Finansal Düzenleme Otoritesi, Menkul Kıymetler ve Vadeli İşlemler Komisyonu, Sigorta Düzenleme Kurulu ve Zorunlu Katkılı Emeklilik Planları Kurulu, GenA.I. Şablon++'u, menkul kıymetler, varlık ve servet yönetimi, sigorta, Zorunlu Katkılı Emeklilik ve değer saklama ödeme araçları alanlarına genişleterek sundu. Risk yönetimi, dolandırıcılıkla mücadele ve müşteri deneyimi olmak üzere üç temel alanı korurken, "AI ile AI'ya karşı" düzenleyici stratejisini sürdürmeyi açıkça belirtti; yani AI ile AI ile ilgili riskleri kontrol etmeyi amaçladı.

2025 yılında Finansal Düzenleyici Kurum, "Finansal Teknoloji 2030" stratejisini hayata geçirecek ve bu strateji, yapay zekânın finans sektöründe kapsamlı ve sorumlu bir şekilde uygulanmasını teşvik etmeyi ve paylaşılan, ölçeklenebilir altyapı ile endüstri modellerinin geliştirilmesini amaçlayan "Yapay Zeka x Onaylı Kurumlar" stratejisini içerecektir. Yasal ve düzenleyici açıdan, bu strateji önemli bir mesajı güçlendirir: Yapay Zeka yönetimi, izole bir yenilik meselesi olmaktan çıkar ve kurumsal yapı, iş sürekliliği, müşteri koruması ve düzenleyici hazırlık çerçevesine entegre edilmelidir.

Mart 2026'da, Para ve Finansal Kurumlar Otoritesi, dijital dönüşüm altında iş modelleri hakkında tüm onaylı kurumlara bir dolaşım gönderdi [7], bunun içinde temsilci yapay zekâ dahil olmak üzere yeni teknolojilerin dijital dönüşümü hızlandırdığını belirtti. Dolaşım, tüm onaylı kurumlardan teknolojik değişikliklere karşı uzun vadeli iş modellerini aktif olarak değerlendirmelerini ve ayarlamalarını beklediğini açıkladı. Diğer konuların yanı sıra, dolaşım her onaylı kurumun yönetim kurulu tarafından 9 Eylül 2026 tarihine kadar dijital dönüşüm ve finansal dijitalleşme konusunda resmi bir stratejik planı gözden geçirmesini ve onaylamasını talep etti. Bu stratejik plan, ürün sunumu, gelir modelleri, müşteri etkileşimi, risk yönetimi ve operasyonlar açısından ayarlamalar veya dönüşüm fırsatlarını tanımlamalıdır. Para ve Finansal Kurumlar Otoritesi'nin dijital dönüşüm dolaşımıyla ilgili ayrıntılı bilgi için bilgi grafiklerimize bakın. [8]

Hong Kong'daki son düzenleyici eğilimler, finansal kurumların veri, teknolojik dayanıklılık, yönetim ve hesap verebilirliği kapsayan kapsamlı bir çerçeve kurmasını ve üretken AI'yi yaşam döngüsü boyunca titiz ve kanıtlanabilir bir şekilde yönetmesini göstermektedir.

Uygulamada, bunlar şu noktaları içerir:

(Uygulama senaryolarının ayrımı) Farklı dağıtım senaryoları dikkatle ayırt edilmelidir. Dahili araçlar, müşteri uygulamaları, izleme ve denetim araçları, karar destek senaryoları ve üçüncü taraf modelleri farklı hukuki ve risk değerlendirmelerine neden olabilir; bunları tek bir “AI kullanımı” kategorisinde toplamak gereksinimleri karşılamak için yeterli olmayabilir;

(Yönetim Odak Noktası) Kurumlar, ipuçları tasarımı, arama mekanizmaları, çıktı işleme, model doğrulama, raporlama eşiği ve insan denetimi gibi genellikle saf teknik sorunlar olarak tanımlanan konuları yönetime dahil etmelidir;

(Poliçe Uyumu) Kurumlar, sorumlu kullanım, adillik, doğruluk, şeffaflık, gizlilik, hesap verebilirlik ve olay yanıtı dahil olmak üzere Hong Kong rehberinde mevcut olan terimlerle ve odak noktalarıyla iç politikalarını uyumlu hale getirmelidir;

(Düzenleyici Dengelenme) Kurumlar, yenilik destek ile düzenleyici inceleme arasındaki alanı daralmaya hazırlıklı olmalıdır. Şeffaf kutu katılımının ve diğer düzenleyici etkileşimlerin yayını hızlandırabileceğini, ancak aynı zamanda daha yüksek yönetim gereksinimleri anlamına geldiğini unutmayın; ve

(Düzenleyici İletişim) Şablon ve pilot projelere katılım, sadece bir yenilik fırsatı olarak değil, düzenleyici hazırlık faaliyeti olarak görülmelidir. Düzenleyicilerle iletişim kurmadan önce, kurumlar açık yetki ve sorumluluklar, belgelenmiş test ve doğrulama (sapmalar ve illüzyon kontrolü dahil), açık bir insan incelemesi ve raporlama tetikleyicileri ile gözden geçirmek için tam bir kanıt dosyası sağlamalıdır.

Çin Ana Karası: İşlemsel ve kurallara dayalı düzenlemeye doğru yol

Çin ana karalarında ki üretken AI düzenlemeleri, daha uygulanabilir, kurallara dayalı ve düzenleyici odaklı bir yöne doğru devam etmektedir. Finansal kurumlar için pratik sorunlar artık bir AI aracının kullanımının izin verilip verilmediği değil, ilgili kullanım senaryolarının uygun şekilde sınıflandırılıp sınıflandırılmadığı, gerekli durumlarda kayıt altına alınıp alınmadığı, uygun veri kontrolleriyle desteklenip desteklenmediği ve tüm yaşam döngüsü boyunca izlenip izlenmediğidir.

Bu nokta çok önemlidir, çünkü düzenleyici sınırlar giderek daha ince hale gelmektedir. Son dönemdeki yapay zeka tarafından üretilen içeriklerin etiketlenmesi, algoritmaların ve modellerin kaydı, güvenlik değerlendirmesi, ulusal standartlar ve finansal sektör veri yönetimi konularındaki gelişmeler, tümü aynı yöne işaret etmektedir: Çin ana karasındaki yapay zeka uyumluluğu giderek kanıt temelli uygulamalara odaklanmaktadır.

Ulusal İnternet Bilgi Ofisi, Sanayi ve Bilgi Teknolojisi Bakanlığı, Polis Bakanlığı ve Ulusal Radyo ve Televizyon Yönetimi tarafından ortak olarak yayımlanan "Yapay Zeka ile Oluşturulan ve Sentezlenen İçerik Etiketleme Yöntemi", yüksek düzeyde şeffaflık ve yönetim endişelerini somut, uygulanabilir içerik etiketleme ve meta veri gereksinimlerine dönüştürür.

Bu yöntemin temeli, aynı anda uygulanmasını gerektiren çift etiketleme sistemidir:

a) Kullanıcı tarafından görülebilen açık etiketler; ve

b) İzlenebilirliği sağlamak için dosya meta verilerine gizli etiketleme.

Bu çift etiketleme yöntemi, kullanıcıya yönelik şeffaflık ile düzenleyici, uygulayıcı ve hesap verebilirlik amacıyla arka uç izlenebilirliğinin paralel olarak çalışması gerektiği yönündeki açık düzenleyici beklentileri yansıtmaktadır. Önemli olan, bu yöntemin sorumluluğu tüm AI içerik değer zinciri üzerine genişletmesidir. Özetle:

İçerik oluşturma hizmet sağlayıcıları, içerik oluşturma aşamasında açık ve gizli etiketleme uygulayarak etiketlemenin doğruluğunu ve kalıcılığını sağlamalı ve AI tarafından oluşturulan içeriklerin denetim veya soruşturmaya tabi olmasında izlenebilirliği ve hesap verebilirliği desteklemelidir;

İçerik dağıtım platformları, AI tarafından oluşturulan içeriklere eklenen mevcut etiketleri tanımalı, korumalı ve göstermelidir; etiketlerin kasıtlı olarak kaldırılması, sahtelenmesi veya kötüye kullanılmasını önlemeli ve bunlarla ilgili işlem yapmalı; ayrıca içerik kökeni ve izlenebilirlik açısından düzenleyici kurumlarla iş birliği yapılmalıdır; ve

Kullanıcılar, açıkça etiketlenmiş içerikleri kasıtlı olarak kaldıramaz, değiştiremez, gizleyemez veya sahteleştiremez; gizli etiketleri veya teknik tanımlayıcıları kasıtlı olarak değiştiremez; AI tarafından oluşturulan içeriği, başka birinin insan tarafından oluşturduğu şekilde yanıltıcı bir şekilde sunamaz; ve izlenebilirliği veya düzenlemeyi atlamak amacıyla sentetik içerikleri kullanamaz.

Bu yöntem, uygun yönetim ve düzenlemeyi desteklemek amacıyla onaylanmış, muhtemel ve şüpheli AI tarafından üretilen içerikleri daha ayrıntılı şekilde ayırt eder. Bu kategoriler, yayım platformlarına veya kullanıcılara genel bir AI tespit yükü getirmez. Bunun yerine, içerik kaynağının kesinlik düzeylerinin farklı olduğunu kabul eder ve zorunlu etiketleme yükü, sadece düzenlenmiş AI içerik üretimi hizmeti sağlayıcıları tarafından üretilen onaylanmış AI tarafından üretilen içeriklere uygulanır.

Genel olarak, bu yöntem, ortak sorumluluk ve yaşam döngüsüne dayalı yönetim modeline geçişi işaret ederken, içerik etiketlemesi ve izlenebilirlik, Çin ana kararında sentetik içerik risk yönetimi için temel uyum kontrolleri olarak konumlanmıştır.

İşletme düzeyinde içerik etiketleme ve izlenebilirliğe artan ilgi rağmen, algoritmalar ve modellerin kaydı, Çin ana kararında AI düzenlemesinin temel taşlarını oluşturuyor. İlgili yasal ve düzenleyici çerçeveler yakın zamanda büyük değişiklikler geçirmese de, düzenleyici uygulamalar ve uygulamalar devam eden bir gelişim göstermektedir.

Aşağıdaki gözlemler finansal kurumlar için özellikle dikkat edilmesi gerekenlerdir:

1. Algoritma kaydı ve model kaydı, birbirinden bağımsız ve kesişebilen iki ayrı düzenleyici süreçtir. İlgili koşullar karşılandığında, bazı üretken AI hizmet sağlayıcıları algoritma ve model düzeylerini kapsayan “çift kayıt” yükümlülüğünü üstlenmek zorunda kalabilir.
2. Bazı finansal hizmet uygulamaları daha büyük bir düzenleyici belirsizlikle karşı karşıya kalıyor. Belirli finansal hizmet kullanım senaryolarını içeren modellerin kayıt süreci halen gelişmektedir. Yayınlanan kayıt kayıtlarına göre, doğrudan finansal risk değerlendirmesi, kredi veya kredi kararları veya AI destekli işlem faaliyetleri gibi işlevleri gerçekleştiren algoritmalar veya modellerden başarılı onaylar sınırlıdır. Piyasa istikrarlığı ve tüketicinin korunması üzerindeki potansiyel etkileri nedeniyle, bu tür kullanım senaryoları daha sıkı bir denetimle karşı karşıya görünmektedir.
3. Bazı müşteri odaklı kullanım senaryoları için kayıt eğilimleri daha olgunlaşmıştır. Kamuya açık kayıt bilgileri, AI akıllı müşteri hizmetleri ve asistanları ile bazı AI destekli finansal veya menkul kıymet analiz araçları gibi müşteri odaklı uygulamalarla ilgili algoritmaların ve modellerin onaylandığını göstermektedir. Bununla birlikte, bu tür kullanım senaryoları genellikle doğrudan karar verme veya risk taşıma faaliyetlerinden ziyade içerik üretme veya bilgi desteği fonksiyonlarına sahiptir.

Son dönemdeki denetim faaliyetleri, düzenleyici onayın veya kaydın son veya statik bir sonuç olarak görülmediğini göstermektedir. Algoritma önerisi hizmeti veya üretken AI hizmeti sağlayan kurumlar için, bu beklentiler sistemin tüm yaşam döngüsüne uzanmaktadır. Yasal veya düzenleyici tetikleyici koşullar ortaya çıktığında (örneğin, kullanım senaryosu değişikliği, model fonksiyonu değişikliği, veri kaynağı değişikliği, kullanıcı kapsama alanı veya yayılma kanalı değişikliği), kurumlar ilgili durumlara göre ek güvenlik değerlendirmeleri yapmak, mevcut kayıtları güncellemek veya düzenleyici kurumlarla aktif iletişim kurmak zorunda kalabilir.

Bu eğilim, daha geniş çaplı yasal uygulama girişimleriyle güçlendirilmiştir. Nisan 2025'te Ulusal İnternet Bilgi Ofisi, üç aylık ulusal bir "Temiz ve Açık: AI Teknolojisinin Kötüye Kullanımının Düzenlenmesi" kampanyasını başlattı ve bu süre içinde düzenleyici kurumlar, sayıca büyük miktarda uyumsuz AI ürünü ve ilgili içeriğe müdahale etti. Bu, AI uyumluluğunun artık istisnai veya geçici bir sorun olarak değil, düzenli düzenleyici uygulama faaliyetlerine sağlamca entegre edildiğini açıkça göstermektedir. Sürekli uyumluluk sağlanamazsa, düzenleyici görüşmeler, kınama bildirileri, düzeltme emirleri, idari cezalar ve ilgili itibar riskleriyle karşılaşma maruziyeti artar.

İçerik etiketleme, kaydetme ve güvenlik değerlendirmesi dışında, Çin ana karasında üretken AI için daha geniş düzenleyici sınırlar kapsam ve incelemeye devam ediyor. Son düzenleyici araçlar ve politika girişimleri, düzenleyicilerin odak noktasının içerik güvenliği ve teknik uyumluluktan davranışsal etkilere, etik yönetime ve özellikle yüksek riskli senaryolarda duruma özel risk yönetimiye doğru yavaş yavaş genişlediğini gösteriyor.

Bu gelişimin önemli bir boyutu, üreteç AI yönetimi ve bilim etiği inceleme çerçevesi ile Kişisel Bilgilerin Korunması Kanunu kapsamında kişisel bilgi koruma gereksinimleri arasındaki artan etkileşimdir. Bu iki sistem tamamen yeni olmasa da, AI kullanım senaryolarındaki uygulamaları giderek daha görünür ve işlemeye daha uygun hale gelmektedir. Özellikle AI sistemleri kişisel bilgi işleme, otomatik karar verme veya bireylerin haklarına önemli etkileri olabilecek işlevleri içerdiğinde, düzenleyiciler kurumların yalnızca yasallık ve güvenlik değil, aynı zamanda adalet, açıklanabilirlik ve etik riskleri de değerlendirmesini beklemektedir.

2026 yılında dört bakanlık tarafından ortak olarak yayımlanan "Yapay Zeka Teknolojisi Etik İnceleme ve Hizmet Yönergesi (Deneysel)" uyarınca, özellikle hassas bireysel verileri, davranış müdahalelerini veya büyük ölçekli toplumsal etkileri içeren bazı yüksek riskli AI geliştirme ve uygulama senaryoları, daha geniş bir uyumluluk çerçevesinde yapılandırılmış etik incelemeye veya uzman değerlendirmesine tabi olabilir. Bu tür bir incelemenin gerekli olup olmadığı, spesifik kullanım durumuna, dahil edilen verilere ve dağıtım ortamına bağlıdır ve her durum ayrı ayrı değerlendirilmelidir.

Kurumsal finansal kurumlar için bu yöntemlerin doğrudan uyumluluk etkisi sınırlı olabilir. Ancak, bu gelişmeler, düzenleyici yönün bir sinyali olarak önemli bir yere sahiptir. Bunlar, kararlılık düzeyi üzerindeki Çinli AI düzenlemesinin, genel yükümlülüklerden sahaya, işlevlere ve kullanıcı etkisine dayalı gerekliliklere doğru evrildiğini göstermektedir. Üretken AI yönetimi, teknik dayanıklılığı aşarak giderek daha fazla insan-makine etkileşimi tasarımı, güvence önlemleri ve yükseltme mekanizmalarına kadar uzatılmayı beklenmektedir.

Resmi yasal ve idari önlemlerin yanı sıra, ulusal standartlar AI uygulamalarına ilişkin uyum beklentilerini şekillendirmede giderek daha önemli bir rol oynamaktadır. Üretimli AI alanında, düzenleyici kurumlar, makine öğrenimi güvenliği değerlendirmesi, sentetik içerik etiketleme, eğitim verilerinin güvenliği ve temel hizmet gereksinimleri gibi konularda rehberlik sağlamak amacıyla birkaç ulusal standart yayınlamıştır. AI modeli hizmeti güvenliği, yaşam döngüsü güvenli işletim kapasitesi değerlendirmesi ve ajan tabanlı AI uygulamaları ile ilgili ek ulusal standartlar halen hazırlanmaktadır.

Bu ulusal standartlar, düzenleyicilerin güvenlik önlemleri, yönetim yapıları ve operasyonel kontrollerin yeterliliğini pratikte nasıl değerlendireceğine dair bir referans sağlar. Zamanla, yapay zeka sistemleri için "uygun" güvenlik önlemleri ne olmalıdır konusundaki beklentileri şekillendirmek üzere düzenleyici ve uygulama alanlarında giderek daha önemli bir etkiye sahip olabilirler.

AI özel önlemleriyle paralel olarak, Çin ana karalığı finans sektörü düzenleyicileri, veri ve model yönetimi konusunda beklentilerini giderek artırıyor ve üreteçsel AI uygulamalarını doğrudan etkiliyor. Özellikle:

a) Veri güvenliği ve yaşam döngüsü yönetimi gereksinimleri güçlenmektedir. Çin Halk Bankası, 1 Mayıs 2025'te yayımlanan "Çin Halk Bankası İş Alanı Veri Güvenliği Yönetimi Yönergesi" ile finansal kurumların veri sınıflandırma ve sınıflandırma uygulamasını, veri listelerini oluşturup düzenli olarak güncellemesini, kişisel, hassas ve önemli verileri tanımlamasını, iç sorumlulukları atamasını ve veri yaşam döngüsü boyunca güvenlik yönetim önlemleri almasını gerektirmektedir; ve

b) Model yönetimi ve merkezi denetim, düzenleyici öncelikler haline gelmektedir. Ulusal Finansal Düzenleme ve Gözetim Kurumu, Aralık 2025'te yayımlanan "Bankacılık ve Sigortacılık Dijital Finans Kaliteli Gelişimi Uygulama Planı" ile kurumların, modellerin merkezi geliştirme, dağıtımı ve izlenmesini desteklemek amacıyla kurumsal düzeyde AI ve model yönetim platformları kurmasını teşvik etmektedir.

Genel olarak, bu düzenleyici eğilimler, finans sektöründeki AI uygulamalarının yapılandırılmış yaşam döngüsü modeli yönetimi, net insan müdahalesi noktaları ve tedarikçiler ile dış kaynaklı teknoloji sağlayıcılar üzerindeki artan denetim ile birlikte gelmesi beklenmekte olduğunu göstermektedir. Bu nedenle, Çin ana karasındaki AI uyumluluğu, kurulmuş finans sektörü kontrol standartlarıyla birleşmekte ve yönetişim olgunluğu, belge kalitesi ve düzenleyici hazırlık üzerinde giderek daha fazla vurgu yapmaktadır.

Son gelişmeler, Çin ana kararında AI düzenlemesinin uygulama düzeyinde derinleştiğini göstermektedir. Güvenlik, şeffaflık ve sorumlu veri kullanımı gibi makro kavramlar hâlâ önemlidir, ancak düzenleyici baskı giderek kurumların bu kavramları pratikte nasıl kaydetmekte, kanıtlamakta ve işlem hâline getirdiğine odaklanmaktadır.

Kurumsal finans kurumları için, Çin ana kararında AI kullanımını yapılandırılmış yönetim, yaşam döngüsü kontrolü ve savunulabilir kayıtlarla desteklemelidir. Baştan itibaren kayıtlı analiz, veri yönetimi, güvenlik değerlendirmesi, model risk yönetimi ve tedarikçi denetimini AI sistemlerinin tasarımı ve operasyonlarına dahil eden kurumlar, AI uygulamalarının sorumlu bir şekilde ölçeklendirilmesi konusunda daha yetkin olacaklardır.

Küresel Bakış: İzleme, Yoğunluk ve Bağımlılık

Finansal Stabilite Kurulu, 2025 yılı Ekim ayında yayımlanan “Finans Sektöründe Yapay Zekânın Kullanımını ve İlgili Zayıflıkları İzlemek” [9] raporunda, finans sektöründeki yapay zekânın yalnızca davranışsal veya teknik bir sorun olmadığını, aynı zamanda finansal istikrar sorunu olduğunu vurgulamıştır. Raporda, yapay zeka modellerinin hızlı gelişimi, üçüncü taraf sağlayıcılara artan bağımlılık, sürekli değişen tedarik zinciri ve yetkililerin uygulamaları izleme, veri boşluklarını giderme ile üçüncü taraf bağımlılığı ve yoğunluk riskleriyle ilgili zayıflıkları anlama ihtiyacı özellikle belirtilmiştir. Kurumlar için ders, yapay zeka yönetiminin etik politikaları ve model belgelerini aşarak, dış kaynak alma, operasyonel dayanıklılık ve ekosistem risklerini de kapsaması gerektiğidir. Örneğin: az sayıda temel model sağlayıcısına, bulut platformlarına, veri tedarikçisine ve yapay zeka entegrasyon katmanına bağımlılık; eğitim veri kaynaklarına ve model güncelleme döngülerine sınırlı erişim; tek bir tedarikçideki kesinti, model değişikliği veya güvenlik olayının birden fazla kurumu aynı anda etkileme riski.

Düzenleyici endişeler, tek bir model çıktısından daha geniş bir kontrol ortamına genişleyebilir; bu ortam, sözleşmeler ve denetim haklarını, değişiklik ve yayın kontrolünü, iş sürekliliği ve alternatif planlamayı, veri taşınabilirliğini, olay bildirimini ve üçüncü taraf performansı ile merkezi maruziyetlere sürekli izlemeyi içerir.

Kurumsal finans kurumlarına etkisi

Mevcut düzenleyici yapı, tek bir genel liste oluşturmadı. Yasal ve düzenleyici beklentiler, sektör, iş modeli, kullanım senaryoları, operasyonel varlık ve dağıtım tasarımı farklılıklarına göre değişiklik gösterecektir. Bununla birlikte, son gelişmeler, birçok finansal kurumun şimdi dikkate alması gereken uygulamalı bir gündem işaret etmektedir.

1. (Yönetim ve Denetim) Yönetim Kurulu ve üst düzey yönetim, önemli AI kullanım senaryoları için net bir hesap verebilirlik, raporlama yolları ve onay çerçevesi kurmayı sağlamalıdır;
2. (Örnek değerlendirme) Kurumlar, etkisi büyük olan senaryoların güçlendirilmiş hukuki, uyumluluk, model riski ve teknik incelemelerden geçtiğinden emin olmalıdır.
3. (Veri ve Gizlilik) İpuçları, arama ve eğitim iş akışları, daha geniş veri yönetimi ve gizlilik yükümlülükleriyle birlikte incelenmelidir;
4. (Şeffaflık ve çıktı işleme) Kurumlar, müşteri açıklamaları, çalışan rehberleri, çıktı etiketlemesi ve kalite kontrol süreçlerinin amaçlarına uygun olup olmadığını incelemelidir;
5. (Üçüncü parti ve dış kaynak alma riskleri) Tedarikçi due diligence, sözleşme kontrolleri, alternatif planlama ve sürekli izleme güçlendirilmelidir; ve
6. (Test, izleme ve olay raporlama) Test, kayıt, model izleme ve olay raporlama düzenlemeleri, senaryolarla orantılı olmalıdır.

Tekil bir üretken AI uygulaması, kişisel veriler, bankacılık gizliliği, mülkiyet hakları, müşteri iletişimleri, model doğrulama, operasyonel dayanıklılık, dış kaynak kullanımı ve kayıt tutma gibi birçok konuyu içerebilir. Bu nedenle, bu sorunları tek bir inovasyon veya teknik ekibine bırakmak genellikle yeterli değildir.

Yapay zeka denetimi de aynı derecede kritiktir. Daha yüksek riskli senaryolar için, "insan katılım döngüsü" ifadesi, kurumların ne zaman denetim gerektirdiğini, kimin denetimden sorumlu olduğunu, denetleyicilerin ne kontrol etmesi gerektiğini, denetimin nasıl belgeleneceğini ve ne zaman üst seviye onay veya durdurma tetikleneceğini açıklayana kadar ikna edici olmayabilir.

Küresel Finans Kurumlarının AI Yönetimi Uygulamaları İncelemesi

Belirli küresel finansal kurumların AI yönetimi uygulamalarına yönelik seçici ve eksiksiz olmayan bir inceleme temelinde aşağıdaki genel gözlemleri yapıyoruz. Bu gözlemler, yüksek seviyeli ve açıklayıcı niteliktedir. AI yönetimi için evrensel bir yöntem yoktur; her finansal kurumun çerçevesi genellikle ilgili yargı bölgelerindeki uygulanabilir düzenlemeler ve düzenleyici beklentiler, organizasyonel yapı, risk tercihleri, teknolojik olgunluk aşaması ve AI kullanım durumlarının doğası gibi çeşitli faktörlerin birleşimini yansıtır.

Genel bir üç katmanlı yönetim yapısı ortaya çıkıyor: Birçok kurum, AI için özelleştirilmiş “üç hat/üç katman” yönetim modelini benimsemiştir. Operasyonel düzeyde, AI kullanım senaryoları genellikle çeşitli iş birimleri tarafından dağıtılmış şekilde önerilir ve geliştirilir. Orta düzeyde, kurumlar genellikle risk, uyumluluk, veri, teknoloji ve iş ekiplerinin üst düzey temsilcilerinden oluşan çok fonksiyonlu komiteler (örneğin, AI Yönetim Komitesi veya Sorumlu AI Konseyi) kurar ve bu komiteler AI kullanım senaryolarını inceleyip onaylar ve izler. En üst düzeyde, yönetim kurulu veya yönetim kurulu seviyesindeki komiteler (yeni kurulmuş özel bir AI yönetim kurulu değil, mevcut risk veya teknoloji komiteleri genellikle) AI stratejisi, riski ve yönetimi konularında nihai denetim yetkisine sahiptir.

Kurumlar genellikle AI yönetimi için bağımsız bir çerçeve olarak hareket etmez: bunun yerine, AI genellikle mevcut yönetim yapılarına, özellikle model risk yönetimi, operasyonel risk, teknoloji yönetimi ve veri yönetimi çerçevelerine entegre edilir. Birçok kurum, AI modellerini model risk çerçevesinin bir uzantısı olarak görerek, bu modelleri geleneksel modellerle benzer doğrulama, izleme ve periyodik inceleme süreçlerine tabi tutar ve bu süreçleri, yorumlanabilirlik, önyargı ve model kayması gibi AI’ya özgü risklere karşılık verecek şekilde ayarlar.

İçsel "Sorumlu AI" ilkelerine güçlü bir şekilde bağlılık: Birçok kurum, tüm AI kullanım senaryoları için temel gereksinimler olarak içsel AI yönetimi ilkeleri veya standartları belirlemiştir. Terimler farklı olsa da, bu ilkeler genellikle aşağıdaki ortak temalara doğru birleşmektedir:

• Adillik ve önyargı veya ayrımcılık sonuçlarının önlenmesi;
• Model çıktılarının ve sınırlarının şeffaflığı ve yorumlanabilirliği;
• Veri yönetimi, gizlilik ve gizlilik koruması; ve
• Sürekli test, izleme ve model performans doğrulaması.

Bu ilkeler, yalnızca sözlü beyanlar düzeyinde kalmadan, giderek daha çok iç politikalar, kontrol çerçeveleri ve onay iş akışları aracılığıyla uygulanmaktadır.

Çapraz fonksiyonel yönetim temel bir özelliktir: AI yönetimi nadiren tek bir fonksiyona sınırlıdır. Kurumlar genellikle veri, teknoloji, hukuk, uyumluluk, risk ve iş birimlerinden çok sayıda ilgili tarafı dahil eder. Özel AI yönetimi komiteleri veya mükemmellik merkezleri, bu fonksiyonları koordine etmek, ortak standartlar oluşturmak ve kullanım senaryoları arasında tutarlılığı sağlamak için genellikle kullanılır. Bazı kurumlarda, merkezi AI fonksiyonu tüm kurum politikalarını ve araçlarını belirlerken, iş birimleri uygulama sorumluluğunu korur.

“Özel AI kullanım senaryoları için onay komitesi” standart bir uygulama içermemektedir: Bazı kurumlar, bireysel AI kullanım senaryolarını onaylamak için resmi komiteler kurmuş olsa da, diğerleri mevcut onay süreçlerine (örneğin, model risk komitesi veya teknik değişiklik forumu) dayanmaktadır. Büyük küresel kurumlar genellikle yeni bir onay kurumu oluşturmak yerine AI’yi mevcut yönetim altyapısına entegre etmeye eğilimlidir; bu da AI risklerinin daha geniş bir kurumsal risk çerçevesinin bir parçası olarak yönetilmesi gerektiğini yansıtmaktadır.

Yaşam döngüsü yönetimi giderek daha fazla önem kazanıyor: AI yönetimi yalnızca ilk onayla sınırlı değil. Kurumlar, şunları içeren端到端 yaşam döngüsü kontrolüne daha fazla odaklanıyor:

• Örnek sınıflandırması ve risk düzeylendirmesi;
• Dağıtım öncesi test ve doğrulama;
• Sürekli performans izleme ve sapma tespiti;
• Belirli bir insan müdahalesi ve raporlama eşiği; ve
• Düzenli inceleme, yeniden eğitme ve emeklilik süreçleri.

Bu, statik kontrolden sürekli izlemeye daha geniş bir geçişi yansıtmaktadır.

Yönetim hâlâ temel kontrol mekanizmasıdır: Kurumlar, özellikle daha yüksek riskli kullanım senaryoları için insan denetiminin kritik olduğunu kabul etmektedir. Ancak daha olgun çerçeveler, genel "insan katılım döngüsü" kavramını aşarak, ne zaman denetim gerektirdiğini, kimin sorumlu olduğunu, hangi standartların uygulanacağını ve nasıl kayıt altına alınacağını ve kanıtlanacağını daha net bir şekilde tanımlamayı hedeflemektedir.

Veri yönetimi ve model açıklanabilirliği öncelikli odak alanlarıdır: Kurumlar, veri kalitesi, kaynakları ve erişim kontrolüyle ilgili zorlukları ve karmaşık modellerin açıklanabilirliğini genellikle temel yönetim sorunları olarak vurgulamaktadır, özellikle açıklanabilirlik ve denetlenebilirlik, düzenleyici beklentilerle yakından ilişkili olan düzenlenmiş finansal hizmetler ortamlarında.

Yönetim çerçevesi, kullanım senaryoları ve düzenleyici beklentilerle birlikte gelişmeye devam eder: Çoğu kurum, AI yönetim çerçevesini hâlâ geliştirmektedir. AI kullanım senaryolarının genişlemesiyle—özellikle müşteri etkileşimi, karar desteği ve risk yönetimi alanlarında—yönetim çerçevesi, yeni risklere, düzenleyici gelişmelere ve operasyonel derslere karşı iyileştirilmektedir. Bu nedenle, AI yönetimi, sabit bir çerçeve olarak değil, dinamik ve sürekli gelişen bir disiplin olarak görülmelidir.

Genel olarak, bu gözlemler, küresel düzeyde mevcut risk ve kontrol altyapısına dayanarak ancak yapay zekâ sistemlerinin benzersiz özelliklerine ve risklerine giderek daha iyi uyum sağlayarak entegre, ilke temelli ve yaşam döngüsü odaklı bir AI yönetimi çerçevesine doğru birleşme eğiliminde olduğunu göstermektedir.

Bu metinde "Hong Kong", Çin Halk Cumhuriyeti Hong Kong Özel İdari Bölgesi'ni ifade eder.