Veri Analitiği * Düzenlemelerden ve küresel gelişmelerden etkilenen iç denetim faaliyeti dünden bugüne değişim ve gelişim göstermektedir. Klasik denetim yaklaşımından uzaklaşan iç denetim, günümüzde iş birimlerinin danışmanı haline gelmiş ve kurumlara katma değer sağlamaya odaklanmıştır. İç denetimde yaşanan dönüşümle birlikte iç denetçiler, sadece denetim şapkası takan kişiler olmanın ötesinde danışmanlık şapkalarıyla iş birimlerinin iş ve çözüm ortakları haline gelmişlerdir. Yakın gelecekte iç denetçilerin danışmanlık rollerinin bugüne kıyasla daha ileri bir noktaya ulaşacağını ve denetim rolünün çok daha gerilerde kalacağını söylemek yanlış olmayacaktır. Dijitalleşmenin altın çağının yaşandığı günümüzde, iç denetim faaliyetinin ve iç denetçilerin önündeki önemli zorluk alanlarından birini veri konusu, verilerin incelenmesi ve denetlenmesi oluşturmaktadır. Bu yazı, iç denetçilerin bir süredir karşı karşıya kaldığı büyük veri yığınlarının denetlenmesinde veri analitiği kullanılması ve artan hacimlere karşın işlemlerin nasıl bir yaklaşımla denetlenmesini gerektiğini incelemeyi amaçlamaktadır. Büyük Veri, Devasa Veri, Verinin Geleceği Küreselleşme, ekonomik bütünleşmeler, sermayenin serbestleşmesi ve hareket kabiliyetinin artması, ekonomilerin büyümesi, ticaret hacminin artması ve tabi ki düzenlemeler gibi faktörler işlem hacimlerinin artmasına neden olmaktadır. Bu gelişmeler, kısıtlı bir zaman diliminde işlenmesi ve denetlenmesi gereken (büyük veri diye adlandırılan) veri miktarını katlanarak artırmaktadır. Ancak büyük veri konusu sadece hacimsel büyüklükle alakalı değil aynı zamanda hız ve değişkenlikle de ilgilidir. Verilerin hacimsel büyümesinin yanı sıra yapısı ve hızı da değişmektedir. Bu noktada çok beğendiğim bir büyük veri tanımını paylaşmak istiyorum: “Günümüzdeki bilgi çöplüğü diye adlandırılan olgudan muazzam derecede önemli, kullanılabilir, yararlı yani çöplükten hazine çıkmasına neden olan yegâne sistemdir”. Büyük veri gerçekten de böyle faydalı bir şeydir. McKinsey tarafından 2011’de yayınlanan bir raporda, büyük verinin sadece firmalar açısından değil ulusal ekonomiler üzerinde ve kamu sektöründe de önemli rol oynayacağı ortaya konulmaktadır. Örneğin büyük veri kullanımı sayesinde ABD'de sağlık harcamalarının % 8 oranında azaltılabileceği ve ortalama bir perakende firmasının faaliyet kar marjını % 60 oranında artırabileceği tahmin edilmektedir. Daha güncel bir örneğe bakacak olursak, büyük ölçekli bir bankanın günlük işlem adedi kaç olabilir? Günlük işlem adedi 5 yıl önce 1.000.000 seviyesindeyken bu rakam günümüzde 15.000.000 adet seviyesine yükselmiştir. Bundan 5-10 yıl sonra günlük 100.000.000 adet seviyesinde olmayacağını kim söyleyebilir? Yukarıdaki örnekler bize yakın zamanda büyük veri kavramının da dönüşeceğini, günümüze kıyasla daha devasa verilerle çalışılmak zorunda kalınacağını göstermektedir. Yakın geçmişte veri büyüklüğü için gigabayt, terabayt ölçekleri kullanılırken günümüzde petabayt, eksabayt, zetabayt ölçekleri kullanılmaktadır. Gelecekte veri ile ilgili yeni ölçeklerin ve tanımların hayatımıza girmesi olasılık dâhilinde. Yeni tanımların nasıl olacağını yaşayarak göreceğiz. Veri Analitiği Nedir? Veri analitiği, daha iyi karar vermeye yardımcı olacak modelleri keşfetmek için büyük veri setlerinin otomatik süreçlerle toplanması, işlenmesi, ilişkili hususlarla birlikte değerlendirilmesi ve analiz edilmesini sağlayan bir teknik olarak tanımlanmaktadır. Büyük veri analitiği ortak yapı sergilemeyen, hızlı değişen çok büyük veri setlerini yakalama ve analiz etme yönüyle klasik veri analitiğinden ayrılmaktadır. Sürekli artarak, değişerek ve karmaşıklaşarak dönüşen veriyi günümüzde inceleme ve denetleme yollarının başında veri analitiği gelmektedir. Neden Veri Analitiği Geçmişte büyük veri teknik bir konu olarak görülürken günümüzde ise fırsat olarak değerlendirilmektedir. Ancak büyük verinin bir fırsat olabilmesi, yeterli ve sistematik bir şekilde veri analitiği uygulanmasına bağlıdır. Veri analitiğine ihtiyaç duyulmasının iki temel sebebi bulunmaktadır. Birincisi büyük veri yığınları içerisinde daha önce bilinmeyen, gözlemlenmeye anomalilerin tespit edilmesi, ikincisi ise büyük verilerin denetlenmesinin zorlaşmasıdır. Deneyimlediğim birkaç örnekle konuyu genişletmenin faydalı olacağını düşünüyorum. Geçen sene gerçekleştirdiğim bir faaliyet denetiminde 23.000, 120.000, 220.000 ve 276.000 satır veri içeren 4 dosya ile çalışmak durumunda kaldığımı hatırlıyorum. Yakın zamanda gerçekleştirdiğim bir süreç denetiminde ise 60.000 satırlık 2 dosya üzerinde çalıştım. Bugünlerde ise parametre denetimi için 300.000 satırlık bir veri üzerinde ve uyum denetimi kapsamında 374,000 satırlık bir veri üzerinde çalışıyorum. İç denetçiler olarak daha yüksek miktarda veri üzerinde çalışmamız ise her an ihtimal dâhilinde olan bir husus. İç denetimde veri analitiği kullanımı denetimin etkinliğini ve verimliliğini ciddi oranda etkilemektedir. İç Denetim Yöneticileri’ne yönelik yapılan bir ankette ise katılımcıların % 85’i veri analitiği konusunun önemli olduğunu, % 31’i değerlendirmelerinde veri analitiği kullandığını belirtmiştir. Yaşadığım birkaç örneği ve yapılmış bir araştırmayı, katlanarak artan verilerin, geçmişte olduğu gibi tek tek incelenme imkânı kalmadığını anlatmak için paylaştım. Artık iş birimlerinin gündeminde olduğu gibi iç denetçilerin gündeminde de “veri analitiği” var ve olmak zorunda. Hem iş birimlerinde hem de iç denetimde, veri analitiği konusunun merkez konulardan biri olmasını yakın gelecekte hep birlikte gözlemleyeceğiz. Veri Analitiğinin Kullanımı ve Aşamaları Verileri analiz etmek suretiyle anlamlı sonuçlara ulaşmak ve iş yaşamında katma değer sağlayabilmek için öncelikle iş birimleri veya iç denetçiler olarak ‘problemi tanımlama’ya ihtiyacımız bulunmaktadır. Problem tanımlama sadece bir sorunun çözümünü değil aynı zamanda neyi aradığımızı da ifade etmektedir. Bir sonraki aşama problemin irdelenmesi için eldeki verilerin incelenmesidir. Bu noktada kritik husus ise verilerin düzgün depolanmış olmasıdır. Verilerin düzgün depolanması veri kalitesini ifade etmekte olup sonraki bütün aşamaları ve ulaşılacak sonuçları doğrudan etkilemektedir. Veri kalitesinin ve verilerin düzgün depolanmasının sağlanması için kurumlarda üst düzey sorumluluğa sahip veri yönetişimi uygulamalarına ihtiyaç bulunmaktadır. Veri kalitesinden emin olunduktan sonra sırasıyla verilerin temizlenmesi, işlenmesi, doğrulanması, gerekiyorsa bütünleştirilmesi ve sonunda analiz edilmesi aşamaları gelmektedir. Veri analitiğinde izlenecek yöntem yapılan çalışmanın amacına göre değişmekte olup veri tiplerini şu şekilde özetlemek mümkündür; Betimleyici (Descriptive) Analiz: Ne olup bittiğinin tespitini araştırma yöntemidir. Tanımlayıcı (Diagnostic) Analiz: Bir durumun sebebini araştırma yöntemidir. Keşif (Exploratory) Analizi: Veri üzerinde daha önce bilinmeyen ilişkilerin araştırılması yöntemidir. Çıkarım (Inferential) Analizi: Küçük (sınırlı) bir veri üzerinden büyük veriye ilişkin tahmin yapma yöntemidir. Tahmin (Predictive) Analizi: Gelecekte belirsiz olan bir şeyin tahmini için kullanılan yöntemdir. Etken (Causal) Analizi: Sebep-sonuç ilişkisi kurulmaya çalışılan analiz yöntemidir. Mekanik (Mechanistic) Analiz: Mekanik bir ilişkiyi bulmaya yönelik analiz yöntemidir. Yukarıda anlatılan yöntemlerde, baştan sona doğru gittikçe yapılan işin karmaşıklığı ve sonuca ulaşmak zorlaşmaktadır. Bununla birlikte, ileri derece yöntemler kullanılarak ulaşılan sonuçların sağladığı fayda daha yüksek olmaktadır. Veri analitiğinde kritik hususlardan biri de ulaşılmak istenen amaca uygun yöntem ve program seçimidir. İstatistiksel analizler, veri madenciliği, modelleme, yapay öğrenme, Hadoop, R, QlikView, Python, SPSS, MATLAB, T-SQL gibi uygun yöntem/program kullanmak veri analitiğinde dikkat edilmesi gereken önemli hususlardandır. Veri analitiğinde en kritik husus ise sahiplik, kontrol ve zamanlama konularıdır. Birçok organizasyonda faaliyetler işbölümü temelinde merkezileştirildiği için veri analitiği konusunun sahibi genellikle iş zekâsı veya kurumsal veri ambarı bölümleri olurken bazı organizasyonlar IT/CIO ofisinde bir bölüme adreslendiği, bazı organizasyonlarda ise iş birimlerinin içinde bazı kişiler tarafından bu faaliyetlerin icra edildiği ancak iş zekâsı/kurumsal veri ambarı bölümleri tarafından koordine edildiği görülmektedir. Sahibi hangi bölüm olursa olsun veri analitiğinin kurumsal bir çerçeveye oturtulması, faaliyetlerin sistematik olarak sürdürülmesi, kontrollere tabi olması, belirli dönemlerde tekrarlanması gerekmektedir. Aksi takdirde bir süre sonra bütünsel bakış (büyük resmi görme) kaybolabilmekte ve beklenen fayda sağlanamayacak bir döngüye girilebilmektedir. Veri Analitiği Nerede Kullanılmalı İç denetçiler olarak, artan veri yığınları karşısında, kısıtlı zamanımızı daha etkin kullanmak için veri analitiğini deyim yerindeyse her an kullanacağız. Şube denetimlerinden süreç denetimlerine, parametre incelemelerinden hedef odaklı araştırmalara kadar milyonlarca veri içinden odaklanmamız gereken alanların ve incelenecek örneklemlerin belirlenmesinde can simidimiz veri analitiği olacaktır. Yer yer milyonlarca satıra ulaşan verilerin incelenmesinde başka bir seçenek olmadığını da bir not olarak söylemek lazım. Parametre incelemesi ile ilgili paylaştığım örnek üzerinden bakarsak, üzerinde çalıştığım veri 300.000 adet işlemden oluşmasına karşın incelemelerimi yoğunlaştırmam gereken örneklem 2,200 adet olup tüm verinin % 7’sine tekabül etmektedir. Uyum incelemesi kapsamında yaptığım bir incelemede ise veri 374,000 adetten oluşmasına karşın hedef örneklem kitlesi 3,000 adet olup tüm verinin % 8’ini oluşturmaktadır. Bunlar sadece 2 çalışmada veri analitiği ile nasıl ilerlenebileceğine ilişkin örneklerdir. Her iç denetçi kendi çalışma alanında benzer durumlarla karşılaşmaktadır. Periyodik olarak tekrarlanan şube denetimlerine baktığımızda gerçekleştirilen faaliyetler ve bu faaliyetlere ilişkin veriler analiz edilmeden başlanan denetimlerde eksiklik/hata olması muhtemel alanlardan uzaklaşıldığını ve katma değer sağlanamayacak konularda denetim faaliyeti icra edildiğini görebilmekteyiz. Hâlbuki öncelikle faaliyetlerin incelenmesi, sonrasında ise o faaliyete ilişkin verilerin detaylı analizi ile hangi noktalarda sorun yaşanmasının muhtemel olduğunun tespiti, akabinde ise denetim faaliyetlerinin bu alanlara yönlendirilmesi daha doğru bir yaklaşım olacaktır. Suiistimal inceleme ve soruşturmalarında da veri analitiği kullanmak mümkündür. Sürekli kontrollerle izleme yapılan durumlarda, hazırlanan senaryoların sağlıklı çalışması ve sistemin erken uyarı sinyalleri üretebilmesi için yine veri analitiğine ihtiyaç duymaktayız. Verilerin temizliği, IT tablolarının düzeni, gerekli adreslemelerin yapılmış olması, senaryoların optimize edilmesi gibi huşular veri analitiği içinde değerlendirilmesi gereken konuları oluşturmaktadır. İç denetçilere benzer şekilde bağımsız denetçilerin çalışmalarını düşünelim. Büyük bir bankanın finansal denetimi yapan bağımsız denetçiler, her bir kredi türünde her bir mevduat ürünü türünde bir mali yıl içinde gerçekleşen milyonlarca hatta milyarlarca adet işlemi incelemek, denetlemek ve tüm sürecinde sonunda “denetçi görüşü” vermek durumundalar; üstelik tüm bu işlemleri kısıtlı bir süre içinde yapmak zorundalar. Bu kadar büyük devasa işlemlerin ve bunları üreten süreçlerin tek tek klasik yöntemlerle denetlenemeyeceği aşikârdır. İlave Mülahazalar Veri analitiğinde temel konuların başında veri bütünlüğü gelmektedir. Özellikle veri tabanlarında tutulmak üzere bölünmek ve kodlanmak gibi yöntemlerle ayrıştırılan verilerin, ihtiyaç duyulduğunda bütünleştirilmesi, anlaşılabilir ve analize elverişli bir forma getirilmesi ve bu süreçte kullanılacak gerekli envanterin, kütüphanenin oluşturulması önem arz etmektedir. Veri analitiğinde önemli ikinci husus verilerin güvenliğinin sağlanmasıdır. Özellikle kişisel verilerin toplanması, saklanması, işlenmesi ve yayınlanması ile ortaya çıkacak mahremiyet konuları hakkında çok dikkatli olunmalı; sınırlı erişime müsaade eden şifre ve parolalar, elektronik imza, verilerin şifrelenmesi, maskelenmesi, kimlik doğrulama uygulamaları, bilgisayar ağlarının güvenliği gibi hususlarda azami seviyede tedbirler alınmalıdır. Hassas veriler içeren büyük veri üzerinde çalışırken gerçekleşecek olası bir sızıntı, telafisi güç itibar risklerine ve yüksek tutarda finansal kayıplara neden olabilecektir. Bahsetmek istediğim son husus ise verilerin kullanımı ile ilgili hukuki kısıtlamalar ve etik kurallardır. Özel veri, açık veri ve anonim veri kavramları göz önünde bulundurulmalıdır. Veriler toplanırken, işlenirken ve kullanılırken veri sahipliği, fikri mülkiyet hakları, ticari sır vb. hususlar göz önünde bulundurulmalıdır. Verilerin yedeklenmesi ve ihtiyaç halinde geriye dönük iz sürme için kayıt izlerinin tutulması gerektiğini ise söylemeye ihtiyaç duymuyorum, zaten yapılıyor olmalı. Değerlendirme Hemen hemen her alanda dönüşüm yaşandığı gibi iç denetim alanında da dönüşüm yaşanmaktadır. Yakın zamana kadar iç denetçiler sınırlı sayıda veri üzerinde çalışarak mesleği icra ediyor ve büyük verilerin analizi genellikle BT denetçilerinin iş alanında görülüyordu. Günümüzde ise tüm iç denetçilerin çeşitli istatiksel yöntemler ve analiz programları kullandığını sıklıkla görmekteyiz. Bu tablo bize gelecekte iç denetimin ve iç denetçilerin dönüşmeye devam edeceğini, sorumluluk alanlarındaki belirgin olan sınırların ortadan kalkacağını ve veri analitiğinin iç denetçiler için aranan yetkinliklerden biri haline geleceğini göstermektedir. İç denetçiler olarak önümüzde zorlayıcı bir alan bulunmaktadır. Yeterli bir iç denetçi olmak için veri analitiği konusuna eğilmek, bilgi ve deneyim kazanmak ve kendimizi geleceğe hazırlamak zorundayız. Kendini hazırlayan iç denetçiler geleceğin iç denetçileri olurken, hazırlıksız yakalananları ise tarihin tozlu sayfalarından okuyacağız. Kaynakça http://da.sabanciuniv.edu, 15.05.2016. http://www.bahcesehir.edu.tr/icerik/7502-veri-analitigi-ve-yonetimi, 17.05.2016. http://www.bertankaya.net/?p=668, 21.05.2016 http://www.bigdatacenter.gazi.edu.tr, 21.05.2016 http://www.bmcsoftware.com.tr/it-solutions/big-data-analytics.html, 17.05.2016. https://www.linkedin.com/pulse/veri-biliminde-analiti%C4%9Fi-tipleri-mustafa-acungil , 22/05/2016. https://www.linkedin.com/pulse/veri-bilimi-sorusorun-tipleri-mustafa-acungil?trk=mp-reader-card, 22/05/2016. http://www.opiyasa.com/buyuk-veri-nedir, 21.05.2016 Philip Russom, Big Data Analytics, 2011, 21.05.2016. Prof. Dr. Şeref Sağıroğlu, Büyük Veri Analitiği ve Veri Güvenliği, 22.05.2016. Yusuf Tulgar, Büyük Veri Güvenliği ve Mahremiyeti, 22.05.2016. * Yazarın kendi görüşlerini yansıtmaktadır, çalıştığı kurumun görüşlerini yansıtmaz. Mustafa Tevfik KARTAL, DENETÇİ, CIA, CFSA, CRMA, CCSA TİDE Etik Kurulu Üyesi Marmara Üniversitesi, Bankacılık Doktora Öğrencisi