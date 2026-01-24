PwC Türkiye Şirket Ortağı SELİM ELBAN

Bugünlerde karşımıza ya­pay zekâ ile ilgili çok sayıda yazı çıkıyor. Ben de “yapay zekâyla bunların hepsi mümkün” diyerek konuyu basitleştirmek ye­rine, önce elimizdeki veriyi ve ha­lihazırda uygulayabileceğimiz çö­zümleri verimli kullanmakla baş­lamak gerektiğini düşünüyorum. COBIT olgunluk seviyelerini ha­tırlayanlar için söyleyebiliriz ki süreçlerimizi önce tanımlanmış ve tekrarlanabilir hale getirdiği­miz (seviye 3), ardından ölçülen ve yönetilen bir yapıya taşıdığı­mız (seviye 4) bir noktaya geldik­ten sonra, seviye 5 ile otomasyon ve ileri teknolojileri konuşmanın zamanı gelmiş demektir.

Eski paradigma: Üçünden ikisini seç

Uzun yıllar boyunca proje yöne­timi dünyasında görünmez bir ku­ral vardı: “İyi, hızlı, ucuz – üçün­den en fazla ikisini seçebilirsin.”

Bunu denetim alanına uyarla­yacak olursak; bir banka düşünün. Kritik sistemler, müşteri verisi, regülasyon beklentileri… Denetim kapsamını geniş tutmak istediğin­de, ya büyük bir denetim ekibi kur­mak zorunda kalır (maliyet artar) ya da denetim aylarca sürer (hız düşer).

Bu ikilem, sadece belirli bir sek­töre özgü değil. Sağlıktan peraken­deye, lojistikten telekoma kadar her yerde aynı soru var: “Daha iyi bir yol olamaz mı?”

Yanıt, giderek daha net: Evet, ama “zamanla” ve “doğru kurguyla”

1. Kapsamı genişleten, hızı artıran teknolojiler

Bugün bilgi sistemleri deneti­minde kullanılan bazı temel tek­nolojiler hem kapsamı genişletip hem de denetim hızını artırarak, birim maliyeti aşağı çekebiliyor:

*Log yönetimi ve SIEM (Secu­rity Information and Event Mana­gement): Büyük bir e-ticaret fir­masını düşünelim. Milyonlarca işlem, binlerce kullanıcı, yüzler­ce sistem... Eskiden, denetçi log­ları örneklemeyle inceler, küçük bir kesit üzerinden sonuca varır­dı.SIEM ve log analitiği sayesinde:

● Yetkisiz erişim girişimleri,

● Kritik sistem değişiklikleri,

● Olağan dışı işlem hacimleri

sistematik ve sürekli izlenebili­yor. Denetçi artık “logları tarayan kişi” değil, “çıkan bulguları risk açısından yorumlayan kişi” hali­ne geliyor.

Zafiyet tarama ve konfigü­rasyon uyum araçları: Bir ener­ji şirketinde yüzlerce sunucu ve ağ cihazının güvenlik ayarlarını ma­nuel kontrol etmek neredeyse im­kansız. Otomatik zafiyet tarama (vulnerability scanning) ve konfi­gürasyon denetim araçları hangi sistemin kritik zafiyeti olduğunu, hangi sunucunun güvenlik bench­mark’larına uymadığını hızla or­taya çıkarıyor. Denetim ekibi bu çıktılar üzerinden risk önceliklen­dirmesi yaparak zamanını en kri­tik noktalara harcayabiliyor.

GRC (Governance, Risk and Compliance) platformları: Özellikle regüle sektörlerde (ban­ka, sigorta, telekom) denetim, risk ve uyum ekiplerinin ortak ve­ri üzerinde çalışmasını sağlayan GRC araçları kontrol envanterini merkezi yönetmeyi, denetim test sonuçlarını tek yerde toplamayı, aksiyon planlarını izlemeyi müm­kün kılıyor. Bu sayede her denetim “sıfırdan” başlamak yerine, önce­ki yılların bulguları, test sonuçları ve risk değerlendirmeleri üzerine inşa ediliyor. Kapsam genişlerken, tekrara dayalı iş yükü azalıyor.

2. Zamana yayılmış dönü­şüm: Nasıl ekonomik hale ge­liyor?

Elbette bu teknolojiler “sihirli değnek” değil. Ciddi lisans mali­yetleri, entegrasyon süreçleri ve değişim yönetimi gerektiriyor. Ancak kritik nokta şu: Yatırım bu­günün bütçesinden yapılırken, ka­zanç yıllara yayılarak gerçekleşi­yor.

Örneğin orta ölçekli bir pera­kende grubu düşünelim:

●İlk yıl sadece kartlı ödeme sis­temleri ve kritik uygulamalar için log toplama, basit zafiyet tarama­ları ve GRC üzerinde temel kont­rol kataloğu kuruyor.

● İkinci yıl, kapsamı ERP, insan kaynakları sistemi ve mağaza alt­yapısına genişletiyor; bazı kont­roller otomatik iş akışlarıyla test edilmeye başlanıyor.

● Üçüncü yılda ise yıllık dene­tim planının önemli kısmı, zaten sistemlerden gelen göstergelerle besleniyor; denetim ekibi manuel testleri sadece yüksek riskli alan­lara odaklıyor.

Sonuç: Aynı büyüklükteki bir denetim ekibi, üç yıl önceye kıyas­la:

● Çok daha fazla sistemi ve sü­reci kapsıyor (kapsam artıyor),

● Sonuçlar daha isabetli, tutar­lı ve derinlikli hale geliyor (kalite artıyor),

● Bulguları daha hızlı üretiyor (hız artıyor),

- Denetim başına düşen maliyet düşüyor (ekonomi sağlanıyor).

Bu noktada “kaliteli, kapsamlı, hızlı ve ekonomik” olma hali, bir anda değil, “zamanla” ve “kademe­li olarak” ortaya çıkıyor.

3. Gelecek: Sürekli ve akıllı denetim

Gelecekte bu dönüşümün odak kelimesi “continuous audit” (sü­rekli denetim) olacak.

Bilgi sistemleri denetimlerinde:

● Kullanıcı yetkilerindeki kri­tik değişiklikler gerçek zamanlı takip ediliyor.

● Önemli konfigürasyon deği­şiklikleri (örneğin firewall kural­ları) eşik değerleri aştığında oto­matik uyarı üretiliyor.

● Kritik log türleri (veri sızıntı­sı şüphesi, başarısız oturum açma sayısı, anormal veri transferi) sü­rekli izleniyor.

Bunun üzerine, yapay zeka des­tekli platformların devreye girme­siyle yeni bir seviye daha açılıyor.

Denetçi veya risk yöneticisi:

● Son 1 ayda yetki setinde ola­ğan dışı değişiklik yapılan kullanı­cılar kimler?

● Üretim ortamında, mesai sa­atleri dışında yapılan değişiklik­leri neler?

● Bu zafiyet tarama sonuçla­rından, en yüksek iş etkisine sahip olan ilk 10 sistemi listele

gibi soruları doğal dille sorup anlamlı ve özetlenmiş yanıtlar alabiliyor.

Bu tip platformlar, ham veriyi bilgiye, bilgiyi de daha hızlı ve isa­betli denetim kararlarına dönüş­türüyor. Böylece denetçi, zamanı­nın büyük bölümünü veri toplama ve sınıflandırmaya değil, “yorum­lama ve değer yaratmaya” harcı­yor.

Bu resmin gözden kaçan ama kritik bir boyutu daha var: Veri ka­litesi. Denetim ne kadar teknoloji destekli olursa olsun, beslendiği veri hatalı, eksik veya tutarsızsa, üretilen bulgular da o kadar zayıf olur. Kaliteli, hızlı ve ekonomik denetim hedefine yaklaşmanın en önemli adımlarından biri, veri­yi bir “yan ürün” değil, denetimin üzerine kurulduğu “temel varlık” olarak ele almaktır. Kısacası, veri kalitesine yatırım yapmadan, tek­noloji yatırımlarının gerçek po­tansiyelini denetim tarafında ha­yata geçirmek mümkün değildir.

Üçgen de değişiyor, dönüşüm var

Kaliteli, hızlı ve ekonomik bir bil­gi sistemleri denetimi, bir gecede elde edilecek bir başarı değil. An­cak doğru teknolojilerle, uygun bir yol haritasıyla, zaman içine yayıl­mış bir dönüşüm programı ile he­defe her yıl biraz daha yaklaşmak mümkün. Özetle bugünün denetim ekipleri için asıl soru: Önümüzdeki yıllarda, teknoloji destekli bir de­netim modeli kurarak hem kapsa­mı genişlettiğimiz hem hızı ve ka­liteyi artırdığımız hem de birim maliyeti düşürdüğümüz sürdürü­lebilir bir yapıyı nasıl inşa ederiz?