Anasayfa / Yazarlar / Ceyhun ARCA / Denetim Sürecinin Geleceği Üzerine Veri Madenciliği ve Risk Odaklı Yeni Yaklaşımlar

Denetim Sürecinin Geleceği Üzerine Veri Madenciliği ve Risk Odaklı Yeni Yaklaşımlar

Sponsorlu Bağlantılar

Bilişim teknolojileri alanında sağlanan müthiş ilerlemelere karşın, özellikle kamu sektöründeki denetim yapısı, halen büyük çoğunlukla, rutin teftişler veya incelemeler sırasında tespit edilen eksiklik ve aksaklıklar ile ancak ihbar veya şikayet yoluyla ayrıntısı hakkında bilgi edinilebilen yolsuzluk ve usulsüzlükler üzerine harekete geçebilmektedir. Oldukça karmaşık verilerin içerisinde kaybolmanın ve geriye dönük inceleme-soruşturma sürecinin getirdiği zorluklar karşısında bilişim teknolojilerini daha yoğun kullanarak usulsüzlüklere önceden veya anında müdahale edebilecek veya bunları ortaya çıkmadan önleyebilecek (proaktif) bir anlayışa geçilmesi konusunda bazı yeni denetim yaklaşımları önerilmektedir.

Bilişim teknolojilerindeki ve buna paralel olarak e-Devlet alanındaki gelişmeler denetimi çeşitli şekillerde etkilemektedir. En temel ve yaygın olan etki, klasik denetim yöntem ve tekniklerinin teknolojinin sunduğu yeni olanaklar kullanılarak yerine getirilmesidir. Burada, denetim fonksiyonunun niteliğinde önemli bir değişikliğe gidilmemekte, teknolojiyle denetime verimlilik, hız, güvenilirlik, tespit ve önleyicilik açılarından katkıda bulunulmaktadır. (1)

Bilişim alanındaki gelişmeler ve devlet bilgi sistemlerinin gelişmesi sonrasında, denetimde bir ileri aşamaya geçilerek denetimlerin bilgi sistem altyapılarını yoğun olarak kullandığı, bilgi ve risk esaslı olarak gerçekleştirildiği, daha kapsamlı, geneli daha iyi kavrayan ve çözüm üreten yeni denetim yöntem ve teknikleri kullanılarak yapılması söz konusu olmaktadır. Bilişim teknolojilerindeki gelişmeler, aynı zamanda yeni denetim alanlarının da ortaya çıkmasına neden olmaktadır (bilişim sistemlerinin denetimi, bilgilerin doğruluğu ve güvenliğinin sağlanması gibi hususlar).

Klasik teftişlerde, teknolojik ve zaman kısıtları nedeniyle ilgili idarenin işlem, dosya ve/veya mükelleflerin belli kısmının incelenmesi mümkün olmakta iken ülkemizde ilk olarak (eski) Maliye Teftiş Kurulu tarafından uygulamaya konulan “e-Teftiş” imkanları (1) ile önceden hazırlanan parametreler kullanılarak ilgili dairenin tüm işlemleri denetlenebilir hale gelmiştir. Bu da, teftişin incelenen işlem açısından kapsamının en üst düzeye çıkarılması anlamına gelmektedir.

Teftişlerde, sadece dairedeki verilerin ve dosyaların esas alınması yerine farklı kurum ve kuruluşlardaki bilgi sistemleri ve veriler kullanılmak suretiyle çapraz kontroller de mümkün hale gelmiştir. Böylece teftişte dikkate alınan parametreler, veriler artmış ve teftişte daha fazla derinlik sağlanmıştır. Örneğin; kullanımı tüm ülke çapına yayılmış önemli sosyal yardım müesseselerinden birini oluşturan yeşil kart hakkından, gerçek hak sahibi olmayanların yararlanmasının önüne geçilmesi amacıyla (eski) Maliye Teftiş Kurulu’nun “e-Teftiş” çalışmaları kapsamında iller bazında (2010 yılı için 20 ilde) sırayla yeşil karttan yararlananların durumu tek tek çapraz kontrole tabi tutularak, Sağlık Bakanlığı Bilgi İşlem Merkezi, Tapu, Sosyal Güvenlik Kurumu, GİB-BİM (Gelir İdaresi Başkanlığı Bilgi İşlem Merkezi) verileri bir havuzda değerlendirmeye tabi tutularak çapraz olarak karşılaştırılmış ve kolaylıkla hak sahibi olmayan kişiler belirlenmek suretiyle yapılan tespitlerde çok sayıda evi, arabası olan, hatta şirket ortağı bulunanların haksız yere yeşil kart kullandıkları tespit edilmiştir. Bu tespitler neticesinde, sosyal boyutlu bir sistemin kötüye kullanılması, kamudaki değişik veriler bir arada değerlendirilmek suretiyle engellenmiş, kötüye kullanımların neden olduğu Hazine zararı ilgililerden cezası ile birlikte takip edilebilir hale gelmiştir.

Teftiş sırasında tüm işlemlerin belli parametre ve sorgular kullanılarak incelenmesi; hata, kayıt dışı ve yolsuzluk riski yüksek işlemlerin belirlenmesine ve teftişte risk düzeyi yüksek bu unsurlar üzerinde yoğunlaşılmasına daha fazla imkan tanımaktadır. Bu ise “e-Teftişlerin” risk esaslı bir yaklaşımla (risk based approach) gerçekleştirilmesi anlamına gelmektedir.

Sosyal Güvenlik Kurumu da birçok özel sağlık sigorta şirketi gibi, sahteciliklerin tespitini çoğunlukla, uzmanlarının yardımıyla ve geriye dönük analizlerle (reaktif sistemler) yapmaktadır. Fakat artan işlem hacmi ile birlikte bu süreç çok zaman alıcı ve zor hale gelmiştir. Bundan dolayı, insan gücünün yerini alacak, büyük veri tabanlarının (ambarlarının) analizini gerçekleştirerek hızlı sonuç veren yazılımlara ve veri madenciliği yöntemlerine ihtiyaç duyulmuştur. Kural dışı bir işlemin, yanlışlıkla mı yapıldığı yoksa bir sahtecilik mi olduğunun anlaşılması derin bir uzmanlık ve daha vaka odaklı bir soruşturma gerektirmektedir. Bu nedenle sahtecilik tanısını yapmak için geliştirilen bilgisayar sistemlerinin birçoğu yine konunun uzmanlarına ihtiyaç duymaktadır. Sektörün yaşamakta olduğu sorunun büyüklüğü ve büyük veri bankalarının etkin bir şekilde analizini gerektiren sistemlerin geliştirilmesi bilim insanlarının konuya olan ilgisini arttırmıştır. Özellikle Avustralyalı ve ABD’li araştırmacıların ilgisini çeken bu probleme, Avrupa Birliği de önem vermiş ve 6. Çerçeve Programında bu konuda yapılan iWebCare (2) araştırmasını desteklemiştir.

Sosyal Güvenlik Kurumu, bu amaçla 2012 yılı içinde yayımlanan bir Yönerge ile Kurum bünyesinde Merkezi Risk Analizi ve Değerlendirme Kurulu ile Risk Analizi ve Sürekli Denetim Grup Başkanlığı ihdas etmiştir. İlgili Grup Başkanlığı’nın başlıca görevleri arasında; “Sosyal güvenlik uygulamalarında riskli noktalara yönelik veri madenciliği analizleri gerçekleştirmek”, “Kurumun bütün faaliyet alanlarını kapsayacak sürekli denetim modeli geliştirmek, bu model için gerekli projeler hazırlamak, modelin işlemesine yönelik sistemleri kurmak, sistemleri işletmek, analizleri gerçekleştirmek ve sonuçları ilgili birimlerle paylaşmak ve izlemek” ve “Risk analiz sonuçlarıyla riskli görülen alanlarda riskin ortadan kaldırılmasına yönelik projeler geliştirmek, diğer birimlerde yürütülen projelerle ilgili görüş bildirmek, bu projelerin hedefleri doğrultusunda ilerlediğini izlemek ve değerlendirmek” gibi proaktif yaklaşım esaslı bentler sayılmaktadır.

Akademisyenler Koyuncugil ve Özgülbaş, 2009 yılında yayımladıkları bir makalede (3); bilişim teknolojilerindeki gelişmelerin, klasik insan temelli teftiş yöntemlerinin yerini, gün geçtikçe daha fazla, otomasyona dayalı gözetim ve denetim sistemlerinin almasına yol açtığını, önceleri insan eliyle yapılan hesaplama ve sorgulamaların yerini, bilişim teknolojileri destekli sistemlere bırakmaya başladığını ve neredeyse düşünüp karar veren akıllı algoritmalarla artık potansiyel riski algılamaya ve önlemeye yönelik sistemlerin gündeme geldiğini belirtmektedirler.

Anılan makaleye göre; sağlık hizmetlerinin sunumunda ortaya çıkan hata ve suistimal arasındaki farkın ortaya konulması, risklerin minimize edilmesi ve gerekli önlemlerin bu ayrıma göre alınması hasta güvenliği açısından zaten oldukça önemli bir konuyken, başta sosyal güvenlik kurumları ve özel sigorta şirketlerinin ödemeleri olmak üzere tüm sağlık ödemelerinde de suistimalle karşılaşılabilmektedir (hastanın bilgisi dışında; erkeklere gebelik testi, kadınlara prostat kontrolü gibi örnekler). Bu durumda; tipik “Veri Madenciliği” araçları olan “Karar ağaçları” ve “Birliktelik kuralları” yöntemleriyle, yalnızca mantıksal tutarlılık denetimi değil, aynı zamanda suistimal örüntüsünün detayları da elde edilerek, “ad hoc” (amaca özel) çözüm önerileri geliştirmek mümkün olabilecektir.

Aynı makalede; Sosyal Güvenlik Kurumu’nun fatura yolsuzluğu, yeşil kart suistimali gibi usulsüzlüklerin tespitinin zorluğunu giderebilmek amacıyla “örneklem” çekerek yaptığı denetimler de etkin çözüm olarak görülmeyerek, suistimallerin aykırı veya uç değer olarak değerlendirilebileceği, ardışık olarak “Hiyerarşik” veya “K-ortalamalar Kümeleme Analizi” veya iteratif (yinelemeye dayalı) bir süreç söz konusu ise “Birliktelik Kuralları” gibi veri madenciliği algoritmaları kullanılabileceği ileri sürülmüştür.

Bir başka çalışmada ise; hak sahibi (sigortalı), Doktor, Hastane ve Eczane olmak üzere dört aktör ile çok sayıda farklı bilinen (sigortalı olmamasına rağmen sigortalı birinin hakkından yararlanılması, gereksiz bir tedavinin uygulanması veya gereksiz ilacın yazılması, yapılmayan bir tedavinin ya da verilmeyen bir ilacın masraflarının talep edilmesi, bir tedavi masrafının ya da bir ilacın ederinden fazla beyan edilmesi gibi) ve bilinmeyen sahtecilik türlerinin ilişkisi, veri madenciliği teknikleri ve bu konuda evvelce yapılan araştırmalarda elde edilen veriler kullanılarak ortaya konulmaya çalışılmıştır. (4)

Yukarıda da yer verildiği üzere; büyük hacimli verilerin analizi ve olağan olmayan işlemlerin tespiti için kullanılabilecek en etkin istatistiki yöntemlerden biri veri madenciliği yöntemi olup, bu yöntem; son yıllarda muhasebe ve denetim alanında uygulanmaya başlanmıştır. Hali hazırda bu yöntem, sağlık, finans, telekomünikasyon ve perakende sektörlerinde kullanılmaktadır. Teknolojideki gelişime bağlı olarak artan hile ve usulsüzlükler, başta Amerika Birleşik Devletleri olmak üzere diğer gelişmiş ülkelerde hile denetiminde “adli muhasebe” (forensic accounting) ismiyle yeni bir mesleğin doğmasına da neden olmuştur.

Hilenin ortaya çıkartılması için kullanılan proaktif (önleyici) yöntemler iki grupta toplanabilir. Bunlar; tümevarım ve tümdengelim yöntemleridir. Hilenin tespit edilmesinde kullanılan iki proaktif yöntem de birbirlerine benzer özelliklere sahiptir. Bu yöntemler, geniş çaplı veri tabanlarının araştırılması yoluyla hilenin neden olduğu anormallikleri ortaya çıkarmaktadırlar. İki yöntem de özel bir hileden şüphelenilmemesine rağmen bir şey çıkacak ümidiyle yapılır. Tümevarım yöntemlerinin uygulanmasında veri madenciliği yazılımlarından ve dijital analiz tekniklerinden (Benford yasası – insanların rastlantısal sayı üretemeyecekleri varsayımına, sayıların normal olarak aynı durumda ortaya çıktığı veya olayın diğer olaylarla ilişkili olduğu ve genellikle 1, 2, 3 ile başladığı esasına dayanan varsayımlar bütünü) yararlanılmaktadır. (5)

Veri madenciliği; veri ambarlarında tutulan çok çeşitli verilere dayanarak daha önce keşfedilmemiş bilgileri ortaya çıkarmak, bunları karar vermek ve eylem planını gerçekleştirmek için kullanma sürecidir. Bundan dolayı kendi başına bir çözüm değil, çözüme ulaşmak için verilecek karar sürecini destekleyen, problemi çözmek için gerekli olan bilgileri sağlamaya yarayan bir araçtır. Diğer bir ifadeyle veri madenciliği; verilerin içerisindeki örüntülerin, ilişkilerin, değişimlerin, düzensizliklerin, kuralların ve istatistiksel olarak önemli olan yapıların keşfedilmesidir. (5)

Denetim şirketleri ve prosedürleri, kurumlardaki hile ve usulsüzlükleri tespit etme ve önlemede yeterli değildir. Özellikle denetim şirketlerindeki standart denetim prosedürleri, çoğu durumda hile ve usulsüzlüklerin tespiti için yeterli olmamaktadır. Bu eksikliklerin giderilmesi ve şirketlerde özellikle yönetim hilelerinin tespiti amacıyla veri madenciliğine ihtiyaç duyulmaktadır. Bu amaçla çok sayıda veri madenciliği algoritmaları veya yöntemleri hile tespiti için şirketlere adapte edilmektedir. Veri madenciliği algoritmaları ile sadece hile ve usulsüzlükler tespit edilmemekte, hile ve usulsüzlüklerin önlenmesi de mümkün olmaktadır. (5) .(www.isvesosyalguvenlik.com)

Ceyhun ARCA*

——————————

* Müfettiş, Sosyal Güvenlik Kurumu

 

(1) Arif KAPANOĞLU & Bahri SÖKMEN & Hasan AYKIN, “Kayıtdışı Ekonomi ve Yolsuzlukla Mücadele Açısından Maliye Teftiş Kurulu Elektronik Denetim Uygulaması”.

(2) The iWebCare Project; “usulsüzlüklerin ortaya çıkarılmasında ve önlenmesinde kamu yöneticilerine yardımcı olan gelişmiş bilgi ve iletişim teknolojisi araçlarının geliştirilmesini amaçlayan projedir”, http://iwebcare.iisa-innov.com/ .

(3) Ali Serhan Koyuncugil & Nermin Özgülbaş, “Veri Madenciliği: Tıp ve Sağlık Hizmetlerinde Kullanımı ve Uygulamaları”, Bilişim Teknolojileri Dergisi, Cilt: 2, Sayı: 2, Mayıs 2009.

(4) İlker KÖSE & Mehmet GÖKTÜRK & Kemal KILIÇ, “Sağlık Geri Ödeme Sistemlerinde Kural Dışı Davranış Tespitinde Aktör-Metâ Odaklı Yaklaşım”, VII. Ulusal Tıp Bilişimi Kongresi Bildirileri.

(5) Serkan TERZİ, “Hile ve Usulsüzlüklerin Tespitinde Veri Madenciliğinin Kullanımı”, Muhasebe ve Finansman Dergisi, Nisan 2012.