Bir finans müdürü, ay sonu kapanışında muhasebe sistemindeki yüzlerce fatura kaydının bot tarafından işlendiğini görüyor. Rakamlar doğru, süreler kısalmış, manuel giriş hataları ortadan kalkmış. Ancak iç denetçi masaya oturduğunda tek bir soru soruyor: ‘Bu işlemlerin hangisini kim yetkilendirdi, hangi kurala göre çalıştı, bir hata olsaydı kim devreye girerdi?’ Cevap yoksa otomasyon, verimliliği artırmış ama denetlenebilirliği yok etmiştir. Türkiye’de RPA (Robotik Süreç Otomasyonu) uygulamaları hız kazandıkça bu soru giderek daha fazla önem taşıyor.
RPA, tekrarlayan kural tabanlı işlemleri insan müdahalesi olmadan yürüten yazılım robotlarından oluşur. E-fatura eşleştirme, banka mutabakatı, stok güncelleme, e-Defter kayıt kontrolü gibi süreçlerde botlar dakikalar içinde yüzlerce işlem tamamlayabiliyor. Ancak bu hız, geleneksel iç kontrol mantığını zorluyor. İnsan bir işlem yaptığında kullanıcı adı, zaman damgası ve yetki seviyesi sisteme otomatik işlenir. Bot bir işlem yaptığında ise çoğu kurulumda aynı iz bırakılmıyor ya da iz bırakılıyor ama kimse onu okumak için bir süreç tasarlamıyor. Denetim açısından bu fark kritiktir.
Sağlam bir RPA yönetim çerçevesi üç katmandan oluşur: yetki tanımı, denetim izi ve hata eskalasyonu. Yetki tanımı katmanında her botun hangi sisteme, hangi veri aralığına ve hangi işlem türüne erişebildiği yazılı olarak belirlenir. Bot, bir kullanıcı gibi davranır; dolayısıyla kullanıcı yetki matrisi mantığı bota da uygulanmalıdır. Finans botunun muhasebe sistemine yazma yetkisi varken aynı botun insan kaynakları modülüne erişimi olmamalıdır. Bu sınır, teknik konfigürasyonda değil, önce yönetim kararında çizilir.
Denetim izi katmanı, botun her adımını kayıt altına alır: hangi kural tetiklendi, hangi veri okundu, hangi işlem yazıldı, işlem başarılı mı tamamlandı yoksa bir istisna mı üretildi. Bu kayıtlar yalnızca teknik log dosyası olarak saklanmamalı; iç denetim ekibinin anlayabileceği bir formata dönüştürülmeli ve belirli aralıklarla gözden geçirilmelidir. Pratikte çoğu KOBİ bu adımı atlıyor. Bot çalışıyor, işlemler tamamlanıyor, log dosyaları birikiyyor ama kimse onları okumuyor. Bir hata ya da usulsüzlük ancak mali tablo analizinde ortaya çıkıyor; o noktada geriye dönük izleme son derece güçleşiyor.
Hata eskalasyonu ise RPA kurulumunun en sık ihmal edilen bileşenidir. Bot bir işlemi tamamlayamazsa ne olur? Kural dışı bir veriyle karşılaşırsa sistemi kilitler mi, işlemi atlar mı, yoksa insan onayına mı yönlendirir? Bu soruların cevabı, otomasyon tasarımında değil iş süreci tasarımında verilmelidir. İyi kurulmuş bir RPA sisteminde bot, tanımlanmış kural dışına çıktığı anda ilgili sorumluya otomatik bildirim gönderir ve o işlemi askıya alır. Böylece otomasyon, hataları gizleyen değil hataları görünür kılan bir mekanizmaya dönüşür. Bu yaklaşım, iç denetim açısından RPA’yı kontrol zafiyeti olmaktan çıkarıp kontrol güçlendirici bir araç haline getirir.
Uygulamada en yaygın sorun, RPA projesinin BT departmanı veya süreç iyileştirme ekibi tarafından yürütülmesi ve iç denetimin projeye sonradan dahil edilmesidir. Bot canlıya alındıktan sonra denetim çerçevesi eklemeye çalışmak, temeli atılmış bir binaya sonradan deprem yalıtımı yapmaya benzer; mümkün ama maliyetli ve eksik kalır. İç denetim ekibinin RPA proje döngüsüne tasarım aşamasında girmesi, hem uyum riskini azaltır hem de sonradan yapılacak yeniden yapılandırma maliyetini ortadan kaldırır. Öte yandan Türkiye’deki e-Fatura ve e-Defter zorunlulukları düşünüldüğünde, GİB uyumu gerektiren süreçlerde bot işlemlerinin izlenebilirliği yasal bir gereklilik boyutuna da taşınmaktadır.
RPA yatırımının gerçek değeri, yalnızca işlem hızında değil denetlenebilir ve tekrarlanabilir bir süreç altyapısı kurmakta yatıyor. Bir yönetici olarak şu soruyu sormak gerekiyor: Botlarım çalışırken ben nerede duruyorum? Eğer cevap ‘raporları bekliyorum’ ise yönetim boşluğu var demektir. Yetki matrisi tanımlanmış, her işlem loglanmış, istisnalar insan onayına yönlendirilmiş ve bu yapı periyodik olarak iç denetim tarafından gözden geçiriliyorsa RPA gerçek anlamda kurumsal kontrolü güçlendirir. Aksi halde otomasyon, verimliliği artıran ama denetim açığı üreten bir kara kutuya dönüşür.