Finansal Teknolojilerde Kurumsallaşma Çalışmaları: Kalite Odaklı Süreç Yönetimi
Çiğdem Alev - Pınar Baş Eryüksel
Dijitalleşme çalışmaları sermaye piyasalarının her alanında yoğun bir şekilde artarak devam ediyor. Finans kurumları ile teknoloji şirketleri arasındaki iş birlikleri, partnerlik bakış açısıyla güçlenerek artıyor. Ülkemizdeki finans kurumlarının kurumsallaşmaya verdiği önem daha da arttı. Teknoloji şirketlerinin de kurumsallaşma adına yaptığı yatırımlar ve kalite odaklı süreç yönetimi yaklaşımları ile sektörümüzde kaliteli bir büyüme yaşanıyor. Finans sektörünün kurumsallaşma çalışmaları ile öne çıkan teknoloji şirketi İnfina Yazılım A.Ş.’nin Kalite Güvence Direktörü Çiğdem Alev ve Kalite Uyum Direktörü Pınar Baş Eryüksel’le, bu konudaki güncel gelişmeleri öğrenmek ve oluşturdukları katma değeri değerlendirmek üzere bir araya geldik.
1. "Kalite Güvencesi" gerçekten iddialı bir söylem. Bu kavramı biraz detaylandırabilir misiniz?
Çiğdem Alev: Kalite Güvencesi; ürün ya da hizmetin, kalite konusundaki beklentileri karşılaması amacıyla yeterli güveni sağlaması için geliştirilen, planlı ve sistematik faaliyetlerin bütünüdür. Süreçlerin standardize edilmesi de bu faaliyetlerden biridir. Süreçlerin standardize edilmesi, ürün kalitesinin süreç kalitesine bağlı olmasından dolayı son derece önemlidir. Standart ürün üretilmesi standart süreçlere bağlıdır. Her versiyonun aynı kalitede geliştirilmesi ancak aynı standart süreçlerin uygulanması ile mümkün olabilir.
Müşteri ihtiyaçlarının aynı kalite düzeyinde karşılanması, bu amaçla süreçlerin güvence altına alınması, hizmet verdiğimiz sektör dinamiklerini göz önünde bulundurduğumuzda son derece önem taşımaktadır.
İnfina Yazılım olarak bizim hedefimiz, yürüttüğümüz projelerin, hem teknik hem de iş modeli anlamında kalite seviyesini yükseltmek, olası riskleri azaltmak ve proje performansını ölçebilir noktaya getirmektir. Buna paralel olarak amacımız mevcut iş süreçlerimizi iyileştirerek, varsa bizi yavaşlatan unsurları belirlemek ve kişilerden bağımsız sistemlerin çalıştığı bir yapı oluşturmaktır.
2. Finans sektörü için ürün ve hizmet kalitesini güvence altına almanın önemi nedir?
Pınar Baş Eryüksel: Sermaye piyasalarında risk unsuruna genelde yatırımcıların gözünden bakılır ve “Piyasa Riski” ön plandadır. Kurumlar açısından bakıldığında ise birçok risk tanımı bulunmaktadır. Bunların en önemlilerinden biri de, iş sürekliliğini odağına alan “Operasyonel Risk”tir. İş sürekliliğine baktığımızda ilk sıralarda “Bilgi ve Veri Güvenliği” ile “Teknoloji Güvenliği” gelmektedir.
Hiç şüphesiz finans sektöründe özellikle yatırım bankacılığı alanında kesintisiz ve güvenilir hizmet sunmak çok önemlidir. Biz finansal teknoloji şirketi olarak hem kişisel bilgilerin hem de finansal varlıkların yer aldığı sistemler için uygulamalar geliştirmekteyiz. Bu nedenle bilgiye istenildiği zaman ulaşılabilmesi, doğruluğunun, bütünlüğünün korunması ve verilerin gizliliği son derece önemli.
BDDK’nın ve SPK’nın yayınladığı yönetmelikler gereği de hizmet kalitesi ve güvenirliği ile ilgili sorumluluklarımız büyük. Bu sorumlulukları en iyi şekilde yerine getirmek için hem sistemsel (donanım ve yazılım) anlamda hem de kaynak kapasitesi anlamında birçok yatırım yapmaktayız.
3. İnfina Yazılım’ın kalite güvence kapsamında yürüttüğü çalışmalar nelerdir?
Çiğdem Alev: Kaliteyi güvence altına almak adına yürüttüğümüz çalışmaları birkaç başlık altında toplayabiliriz.
Bunlardan biri, prosedür çalışmalarımızdır. Bu aşamada tüm iş süreçlerimizi tanımlı hale getirerek standartlaştırıyoruz. Proje Yönetimi, Ürün Yönetimi, Yazılım Geliştirme, Versiyon Testleri, Versiyon Yaygınlaştırma gibi standartlaştırdığımız süreçler sayesinde iş süreçlerimizi ve performansımızı ölçebiliyoruz. Varsa bizi daha da hızlandıracak unsurları tespit ederek süreçlerimizi iyileştirebiliyor, risklerimizi analiz edebiliyoruz. Dahası, riskleri azaltmak için önlem planları geliştirebiliyoruz ve kontrol noktaları belirliyoruz.
Bu prosedürleri bir bütün olarak uygulamak kaliteli bir yürütümü sağladığı gibi sonuçların da ölçülerek iyileştirilmesine olanak sunmaktadır. Böylece İnfina Yazılım tüm süreç ve hizmetlerini sürekli takip eden, muhtemel risklerini önden görebilen ve iyileştiren bir yapıya kavuşmuştur. Bundan sonraki çalışmalarımızda da bu yaklaşım geliştirilerek sürdürülecektir.
Bununla birlikte sahip olduğumuz belgeler, kurumların denetim süreçlerinde dış hizmet alımı kapsamında yerine getirmeleri gereken kontrollerin kolaylıkla yapılabilmesini sağlamaktadır. Tüm iç denetim süreçlerinde müşterilerimize yakın kalarak ihtiyaç halinde gereken denetim desteği verilmektedir.
4. Yeni bir ürün versiyonu, yaygınlaştırmaya hazır olmadan önce hangi süreçlerden geçiyor? Bir versiyonun yaygınlaştırmaya hazır olduğunu nasıl belirliyoruz?
Pınar Baş Eryüksel: Yazılım geliştirme süreçlerimizde “Agile” metodolojisini uyguluyoruz. Bir versiyonu sprintler halinde planlıyor, geliştirme aşamasında birim testler yazıyoruz. Test süreçlerimizi en üst seviyede otomatize ediyoruz. Bu, süreçlerimizi hızlandırmak adına büyük önem taşıyor. Zengin test senaryolarımızı uyguluyoruz. Test senaryolarımız tecrübeli ürün yönetimi ekibimiz tarafından oluşturuluyor.
Code review çalışmaları kapsamında kod bloğunda yer alan iyileştirilmesi gereken noktaları belirliyoruz.
Belirlenen araçlar ile statik kod analizi yaparak varsa koddaki gelişim alanlarını tespit ediyoruz. Tüm bunların dışında versiyon bazında performans ve entegrasyon testlerini gerçekleştiriyoruz. Senaryo testleri sonrasında mutlaka kullanıcı testlerinden geçiriyoruz.
Penetrasyon ve sunucu uyumluluk testleri sonrasında da versiyonun yaygınlaştırmaya hazır olup olmadığına karar veriyoruz.
Bu yaklaşımımız hizmet verdiğimiz finans kurumları her yeni versiyonu güvenli ve kontrollü bir şekilde kullanmaya başlıyorlar. Bu da memnuniyet kalitesini artırıyor.
5. Bilgi Güvenliği konusunda yapılan çalışmalardan da kısaca bahsedebilir misin?
Çiğdem Alev: Günümüzde Covid-19 pandemisinin özellikle bilgi güvenliği üzerindeki etkisi çok büyüktür. Uzaktan çalışma ortamının oluşmasıyla birlikte, siber saldırıların sayısının %500 oranında arttığına dair tespitler bulunmaktadır. Elbette bu saldırıların odağında banka, aracı kurum, portföy yönetim şirketi gibi para ve varlık akışında etkin finans kurumları bulunmaktadır. Kurumların bu yönde yapacağı eksik bir yatırım geri dönülemez sonuçlar doğurarak yatırımcılar açısından da büyük kayıplara yol açma riski oluşturmaktadır.
Tüm bunları göz önünde bulundurarak biz Bilgi Güvenliği kapsamında, sektör beklentisini hem yasal hem de gereklilik anlamında maksimum seviyede karşılıyoruz. ISO27001 sertifikamız mevcut olup bu standardın gereği olan risk analizlerimizi, iş süreklilik testlerimizi ve acil eylem planlarımızı her daim güncel tutuyoruz. Sahip olduğumuz sertifikanın sürekliliğini sağlıyoruz.
Kalite yönetiminde bir diğer önemli husus, kod kalitesinin ve kodun güvenlik seviyesinin sürekli geliştirilmesidir. Bu anlamda düzenli testlerden geçerek, sektörün giderek artan güvenlik standartlarına uyum gösteriyoruz. Konunun önemi ve güncelliği sebebiyle bu konudaki yatırımlarımızı da en güncel ihtiyaçlar doğrultusunda sürdüreceğiz.
Kalite güvence konularından bir diğeri de sürdürebilir eğitim. Eğitim başlığı altında, hem bilgi güvenliği hem de KVKK konuları ile ilgili farkındalığı arttırmaya yönelik tüm ekibimizin katıldığı eğitimler düzenliyor, bu eğitimleri de her yıl tekrarlıyoruz. Güvenlik anlamında kullanıcıların ve personelin bilinçli olması, konu ile ilgili farkındalığın olması noktasında çok önemli. Biz de bunu arttırmaya yönelik çalışmalar yürütüyoruz. Bununla birlikte finans kurumlarına sunduğumuz uzaktan sunucu (hosting) hizmeti kapsamında veri işleyen olarak veri sorumlusuna ait tüm sorumluluklarımızı yerine getiriyoruz.
En önemlisi de, tüm çalışmalarımızı ölçümleyebiliyoruz. İç denetim kapsamında tüm süreçlerimizi takip ediyoruz. Prosedürlere uyumu, hizmet ve ürün kalitemizi ölçüyoruz. Periyodik değerlendirmeler sonucu kaliteyi arttıran adımlar atıyoruz. Destek yoğunluğumuzu, bug analizlerimizi ve kaynak kod analizlerimizi periyodik olarak tekrarlıyoruz.
Bu yaklaşımın sonucu olarak çok önemli yatırımlar yaparak, ISAE3402 Denetim Güvence Raporu ve KVKK süreçleri için KPMG ile birlikte çalışmaktayız.
6. ISAE3402 Denetim Güvence Raporu hakkında biraz bilgi verebilir misiniz? Neden gereklidir, bu sertifikaya sahip olmak size neler kazandırıyor?
Pınar Baş Eryüksel: International Standard on Assurance Engagements (ISAE) 3402, uluslararası bağımsız denetim raporudur. Destek hizmeti kuruluşlarının firmalara verdiği hizmetlerin gerçekleşmesi sırasındaki iç kontrol ortamının yeterliliğine ilişkin güvence verir.
Infina Yazılım’a ait rapor, 1 Ocak 2021 – 31 Aralık 2021 dönemi için, KPMG tarafından 11 Ocak 2022 tarihinde, Tip 2 için hazırlanmıştır. 107 kontrol maddesinin tamamı bulgusuz kapatılmıştır.
Bankalar destek hizmeti alımına karar verirken firmaları değerlendirerek teknik analiz raporu hazırlamakla yükümlüdür. Rapor, bu çalışmalar sırasında destek hizmeti firmasının verdiği hizmet kapsamındaki kontrollerine ilişkin bağımsız bir görüş içerdiği için bankaların karar alma sürecinde önemli bir etkendir.
Bununla birlikte sahip olduğumuz ISAE3402 Denetim Güvence Raporu ile hizmet verdiğimiz çok sayıda bankanın talep edeceği denetimler için önceden hazırlıklı olmamız verimliliği ve güvenirliliği artırmaktadır.
Ayrıca bu raporla birlikte verdiğimiz servisler, bu servisleri verirken mevcut kontrol noktaları, kontrol noktalarının bankanın kontrol hedeflerine uygunluğu çok hızlı ve verimli bir şekilde değerlendirilmektedir. Bu sayede hem banka tarafında hem de İnfina Yazılım tarafında yüksek kalite ve verimlilik sağlamaktadır.
7. Bir finansal teknoloji şirketinin kalite ekibi olarak yaptığınız tüm bu çalışmalarda müşterilerden ve çalışanlardan nasıl bildirimler alıyorsunuz?
Çiğdem Alev: Aldığımız tüm geri bildirimler, yürüttüğümüz iyileştirme faaliyetleri açısından büyük önem taşıyor. Özellikle müşterilerimizden aldığımız geri bildirimler, bizim için önemli bir kalite değerlendirme parametresi olarak dikkate alınıyor.
Yaklaşık 90 müşterimizde 300’e yakın implementasyonumuz bulunmaktadır. Her müşterimiz ile periyodik memnuniyet görüşmeleri yapılmaktadır. Bu görüşmelerde aynı zamanda şirketimiz ile ilgili güncel haberler paylaşılmaktadır.
Kaliteyi artırmaya ve güvence altına almaya yönelik yaptığımız tüm çalışmaların müşterilerimize ve çalışanlarımıza olumlu bir etkisi oluyor, olumlu geri bildirimler alıyoruz. Belirlenen standartlar ve tanımlanan süreçler ile birlikte, daha konforlu ve güvenli bir çalışma ortamı yaratmış oluyoruz.
Süreçlerimize eklediğimiz kaliteyi ve güvenliği arttıran adımlar, sorunsuz versiyon geçişlerine, gerçekçi proje takvimleri ve iş planlarına, sağlıklı analiz ve test süreçlerine ve mevzuatsal değişikliklere hızlı adapte olabilmemize olanak sağlıyor. En önemlisi de işimizin her aşamasını ölçme şansı yaratıyor. Bu çalışmalar bizim, “Mutlu Müşteri” ve “Mutlu Çalışan” hedeflerimize ulaşmamıza yardımcı oluyor.
Pınar Baş Eryüksel: Müşteri memnuniyeti kadar müşteri güvenliğini de sağlamaya devam edeceğiz ve bunu yeni sertifikalar ile tescilleyeceğiz.
Kalite odaklı standartlar ile çalışarak risklerimizi minimize edip, kalitemizi güvence altına almamız sektör tarafından da çok olumlu karşılanıyor.
2020 yılında kurulan bu kalite yönetimi yapısı 2021 yılında bir iç denetim sorumlusu ile güçlendirildi. İnfina Yazılım kalite odaklı süreç yönetimi çalışmalarını hızla sürdürmektedir.
Hedefimiz kalite odaklı bu yaklaşımımızla, ürünlerimizin Türkiye dışında da yoğun kullanımını sağlamak ve Türkiye'nin önde gelen Fintech Şirketi olmaktır.
Değişimin hem içinde hem de öncüsü olmaya devam edeceğiz.
Çiğdem Alev – İnfina Yazılım A.Ş. Kalite Güvence Direktörü
Pınar Baş Eryüksel – İnfina Yazılım A.Ş. Kalite Uyum Direktörü