Fatih Coşkun
CODEVIST
Founder
Fintech oyuncuları için; bankacılık sektöründe halihazırda kullanılan altyapıları ve onların geliştirilmesinde yaşanan sorun ve darboğazları anlamak oldukça önemli ve önceliklidir.
Bankalar için fintech ve InsurTech gibi popüler kavramlar, halihazırda kendilerinin icra ettiği belli iş kollarını dikeyleştiren, modern bulut sistemleri ve güncel teknolojilerin getirdiği avantajlarla hızlı icra kabiliyetine sahip şirketleri ifade eder. Öte taraftan yadsınamaz bir gerçek olarak şunu ifade edebiliriz: Türkiye ve dünyada kullanılan bankacılık ve sigortacılık yazılımlarının hemen hemen hepsi çok eskiden dizayn edilmiş, halihazırda çalışan kökleşmiş yazılımlardır. Projelerini bankalara satmak, bankalarla iş birliği yapmak isteyen veya bankaların küçük de olsa birer rakibi haline gelmeyi hedefleyen fintech oyuncuları için; bankacılık sektöründe halihazırda kullanılan altyapıları ve onların geliştirilmesinde yaşanan sorun ve darboğazları anlamak oldukça önemli ve önceliklidir.
Problem nerede?
Bir problemi çözmek veya yaşanan sorunları tekrar tecrübe etmemek için öncelikle yapılması gereken, problemi ve problemi meydana getiren sebebleri tespit etmektir. Günümüzde bankacılık altyapılarında ortaya çıkan problemlerin en büyük sebebi, bankacılık yazılımlarında kullanılan eski teknolojinin ve yazılım mimarilerinin, yıllar boyunca kurum içinde oldukça köklü hale gelmesi sonucu, değiştirilmesinin ve hatta güncellenmesinin oldukça zor bir hal almasıdır. Burada bürokratik ve ağır işleyen yapı, çalışıyorsa dokunmayalım mantığı, yeni teknolojilere geçmek için gereken eğitim, insan ve teknoloji yatırımlarının yapılmaması veya oldukça geç yapılması, bu yatırımların iyi yönetilmemesi de diğer etkenler olarak önümüze çıkıyor. Değişime ayak uydurulmaması sonucu bu problem, bir süre sonra kısır döngü haline geliyor ve bu durum sistemi insanlara bağımlı, değiştirilmesi zor ve korkutucu bir hale getiriyor. Bankaların tamamen inovatif, her yönüyle online ve otonom yapılara geçme iradesi göstermemesi de bu durumu tetikliyor.
Oysa bankacılık müşterilerine yapılan memnuniyet anketlerini ve bankaların büyüme hızlarını karşılaştırdığımız zaman, bu süreçleri uygulayan, değişime ayak uyduran ve yatırım yapan, yenilikçi ve online servislere önem veren bankaların memnuniyet göstergelerinin rakiplerinden bir hayli önde olduğunu görebiliriz. (Türkiye Müşteri Memnuniyeti Endeksi, Mali Kuruluşlar Anketi)
Genellikle, risk ve uygunluk birimleri ya da güvenlik otoriteleri tarafından yapılan gözetim ve düzenlemelerde finansal oyuncularda modern teknolojileri kullanmanın imkansız olduğunu duyuyor ve görüyoruz. Bunun sebebini, kural koyucuların bu kuralları çok eski tarihlerde ortaya atmasına ve zaman içinde yenilememesine bağlıyorum.
Fintech altyapıları hakkında sıkça duyulan efsaneler:
1 – Altyapınızı bulut üzerinde konumlandıramazsınız:
Bulut bilişim ile ilgili temel çekince veri koruması ve gizlilik konusunda yaşanmaktadır. Bir diğer çekince ise popüler bulut bilişim sistemlerinin veri merkezlerinin ağırlıklı olarak yurt dışında olması ve verinin yurt içinde saklanması gerekliliği. Oysa yurt içinde de bu konuda güzel çalışmalar yapan altyapı firmalarımız mevcut. Yapılan araştırmalara baktığımızda, 2017 yılının sonunda Global 1000 şirketlerinin yüzde 50’sinden fazlasının önemli müşteri bilgilerini bulutta depolayacağı öngörülüyor. Bulut bilişim altyapısını kullanan oyunculara örnek vermek gerekirse, Simple Bank veya FINRA (Financial Industry Regulatory Authority) tüm altyapılarını Amazon Web Services üzerinde konumlandırıyor.
2 – Bankacılık yazılımlarında açık kaynak kodlu yazılımlar kullanamazsınız:
Bu çokça kabul gören bir yaklaşım. Oysa birçok yazılım içinde açık kaynak kodlu yazılımları zaten barındırıyor. Örnek vermek gerekirse birçok bankamızın ve sigorta şirketimizin altyapı yazılımı bizim de belli projelerde kullandığımız “.Net” platformu üzerinde geliştirilmiş durumda. “.Net” geçtiğimiz yıl itibarıyla Microsoft tarafından açık kaynak kodlu hale getirildi ve tüm kaynak kodları “Git” üzerinden geliştiricilerle paylaşıldı. Burada önemli olan ve bankaların IT birimleri tarafından dikkat edilmesi gereken nokta, kullandıkları yazılım kütüphanelerin bağımlılıklarını iyi bilmeleri. Kullanılan açık kaynak kütüphanelerin kendi veya onun içinde kullandığı kütüphanelerde olası güvenlik açıklarını takip etmek güvenli yazılım geliştirme anlamında iyi bir pratik olacaktır.
3 – Bankacılık / fintech altyapınızı Javascript ile inşa edemezsiniz:
Son yaptığımız fintech projesinin API taraflarını “Node.js” ile ayağa kaldırdık ve bu sistem yapılan penetrasyon testlerini başarıyla geçti.
4 – Güvenli yazılımlar göze güzel gözükmez:
Güvenlik mühendislerinin, Belirsizlik Yoluyla Güvenlik2 ismiyle adlandırılan bir yaklaşımı vardır. Bu yaklaşım; eski ve yalın ekranlara sahip, belirsizliğe dayanan bir sistem veya bileşenin güvenlik açıklarına sahip olabileceğini kabul eder. Öte yandan kusurlar bilinmiyorsa, yapılacak herhangi bir güvenlik saldırısının da buradan sorun ve sıkıntı çıkarmayacağını düşünürler. Bu şekilde bir senaryo ile yola çıkıldığında sonuç tamamen güvensiz bir sisteme sahip olmanıza neden olur ve bu aynı zamanda son kullanıcıya odaklanmanızı engeller.
Aslında kötü bankacılık ve fintech yazılımların oluşmasının temel nedenleri, herhangi bir sektörde kötü bir yazılım ortaya çıkmasıyla aynı nedenlerdir: Yazılıma gerekli önceliği vermemek, son kullanıcıya ve isteklerine odaklanmamak… Organizasyonunuz içinde iyi bir yazılım oluşturmaya öncelik vermek oldukça önemlidir. Ürünün başarısını sadece yazılıma önem vererek sağlayamazsınız. Aynı zamanda kullanıcıya, kullanıcıdan gelen geri dönüşlere ve iş ortağınızın veya IT takımınızın bu istekleri içselleştirmesi ile başarabilirsiniz.
Neler Yapmalıyız?
Sürekli iyi ürünler üretmeye yönelik bir yaklaşımda bulunmak istiyorsanız bunun ilk adımı belli standartlara sahip olmaktır. Aşağıda, ürün ve yazılım tasarım kararlarımızı yönlendiren ve bizim de kabul ettiğimiz temel standartların açıklamaları bulunuyor. Bu standartların özellikle iyi fintech ve bankacılık ürünleri üretmekle alakalı olduklarını düşünüyorum, ancak bu yaklaşımlar herhangi bir sektöre de rahatlıkla uygulanabilecek kadar geniş perspektifteler.
1 – Yeni teknolojileri takip etmek ve uygulamak:
Yeni teknolojileri takip etmek ve uygulamak fintech’lerin ve hatta bankaların olmazsa olmazlarındandır. Burada kilit nokta ise o teknolojinin veya yaklaşımın rüştünü ispat edecek seviyede piyasada kullanılmasıdır. Kullanacak teknolojide first-mover (ilk kullanan) olmak çeşitli zorluklara yol açar. Öte taraftan, çok eskide kalan teknolojiler ve yaklaşımlarda ısrar etmek hem rekabet avantajınızı ve yetenekli insanları kaybetmenize, hem de çağın gerisinde kalmanıza neden olur.
2 – Veriye dayalı gerçek zamanlı kararlar üretmek:
Bugün bankacılık süreçlerine baktığımız zaman birçok sürecin veya kararın hala veri odaklı olarak verilmediğini rahatlıkla görebiliriz. Buradaki karar destek sistemlerinin çoğunun manuel olarak veya yazılımdan oldukça az destek alarak yapıldığını görebiliriz. Örneğin bir kredi veya kredi kartı başvurusunda bulunduğunuz zaman hızlı ön başvuru yapabilmenize rağmen çoğu zaman bu sürecin devamı manuel olarak ilerler ve gerçek zamanlı olarak işlemez.
Öte taraftan, bir bilgi veya belge istediğinizde, sizi dijital kanallardan, şube vb. bire bir kanallara davet eden bankaların sayısı azımsanmayacak derecededir. Oysa devlet bile bu süreçleri otomatize ve elektronik hale getirmeye başladı.
Dijital kanalların ana kullanım noktası haline geldiği günümüzde, kullanıcılar gerçek zamanlı işlem ve onay süreçlerini önemsiyorlar ve bunu başarabilen bankaların en hızlı büyüyen bankalar olduğunu rahatlıkla söyleyebiliriz.
Fintech’lerde ürünler de tamamen online yapıya bürünmeli, süreçlerini tamamiyle otomatize etmeli ve bu bariyerlerin aşılması için gerekli çalışmaları yapmalıdır.
3 – API Yönelimli (API Driven) olmak:
Veriye dayalı ve gerçek zamanlı karar vermenin yanında API Yönelimli olmak, diğer oyuncularla hızlı iş birliklerini ve sektörün büyümesini de beraberinde getiren bir diğer etkendir. Bugün Türkiye’de ve dünyada fintech yazılımlarının gelişmesinin önündeki en büyük engellerden biri bankaların ve büyük oyuncuların sistemlerini ve altyapılarını API’ler vasıtasıyla dış dünyaya açmamalarıdır. Bu noktada eğer fintech’lerde bankalarla ve diğer oyuncularla aynı görüşte olur. Verdiği ve önerdiği değerleri birer API olarak dış dünya ile paylaşmazsa iş birliklerinin gelişmesi, sektörün büyümesi ve yeni girişimciler ve girişimlerin ortaya çıkması olumsuz etkilenir.
Bu konuda benim de çok sevdiğim bir örnek vermek istiyorum: Yurt dışında hepimizin bildiği ve çok başarılı bir fintech servisi olan Stripe, API’lerini geliştiricilere açtı. Bunun hemen akabinde bir girişimci/geliştirici bu API’leri kullanarak BareMetrics adıyla bir analitik dashboard uygulaması geliştirdi. Sonrasında bu şirket ilk yatırımını (500 bin dolar) API’lerini kullandığı Stripe tarafından aldı.
4 – Şeffaflık:
Mevcut finans ve bankacılık teknolojilerinin merkezinde şeffaflık ve gizlilik arasında bir ikilem yaşandığı aşikar. Yazılımın doğasında şeffaf olmak vardır. İdeal finansal yazılımlar hem müşteriler hem de denetçiler için şeffaf olmalıdır. Bu konuda örnek vermek gerekirse bir müşteriye, müşteri limiti veya kredi puanı için 82/100 gibi bir puan verildiğini varsayalım. İstenildiği takdirde bu puanı oluşturan sebepler müşteri tarafından şeffaf şekilde görülebilmedir. Bir başka örnek vermek gerekirse, geliştiricilere açtığınız API’ler veya web servislerin nasıl çalıştığını, gerektiğinde görüp rahatlıkla inceleyebilmeleri gerekir.
SONUÇ
Toparlamak gerekirse, insanlar genelde iyi bir yazılımın yalnızca onu geliştiren ve entegre eden geliştiricilere veya sisteme faydalı olduğunu düşünürler. Yukarıda saydığımız standartlarla geliştirilen her yazılım, yalnızca o yazılımı geliştiren veya entegre eden geliştiricilerin hayatını daha iyi hale getirmekle kalmayıp bütün bir sektörü ve müşteri deneyimlerini daha iyi hale getirecektir.
ŞEFFAFLIK TESTİ:
Sisteminiz aşağıdaki sorulara olumlu cevap veriyorsa sisteminiz ve yazılımınız tam olarak şeffaf sayılmaz:
- Kod ve yazılım dokümantasyonu sadece PDF’den ibaret.
- Bir sandbox ortamı yok.
- Müşteriler veya iş ortakları, bir gizlilik veya iş birliği sözleşmesi imzalamadan test ortamına erişemiyor veya sorgu çalıştıramıyor.
- Test verileri gerçek verilerden kalıtılmamış, anlamsız ve birbirinden bağımsız verilerden oluşuyor.
- “Sistem tam olarak nasıl çalışıyor?”, “Bu veriler nerden geliyor?” veya “Bunu nasıl yaptınız?” sorularına verilecek net bir cevap yok.