Müfettiş Defterinden Veri Modeline: Risk Analizinde Yapay Zekâ
Yirmi yıl önce şüpheyi gözlemle, sezgiyle yakalardık. Bugün model, şüpheyi bizden önce işaretliyor. İyi haber mi, kötü haber mi?
1998 yılında Bursa Defterdarlığı'nda Vergi Müfettişi olarak göreve başladığımda, yanımda yalnızca bir not defteri, bir Vergi Usul Kanunu kitabı ve onlarca yılın deneyimini sırtında taşıyan kıdemli meslektaşlarımın sözlü mirası vardı. Bir incelemeye girerken 'bu defterde garip bir şey var' duygusu çoğu zaman ilk sayfanın ilk üç maddesinde başlardı. Sezgi, somut delili çağıran bir önsözdü. Bugün, sezginin yerini bir model alıyor.
Gelir İdaresi Başkanlığı'nın Denetim Dairesi Başkanlığı'nda görev yaptığım yıllar, Türk vergi idaresinin 'risk' kavramını kurumsal süreçlerine dahil ettiği dönemdir. O zamanın 'Vergi Denetim Otomasyon Sistemi' (VEDOS), basit kural tabanlı kontroller yapan bir altyapıydı: KDV iadesi başvurusunda mahsup-iade tutarsızlığı, BA/BS bildirim eşleşmesindeki sapma, sektörel ortalama dışına çıkan brüt kâr marjı. Bunların hepsi kural setleri ile yakalanıyordu. Bugün geldiğimiz nokta kıyaslanmaz.
Kural motorundan model motoruna
Modern risk analiz sistemleri, makine öğrenmesi destekli, çok değişkenli ve büyük ölçüde 'denetimli öğrenme' temelinde çalışıyor. Yani idare, geçmiş yıllarda gerçekleştirdiği ve sonuçlanmış inceleme dosyalarını eğitim verisi olarak kullanıyor. Algoritma, hangi mükellef profilinin hangi koşullarda hangi tip tarhiyatla sonuçlandığını öğreniyor ve gelecekteki olası riskleri puanlıyor. Bu, kuraldan modele geçişin teknik tanımıdır.
Pratik sonucu şudur: artık sistem, 'BA bildirimi eksik' gibi tek değişkenli bir mantıkla değil, 'son üç yılda iki kez KDV iadesi alan, sektörel brüt kâr ortalamasının altında çalışan, çalışan sayısı dönemsel olarak dalgalanan, banka tahsilatlarının üçte ikisi tek bir alıcıya yoğunlaşan firma' gibi katmanlı profillerle çalışıyor. Bir mükellefin bu profilin neresinde durduğu, ona özgü bir risk skoru üretiyor. İnsan müfettişi bu skoru ilk açtığında, dosyanın hangi başlık altında ele alınacağına ilişkin somut bir yol haritası buluyor.
İdarenin kazandıkları
Risk modellerinin idareye sağladığı kazanım yadsınamaz. Sınırlı sayıdaki müfettişin, fiilen çalışan milyonlarca mükellef arasında zamanını nasıl bölmesi gerektiği sorusu, vergi idaresinin tarihsel kıt kaynak sorunudur. Model destekli sevk, müfettişin sahada geçirdiği zamanın geri dönüş oranını ciddi ölçüde artırıyor. Eski sistemde tarhiyat üretmeyen 'soğuk inceleme' oranı yüksekti; yeni sistemde bu oran belirgin biçimde düşmüş durumda.
İkinci kazanım, denetimin objektifleşmesidir. Geçmişte bir mükellefin 'incelemeye sevk edilme' kararı, büyük ölçüde idari takdire dayanırdı; bu da yer yer çevresel etki, kişisel yargı, hatta nadiren keyfilik gibi gerilimlere yol açabiliyordu. Model temelli sevk, kararı bir sayısal eşiğe bağladığı için, bu gerilimleri törpülüyor. Hukuk devleti adına olumlu bir gelişme.
Üçüncü kazanım, sektörel desen yakalama kabiliyetidir. Tek bir mükellefin tutarsızlığını yakalamak değil; bir sektörün toplam davranışında dönemsel bir sapma olduğunu erkenden işaretlemek mümkün hale geldi. Örneğin akaryakıt sektöründe pompa istasyonu satışlarındaki anomali, demir-çelik sektöründe ihracata yönelik müşteri yoğunluğunda olağandışı değişim, eğitim sektöründe sezon dışı tahsilat sıçramaları — hepsi sektör bazında erken uyarı üretebiliyor.
Mükellefin gözünden: hukuki çekinceler
Bağımsız denetçi ve YMM olarak meslektaşlarımla bu konuyu çokça konuşuyoruz. Risk skoru, mükellefin gündelik vergi hayatında somut sonuçlar üreten bir araçtır. Ama hukukî statüsü belirsiz. İdari işlem değildir, dolayısıyla doğrudan iptal davasının konusu olamaz. Açıklığı sınırlıdır, yani mükellef hangi parametrelerle değerlendirildiğini bilemez. Bu iki özelliğin bir araya gelmesi, idarî hukuk açısından sıkıntılı bir alan üretiyor.
Avrupa Birliği'nin Yapay Zeka Düzenlemesi (AI Act) çerçevesinde geliştirdiği 'açıklanabilirlik' ilkesi, vergi gibi yüksek etkili idari süreçlerde kullanılan algoritmaların kararlarının gerekçelendirilebilir olmasını şart koşuyor. Türkiye'de bu alanda bir düzenleyici çerçeve henüz yok. İdarenin kullandığı modeller, bir kara kutu olmaya devam ediyor. Sonuçlarına maruz kalan mükellefin meşru bilgi edinme talebi karşılıksız kalıyor.
Model yanlılığı: az konuşulan riskli alan
Makine öğrenmesi modellerinin doğasında bir tehlike vardır: model, geçmiş verideki sapmaları öğrenir ve geleceğe taşır. Eğer geçmişte belirli bir sektör daha sık incelendiyse, model o sektörü riskli olarak öğrenir; daha sık öneri üretir; idare daha sık inceler. Bu döngü 'geri besleme yanlılığı' (feedback bias) olarak bilinir ve kendi kendini doğrulayan bir yapı oluşturur. Tarafsızlık iddiası, bu noktada test edilmelidir.
Türkiye için açıkça konuşalım: belirli sektörlerin (akaryakıt, hurda, tekstil ihracatı, mobilya, kayıt dışına eğilimli hizmet sektörleri) geçmiş yıllarda yoğun incelemeye tabi tutulması, modelin bu sektörleri yapısal olarak yüksek riskli kabul etmesine yol açmış durumda. Aynı işi yapan iki firmadan birinin, sırf sektörel mensubiyeti nedeniyle defalarca tetkike girmesi, sahada karşılaştığım yaygın bir şikâyet. Modelin güncellenmesi ve geri besleme döngülerinin denetlenmesi şart.
Müşavir ne yapmalı?
YMM ve mali müşavir olarak müşterilerimize tavsiyem nettir: risk skoru görünmeyen bir muhatap olsa bile, mevcuttur. Bu nedenle veri disiplini, eskisinden daha önemli. Beyannamenin doldurulması yetmez; beyannamenin idarenin diğer kaynaklarda gördüğü verilerle (BA-BS, e-fatura veri tabanı, banka POS hareketleri, ihracat-ithalat kayıtları) tutarlılığı önceden test edilmelidir.
Bu test, geçmişte yalnızca büyük holdinglerin lüksü idi. Bugün küçük işletmeler için bile yapay zeka destekli, uygun maliyetli mutabakat araçları piyasada mevcut. Müşavirin yapması gereken, bu araçları meslek pratiğine entegre etmek. 'Kayıt tutmak' kadar 'kayıtların idarenin gözünden tutarlılığını kontrol etmek' meslek tanımına girmiş durumda.
Müfettişlik mesleği değişiyor mu?
Müfettiş arkadaşlarımla sohbetlerimde duyduğum şu: 'Eskiden bir denetime giderdik, hangi konuya bakacağımıza biz karar verirdik. Şimdi sisteme giriyoruz, sistem bize bakılacak başlıkları söylüyor.' Bu, mesleğin niteliği üzerine düşündüren bir cümle. Müfettişin uzmanlığı, 'şüpheyi yakalama' becerisinden 'sistemin işaretlediği şüpheyi belge ve tanık deliliyle birleştirme' becerisine kayıyor. İki beceri de değerlidir; ama ikincisi, ilkinden farklı bir mesleki yapı talep eder.
Risk analizi sisteminin önerdiği konunun, denetimde gerçeği yansıtmadığını fark etmek de bir müfettişlik becerisi. Burada modele tabi olmanın ötesinde, modele eleştirel bakmanın değeri ortaya çıkıyor. İyi müfettiş, hem modelin işaretine güvenen hem de o işareti sahanın gerçeğiyle çapraz okuyabilen kişidir. Bu denge, eğitim süreçlerinin yeniden tasarlanmasını gerektiriyor.
Yarın için bir düşünce
On beş yıl sonra geriye baktığımızda, 2020'li yılları Türk vergi tarihinin 'algoritmik dönüşüm dönemi' olarak hatırlayacağız. Bu dönüşümün muhasebesini tutmak için iki başlık özel önem taşıyacak: birincisi, mükellefin algoritmik karara karşı hukuki güvencelerinin kurulup kurulmayacağı; ikincisi, idarenin model şeffaflığı sınırına ne kadar yaklaşacağı. Her ikisi de hukuk devleti ile etkin idare arasındaki o nazik dengenin yeni dilidir.
Ben kendi adıma, sezginin de modelin de tek başına yeterli olmadığına inanıyorum. Sahada denetim yapmış biri olarak, en doğru risk değerlendirmesini, sayısal modelle insan uzmanlığının bir araya geldiği ortak masada gördüm. Türk vergi denetiminin geleceği de bu masada kurulacak. Müşavirler, denetçiler ve müfettişler — üçü de bu masada yer almak için kendi mesleki donanımını güncellemek zorunda. Defter kapanmadı; ama yanına ekran geldi.