İŞ SUİSTİMAL REHBERİ

İŞ SUİSTİMAL REHBERİ

Giriş:

Suistimal inceleme uzmanlarının uluslararası meslek örgütü olan ACFE’nin dünya genelinde iki yılda bir düzenli olarak yaptığı araştırmalara dayanan ve en son 2014 yılında sonuçları yayınlanan Uluslara Rapor’da, iş suistimallerinin mağdur işveren kuruluşlarında verdikleri zararın boyutunun işletme yıllık gelirlerinin % 5’ine ulaştığı belirtilmektedir. Ülkemizde aile işletmelerinin ekonomide büyük ağırlıkta olduğu bir gerçektir. Bu nedenle, işletme sahiplerinin (ve üst düzey yöneticilerin) akraba ve yakınları tarafından işlenen suistimal suçları tespit edildiklerinde ‘bir şekilde’ sonuçlandırılıp büyük oranda kamuoyundan gizlendiği için Türkiye’de iş suistimalinden doğan zararın işletme bütçesini -ACFE raporunda öngörülenden orandan- daha da fazla etkilediği aşikardır. Ülkemizde ve dünya genelinde buzdağının altında olup henüz ortaya çıkmamış suistimallerin de faturası da cabası!

Hazırladığımız rehberin içeriğinde, işletme kaynaklarını adeta bir fare gibi kemiren iş suistimallerinin temel analizi ve potansiyel riskin işletmeye vereceği zararların minimize edilmesine yönelik ‘Suistimal Riskinin Proaktif Yönetimi’ model önerimizde yer almaktadır. Bu kapsamda, iş suistimallerinin önlenmesi ve tespitine yönelik son gelişmeleri de rehberimiz içerisinde bulabileceksiniz.

Bilindiği üzere, günümüz iktisadi işletmelerinin gelişim ve büyüme politikalarında temel alınan stratejik planlamanın esası ‘rakipleri nezdinde işletme lehine rekabet avantajı’ yaratmaktır. Biz de bu çalışmamızda yer verdiğimiz analiz ve önerilerle, iş suistimalinden kaynaklanacak potansiyel zararların ‘riskin proaktif yönetimiyle’ işletme açısından bir ‘rekabet avantajına’ dönüşmesine katkıda bulunmayı hedeflemekteyiz.

Proaktif Yönetim modelinin uygulanması ile yaratılacak rekabet avantajı kapsamında, işletmede potansiyel suistimal zararları minimize edilerek rakiplerine karşı (suistimallerin ortalama zararları işletme gelirlerinin % 5’ini bulduğu dikkate alınırsa) öncelikle bir maliyet avantajı elde edilecektir. Bunun kadar önemli olan bir diğer katkı ise, modelin uygulanması ile ulaşılacak etkili bir şirket kültür düzeyiyle yakalanacak sürdürülebilirliği olan etkin, ekonomik ve güvenilir yönetişim sistemi de çalışan performansını dolayısıyla verimliliği arttıracaktır. Bütün bunların sonucunda işletme rekabet avantajı sağlamış olacaktır. Ayrıca, paydaşlar nezdinde itibar düzeyini istikrarlı olarak arttırma imkanına kavuşacaktır. Sonuç olarak, kitapçığımızın temel hedefi işletmede suistimalle mücadele çerçevesinde yaratılacak ‘zincirleme değerin’ esin kaynaklarından birisi olmaktır.

Dinamo’nun, ‘değer yaratan bir yönetim fonksiyonu olarak kontrol’ konsepti kapsamında ilk yayınladığı 50 Soruda Risk Bazlı İç Denetim rehberinden sonra serinin ikinci kitapçığı İş Suistimali Önleme ve Tespit Rehberi’ni danışmanlık ve eğitim hizmeti verdiğimiz çok sayıda KOBİ’den holding kuruluşu, bankalardan leasing şirketleri, ulusal işletmelerden küresel işletme çalışanları ve konuya ilgi duyan herkesle paylaşmaktan mutluluk duyarız.

Notlar:

1- İş Suistimali Önleme ve Tespit Rehberi Dinamo Danışmanlık&Eğitim’den Danışman Bülent Hasanefendioğlu tarafından hazırlanmıştır ( 4 Aralık 2015).

2- Çalışmada ACFE Uluslara Raporu’ndan geniş ölçüde yararlandık. Bunun dışında, üyesi olduğum meslek kuruluşları USİUD (Uluslararası Suistimal İncelemeleri Derneği) ve TİDE (Türkiye İç Denetim Enstitüsü)’ye de web siteleri üzerinden bilgi arşivleri ve ayrıca düzenledikleri etkinliklerle  aydınlanmamızı  sağladıkları için teşekkür ederim. Bu vesile ile, denetim ve  suistimal soruşturması konularında en üst mesleki yetkinliğe ulaşmamı sağlayan ve bu rehberin hazırlanmasına temel olan bilgilerle beni donatan tüm üstadlarıma da saygılarımı sunarım.

Yönetici Özeti

İş Suistimali Rehberimizde, suistimal ve ilgili kavramların tanımlarına göz atacağız, rehberimizin kapsamını iş suistimalleri ile sınırlandıracağız, iş suistimali kavramını açıklayacağız, iş suistimalinin nedenlerinin analizinde en geçerli kuram olan Suistimal Üçgeni kuramını örneklerle gözden geçireceğiz, mağdur ve faili detaylı olarak analiz edeceğiz, iş suistimali gerçekleşmeden görülen ipuçlarını inceleyeceğiz, iş suistimal yöntemlerine ve ilişkili araştırma verilerine göz atacağız, suistimalin tespiti, soruşturulması ve sonuçlandırılmasına yönelik bilgiler vereceğiz, değerlendirmeler yapacağız ve bütün bunların ışığında suistimalin riskinin yönetimine yönelik proaktif yönetim modelimizi ana hatlarıyla sunacağız ve son olarak da suistimalle mücadelede proaktif yönetim modeline kaldıraç etkisi yaratacak  3’lü Savunma Hattı yöntemini gözden geçireceğiz..

Yönetici özetini aşağıdaki üç bölüm halinde dikkatlerinize sunmaktayız:

A) Araştırmalarda Tespit Edilen Bazı Temel Bulgular:

 Dünyada suistimal yaşanmayan bir ülke yoktur,

 Suistimal kültüre bağlı bir olay değildir, her kültürel ortamda vardır,

 İşletme içerisinde ne kadar önlem alınırsa alınsın suistimal riskini sıfırlamak imkansızdır,

 Suistimal Üçgeni kuramı, suistimalin önlenmesi ve tespitinde önemli araçlar sunmaktadır,

 Faillerin büyük çoğunluğu ilk defa suç işlemişlerdir,

 Suistimal süreci ne kadar uzun sürerse ve fail sayısı ne kadar artarsa uğranılan zarar da artmaktadır,

 Yöneticiler büyük çoğunlukla suistimal riskinin farkındalar fakat kendi işletmelerinde suistimal riski görenlerin oranı çok düşüktür,

 Suistimal olayı yaşamış işletme yöneticilerinin suistimal öncesi ilk iki sırada uyguladıklarını saydıkları önlemler, iş  suistimallerini önleme etkileri en düşük iki önlemdir,

 Suistimalin tespitinde ve önlenmesinde en önemli üç silah: ihbar hattı, yönetim kontrolleri ve iç denetim faaliyetidir,

 Suistimalle mücadelede hem potansiyel failleri caydırıcılık hem de işyerinde suistimalin önlenmesi ve tespiti yönlerinden  farkındalık eğitimleri büyük önem arzetmektedir,

 Her on suistimal vakasından dokuzunda iki ortak davranışsal ipucu (gelirin üzerinde yaşam tarzı, tedarikçi ve müşterilerle aşırı samimiyet) görülmüştür.

B) Değerlendirmelerimiz:

Suistimalin iki tarafı vardır: 1. Mağdur 2. Fail. Bu nedenle, suistimalle mücadelenin tek hedefi suçu işleyen yani faildir. Hedefi etkisiz hale getirmek için, mağdur olmamak için ‘suistimal olayları çok yaygın fakat bizde olmaz’ düşüncesinden vazgeçip proaktif politika ve uygulamalar içeren bir mücadele modeline geçilmesi gerekmektedir. Gerçi, ne kadar etkin bir yönetim sergilenirse sergilensin, karşı önlemler alınırsa alınsın, farkındalık eğitimleri verilirse verilsin, bir işletmede suistimal riskini tamamen ortadan kaldırmak imkansızdır. Çünkü, failin üzerindeki baskılar ile psikolojik meşrulaştırmalar devam ettikçe ve fail işletmedeki ufacık da alsa açık fırsatları buldukça vazgeçmeyecektir. Faillerin büyük çoğunluğunun ilk defa böyle bir eyleme katıldıklarını da unutmayalım. Bu nedenle, işletme üst yönetimi suistimal riskinin proaktif yönetime elverişli kontrol ortamını oluşturarak potansiyel failleri caydırabilir ve  ilk suistimallerinin önüne geçebilir.

C) Önerilerimiz:

Bir işletme üst yönetimi, işletme amaçlarına ulaşmak için gerçekleştireceği faaliyetlerin karşı karşıya kalabileceği her potansiyel risk gibi suistimal riskini de, belirlemeli, değerlendirmeli, tanımlamalı ve aksiyon almalıdır. Bu sürecin genel yönetimi proaktif olmalıdır.

Suistimal üçgeni teorisi varsayımları temelinde özetlediğimiz önerilerimizin temel amacı ise, hem insanidir hem de işletmelerin yararı içindir: yani yeni suçluların ortaya çıkmasını önlemek. Bu çerçevede, işletmeler suistimal üçgeni kuramı temelinde önlemler alarak;

 potansiyel fail üzerinde oluşabilecek baskıların mümkün olanlarını baskı unsuru olmaktan çıkarmalı,

 faile suçu meşrulaştırma gerekçeleri vermemeli,

 failin yakalanma tehdidini en üst düzeyde hissetmesini sağlayacak tedbirleri uygulayarak oluşabilecek fırsat algısını minimize etmelidir.

İşletme Üst Yönetimi, ana yönetim sorumluluğunu üstlendiği kurumda, iş suistimallerinin caydırılması, önlenmesi ve tespit edilmesine yönelik proaktif yönetim iradesiyle hareket etmelidir. Sadece konuya ilişkin yüksek farkındalık yetmemekte, aksiyonların alınıp titizlikle uygulanması sağlanmalıdır. Kontrol ortamı ve kontrol süreçleri kavramlarına dayanacak uygulamalar şirket üst yönetiminin en büyük yardımcısı olacaktır.

Sıfır toleransa dayanan suistimalle mücadele politikaları ve uygulamalarını kapsayan ‘öğrenen’ şirket kültürü, kurumda tüm çalışanlarca içselleştirilmiş olmalıdır. Bu kültürde işleyen bir yönetişim sistemine sahip işletmede, zaten muhtemel riskler konusunda işletme çalışanlarında farkındalık yaratma aktiviteleri sistematik olarak sürdürülmekte, muhasebe kayıt düzeninin eksiksiz olmasına özen gösterilmekte, kontrol süreçleri yürürlükte ve güncellenmekte, işletme faaliyetlerinin yürütülmesi esnasında tüm değer ihtiva eden unsurların  güvenliğinde en üst düzeyde dikkat edilmekte, insan kaynakları uygulamalarında ve yönetimin kontrol işlevinin yerine getirilmesinde -gerekirse uzman desteğiyle- çağdaş model ve teknikler uygulanmaktadır.

I. KONUYA İLİŞKİN TEMEL KAVRAMLAR

Suistimal riskine ilişkin kavramların Türk Dil Kurumu Sözlüğü’ndeki karşılıklarını aktararak konumuza başlayalım:

 Suistimal: Görev, yetki vb. kötüye kullanma...

 Hile: Birini aldatmak, yanıltmak için yapılan düzen, dolap, oyun, ayak oyunu, alavere dalavere, desise, entrika...

 Dolandırıcılık: Dolandırıcının yaptığı iş; dolandırıcı ise, 'birini aldatarak mal veya parasını alan kimse, ayyar, tokatçı' olarak tanımlanmaktadır.

 İstismar: Birinin iyi niyetini kötüye kullanma, sömürme...

 Sahtekarlık: Sahte işler yapma, düzmecilik, sahtecilik...

 Suç: Törelere, ahlak kurallarına aykırı davranış; yasalara aykırı davranış, cürüm...

 Mağdur: Haksızlığa uğramış (kimse),  kıygın...

 Fail: Eden, yapan, işleyen; hukuki sonuç doğuracak bir suç işleyen kimse...

 Soruşturma:  Bir sorunu açıklığa kavuşturmak amacıyla bir idari veya adli makamın yönettiği, ilgililerden ve tanıklardan bilgi toplama, konuyu inceleme işi, tahkik, tahkikat...

 Kanıt:  Bir şeyin doğruluğu, gerçekliği konusunda kanaat verici belge, delil, iz, argüman; anlaşmazlık konusu olan şeyde, yargıcın kanılarını oluşturan şey, delil...

Suistimalin mesleki literatürdeki tanımlarına gelirsek;

 Uluslararası İç Denetçiler Enstitüsü (IIA)’ne göre suistimal (Fraud), ‘Hile, sahtekârlık, emniyeti kötüye kullanma ile nitelendirilebilecek hukuk dışı fiillerdir. Bu fiiller, sadece şiddet tehdidi veya fiziksel güç kullanımının gerçekleştirilmesine bağlı değildir. Suistimaller para, mal veya hizmet sağlamak, hizmet kaybından veya ödeme yapmaktan kaçınmak veya şahsıyla veya işle ilgili bir avantaj elde etmek amaçlarıyla çeşitli taraflar ve kurumlar tarafından gerçekleştirilebilir.’

 Uluslararası Muhasebeciler Birliği (ACCA)’nin, ISA (Uluslararası Denetim Standartları) 240’a dayanarak verdiği suistimal tanımı ise, ‘Yönetişim, çalışanlar veya paydaşlardan sorumlu olarak görev yapan bir veya birden fazla yöneticinin ilgilileri kötü niyetle aldatarak işletmenin menfaatlerine aykırı olarak haksız ve yasadışı bir menfaat sağlamasıdır.’

Diğer yandan suistimal eylemiyle ilişkili ikincil kavramları da aşağıda açıklamaya çalıştık:

 İç suistimal (iş suistimali, çalışan suistimali, mesleki suistimal):  Yukarıda da tanımını verdiğimiz üzere çalışanın işverenini dolandırmak üzere gerçekleştirdiği suistimaller...

 Dış suistimal: İşletme dışından ve dolandırıcılığı meslek haline getiren suçlular tarafından gerçekleştirilen suistimallerdir, işletme içerisinde çalışanlardan da işbirlikçileri olabilir.

 İş Suistimal Ağacı: İş suistimali ve istismarlarının sınıflandırma sistemidir.

 Yolsuzluk: Çalıştığı işletmedeki görevini, yetkisini kötüye kullanarak maddi menfaat elde etmedir.

 Varlıkların Kötüye Kullanımı: Bir görevi, yetkiyi kötü kullanarak, çalıştığı işletmedeki nakit mevcuttan, alacaklardan ve ayrıca, ödemelerde suistimal yaparak, stoklar, duran varlıklar, haklar vb. varlıklarda hırsızlık yaparak zimmete para geçirme eylemidir.

 Finansal Tablo Suistimali: Bir görevi, yetkiyi kötüye kullanarak, çalıştığı işletmenin varlıklarını, gelirlerini yüksek veya düşük gösterme eylemiyle sahtekarlık yapmaktır.

Son olarak, ortak özellikleri eylemin işverenin aleyhine sonuçlanması olan iş suistimali ile hatayı birbirinden ayıran en temel farklılıklar ise: suistimalin kişisel menfaat elde etmek kastıyla, planlı ve özellikle gizlililik içerisinde yapılan bir eylem olmasıdır.

Bu rehberde, USİUD’un da tercih ettiği gibi ‘hile’ yerine ‘suistimal’ sözcüğünü kullanmayı tercih ediyoruz. Rehberin kapsamını ise, iş suistimali ile sınırlı tutmaktayız.

II. Suistimal Üçgeni Kuramı

Suistimal Üçgeni kuramı, suistimali gerçekleştiren faillerin eylem kararlarının temelinde rol aldığını varsaydığı ve süreçte birbirleriyle etkileşim içerisinde olan üç kavram (baskılar, fırsat ve meşrulaştırma) üzerine kuruludur. Bir suistimal suçunun temelinde, failin (faillerin) değişik nedenlerle etkisinde kaldığı ve eyleme geçmek için güçlü bir dürtü olarak algıladığı baskılardan dolayı, çalışılan işletmeden görev ve yetkilerini kötüye kullanarak haksız menfaat sağlamaya karar vermesi, suistimali -yalnız veya başka kişilerle ortaklaşa- uygun fırsatı tespit ederek gerçekleştirmesi ve işlediği suçla ilgili vicdanını rahatlatmak için mazeretler üreterek suçu meşrulaştırması olmak üzere üç kavramın etkisini vurgular.

i. Baskılar (Motivasyon, Güdü, Dürtü) (Pressures or Motivation):

Fail, suistimali gerçekleştirmek için bir ihtiyaca (örneğin finansal ihtiyaç) dayanan içsel ve/veya dışsal baskılar altında kalır. Sonrasında bu güçlü baskının etkisiyle eylemde bulunma amacıyla güdülenir.

İşlenecek suçun motivasyon temelini teşkil eden ve failin algıladığı, etkisi altında kaldığı baskıları, kişisel ve çevresel olarak ayırabiliriz:

Kişisel baskılar, çalıştığı işletmeye gelmeden önceki yaşantısına ait sorunlar (borçlar, ciddi ihtilaflar), kötü alışkanlıklar (kumar, uyuşturucu, alkolizm, aşırı eğlence hayatı), gelirinin çok üzerinde yaşama arzusu veya fiilen yaşama, kişisel yüksek ihtiraslar, açgözlülük vb. diye çoğaltılabilir.

Çevresel baskılar ise, iş, aile ve yakın arkadaş çevresi, sosyal çevre, içinde yaşanan sosyal/ekonomik/ kültürel ortamdaki davranış ve alışkanlıklardan kaynaklanan baskılardır. Örneğin, failin veya çok yakınındaki birisinin acil ve büyük miktarda paraya (örneğin kumar borcu ödemesinde yaşanan tehdit, acil ağır sağlık sorunu yaşama vb.) ihtiyaç göstermesi ve paranın temininde çaresiz kalması, işyerindeki geleceği için amirinin baskısına boyun eğme, çalıştığı işletmede aleyhine ve kasıtlı yaşadığını düşündüğü sorunlar (ücret, terfi, performans değerleme, dışlanma, hakaretler, küçük düşme) vb. diye sayabiliriz.

Görüldüğü üzere, baskıların ve güdülenmenin temelinde bir ihtiyaç yatmaktadır. Bu ihtiyacın giderilmesi yönünde içsel ve/veya dışsal baskılarla bir çözüm yolu bulunulur: çalıştığı işletmeyi dolandırmak!

ii. Fırsat (Opportunity):

Güdüleyici baskıların etkisiyle fail suistimal eylemini gerçekleştirmeye karar verir ve eylem fırsatı için çalıştığı işyerindeki mevcut kontrol ortamı ve kontrol süreçleri zaafiyetlerini belirler. Suç işleme güdüsü altında olmadan ve suistimal kararı almadan önce de, işletmede failin dikkatini çeken kontrol boşlukları vardır. Bunları detaylı gözden geçirir ve yeni açıkları da tespit etmeye çalışır.  Sonrasında, suistimalin gerçekleştirilmesi anı bakımından işletmenin genel rutin çalışma ortamındaki kontrol süreçlerinde oluşacak açık gözlenir ve elde edilen uygun bir anda eylem yapılır..

İşletmelerde suistimal için en uygun fırsatın, potansiyel failin görev yaptığı atmosferde bir ‘yakalanma tehdidi hissetmemesi’ algısı olduğu belirlenmiştir. Yani, yukarıda da belirttiğimiz üzere, fail zaten işletmedeki bazı kontrol açıklarının farkındadır. Bu açığın büyüklüğü, failin suçu işleme yönündeki motivasyonuna itici etki yapar ve yakalanmayacağı konusunda kendini daha fazla rahat hissetmesinin sağlar.

Suistimale açık bir atmosferi yaratan ise, işletme üst yönetiminin işyerinde etkin ve güvenilir bir ‘kontrol ortamı’ kuramayıp etkili ‘kontrol süreçlerini’ uygulayamamasıdır. Bir işletmede, kontrol ortamı zaafiyeti şirket kültürü, üst yönetimce belirlenen politikaların uygulamaları, organizasyonel yapı, iş süreçleri, iş prosedürleri, raporlamalar, güvenlik önlemleri ve kontrol mekanizmalarındaki eksik ve boşluklardan oluşur. Mevcut elverişli ortama ilaveten, failin zaten ‘deneyimli bir suçlu’ olması, işletme yönetim ve çalışan sirkülasyonunun yüksek olması, tedarikçilere ve destek hizmetleri verenlere yönelik kontrol önlemlerinde zaafiyetler, işletmenin önemli yönetsel sorunlar yaşaması, ortaklar veya üst yöneticiler arasında şiddetli geçimsizlik, işletmenin ağır finansal zorluklar içinde olması, failin yıllar itibariyle işletmede ulaştığı yüksek güven düzeyi, failin işbirliği içerisinde olduğu ve güven duyduğu başka failler olması diğer fırsatlar olarak sayılabilir. Fail(ler) tarafından tüm bu kontrol zaafiyetleri fırsat penceresinden analiz edilir ve hangi açık üzerinden hangi anda eylemin gerçekleştirileceğinin kararı verilir. Eylemin bir kereye mahsus olmaması yani tekrarlanması halinde, işletmedeki kontrol süreçlerine yönelik analizler sürekli yapılır.

iii. Meşrulaştırma (Rasyonelleştirme, Haklı Gösterme) (Rationalization):

Önceki paragraflarda, suistimal faili kişisel veya çevresel etkili baskılarla eylemde bulunma yönünde güdülenir, karar verir ve eylem için fırsat imkanlarını tespit eder ve gerçekleştirmek için uygun anı bekler diye belirtmiştik. Fail, ayrıca eylemi gerçekleştirmeden önce vicdanını rahatlacak gerekçe(ler) yaratır. Yani, işleyeceği suça içsel dünyasını ikna edecek kendince haklı  neden(ler) bulur. Böylece, işleyeceği suçu vicdanında meşrulaştırmış olur. Meşrulaştırmaya örnekler verecek olursak, gerçekleştireceği eylemle işletmeden sadece borç para aldığı, aldığı borcu ilk fırsatta geri ödeyeceği, eline geçecek parayla ailesini mutlu edeceği (daha lüks bir yaşam, çocuklarını en iyi özel okullarda okutma vb.), zaten işyerinde büyük haksızlıklara uğradığı (hakettiğinden daha düşük ücret verildiği algısı, terfilerde, performans primlerinde, maaş artışlarında vb.), amirleri ile iş arkadaşları tarafından sürekli dışlandığı ve aşağılandığı algısının yolaçtığı öç alma duygusu, bir şahıstan (örneğin şirket sahibinden) değil de, muhatap olarak daha ‘soyut’ konumdaki çalıştığı işyerinden acil ve çok ihtiyacı olan bir miktar  parayı aldığı, ‘koskoca şirkete birşey olmaz’ düşüncesi, kendisinin aslında istemediği fakat işletmedeki amirinin baskısıyla birlikte suistimal eylemini gerçekleştirmek zorunda kaldığı, eylemde etrafındaki insanların (ailesi, yakın arkadaşları, iş arkadaşları) teşviki ve/veya birlikte yer almaları ile suçta sorumluluk algısının azalması ve Baskılar bölümünde belirttiğimiz diğer hususlardır.

III. Mağdur Kimdir?

Mağdur, çalışanı tarafından iyi niyeti istismar edilerek suistimale maruz kalmış ve eylemin sonuçlarından zarar görmüş taraftır. Yani, dolandırılan işletmedir. Suistimalin önlenmesi ve tespitine yönelik konulara girmeden mağduru çok iyi tanımalıyız ki, nerelerde hata yapılıyor, ne açıklar veriliyor, işverenin eksik yaptığı veya hiç yapmadığı uygulamalar nelerdir sorularının yanıtlarını daha net ve açık görelim. Çünkü, potansiyel mağdur işletmenin suistimal riskini proaktif yönetme kapasitesi uğranılan suistimal sayısını ve zararı doğrudan etkilemektedir.

Uluslararası Suistimal Uzmanları Birliği (ACFE)’nin 2014 yılı suistimal raporuna göre,

 ortaya çıkan iş suistimallerinde tipik bir işletme, gelirlerinin % 5’ini kaybetmekte,

 olay başına yaşanan medyan zarar 145.000 $ olarak gerçekleşmekte, araştırmaya dahil edilen vakaların % 22’sinde ise en az 1 milyon $ kayba uğranılmakta,

 mağdur işletme tarafından hiçbir şekilde tazmin edilemeyen zarar oranı ise, toplam suistimallerin tutarının % 58’i düzeyinde olup,

 suistimalin ortaya çıkmasında ise, vaka başına medyan süre 18 ay olmuştur.

Bu ana veriler, iş suistimalinin mağdur yönünden ne kadar olumsuz bir durum olduğu, işletme karlılığına doğrudan etkide bulunduğu ve önlemler alınmaması halinde işletme kültüründe erozyona yol açacağı gerçeğini açık ve net olarak gözler önüne sermektedir.

Aynı araştırmada, hedefteki mağdur işletme bakımından sonuçları aşağıda dikkatlerinize sunulan bir dizi veriye göre, iş suistimallerinin çalışan sayısına bakılmaksızın tüm işletmelerin riski olduğu fakat en çok KOBİ’lerin suistimal riskiyle karşı karşıya olduğu, çalışan sayısı 100’den az ve fakat 10.000’den fazla olan işletmelerde medyan zararın daha yüksek olduğu, mağdur tipi ayırmaksızın yaşanılan iş suistimal türlerinde ilk sırayı yolsuzluk suistimallerinin aldığı, en çok özel sektör işletmelerinin iş suistimalı yaşadığı ve alt sektörel dağılımda ilk sırada finans sektörünün yer aldığı görülmektedir:

İş suistimallerinin gerçekleştiği işletme büyüklüğü ve uğranılan suistimal zarar verileri,

 çalışanı 100 kişiden az olan her yüz işletmenin 29’unda suistimal gerçekleşmekte ve olay başına yaşanan medyan zarar 154.000 $ olup,

 daha büyük işletmelerde suistimalin tespit oranı ve yol açtığı medyan zarar, 100-999 kişi çalışan aralığına sahip işletmelerde sırasıyla % 24 ve 128.000 $, 1000-9999 kişi çalışan aralığına sahip işletmelerde % 28 ve 100.000 $ ve son olarak 10000 üstü çalışana sahip işletmelerde % 19 ve 160.000 $ düzeylerinde olarak yer almıştır.

İşletme büyüklüğüne göre en fazla rastlanan alt suistimal türlerinde,

 100 kişiden fazla çalışanı olan işletmelerde en çok yaşanan beş alt suistimal türü, sırasıyla yolsuzluk (% 40), nakdi olmayan suistimaller (% 23), fatura suistimali (% 20), harcama suistimali (% 13) ve nakit mevcudu çalma suistimali (% 13)’dir.

 100 kişiden az çalışanı olan işletmelerde baktığımızda ise ilk beş, yolsuzluk (% 33), fatura suistimali (% 29), çek tahrifatı (% 22), nakdi olmayan (% 18) ve aşırma, harcama, bordro suistimalleri (% 17)’nden oluşmaktadır. (Aynı olayda birden fazla suistimal türü yaşanabildiği için yüzdesel toplam % 100’ün üzerindedir).

Sektörel bazda en fazla mağduriyete ise, % 40 oranı ile özel sektör kuruluşları uğramışlar; ardından  % 29 ile kamu, % 15 ile devlet kuruluşları ve % 11 ile kar amacı gütmeyen vakıflar, birlikler gelmektedir. Özel sektörde uğranılan medyan zarar 160.000 $ iken, kamuda 200.000 $, devlette 90.000 $ ve kar amacı gütmeyen kuruluşlarda 108.000 $ olarak gerçekleşmiştir.

Mağdur işletmelerin alt sektörel dağılımında; ilk sırayı finans sektörü (%18), sonra sırasıyla kamu/devlet (% 10), üretim (% 9), sağlık (% 7), eğitim (% 6) , perakende (% 6), sigorta (% 5) yer almaktadır. Medyan zararda ise,  işlem sayısı bakımından listede çok gerilerde kalan maden sektörü ortalama 900.000 $ ile birinci sıradadır. Madenciliği ise, Gayrimenkul sektörü 555.000 $, Petrol/Gaz 450.000 $, Toptan Ticaret 375.000 $, Teknoloji 250.000 $, Üretim, İnşaat, Tarım sektörleri yaklaşık 245.000 $ ve Lojistik/Kargo ile Finans Sektörü 200.000 $ ortalama zarar ile takip etmektedir.

KPMG’nin GFK Türkiye’ye yaptırıp yayınladığı ve ülkemizdeki işletmelerde görev yapan üst düzey yöneticilerin suistimal farkındalığı ve önlemleri konularında yaşadıkları çelişkileri net biçimde gösteren önemli bir araştırma sonucuna göre;

Türkiye’de farklı sektörlerde görev yapan ve araştırmaya katkıda bulunan üst düzey yöneticilerin,

 yüzde 93’ü, suistimalin Türkiye için önemli bir sorun olduğunu,

 yüzde 57’si önümüzdeki iki yıl içinde suistimal riskinin artacağını,

 yüzde 81’i çalışma yaşamlarında en az bir suistimal vakası ile karşılaştıklarını,

 yüzde 23’ü ondan fazla suistimal vakası yaşadıklarını belirtmelerine karşın;

katılımcı yöneticilerin,

 yüzde 92’si, suistimalin kendi şirketleri için büyük bir sorun olmadığını,

 yüzde 30’u, şirketlerinde herhangi bir suistimal riski olmadığını ve önümüzdeki üç yıl içinde de olmayacağını,

 yüzde 66’sı, şirketlerindeki iç kontrol mekanizmasının, suistimali önlemek için yeterli olduğunu düşünmektedirler.

Yoruma bile ihtiyaç göstermeyen anket sonuçlarının ışığı altında, en azından yukarıdaki katılımcıların üst yönetiminde görev aldıkları işletmelerin bir kısmının ‘iş suistimali mağduru’ olma riskleri çok uzak bir olasılık değil diye düşünebiliriz!

IV. Fail Kimdir?

Fail, kişisel menfaat elde etme kastıyla mağdura zarar vererek suistimal suçunu gizlice işleyendir. Yani çalıştığı işyerini dolandırandır. Fail(ler), ya sadece çalıştıkları işletme içinde tek başına veya mesai arkadaşı faillerle ya da konumuz dışı olan dışarıdan suçlularla işbirliği yaparak (örneğin siber saldırılarda içeriden şifre kırarak, müşteri bilgilerini suç ortaklarına ileterek) suistimal eylemini gerçekleştirirler.

Suistimal eylemlerinin önlenmesinde ve tespit edilmesinde, suistimal üçgeni (baskılar, meşrulaştırma ve fırsat) analizlerinin sonuç verici olması bakımından, potansiyel mağdura ilişkin elde edilecek bilgilere ek olarak potansiyel fail profilinin analizi de çok önemlidir. Bu konuda en objektif olarak baz alınabilecek veriler, suistimallere yönelik dünyanın dört bir yanında yapılan araştırmaların ulaştıkları sonuçlardır.

Potansiyel faili, kişisel özellikleri, çevresel etkenler ve çalıştığı işletmedeki konumuyla daha yakından tanıyabiliriz.

 Kişisel özellikler denilince, cinsiyet, yaş, eğitim düzeyi, adli sicil geçmişi, ahlaki yapı,     iş deneyimleri, kişilik yapısı ve psikolojik durumu akla gelmektedir. Failin davranış yapısını oluşturan bileşenleri biraz daha geniş ele alacak olursak: suça eğilimli olma, kötü alışkanlıklar (aşırı gece yaşamı, uyuşturucu, kumar, alkolizm), lüks yaşam ihtirası, ailevi sorunlar, daha önce suça karışmış olma, kolayca etki altında kalabilen kişilik, gelişime kapalı, katı, öfkeli ve kindar kişilik, sosyal dışlanma, cehalet, düşük ahlak seviyesi ve önceki dönemlerden gelen borç yapma alışkanlıkları dikkati çekmektedir.

 Çevresel etkenler, içinde yaşadığı sosyal/ekonomik/kültürel ortam, iş, aile ve yakın arkadaş çevresinden kaynaklanan suça itici etkilerdir..

 Çalıştığı işletmedeki konumunda ise, iş ortamı, işletmedeki görev ve yetki düzeyi, çalıştığı işletmedeki görev süresi, alt-üst ilişkileri, çalışma tarzını belirtebiliriz.

ACFE’nin 2014 yılında yayınladığı İş Suistimali raporunda failin profilini daha da netleştirecek bazı analiz sonuçlarına yer verilmiştir. Buna göre, erkeklerin kadınlardan daha çok suistimal yaptığı, faillerin şirketteki ortalama görev sürelerinin beş yılın altında olduğu, şirkette görev ve yetki düzeyi arttıkça suistimal tespit süresinin uzadığı, suistimale katılan sayısı, eğitim düzeyi, görev süresi ve yetki düzeyi arttıkça suistimal zarar tutarlarının da artış gösterdiği, faillerin büyük çoğunluğunun işe alımda ve sonrasında adli sicil ve iş geçmişi/referanslarının araştırılmadığı hususları bizlere potansiyel faili tanıma analizlerinde ipuçları vermektedir.

Yukarıda belirtilen sonuçların rakamsal detaylarına bir göz atarsak;

Fail sayısı ve yetki düzeylerine göre oluşan zararlar;

 vaka bazında fail bir kişi ise 80.000 $, failler iki kişi ise 200.000 $, üç kişi ise 355.000 $ ve dört kişi ve fazlası ise en az 500.000 $ mağdur işletmede medyan zarar düzeylerinde,

 en çok suistimal gerçekleştirenler % 42 ile çalışanlar iken, vaka başına verdikleri medyan zarar 75.000 $, orta/alt düzey yetkililerde bu oranlar sırasıyla % 36 ve 130.000 $, ortaklar/üst yöneticiler (objektif bir değerlendirme için sayısal olarak az oldukları gözönüne alınmalı) faillerin % 19’unu oluşturmalarına rağmen kurumlarına verdikleri suistimal başına medyan zarar 500.000 $’ın üzerindedir.

Faillerin işletmede görev aldıkları birimler bakımından sıralamalarında ise; faillerin en çok muhasebe biriminde görev yapanlar arasından çıktığı, sonrasında operasyon ve satış birimleri geldiği ve bunları da üst yönetimin takip ettiği fakat verdikleri medyan zararın büyüklüğünde  ilk iki sırayı üst yönetim ve yönetim kurulu aldığı, finans, depo ve satınalma birimlerinin takip ettiği göze çarpmaktadır.

Fail profilinin ana unsurlarından olan suistimal öncesi sergilenen davranışsal ipuçlarına ise, altıncı bölümde yer vereceğiz. Öncesinde ise, faillerin suçu ‘nasıl’ işlediklerini göreceğiz.

V. İş Suistimali Nasıl Yapılmaktadır?

İş suistimal sürecinin başlamasının, ihtiyaçlardan kaynaklanan baskıların yarattığı itici bir güdünün etkisi altındaki fail(ler) tarafından suçun vicdanen meşrulaştırılıp gerçekleştirmek için uygun fırsatın yakalanması aşamalarından oluştuğunu belirtmiştik. Bu bölümde ise, faillerin hangi tekniklerini kullanarak suistimali gizli, planlı ve organize bir eyleme dönüştürdüklerini inceleyeceğiz. Yani, ‘ne’ ile başlayan ‘nerede, kim’ ile devam eden sorularımızda sıra ‘nasıl’ sorusunun yanıtlanmasına geldi.

İş suistimalinin ‘nasıl’ yapıldığını anlamak için yapılan araştırmalar sonucunda bugüne kadar tespit edilen iş suistimali türlerini sınıflandıran İş Suistimal Ağacından yararlanacağız.

ACFE 2014 raporunda, İş Suistimal Ağacında üç ana tür iş suistimaline yer verilmektedir:

A. YOLSUZLUK

B. VARLIKLARIN KÖTÜYE KULLANILMASI

C. FİNANSAL TABLO SUİSTİMALLERİ

Rapora göre, yukarıda belirtilen iş suistimalleri teknikleri faillerce bazen tek başına bazen de aynı anda birlikte kullanılmaktadır:

 Varlıkların Kötüye Kullanılması % 85 ile iş suistimallerinde açık ara birinci sıradadır. İkinci ise, % 37 ile Yolsuzluk ve son sırada ise % 9 ile Finansal Tablo Suistimali yer almaktadır. Buna karşın, mağdurun uğradığı medyan zararlarda Finansal Tablo Suistimali 1 milyon $, Yolsuzluk 200.000 $ ve Varlıkların Kötüye Kullanılması 130.000 $ olarak ters yönde sıralanmaktadır.

 Tek başına gerçekleştirilen suistimal türlerinde, Varlıkların Kötüye Kullanılması türü (% 57.7) ile ilk sırada, Yolsuzluk (% 9.8) ile ikinci sırada ve Finansal Tablo Suistimali ise, (% 1.8) ile üçüncü sırada yer almaktadır.

 Bir olayda aynı anda üç suistimal türünün birlikte kullanılması % 3.9 oranındadır.

 Aynı olayda iki suistimal türünün birlikte kullanılmasında ise, Yolsuzluk ile Varlıkların Kötüye Kullanılması birarada % 23.3 ile ilk sıradadır. İkinci sırada, Finansal Tablo Suistimalleri ile Varlıkların Kötüye Kullanılması % 2.7 ile gelmekte ve son olarak Finansal Tablo Suistimali ile Yolsuzluk birlikte % 0.8 gerçekleşme oranlarıyla sıralanmaktadır.

Şimdi üç ana iş suistimali türünün alt unsurlarını görelim:

A. YOLSUZLUK TÜRLERİ:

i. Çıkar Çatışması (Satınalma ve Satış Suistimalleri)

ii. Rüşvet (Fatura Komisyonu, İhaleye Fesat Karıştırma)

iii. Yasadışı Bağış (örneğin pahalı hediyeler)

iv. Ekonomik Zorlama

B. VARLIKLARIN KÖTÜYE KULLANILMASI TÜRLERİ:

    

i. Nakdi Suistimaller:

a) Nakit Varlığa Yönelik Suistimaller (a. Nakit Mevcudunun Çalınması, b. Nakit Alacakların Çalınması, c. Ödeme Suistimalleri)

b) Nakit Alacakların Çalınması {Aşırma: Satışlar (Kaydetmeme, Eksik Gösterme),

             Alacaklar (Gider Yazma, Alacak Kaydırma, Aleni Çalma), Geri Ödemeler ve Diğer}

             c) Ödeme Suistimalleri {a) Fatura Suistimalleri (Hayali Şirketler, İşle Alakasız   

             Tedarikçiler, Şahsi Alımlar), b) Bordro Suistimalleri (Hayali Çalışanlar, Değiştirilmiş

             Ücretler, Komisyon Suistimalleri), c) Harcama Suistimalleri (Kişisel Harcamalar,

             Harcamaları Yüksek Gösterme, Hayali Harcamalar, Mükerrer Talepler), d) Çek

             Tahrifatları (Sahte Keşideci, Sahte Ciro, Değiştirilmiş Alıcı, Keşide Yetkisini Kötüye

             Kullanma), e) Yazarkasa Ödemeleri (Geçersiz İşlemler, Hatalı Geri Ödene}

ii. Stoklar ve Diğer Varlıklara Yönelik Suistimaller:

a) Kötüye Kullanma

b) Hırsızlık (Sipariş ve Transferler, Sahte Satış ve Nakliye, Satınalma ve Teslim, Açık Hırsızlık)

                          

C. FİNANSAL TABLO SUİSTİMALLERİ TÜRLERİ:

                                                      

İki tür Finansal Tablo Suistimali bulunmaktadır:

i. Varlıkları/Gelirleri Yüksek Gösterme

(Tarihlerde Oynama, Hayali Gelirler, Gizlenmiş Borçlar/Harcamalar, Hatalı Aktif Değerlemeleri, Hatalı Açıklamalar)

ii. Varlıkları/Gelirleri Düşük Gösterme

(Tarihlerde Oynama, Gelirlerin Düşük Gösterilmesi, Borç ve Harcamaları Fazla Gösterme, Hatalı Aktif Değerlemeleri)

ACFE’nin 2014 Suistimal Raporu’nda yukarıda belirtilen suistimal türlerinin görev yeri, fail sayısı ve sektörel gerçekleşme açılarından değerlendirme sonuçları da verilmektedir.

Buna göre;                                           

                                          

Görev yerine göre gerçekleşmeler (en sık görülenden en aza doğru),

 Fatura Suistimali (Üst yönetim, Muhasebe, Finans, Satınalma, Operasyon)

 Nakit Hırsızlığı (Muhasebe, Müşteri Hizmetleri, Finans, Operasyon, Üst Yönetim)

 Nakit Mevcudu Çalma (Müşteri Hizmetleri, Muhasebe, Operasyon, Finans, Satış)

 Çek Tahrifatı (Muhasebe, Finans, Üst Yönetim)

 Yolsuzluk (Satınalma, Üst Yönetim, Operasyon, Finans, Satış, Müşteri Hizmetleri ve Muhasebe yani tümü)

 Harcama Suistimali (Üst Yönetim, Muhasebe., Operasyon)

 Finansal Tablo Suistimali (Üst Yönetim, Finans)

 Nakdi Olmayan Suistimal (Satış, Üst Yönetim, Satınalma, Müşteri Hizmetleri,   Operasyon, Finans)

 Bordro Suistimali (Muhasebe, Üst Yönetim, Finans)

 Aşırma (Muhasebe, Satış, Müşteri Hizmetleri, Operasyon)

Suistimallerin en sık rastlandığı işletme birimleri ise, sırasıyla muhasebe, operasyon, satış, üst yönetim, müşteri hizmetleri, satınalma ve finans bölümleridir.

Fail sayısı açısından ise, yolsuzluk suistimalleri büyük oranda bir kişiden fazla organize bir ekip (1 Kişi % 23, 2 kişi ve üzeri % 57) tarafından gerçekleştirilmektedir. Diğer türlerde ise çoğunlukla tek başına suistimal gerçekleştirilmektedir.

Suistimal türlerine göre görülme sıklıkları ise (en sık görülen sektörden en aza doğru),                          

  

 Fatura Suistimali (İnşaat, Eğitim, Lojistik ve Kargo, Dini Yardım ve Sosyal Hizmetler, Sağlık, Diğer Hizmet Sektörleri, Petrol ve Gaz, Üretim, Devlet ve Kamu Yönetimi, Sigorta sektörlerinde)

 Nakit Hırsızlığı (Perakende, İnşaat, Sağlık, Finans Sektörlerinde)

 Kasadan Hırsızlık (Perakende, Finans Sektörü, Sağlık, Eğitim, Dini Yardım ve Sosyal Hizmetleri)

 Çek Tahrifatı (Dini Yardım ve Sosyal Hizmetler, İnşaat, Lojistik/Kargo, Sağlık)

 Yolsuzluk (Petrol ve Gaz, Üretim, İnşaat, Finans, Devlet ve Kamu Yönetimi, Sağlık, Eğitim, Sigorta, Diğer Hizmet Sektörleri, Lojistik/Kargo, Dini Yardım ve Sosyal Hizmetler, Perakende)

 Harcama Suistimali (Dini Yardım ve Sosyal Hizmetler,  Eğitim, İnşaat, Sağlık)

 Finansal Tablo Suistimali (Üretim, Petrol ve Gaz, İnşaat, Lojistik/Kargo, Finans, Eğitim)

 Nakdi Olmayan Suistimaller (Üretim, Perakende, Lojistik/Kargo, Devlet ve Kamu Yönetimi, İnşaat, Petrol ve Gaz, Dini Yardım ve Sosyal Hizmetler)

 Bordro Suistimalleri (Dini Yardım ve Sosyal Hizmetler, İnşaat, Lojistik/Kargo, Eğitim, Devlet ve Kamu Yönetimi, Sağlık sektörleri)

 Aşırma (Sigorta, Eğitim, Üretim, Perakende, Dini Yardım ve Sosyal Hizmetler)

 Yazarkasa Ödemeleri (Perakende sektörleri)

Suistimal türlerinin kesişimlerine baktığımızda ise, harcama suistimallerinin % 53’ünde ve çek tahrifatlarının % 41’inde ayrıca fatura suistimali de yapılmıştır. gerçekleşen nakit mevcudun çalınması olaylarının % 80’inde, harcama ve finansal tablo suistimallerinin ise    % 76’sında mutlaka en az başka bir suistimal türü de kullanılmıştır. yolsuzluk en fazla kesişen suistimal türüdür. yolsuzlukla en fazla % 51 oranıyla finansal tablo, en az ise % 24 oranıyla çek tahrifatı suistimalleri kesişmiştir.

Raporda verilerin sağlandığı ülkeler arasında sayılan Türkiye’ye özel bir araştırma yapıldığında tabloda ufak tefek değişiklikler olsa gerektir. İş suistimal suçlarının işleniş usullerine ilişkin yukarıdaki verilerde, rehberimizin Suistimal Riskinin Proaktif Yönetimi bölümündeki etkin kontrol ortamının oluşturulmasına yönelik model önerimize zemin teşkil edecek önemli saptamalar bulunmaktadır.

VI. Bir İşletmede Suistimal Olabileceğini Gösteren İpuçları

Literatürde ‘kırmızı bayraklar’ olarak nitelenen ve suistimal öncesi işletmedeki kontrol süreçlerindeki zaafiyetleri büyük ölçüde gözönüne seren ipuçlarının analizi, iş suistimalinin hem önlenmesine yönelik uygulama tercihlerine karar vermede hem de tespitinde büyük katkı sağlar. Kırmızı bayraklar işletme kültürü ortamı ve faillerin davranışlarına ilişkindir.

Kırmızı bayrakları, fail ve mağdur ve genel atmosfer yönlerinden bir ayrıma tabi tutabiliriz.

a) Fail Yönünden Kırmızı Bayraklar (ACFE’ye Göre): gelirin üzerinde yaşam tarzı,

finansal zorluklar, tedarikçi/müşterilerle aşırı samimiyet, kontrol sorunları (sorumluluk paylaşmada isteksizlik), ailevi sorunlar, çıkarcı davranış tarzı, kişilik özellikleri (asabi, kuşkucu, savunmacı kişilik), kötü alışkanlıklar, yetersiz ücretten şikayet, önceki işveren kaynaklı sorunlar, yasal izne ayrılmak istememe, kuruluş içinde aşırı baskı, sosyal izolasyon, yetki eksikliğinden şikayet, başarı için aşırı çevre baskısı, yaşam standartlarında istikrarsızlık, geçmiş yasal sorunlardır.

ACFE araştırma sonuçlarında faile yönelik dikkat çekici bir tespit de, failin suistimalden önce gösterdiği zorbalık ve gözdağı, işe gelişte istikrarsızlık, işe aşırı geç gelme, internette aşırı gezinme, uygunsuz internet sitelerine girme, cinsel taciz gibi olumsuz davranışlarıdır.

b) Mağdur yönünden kırmızı bayraklar:

 Şirket kültürü bakımından (işletmenin yönetişim yapısının teşvik ettiği ve yarattığı olumsuz ortam, üst yönetimin tutarsız ve adil olmayan tutumları, yönetim kademesinde yer alan kişilerin zaafiyet ve kötü alışkanlıkları, tutarsız davranışları),

 İşletmenin finansal yapısı bakımından (finansal kriz yaşanması, şirketin çok hızlı büyümesi, anormal alım-satım işlemleri, finansal tablolar arasında uyumsuzluklar)

 Kontrol Ortamı bakımından (mevzuat ve iç prosedürler, kontrol süreçleri ve kontrol eksikliklerinin var olması, risk ve denetim komitelerinin oluşturulmamış olması veya etkin şekilde çalışmamaları, düzenleyici kurumlarla sorunlar, kayıt düzeni ve üretilen raporların güven vermemesi, bilgi işlem sisteminin güven vermemesi)

 İnsan kaynakları uygulamaları bakımından (yönetici ve çalışanlarda yüksek sirkülasyon oranı, küçülme ve yeniden yapılanmadan dolayı işini kaybetme korkusu veya işletmede bu nedenlerden kaynaklanan iş kaybı yaşanması, sürekli fazla mesailer, maaş ve ek ödemelerde kesinti veya beklenen artışın olmaması, maaş ödemelerinde sürekli gecikmeler, ünvan indirimleri, planlı ve sistematik bir çalışma ortamı olmaması, performans değerlemede adaletsizlik algısı sayılabilir. Bunların dışında, üst yönetimin (özellikle suistimal riski ve iştahının en yüksek olduğu bankacılık sektöründe) çalışanları aşırı hedef baskısı altında tutarak yoğun stres yaşamalarına yol açması ve çalışanların hedeflerini tutturmaları için –geçici de olsa- belirlenen risk iştahını istismar eden işlemler yapmalarına göz yummaları da iş suistimalini teşvik yönünde kırmızı bayraklar arasında değerlendirilebilir. Üst yönetim tabii ki, ‘çalışanım işletmeyi dolandırsın’ amacıyla yola koyulmamıştır fakat bilinç dışı da olsa bu politikalar suistimal kararına motivasyon ve meşrulaştırma zemini yaratmaktadır.

c) Genel sosyo-ekonomik kültürel çevreye yönelik kırmızı bayraklar ise: Ekonomik kriz ortamları, yoksulluk ve hızlı nüfus artışı içindeki ülkeler, sosyal ortamda suistimalin hoş görülmesi, kültürel alışkanlıklar...

VII. Suistimal Nasıl Tespit Edilmektedir?

Suistimaller, işletme itibarına ve finansal performansına doğrudan etki yapan önemli risklerdir. İşletmelerde oluşturulacak etkin kontrol ortamı ve kontrol süreçleri ile öncelikle suistimalin önlenmesi yönünde çaba gösterilir. Geliştirilen ve alınan tüm önlemlere rağmen suistimallerin kökünün kazınması imkansızdır. Bu gerçek karşısında, işletmelerde suistimalin ortaya çıkarılması bir hayli önem kazanmaktadır.

Suistimalin tespitindeki araçlara bir göz atarsak: işletmeye özgü tasarlanan ve uygulanan bütünleşik operasyonel modeller, iç denetim, süreçlere yönelik yönetim kontrolleri, ihbar mekanizması, mutabakatlar, belge inceleme, veri gözetim/izleme faaliyetleri, yasal bildirimler, dış denetim ve bilgi teknolojileri kontrollerini sayabiliriz.

Veri Gözetim/ İzleme faaliyetleri kapsamında, bilgi teknolojilerinin kullanılarak belirli parametrelere göre verilerin izlenmesi ve analizi, gözetimler (kamera sistemi gibi), çalışan davranışları sapmaları ve nedenlerinin araştırılması, müşteri anomalisi, paydaşlar ve çalışanlar arasındaki ilişki, işlemlerde sapmalar takip edilir.

İşletmede rutin bilgisayar destekli iç denetim faaliyetleri yanında birim bazında ayrıntılı iç denetim ile sürekli ve ani denetim usulleri de uygulanmalıdır.

ACFE 2014 raporunda, tespit araçlarının suistimalleri ortaya çıkarmadaki etkililik oranlarına da yer verilmiştir. Buna göre aşağıdaki sürpriz sonuçlara hazır olmamız gerekmekte:

 İhbar % 42

 Yönetim Kontrolü % 16

 İç Denetim % 14

 Tesadüfen % 7

 Mutabakat % 7

 Diğer % 14 (Belge İnceleme, Dış Denetim, Gözetim/İzleme, Yasal Bildirimler, BT Kontrolleri, İtiraf, Diğer)

Bir işletmenin 100’den fazla veya az sayıda çalışanı olması, oransal olarak ufak değişiklikler olsa da, tespit yöntemlerinin etkililik sıralamasını değiştirmemektedir.

Araştırma sonuçlarına göre, en etkili silah olarak göze çarpan ihbar mekanizmasının kaynakları ise; çalışanlar % 49, müşteri % 21.6, anonim % 14.6, tedarikçi % 9.6, diğer % 5.2 (ortaklar, rakipler, diğer) olarak raporda yer bulmuştur. İş suistimallerinin tespitinde ikinci sırada yönetim kontrolleri ve üçüncü sırada ise iç denetim gelmektedir. Bu üç kanal/yöntem işletmede var olması gereken etkin kontrol ortamının ana unsurlarındandır. Türkiye özelinde yapılan araştırmalarda, uluslararası sonuçlara göre ihbar oranının daha düşük kalması; her ne kadar ortaya çıkma/zarar görme riski ve kültürel olarak ‘ispiyonculuk’ bağlamında değerlendirilse de, güvenilir ihbar hatları organizasyonu ve ‘suistimal farkındalık’ aktiviteleriyle bu oranın arttırılacağını düşünmekteyiz. Ayrıca belirtmek gerekir ki, işletmede güvenilir ve işleyen bir ihbar hattının (etik hattın) faaliyette olması, suistimallerin tespitinde iç denetim ve iç kontrol sistemlerinin de etkinliğini arttırmaktadır. Dördüncü sırada yer alan ve % 7’lik bir orandaki suistimalin ‘tesadüfen’ tespit edilmesi ancak çalışanlar ve diğer paydaşlarda farkındalık yaratmakla düşürülebilir.

Yine ACFE raporuna dönecek olursak, 2014 yılı araştırmalarında suistimal tespit

yöntemlerinin etkinliği iki yönden analize tabi tutulmuştur:

1. Tespit Sürelerindeki Ekinliklerine Göre: Veri izleme/gözetim 9 ay, 

hesap mutabakatı 10 ay, bilgi teknolojileri kontrolleri 11 ay, iç denetim, yönetim kontrolü ve ihbar 18 ay, itiraf 21 ay, belge inceleme 24 ay, yasal bildirimler ve dış denetim 30 ay ve tesadüf 32 aydır. İç denetim, yönetim kontrolü, belge inceleme ile yasal bildirimler ve dış denetimle tespit sürelerinin düşürülmesi denetim aralıklarının kısaltılmasına bağlıdır. İhbar mekanizmasının  genel etkinliği yanısıra, ihbar süresinin kısaltılması kurum içi farkındalık eğitimleri ile birebir bağlantılıdır. Yoksa işimiz tesadüflere ve itiraflara kalacaktır!

2. Tespit Ettikleri Suistimalin Medyan Zararına Göre: Yasal bildirimler

1.250.000$, dış denetim 360.000$, tesadüf  325.000$, itiraf ve belge inceleme 220.000$, ihbar 150.000$, yönetim kontrolü 125.000$, iç denetim 100.000$, hesap mutabakatı ve kontrolleri 70.000$ ve veri izleme/gözetim 50.000$ düzeyindedir. Medyan zararların yükselmesi ve düşmesi doğrudan denetim süre aralıkları, kontrol ortamı ve kontrol süreçleri ile ilgilidir. Tespit sürelerinde son üç sırada yer alan yöntemlerin, medyan zararda ilk üç sırayı almaları şaşırtıcı değildir: suistimali tespit süresi uzadıkça uğranılan zarar da artmaktadır!

İş Suistimal türlerine göre medyan tespit sürelerine bakarsak; nakdi olmayan (12 ay), yazarkasa ödemeleri (14 ay), yolsuzluk, nakit hırsızlığı, nakit mevcudu çalma ve aşırma (18 ay), fatura, harcama, finansal tablo ve bordro suistimalleri (24 ay) ve son sırada çek tahrifatı (26 ay)’da ortaya çıkmaktadır.

Suistimalin tespitine yönelik araçların türleri ve etkinlik düzeyleri açılarından bizleri bilgilendiren ACFE araştırma sonuçlarını değerlendirirsek; raporda yer alan veriler, bir işletmede üst yönetimin etkin kontrol ortamı ve kontrol süreçlerini oluşturmadaki sorumluluğunu vurgulamasının yanı sıra, işletmenin  yönetişim, iç kontrol ve iç denetim sistemlerinin bütünleşik organizasyonu ve senkronize çalışmalarının önemini bir kez daha ortaya koymaktadır.

VIII. Suistimal Riskinin Proaktif Yönetimi

İşletme üst yönetimi, genel yönetim sorumluluğunu üstlendiği kurumun potansiyel bir suistimal mağduru konumuna düşmemesi için risk yönetimi çerçevesinde gereken en etkin önlemleri almakla yükümlüdür. Suistimal riskinin yönetimi, ‘öğrenen’ bir şirket kültür ortamı yaratma, periyodik değerlendirmeler, suistimali caydırmaya, önlemeye ve tespit etmeye yönelik kontrol ortamı ve süreçlerin oluşturulması gibi bileşenlerden meydana gelir.

Buna karşın, dünyada ve Türkiye’de yapılan farklı araştırmaların sonuçları, işletmelerin üst yönetiminde suistimal riski farkındalığının en üst düzeyde olmasına rağmen, suistimal riskiyle etkin mücadele konusunda yetki ve sorumluluklarını yerine getirmede pek de aktif olmadıkları tespitinde birleşmektedirler. Bu durum da, riskin yönetiminde proaktif önlemler almak yerine reaktif önlemler almayla sonuçlanmaktadır. Rehberimizin ‘Mağdur Kimdir’ bölümünde yer verdiğimiz KPMG araştırması sonuçları da üst yöneticilerin konuya ilişkin tespit/aksiyon/takip çelişkilerini gözler önüne sermektedir.

Kamuoyundaki imaj bakımından, suistimalle mücadelede en etkili olduklarına inanılan finansal kurumlar sektörü ve halka açık işletmeler bu haklı şöhretlerini biraz da ulusal ve uluslararası boyutta üst düzenleyici ve gözetleyici kurumların yer aldığı sektörlerde faaliyet göstermelerine borçludurlar. Maalesef sözkonusu işletmelerin bir kısmında bile bu zorlayıcı düzenlemeler belli ölçüde şekli kalmakta, uygulamada etkinliğin ve etkililiğin sağlanması yönünde kontrol mekanizmalarına gereken destek verilmemekte, yönetsel takibi ihmal edilmektedir.

Konuya ilişkin sonda belirteceğimizi baştan belirtelim: işletmelerde suistimal riskiyle mücadele, kurumun tepe yönetiminden başlayarak tüm kademelerdeki çalışanları adeta sarıp sarmalamalıdır. Suistimal riski ile mücadele kapsamında işletme genelinde tespit edilecek ve giderilecek zaafiyetler, aynı zamanda işletmenin yönetişim, risk yönetimi, iç kontrol ve iç denetim sistemlerinin etkili, etkin ve ekonomik çalışmasına dolayısıyla işletmenin gelişimine katkıda bulunacaktır. Bu çerçevede temel amaç, işletmede etkin bir suistimal önleme kültürü oluşturmak olmalıdır. Bu amaç, aynı zamanda çağdaş bir şirket kültürünün de alt unsurudur.

Suistimalle mücadelede, Suistimal Üçgeni kuramı unsurları temelinde işletme içinde uygulanacak bazı pozitif politikalar çok büyük önem arzetmektedir. Örneğin, çalışanlara yönelik sosyal destek programlarıyla potansiyel fail üzerindeki bazı finansal baskılar hafifletilebilir ve işlenecek suçun fail tarafından vicdanen meşrulaştırılması engellenebilir. Adil bir performans değerleme, prim sistemi ve maaş sistemi faili suçu meşrulaştıramama yönünde zorlayacaktır.

İşletme içerisinde oluşturulacak etkili ve etkin kontrol ortamıyla, suistimal fırsatının pek olmadığını gören potansiyel fail ‘yakalanma tehdidi duygusunu’ da en üst düzeyde hisseder. Sonuç olarak belirtmek gerekir ki, suistimal üçgeninin ana unsurları olan fırsat, meşrulaştırma ve baskıların algısal boyutu potansiyel failde yönetilebilir ve dolayısıyla suça yönelik karar süreçleri işletme lehine çevrilebilir.

Bu bölüme kadar, suistimal ve ilişkili sözcüklerin anlamlarını, suistimal üçgeni kuramını, mağdurun ve failin profillerini, suistimale yönelik kırmızı bayrakları ve suistimalin nasıl tespit edildiğini özetledik. Şimdi ise, işletmelerde etkin bir suistimal risk yönetiminin nasıl olacağı konusunda bir model önerisinin ana çerçevesini sunalım.

Suistimal Riskinin Proaktif Yönetim Modeli

1. Mevcut Durumun Analizi

Öncelikle, işletmenin mevcut vizyon, misyon ve stratejik planlarının gerçekleştirilmesi doğrultusunda organize edilen yönetişim, risk yönetimi, iç kontrol ve iç denetim mekanizmaları uzmanlarca detaylı gözden geçirilmelidir. Yaratılmış olan şirket kültürü kapsam ve yeterlilik analizleri, mevcut kontrol ortamı ve kontrol süreçlerinin detaylı incelenmesi de bu çerçevede yapılmalıdır. Bu aşamada, anketlerden de yararlanılabilir.

Mevcut duruma yönelik içsel ve dışsal faktörler de dikkate alınarak hazırlanan ve önerileri de içeren rapor üst yönetime bilgi ve onay için sunulur.

2. Modelin Tasarlanması

Tasarlama aşamasında ise, üst yönetimin onayından geçen ve uygulanması için karar alınan rapor ilkeleri doğrultusunda yapılacak değişikliklerin ve yeniliklerin işletme gerçeklerine özgü tasarlanmasıdır. Bu aşamada, mevcut durum raporunda tespit edilen noktalar ile sektörel veriler, işletmeye ilişkin tüm veriler ile çalışan ve yönetici görüşleri gözönüne alınır. Modelin temeli, etkin bir şirket kültürü içerisinde entegre çalışacak, kurgulanacak erken uyarı mekanizmaları ile üst yönetime kontrol mekanizmasını proaktif yönetme imkanı verecek testler ve gözden geçirmelere dayanan dinamik bir ‘öğrenen’ yapıdan oluşacaktır. Tasarlanan işletmeye özel model, çalışanlara ve yöneticilere sunulur, geri beslemeler alınır ve gerekirse revizyonlar yapılır. Sonrasında ise, uygulama için üst yönetimin onayına sunulur.

3. Tasarlanan Modelin Uygulamaya Alınması

Bu aşamada ise, uzmanlarca işletme ihtiyaçlarına ve bütçe gerçeklerine uygun tasarlanan ve üst yönetimce onaylanan yeni modelin işlerlik kazanmasıyla, işletme faaliyetlerinin mevzuata uyumlu, güvenilir, daha etkili, daha etkin ve daha ekonomik yürütülmesini sağlayan yeni bütünleşik (integrated) yapı devreye girer. Yenilenmiş kontrol ortamına dayanan re-organize edilmiş kontrol süreçleri (ilgililerine eğitimler verilerek, donanımlar sağlanarak) işletme içerisinde uygulanmaya başlanır. Böylece, işletmede yönetişim, risk yönetimi, iç kontrol ve iç denetim sistemlerinin senkronize çalışmaları ve kontrol süreçlerinin sürekli devrede olması sağlanır. Sistemlerin birbirine eklemlenerek entegre ve senkronize çalışma içinde olmaları, üst yönetime da kararlarında proaktif olma imkanı verir.

4. Modelin Periyodik Olarak Gözden Geçirilmesi

Bu aşamada, uygulamaya alınan model, bileşenlerinin hedeflenen doğrultuda işleyiş düzeyleri, işletme faaliyetlerine katkı düzeyleri, yeni ortaya çıkan içsel ve dışsal risklerin belirlenmesi, işletmenin yeni stratejik hedefleri çerçevesinde iç ve dış denetime tabi tutulur. Ayrıca, deneyimli uzmanlar gözetiminde, COSO, COCO (İç Kontrol sistemi kontrol parametreleri) ve Kontrol Öz Değerlendirme (Control Self-Assessment) tekniğinden de yararlanılabilir. Kontrol süreçleri içerisinde yer alan yöneticilerin aktif sistem değerlendirmeleri ve önerileri kontrol süreçlerinin değişen, gelişen ve öğrenen bir yapıya dönüşmesini sağlar. Gözden geçirmelerde tespitler kadar bir önemli husus da prosedürler ve süreçlerde gereken güncellemelerin raporlanması, yapılması ve tabii ki en başta uygulanmasıdır.

Modelin Tasarlanmasında Dikkate Alınması Gereken  Noktalar

1. Üst Yönetimin Politikaları ve Yönetim Tarzı: Pozitif şirket kültürü atmosferi, kurumsal yönetişim ilkelerinin benimsenmesi ve uygulanması, vizyon, misyon ve stratejik planlamanın işletme kaynakları ve piyasa koşullarına uygun olarak gerçekçi saptanması, etkin risk yönetimi, yönetim kurulu üyeleri arasından denetim komitesi oluşturulması, üst yönetimin politika ve uygulamalarında tutarlı ve dürüst olması, suistimalle mücadele politikası ilkelerinin belirlenmesi ve eylem planı hazırlanması, işletmede etik kuralların oluşturulması, uygulanması ve çalışanlara duyurulması, bildirim mekanizmalarının kapsama alanı müşteriler, tedarikçiler, bayiler ve diğer paydaşlara uzanması, çalışanlara verilen performans hedefleri adil ve abartıdan uzak olması gibi.

2. İşletmenin Organizasyon Yapısı: Etkin, etkili, ekonomik yönetişim sistemi, görev, yetki ve sorumluluklarının açık net ve liyakata göre belirlenmesi, görevlerin uygun şekilde ayrılması, hizmet birimlerinin organizasyonları ve birbirleriyle ilişki esasları,     bilgi işlem sistemine entegre iş süreçleri (işletme içinde süreçlerin iş yapısına uygun ve gerçekçi belirlenmesi), iletişim araçlarının kullanımı esasları, internet girişleri, yönetim kontrol süreçlerinin uygulanmasında açık ve net düzenlemeler, yetkilerin bilinçli kullanılması yönünde eğitimler öngörülmesi.

3. İşletmenin İnsan Kaynakları Politika ve Uygulamaları: Hem işe alım süreçlerinde potansiyel suçluların alınmasını engelleme fonksiyonunu yerine getirir hem de çalışılan süreçte suça meyil oranlarına etki eder. Suistimal farkındalık eğitimleri, işletmede davranış kurallarının belirlenmesi, işe alım (geçmiş iş doğrulaması, adli sicil kaydı, sağlık raporu, referans kontrolleri, eğitim doğrulaması), işten çıkarma uygulamaları, fazla mesai uygulamaları, eğitim politikası, iş vardiyaları, izin uygulamaları, maaş artışları, sosyal destekleme programları (sağlık, özel veya parasal sorunları olan çalışana yönelik), çalışan memnuniyet anketleri, bildirim mekanizmaları (örneğin açık kapı politikası, ihbar hattı), işveren markası çalışmaları, çalışanlar arasında kuşaklara yönelik spesifik yaklaşımlar.

4. İşletme İçi Prosedürlerin Yürürlükte Olması: işletmenin faaliyet gösterdiği ülkeye ve sektöre özgü yasal mevzuata dayanan düzenlemeler, şirket kültürü çerçevesinde oluşturulan tüm süreçleri içeren ve uyulması zorunlu prosedürler. Bu dokümanların, yayınlanması, duyurulması, uygulanması ve düzenli güncellenmesi gerekir.

5. İşletmede Fiziki Düzenlemeler ve Güvenlik Önlemleri: Kontrol süreçlerinin etkili olması ve etkin kılınması bakımından gereken ve tüm çalışanların yerleşim düzenleri, birimlerin fiziksel ortamları, güvenlikleri gibi düzenlemeleri içerir.

6. Etkili Kontrol Mekanizmaları: işletmeye özgü kontrol süreçlerinin oluşturulması, proaktif veri gözetleme/izleme/analiz, muhasebe sisteminde güvenilir ve disiplinli bir kayıt düzeni, mutabakatlar, finansal raporlamaların doğruluğu, birim faaliyetlerinin gözetimi, onay ve yetki kullanımına dayalı yönetim kontrolleri, risk yönetimi, iç denetim (caydırıcılık fonksiyonu, birim bazında denetimler, ani denetimler, sürekli denetimler), suistimal riski yönetim komitesi (işletmede yaşanan gelişmeler ve suistimal üçgeni teorisi temelinde düzenli risk değerlendirmelerinin yapılması), özel suistimalle mücadele ekipleri, kırmızı bayrak gösteren çalışanların izlenmesi, dış denetim, bilgi işlem sisteminin güvenliği, etkinliği, güvenilirliği, sözleşme incelemeleri, teyitler, bilgi teknolojileri bazlı sürekli denetimler, uyum denetimleri.

7. ACFE Raporu Verileri Analizleri: tasarlanacak modelde dikkate alınması gereken diğer bir husus ise, ACFE raporunda sunulan iş suistimaline yönelik ve rehberin farklı bölümlerinde yer verdiğimiz saptamalarla birlikte, suistimalle mücadele araçlarının etkinlik düzeyi, uğranılacak zararı düşürme etkisi ve suistimalin tespit edilme sürelerine etkileri verilerinin de analiz süzgeçinden geçirilerek dikkate alınmasıdır. Buna göre;

a) Suistimalle Mücadele Araçlarının Etkinlik Düzeyleri:

              Finansal raporların dış denetimi % 81, davranış kuralları % 77, iç denetim birimi

              % 70, finansal raporların yönetim sertifikasyonu % 70, finansal raporların iç kontrol 

              denetimleri % 65, yönetim kontrolleri % 62, bağımsız denetim komitesi %62, ihbar

              hattı % 54, çalışan destek programları % 52, yöneticiler için suistimal eğitimi % 48,

              çalışanlar için suistimal eğitimi % 48, suistimalle mücadele politikası % 45, özel

              suistimal bölümü ekibi % 39, proaktif  veri izleme ve analiz % 35, suistimal

              risk analizleri % 34, sürpriz denetimler % 33, görev rotasyonu/zorunlu izin % 20

              ve ihbar edene ödül % 10.

Raporda belirtilen yukarıdaki veriler, suistimale maruz kalan işletmelerin üst yönetimince suistimal öncesi alındığı öngörülen tedbirleri göstermektedir. Dış denetimin gerçekleşen suistimalleri önlemede etkisi % 2 ile en alt düzeylerde iken, mağdur işletme yöneticilerinin belirttiği önlemler arasında ilk sırayı % 81 ile Dış Denetimin alması traji-komik bir durumu işaret etmektedir. Verileri bir de suistimal üçgeni teorisi açısından değerlendirsek,

o Mağdur işletmelerde suistimalin önlenmesine özel önlem ve uygulamaların % 34 ile  % 48 arasında kalması ve ancak % 54’ünde ihbar hattı, % 62’sinde yönetim kontrolleri (varsayılandır muhtemelen), % 33’ünde sürpriz denetimler, % 35’inde Proaktif Veri İzleme ve Analizi uygulamalarının olmasının aslında potansiyel fail(ler) için işletmelerde ne ölçüde yeni fırsat ortamı vadettiği,

o Çalışan Destek Programlarının % 52’de, Görev Rotasyonu/Zorunlu İzinlerin % 20’de , İhbar Edene Ödül % 10 düzeylerinde kalmasının baskıların güdülenmesinde olumlu bir etki yarattığı,

o Mağdur işletmelerde suistimalin önlenmesine özel önlem ve uygulamaların % 34 ile  % 48 arasında kalması ve ayrıca yukarıda belirttiğimiz insan kaynaklarına yönelik politikaların yetersizliği de suistimalin meşrulaştırılması yönünden faili eylem için teşvik edeceğini net olarak  görebilmekteyiz.

Bu sonuçlar, sözkonusu işletmelerde yeni suistimalleri önlemek için epey yol alınması gerçeğini gösterirken suistimali önleyici ve erken teşhis edici modelin tasarlanmasında öncelikler yönünden de bilgilendirici olmaktadır.

b) Mücadele Araçlarının Zararı Düşürmeye Etkisi:

Proaktif  veri gözetim/ izleme/analiz, çalışan destek programları, yönetim kontrolleri,

davranış kuralları, iç denetim, sürpriz denetimler ve düzenli suistimal risk

değerlendirmeleri ile ortalama kayıp % 50 civarına düşürülebilmektedir. Bunların

dışında, finansal tablo iç kontrollerinin dış denetime tabi tutulması, üst yönetim,

diğer yöneticiler ve çalışanlar için suistimal eğitimi, ihbar hattı, özel suistimal birimi ve ekibi,  finansal tablo yönetici onayları, görev rotasyonu/zorunlu izin, finansal tabloların dış

denetimi, ihbar edene ödül ile kayıplar % 26 ila % 43 oranında düşürülebilmektedir.

Bu sonuçlar da, yukarıdaki yorumlarımızı tamamen desteklemektedir.

c) Mücadele Araçlarının Suistimali Tespit Sürelerine Etkisi:

Sürpriz denetimler, proaktif  veri gözetleme/izleme/analiz, özel suistimal birimi ve ekibi,

suistimalle mücadele politikası, üst yönetim, diğer yönetim ve çalışanlar için

suistimal farkındalık eğitimleri, ihbar hattı, düzenli suistimal risk değerlendirmeleri

ve yönetim kontrolleri, bağımsız denetim komitesi, iç denetim birimi, görev

rotasyonu/zorunlu izinler, finansal tabloların iç kontrolünün dış denetime tabi

tutulması, finansal tablo yönetici onayları, ihbar edene ödül, davranış kuralları,

çalışan destek programları ve finansal tabloların dış denetiminin varlığı ve etkinliği

ortalama 24 ay olan suistimal ortaya çıkma süresini 12 aya kadar düşürebilmektedir.

8. Üçlü Savunma Hattı Yaklaşımının Proaktif Suistimal Riski Yönetimine Sağladığı Kaldıraç Etkisi

Literatürde 1990 yılların ortalarından beri gündemde olan, COSO ve IIA (İç Denetçiler Enstitüsü) tarafından da desteklenen Üçlü Savunma Hattı (The Three Lines of Defense) modeli kurumsal yönetişim faaliyetlerinin sağlıklı, etkili ve etkin yürütülmesi bakımından iç kontrol mekanizmalarının (yönetişim, iç kontrol, risk yönetimi ve iç denetim) önemine vurgu yapar. Proaktif suistimal riski yönetim modeli kurgulanırken 3’lü Savunma Hattı da önemli esin kaynağı olmasının yanısıra kontrol süreçlerinin etkililik düzeyine kaldıraç etkisi yapacaktır.

3’lü Savunma Hattı yaklaşımına göre,

 Birinci Savunma Hattı: (Yönetim Kontrolleri/İç Kontrol Kriterleri) Riskin esas sahibi ve yöneticisi konumundaki yetkililerin gözetim, gözden geçirme, yetkilerin kullanılması, işlem onayları, öz-değerlendirme, işlem sürecinin sürekli gözlemi faaliyetlerinden oluşur. Yöneticiler, bizzat kendi yetkilerinden kaynaklanan kontrollerle işlemlerin sağlıklı yürütülmesi amacıyla sürekli olarak süreçlerdeki zaafiyet ve risklerin yönetilmesi için kontrol sorumluluklarını üstlenir ve gereken önlemleri alırlar. İç kontrol sistemi kriterlerinin uygulanması öngörülür.

 İkinci Savunma Hattı: (Kurallar ve Gözetim) Testler, gözlemler, güvenlik, finansal kontrol, riskin yönetimi, kalite, uyum kontrolleri. Bu çerçevede, işletme içi politika  ve mekanizmalar oluşturarak, iç prosedürler yürürlüğe koyarak birinci savunma hattının mevzuata uyum ve etkinliğinin gözetimidir.

 Üçüncü Savunma Hattı: İç Denetim ile bağımsız ve objektif güvence sunulur. Birinci ve ikinci savunma hatlarının güvenilirlik, etkililik, etkinlik, ekonomiklik ve uyum ilkeleri çerçevesinde denetimidir.  Ayrıca, işletme yönetişim sisteminin riskleri nasıl tanımladığı, değerlendirdiği ve yönettiği hususlarında üst yönetim için risk bazlı iç denetim hizmeti verilir.

Bütün bu savunma hatlarına ek olarak, dış denetim, düzenleyici üst kurullar ve dışsal diğer organlar olarak öngörülmüştür.

IX. Suistimal Soruşturması Nasıl Yapılır?

Suistimal soruşturması, mesleki yetkinliği üst düzeyde olan deneyimli soruşturmacılar tarafından yapılmalıdır. Bazı işletmelerde suistimal ortaya çıktığında yetkililerden bir komite oluşturulmakta ve soruşturma faaliyeti komite üyelerince yürütülmektedir. Tamamen teknik bir konu olan suistimal olaylarının incelenmesi, araştırılması ve soruşturması mutlaka uzmanlarca yürütülmelidir.

Özellikle, hukuki takibe taşınan suistimallerde faillerin çoğu delil yetersizliğinden beraat etmekte ve hatta çoğu suçu bile inkar etmektedir. Suistimal vakalarının çoğunun hukuki takibe gittiği düşünülürse, suistimalin soruşturma aşaması mağdurun haklılığının ispatlanması ve zararının tazminin sağlanması açılarından büyük öneme haizdir. Bunun dışında, kurum içerisinde çözülen vakalarda bile failin, kanıtların, zararların net olarak ortaya konulması kurum içi disiplin komitesinin objektif ve adil karar alabilmesi açısından çok önemlidir. Bu iki temel neden de, çok net biçimde Suistimal İnceleme/Soruşturma Uzmanlarını işaret etmektedir.

Suistimal soruşturmasını yapacak denetçiler, mesleki yetkinlik ve bilgide kıdemli olup mesleki şüpheciliğe (sorgulayıcı mantık ve kanıtların suçla ilişkilendirilmesine özgü ayrı bir yeteneğe sahip olma), güçlü bir mantık altyapısına, gözlem kabiliyetine, yüksek sezgi gücüne, mülakat ve sorgulamalarda gereken bilgi ve deneyime ve ileri iletişim becerilerine sahip olmalıdır.

Suistimal inceleme uzmanları, etik kurallara bağlı, gerek yasal mevzuat gerekse de işletme içi prosedürlere hakim olmalıdır.

Soruşturmalarda olayın niteliğine göre değişik tekniklerden yararlanılabilir. Başlıklar halinde belirtecek olursak; kayıt düzeninin değerlendirilmesi, fiziki sayımlar ve mutabakatlar, yazılı ve sözlü teyitler, istisnasız denetim tekniği, ileriye ve/veya geriye doğru denetim tekniği, maddi denetim tekniği, doğrudan/dolaylı denetim tekniği, mülakat ve sorgulama teknikleri, anket tekniği, bilgi teknolojileri tekniği, psikolojik analiz teknikleri, çıkarsamalar, matematiksel ve istatistiksel teknikler, bilgi ve belgelerin ayrıntılı incelenmesi, hesaplar arasında ilişkiler, sosyal medya analizleri, Kök Neden Analiz Tekniklerinden yararlanılır ve diğerleri...

Suistimal vakasının soruşturulması, birbirinin içine geçen üç sürece (inceleme, araştırma, sorgulama) ilaveten raporlama sürecinden oluşur.

Soruşturma, yukarıda belirtilen teknikler kullanılarak aşağıdaki içiçe geçen süreçlerde gerçekleştirilir.

 Suistimalin gerçekleştiği zamandan sonra soruşturma başladığı için zaman dezavantajının giderilmesi için çok yoğun çalışmalar yapılır

 Suistimal vakasının unsurları netleştirilir, alanı belirlenir, vaka tüm yönleriyle tanımlanmaya çalışılır

 Suistimale ilişkin tüm gerçeklerin detaylarıyla ortaya konulması doğrultusunda gereken inceleme ve araştırmalar yapılır

 Çalışmalar esnasında yasalara uygun biçimde hareket edilir ve soruşturmanın gizliğine büyük önem verilir

 Acil olarak adli makamların dahil edilmesi gereken bir husus varsa bildirilir

 Suçüstü ihtimali varsa değerlendirilir

 Suistimal üçgeni (baskılar, meşrulaştırma ve fırsat) kişisel ve çevresel etkenler çerçevesinde eylem incelenir, gereken kanıt araştırmaları yapılır

 Suistimal öncesi görülen kırmızı bayrakların suistimal eylemi ve potansiyel faille ilişkileri araştırılır

 Suistimal, ihbar mekanizması ile ortaya çıkmışsa ihbar eden(ler) ile görüşme yapılır

 Gerek görülen diğer çalışanlar ve ilgililerle görüşmeler yapılır

 Çalışanlarla kurulacak iletişimde mesafeye dikkat edilir

 Gerekirse suistimale yönelik fail ve kanıtlara ulaşmak için anket düzenlenir

 Suistimalle ilgili görülen işlem süreçleri yukarıda belirtilen teknik(ler) aracığılıyla derinlemesine analiz edilir

 Bilgi Teknolojileri Sistemi vasıtasıyla analizler yapılır, simülasyonlar yapılır

 Kriminal uzman görüşü gerekiyorsa, başvurulur

 Kayıt düzeni ile ilgili fiziki sayımlar, mutabakatlar, teyitler, incelemeler yapılır

 Gereken saha çalışmaları yapılır

 Kanıtlar toplanır (kanıtlara ulaşma tekniklerine aşağıda yer verilmiştir)

 Şüphelilerin sorgulamaları yapılır ve yeni kanıtlara ulaşılmaya çalışılır

 Kanıtlar güvence altına alınır

 Gerekirse başka uzman görüşüne (örneğin bilgi teknolojileri) başvurulur

 İç ve dış mevzuat ile verilerin ve elde edilen kanıtların ilişkilendirilmesi yapılır

 Eldeki verilerin değerlendirmeleri yapılır (ekip üyeleri varsa birlikte)

 Failleri belirleyebilecek kanıtlara ulaşıldığına inanılırsa, bazı şüpheliler elenebilir veya yeni şüpheliler listeye eklenebilir

 Fail olduğu varsayılan kişiler yeniden sorgulanır, çelişkiler saptanır, itiraf edilmesi için uğraşılır

 Fail tespit edildiğinde, zararın tazmini yönünde ikna edilmeye çalışılır

 Raporun hazırlanması ve sunulması aşamasına geçilir

 Hukuki takip olacaksa dosyayı takip edecek hukukçularla rapor yasal dayanakları konusunda işbirliği yapılır

Suistimale Yönelik Kanıtların Toplanması: Tespit edilen suistimallere yönelik yeterli ölçüde inandırıcı kanıt ve bunları destekleyecek tamamlayıcı kanıtlar toplanmalıdır. Kanıtlara örnek verecek olursak, fiziksel kanıtlar, tanık ve fail ifadeleri, belge hüviyetindeki kanıtlar, analiz sonuçlarındaki çıkarsama ve yorumlamalara dayalı kanıtlar, elektronik kanıtlar, sesli ve görüntülü kanıtlar, uzman raporları, e-mailler, sosyal medya verileri, maddi test sonuçları, anket sonuçları vb.

Kanıtların elde edilmesinde, fiziki kontrollerden, gözlemlerden, göz atma tekniğinden ve yetkili uzman raporlarından yararlanılır, işlemlere ilişkin doğrulamalar yapılır, ilgili paydaşlardan yazılı/sözlü teyitler talep edilir, denetim kapsamındaki işletme birim çalışanlarıyla, yöneticilerle, gerekirse tedarikçilerle, destek hizmeti verenlerle ve müşterilerle görüşmeler yapılır (gerekirse yazılı bilgi alınır), matematiksel ve istatistiki yöntemler kullanılır, belge ve bilgi analizleri yapılır, ilgili hesaplar arasındaki ilişkiler incelenir, süreç ve olay derinlemesine incelenir, bilgisayar destekli denetim tekniği ile işlem süreci tamamen gözden geçirilir ve önceden varsayılmış parametrelerin gerçekleşmelerine göre analizler yapılır.

Suçu İspatlayan Kanıtlar dört farklı türde olabilir:

i. Doğrudan (Tam) Kanıt (başka bir kanıta ihtiyaç duyulmadan ispata yeten kanıt)

ii. Tamamlayıcı Kanıt (ispatı destekleyici, teyit edici ve doğrulayan kanıt)

iii. Dolaylı Kanıt (failin suçu işlediğine yönelik belirtileri içeren, ispat gücü olan fakat ikinci derecede önemi olan kanıtlar)

iv. İlintili Kanıt (suçu ispatlamada işe yaramaya uygun kanıt).

X. İşletme Yönetimlerince Vakaların Sonuçlandırılma Usulleri

İş suistimali vakaları yaşanan işletmelerde, suistimallerin doğrudan maliyeti itibar kaybı ve uğranılan zarar iken; dolaylı maliyetlerini ise, verimlilik ve iş/müşteri kayıpları diye sıralayabiliriz.

ACFE’nin raporunda belirtildiği üzere dünya genelinde iş suistimali vakalarının % 61'inde hukuki takip yoluna gidilmiş, % 39’u kurum içinde çözüme kavuşturulmuş veya üstü örtülmüştür. Türk işletmelerinin çok büyük çoğunluğu aile işletmelerinden oluştuğu için muhtemelen ortaya çıkan suistimallerde kamuoyundan saklanma oranı ülkemizde gelişmiş ekonomilere göre daha yüksektir.

Suistimal vakasını tespit eden işletmelerin hukuki takip yolunu tercih etmemelerinin temel gerekçeleri; suistimalin kamuoyunca öğrenilmesinin kurum imajını olumsuz etkileyip işletmeye duyulan güvenin zedelenmesiyle sonuçlanması, ortaya çıkan bazı suistimallerin işletme içi disiplinle veya özel uzlaşmaya çözülebilmesi, işletme yönetimince hukuki takibin aşırı maliyetli görülmesi veya suistimal tutarının hukuki takip yapılmasını gerektirmeyecek ölçüde düşük olması, bir nedenle (örneğin failin işletme sahiplerinin veya üst yönetimin çok yakını olması) suistimalin üstünün örtülüp verdiği zararın sineye çekilmesi, faili suçlayıcı kanıt yetersizliği, failin ortadan kaybolması gibi nedenlere dayanmaktadır.

Bu arada araştırma sonuçlarına göre, savcılığa intikal eden her dört vakadan biri başvuran kurum lehine sonuçlanmış; mahkemeye intikal edenlerde ise yarısından fazlası kurumun talebi doğrultusunda, % 30 civarı ise uzlaşma ile sonuçlanmıştır.

İş suistimali zararlarının hiç tazmin edilememe oranı % 50’den fazladır. Zararın % 50’ye kadar olan kısmının tazmini ise % 20 düzeylerindedir. Buna karşın, zararın tamamının tazmin edilme oranı ise ancak % 14 civarındadır.

Suistimallerin ortaya çıkmasından sonra işletme üst yönetimince gösterilen ilave reaksiyonlar, suistimali gerçekleştirenlerin şirketle ilişiğini kesilmesi ve yaşanan suistimal de dikkate alınarak kurumun suistimal riskine karşı aldığı önlemlerin yeterliliğinin gözden geçirilmesi, gerekirse ek önlemler alınması olmaktadır.

Kaynak: Bülent Hasanefendioğlu