Şirketlerde yaşanan suistimal vakaları çoğu zaman “gözümüzün önünde” olduğu halde uzun süre fark edilemeden devam edebiliyor. ACFE’nin (Association of Certified Fraud Examiners) araştırması bize, tipik bir suistimalin ortaya çıkmasının genellikle yaklaşık 12 ay sürdüğünü göstermektedir[1]. Bu süre zarfında suistimalciler şirket kaynaklarını sömürmeye devam eder ve suistimal ne kadar uzun sürerse şirketin uğrayacağı finansal zarar o denli büyük olur. Nitekim ACFE’nin bir diğer çalışmasında, 5 yıl boyunca ortaya çıkarılmayan suistimal vakalarının yol açtığı zararın, 6 ay içinde tespit edilen vakalara göre 20 kat fazla olduğu saptanmıştır[2].
Peki, şirketler suistimal belirtilerini neden bu kadar geç fark ediyor? Aşağıda, suistimalin geç tespit edilmesinin başlıca nedenlerini ve bu durumu engellemek için alınabilecek önlemleri ele alıyoruz.
Suistimalin Tespitinde Geç Kalınmasının Nedenleri
İç Kontrol Zafiyetleri: Suistimal İçin Açık Kapılar
Kurumsal suistimalin erken tespit edilememesinin en önemli nedenlerinden biri, şirket içi kontrol sistemlerindeki zayıflıklardır. Yetersiz iç kontroller veya mevcut kuralların kolaylıkla aşılabiliyor olması, suistimalcilere adeta açık kapı bırakır. Örneğin, kritik görevlerin tek bir kişide toplanması (görevlerin ayrılığı ilkesinin ihlali) suistimalcinin hem suistimali gerçekleştirmesine hem de uzun süre gizlemesine olanak tanır. ACFE’nin araştırmasına göre vakaların yarıdan fazlasında suistimalin temelinde iç kontrol eksikliği veya mevcut kontrollerin devre dışı bırakılması yatmaktadır[3]. Başka bir deyişle, finansal kayıtları oluşturma ve değiştirme yetkisine sahip kişiler üzerinde yeterli denetim olmazsa, bu kişiler suistimali kolayca gizleyebilir.
Kırmızı Bayrakları Gözden Kaçırmak
Suistimal genellikle bir anda ortaya çıkmaz; öncesinde çeşitli uyarı işaretleri verir. Bu işaretler, suistimali gerçekleştiren kişilerin davranışlarında veya finansal göstergelerde normal dışı sapmalar olarak belirebilir. Örneğin, bir çalışanın maaşıyla açıklanamayacak derecede lüks bir yaşam sürmesi, kronik maddi sıkıntı içinde olması ya da tedarikçi ve müşterilerle aşırı yakın ilişkiler kurması tipik “kırmızı bayrak” örnekleridir. Nitekim araştırmalara göre suistimal yapan kişilerin %85’inin yakalanmadan önce çevrelerine bu tür davranışsal işaretler verdiği tespit edilmiştir[4]. Ancak sorun şudur ki, bu işaretler çoğu zaman ya fark edilmez ya da önemsenmez. Özellikle bu kişilerin kurum içinde güven kazanmış, kilit pozisyonlarda olması durumunda, etrafındakiler şüpheli belirtileri görmezden gelme eğiliminde olabilir. Bazı büyük ölçekli skandallar, kırmızı bayrakların fark edilmesine rağmen kurum içinde yeterince dikkate alınmadığını açıkça ortaya koymuştur. Örneğin, Hindistan’da gerçekleşen Nirav Modi skandalında, sahte satın almalar, akrabalara yapılan şüpheli ödemeler ve şüpheli krediler gibi işlemler uzun süre önce raporlanmasına rağmen gerekli adımlar atılmamış ve 1.8 milyar dolarlık dolandırıcılık ancak çok sonra ortaya çıkarılabilmiştir[5]. Benzer şekilde, Hewlett-Packard şirketi, 2011 yılında satın aldığı Autonomy firmasıyla ilgili birçok finansal anomali sinyaline rağmen bunları zamanında analiz etmemiş, bu da şirketin 8.8 milyar dolarlık zarara uğramasıyla sonuçlanmıştır[6]. Uyarı işaretlerini zamanında fark etmeyip ciddiye almamak, suistimalin gizlice büyümesine davetiye çıkarabilmektedir.
İhbarlara Önem Verilmemesi ve Yetersiz Bildirim Mekanizmaları
Suistimalin ortaya çıkarılmasında en etkili yöntemlerin başında, şirket içi ihbarlar yani çalışanlardan veya paydaşlardan gelen şikâyet ve ipuçları gelir. ACFE’nin raporuna göre kurumlardaki suistimal vakalarının yaklaşık %43’ü bir ihbar sayesinde tespit edilmektedir[7]. Bu ihbarların da yarıdan fazlası bizzat şirket çalışanlarından gelmekte[8], geri kalanı ise tedarikçi, müşteri gibi harici paydaşlar tarafından iletilmektedir. Dolayısıyla, bir kurum içinde etkin bir ihbar mekanizması kurulması ve gelecek ihbarların ciddiyetle ele alınması hayati önemdedir. Ne var ki, bazı şirketlerde çalışanlar suistimali fark etseler bile bunu bildirmeye istekli olmazlar. Bunun nedenleri arasında misilleme korkusu, “böyle gelmiş böyle gider” inancı veya uygun raporlama kanalının olmaması sayılabilir. Eğer anonim ve güvenli bir ihbar hattı yoksa ya da yöneticiler gelen şikâyetleri örtbas ediyorsa, suistimalin şirket içinde ortaya çıkarılması neredeyse imkânsız hale gelir. Sonuç olarak, ihbar mekanizmasının işlememesi suistimalin uzun süre gizli kalmasına yol açabilir. Halbuki etkin bir ihbar sistemi, suistimalin çok daha erken aşamada tespit edilmesini sağlar. Örneğin, anonim ihbar hatlarına sahip şirketlerde suistimal vakalarının daha hızlı tespit edildiği ve uğranılan zararın daha düşük olduğu gözlemlenmiştir[9]. İhbar hatlarının varlığı, çalışanların bildirim yapma konusundaki çekincelerini azaltarak suistimalin ortaya çıkma olasılığını artırır.
Erken Tespit İçin Önleyici Tedbirler
Suistimali tamamen engellemek mümkün olmasa da, erken tespit etmek ve zararları en aza indirmek için kurumların alabileceği pek çok önleyici tedbir vardır. Düzenli kontroller ve önleyici tedbirler, suistimalcilerin planlarını başlamadan bozabilir veya bir suistimal girişimini erken aşamada ortaya çıkarabilir. İşte kurumların uygulayabileceği bazı temel önleyici tedbirler:
- Güçlü İç Kontroller ve Görev Ayrılığı: Finansal işlemlerde iç kontrol süreçlerini güçlendirmek, suistimali önlemenin anahtarlarındandır. Özellikle para ve varlık yönetiminde görevlerin ayrılığı ilkesini uygulamak, tek bir kişinin uçtan uca süreci kontrol ederek hata veya hile yapmasını zorlaştırır. Yönetimin onay mekanizmaları, mutabakatlar ve erişim kısıtlamaları net bir şekilde tanımlanmalıdır. Ayrıca, yolsuzluk risk alanlarının periyodik olarak gözden geçirilmesi ve kontrol zaafiyetlerinin hızlıca giderilmesi gerekir. Unutulmamalıdır ki, güçlü iç kontrolleri olan organizasyonlar suistimal nedeniyle oluşan zararları, zayıf kontrolleri olanlara kıyasla %50 daha az yaşamaktadır[10].
- Kırmızı Bayrak İşaretlerine Karşı Farkındalık ve Eğitim: Çalışanlar ve yöneticiler, potansiyel suistimal belirtileri konusunda eğitilmeli, kırmızı bayrak niteliğinde önemli davranışsal değişimleri gözlemleyebilmelidir. Düzenli olarak verilen etik ve suistimal farkındalığı eğitimleri sayesinde, çalışanlar bir “kırmızı bayrak” gördüklerinde bunun ne anlama gelebileceğini kavrayabilir ve bildirim yapma olasılıkları artabilir, böylece suistimalin çok daha erken açığa çıkmasına yardımcı olabilir. ACFE, çalışanlara ve yöneticilere verilen suistimal farkındalık eğitimlerinin, kurum içinde ihbar mekanizmasıyla birlikte uygulandığında, ihbar alma ihtimalini ciddi oranda yükselttiğini belirtmektedir[11].
- Anonim İhbar Hatları ve “Konuşma” Kültürü: Çalışanların şüpheli gördükleri durumları çekinmeden bildirebilecekleri ihbar hatları oluşturmak ilk adımdır. Bu hatların anonim olması ve bildirim yapanların korunması, çalışanların misilleme korkusu yaşamadan konuşmalarını sağlar. Üst yönetim, “etik bir iklim” yaratarak dürüst bildirimi teşvik etmeli ve her ihbar titizlikle araştırılmalıdır. Sağlam bir ihbar mekanizması kuran organizasyonlar, suistimali ihbarlar sayesinde daha hızlı tespit etmekte ve suistimalin ortalama maliyetini önemli ölçüde düşürmektedir[12].
- Sürekli Veri Analitiği ve Sürpriz Denetimler: Teknolojinin yardımıyla, şirketler artık büyük hacimli işlemleri anlık olarak tarayıp anormallikleri saptayabilir. Veri analitiği ve önleyici veri izleme yöntemleri, olağandışı işlem modellerini veya hataları tespit ederek suistimali henüz gerçekleşmeden önleyebilir ya da ilk adımlarında yakalayabilir. Örneğin, bir tedarikçiye normalden çok daha sık ödeme yapıldığı ya da bir çalışanın sistemde kendi kendine onay verdiği durumlar, algoritmalarla tespit edilebilir. Bunların yanı sıra, sürpriz denetimler de suistimalin caydırılması ve ortaya çıkarılmasında son derece etkilidir. Beklenmedik zamanlarda yapılan kasa sayımları, stok kontrolleri veya işlem denetimleri, suistimalcilerin planlarını bozarken aynı zamanda günlük kontrol sistemlerinizin etkinliğini de sınar. Bu tür denetimler sayesinde, rutin süreçlerdeki zayıflıkları belirleyip düzeltmek de mümkün hale gelir. Sonuç olarak, teknoloji destekli sürekli izleme ve geleneksel denetimlerin sürpriz şekilde uygulanması, şirketlerin suistimalleri çok daha erken aşamada tespit etmesini sağlar.
Kurumlarda suistimalin geç fark edilmesi, çoğu zaman önlenebilir nedenlerden kaynaklanır. Zayıf iç kontrol ortamı, görmezden gelinen uyarı işaretleri ve işlemeyen ihbar mekanizmaları bir araya geldiğinde, suistimalin yıllarca gizli kalması işten bile değildir. Oysa ki basit ama etkili önlemlerle erken uyarı sistemleri oluşturmak mümkündür. Güçlü kontroller, aktif bir ihbar hattı ve bilinçli çalışanlar sayesinde bir suistimal vakasını henüz başlangıç aşamasında ortaya çıkararak şirketinizi milyonlarca liralık zarardan ve itibar kaybından koruyabilirsiniz. Sonuç itibariyle, “suistimal gözümüzün önünde miydi?” sorusunu sormak zorunda kalmamak için proaktif davranmak ve kontrolü elden bırakmamak en kritik yaklaşım olacaktır. Kurumlar, suistimalin er ya da geç ortaya çıkacağını unutmamalı; önemli olanın onu mümkün olan en kısa sürede tespit etmek olduğu gerçeğini daima akılda tutmalıdır. Bu da ancak tüm seviyelerde bir farkındalık kültürü oluşturarak ve gerekli mekanizmaları önceden kurarak başarılabilir. Şirketinizde atacağınız küçük ama kararlı adımlar, suistimalin çok geç olmadan fark edilmesini sağlayacak ve uzun vadede güvenilir bir iş ortamı tesis edecektir.
[1] Occupational Fraud 2022: A Report to the Nations
[2] https://www.acfe.com/acfe-insights-blog/blog-detail?s=top-concealment-methods-used-by-fraudsters
[3] https://legacy.acfe.com/report-to-the-nations/2024/
[4] Fraud: Trends to look for > Defense Logistics Agency > News Article View
[5] Nirav Modi scam: IT report waved red flags 8 months earlier, was not shared | India News – The Indian Express
[6] Hewlett-Packard ignored red flags ahead of Autonomy misstep | Heidi Moore | The Guardian
[7] https://www.acfe.com/-/media/files/acfe/pdfs/rttn/2024/2024-report-to-the-nations.pdf
[8] https://www.acfe.com/-/media/files/acfe/pdfs/rttn/2024/2024-report-to-the-nations.pdf
[9] About Fraud – Fraud Hotline
[10] About Fraud – Fraud Hotline
[11] ACFE Study Finds Median Losses from Occupational Fraud Increasing
[12] About Fraud – Fraud Hotline
Yazı: Halil Baran Biner – CFE Mali Suçlar, Adli Bilişim ve Uyum Profesyoneli
Kaynak: INmagazine 39. Sayı
Diğer Sayıları İçin: INmagazine
Not: Makalelerdeki Görüş ve Yorumlar Yazar veya Yazarlara Ait Olup, Etik ve İtibar Derneği’nin Konu ile İlgili Düşüncelerini Yansıtmamaktadır.