Patronun ajanları yolsuzluk avında

Mesai saati bitip ofis boşaldıktan sonra, şirkete gelen "yolsuzluk ekibi" bilgisayarları inceliyor, harddisk kopyalarını alıyor, e-mail'leri kopyalıyor.

Sabah herşeyden habersiz işe gelen çalışanlar ise attıkları her adımın denetlendiğinin farkında bile değil. Polisiye filmleri aratmayan bu sahne, Türkiye'de vaka başına 3.5 milyon doları bulan şirket içi suiistimallerin saptanması için firmaların başvurduğu son çare.

Yakın bir döneme kadar sadece istihbarat birimleri ile jandarma, polis ve adli tıp gibi kamu kurumlarının başvurduğu kurum içi yolsuzluk suçlarının takibi ve ortaya çıkarılması, şirketler arasında da yayıldı. Finansal verilerdeki tutarsızlık, mali tablolardaki manipülasyonlar, gizli formüllerin çalınması, rakiplere bilgi sızdırma, zimmet ve şantaj mail'leri gibi hızla artan şirket içi yolsuzluk ve suiistimaller karşısında şirketler, mevcut yolsuzlukları ortaya çıkarmak, gelecekte karşılaşılabilecek suiistimalleri ise önleyebilmek amacıyla harekete geçti.
 
Dedektif gibi çalışıyorlar

PricewaterhouseCoopers, KPMG ve Ernst&Young gibi denetim şirketlerinin artan talep karşısında yaklaşık son bir yıldır bu alanda vermeye başladığı hizmet, şirketlerin imdadına yetişti. "suiistimal inceleme ve önleme", "adli bilişim çözümleri" ile "usulsüzlük incelemesi ve uyuşmazlık danışmanlığı" gibi farklı isim ve departmanlar altında verilen hizmetlerde, bu bölümlerin özel yetişmiş "yolsuzluk ekipleri" şirketlerin şüpheli çalışanlarını takip ediyor, çalışanların attığı her adım, onlara fark ettirilmeden kontrol ediliyor.

Adeta birer dedektif gibi çalışan timler, kişinin hangi siteye girdiğinden bankaların internet sitesinden kimin hesabına para yatırdığına, kestiği faturalardan gönderdiği e-mail'lerin içeriğine kadar çalışanların yaptığı her türlü işlemi denetleyebiliyor.

Ekipler genellikle 2-8 kişilik timler halinde çalışıyor. Gerektiği koşullarda ABD hatta Uzak Doğu'dan uzman takviye ekipler isteniyor. Büyük yolsuzluk olaylarında ekip, takviye uzmanlarla 50 kişiye kadar çıkabiliyor. Bilgisayarların kopyalanması ve tüm işlemlerin denetlenme süresi ise incelenen olay veya departmanın büyüklüğüne göre değişiyor. Örneğin tek bir şüpheli çalışanın sadece e-mail'leri inceleniyorsa işlem birkaç saatte tamamlanabiliyor. Tüm departmanın denetlendiği daha karmaşık süreçlerde ise bu süre 6 haftaya kadar çıkabiliyor. Denetimin çalışanlara hissettirilmemesi gerektiği durumlarda ise tüm bu işlemler gece ofis boşaldıktan sonra yapılıyor. Gündüz ofise gelen çalışanlar hiçbir şey olmamış gibi işlerini yapmaya devam ederken, gece denetim işi tekrar başlayabiliyor.
 
En çok suiistimal sigorta ve perakendede
Günümüzde iş kayıtlarının yüzde 95'inden fazlasının elektronik ortamda hazırlanıp saklandığını belirten PricewaterhouseCoopers (PWC) Adli Bilişim Çözümleri Müdürü Barış Göç, PWC olarak verdikleri hizmetin temel olarak herhangi bir ekonomik suç durumunda bilgisayarların incelenmesine dayandığını söylüyor.

Birçok davada artık bilgisayarlar ve elektronik kayıtların şirketlerde yaşanan yolsuzluklarda önemli deliller haline geldiğini vurgulayan Göç, "Buna karşın şirketlerin bilinçsiz ve yanlış uygulamaları birçok suiistimalin ortaya çıkarılmasını zorlaştırıyor. Örneğin işten ayrılan kişiye bilgisayarının hediye edilmesi, bilgisayarın formatlanıp bazı bilgilerin kaybedilmesi ya da çalışanların birbirlerinin şifresiyle sisteme girmeleri hem verilerin korunmasını hem de suiistimali gerçekleştiren kişinin saptanmasını geciktiriyor" diyor.

Şirket içi suiistimal ve yolsuzluk vakalarında genellikle sigorta-finans, perakende ve tüketim sektörlerinin öne çıktığını belirten Göç, "Ama bu 'diğer sektörler risk altında değil' anlamına gelmiyor. Bütün şirketler potansiyel bir tehdit altında" diye konuşuyor. Özellikle çok nakit işlem yapan, fazla sayıda geçici personelle çalışan veya taşeron kullanan firmaların suiistimale maruz kaldığına işaret eden Göç, yolsuzlukların büyük kısmının bu tür çalışanlar ile onların ilişkili olduğu firmalar tarafından gerçekleştiğini belirtiyor.
 
Yüzde 21'i mahkemeye taşınıyor
Türkiye'de, suiistimalleri engellemeye yönelik değil, zaten gerçekleşmiş suiistimalleri tespit etmeye yönelik bir anlayış olduğuna işaret eden Göç, "Şirket içi yolsuzluklar asla sıfırlanamaz. Ama şirketlerde alınacak belli tedbirlerle minimuma indirebilir, en azından suiistimallerin ortaya çıkarılması sağlanabilir. Maalesef Türkiye'de çoğunlukla yolsuzluk gerçekleştikten sonra ortaya çıkan zararın tespiti ile yolsuzluğu yapan kişinin ortaya çıkarılması amacıyla aksiyon alınıyor" diye konuşuyor.

Türkiye'de şirket içi yolsuzlukların yüzde 42'sinin tesadüfen ortaya çıktığını vurgulayan Göç, şirketlerin suiistimal vakalarının da sadece 21'ini adli makamlara ilettiğine işaret ediyor. Göç, "Suç ortaya çıksa bile şirketler bu olayın piyasa ve müşteriler tarafından duyulmaması için yüzde 37 oranında hiçbir şey yapmamayı tercih ediyor. Genellikle ihtar verilmesi veya işten çıkarma gibi çözümlere başvuruluyor" diyor.
 
Suiistimalciler eski çalışan
PWC tarafından hazırlanan Mali Suçlar Raporu, Türkiye'nin aralarında bulunduğu ve 7 ülkeden oluşan Gelişmekte Olan Ülkeler Grubu'nda özellikle faaliyetlerini uluslararası ve denizaşırı olarak genişleten şirketlerin daha sıklıkla suiistimale maruz kaldıklarını ortaya koyuyor. Rapora göre iş süreçlerinin, sorumluluk ve yetkilerin değiştiği, organizasyonun yeniden yapılandırıldığı böyle durumlarda denetim ve kontrol işlemleri de adaptasyon sürecinde aksadığı için suiistimal ve yolsuzluklarda artış kaydediliyor. KPMG'nin tarafından yapılan "Bir suiistimalcinin Profili Araştırması 2007" ise şirketlerde çeşitli suiistimallere imza atan çalışanların profilini ortaya koyuyor. Buna göre şirket içi suiistimal ve yolsuzluklara imza atanlar genellikle 35-55 yaş arası, erkek ve 10 yıl gibi uzun süreli çalışanlardan oluşuyor. 
 
Şirket gelirlerinin yüzde 7'si gidiyor

KPMG Türkiye Finans ve Mali İşler Danışmanlık ve suiistimal Önleme ve İnceleme Bölüm Başkanı İdil Gürdil, yaptıkları araştırmaya göre şirket içi suiistimallerin şirket gelirlerinin yüzde 7'sini götürdüğünü ortaya koyduğunu söylüyor. Kayıplara paralel olarak şirketlerin son dönemde bu konuda daha çok bilinçlendiğine dikkat çeken Gürdil, şöyle konuşuyor:

"Artık bu riskin farkında oldukları için, bir suiistimalin ortaya çıkmasını beklemeden önleyici tedbirlere başvurmak istiyorlar. İç kontrol sistemlerinin bu şekilde dizayn edilmesi için "suiistimal risk yönetimi" hizmetini talep ediyorlar. Bu riskler şirketlerde faaliyet gösterilen sektöre göre çok çeşitli şekillerde ortaya çıkabiliyor. Örneğin bir satınalma çalışanı satıcıyla anlaşma yapıp şirketi dolandırabilir. Ya da kendi şirketini kurup bunun üzerinden fatura kesebilir. Hatta bu şekilde alınmamış bir mal ya da hizmeti faturalandırabilir. Bir diğer önemli risk, şirket varlıklarının çalınması. Bu nakitten sabit kıymete, çek-senet, fikir hakkı hatta markasına kadar geniş bir yelpazeye yayılabiliyor."suiistimalin farkına varan şirketin, genellikle bunun maliyetini ve bunu yapan kişinin işbirlikçilerini öğrenmek istediğine işaret eden Gürdil, "Böyle durumlarda önce birkaç aşamadan oluşan bir plan hazırlıyoruz. Öncelikle şirketin işleyişini anlamaya çalışıyoruz. Silinmiş e-mail'ler de dahil bilgisayar incelemeleri yapıyoruz. suiistimal şüphesi taşıyabilecek olanların üzerinde incelemeye yoğunlaşıyoruz. En son aşama suiistimalcinin çalışma arkadaşlarıyla görüşebiliyoruz" diyor.
 
Şirket avukatlarıyla birlikte çalışıyoruz
Ernst&Young Doğu Avrupa Türkiye Usulsüzlük İncelemesi ve Uyuşmazlık Danışmanlığı Bölümü Sorumlu Ortağı Dilek Çilingir, şirketlerin "usulsüzlük incelemesi" hizmetini talep etmesinin 2 şekilde olabileceğini belirterek, şunları söylüyor: "Bazı şirketlerde suiistimal ortaya çıkıyor, bu usulsüzlüğü mahkemeye taşımak istiyorlar. Bu aşamada delil toplamak amacıyla biz devreye giriyoruz. Böyle durumlarda genellikle şirketin avukatlarıyla birlikte çalışıyoruz. Bazı durumlarda da şirket bir usulsüzlükten şüpheleniyor ama henüz açığa çıkmamış oluyor.

Bu usulsüzlüğü ortaya çıkarmamız için bize başvuruyorlar. Böyle durumlarda önce keşif denetimi yapıyoruz. Süreci, potansiyel usulsüzlük risklerini belirleyip o alanda yoğun bir denetim başlatıyoruz. Teknoloji destekli elektronik veri analizi yapılıyor. Vakaya göre çalışanlarla birtakım özel mülakatlar gerçekleştirilebiliyor. Keşif denetimi aşamasında çalışanlar herşeyden habersiz oluyor. Bu çalışma onlara sıradan bir danışmanlık hizmeti ya da süreçleri iyileştirme çalışması gibi aksettiriliyor.

Çünkü bu aşamada gerçekten bir usulsüzlük olup olmadığı bilinmediği, kimin yaptığından emin olunmadığı için çalışanlara bir huzursuzluk verilmesi istenmiyor. Usulsüzlük çok karmaşık değilse, tüm çalışma 2-3 haftada bitebiliyor. Ama çok daha karmaşık vakalarda bu süre 6 haftaya kadar çıkabiliyor. Usulsüzlüklerin ortaya çıkarılması ve önlenmesinde üst yönetimin duruşu çok önemli. Usulsüzlük önleyici tedbirlerin kurumsallaştığı, kontrollerin yerleştiği şirketlerde suiistimal tamamen önlenemese de minimuma indirilebiliyor." 
 
Suiistimal nasıl ortaya çıkartılıyor

- Şirket yönetimi bu hizmeti veren bir denetim firmasını görevlendiriyor.
- Şüpheli kişilere ait bilgisayar ve ekipmanlar özel araçlar kullanılarak birebir kopyası alınıyor.
- Bu bilgilerin ileride mahkemede delil olarak kullanılabilmesi için ise kopyalar yazılmaya karşı korumalı olarak alınıyor.
- Sadece bilgisayarın içindeki bilgiler alınmadığı, harddisk birebir kopyalandığı için çalışan tarafından daha önce silinmiş, ortadan kaldırılmış bilgilere de ulaşabiliyor.
- Finans bilgileri ve muhasebe kayıtlarının yanısıra, kişinin girdiği web sayfalarından bankaların internet sitelerinden kimlerin hesabına para yatırdığıda tespit edilebiliyor.
- Çalışanlar arasında bir huzursuzluk yaratılmaması amacıyla genellikle ofisin boş olduğu akşam ve gece saatleri tercih ediliyor.
- Elde edilen bilgiler adli bilişim uzmanları, adli muhasebeci, iç denetim uzmanları gibi ekipler tarafından inceleniyor.
- Bu bilgilerin analiz edilmesi sürecinde gerekirse denetleyen şirketin ABD hatta Uzak Doğu'daki uzman ekipleri de takviye olarak çağrılıyor.
- Yapılan inceleme sonucunda örneğin gündüz yapılabilecek bir işlemin gece 2'de yapıldığı ortaya çıkınca, çalışmalar şüpheli görülen bu kişiler üzerine yoğunlaştırılıyor.
- Şüphelenilen kişinin arkadaşlarıyla görüşülüyor.
- Gerekirse son aşamada suiistimali yaptığı anlaşılan kişiyle de birebir görüşülebiliyor.
 
Şirketler yolsuzluğa karşı nasıl tedbir alınabilir

- Şirket kayıtlarının yaklaşık yüzde 95'inin saklandığı bilgisayar ve laptoplar çok iyi korunmalı. Bazı şirketlerde işten ayrılan çalışana bilgisayarını hediye etme gibi ilginç durumlarla karşılaşılabiliyor. Böyle durumlarda delil niteliğinde olabilecek bütün kayıtlar kaybedilmiş oluyor.
- Bilgisayarlar formatlandığında yine delil niteliği taşıyabilecek bilgilerin bir kısmına ulaşma imkanı azalıyor.
- Çalışanlar bilgisayarlarını açarken ya da işlem yaparken kullandıkları IP numaralarını iyi saklayıp diğer çalışanlarla paylaşmamalı. Bir çalışanın şifresiyle başka birinin sisteme giriş yapması durumunda işlemi kimin yaptığı anlaşılamayabiliyor. Özellikle belli kişilerden şüphelenildiği durumlarda IP güvenliği ihlal edildiği için inceleme zora girebiliyor.
- Şirketlerin denetimin hukuki boyutuna da dikkat etmeleri gerekiyor. Bilgisayarların incelenmesi "haberleşme özgürlüğü"nün ihlali ihtimalini de barındırabileceği için, gerek işe alırken, gerek diğer süreçlerde çalışanlara bilgisayarın ve içinde depolanmış her türlü bilginin şirket malı olduğunu kabul ettiklerine dair bilgilendirilmeleri ve rızalarının alındığının onaylatılması gerekiyor.
- Hem işlemi yapma hem de denetleme yetkisi aynı kişide olmamalı. Bir kişi hem fatura bilgilerini girmekle hem de bunları denetlemekle yükümlüyse bu suiistimal ihtimalini güçlendiriyor.
- Usulsüzlüklerin önlenmesinde üst yönetimin duruşu çok önemli. Daha önceden ortaya çıkmış bir suiistimalde şirket olayın üstünü kapayıp herhangi bir yaptırım yoluna gitmezse, bu daha sonraki suiistimallerin yolunu açacaktır.
- Şirketler sistemlerinde suiistimallerin önlenmesine yönelik programlar kullanmalı. Bu tür programlar alarm ve raporlama yaparak işlemlerde bir tutarsızlık olduğuna dair önceden alarm vererek şirketi uyarıyor.
 
Bir suiistimalcinin profili*
- Usulsüzlük yapanların yüzde 70'i 36-55 yaş arasında.
- Faillerin yüzde 85'i erkek.
- Yüzde 69'u şirketin kendi çalışanı.
- Yüzde 20'si ise şirket dışından yardım alıyor.
- Tüm suç profillerinin sadece yüzde 11'inde şirketler tamamen dışarıdan saldırıya maruz kalıyor.
- Yüzde 86'sı yönetim kademesi çalışanları.
- Yüzde 65'i şirketin 3-10 yıllık çalışanı, yüzde 22'si ise 10 yıldan fazla süredir şirkette çalışıyor.
- Suiistimalciler en çok finans, operasyonlar ve satış bölümü çalışanlarıyla CEO'lar arasından çıkıyor.
 
* Bir suiistimalcinin Profili Araştırması 2007, KPMG

Ceyda Çağlayan/Referans