Yeminli Sahtekârlık Müfettişleri öncülüğünde, risk ölçümü ve riskten kaçınmanın önemli bir bileşeni olduğunun farkına varmaktadırlar. Son zamanlarda geliştirilen, riske-dayalı yönetim kontrol sistemlerinin, ihtisaslaşmış sahtekârlıkla mücadele memurlarının gelişmesini nasıl hızlandırdıkları, bu makalede ele alınmaktadır.

Orta büyüklükte bir imalatçı firmanın yeni atanan Genel Müdürü, George, şirket kadrosunda iki Yeminli Sahtekârlık Müfettişine ihtiyaç olduğundan emin değildi. İç denetim birimi zaten geçmişte firmayı riske karşı yeterince korumamış mı idi? Ama, daha sonra, kendi denetçileri satın alma biriminde bazı usulsüzlük keşfettiler; ve o zaman Yeminli Sahtekârlık Müfettişleri (CFE) çağrıldı. Sonunda, dış kaynaklar müdürü David'in, yıllar içerisinde oluşturduğu, kendisine sadık bir grup tedarikçiden, komisyon almakta olduğunu açığa çıkardırlar.

George böylece ikna olmuştu. İki CFE daha işe aldı; bunlar, halen, sahtekârlığı hem tespit etmek hem caydırmak üzere, ve gereği halinde sahtekârlık soruşturması yapmak üzere, iç denetim organları ile birlikte çalışmaktadırlar.

Buradaki vaka hayalidir, ama, dünyanın her yerinde gelişmekte olan sahtekârlıkla mücadele mesleğinin, riskin ölçülmesi ve riskten kaçınma süreçlerinin entegre bir parçası olduğunun farkına varmakta olan, bir çok firmanın durumunu temsil etmektedir.

Yöneticilerin (CEO), sorun'un büyüklüğünü anlamaya başlamaları için, ACFE'nin 2006 “Ulusa Rapor (Report to the Nation),” başlıklı belgesini okumaları yeterli olsa gerektir; bu raporda, tipik Amerikan kurumunun yıllık gelirinin % 5'ini sahtekârlık nedeni ile kaybettiği şeklindeki tahminlere yer verilmektedir. Bu oran, ABD'nin 2006 yılı Gayri Safi Milli Hasıla tutarına uygulanırsa, toplam kayıp tutarı, yaklaşık 652 milyar dolar olarak hesaplanmaktadır. Bir kurum yönetiminin, bir şekilde, sahtekârlık riskinin, ve sahtekârlığın kendisinin, toplam sonuçlarını değerlendirmesi ve görmesi gerekmektedir.

Joseph T. Wells, CFE, CPA, ACFE kurucusu ve Yönetim Kurulu Başkanı, şunu söylemektedir; “sahtekârlık bir muhasebe sorunu değildir; bu bir sosyal olaydır.” Bir kurumun yönetimi, bir kez “sahtekârlıkla mücadeleye iman edince”, bu konuda kendi stratejilerini geliştirebilir. Bu makalede, CFE'lerin (Yeminli Sahtekârlık Müfettişlerinin) ve diğer sahtekârlıkla mücadele profesyonellerinin değişmekte olan rol ve işlevleri, ve bu profesyonellerin, bir kurumun iç denetim organları ve yönetim kademeleri ile nasıl birlikte çalışabilecekleri, incelenmektedir.

BU ALANDAKİ BAŞLICA DİNAMİKLER

20. Yüzyılın başlarında, sahtekârlıkla mücadele faaliyetleri ile ilgili çalışmalar (yani, bilinçlendirme, önleme, tespit, ve soruşturma çalışmaları), denetim profesyollerinin görevi olmuştur. Denetçiler, muhasebe konusundaki geniş bilgileri ile, şüphelenilen veya teşebbüş edilmiş olan organizasyonel sahtekârlık vakaları alanında bazı işleri üstlenmişlerdir. Sahtekârlık riski (yani, sahtekârlığın vuku bulmasına izin veren koşullar), denetçilerin bilgileri sayesinde, azaltılmakta idi.

Ancak 21. Yüzyılda iki önemli değişikliğe şahit olunmaktadır. Bir yanda, sahtekârlar gittikçe daha sofistike hale gelmektedirler, ve, o halde, kendileri ile başa çıkılması daha güç hale gelmektedir. Öte yanda ise, sahtekârlık soruşturması alanında yeni bir ihtisaslaşmış profesyonel türü ortaya çıkmaktadır. Bir çok kişi,

* Vaki olması halinde, kurumu ve kurumun kendi risk alma isteği (risk appetite) dahilinde (yani, kurumun, amaçlarını başarmak için kabule istekli olduğu risk sınırları dahilinde) riski yönetme yeteneğini etkileyecek olan olayları tespit etmek üzere tasarlanmış olan;

* Kurum yönetim kadrolarına ve yönetim kuruluna makul güvence sağlayabilen; ve

* Bir veya daha fazla farklı ama örtüşen kategorilerde belirlenen amaçların başarılmasına yönelik olarak işleyen bir süreçtir.

İşletme Risk Yönetimi aşağıda belirtilen amaç ve işlevleri kapsar:

Risk alma isteği ile stratejinin aynı çizgiye getirilmesi Yönetim, strateji seçeneklerini değerlendirirken, bununla ilgili amaçları belirlerken, işletmenin risk alma isteğini hesaba katar ve ilgili risklerin yönetimi için mekanizmalar geliştirir.

Riske yanıt kararlarının pekiştirilmesi İşletme risk yönetimi, risk yanıt seçeneklerinin yani, riskten kaçınma, riskin azaltılması, riskin paylaşılması, ve riskin kabulü şeklindeki seçeneklerin - belirlenmesi ve bunlardan uygun olanların seçimi için gerekli olan temel ve ilkeleri sağlar.

İşletme seviyesinde (operasyonel) sürpriz ve kaybın azaltılması Kurumlar, işletme risk yönetimi ile, potansiyel olayları belirlemek, bunlara yanıt hazırlamak, sürpriz ögesini ve bununla ilgili maliyet ve kayıpları azaltmak bakımından, kapasitelerini pekiştirirler.

Aynı anda birden fazla ve işletme çapında risklerin tespit ve yönetimi Her işletme, organizasyonun değişik kısımlarını etkileyen, on bin tane riskle karşı karşıya kalır ve, işletme risk yönetimi, birbirleri ile alakalı etkilere sonuç alıcı şekilde yanıt verilmesini, bu risklere karşı birbirleri ile bütünleştirilmiş yanıtlar verilmesini, kolaylaştırır.

Fırsatların yakalanması Potansiyel olayların bir yelpaze bütünü içerisinde değerlendirilmesi ile, yönetim, aynı zamanda, fırsatları da belirlemek, ve bunları proaktif şekilde kullanmak bakımından, daha avantajlı bir konumuna gelir.

Sermaye tahsisinde iyileşme sağlanması Riskler hakkında sağlam bilginin elde edilmesi, yönetime, sermaye ihtiyaçlarını daha etkili şekilde değerlendirmek ve böylece sermaye tahsisini iyileştirmek imkanı sağlar.

İşletme çapındaki bu risk yönetim çerçevesi, kurumun amaçlarını, aşağıda tanımlanan dört kategori temelinde başarmaya yönelik olarak tasarlanmıştır:

Stratejik: kurum misyonu ile aynı bağdaşık, ve misyonu destekleyen, üst seviyede tanımlanmış amaçlar;

Operasyonel: kaynakların etkili ve verimli bir şekilde kullanımı;

Raporlama: raporlamada güvenilirlik; ve

Uyum: geçerli yasa ve yönetmeliklere uygunluk.

Nihayet, İşletme Risk Yönetimi, birbiri ile ilişkili sekiz adet bileşenden oluşmaktadır. Bunlar, yönetimin tipik olarak işletmeyi sevk ve idare etme şeklinden türetilmişlerdir ve yönetim süreçleri ile entegre edilmişlerdir:

Kurum içi ortam Bu bileşen, organizasyonun, bu konudaki ton'nunu içerir, kurumun, işveren ve çalışanlar olarak, riske nasıl baktıklarına dair temeli belirler; bu bileşen, risk yönetim felsefesini ve risk alma isteğini, dürüstlük ve ahlak değerlerini, ve tüm bunların içinde işlev yaptığı çevre ve ortamı da içerir.

Amaçların belirlenmesi Amaçların öncelikle belirlenmiş olması gerekir; öyle ki, yönetim, amaçların başarılmasını etkileyebilecek olan potansiyel olayları tespit edebilsin. İşletme Risk Yönetimi, kurum misyonunu destekleyen ve o'nunla aynı çizgide olan bir seri amacın tanımlanması için, yönetimin elinde bir sadece muhasebe bilgisinin, sahtekârlıkla ilgili sorunların tam olarak gereğinin yapılması bakımından, artık yeterli olmadığının farkına varmaktadır.

Son zamanlarda geliştirilen, riske-dayalı yönetim kontrol sistemleri, ihtisaslaşmış sahtekârlıkla mücadele memurlarının gelişmesini hızlandırmaktadır. Derginin bu ve bundan sonraki sayısında, risk yönetim döngüsü (risk management cycle) ve sahtekârlık riski konuları ele alınacak; ayrıca sahtekârlıkla mücadele profesyonellerinin işlevleri incelenerek, bu profesyonellere olan talebin neden yüksek olduğu açıklanacaktır.

RİSK YÖNETİM DÖNGÜSÜ (RISK MANAGEMENT CYCLE)

Bir kurumda, risk yönetim döngüsü, aşağıda belirtilen faaliyetlerin yürütülmesi yolu ile devam ettirilir (Şekil 1'de gösterilmiştir): 1. risk alanlarının tespit edilmesi; 2. riskin ölçeğinin anlaşılması ve değerlendirilmesi; 3. risk yönetim stratejisinin geliştirilmesi; 4. stratejinin uygulanması ve sorumluluk üstlenecek tarafların belirlenmesi; 5. kontrolların uygulanması ve bu uygulamanın izlenmesi; ve 6. risk yönetim grup ve amaçlarının belirlenmesi

İŞLETME RİSK YÖNETİMİ

Risk yönetim döngüsü, Treadway Komisyonu (Hileli Mali Raporlamaya Karşı Ulusal Komisyon) Sponsor Kurumlar Komitesi tarafından hazırlanan 2004 İşletme Risk Yönetimi (ERM Enterprise Risk Management) Çerçevesi kullanılarak, en iyi şekilde incelenebilir. Konu ile ilgili, “İşletme Risk Yönetimi Entegre Edilmiş Çerçeve,” başlıklı ana dokümana göre, İşletme Risk Yönetimi, belli hususları yerine getiren bir süreçtir, yani:

* Bir kurumda sürekliliği ve kurumun tamamında akışı olan;

* Organizasyonun her seviyesinde bulunan insanlardan etkilenen;

* Bir strateji bağlamında uygulanan;

* İşletmenin her yerinde, her seviyede ve her birim içerisinde uygulanan, ve, riski, bir kurum seviyesinde portföy olarak işleyen (birbirleri ile alakalı risklerin organizasyon seviyesinde değerlendirilmesi bakımından);

süreç, bir araç bulunmasını temin eder.

Olay tespiti Bir kurumun amaçlarının başarılma derecesini etkileyebilecek olan kurum içi ve kurum dışı olayların belirlenmesi gerekir. Risk ve fırsatların tefrik edilmesi gerekir. Tespit edilen fırsatlar, yönetimin strateji ve amaç belirleme sürecine geri aktarılır.

Risk değerlendirmesi Riskin analizinde, ve riskin yapısal ve kalıntı ögelerinin nasıl yönetileceği ve değerlendirileceğinin belirlenmesinde, ihtimal ve etki temel olarak alınır.

Risk(e) yanıt Yönetim, belirlenen riskleri, kurumun risk toleransı ve risk alma isteğine uygun hale getirmek için, risk yanıt şekillerini seçer burada, kaçınma, kabul, azaltma, veya paylaşma şekillerinde seçenekler vardır.

Kontrol faaliyeti Risk yanıtlarının etkili bir şekilde uygulanmasına yardımcı olmak üzere, bazı politika ve prosedürler ihdas edilir ve uygulanır.

Enformasyon ve iletişim Yararlı bilgi tespit edilir, elde edilir, ve, ilgili kişilere, kendi sorumluluklarını yerine getirmelerine imkan verecek şekilde, uygun format ve zamanlama içerisinde iletilir. Etkili iletişim, kurumun organizasyon şemasına nazaran aşağı veya yukarı doğru veya yatay yönlerde bilgi akışı şekilde olabilir.

İzleme İşletme Risk Yönetiminin tamamı izlenir ve değişiklikler gerekli şekilde yapılır. İzleme, devam eden yönetim faaliyetlerinin bir parçası olarak, veya ayrı değerlendimeler şeklinde, veya her iki şekilde yapılabilir.

SAHTEKÂRLIK RİSKİ BAKIMINDAN SORUMLULUK

Birleşik Krallık ve İrlanda İç Denetçiler Enstitütüsü'nün sahtekârlık hakkındaki beyanı, geniş çapta, COSO.2 risk yönetim modelini kabul etmektedir. ERM Çerçevesinin bu Enstitü'ye ait olan dinamik bir uyarlamasında, Enstititü, her organizasyonun aşağıdaki hususları yerine getirmesinin uygun olacağını belirtmektedir:

* Sahtekârlığa tolerans gösterilmeyeceği, sahtekârlar hakkında yasal işlem yapılacağı, ve organizasyonun, sahtekârlığın önlenmesi ve tespiti konusunda kararlı olduğunu açıkça ortaya koyan bir politika uygulayarak, bu konuda ton'un, kurumun en üst seviyesinde belirlenmesi;

* Sahtekârlığın tespiti ve potansiyel sahtekârların caydırılmasına yönelik, sahtekârlık riskini azaltıcı önlemleri içeren, bir risk yönetim stratejisini haiz olunması;

* Bir sahtekârlık vakasının tespit edilmesi veya bildirilmesi halinde atılacak adımları tam olarak belirleyen, bir sahtekârlık yanıt planını haiz olunması; ve

Hem yeni işe alınacak hem mevcut personel için,

sahtekârlık karşıtı bir bilinçlendirme programı ve

bununla ilgili güncelleştirme ve eğitim faaliyetini haiz

olunması. Neticede, sahtekârlık, kurumun karşı karşıya geldiği diğer riskler gibi, bir risktir. O halde bir kurumun, sahtekârlıkla ilgili meselelere tepkisi de, o kurumun risk yanıtına uygun olarak şekillenecektir.

Sahtekârlığın, önlenmesi, tespiti, ve soruşturulması bakımından başlıca sorumluluk, yönetime aittir; yönetim aynı zamanda sahtekârlık riskinin yönetimi konusunda da sorumludur. Son zamanlarda bir çok kurumda, kurum içi, ayrı “güvenlik” fonksiyonları ihdas edilmektedir; bunlar, diğer görevlerine ek olarak, sahtekârlık soruşturması yürütmekte ve, bilinçlendirme ve önleme programları gibi, sahtekârlıkla ilgili diğer görevleri de ifa etmektedirler. Elbette, yönetimin, bu görevlerin ifası için, uygun nitelikleri haiz kişileri istihdam etmesi gerekecektir.

İç denetim birimi, sahtekârlık riski yönetim fonksiyonunun yönetimi konusunda yardımcı olabilir. Aslında, biz, iç denetçilerin sahtekârlık müfettişleri ile birlikte çalışmıyor olmaları halinde, bu durumu bir ara yol olarak değerlendirmekteyiz. Tüm kurumlar, halen gelişmekte olan, sahtekârlıkla mücadele mesleğini tam olarak kavramadıkça, herhangi bir kurum, sahtekârlıkla mücadele için gerekli tüm görevlerle başa çıkabilmek bakımından, hiç bir zaman kadrosunda yeterli sayıda nitelikli kişiyi bulunduramayacaktır. Bu meslek bir kez normal seyir irtifasına ulaşınca, o zaman, bir iç denetçinin sahtekârlıkla ilgili görevlerinin, sahtekârlık soruşturması yürütmekten, sahtekârlıkla mücadele profesyonelleri tarafından geliştirilen programların, ve benzeri sahtekârlıkla mücadele süreçlerinin, değerlendirlimesi şeklindeki görevlere dönüşeceği beklentisi içinde bulunuyoruz.

ÜST SEVİYE RİSK YÖNETİCİSİ (CHIEF RISK OFFICER - CRO)

Mükemmel şekilde gelişmiş bir kurumsal evrende, bir üst düzey risk yöneticisi (CRO), veya diğer sahtekârlıkla mücadele profesyoneli, aşağıda belirtilen görevleri ifa yolu ile, sahtekârlık riskinin yönetimi, kontrolu, raporlaması, ve ilgili önlemlerin uygulanması konularında, yönetim kadrolarına yardımcı olabilecektir. Bu bağlamda öngördüğümüz CRO görevleri şunlarıdır:

* Sahtekârlık karşıtı bilincin güçlendirilmesine yönelik programları ihdas etmek;

* Sahtekârlığı tespit ve caydırmak üzere süreçler geliştirmek;

* Sahtekârlığı önlemeye yönelik yeterli kontroller uygulamak;

* Sahtekârlık soruşturmalarına öncülük etmek; uzmanların kurum namına yürüttükleri soruşturmalara nezaret etmek;

* Personelin neden olduğu veya gündeme getirdiği meselelerde (bildirilen veya şüphelenilen sahtekârlık faaliyetinin gereğini yapmak üzere uygun işlem tatbiki dahil olmak üzere) etkili bir şekilde işin gereğini yerine getirmek; ve

* Gereken hallerde polisi devreye almak.

Derginin gelecek sayısında: bir yanda kurum içi denetçiler, diğer yanda sahtekârlıkla mücadele müfettişleri arasındaki farklar; sahtekârlıkla mücadele program ve kontrollerinin yönetimi;

sahtekârlıkla mücadele profesyonellerinin rolü; ve diğer konular ele alınacaktır.

Dr. Haluk F. Gursel (CFE, CGFM, CPA), halen ACFE İsviçre Şubesi Başkanıdır. Kendisi sahtekârlıkla mücadele profesyoneli sıfatı ile 1967'den beri faaldir; aynı zamanda İsviçre Cenevre kentinde bulunan Webster Üniversitesi'nde ek görevli profesördür; ve çok sayıda kitap ve makalenin yazarı veya eş-yazarıdır. Dr.Gürsel “Birleşmiş Milletler Sahtekârlık Önleme ve Mücadele Çerçevesi” metninin yazılması sürecinde danışman sıfatı ile görev yapmıştır. Halen kendisi Pan American Health Organization (Sağlık Örgütü) Gözetim Biriminin kapasite yükseltme çalışmalarına yarımcı olmaktadır. E-posta adresi: gurself@yahoo.com.

1 “Managing the Risk of Fraud A Guide for Managers (Sahtekârlık Riskinin Yönetimi Yöneticiler İçin Bir Rehber)” başlıklı, Public Enquiry Unit, HM Treasury, London. 1997 yayını eserden uyarlanmıştır.

2 İngiltere ve İrlanda “Institute of Internal Auditors” tarafından yayınlanan “Fraud Position Statement. (Sahtekârlık Hakkında Pozisyon Beyanı)” Nisan 2003.

Association of Certified Fraud Examiners (Yeminli Sahtekârlık Müfettişleri Derneği), Fraud Magazine dergisinde yayınlanan herhangi bir makale bakımından tek telif hakkı sahibidir. Fraud Magazine dergisi, tek yayın hakkı politikası uygular. Herhangi bir makalenin kopyalanması veya çoğaltılmasından önce, yayıncının izninin alınması gerekir. Herhangi bir makalenin herhangi bir şekilde yeniden basımı amacı ile başvuru gönderilecek e-posta adresi: FraudMagazine@ACFE.com