Geçen gün bir iç denetçi arkadaşımla kahve içerken anlattığı şey beni hem güldürdü hem düşündürdü. Rutin bir satın alma denetimi sırasında, bir tedarikçi adresinin şirketin muhasebe sorumlusunun ev adresiyle birebir aynı olduğunu fark etmiş. Üstelik ödemeler hep cuma akşamları, mesai bitimine yakın saatlerde onaylanıyor ve tutarlar da nedense hep 4.900 TL civarında seyrediyormuş — yani yetki limiti olan 5.000 TL’nin hemen altında. “Şansa bak!” dedim. O da “Şans değil, tam da kırmızı bayrakların dansı” diye yanıtladı.
Gerçekten de öyle. Dolandırıcılık ve suistimal vakaları çoğu zaman Hollywood filmlerindeki gibi büyük soygunlar şeklinde gelmez. Çok daha sinsi, çok daha sıradan başlar. Bir çalışanın “nasılsa kimse fark etmez” diyerek ufacık bir boşluktan içeri sızmasıyla… İşte bu yüzden iç denetim dünyasında “kırmızı bayrak” kavramı bu kadar önemli. Gelin bugün, kurumsal hayatın bu kritik erken uyarı sistemini birlikte masaya yatıralım.
Sessizliğin Maliyeti
Önce tabloyu net görelim. Association of Certified Fraud Examiners (ACFE) tarafından yayımlanan güncel rapora göre, dünya genelindeki kuruluşlar yıllık gelirlerinin yaklaşık %5’ini dolandırıcılık nedeniyle kaybediyor. Bunu şöyle düşünün: 100 milyon TL ciro yapan bir şirket, her yıl ortalama 5 milyon TL’yi hiç olmadık yerlere, sistemdeki boşluklara veya kötü niyetli ellere kaptırıyor.
Bu rakamın içinde sadece çalınan para yok. İtibar kaybı var, çalışanların motivasyonunun dibe vurması var, yatırımcının “bu şirkette işler yolunda değil galiba” deyip geri çekilmesi var. Kısacası fatura sadece mali tablolara kesilmiyor; kurum kültürüne, geleceğe, güvene kesiliyor.
Peki bu kadar büyük bir tehdit karşısında ne yapacağız? “Kontrol koyarız, hallederiz” demek yetmiyor. Önce düşmanı tanımak, sonra onun ayak izlerini sürmek gerekiyor.
Hile Üçgeni
Üniversitede denetim dersi alanlar bilir: Donald Cressey’in geliştirdiği “Hile Üçgeni” (Fraud Triangle) bu işin temel taşıdır. CIA müfredatının da vazgeçilmez konularından olan bu model, bir insanın suistimale yönelmesi için üç şartın bir araya gelmesi gerektiğini söyler:
1. Baskı (Pressure): Kişinin üzerinde hissettiği finansal veya psikolojik yük. Mesela beklenmedik sağlık harcamaları, kumar borcu, “komşunun yeni arabası var benim neden yok” kıskançlığı veya şirketin koyduğu gerçekçi olmayan satış hedefleri. Bu baskı olmadan insanların büyük çoğunluğu zaten risk almaya yanaşmaz.
2. Fırsat (Opportunity): İşte burası tam olarak iç denetçinin alanı. Zayıf kontroller, görevler ayrılığı ilkesinin olmaması, kimsenin tatile çıkmadığı için çapraz kontrolün hiç yapılmaması… Fırsat, kurumun doğrudan müdahale edebildiği tek unsurdur. Baskıyı tamamen ortadan kaldıramazsınız ama fırsat penceresini kapatabilirsiniz.
3. Rasyonelleştirme (Rationalization): İnsan zihni ne gariptir ki yaptığı yanlışı bile kendine güzelce açıklayabiliyor. “Zaten hak ettiğim terfiyi vermediler”, “Bu parayı sadece ödünç alıyorum, geri koyacağım”, “Şirket zaten vergi kaçırıyor, benim yaptığım nedir ki?” Bu iç ses, ahlaki fren sistemini devre dışı bırakıyor.
Son yıllarda bu modele bir de yetkinlik (capability) eklendi ve ortaya Hile Karosu (Fraud Diamond) çıktı. Çünkü herkes beyaz yakalı suç işleyemez. Bunun için sistemleri bilmek, pozisyonun verdiği gücü kullanabilmek ve en önemlisi baskı altında soğukkanlı kalabilmek gerekiyor. Örneğin 20 yıllık bir muhasebe müdürünün yapabileceği manipülasyonu, yeni başlayan bir stajyerin yapması teknik olarak mümkün değildir.
Kırmızı Bayraklar
Gelelim işin en heyecanlı kısmına: Kırmızı bayraklar. Bunlar kesin kanıt değildir, “Bu adam kesin hırsız” dedirtmez. Ama denetçinin kafasında bir ampul yanmasını sağlar: “Burada bir tuhaflık var, biraz daha derine ineyim.”
Davranışsal Sinyaller
Bir çalışanın maaşı 17.000 TL ama her sabah işe son model bir SUV ile geliyor, öğle yemeklerini Michelin yıldızlı restoranlarda yiyor, tatil fotoğrafları Instagram’da Maldivler’den akıyor… Bu en klasik ve en güvenilir kırmızı bayraktır. ACFE verilerine göre vakaların %42’sinde failler, gelirleriyle uyumsuz bir yaşam tarzı sergiliyor.
Peki ya tatile çıkmayı ısrarla reddeden, “ben yokken sistem çöker” diyen, işini asla devretmeyen çalışan? Bu da kontrolü kaybetme korkusunun dışa vurumu. Çünkü usulsüzlük yapan kişi, yerine bakan birinin o “ufak tefek farkları” yakalayacağından ölesiye korkar. Hastalık izni bile kullanmaz, bilgisayarının başından kalkmaz.
Bir de tedarikçilerle olan olağandışı yakınlıklar var. Satın alma müdürünün tedarikçinin sahibiyle tatilde çekilmiş fotoğrafları, akşam yemekleri, ortak sosyal çevre… Bunların hiçbiri suç değil elbette ama denetçi için “acaba burada bir rüşvet veya komisyon ilişkisi var mı?” sorusunu sordurur. Nitekim ACFE’ye göre vakaların %19’u tam da bu tür aşırı yakınlıklarla başlıyor.
Son olarak mülakat esnasında gözlenen psikolojik değişimler: Aşırı sinirlilik, basit sorulara verilen karmaşık ve dolambaçlı cevaplar, denetçiyi “sen bu işten anlamazsın” diyerek küçümseme çabası… Bunlar genellikle suçluluk duygusunun veya yakalanma korkusunun beden diline yansımasıdır. Deneyimli denetçiler bu sinyalleri okumakta oldukça başarılıdır.
| Davranışsal Kırmızı Bayrak | ACFE’ye Göre Görülme Sıklığı | Ne Anlatıyor Olabilir? |
|---|---|---|
| Gelir Üstü Yaşam Tarzı | %42 | Varlıkları kötüye kullanıyor olabilir |
| Finansal Sıkıntılar | %26 | Baskı altında, motivasyonu yüksek |
| Tedarikçiyle Aşırı Yakınlık | %19 | Rüşvet veya komisyon ilişkisi |
| Kontrol Kaybetme Korkusu | %15 | Yaptığı işlemlerin açığa çıkmasından çekiniyor |
| Sinirlilik ve Savunmacılık | %13 | Yakalanma korkusu yaşıyor |
Finansal ve Muhasebe Sinyalleri: Rakamların Fısıldadıkları
Eğer davranışlar insanın dışa vurumuysa, muhasebe kayıtları da suistimalin gölgesidir. Yeter ki okumasını bilelim.
Geçici hesapların aşırı ve anlamsız kullanımı tam bir alarm zilidir. Kasa fazlası mı var? Geçici hesaba atılır. Eksiklik mi var? Geçici hesaptan düşülür. Bu hesaplar adeta bir “çöp kutusu” gibi kullanılıyorsa, altında mutlaka gizlenmeye çalışılan bir şey vardır.
Yıl sonu kayıtlarında açıklanamayan artış da dikkat ister. Özellikle 31 Aralık günü veya haftasında, hiçbir destekleyici belgesi olmayan, tutarları yuvarlak (örneğin 50.000 TL, 100.000 TL) olan yevmiye kayıtları atılıyorsa, bu büyük ihtimalle finansal tablo manipülasyonudur. Yöneticiler ya hedefleri tutturmak için gelir şişiriyordur ya da vergi avantajı için karı azaltmaya çalışıyordur.
Belge usulsüzlükleri ise en klasik ama hala en yaygın yöntemlerdendir. Orijinal faturanın bulunamayıp sadece silik bir fotokopisinin olması, belge üzerindeki tarihlerde düzeltme izleri, ıslak imza yerine tarayıcıdan geçmiş imzalar… Bunların her biri denetçi dosyasında “incele” notuyla işaretlenmelidir.
Analitik sapmalar da deneyimli bir göz için bulunmaz ipuçlarıdır. Satışlar fırlamış ama işletme sermayesi erimiş, envanter miktarı sabit durduğu halde stok değeri şişmiş, sektördeki herkes %10 büyürken sadece sizin şirket %40 büyümüş… Bu tarz uçurumlar, finansal tabloların “kozmetik makyaj” gördüğünün habercisidir.
Operasyonel Süreçlerdeki Tehlike Çanları
Şimdi de günlük iş akışında karşımıza çıkabilecek bazı kritik noktalara değinelim. Buraları bilmek, denetimin odağını doğru yere yönlendirmek için hayati.
Satın Alma ve Tedarikçi İlişkileri: Burası suistimalin en sevdiği oyun alanıdır. Hayali tedarikçiler en büyük risktir. Bir çalışan, eşinin üzerine bir limited şirket açar, bu şirkete düzenli olarak hizmet faturası kestirir. Ödeme yapılır, fatura muhasebeleşir, kimse de dönüp “Bu şirket bu hizmeti gerçekten verdi mi?” diye sormaz. Tedarikçi adresinin çalışan adresiyle çakışması bu işin smoking gun‘ıdır (kesin kanıtıdır). Ayrıca tek kaynak kullanımı, yani yıllardır aynı tedarikçiyle çalışıp alternatif aramamak da rekabetin öldüğüne ve muhtemelen fiyatların şişirildiğine işarettir.
Kasa ve Nakit İşlemleri: Nakit paradan kolay ne var? Kasa süreçlerinde mükerrer ödemeler sık görülen bir durumdur. Aynı fatura iki farklı kişi tarafından onaylanır, iki kez ödenir. Ardından birisi “kusura bakmayın dalgınlığıma gelmiş” der. Denetçi de veri analitiği ile bu mükerrer kayıtları tespit eder. İptal edilen fişlerdeki anormal artış da benzer şekilde, “satış yapıp sonra iptal ediyormuş gibi gösterip parayı cebe indirme” senaryosunun belirtisidir.
Envanter Yönetimi: Depo giriş çıkışları ile muhasebe kayıtları arasındaki fark, stok noksanı veya stok fazlası olarak karşımıza çıkar. Bir üründe sürekli fire artıyorsa, büyük ihtimalle o ürün depodan usulüne uygun çıkış yapılmadan “yürütülüyordur”. Stok devir hızının aniden düşmesi de eldeki malın aslında olmadığına, rakamların şişirildiğine delalet edebilir.
Standartlar ve Mesleki Şüphecilik
Bu noktada iç denetçinin sorumluluk sınırlarını netleştirmekte fayda var. Çünkü sık yapılan bir yanlış anlaşılma var: “Denetçi gelir, hırsızı yakalar, gider.” Hayır. Uluslararası İç Denetim Standartları (IPPF) ve bu standartları ülkemizde temsil eden TİDE (Türkiye İç Denetim Enstitüsü) çerçevesinde, denetçinin rolü tespit edici değil, değerlendiricidir.
Standart 1210.A2 der ki: İç denetçi, dolandırıcılık riskini değerlendirebilecek ve bu riskin kurum tarafından nasıl yönetildiğini inceleyebilecek yeterli bilgiye sahip olmalıdır. Ama denetçiden adli muhasebe uzmanı veya savcı gibi davranması beklenmez. Onun işi, kırmızı bayrakları fark edip, şüpheyi profesyonel soruşturmacılara veya üst yönetime doğru zamanda iletmektir.
Standart 2120.A2 ve 2210.A2 ise denetimin planlama aşamasında dolandırıcılık riskinin mutlaka dikkate alınmasını zorunlu kılar. Yani denetçi sahaya inmeden önce, ekibiyle bir “beyin fırtınası” yaparak “Bu süreçte ne tür hileler olabilir?” sorusunu masaya yatırmalıdır. Bu senaryolar üzerinden testler tasarlanır, kontrollerin ne kadar etkin olduğu ölçülür.
Tüm bunların temelinde ise mesleki şüphecilik yatar. Mesleki şüphecilik, “herkes yalancıdır” paranoyası değildir. Daha ziyade bir tür sağlıklı kuşkuculuk halidir. Denetçi, yönetimin sunduğu açıklamaları sorgulanabilir görür, belgelerin tutarlılığını test eder, “acaba” demekten çekinmez. TİDE Etik Kuralları’nın altını çizdiği dürüstlük, tarafsızlık, gizlilik ve yetkinlik ilkeleri, bu şüpheciliğin etik çerçevesini oluşturur.
Veri Analitiği ve Benford Kanunu
Artık manuel yöntemlerle, örnekleme yaparak tüm riskleri görmek mümkün değil. Neyse ki teknoloji imdadımıza yetişiyor. Veri analitiği, denetimin oyun kurallarını değiştirdi. Eskiden “2000 tane faturadan 50 tanesini inceleyelim, sorun yoksa geçelim” derdik. Şimdi ise tüm veri setini (full-population) analiz edebiliyoruz.
Deloitte’un Argus‘u, EY’nin Helix‘i gibi yapay zeka destekli platformlar, milyonlarca satırlık muhasebe verisi içindeki aykırı değerleri saniyeler içinde işaretleyebiliyor. Örneğin normalde 3.247 TL civarında seyreden akaryakıt harcamalarının içinde bir anda beliren 15.000 TL’lik bir fiş, sistem tarafından anında “outlier” olarak etiketleniyor. Keza yuvarlak tutar analizi de önemli: Dürüst işlemler genelde küsüratlı olur (1.247,83 TL gibi). Ama hayali işlemler kolaylık olsun diye 5.000 TL, 10.000 TL gibi düz rakamlarla girilir. Bu düz rakamların oranı anormal derecede yüksekse, dikkat kesilmek gerekir.
Bir de istatistik dünyasının zarif prensiplerinden Benford Kanunu var. Bu kanuna göre, doğal yollarla oluşan sayısal veri setlerinde (örneğin elektrik faturaları, nüfus rakamları, hisse senedi fiyatları), sayıların ilk basamağının “1” olma olasılığı yaklaşık %30,1 iken, “9” olma olasılığı sadece %4,6’dır. Eğer bir şirketin masraf kayıtlarında “7” ile başlayan tutarların oranı %20’lere fırlamışsa, bu verilerin insan eliyle (ve büyük ihtimalle uydurularak) sisteme girildiğinin istatistiksel kanıtıdır. İç denetçinin cebinde bu tür analitik araçlar varsa, suistimalcinin işi gerçekten çok zor demektir.
Teoriyi bir kenara bırakıp sahaya inelim. Bir üretim şirketinde şöyle bir durum yaşanmıştı. Denetim ekibi tedarikçi ödemelerini incelerken, bazı ödemelerin onaylı satıcı listesinde bulunmayan bir firmaya yapıldığını fark etti. Kırmızı bayraklar adeta sıralanmıştı:
Fatura tarihleri hep hafta sonuna denk geliyordu (oysa işletme cumartesi-pazar çalışmıyordu).
Tedarikçi adı, piyasadaki bilinen büyük bir tedarikçiye çok benziyordu; aradaki fark sadece “Ltd.” yerine “Lted.” yazımıydı.
Ödemeler istisnasız her seferinde 4.950 TL civarındaydı. Yetki limiti 5.000 TL olduğu için, bu tutarlar ek onay gerektirmiyordu.
Araştırma derinleştirildiğinde, muhasebe departmanındaki bir çalışanın, kız kardeşi üzerine paravan bir şirket kurduğu ve iki yıldır sahte faturalarla şirketi toplamda 400.000 TL’den fazla zarara uğrattığı ortaya çıktı. Hikayenin ilginç tarafı şuydu: Çalışanın masasında “Yılın En Çalışkan Personeli” plaketi duruyordu.
Bir başka ilginç vaka ise bir operasyon denetiminde yaşandı. Denetçi, departmanın raporlama uzmanıyla mülakat yapıyordu. Uzmanın her soruya verdiği cevap o kadar kusursuz, o kadar prova edilmiş, o kadar “pürüzsüzdü” ki denetçinin içine bir kurt düştü. “Raporlarınızın ham verilerini görebilir miyim?” dedi. Uzmanın yüz ifadesi bir anlığına dondu. Sonradan anlaşıldı ki, çalışan aylardır Excel üzerinde verileri manuel olarak düzelterek departman performansını olduğundan yüksek gösteriyor, böylece prim alıyordu. Kırmızı bayrak bu sefer bir rakam değil, fazla mükemmellik haliydi.
Son Söz
Dolandırıcılıkla mücadele, sadece denetim departmanının sırtına yüklenebilecek bir iş değildir. Bu, tüm kuruma yayılması gereken bir kültür meselesidir. İşin başı “Tone at the Top” dediğimiz, üst yönetimin etik duruşudur. Yönetim kurulu başkanı “Ne olursa olsun bu ayki hedefi tutturacağız” diyorsa ve bunu nasıl yaptığınızı sormuyorsa, alt kadrolara “hadi biraz yaratıcı olun” mesajı gitmiş demektir.
İhbar mekanizmaları hala en etkili tespit yöntemidir. İnsanlar konuşmak ister ama korkar. Anonim ihbar hatları, bu sessizlik duvarını kırmak için en güçlü silahtır. Çünkü suistimali en iyi, onunla aynı ofisi paylaşan ama susan kişi bilir.
Ve nihayet sürekli izleme. Artık yılda bir kez yapılan denetimler yetmiyor. Veri analitiği araçlarıyla süreçlerin gerçek zamanlı olarak taranması, şüpheli bir durumda anında uyarı verilmesi gerekiyor. Çünkü bir dolandırıcılık ne kadar uzun süre fark edilmezse, kayıp da o kadar büyük oluyor. ACFE’nin verilerine göre, tespit edilmesi 24 aydan uzun süren vakalarda medyan zarar, 6 ayda tespit edilenlere göre neredeyse 5 kat daha fazla.
Son olarak denetçi arkadaşlarıma küçük bir hatırlatma: Siz rakamların ve belgelerin peşindesiniz evet, ama arka planda bir insan hikayesi var. O hikayeyi dinleyin. Baskıyı anlayın, rasyonelleştirme cümlelerini duyun, fırsatın nerede doğduğunu görün. Mesleki şüpheciliğinizi asla yitirmeyin ama onu bir paranoyaya da dönüştürmeyin.
Unutmayın: Dolandırıcılık bir anda patlayan bir bomba değil, duvarın içinden sessizce akan bir su gibidir. Sıva dökülmeye, boya kabarmaya başladığında iş işten geçmiş olabilir. O yüzden kırmızı bayraklar daha ilk sallanmaya başladığında rüzgarı hissetmek, başarılı bir iç denetçinin alametifarikasıdır.
