Dolandırıcılık Soruşturması: İç Denetçinin Rolü

Küresel ekonomi her yıl milyarlarca doları dolandırıcılık ve yolsuzluk yüzünden kaybediyor. Rakamlar o kadar büyük ki, zihnimizin kavramakta zorlandığı boyutlara ulaşmış durumda. Bu kayıplar sadece bilançoları değil, kurumların itibarını, çalışanların moralini ve hatta bazen organizasyonun bizzat kendisini paramparça ediyor. Dolandırıcılık dediğimiz şey, özünde aldatma, gizleme ya da güveni kötüye kullanma üzerine kurulu yasa dışı eylemler bütünü. Ve ne yazık ki, çoğu zaman en beklemediğimiz yerden, en güvendiğimiz insanlardan geliyor.

İşte tam da bu karmaşık ve tehlikeli risk ortamında, iç denetim fonksiyonu eski usul bir “kontrol mekanizması” olmaktan çıkıp stratejik bir savunma ve iyileştirme ortağına dönüştü. Bugünün iç denetçisi, riskleri henüz gerçeğe dönüşmeden sezen, bir şüphe belirdiğinde soruşturmayı koordine eden ve nihayetinde kontrol zafiyetlerini onaran çok yönlü bir profesyonel. Peki bu dönüşüm tam olarak nasıl gerçekleşti ve iç denetçinin dolandırıcılık soruşturmasındaki stratejik rolü nereye evriliyor IIA’nın 2025 güncellemeleri ışığında bu soruların peşine düşelim.

İç Denetim ve Adli Denetim

İç denetimle adli denetimi sık sık birbirine karıştıranlar olur. Haksız da sayılmazlar, ikisi de finansal kayıtları didik didik eder, her ikisi de muhasebe bilgisi gerektirir ve ikisi de işletmelerin karanlık köşelerine ışık tutar. Ama ben bu iki disiplini şöyle anlatmayı seviyorum: İç denetim, düzenli gittiğiniz bir check-up sürecidir; vücudun genel sağlığını kontrol eder, riskleri öngörür, gerekirse vitamin takviyesi önerir. Adli denetim ise ciddi bir şüphe üzerine çağrılan uzman cerrahın müdahalesidir; bıçak keskindir, odak noktası bellidir ve sonuçları hukuki sonuçlar doğurur.

Bu ayrımı biraz daha derinleştirelim.

Güvence Hizmetleri ve Danışmanlık Hizmetleri: Karşılaştırma ve Örnekler

×

İç denetimin temel odağı, organizasyonun hedeflerine sağlıklı bir şekilde ulaşmasını sağlamaktır. Bunu yaparken risk yönetimini, kontrolleri ve yönetişim süreçlerini mercek altına alır. İç denetçi için esas mesele, daha iş işten geçmeden, süreçleri daha verimli ve güvenli hale getirmektir. Adli denetçi ise tam tersine, işin çoktan çığrından çıktığı bir noktada devreye girer. Bir ihbar gelmiştir, bir anomali yakalanmıştır ya da bilançoda açıklanamayan bir boşluk vardır. Adli denetçinin işi, hileli eylemin varlığını ispatlamak ya da çürütmek için mahkemede geçerli olacak standartlarda kanıt toplamaktır.

Kapsam açısından da aralarında dağlar kadar fark var. İç denetim, organizasyonun neredeyse tüm dokularına temas eder, finansal kontrollerden it sistemlerine, insan kaynakları politikalarından operasyonel süreçlere kadar devasa bir alanı tarar. Adli denetim ise son derece dar ama bir o kadar da derin bir odakla çalışır,belirli bir işlem, belirli bir hesap, hatta belirli bir kişi üzerinde yoğunlaşır. Raporlama aşamasında da işler değişir: İç denetim raporları yönetime ve yönetim kuruluna “şuraları düzeltirsek iyi olur” minvalinde yapıcı öneriler sunarken, adli denetim raporları çoğu zaman mahkeme salonlarında uzman tanıklık için kullanılmak üzere hazırlanır yani hukuki incelemelere dayanacak kadar sağlam olmalıdır.

Tüm bu farklılıkları aklımızın bir köşesinde şöyle özetleyebiliriz, İç denetimin sorumluluk alanı geleceğe yönelik risk yönetimi ve süreç iyileştirmeyken, adli denetim geçmişe dönük olay analizi ve hukuki ispatla ilgilenir. İç denetim planlı denetim döngüleriyle başlarken, adli denetim somut bir iddia ya da şüphe ile tetiklenir. Hizmet tipi olarak iç denetim güvence ve danışmanlık faaliyetidir, adli denetim ise danışmanlık ve bilirkişilik hizmetidir. Muhatap kitleleri bile farklıdır: İç denetim yönetim kuruluna, denetim komitesine ve üst yönetime hitap ederken, adli denetim avukatlara, mahkemelere ve düzenleyici kurumlara seslenir. Uzmanlık gereksinimleri de buna paralel olarak şekillenir. iç denetçi için IIA standartları ve CIA sertifikasyonu öne çıkarken, adli denetçi için hukuki prosedürler, mülakat teknikleri ve CFE sertifikasyonu belirleyicidir.

Peki dolandırıcılık durumlarında iç denetçinin birincil rolü tam olarak nedir? Öncelikle İç denetçinin birincil rolü soruşturmayı bizzat yürütmek değildir. Onun asıl işi, organizasyonun anti-dolandırıcılık stratejisini desteklemek ve kontrollerin ne kadar etkili olduğunu test etmektir. Bununla birlikte, her iç denetçinin dolandırıcılık belirtilerini, yani o meşhur “kırmızı bayrakları” tespit edebilecek ve gerektiğinde soruşturma sürecini koordine edebilecek seviyede bilgi sahibi olması beklenir. Yani gözleri açık gezer, ama ne zaman bir cerraha ihtiyaç olduğunu da bilir.

IIA Standartları

İç denetçilerin dolandırıcılıkla ilgili sorumlulukları aslında uzun zamandır Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından yayınlanan standartlarla çerçevelenmiş durumda. Ancak 9 Ocak 2025’te yürürlüğe giren yeni Küresel İç Denetim Standartları, bu sorumluluğu bambaşka bir seviyeye taşıdı. Yeni standartlar, dolandırıcılık riskini artık “arada bir bakılan” bir kontrol alanı olmaktan çıkarıp, denetim sürecinin her aşamasına entegre ediyor.

Önce kritik standartları hatırlayalım. Standart 1210.A2 der ki: İç denetçiler, dolandırıcılık riskini ve organizasyon tarafından nasıl yönetildiğini değerlendirebilecek düzeyde yeterli bilgiye sahip olmalıdır. Ama hemen ardından önemli bir not düşer: Denetçiden, işi gücü dolandırıcılık tespiti ve soruşturması olan bir uzmanın bilgi seviyesine sahip olması beklenmez. Bu, çok makul bir sınır çizgisidir. Standart 2120.A2, iç denetim faaliyetinin organizasyondaki dolandırıcılık olasılığını ve kurumun bu riski nasıl yönettiğini değerlendirmek zorunda olduğunu söyler. Standart 1220.A1 ise denetçinin görevlerini yerine getirirken hata, hile ya da uyumsuzluk olasılıklarını dikkate alarak “mesleki özen” göstermesini şart koşar. Son olarak Standart 2210.A2, denetim görev amaçları belirlenirken dolandırıcılık ve hata olasılıklarının mutlaka hesaba katılmasını ister.

Peki 2025 güncellemeleri ne getirdi? Analizler, yeni standartların beklentileri üç ana alanda ciddi şekilde yükselttiğini gösteriyor:

Birincisi, her aşamada entegrasyon. Dolandırıcılık riski değerlendirmesi artık bağımsız, izole bir denetim başlığı değil. Her bir denetim görevinin planlama, uygulama ve raporlama aşamalarının ayrılmaz bir parçası haline geldi. Yani denetçi, bir satın alma sürecini denetlerken artık sadece “acaba süreç verimli mi” diye bakmayacak; “bu süreçte dolandırıcılık nasıl yapılabilir” sorusunu da sürekli aklında tutacak.

İkincisi, güçlendirilmiş dokümantasyon ve izlenebilirlik. Denetçiler artık dolandırıcılık riskini sadece “evet bunu düşündük” deyip geçemez, bu risklerin denetim kapsamını ve prosedürlerini nasıl etkilediğini açıkça ve yazılı olarak belgelemek zorundalar. Bu, hem denetçiyi disipline eden hem de denetim kalitesini artıran bir adım.

Üçüncüsü ise bireysel görev bazlı değerlendirme yaklaşımı. Her bir denetim görevi, kendi özel doğası ve kapsamı çerçevesinde özgün bir dolandırıcılık risk değerlendirmesi içermeli. Bu, her projenin kendine has risklerini anlamayı ve ona göre pozisyon almayı zorunlu kılıyor.

Bunların da ötesinde, yeni “Konu Bazlı Gereklilikler” özellikle siber güvenlik ve üçüncü taraf yönetimi gibi yüksek riskli alanlarda denetçilere zorunlu asgari kriterler sunuyor. Bu sayede dolandırıcılık riski çok daha yapısal ve sistematik bir şekilde incelenebiliyor.

Şüphe Anında Koordinasyon

Bir dolandırıcılık şüphesi belirdiğinde, işler bir anda hızlanır. Ve işte tam bu noktada, iç denetçinin en kritik işlevlerinden biri devreye girer: Koordinasyon merkezi olmak. Dolandırıcılık soruşturmaları doğası gereği gizlilik, hız ve yasal titizlik ister. Farklı departmanlar arasında bir senkronizasyon sağlanamazsa, deliller karartılabilir, şüpheliler kaçabilir ya da en kötüsü, masum insanlar zan altında kalabilir.

Peki iç denetçi kimlerle stratejik iş birliği yürütür?

Hukuk Departmanı ile ilişki en kritik olanıdır. Kanıt toplama süreçlerinin yasalara uygunluğunu sağlamak, potansiyel dava süreçleri için “avukat-müvekkil gizliliği” protokollerini işletmek ve soruşturmanın hukuki çerçeveden sapmamasını garanti altına almak, hukukçularla omuz omuza çalışmayı gerektirir.

İnsan Kaynakları ise başka bir kritik ortaktır. Şüpheli çalışanların özlük bilgilerine erişim, disiplin süreçlerinin yönetilmesi ve en önemlisi mülakatlar sırasında çalışan haklarının korunması için İK ile koordinasyon şarttır. Unutmayalımki soruşturma sonuçlanana kadar şüpheli masumdur ve hakları ihlal edilmemelidir.

Üst Yönetim ve Yönetim Kurulu ile iletişim ise bağımsızlık ve tarafsızlık hassasiyeti gerektirir. İç denetim, soruşturmanın ilerleyişi hakkında yönetim kurulunu ve denetim komitesini düzenli olarak bilgilendirir. Ama eğer iddia üst yönetimi kapsıyorsa, iç denetimin bağımsız raporlama hattı hayati önem kazanır. Hiçbir yönetici kendi aleyhine olabilecek bir soruşturmayı yönetemez.

BT ve Siber Güvenlik ekibiyle iş birliği ise dijital çağın vazgeçilmezidir. E-postalar, log kayıtları, ERP hareketleri… Bugünün dolandırıcılık vakalarının delilleri büyük ölçüde dijital ortamda saklıdır ve bu verilerin korunması ve incelenmesi aşamasında teknik destek alınması şarttır.

Üç Hat Modeli

IIA’nın meşhur Üç Hat Modeli çerçevesinde dolandırıcılıkla mücadele rolleri oldukça net bir şekilde dağılmıştır. Birinci hat, yani operasyonel yönetim, riskleri gerçek anlamda sahiplenir ve günlük kontrolleri uygular. İkinci hat, yani risk ve uyum fonksiyonları, metodoloji sağlar ve sürekli izleme yapar. Üçüncü hat olan iç denetim ise tüm bu yapının bütünsel etkinliğine dair bağımsız güvence verir. Bir soruşturma sırasında iç denetim, bu üç hat arasındaki bilgi boşluklarını doldurarak kapsamlı bir analiz sunar. Adeta bir orkestra şefi gibi, tüm enstrümanların doğru zamanda doğru sesi çıkarmasını sağlar.

Soruşturmanın Dört Evresi

Başarılı bir soruşturma, Hollywood filmlerindeki gibi bir dedektifin sezgileriyle değil, disiplinli bir süreç akışıyla yürütülür. Bu akış genellikle dört ana evreden oluşur ve her evre, delillerin karartılmasını önlemek ve hukuki geçerliliği korumak için titizlikle planlanır.

1. Hazırlık ve Ön Değerlendirme

Her şey bir şüphe ile başlar. Bu bir ihbar olabilir, rutin bir veri analizinde yakalanan bir anormalik olabilir ya da üçüncü taraflardan gelen bir şikayet olabilir. Bu ilk aşamada iç denetçi şu can alıcı sorulara yanıt arar: Bu iddia ne kadar ciddi? Somut kanıtlara dayanıyor mu, yoksa dedikodu seviyesinde mi? Soruşturma ekibi hangi yetkinliklere sahip olmalı? Muhasebe uzmanı mı lazım, IT bilen biri mi, yoksa mülakat konusunda deneyimli bir profesyonel mi? Ve en önemlisi soruşturma gizli mi yoksa açık mı yürütülmeli? Bu sorunun cevabı, delillerin korunması ile çalışan mahremiyeti arasındaki hassas dengeyi belirler.

2. Planlama ve Strateji Geliştirme

İkinci evrede ayrıntılı bir soruşturma planı hazırlanır. Bu plan, incelenecek veri setlerini, görüşülecek kişileri, kullanılacak teknolojileri ve tahmini zaman çizelgesini içermelidir. Riskler önceliklendirilir ve organizasyonun “dolandırıcılık iştahı” ile uyumlu bir strateji belirlenir. Her organizasyonun dolandırıcılığa karşı toleransı farklıdır; bazıları sıfır toleransla hareket ederken, bazıları belirli bir eşiğe kadar olayı içeride çözmeyi tercih edebilir. Strateji, bu gerçekliği yansıtmalıdır.

3. Uygulama: Kanıt Toplama ve Analiz

Bu evre işin mutfağıdır. Veriler toplanır, mülakatlar gerçekleştirilir ve olay örgüsü adım adım netleştirilir. İç denetçi finansal kayıtları çapraz kontrollere tabi tutar, bilgisayar destekli denetim tekniklerini (CAATs) kullanır ve şüpheli işlemleri izole eder. Bu aşamada hata yapma lüksü yoktur,çünkü toplanan her kanıt, ileride bir mahkeme salonunda masaya konulabilir.

4. Raporlama ve Düzeltici Aksiyonlar

Soruşturmanın son halkası, elde edilen bulguların tarafsız bir rapor haline getirilmesidir. Ama iyi bir soruşturma raporu sadece “ne olduğu” ile yetinmez. “Neden oldu” sorusunun peşine düşer, bir kök neden analizi yapar ve en önemlisi, “bir daha nasıl olmaz” sorusuna ikna edici bir yanıt sunar. Çünkü soruşturmanın nihai amacı sadece suçluyu bulmak değil, benzer bir olayın tekrar yaşanmasını engellemektir.

Veri Analizi ve Anomali Tespiti

Dijitalleşen dünyamızda dolandırıcılık vakaları artık karanlık odalarda el altından verilen rüşvetlerden çok, devasa veri yığınları arasına gizlenmiş anormallikler şeklinde karşımıza çıkıyor. İç denetçiler de bu verileri anlamlandırmak için istatistiksel yasaları ve ileri analitik yöntemleri giderek daha yoğun kullanıyor.

Benford Yasası

Benford Yasası, doğada kendiliğinden oluşan sayı dizilerinde ilk basamaktaki rakamların dağılımının asla rastgele olmadığını söyleyen büyüleyici bir matematiksel ilkedir. Somutlaştırmak gerekirse: Bir fatura havuzunu incelediğinizde, ilk rakamı “1” olan tutarların tüm veri setinin yaklaşık %30,1’ini oluşturması beklenir. Oysa ilk rakamı “9” olan tutarların oranı sadece %4,6’dır. Bu, doğanın bir kanunu gibidir; nehir uzunluklarından borsa verilerine, şehir nüfuslarından şirket bilançolarına kadar her yerde bu dağılımı görürsünüz.

Dolandırıcılar ise rakamları uydururken genellikle bu doğal dağılımı farkında olmadan bozarlar. Bir denetçi, binlerce faturadan oluşan bir veri setinde “7” veya “8” ile başlayan tutarların beklenen oranların çok üzerinde olduğunu fark ederse, bu ciddi bir anomali sinyalidir. Mesela ilk rakamı 1 olan verilerin oranının düşük olması, gerçek işlemlerin sistematik olarak gizlendiğine işaret edebilir. İlk rakamı 4 olanlarda bir yığılma varsa, bu genellikle onay limitlerinin hemen altında (mesela 4.900 TL gibi) yoğunlaşan işlemlere, yani yetki aşımını gizleme çabasına delalet eder. 7, 8, 9 ile başlayan rakamların beklenenden yüksek çıkması ise neredeyse her zaman yapay veri üretiminin ya da büyük tutarlı sahte faturaların habercisidir.

Makine Öğrenmesi

İstatistiksel analizlerin ötesinde, günümüz denetçileri makine öğrenmesi algoritmalarından da faydalanmaktadır. Isolation Forest (İzolasyon Ormanı) algoritması, adından da anlaşılacağı gibi, veri noktalarını tek tek ayırarak “yalnız kalan”, yani diğer işlemlerden radikal şekilde sapan verileri hızla tespit eder. Normal bir işlem, veri ormanının derinliklerinde bir yerde saklanırken, anormal bir işlem daha yüzeyde, kolayca izole edilebilir.

DBSCAN ve Kümeleme (Clustering) teknikleri ise benzer işlemleri gruplandırır. Hiçbir gruba dahil olmayan ya da çok küçük, ayrık gruplarda kalan işlemler potansiyel dolandırıcılık vakalarıdır. Bu, kalabalık bir meydanda herkesin belirli yönlere doğru hareket ettiğini düşünürken, ters yöne giden birini fark etmeye benzer.

Z-Skoru ve MAD (Ortalama Mutlak Sapma) ise daha klasik ama hala son derece etkili yöntemlerdir. Verilerin ortalamadan ne kadar saptığını ölçerek ekstrem uç değerleri belirlerler. Basit ama güçlüdürler.

PEACE Modeli ve Sessizliğin Dili

Veri analizi bize “ne” olduğunu söyler. Ama “neden” yapıldığını anlamak için insanla konuşmak gerekir. Modern soruşturma mülakatları, eski filmlerde gördüğümüz o baskıcı sorgulama tekniklerinden çok uzaktadır. Bugünün altın standardı, bilgi toplamayı merkeze alan etik modellerdir ve bunların başında PEACE gelir.

PEACE Modelinin Beş Aşaması

P – Preparation and Planning (Hazırlık ve Planlama): Mülakat aslında odaya girmeden çok önce başlar. Mülakatın amacı netleştirilir, kişi hakkındaki tüm kanıtlar (e-postaları, harcama kayıtları, erişim logları) masaya yatırılır ve mülakatın yapılacağı ortamın gizliliği ve fiziksel koşulları titizlikle hazırlanır.

E – Engage and Explain (Bağlantı Kurma ve Açıklama): Görüşülen kişiyle profesyonel ama samimi bir güven ilişkisi, yani “rapport” kurulur. Kişiye mülakatın neden yapıldığı ve sürecin nasıl işleyeceği açıkça, ama asla suçlayıcı olmayan bir tonda anlatılır. Bu aşama, iş birliğinin kapısını aralar.

A – Account, Clarification and Challenge (Anlatım, Netleştirme ve Sorgulama): Önce kişinin olayları kendi ağzından serbestçe anlatmasına izin verilir. Sonra devreye “bilişsel görüşme” teknikleri girer; mülakatçı olayları farklı perspektiflerden, hatta mümkünse tersten anlatmasını isteyerek hafıza tutarlılığını test eder. Çelişkiler varsa, bunlar mülakatın sonuna doğru nezaketle ve kanıtlarla birlikte dile getirilir. Amaç köşeye sıkıştırmak değil, gerçeği anlamaktır.

C – Closure (Kapanış): Görüşme özetlenir, eksik ya da muğlak kalan noktalar netleştirilir ve kişiye eklemek istediği bir şey olup olmadığı mutlaka sorulur. Bazen en kritik itiraflar tam da bu son anda gelir.

E – Evaluation (Değerlendirme): Mülakat bittiğinde iş bitmez. Görüşmecinin kendi performansı ve elde edilen bilgilerin soruşturma hedefleriyle uyumu detaylıca analiz edilir. Bu aynı zamanda görüşmecinin kendini geliştirmesi için de eşsiz bir fırsattır.

Beden Dili

Mülakatçı sadece söylenenlere değil, söylenmeyenlere de kulak vermelidir. Vücut dili bu noktada önemli ipuçları sunabilir. Ancak burada hayati bir uyarı var: Tek bir vücut dili hareketi (mesela burna dokunmak ya da kolları kavuşturmak) asla doğrudan “yalan söylüyor” diye yorumlanamaz. Bunun yerine, kişinin mülakatın başındaki doğal hali, yani “baz çizgisi” davranışları gözlemlenmeli ve bu çizgiden anlamlı sapmalar not edilmelidir. Stres belirtileri (ağız kuruluğu, sık göz kırpma, ses tonunda dalgalanmalar) her zaman yalanın değil, bazen görüşmenin yarattığı doğal baskının da sonucu olabilir. Deneyimli bir mülakatçı, bu ikisi arasındaki farkı ayırt edebillendir.

Delil Zinciri

Soruşturma sırasında toplanan her kanıtın, ileride bir mahkemede ya da disiplin kurulunda geçerli olabilmesi için “Zincirleme Muhafaza”  protokollerine harfiyen uyulması gerekir. Bu kavram, kanıtın ele geçtiği ilk andan itibaren kimde olduğunu, nerede saklandığını ve üzerinde ne işlem yapıldığını kesintisiz olarak belgelemek anlamına gelir. Zincirdeki en küçük bir kopukluk, en sağlam kanıtı bile çöpe çevirebilir.

Sağlam bir kanıt zinciri için şu prensipler şarttır: Her bir delil parçasına benzersiz bir takip numarası verilir, buna benzersiz kimliklendirme denir. Fiziksel deliller müdahale edildiğinde belli eden özel poşetlerde saklanır; bu da güvenli paketlemedir. Delil bir kişiden diğerine her geçtiğinde tarih, saat ve amaç belirtilerek imzalı tutanakla devredilir, yani imzalı teslim tesellüm yapılır. Elektronik veriler söz konusu olduğunda ise asla orijinal disk üzerinde çalışılmaz; write-blocker (yazma engelleyici) cihazlar kullanılarak alınan adli kopyalar üzerinden inceleme yapılır. Bu, orijinal verinin bütünlüğünü korumanın yegane yoludur.

Farklı delil türleri için farklı toplama yöntemleri ve kritik kontrol noktaları vardır. Fiziksel belgeler eldivenle toplanır, orijinal nüsha korunur ve parmak izi ile tahrifat analizine tabi tutulur. E-postalar sunucu üzerinden merkezi arşivden çekilir ve verinin bütünlüğü hash değeri alınarak garanti altına alınır. ERP kayıtları loglarıyla birlikte dışa aktarılır ve verinin değiştirilmediği ispatlanır. Mülakat kayıtları sesli ya da görüntülü olarak alınır ya da imzalı ifade tutanağına dönüştürülür; burada gönüllülük esası ve baskı olmaması kritik önemdedir. Mobil cihazlara el konulurken mutlaka iletişim kesilir (uçak modu veya Faraday çantası/kafesi kullanılır) ve uzaktan veri silme riskine karşı koruma sağlanır.

Gerçek Bir Vaka

Teoriyi pratiğe dökmek için tipik bir vaka üzerinden gidelim. Dolandırıcılık türleri arasında en sık karşılaşılanlardan biri, sahte fatura ve hayali tedarikçi şemalarıdır. Aşağıdaki örnek, iç denetçinin bu süreçteki metodolojik yaklaşımını somutlaştırmaktadır.

Olay, bir organizasyonun etik hattına gelen bir ihbarla başlar. İhbarda, satın alma müdürünün belirli bir firmaya, adına “Tedarikçi Ğ” diyelim, piyasa değerinin oldukça üzerinde ödemeler yaptığı iddia edilmektedir. Bu iddia, bir soruşturma başlatmak için yeterli br başlangıç şüphesidir.

Soruşturma ekibi işe analitik incelemeyle başlar. Tedarikçi Ğ’ye yapılan ödemeleri son üç yıl bazında analiz ettiklerinde çarpıcı bir tabloyla karşılaşırlar: Ödemelerin toplam tutarı her yıl yaklaşık %40 artmaktadır, ancak aynı dönemde alınan mal hacminde benzer bir artış görülmemektedir. Yani şirket giderek daha fazla para ödemekte, ama karşılığında daha fazla mal almamaktadır.

Bunun üzerine belge doğrulamasına geçilir. “Üçlü eşleştirme” kontrolü yapılır; yani satın alma siparişi, fatura ve depo giriş kayıtları karşılaştırılır. Faturalar ve satın alma siparişleri dosyada mevcut olmasına rağmen, depoya giriş kayıtlarının, yani irsaliyelerin eksik olduğu ya da üzerlerinde sahte imzalar bulunduğu tespit edilir. Mallar kağıt üzerinde vardır, ama depoda izleri yoktur.

Anomali tespiti aşamasında işler daha da derinleşir. Tedarikçi Ğ’in ticaret sicil kayıtları incelendiğinde, şirketin satın alma müdürünün kardeşi tarafından, soruşturmanın başlamasından sadece üç ay önce kurulduğu ortaya çıkar. Bu, tesadüf olamayacak kadar manidar bir bağlantıdır.

Son olarak dijital forenzik devreye girer. Satın alma müdürünün bilgisayarında yapılan aramada, Tedarikçi X adına önceden hazırlanmış boş fatura şablonları bulunur. Bu, kasıtlı ve planlı bir dolandırıcılığın neredeyse kesin kanıtıdır.

Soruşturma sonucunda, toplamda 250.000 dolarlık hayali mal alımı yapıldığı kanıtlanır. Ancak iç denetimin raporu burada durmaz. Kaybı tespit etmekle kalmaz, bu dolandırıcılığa zemin hazırlayan sistematik zafiyeti de teşhis eder: Satın alma ve ödeme onayı görevleri aynı kişide toplanmıştır, yani Görevler Ayrılığı ilkesi ihlal edilmiştir. Eğer bu iki görev farklı kişilerde olsaydı, dolandırıcılığın gerçekleşmesi çok daha zor, hatta imkansız olurdu.

Soruşturma Raporu

Dolandırıcılık soruşturması raporu, tüm o yoğun mesainin, analizlerin ve mülakatların vücut bulmuş halidir. İç denetimin “ürünü” budur ve tüm soruşturmanın kalitesi bu rapor üzerinden değerlendirilir. İyi bir rapor, teknik jargondan arındırılmış, doğrudan kanıta dayanan ve meşhur “5 C” kuralına uygun bir yapıda olmalıdır.

5 C kuralı nedir?

• Condition (Durum): Tespit edilen somut problem ya da anomali tam olarak nedir? Açık ve net bir şekilde tanımlanır.

• Criteria (Kriter): Hangi şirket politikası, hangi endüstri standardı ya da hangi yasa ihlal edilmiştir? Dayanak gösterilir.

• Cause (Neden): Bu açık neden oluşmuştur? Kök neden analiziyle olayın altında yatan sistematik zafiyet ortaya konur.

• Consequence (Sonuç): Organizasyon tam olarak ne kadar para kaybetmiştir ya da hangi somut riske maruz kalmıştır? Finansal etki ölçülür.

• Corrective Action (Düzeltici Aksiyon): Benzer bir olayın bir daha yaşanmaması için ne yapılmalıdır? Somut, uygulanabilir ve takvime bağlı öneriler sunulur.

Önerilen rapor yapısı ise şu şekilde akmalıdır: Başta bir Yönetici Özeti yer alır; bu bölüm soruşturmanın kuş bakışı görünümünü, ana bulguyu ve finansal etkiyi tek sayfada verir. Ardından Kapsam ve Metodoloji gelir; hangi tarihler arasında, hangi sistemlerin incelendiği, hangi analizlerin yapıldığı ve hangi mülakatların gerçekleştirildiği burada detaylandırılır. Sonra işin özü olan Bulgular ve Kanıtlar bölümü başlar; her bir usulsüz işlem, delillerle birebir eşleştirilmiş şekilde anlatılır. Sorumluluklar bölümü, dolandırıcılık eylemine dahil olan ya da görev ihmali bulunan kişileri listeler. Son olarak Ekler kısmında mülakat tutanakları, sahte belge kopyaları ve veri analiz grafikleri sunulur. İyi bir rapor, okuyan herkesin aynı sonuca varmasını sağlayacak kadar ikna edici olmalıdır.

Sürekli Denetim ve İnsan Faktörü

İç denetçinin dolandırıcılık soruşturmasındaki rolü, statik bir kontrolörlükten dinamik bir “güvenlik mimarlığına” doğru hızla evriliyor. Bu lafın gelişi değil. Araştırmalar, dolandırıcılık vakalarının yaklaşık %15’inin doğrudan iç denetim tarafından tespit edildiğini gösteriyor. Aynı oran dış denetim için sadece %4 civarında. Çünkü iç denetçi, organizasyonun DNA’sını, yani hem verilerini hem de kurum kültürünü en yakından tanıyan aktör konumunda. Dış denetçi yılda bir kez gelir, bakar ve gider. İç denetçi ise orada yaşar, süreçlerin nabzını tutar, anormallikleri çok daha erken sezer.

2025 Küresel İç Denetim Standartları’nın hayata geçmesiyle birlikte, dolandırıcılık yönetimi artık “denetimin yan konusu” olmaktan çıkıp profesyonel iç denetimin en öncelikli unsurlarından biri haline geldi. Gelecek bize ne vaat ediyor? Yapay zeka destekli sürekli denetim araçlarının yaygınlaşmasıyla, denetçiler çok yakında anomaliyi “gerçek zamanlı” olarak tespit edebilecekler. Bu, devrim niteliğinde bir sıçrama olacak. Ancak şunu da unutmamak gerek: Yapay zeka şüpheli işlemi işaret edebilir, ama o işlemin arkasındaki insanı sorgulamak, karmaşık motivasyonları anlamak ve nihayetinde mesleki yargıyı kullanarak adil bir sonuca varmak, her zaman iç denetçinin omuzlarında olacak. Teknoloji değişecek, araçlar gelişecek, ama mesleki şüphecilik, etik duruş ve insanı anlama sanatı, işte bunlar hiç eskimeyecek..