IIA - Türkiye İç Denetim Enstitüsü

Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ) –
Uygulama Rehberi
İÇ DENETİM VE
SUİİSTİMAL
ARALIK 2009
IIA
THE INSTITUTE OF INTERNAL AUDITORS
[ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ]
İÇİNDEKİLER TABLOSU
Giriş
4
Yöneticiler İçin Özet
5
Suiistimalin Tanımı
6
Suiistimal Konusunda Bilinç ve Uyanıklık
7
A. Suiistimalin Nedenleri
8
B. Suiistimal Örnekleri
9
C. Potansiyel Suiistimal Göstergeleri
11
Suiistimal Önleme/Tespitinde Tipik Roller/Sorumluluklar
12
Denetim Görevi Esnasında İç Denetçinin Sorumlulukları
16
A. Denetim Görevlerini Yerine Getirmek
16
B. İç Denetçi Şüpheciliği
17
C. Yönetim Kuruluyla Görüşmek
17
Suiistimal Riski Değerlendirmesi
A. Anlamlı Suiistimal Riski Faktörlerini Belirlemek
19
20
B. Potansiyel Suiistimal Tertiplerini Tanımlamak ve
Bunları Risk Düzeyleri Temelinde Öncelik Sırasına Göre Dizmek
20
C. Potansiyel Suiistimal Tertipleri İçin Düzenlemiş Mevcut Kontrolleri
Saptamak ve Boşlukları Belirlemek
22
D. Suiistimal Önleme ve Belirleme Kontrollerinin Çalışma Etkililiklerini
Test Etmek
E. Suiistimal Riski Değerlendirmesini Belgelemek ve Rapor Etmek
Suiistimal Önleme ve Belirleme
22
22
23
A. Suiistimal Önleme
24
B. Suiistimal Eğitimi
25
C. Suiistimal Belirleme
26
Suiistimal Soruşturma
27
A. Soruşturma Süreci
27
B. İç Denetçinin Soruşturmalardaki Rolü
28
C. Soruşturma Yapmak
28
D. Suiistimal Soruşturmalarını Raporlamak
30
E. Suiistimal Vakalarını Çözüme Kavuşturmak
31
F. Suiistimal Vakaları Hakkında Kurulan İletişimler
32
2
G. Öğrenilen Derslerin Analizi
32
Suiistimalle İlgili İç Kontroller Hakkında Bir Görüş Oluşturmak
34
Ek A – Referans Materyaller
35
Ek B – Dikkate Alınması Gereken Sorular
37
Ek C – Suiistimal Riski Değerlendirmesi Şablonu
40
3
GİRİŞ
Bu Uygulama Rehberinin amacı, iç denetçinin suiistimal konusundaki bilinç ve uyanıklığını
arttırmak ve iç denetim görevlerinde karşılaştığı suiistimal risklerinin incelenmesi konusunda
ona kılavuzluk etmektir.
Uluslararası Mesleki Uygulama Çerçevesi'nde (UMUÇ), suiistimalle ilgili olarak aşağıda
sayılan Uluslararası İç Denetim Mesleki Uygulama Standartlarına (Standartlar) değinilmekte
ve suiistimal risklerini tespit etme, önleme ve izleme ve denetimlerde ve soruşturmalarda bu
risklerle ilgilenme görevlerinde iç denetçinin oynadığı rolden bahsedilmektedir.
IIA Standardı 1200: Yeterlilik ve Azami Mesleki Özen ve Dikkat
1210.A2 - İç denetçiler suiistimal riskini ve kurumun suiistimallerde ne yapması gerektiğini
değerlendirmek için yeterli bilgiye sahip olmalıdırlar, fakat esas görevi ve asli sorumluluğu
suiistimal eylemlerini tespit etmek ve soruşturmak olan bir kişinin uzmanlığına sahip olmaları
da beklenemez.
IIA Standardı 1220: Azami Mesleki Özen ve Dikkat
1220.A1 - İç denetçiler, aşağıda sayılanları göz önünde tutarak azami mesleki özen ve dikkat
göstermelidirler:
 Görevin amaçlarına ulaşmak için gereken çalışmanın boyutu ve kapsamı;
 Güvence prosedürlerinin uygulandığı konuların nispi karmaşıklığı, gerekliliği veya
önemi;
 Yönetişim, risk yönetimi ve kontrol süreçlerinin etkililiği ve yeterliliği;
 Önemli hata, suiistimal ve uygunsuzlukların olma ihtimali ve
 Güvence sağlamanın potansiyel faydalarına kıyasla maliyeti
IIA Standardı 2060: Üst Yönetim ve Yönetim Kuruluna Raporlamalar
İç denetim yöneticisi (CAE), iç denetim faaliyetinin amacı, yetkileri, görev ve sorumlulukları
ve planlanana kıyasla performansı konularında, üst yönetime ve yönetim kuruluna dönemsel
raporlar sunmalıdır. Bu raporlar; suiistimal riskleri, yönetişim bulguları ve üst yönetim ve
yönetim kurulunun ihtiyaç duyabileceği veya talep edebileceği başka konular da dahil olmak
üzere, önemli risk maruziyetlerini ve kontrol bulgularını içermelidir.
IIA Standardı 2120: Risk Yönetimi
2120.A2 - İç denetim birimi, suiistimal gerçekleşmesi ihtimalini ve kurumun suiistimal riskini
nasıl yönettiğini değerlendirmek zorundadır.
IIA Standardı 2210: Görev Amaçları
2210.A2 - İç denetçiler, görevin amaç ve hedeflerini belirler ve geliştirirken, önemli hatalar,
suiistimal, mevzuatla uyumsuzluklar ve diğer risk maruziyetlerinin olasılıklarını dikkate
almak ve düşünmek zorundadırlar.
4
Ek olarak, suiistimalin konu edildiği UMUÇ Uygulama Önerilerini sıralayan Ek A - Referans
Materyaller bölümüne bakınız.
YÖNETİCİLER İÇİN ÖZET
Suiistimal; finansal, itibarla ilgili, psikolojik ve sosyal çeşitli sonuçlara neden olması
bakımından kurumları birçok yönden olumsuz olarak etkiler. Yapılan çeşitli araştırmalara
göre, suiistimalden kaynaklanan parasal kayıplar önemli düzeydedir. Buna rağmen zaman,
üretkenlik ve müşteri ilişkilerini de kapsayacak anlamda, suiistimal faaliyetlerinin itibar
bakımından tam maliyeti ölçülemeyecek kadar büyüktür. Kurumlar, kaybın şiddetine bağlı
olarak, suiistimal faaliyetinin finansal etkilerinden kaynaklanan onarılamaz bir zarar
görebilirler. Dolayısıyla, kurum dahilindeki suiistimal risklerini tanımlamaya yönelik bir
suiistimal riski değerlendirme sürecinin yanı sıra, bilinç ve uyanıklık, önleme ve belirleme
programlarını da içine alacak boyutta kuvvetli bir suiistimal programı bulundurmak, kurumlar
için önemli bir husustur.
Suiistimal faaliyetleri, kurum dahilinde herhangi bir seviyede bulunan bir çalışan tarafından
ya da kurum dışından biri tarafından gerçekleştirilebilirler. Birçok suiistimal eyleminin
paylaştığı üç temel karakteristik bulunmaktadır:
 Baskı veya teşvik - suiistimal eylemini gerçekleştiren kişinin bu eylemi
gerçekleştirerek karşılamaya çalıştığı ihtiyacı;
 Fırsat - suiistimal eylemini gerçekleştiren kişinin ilgili suiistimali gerçekleştirme
becerisi ve
 Rasyonalizasyon - suiistimal eylemini gerçekleştiren kişinin bu eylemi kafasında haklı
çıkarma becerisi.
Etkili bir suiistimal yönetimi programının kapsamında aşağıda sayılanlar bulunur:
 Şirket etik politikası - üst düzey yönetimin etik kurallara saygılı ve bağlı bir çalışma
ortamı yaratması (üst yönetimin mesaj ve eylemleri);
 Suiistimal konusunda bilinç ve uyanıklık - suiistimalin mahiyetini, sebeplerini ve
karakteristik niteliklerinin anlaşılması;
 Suiistimal riski değerlendirmesi - çeşitli suiistimal tiplerinden kaynaklanan risk
düzeylerinin değerlendirilmesi;
 Devam eden gözden geçirme çalışmaları - her denetimde suiistimal riskini dikkate alan
ve suiistimal riski bazında uygun prosedürleri uygulayan bir iç denetim birimi;
 Önleme ve tespit - suiistimal eylemi gerçekleştirme fırsatlarını azaltmak ve
suiistimalin belirlenmesi ve akabinde cezalandırılması ihtimalinin yüksek olmasına
vurgu yapılarak, insanları suiistimalde bulunmamaları gerektiği yönünde ikna etmek
için gösterilen çabalar ve
 Soruşturma - şüpheli bir suiistimal olayını tam olarak soruşturmak ve rapor etmek için
gereken prosedürler ve kaynaklar.
Etkili bir iç denetim faaliyeti / birimi, suiistimalle baş etmekte fazlasıyla yardımcı olabilir.
Her ne kadar suiistimalden caydırma prosedürlerinin nihai sorumluluğu yönetime ve yönetim
kuruluna ait olsa da, iç denetçiler, kurumun iç kontrollerinin yeterli olup olmadığını ve
kurumda yeterli bir kontrol ortamının teşvik edilip edilmediğini belirlemek suretiyle yönetime
yardımcı olabilirler.
5
İç denetim faaliyetleri gerçekleştirilirken suiistimali değerlendirmek için CAE’nin
izleyebileceği çeşitli yaklaşımlar bulunmaktadır:
 Suiistimale karşı gerçekleştirilen yönetim kontrollerini denetlemek. Şirket politikaları,
bilinç ve uyanıklık uygulamaları, üst yönetimin mesaj ve eylemleri, yönetim kurulu ve
üst düzey yönetimin yönetişimi (kontrol ortamı) ve ayrıca, risk değerlendirmesi,
suiistimal riskini kurumsal tolerans seviyeleri içinde tutmak için belirlenmiş koruyucu
kontrollerin yeterliliğinin değerlendirilmesi, beklenmedik olay yönetimi,
soruşturmalar ve kurtarma uygulamaları gibi ilgili uygulamalar bunun kapsamına
girer. İç denetim birimi, diğer kurumsal risklere kıyasla suiistimal riskinin ne düzeyde
olduğuna bağlı olarak, suiistimal-bağlantılı faaliyetlere karşı kaynak ayırmalıdır.
 Kurum dahilinde ve dış iş ilişkileri kapsamında suiistimal göstergelerini bulmak
amacıyla yüksek-riskli süreçleri test etmek suretiyle suiistimal ihtimalini denetlemek.
Örneğin, maaş bordrolarını inceleyerek hayalet personel bulunup bulunmadığını tespit
etmek, fahiş fiyatlandırma gösterilip gösterilmediğini anlamak için satıcı faturalarını
incelemek, fiktif satıcıların bulunup bulunmadığını belirlemek için satıcı adresleri ile
personel adreslerini eşleştirmek ya da mükerrer işlenmiş bir ticari işlem bulunup
bulunmadığını tespit etmek için veritabanlarını gözden geçirmek buna dahildir.
 Suiistimali her denetimin bir parçası olarak dikkate almak. Örneğin, suiistimal riski
hakkında beyin fırtınası yapmak, suiistimal kontrollerini değerlendirmek, suiistimal
riskini dikkate alan prosedürler tasarlamak ya da yapılan hataları suiistimal göstergesi
olup olmadığı amacıyla değerlendirmek buna dahildir. Elde edilen kümülatif sonuçlar;
yönetimin izlediği bilinç ve uyanıklık programları ve risk yönetimi programlarının
kurum çapında etkili ve verimli biçimde uygulanıp uygulanmadıklarına dair bir
perspektif oluşturabilir.
 Riskleri tanımlayıp değerlendirmekte ve süreç gözden geçirme çalışmaları, yeni iş
girişimleri veya BT uygulamalarına ilişkin kontrol ortamının yeterliliğini belirlemekte
yönetime yardımcı olacak danışmanlık görevlendirmeleri. Suiistimal riskini
değerlendirmek, bu risklerin hafifletilmesi amacına yönelik kontrollerin mevcut ve
işler durumda olmasını sağlamak ve sonuçları izlemekten kimin sorumlu olduğunu
belirlemek de, CAE’nin yönetim özdeğerlendirme işlevini kolaylaştırmak amacına
yönelik çalışmalarının örnekleridir.
Bu dokümanda, suiistimal tartışılmakta ve mesleki Standartlara uymaları konusunda iç
denetçilere yardımcı olacak genel kılavuzluk bilgileri sunulmaktadır. Suiistimali tespit etmek
ve kontrol altında tutmak hakkında daha fazla bilgiye erişmek için Ek A - Referans
Materyaller bölümüne bakınız.
SUİİSTİMALİN TANIMI
Suiistimal kavramı; kasten hileye başvurmak veya kasıtlı olarak gerçeğe aykırı beyan vermek
olarak nitelendirilen geniş çaplı bir mevzuata aykırılık ve hukuk dışı fiil yelpazesini kapsar.
Uluslararası İç Denetçiler Enstitüsü'ne (IIA) ait UMUÇ'ta, suiistimal:
"Hile, sahtekârlık, güveni kötüye kullanma ile nitelendirilebilecek hukuk dışı fiillerdir.
Bu fiiller, sadece şiddet tehdidi veya fiziki güç kullanımının gerçekleştirilmesine bağlı
değildir. Suiistimaller para, mal veya hizmet sağlamak, hizmet kaybından veya ödeme
6
yapmaktan kaçınmak veya şahsıyla veya işle ilgili bir avantaj elde etmek amaçlarıyla
çeşitli şahıslar ve kurumlar tarafından gerçekleştirilebilir."
olarak tanımlanmaktadır.
Diğer bir suiistimal tanımı; IIA, Amerikan Yeminli Mali Müşavirler Enstitüsü ve Sertifikalı
Suiistimal Araştırmacıları Derneği'nin finanse ettikleri "Suiistimal Kaynaklı iş Riskini
Yönetmek: Bir Uygulama Rehberi" (Managing the Business Risk of Fraud: A Practical guide)
başlıklı rehber yayınından alınmıştır:
"Suiistimal, kurbanın bir kayıp yaşamasına ve/veya suçlu failin bir kazanç sağlamasına
neden olan, başkalarını kandırmak üzere tasarlanmış herhangi bir kasıtlı fiil veya
ihmaldir."
Suiistimal fiilleri, kasıtlı hile veya kasıtlı olarak gerçeğe aykırı beyanat olarak nitelendirilirler.
Bu uygulama rehberinde, genelde yolsuzluk olarak bilinen ve/veya hukuken böyle
tanımlanabilecek olan belirli eylem ve fiillere de "suiistimal" terimiyle atıf yapılmaktadır.
SUİİSTİMAL KONUSUNDA BİLİNÇ VE UYANIKLIK
Suiistimallerin artması ve yaygınlaşması, yasal düzenleyici ortamın genişlemesi ve iç ve dış
denetçilerden ve yönetim kurullarından gelen isabetli sorular, şirketlerin suiistimalle
mücadelelerinde dikkat ve uyanıklıklarını arttırmalarını sağlamıştır. Buna rağmen,
farkındalığın artmış olduğu bu gibi bir kültürde dahi bir kurum suiistimal kurbanı olabilir ve
yine de bu gerçeğin farkına varamayabilir. Suiistimal tertipleri, genellikle, tespit edilmeksizin
aylarca ve hatta yıllarca sürdürülen suçları teşkil etmektedirler ve bu özellikleri yüzünden,
suiistimal kaynaklı kayıpları ölçmeyi oldukça zorlaştırırlar. Birçok suiistimal tertibi halka
açıklanmamış ve hatta tespit edilmemiştir; bu sebeple, suiistimal kaynaklı kayıpları ölçmek
oldukça zordur. Günümüzde bilinen ve doğrulanmış suiistimal-kaynaklı kayıplar, suiistimalin
neden olduğu toplam maliyetin yüksek olduğunu göstermektedir. Ancak zaman, üretkenlik,
itibar ve müşteri ilişkileri açısından yol açtığı zararlar düşünüldüğünde, suiistimalin gerçek
maliyeti sadece para kaybından çok daha fazlasına denk gelmektedir.
Verilen gücün kişisel kazanç sağlamak amacıyla kötüye kullanımı olarak ifade edilebilecek
yolsuzluk ve suiistimal, sayısız kurumu olumsuz yönde etkilemiştir. Kurum yönetişimi ve
bağlantılı cezaların ve para cezalarının oluşturduğu yüksek maliyet, kurumsal suiistimal
fiillerinin direk etkisidir. Gerçekleştirdikleri global operasyonlar kanunlara aykırı olan şirket
yöneticileri pek çok hukuk ve ceza davalarına taraf olmuşlar ve en uç hallerde, hapis
cezalarıyla karşılaşmışlardır.
Suiistimal fiilleri, finansal, itibarla ilgili, psikolojik ve sosyal olmak üzere, kurumları birçok
farklı yönden olumsuz etkilemiştir. Kurumlar, finansal zararlardan ve itibar zedelenmesinden
dolayı operasyonlarını durdurmaya zorlanmışlardır; suiistimalin psikolojik ve sosyal etkileri,
özellikle kurumun personeli için yıkıcı olmuştur. Suiistimal kurbanları, finansal kayıplarının
yanı sıra, zihinsel ve duygusal zarardan ve strese-bağlı fiziksel etkilerden muzdariptirler.
Kurbanlar, yalnızca paraları değil, aynı zamanda güvenlikleri, özsaygıları ve haysiyetleri de
çalınmış gibi hissederler. Sonuç olarak kısaca söylemek gerekirse, suiistimal fiilleri ve
ihtimallerinin kontrol edilmemesi her kurum için zarar verici etkiler doğurur.
7
Suiistimal fiilleri; küçük personel hırsızlığı ve verimsiz davranıştan, varlıkların zimmete
geçirilmesi, hileli finansal raporlama veya yatırımcıları dolandırmak için kullanılan saadet
zincirlerine (Ponzi dalaveresi) kadar değişebilir. Ancak suiistimal riski; önleme, tespit etme ve
caydırma önlemlerinden oluşan bir kombinasyon aracılığıyla düşürülebilir. Temel iç
kontrollerin yanı sıra etkili bir denetim ve gözetim ortamı oluşturularak birçok suiistimal
tertibinden kaçınılabilir. Ne yazık ki, suiistimal fiillerini tespit etmek güç olabilir, zira bir
suiistimal fiili genellikle evrakta tahrifat yapılarak veya yönetim üyeleri, personel veya
üçüncü şahıslar arasında yapılan gizli anlaşmalar yoluyla gizlenir.
A. Suiistimalin Nedenleri
Birçok suiistimal fiili küçük çaplı başlar ve tertip fark edilmediği müddetçe giderek büyür.
Örneğin, suçlular, ilk hırsızlık edimlerini genellikle eksikliği farkedilmeden kapatılacak geçici
borçlanmalar olarak görürler. Borçlanmalar giderek artar ve suçlular savunamayacakları bir
pozisyonda kalırlar veya fiillerinin gizli kalması için bir tertip düzenler ve açığa çıkmaktan
sakınmaya çalışırlar. Neyse ki, suiistimal fiilinin çapı büyümeye devam ettikçe bir iş arkadaşı,
yönetim ya da bir iç veya dış denetçi tarafından tespit edilme şansı da artacaktır.
Suçlular, kendi kazançları için öncelikle iç kontrollerin yetersiz kaldığı noktalardan istifade
ederler ve böylece kuruma büyük bir zarar verirler. Tipik dolandırıcı profili, kurumda birkaç
yıldır çalışmakta olan orta yaşlı bir erkektir. Genellikle finans departmanında çalışan bir
kişidir ve ilgili suç fiilini, tamamen kendi isteklerine bağlı olarak, para ve fırsatçılık arzusuyla
gerçekleştirir. Yapılan birçok çalışma, birçok suiistimal fiilinin yönetim kademelerindeki
kişiler tarafından gerçekleştirildiğini göstermektedir. Yöneticilerin genellikle gizli bilgi ve
verilere erişim imkanları vardır ve bu erişimleri sayesinde iç kontrolleri atlatarak düşük
kademe personele göre kuruma çok daha büyük çaplı zarar verirler. Suiistimal fiilini
gerçekleştiren kişiler, genellikle evlerinin reisi imajı çizen, güven duyulan, sosyal örgütlere
üyeliği bulunan, kişisel ihtiyaçlarını karşılamak için harekete geçen ve eylemlerini rasyonalize
etme kabiliyetine sahip olan eğitimli şahıslardır.
Her suiistimal tertibine özgü münferit koşul ve hallerin önemi göz ardı edilmeksizin işaret
edilebilecek üç ortak suiistimal karakteristiği bulunmaktadır:
 Baskı veya teşvik, bir kişinin suiistimal suçu işleyerek gidermeye çalıştığı bir
ihtiyacını temsil eder. Baskı, genellikle önemli bir finansal ihtiyaç veya problemden
kaynaklanır. Birisinin işini elinde tutma ihtiyacı veya bir ikramiye kazanma ihtiyacı da
bunun kapsamına girebilir. Halka açık şirketlerde, analistlerin tahminlerinin
karşılanması ve hatta geçilmesi yönünde bir baskı atmosferi oluşabilir. Örneğin, belirli
performans hedeflerinin yerine getirilmesi şartıyla, büyük bir ikramiye veya başka bir
finansal hediye kazanılabilir. Suiistimal faili, dengi gördüğü kişilerle rekabetini
sürdürebilmek için kurumdaki pozisyonunu yitirmemesi ve belirli bir hayat standardını
koruması gerektiği güdüsüyle yaşar.
 Fırsatçılık, suiistimal edimini gerçekleştirme ve yakalanmama kabiliyetidir. Suiistimal
failleri yaptıklarından ötürü yakalanmak istemedikleri için, eylemlerinin tespit
edilmeyeceğine inanmaları gerekir. İç kontrollerin zayıf olması, kötü bir yönetim
sergilenmesi, yönetim kurulu gözetiminin yetersizliği ve/veya kontrolleri aşmak için
birisinin pozisyonu ve yetkisinden istifade edilebilecek olması fırsat yaratabilir.
Suiistimal faaliyetlerini tespit etmek için düzenlenen prosedürlerin yetersiz oluşu da
suiistimal fırsatlarını arttırır. Tipik suiistimal eylemlerinin tespiti için uygun bir süreç
8
tasarlanabilir; ancak bu tip tipik kontrollerin yetersiz kalabileceği ortamı yaratan bir
fırsat penceresi de her zaman oluşabilir. Yetkili pozisyonda bulunan kişiler, mevcut
kontrolleri aşmak için fırsatları kendileri yaratabilirler, çünkü astları olan kişiler veya
zayıf nitelikte kontroller, yetkili kişilerin mevcut kontrolleri etkisiz hale getirmelerine
genellikle olanak verir.
o Fırsatlar, genellikle, suiistimal faili, denetçinin neyi ne zaman yapacağını ve
hangi prosedürleri kullanacağını bildiği için açığa çıkar. Örneğin, suiistimal
faili, denetçinin her zaman sadece Aralık ayında ve büyük ticari işlemleri
incelediğini biliyorsa, diğer aylarda daha küçük çaplı işlemlerde suiistimal
gerçekleştirebilir.
 Birçok suiistimal fiili açısından çok önemli bir unsur olan rasyonalizasyon, bir kişinin
işlediği bir suiistimal suçunu haklı çıkarma ve meşru kılma kabiliyetidir.
Rasyonalizasyon, bir kişinin kendi davranışını (örneğin, çalma) genel kabul gören
ahlak ve güven gibi kavramlarla bağdaştırması anlamında değerlendirilebilir. Örneğin,
suiistimal faili, bir bütün olarak kurum veya toplumun iyiliği ve bekasından ziyade
öncelikli olarak kendisini düşünür (bencillik). Bir aile üyesinin veya sevilen bir kişinin
yüksek hastane masraflarını karşılamak için gerçekleştirilen bir suiistimal edimi,
failinin gözünde bu özelliği sayesinde meşru kılınmış olur. Başka hallerde, fail,
hırsızlık edimini basitçe “borç alma” olarak görür ve çaldığı parayı gelecekte bir gün
yerine koymayı hedefler. Bazı kişiler, fiilen bağlı bulundukları kurumca kabul
edilemez bir davranış olarak tanımlanan, ancak kendi kültürlerinde olağan görülen
veya eski personelden kabul görmüş olan fiillerde bulunabilirler. Bu durumda, bu
yöndeki kuralların kendileri için geçerli olmadığı savı üzerinden hareketlerini
rasyonalize ederler.
o Yönetim; örneğin, adil çalışma ortamı oluşturmak, adil ödemeler yapmak,
çalışanlara karşı eşit ve tutarlı davranmak ve mesaj ve eylemlerini tutarlı bir
çerçevede sürdürmek (çalışanlardan beklenen davranışların yönetimce
modellenmesi) gibi eylemler sayesinde rasyonalizasyon şansını azaltabilir.
Etkili ve sürdürülebilir bir suiistimal risk yönetimi sistemi kurmak ve uygulamak için aşılması
gereken ilk basamaklar, bir suiistimal edimine yol açan motivasyonların içyüzünü anlamak ve
her kurumda meydana gelen tehditleri tanımaktır. Yukarıda sayılan üç unsur arasından
“fırsat”, kurumun en çok nüfuz edebileceği alanı teşkil etmektedir. Kurumların, çalışanları
suiistimal suçunu işlemelerine yol açacak bir duruma girmekten kaçındıran ve fiili suiistimal
faaliyetlerini tespit eden prosedürlere ve iç kontrollere ihtiyaçları vardır.
Her ne kadar iç denetçiler, suiistimale neden olan sebebin veya rasyonalizasyon şeklinin ne
olduğunu bilemeyebilecek olsalar da, suiistimal fırsatlarını belirlemeleri gereklidir. İç
denetçiler, ayrıca, suiistimal tertiplerini ve senaryolarını anlamalı ve suiistimale işaret eden
belirtilere karşı uyanık olmalı ve suiistimali önlemeyi bilmelilerdir.
B. Suiistimal Örnekleri
Suiistimal fiili, sonucunda failin kendisine, kuruma veya başka bir kişiye kanuna aykırı bir
fayda sağlayacağını bilen, kurumun içindeki veya dışındaki kişilerce gerçekleştirilebilir.
Yaygın görülen bazı suiistimal tertibi örnekleri şunlardır:
9
 Paraları zimmetine geçirme, kurumdan para veya eşya (günlük kullanım malzemeleri,
envanter, ekipman ve bilgi) çalınmasını kapsar. Birçok durumda, fail, genellikle
kayıtları değiştirerek hırsızlığı gizlemeye çalışır.
 Kaymağını alma (skimming), kurum adına alınan bir parayı defter ve kayıtlara
geçirmeden kendi zimmetine geçirme eylemidir. Örneğin, bir çalışanın müşteriden
gelen bir ödemeyi kabul etmesi, ancak satışı kaydetmemesi bir kaymağını almadır.
 Bir kişi, kurumun hayali mallar veya hizmetler, şişirilmiş faturalar veya kişisel
harcamalara yönelik faturalar için ödemeler yapmasına neden oluyorsa, ortada bir
ödeme suiistimali (hileli ödeme) bulunuyordur. Örneğin, bir personel bir paravan
şirket kurabilir ve aslında hiç mevcut olmayan hizmetler karşılığında işverenine fatura
çıkartabilir. Diğer örnekler arasında, sağlık hizmetleri için hileli geri ödeme talepleri
(gerçekleştirilmemiş hizmetler için faturalandırma, toplu faturalandırma yerine tek tek
faturalandırma), aslında fiilen çalışmaya devam etmekte olan insanların işsizlik
sigortasına başvurarak ücret talep etmesi ya da ölmüş insanların emekli maaşını
almaya veya sosyal güvenlik haklarından istifade etmeye devam etmek sayılabilir.
 Bir çalışan, hayali veya şişirilmiş harcamaları için kurumdan para alıyorsa, ortada bir
masraf suiistimali bulunuyor demektir. Örneğin, bir çalışan, sahte ve hileli bir harcama
raporu göndererek, işle ilgili olmayan kişisel seyahatleri, hiç yemediği yemekler, hiç
kat etmediği yol, vb. için kurumdan geri ödeme talep edebilir.
 Fail, maaşına ilişkin gerçeğe aykırı iddialarda bulunarak kurumun kendisine fazladan
ödeme yapmasını sağlıyorsa, ortada bir bordro suiistimali bulunuyor demektir.
Örneğin, bir personel gerçekte çalışmamış olduğu saatler için fazla mesai ücreti
talebinde bulunabilir veya maaş bordrosuna hayalet çalışanlar ekleyerek onların maaş
çeklerini de kendisi için alabilir.
 Mali bilanço suiistimalinde, genellikle varlıkları veya gelirleri büyüterek ya da borçları
veya harcamaları küçülterek gerçeğe aykırı mali bilançolar hazırlanır. Mali bilanço
suiistimali, normalde, kurumun ekonomik görüntüsünü iyileştirmenin yollarını arayan
kurum yöneticilerince gerçekleştirilir. Yönetim kademelerindeki insanlar, şirketin
hisse senetlerini satarak, performans ikramiyeleri alarak veya başka bir suiistimal
suçunu gizlemek için gerçeğe aykırı raporlar kullanarak bu suiistimalden doğrudan
istifade edebilirler.
 Bilgilerin yanlış ve gerçeğe aykırı beyan edilmesi eyleminde, genellikle kurum dışı
olmak üzere yanlış bilgiler sunulur. Bu suiistimal tipi, büyük çoğunlukla hileli mali
bilançoları kapsar, ancak performans ölçütleri olarak yanlış bilgilerin kullanılması da
bu kapsama giren ve karşılaşılan bir suiistimal şeklidir.
 Yolsuzluk, bir kişinin kendisine verilen gücü kişisel kazanç sağlamak amacıyla kötüye
kullanmasıdır. Yolsuzluk, rüşvet fiilini ve gücün diğer usulsüz kullanım şekillerini de
içerir. Yolsuzluk, genelde kayıt-dışı bir suiistimal şeklidir; yani suçun işlendiğini
ispatlayan çok az sayıda mali bilanço kanıtı bulunduğu anlamına gelir. Yolsuzluğa
bulaşmış çalışanların suçlarını örtmek için mali bilançoları hileyle değiştirmelerine
gerek yoktur; el altından nakit ödeme almaları yeterlidir. Birçok vakada, bu suçlar,
genellikle bir suiistimal yardım hattı vasıtasıyla, üçüncü şahıslardan alınan ipuçları
veya şikayetler sayesinde açığa çıkarılır. Yolsuzluk, genellikle satınalma
10
departmanlarında görülür. Kurumun parasını harcama yetkisi verilmiş herhangi bir
çalışan, yolsuzluk için olası adaylardan biridir.
 Rüşvet, sonucu etkilemek üzere değerli herhangi bir şey teklif etmek, vermek, almak
veya talep etmektir. Rüşvet, satıcılarla iş yapma konusunda takdir yetkisine sahip olan
satınalma temsilcileri gibi kilit personel veya yöneticilere teklif edilebilir. Tipik
vakalarda, satınalma temsilcisi, malların veya hizmetlerin alımı konusunda bir dış
satıcı lehinde karar vermesi için rüşvet almayı kabul eder. Rüşvet teklif etme veya
almanın diğer yüzü ise, değerli bir şeyi, işin karşılığı olarak talep etmek, yani
ekonomik dolandırıcılıktır. Diğer bir örnek, bir krediyi onaylamak karşılığında rüşvet
talep eden, yolsuzluğa karışmış bir kredi memurudur. Rüşvet veren kesimler,
genellikle ya görevli satış elemanlarıdır ya da dış satıcılar için aracılık eden
şahıslardır.
 Kurumun bir çalışanı, müdürü ya da yöneticisi kuruma ait bir ticari işlemden kurumun
veya hissedarlarının çıkarlarını olumsuz yönde etkileyen beyan edilmemiş bir kişisel
ekonomik çıkar elde ediyorsa, bir çıkar çatışması oluşur.
 Bir saptırma edimi, normalde kurum için kâr sağlayabilecek potansiyel olarak kârlı bir
ticari işlemi bir çalışana veya üçüncü şahsa yönlendirme fiilidir.
 Gizli veya özel bilgilerin bir kimsenin yararına yetkisiz veya yasadışı kullanılması
veya çalınması.
 İlişkili-taraf işlemleri, bir tarafın normalde piyasa koşullarına uygun bir işlemde elde
edemeyeceği birtakım faydaları yakın ilişkileri sayesinde elde etmesi durumudur.
 Vergi kaçırma, yükümlüsü olunan vergileri azaltmak amacıyla vergi beyannamesinde
kasıtlı olarak yanlış bilgiler rapor edilmesidir.
C. Potansiyel Suiistimal Göstergeleri
Suiistimal failleri, genellikle, ikaz belirtileri veya tehlike işaretleri olarak görülebilecek belirli
davranışlar veya karakteristik davranışlar sergilerler. Örneğin, bazı failler, alışılmadık rahatsız
davranışlarda bulunur, bazıları aniden ölçüsüzce harcama yapmaya başlar ve bazıları
yaptıkları hakkında giderek daha ketum olmaya başlarlar. Ancak bu belirtilerin mevcut
olması, tek başına, bir suiistimal gerçekleştiğini ya da gelecekte gerçekleşeceğini göstermez.
Tehlike işaretleri; zaman, sıklık, mekân, tutar veya kişilikle ilgili olabilir. Tehlike işaretleri
arasında, yapılan kontrollerin yönetim veya üst düzey yöneticilerce etkisiz hale getirilmesi;
usulsüz veya iyi beyan edilmemiş yönetim faaliyetleri; iş ve/veya rekabet koşullarının
değiştirilmesinden bağımsız olarak hedeflerin/amaçların sürekli olarak aşılması; rutin
olmayan işlem ve kayıtların fazla olması; istenen bilgilerin gönderilmesinde problemler veya
gecikmeler ve müşterilerde veya tedarikçilerde önemli veya olağandışı değişiklikler
sayılabilir. Tehlike işaretleri arasında, aynı zamanda, belgeleri eksik olan veya olağan onay
akışına tabi olmamış işlemler, personele veya yönetime elden verilen çekler, teslimat
hakkında müşteri şikayetleri ve zayıf şifre kontrolleri gibi zayıf BT erişim kontrolleri
sayılabilir.
11
Kişisel tehlike işaretleri arasında, imkânlarının ötesinde bir hayat sürmek; iş arkadaşlarına
işinden tatmin olmadığını iletmek; tedarikçilerle olağandışı düzeyde yakın ilişkiler kurmak;
büyük kişisel finansal kayıplar; uyuşturucu, alkol veya kumar bağımlılığı; kişisel şartlarda
değişim ve şirket-dışı iş ilişkilerini ve çıkarlarını geliştirmek sayılabilir. Ayrıca, zayıf
performans gösteren, sistemi alt etmeyi entelektüel bir mücadele olarak gören, güvenilmez
iletiler ve raporlar gönderen ve tatile nadiren çıkan veya hastalık izinlerini nadiren kullanan
(yokluğunda onun işlerini yapacak bir kimse yokken) ve bu davranışlarını sürekli ve tutarlı
olarak rasyonalize eden suiistimal failleri de vardır.
Bu tehlike işaretleri, genellikle görevi suiistimal göstergeleridir ve bir kurumun yönetimi ve iç
denetçileri, suiistimal davranışlarının potansiyel ikaz belirtilerini anlayacak ve saptayacak
şekilde eğitilmelidirler. Bunların hiçbiri bir çalışanın gerçekten bir suiistimal suçu işlediği
anlamına gelmese de, bu faktörlerin bir kombinasyonu, soruşturma açılması ve denetimin bu
yöndeki dikkatinin arttırılması gerektiğini göstermektedir.
Yönetim ve iç denetçilerle gerçekleştirilen periyodik değerlendirmeler, personel eğitimleri ve
yönetim ve çalışanlar arasında sık kurulan iletişimler sayesinde, suiistimal tertiplerine karşı
bilinç ve uyanıklık geliştirilir.
SUİİSTİMAL ÖNLEME / TESPİTİNDE
TİPİK ROLLER / SORUMLULUKLAR
Suiistimali etkin biçimde önlemek veya suiistimalden caydırmak konusunda gözetim
fonksiyonunun önemli bir işlevi vardır. Gözetimin birçok formu olabilir ve yönetim
kurulunun genel gözetimi altında kurum içi ve dışı birçok birim tarafından gerçekleştirilebilir.
Yönetim Kurulu
Etkili bir kurumsal suiistimal yönetişiminden yönetim kurulu sorumludur. Yönetim kurulunun
oynadığı rol, suiistimal risklerini idare etmek amacıyla yönetimin faaliyetlerini gözetimden
geçirmek ve izlemektir. Yönetim kurulu, spesifik olarak, yönetimin suiistimal riskleri için
belirlediği tanımlamaları, suiistimal karşıtı tedbirlerin uygulamasını ve üst yönetimin mesaj ve
eylemlerini değerlendirir. Yönetim kurulu kurumun en üst karar mercii olduğu için, kurum
dahilindeki suiistimal riski yönetimi için verilecek mesajları ve yapılacak faaliyetleri
ayarlamak sorumluluğu da kendisine aittir. Yönetim kurulu, etik davranışları teşvik eden
politikaları uygulamaya koyabilir; bu tip politikalar kapsamında, örneğin, personel, müşteriler
ve dış iş ilişkisi (EBR) ortaklarının politikanın ihlal edildiği vakaları rapor etmelerini teşvik
eden süreçler düzenlenir. Yönetim kurulu, kurum yönetiminden üst düzey yönetici
konumunda birini suiistimal riski yönetimini koordine etmekten ve yönetim kuruluna bu
konuda rapor vermekten sorumlu kişi olarak atamak suretiyle kurumun suiistimal riski
yönetiminin etkililiğini izleyebilir. Yönetim kurulunun kurum genelinde uygun atmosferi
yaratması için düzgün ve uygun bir yönetişim göstermesi gereklidir. Yönetim kurulunun sahip
olduğu bilgiler, toplantılarının gündemi ve kurum yönetimine ve dış danışmanlarına erişim
imkanları bulunan ve aday gösterme/yönetişim, ücret, denetim ve benzeri diğer yönetim
kurulu komitelerinin sorumluluklarını bağımsız olarak yürüten yönetim kurulu bağımsız
üyeleri de dahil, yönetim kurulu aracılığıyla yönetişimin tüm unsurları bunun kapsamına
girer.
12
Denetim Komitesi
Yönetim kuruluna bağlı bir denetim komitesi, yatırımcıların ve diğer paydaşların bağımsız
gözleri ve kulaklarıdır. Komitenin oynadığı rol, kurum yönetiminin suiistimal riskleri
tanımlamalarını ve suiistimal karşıtı tedbirlerin uygulamasını değerlendirmek ve kurum
genelinde, suiistimalin hiçbir çeşidinin kabul edilmeyeceği bir atmosfer oluşturmaktır.
Denetim komitesi, kurumun mali tabloları hakkında rapor hazırlamaları ve iç kontrol
hakkında tavsiyelerde bulunmaları için dış denetçilerle çalışır. Dış denetçiler, yönetime değil,
denetim komitesine rapor verirler.
İç denetim faaliyetlerinin gözetiminden genellikle denetim komitesi sorumludur. IIA
Standardı 2060: “Üst Yönetim ve Yönetim Kuruluna Raporlamalar” maddesinde, “CAE, iç
denetim faaliyetinin amacı, yetkileri, görev ve sorumlulukları ve planlana kıyasla performansı
konularında, üst yönetime ve yönetim kuruluna dönemsel raporlar sunmalıdır. Bu raporlar;
suiistimal riskleri, kurumsal yönetişim bulguları ve üst yönetim ve yönetim kurulunun ihtiyaç
duyabileceği veya talep edebileceği başka konular da dahil olmak üzere, önemli risk
maruziyetlerini ve kontrol bulgularını içermelidir.” ifadesi yer almaktadır.
Denetim komitesi, yönetim katındaki suiistimalleri önlemek veya tespit etmek için
gerçekleştirilen kontrolleri gözetimden geçirmekten sorumludur. Denetim komitesi, oynadığı
bu rol kapsamında, üst düzey yönetimin sunduğu finansal raporları uygunlukları açısından
gözetimden geçirmekten ve üst düzey yönetimin kontrolleri aşmasını veya raporlama sürecine
etki edebilecek diğer herhangi bir usulsüzlükte bulunmasını önlemekten sorumludur.
Yönetim
Yönetim, normalde süreçleri ve iç kontrolleri uygulayarak ve izleyerek çalışanların
faaliyetlerini gözetimden geçirmekten sorumludur. Yönetim, ayrıca, kurumun hileli
faaliyetlere karşı hassasiyetini de değerlendirir. Her kurumda suiistimal eylemleri görülebilir,
ancak risk değerlendirmesinde ele alınan suiistimalin derecesi ve detayı, kurumun boyutuna
ve kompleksliği ile orantılı değişebilir.
Yönetim, makul bir maliyeti bulunan etkili bir iç kontrol sistemi kurmaktan ve bu sistemi
sürdürmekten sorumludur. Ayrıca, etkili suiistimal soruşturmaları için ve soruşturmalardan,
raporlardan ve görüşmelerden alınan sonuçların idaresi için politikalar ve prosedürler
geliştirilmesi de dahil, soruşturma sürecine ilişkin kontrollerin geliştirilmesinde, yönetimin
soruşturma otoriteleriyle ve avukatlarla yaptığı görüşmelerin oynadığı rol önemlidir.
Avukatlar
Şirket avukatlarının rolleri ve sorumlulukları, genellikle her ülkenin kanunlarına göre ayrı
olarak düzenlenecektir. Bir avukat genellikle kurumun en üst menfaatlerini koruyacak şekilde
hareket eder ve ayrıca, müşteri gizliliğini korumakla yükümlüdür. Bir suiistimalin fark
edilmesi, bu iki etik görevi potansiyel bir çatışmaya sokabilir. Bir avukat, suiistimal
faaliyetlerinde bulunmaya niyetlenen kişi veya birimler tespit ettiğinde, ilgili kişi veya birimin
bunu tekrar düşünmesi yönünde baskı yapabilir, ilgili kişi veya birimlerin ayrı hukuki görüş
almalarını tavsiye edebilir veya konuyu kurum dahilindeki daha üst bir yetkiliye götürebilir.
Şirket avukatı, potansiyel veya devam etmekte olan bir suiistimalden haberdar olduğunda,
özellikle de failin avukatın hizmet ve görüşlerini suiistimali derinleştirmek ve sürdürmek için
kullandığı hallerde, istifa etmeye karar verebilir. Avukat istifa ederse, baş hukuk müşaviri
13
veya dışarıdan hizmet veren bir avukat, görevi suiistimal eden kurum üyelerinin 1)
gerçekleştirmeye niyetlendikleri veya gerçekleştirdikleri davranışın yasadışılığını, 2) bu
davranışın sonuçlarını ve 3) avukatın bu davranışı engelleme girişimini bildirmek için
yapılması gerekenleri belgeleyebilir.
İç Denetçiler
İç denetçiler, uygun testlerin yapıldığı denetim planlarına dayanarak, bağlı bulundukları
kurumların karşılaştıkları riskleri değerlendirirler. İç denetçiler, bir kurum dahilindeki
suiistimal belirtilerine ve olasılıklarına karşı uyanık olmalıdır. Dış denetçiler mali tablolardaki
önemli yanıltıcı beyanlara odaklanırken, iç denetçiler suiistimal belirtilerini tespit etmek için
genellikle daha iyi bir konumda bulunurlar. İç denetçiler kurumda genellikle sürekli
bulunmaktadırlar ve bu sayede kurumu ve onun kontrol sistemlerini daha iyi anlayabilirler.
Spesifik olarak, iç denetçiler, iç kontrollerin yeterliliğini ve etkililiğini inceleyip
değerlendirerek suiistimalden caydırma konusunda yardımcı olabilirler. Ayrıca, kurumun
kuvvetli ve zayıf olduğu alanlar hakkındaki bilgi birikimini geliştirerek ve bu hususta
uzmanlıklarını kullanarak, suiistimale karşı etkili önleyici tedbirleri belirlemesi için yönetime
yardımcı olabilirler.
Bir kurumun iç denetim birimine verdiği önem, kurumun etkili iç kontrol ve suiistimal riski
yönetimi taahhüdünün yerine getirilip getirilmeyeceğine dair bir göstergedir. İç denetçinin
suiistimal riski yönetiminde oynadığı roller arasında, şüpheli suiistimal fiilinin ilk veya tam
soruşturması, kök sebep analizi ve kontrolü iyileştirmeye yönelik tavsiyeler, raporlama /
muhbir hattını izlemek ve etik değerler eğitimi verilen oturumlar düzenlemek sayılabilir. İç
denetim birimi, bu gibi görevlere atandığı taktirde, suiistimal tertibi çeşitleri, soruşturma
teknikleri ve ilgili yasalar hakkındaki bilgi birikimi de dahil, yeterli becerileri ve yetkinlikleri
elde etme sorumluluğunu yüklenmiş olur.
İç denetçiler, kurumun varlıklarını zimmete geçirmeye ve gerçeğe aykırı bilgiler beyan
etmeye yönelik tarama yapmak için proaktif (önceden önlem alarak) denetim
gerçekleştirebilirler. Belirli suiistimal tiplerini tespit etmek üzere veri madenciliği de dahil
bilgisayar-destekli denetim tekniklerinin kullanılması bunun kapsamına girer. İç denetçiler,
aynı zamanda, olağandışı kalemleri bulmak için analitik ve başka prosedürlerden
faydalanabilir ve potansiyel suiistimalleri belirlemek için yüksek-riskli hesaplara ve işlemlere
yönelik ayrıntılı analizler gerçekleştirebilirler.
Konu hakkında yeterli bilgiye ulaşıldığı uygun bir zamanda, CAE, sürmekte olan ve
tamamlanmış özel soruşturmalar hakkında üst düzey yönetimi ve denetim komitesini
bilgilendirmelidir.
Dış Denetçiler
Mali tablolarda önemli yanıltıcı beyanlar bulunup bulunmadığı ve eğer bulunuyorsa, bunun
nedeninin bir hata mı yoksa suiistimal mi olduğu konusunda makul bir güvence elde edecek
şekilde kurumun mali tablolarının denetimini planlamak ve gerçekleştirmek ve mesleki
standartlara uymak kurumun dış denetçilerinin sorumluluklarıdır. Dış denetçinin bir suiistimal
ihtimaline ilişkin bir kanıt elde etmesi durumunda, dış denetçinin bağlı bulunduğu mesleki
standartlar, normalde, konunun uygun bir yönetim kademesinin dikkatine sunulmasını
gerektirir. Dış denetçi, üst düzey yönetimin de karıştığı suiistimal faaliyetlerini, normalde,
14
doğrudan doğruya yönetişimle görevlendirilmiş birimlere (örneğin, denetim komitesi) rapor
eder.
Kayıp Önleme Müdürü
Kayıp önleme (LP) müdürü (ya da şirket emniyet grubu); ticari başarısızlığa neden olabilecek
suçlar, afetler, kazalar ve israflar gibi iş riski alanlarıyla ilgilenir. LP müdürü, kurumun
emniyet uzmanı olarak, diğer risk ve bölüm müdürleri arasında risk hakkında kurulan
iletişimleri yönetmek için avantajlı bir konumdadır. LP müdürü, şirket dahilindeki potansiyel
ve fiili modelleri belirleyip anlayarak, kurumun risk yönetimi süreçlerinin etkililiğini
değerlendirmesinde yönetime değerli bir anlayış ve kavrama yeteneği kazandırabilir. LP
müdürü, kurum dahilindeki zayıf iç kontrol alanlarını belirlemek için genellikle iç denetçilerle
yakın işbirliği içerisinde çalışır.
Suiistimal Soruşturmacıları
Suiistimal soruşturmacıları, genellikle suiistimalin tespit edilmesinden ve soruşturulmasından
ve varlıkların geri kazanılmasından sorumludurlar. Ayrıca, suiistimalin önlenmesinde de rol
oynarlar. Üst düzey yönetim ve denetim komitesi, soruşturmacıların şirketin suiistimal
risklerine karşı hızla ve uygun bir cevap vermeye hazır olduğunu tüm paydaşlara bildirmesine
destek olmalıdır. Bir suiistimal soruşturma birimini (FIU) kurumun örgütlenme yapısıyla
uyumlulaştırmak için farklı yollar uygulanabilir. FIU, bir kurumsal emniyet departmanına
bağlıysa, iç denetim faaliyetlerinde rol oynamaları veya iç denetim birimiyle yakın işbirliği
içinde çalışmaları faydalı bir yaklaşım olabilir; bu sayede, FIU personeli iç ve bağımsız
denetçi bulgularından istifade edebilecektir. Suiistimal soruşturmacıları avukatlarla genellikle
yakın işbirliği içerisinde çalışarak suiistimal faili hakkında yasal işlem başlatılmasını
kolaylaştırırlar. Suiistimal soruşturmacıları ve avukatlar arasında yapılan görüşmeler
genellikle gizlilik (örneğin, kişiye özel) temelinde gerçekleştirilerek açık ve serbest bir
diyalog kurulması sağlanır. Ayrıca, bir suiistimal soruşturmacısının kurumun avukatı veya
hukuk danışmanının istemi veya talimatı üzerine yaptığı çalışmaların ürünleri, kanunlarla
koruma altına alınmış avukat-müvekkil gizliliğine tâbi ürünler olarak da kabul edilebilirler.
Baş soruşturmacı, genellikle, soruşturmayı etkin ve verimli biçimde gerçekleştirmek için
ihtiyaç duyulan bilgi birikimi, beceriler ve diğer yetkinlikleri belirler ve yetkin ve uygun
kişileri soruşturma ekibine atar. Soruşturulmakta olan birim ve kişilerle veya kurumun diğer
herhangi bir çalışanıyla ilgili bir potansiyel çıkar çatışması bulunmadığına dair verilecek bir
güvence de bu sürecin kapsamına girer.
Diğer Çalışanlar
Suiistimalle mücadelede her çalışanın oynadığı bir rol vardır. Çalışanlar, kurumun gözleri ve
kulaklarıdır ve dürüstlük ilkesine riayet eden bir işyeri oluşturmak konusunda onlar da
yetkilendirilmelidirler. Çalışanlar, suiistimal şüphelerini bir personel yardım hattına, iç
denetim departmanına veya bir yöneticiye rapor edebilirler. Birçok uzman, suiistimali ve
kötüye kullanmayı tespit etmek ve bu faaliyetlerden kaçındırmak için başvurulabilecek tek ve
en maliyet-etkin suiistimal tespit ve caydırma tedbirinin uygun biçimde izlenen bir personel
yardım hattı olduğuna inanmaktadır.
15
DENETİM GÖREVİ ESNASINDA
İÇ DENETÇİNİN SORUMLULUKLARI
Standartlarda, denetim çalışmalarının olağan kapsama alanı içindeki faaliyetlerde herhangi
bir suiistimal bulunduğu sürece, iç denetçilerin suiistimal tespiti bakımından aşağıda sayılan
sorumluluklara sahip oldukları belirtilmektedir:
 Azami Mesleki Özen ve Dikkat (Standart 1220)
 Risk Yönetimi (Standart 2120)
 Görev Amaçları (Standart 2210)
Ancak iç denetçilerin birçoğunun; temel sorumluluğu suiistimalleri tespit etmek ve
soruşturmak olan bir kişinin sahip olduğuna eşdeğer bir bilgi birikimine sahip olması
beklenmemektedir. Ayrıca, azami mesleki özen ve dikkat gösterilerek gerçekleştirildiklerinde
dahi, denetim prosedürleri tek başlarına suiistimal fiilinin tespit edileceğini garanti edemez.
Önemli suiistimalleri önlemek veya belirlemek için iyi-tasarlanmış bir iç kontrol sistemine
ihtiyaç duyulur. İç denetçilerce gerçekleştirilen testler, önemli suiistimal göstergelerinin tespit
edilme ve daha ayrıntılı testler için değerlendirilme olasılıklarını arttırır.
A. Denetim Görevlerini Yerine Getirmek
İç denetçi, denetim görevlerini yerine getirirken:
 İç kontrol tasarımının değerlendirmesinde ve gerçekleştirilecek denetim
basamaklarının belirlenmesinde suiistimal risklerini dikkate almalıdır. İç denetçilerin
suiistimali tespit etmeleri beklenmez, ancak gözden geçirilen sürece ilişkin iş
amaçlarına ulaşılmakta olduğuna ve basit bir hatadan veya bu yöndeki kasıtlı
çabalardan dolayı ortaya çıkan, önemli kontrol eksikliklerinin belirleneceğine dair
makul bir güvence elde etmeleri ve sunmaları beklenir. Suiistimal risklerinin
değerlendirilmesi ve suiistimal riskleri ile spesifik denetim çalışmaları arasındaki
bağlantılar çalışma dokümanlarında belgelenir.
 Suiistimal suçunun işlenmiş olabileceğini gösteren tehlike işaretlerini belirleyebilmek
için suiistimal hakkında yeterli bir bilgi birikimine sahip olmalıdır. Bu bilgi
dağarcığının kapsamına, suiistimalin karakteristik nitelikleri, suiistimal suçu işlemek
için kullanılan teknikler ve gözden geçirilen faaliyetlerle ilgili çeşitli suiistimal
tertipleri ve senaryoları da girmektedir.
 Kontrol yetersizlikleri gibi, suiistimale imkân tanıyabilecek fırsatlara karşı uyanık
olmalıdır. Önemli kontrol yetersizlikleri tespit edilirse, suiistimalde bulunulup
bulunulmadığını belirlemek için iç denetçilerce gerçekleştirilen ek testler
kullanılabilir.
 Yönetimin, kaydedilen kontrol yetersizlikleri veya zayıflıkları için atılması gereken
düzeltici adımların zamanında ve yeterli düzeyde atılması ve suiistimal riski yönetimi
programını izleme planına programın başarısının sürdürülebilirliği için yeterli bir süre
boyunca devam edilmesi gibi faaliyetlerini sürdürerek ilgili programın gözetim
sorumluluğunu etkin biçimde elinde tutup tutmadığını değerlendirmelidir.
16
 Suiistimal göstergelerini değerlendirmeli ve başka bir adımın atılmasına gerek olup
olmadığını veya bir soruşturma önerilmesine gerek olup olmadığına karar vermelidir.
 Gerektiğinde soruşturma yapılmasını tavsiye etmelidir.
Ek B’de, devam eden bir suiistimal riski yönetimi programının değerlendirmesinde iç denetim
birimince rutin olarak dikkate alınabilecek bazı sorular bulunmaktadır.
B. İç Denetçi Şüpheciliği
Mesleki şüphecilik, sorgulayıcı bir aklı ve denetim kanıtlarına yönelik eleştirel değerlendirme
yapma kabiliyetini gerektiren bir davranış biçimidir. Nesnel ve şüpheci bir iç denetçi,
yönetim veya personelin ne dürüst olmadığı varsayımıyla ne de kesinlikle sorgusuz sualsiz
dürüst olduğu varsayımıyla hareket eder.
Tüm denetim çalışmalarında, denetçilerin mesleki şüpheciliğe sahip olmaları en önemli
husustur. Kritik suiistimal fiillerinin tespit edilememesinin önemli nedenlerinden biri olarak
sıklıkla yetersiz mesleki şüphecilik gösterilir. Suiistimal riski yönetiminin başarısı veya
başarısızlığında iç denetçiler kritik bir rol oynarlar. İç denetçiler, kuruluşun çalışmalarını
yakından bilmelerinden ve bu konuda geniş bir bilgi birikimine sahip olmalarından dolayı,
birçok suiistimal göstergesini belirlemek için eşsiz bir konumda yer alırlar. İç denetçilerin iç
kontrollerin verimliliğine odaklanırken şüpheci hareket etmeleri halinde, suiistimal fiillerinin
ortak karakteristiklerini fark etme olasılıkları artar ve varsa ve var olduğunda, muhtemel
suiistimal faaliyetlerini açığa çıkarabilirler.
IIA Standardı 1111: “Doğrudan Doğruya Yönetim Kuruluyla Etkileşim” maddesinde, iç
denetçilerin şüpheci olmalarına imkân tanımak için CAE’nin doğrudan doğruya yönetim
kuruluyla görüşmesi ve etkileşime girmesi gerektiği belirtilmektedir. Ayrıca, Standart 1120:
“Bireysel Nesnellik” maddesinde, iç denetçilerin şüphecilikleriyle tutarlı bir doğrultuda,
tarafsız ve önyargısız bir davranış sergilemelerinin gerektiği belirtilmektedir. İç denetim
faaliyetlerinin denetim komitesince desteklenmesi ve gözetimden geçirilmesi, iç denetçinin
bağımsızlığını ve nesnelliğini ve öte yandan şüpheciliğini korumasında yardımcı olur.
C. Yönetim Kuruluyla Görüşmek
CAE ve yönetim kurulu arasındaki ilişki, hem raporlama hem de gözetim fonksiyonlarını
içerir. İç denetçiler, oynadıkları özgün rol sayesinde, yönetim ve yönetim kuruluyla beraber
suiistimal önleme ve belirleme programlarının önemini arttırmak için iyi bir konumda
bulunmaktadırlar. Spesifik olarak faaliyet gösterilen endüstride ve bağlı bulunan kurumda
neler olduğu konusunda uyanık olmak, iç denetçilerin yönetim kuruluyla beraber suiistimal
riskleriyle ilgilenme becerilerini geliştirecektir.
Yönetim kuruluyla yapılan görüşmelerde, CAE şunlara değinebilir:
 Gerçekleştirilen tüm suiistimal denetimleri;
 Suiistimal riski değerlendirme süreci;
17
 Kanunlarla ve davranış ve/veya etik kurallarıyla uyum açısından, suiistimal veya çıkar
çatışmaları ve izleme programlarından alınan sonuçlar;
 Suiistimallerle ilgili olduğu sürece, iç denetim biriminin organizasyonel yapısı;
 Suiistimal denetim faaliyetlerinin dış denetçilerle koordinasyonu;
 Kurumun kontrol ortamının genel değerlendirmesi;
 İç denetim biriminin suiistimale karşı faaliyetlerindeki üretkenliği ve bütçeyle ilgili
aldığı tedbirler;
 İç denetim biriminin suiistimale karşı faaliyetlerinin diğer kurumlara referansla
kıyaslanması ve
 İç denetim biriminin suiistimal soruşturmalarında oynadığı rol.
CAE; üst yönetim ve yönetim kurulunu, suiistimal de dahil ciddi bulgulardan haberdar etmek
için doğru zamanın ne olduğu konusunda üst yönetim ve yönetim kurulundan farklı
düşünüyor olabilir. CAE, problemler ortaya çıkmadan üst düzey yönetim ve yönetim
kuruluyla görüşerek bu zamanlama sorununu çözüme kavuşturmalı ve üst düzey yönetim ve
yönetim kurulunun neleri bilmeleri gerektiği, ne zaman bilmeleri gerektiği ve görüşmenin
nasıl gerçekleştirileceği konularına açıklık getirilmesini sağlamalıdır. Bu yönde bir
görüşmenin gerçekleştirilmesi, CAE’nin IIA Standardı 2060: “Üst Yönetim ve Yönetim
Kuruluna Raporlamalar” maddesine uygun davrandığının bir kanıtıdır. Aşağıdaki örnekte, bir
CAE’nin suiistimal konularıyla ilgili olarak yönetim kuruluyla görüşmesinin mahiyeti ve
zamanlamasını açıklığa kavuşturmak için hazırlanmış olan bir belge gösterilmektedir.
18
Örnek – Denetim Komitesi Olay Matrisi
Olay
Olayın Boyutları
Olaylar Denetim Komitesine Ne
Zaman Rapor Edilmelidir?
Bir
Yıllık
Yıllık
Hemen
Sonraki
Raporda Özette
Toplantıda
Zimmete geçirme, suiistimal,
hırsızlık:
Üst yönetim dahil değil:
Büyük kontrol eksikliği
1
Gizli anlaşma içeriyor
Küçük
10.000 $’dan fazla
10.000 $’dan fazla
10.000 $’ın altında
X
Üst yönetim de dahil
Tüm suiistimaller
X
2
İnsanlara veya verilere IA
erişiminin reddedilmesi
Tüm suiistimaller
X
3
Etik Politikasının İhlali
Üst düzey yönetim
Orta düzey yönetim
Tüm suiistimaller
Tüm suiistimaller
X
Tüm faaliyetler için
ve önceden
X
4
CAE’in değiştirilmesine ilişkin
tartışma
X
X
X
SUİİSTİMAL RİSKİ DEĞERLENDİRMESİ
İnsan elinin değmesi gereken her süreç için geçerli olmak üzere, tüm kurumlar suiistimal
risklerine maruz kalırlar. Suiistimali önlemek veya tespit etmek için etkili iç kontroller
bulunmadığı ve sürece dahil olan kişilerin dürüst ve sağlam kişiler olmadıkları müddetçe,
ilgili iş kolunun doğasından ortaya çıkan suiistimal riskleri, ilgili kurumun suiistimale maruz
kalmasına neden olur.
Suiistimal riski; suiistimalin gerçekleşme olasılığı ve ayrıca, gerçekleştiğinde kurum için
doğuracağı potansiyel sonuçlar anlamına gelir. Bir suiistimal fiilinin gerçekleşme ihtimali,
normalde, suiistimal suçunu işlemenin ne kadar kolay olup olmadığına, suiistimale iten
motivasyonel faktörlere ve kurumun suiistimal geçmişine bağlı olarak değişir.
Suiistimal riski değerlendirmesi, genellikle, bir kurumun daha büyük bir işletme olmanın
getireceği riskleri yönetme programının kritik bir parçasını teşkil eder. Suiistimal riski
değerlendirmesi, suiistimalin nerde ve nasıl gerçekleşebileceğini ve suiistimal suçunu işlemek
için uygun konumdaki kişinin kim olabileceğini sistematik olarak belirleme konusunda
yönetime ve iç denetçilere yardımcı olan bir araçtır. Potansiyel risk maruziyetlerine yönelik
olarak yapılabilecek bir gözden geçirme çalışması, bir yandan kurumun bekası adına halkın
kuruma karşı duyduğu güveni arttırırken, diğer yandan organizasyonel hedeflere ulaşmakta
kullandıkları becerilerle ve suiistimal riskleriyle ilgili olarak yönetim kurulunun ve üst
yönetimin duyduğu endişeleri dindirmek için atılması gereken önemli bir adımı temsil
etmektedir. Bir suiistimal riski değerlendirmesinde, gereken iç kontrollerin bulunup
19
bulunmadığını ve varsa, iç kontrollerin etkisiz hale getirilip getirilemeyeceğini belirlemek
amacıyla suiistimal tertiplerine ve senaryolarına yoğunlaşılır.
Yönetimin bu konuda üstlendiği önemli rollerden biri, bir suiistimal riski değerlendirmesinin
başarıyla tamamlanması için gereken gözetimi sağlamaktır; yönetim, böylece, suiistimal
risklerini ve bu riskleri hafifletmek için bulunan kontrolleri daha iyi anlar. Kurumlar, bir riski
hafifletmenin veya ortadan kaldırmanın kazandıracaklarına kıyasla bu riski kontrol altında
tutmanın yol açacağı maliyeti dikkate alarak bu konuda kendi çıkarımlarını yapmalıdırlar.
Bir suiistimal riski değerlendirmesi genellikle beş kilit basamağı kapsar:
1. İlgili suiistimal riski faktörlerini tanımlamak;
2. Potansiyel suiistimal tertiplerini tanımlamak ve bunları risk düzeyleri temelinde
öncelik sırasına göre dizmek;
3. Potansiyel suiistimal tertipleri için ayarlanmış mevcut kontrolleri saptamak ve
boşlukları belirlemek;
4. Suiistimal önleme ve belirleme kontrollerinin çalışma etkililiklerini test etmek ve
5. Suiistimal riski değerlendirmesini belgelemek ve rapor etmek.
Suiistimal riski değerlendirmesinin kapsamı, kurumun boyutlarına, karmaşıklığına veya
sektöre bağlı olarak büyük oranda değişebilir. Örneğin, envantere ve/veya nakde erişimi
bulunan büyük bir personel tabanı ve sayısız fiziksel lokasyonu olan bir kuruma kıyasla,
sınırlı sayıda envanteri ve düşük meblağda nakdi elinde bulunduran az sayıda çalışana sahip
bir çevrimiçi (online) şirketin taşımakta olduğu suiistimal riskleri muhtemelen farklı olacaktır.
Bir kurum, tüm iş alanlarını ve işletme genelini kapsayan bir değerlendirmeyi
tamamlayabilecekken, diğer bir kurum, dikkatini sadece en önemli iş riski alanına
odaklayarak sınırlandırabilir. Birkaç iştiraki bulunan bir kurum, her iştiraki için ayrı bir
değerlendirme ya da birleşik bir değerlendirme yapabilir.
A. Anlamlı Suiistimal Riski Faktörlerini Belirlemek
İlk adım, dış iş ilişkisi ortakları da dahil olmak üzere, kurumun suiistimal risklerini anlamak
için gerçekleştirdiği iş faaliyetleri hakkında bilgi ve veri toplamaktır. Bu süreç kapsamında,
kuruma karşı veya kurum adına işlenmiş eski suiistimal suçları ve şüpheli suiistimal
durumlarına ilişkin bilgi ve belgeler gözden geçirilir, benzer kurumlarda görülen ilgili
suiistimal fiilleri değerlendirilir ve rakip firmalara kıyasla, kurumun son birkaç yıla ait
performans ölçütü değerleri gözden geçirilir. Örneğin, finansal olan ve olmayan ölçütler
arasındaki tutarsızlıklar, lisanslı yazılımın aşırı kullanımı veya üçüncü şahıslara ait entelektüel
mülkiyet haklarının aşırı kullanımı, muhtemel suiistimal fiillerine işaret ediyor olabilir.
B. Potansiyel Suiistimal Tertiplerini Tanımlamak ve Bunları Risk Düzeyleri
Temelinde Öncelik Sırasına Göre Dizmek
Suiistimal, tanımı gereği, belirlenmesinden kaçınmak amacıyla tasarlanmış kasıtlı uygunsuz
hareketlerde bulunmayı gerektirir. Bu bağlamda, hem suiistimal tertiplerini hem de her tertip
için ayrı olmak üzere, suçu işleyebilecek konumdaki kurum içi ve dışı şahısları önceden
20
tahminen belirleyip ona göre hareket etmek için bir suiistimal riski değerlendirme ekibinin
yapması gereken, stratejik akıl yürütme ve muhakeme sürecine girmektir. Bir suiistimal riski
değerlendirme ekibi, normalde, iç denetim birimine / departmanına, finans departmanına,
hukuk departmanına, BT departmanına, emniyet departmanına ve kurumun tabiatına bağlı
olarak, diğer muhtemel fonksiyonları yöneten departmanlara mensup kişilerden oluşur.
Suiistimal riski değerlendirme ekibi; beyin fırtınası yaratarak, yönetimle görüşmeler
gerçekleştirerek, analitik prosedürleri yürüterek ve önceki suiistimalleri gözden geçirerek
potansiyel suiistimal tertiplerini belirleyip tanımlar. Suiistimal riski değerlendirme ekibi, bu
süreç esnasında, kurumun faaliyetlerini, içinde bulunduğu sektörle ilgili olarak planlarını,
coğrafyasını ve programlarını gözden geçirir ve bunu yaparken her zaman temel suiistimal
karakteristiklerini (baskı/teşvik, fırsat ve rasyonalizasyon) aklında tutarak, aşağıda sıralanan
soruları sorar:
 Suiistimal fırsatları nerelerde görülmektedir?
 Yönetimin içinde bulunduğu ve iç kontrolleri bastırmasına neden olabilecek baskı
düzeyi nedir?
 Yönetim belirlenmiş amaçlara ulaşılmasını sağlayamazsa, bunun herhangi bir sonucu
olacak mı?
Spesifik suiistimal alanları, iç kontrollerin mevcut bulunup bulunmadığı veya etkililikleri göz
önünde bulundurulmadan (bu daha sonra yapılacaktır) tanımlanmalıdırlar. Yapılan
değerlendirmede, ilgili suiistimal suçunun tek kişi tarafından işlenip işlenemeyeceği ve
işlenemeyecek bir yapıdaysa, çalışanlar veya üçüncü şahıslar arasında gizli bir anlaşma
gerektirip gerektirmediği değerlendirilir.
Suiistimal riskleri önemlerine göre sıraya dizilirken aşağıdaki faktörler dikkate alınır:












Parasal etki;
Kurumun itibarına etkisi;
Verimlilik kaybı;
Kanunlara uymama ihtimaliyle de ilgili olabilecek, potansiyel ceza/özel hukuk
davaları;
Verilerin sağlamlığı ve emniyeti;
Varlıkların kaybı;
Operasyonların/birimlerin yeri ve boyutu;
Şirket kültürü;
Yönetim/personel devir hızı;
Varlıkların likiditesi;
İşlem hacmi ve/veya boyutu ve
Dış kaynak kullanımı.
21
C. Potansiyel Suiistimal Tertipleri İçin Ayarlanmış Mevcut Kontrolleri Saptamak
ve Boşlukları Belirlemek
Suiistimal riski değerlendirme ekibi, her suiistimal riskiyle ilgilenmek ve her potansiyel
suiistimal fiilinin olma ihtimalini ve önemini değerlendirmek için mevcut koruyucu ve tespit
edici kontrolleri belirler. Bir muhbir hattı ve muhbir koruma politikası, yönetim kurulunun
gözetimi, sürekli izlemeden alınan sonuçlar ve davranış kuralları gibi kurum-seviyesinde
suiistimal karşıtı kontrollerin bulunması ve suiistimal riskine ne denli tolerans gösterileceğiyle
ilgili olarak yönetimin gerçekleştirdiği iletişimlerde kullandığı üslubun tonu, bu bağlamda
dikkate alınabilecek önemli unsurlardır. Kontrollerin yönetimce aşılması riski, açık ve
dolaysız olarak dikkate alınmalı ve bu riski kontrol altında tutmanın getireceği/sağlayacağı
maliyet/fayda değerlendirilmelidir.
D. Suiistimal Önleme ve Belirleme Kontrollerinin Çalışma Etkililiklerini Test
Etmek
İç denetim birimi, normalde, iç kontrollerin çalışma etkililiklerinin değerlendirilmesinde
önemli bir rol oynar. İç denetçiler yalnızca iç kontrolün mevcudiyetini değil, aynı zamanda
ilgili kontrole yönelik periyodik testler yaparak iç kontrolün etkililiğini de değerlendirirler.
Örneğin, bir kurum, şifrelerin her 30 günde bir değiştirilmesini gerektiren, ağ şifrelerine
yönelik bir güvenlik politikasını uygulamaya koyabilir, ancak ağ sistemi erişim kontrolleri,
şifre gerektiği gibi değiştirilmediği taktirde kullanıcı hesabını bloke etmez. Bunun anlamı, iç
kontrolün mevcut olduğu ama gerektiği gibi etkili çalışmadığıdır.
E. Suiistimal Riski Değerlendirmesini Belgelemek ve Rapor Etmek
Suiistimal risklerini tanımlayan ve değerlendiren süreçlerin kurumlarca belgelenmeleri
gerekir. Her bir önemli iş alanının suiistimal riskinin değerlendirmesinde belgelenebilecek
kilit öneme sahip unsurlar arasında şunlar bulunur:
 Gerçekleşme olasılığı az olan suiistimal tipleri;
 Likit ve satılabilir varlıklara erişimi göz önünde bulunduran yapısal suiistimal riski,
kurumsal moral ve personel devir hızı, suiistimal ve bağlantılı kayıplar geçmişi ve
faaliyet alanına özgü diğer göstergeler;
 Mevcut suiistimal-karşıtı
kontrollerin yeterliliği;
programların,
izleme
programlarının
ve
koruyucu
 Görevler ayrılığı ilkesi de dahil olmak üzere, kurumun suiistimal kontrollerindeki
potansiyel boşluklar;
 Önemli bir suiistimal fiilinin gerçekleşme olasılığı ve
 Bir suiistimalin işe etkisi/önemi.
IIA Standardı 2060: “Üst Yönetim ve Yönetim Kuruluna Raporlamalar” maddesine göre,
CAE, suiistimal riskleri de dahil, önemli risk maruziyetlerini ve kontrol bulgularını üst
yönetime ve yönetim kuruluna dönemsel olarak rapor etmek zorundadır. Yönetim ve CAE,
22
suiistimal riski değerlendirmesinin durumu ve sonuçları hakkında yönetim kurulunu dönemsel
olarak günceller. Bu güncellemelerde, mevcut suiistimal-karşıtı programların etkililiği ve
ayrıca, değerlendirme esnasında belirlenen boşluklarla ilgilenmek üzere yönetimin gösterdiği
iyileştirme çabalarının verimliliği rapor edilir.
Suiistimal riski değerlendirmesi örneği görmek için Ek C’ye bakınız. Bu şablon, kapsam
dahilinde olan diğer büyük iş alanları/birimleri de dikkate alınarak, kurum genelinde
gerçekleştirilecek bir suiistimal riski değerlendirmesi için uygun hale getirilebilir.
SUİİSTİMAL ÖNLEME VE BELİRLEME
Bir kurumun her kademesinde suiistimal ortaya çıkabilir; dolayısıyla, uygun önleyici ve tespit
edici teknikleri belirlemek önemli bir husustur. Her ne kadar suiistimali önleme ve suiistimali
tespit etme kavramları birbirleriyle ilgili olsalar da, aynı anlama gelmemektedirler. Suiistimali
önleme uygulamaları; politika ve prosedürlerin uygulanmasını, personel eğitimini ve
yönetimin suiistimal faaliyetleri hakkında personeli eğitmek için iletişim kurmasını gerektirir.
Diğer yandan, suiistimal belirleme ise, fiilen olan veya geçmişte olmuş suiistimal veya kötüye
kullanma fiillerini belirlemek için tasarlanmış faaliyetleri ve programları kapsar. Suiistimal
önleme, belirleme ve soruşturma arasındaki ilişki ve bağlantılar aşağıdaki çizelgede
gösterilmektedir.
Kurumlar, suiistimal riskini hiçbir zaman tamamen ortadan kaldıramazlar. Suiistimal suçu
işleme motivasyonuna sahip kişiler her zaman olacaktır; bir kuruma bağlı bulunan herhangi
bir kişi için, her zaman, iç kontrolleri aşma fırsatı veya iç kontrollerin çevresinden dolaşmak
amacıyla başkalarıyla gizlice anlaşma fırsatı doğabilir. Her ne kadar tüm kurumlarda
suiistimale karşı şüpheci yaklaşılsa da, tüm suiistimal risklerini ortadan kaldırmaya çalışmak
her zaman en maliyet-etkin seçenek olmaz. Bir kurum, kontrollerini, suiistimal risklerini
önlemekten ziyade sadece tespit edecek şekilde tasarlamayı seçebilir. Suiistimale karşı
yapılan kontrolleri tasarlamanın, uygulamanın ve izlemenin yol açtığı maliyet, ilgili riskin
neden olabileceği tahmini etkiye oranla daha ağır basıyorsa, bu iç kontrolleri gerçekleştirmek
maliyet-etkin bir yaklaşım olmayabilir.
Bir kurum dahilinde suiistimal gerçekleştirme fırsatlarını anlamak ve değerlendirmek için,
kurumsal kültürün anlaşılması gereklidir. Kurumsal kültürün anlaşılması, genel yönetim
felsefesi ve kontrol ortamı hakkında bütüncül ve kapsamlı bir bakış açısı kazandırır. Tek
23
başına kuvvetli etik kurumsal kültür, kurumu suiistimallere karşı korumak için yeterli
olmayacaktır. Etik kültürünün geliştirilmesi ve teşvik edilmesi atılması gereken ilk adımdır,
ancak suiistimal risklerini hafifletmek için, aynı zamanda, eğitim ve öğretim, iç kontrolleri
uygulamaya ve izlemeye yönelik kuvvetli politikalar ve prosedürler, suiistimali zamanında
soruşturmaya başlayabilmek için suiistimal riski göstergelerini zamanında tespit etmeye
yarayan prosedürler ve gerektiğinde yasal takibat gerekir.
A. Suiistimal Önleme
Suiistimal önleme faaliyetleri, suiistimal tertipçilerinin cesaretini kırmak ve gerçekleştirildiği
taktirde suiistimalin maruziyetini sınırlandırmak için atılması gereken adımları içerir.
Kuvvetli bir etik kültürünü yavaş yavaş aşılamak ve üst yönetimin mesaj ve eylemleri
doğrultusunda kurum genelinde doğru ve uygun bir atmosfer yaratmak, suiistimalleri önlemek
için önemli temel unsurları teşkil etmektedir. Suiistimalleri önlemeye yönelik kuvvetli ve asli
mekanizmalardan biri, müşterileri, satıcıları ve dış iş ilişkisi ortaklarını taramaya yarayan
kontroller de dahil olmak üzere, etkin ve etkili iç kontroller gerçekleştirmektir. Etkili iç
kontrolleri bulunan bir kurum, suiistimal faillerini suiistimal suçunu işleme isteğinden
caydırır. Bir kurumda iç kontrolleri yerleştirme ve devam ettirme görevlerinin asli
sorumluluğu yönetime aittir. Treadway Komisyonu Sponsorluk Kuruluşları Komitesi (the
Committee of Sponsoring Organizations of the Treadway Commission – COSO), suiistimalle
mücadele alanında iç kontrol sistemlerini değerlendirmek ve geliştirmek için bir çerçeve
sunmuştur. COSO, İç Kontrol – Birleştirilmiş Çerçeve’sinde beş öğe tanımlamıştır:
suiistimalle mücadele alanında geliştirilmiş kontrollerin tasarımı için temel dayanakları teşkil
edebilecek olan kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi ve iletişim ve
izleme. Bu unsurlar tabiatları gereği derinlemesine iç içe geçer ve örtüşürler ve suiistimalin
hiçbir kademe için tolere edilmeyeceği ortam tipini destekleyici nitelikte doğal ve etkileşimli
bir süreç oluştururlar.
Kontrol ortamı – Kuvvetli bir kontrol ortamının bulunması, aşağıda sayılan unsurları da
barındırması sayesinde suiistimal fiillerinin önlenmesinde yardımcı olur:
 Uygun bir kurum-içi atmosfer yaratmak için davranış kuralları, etik politikası veya
suiistimal politikası;
 Endişeleri rapor etmek için etik ve muhbir yardım hattı programları;
 İşe alım ve terfi kuralları ve uygulamaları ve
 Denetim komitesi, yönetim kurulu veya başka bir gözetim organı tarafından gözetim.
Risk değerlendirmesi – Suiistimal riski faktörlerinin ve suiistimal tertiplerinin dikkate
alındığı bir suiistimal riski değerlendirmesi kurmak.
 Uygun personeli suiistimal riski değerlendirme sürecine dahil etmek ve
 Düzenli olarak risk değerlendirmeleri yapmak.
Kontrol faaliyetleri – Uygun yetki sınırlarının belirlenmesi ve uyuşmaz görevlerin
birbirlerinden ayrılması da dahil, iş süreçleri için gereken politikaları ve prosedürleri
belirlemek.
24
Bilgi ve iletişim – Kurumsal iletişim programları aracılığıyla, suiistimal risk yönetimi
programının önemini ve hem iç hem de dışta olmak üzere suiistimal riski açısından kurumun
bulunduğu konumun önemini arttırmak.
 Suiistimal konusunda bilinç ve uyanıklık kazandıran eğitim programları tasarlamak ve
sunmak ve
 Personelin kurum politikalarını okuduğunu ve anladığını ve şirket politikalarına uygun
hareket ettiğini teyit eden bir doğrulama veya belgelendirme süreci.
İzleme – Suiistimal karşıtı kontrolleri periyodik olarak değerlendirmek.
 İç denetim birimi ve diğer grupların, suiistimal risk yönetimi programı için bağımsız
değerlendirmeler kullanmaları ve
 Sürekli izleme ve belirleme faaliyetlerinde yardımcı olması için gereken teknolojiyi
uygulamaya sokmak.
B. Suiistimal Eğitimi
Suiistimal eğitimi, suiistimalden caydırma alanında genellikle etki eden kilit bir faktördür.
Kurumun çalışanların davranışlarından beklentileri, iç kontrolleri uygulamak için gereken
prosedür ve standartlar ve görevi kötüye kullanmanın rapor edilmesinde personelin oynadığı
roller ve taşıdığı sorumluluklar bu eğitimin kapsamına girebilir. Kurum dahilinde uygun
hareket etmek isteyen personelin kendisinden beklenen etik davranışları anlaması gerekir.
Yeni personele yönelik intibak eğitiminde; kurumun misyonu, değerleri ve davranış kuralları
ile suiistimal tipleri, etik davranış ihlalleri ve uygunsuz davranışları rapor etme sorumluluğu
ve yardım hattı hakkındaki ayrıntılar veya potansiyel suiistimal fiillerini rapor etmek için
izlenebilecek diğer yollar anlatılabilir.
Yapılan personel suiistimal eğitimlerinin kurum için ve eğitimi alan personelin kurum
içindeki pozisyonu için uygun hale getirilmeleri gereklidir. Her ne kadar genel suiistimal
eğitimleri bu konuda yardımcı olabilecek olsalar da, kurumdaki en üst suiistimal riski
alanlarını belirleyip tanımlamak ve eğitimleri buna göre düzenlemek çok daha etkili bir
yaklaşımdır, zira bu sayede, kilit pozisyonlardaki çalışanlar, kurumun suiistimal belirleme
programında oynadıkları rolleri daha iyi anlayabilirler. Kurumun yararına bir olgu olarak, bu
eğitimlere suiistimal failleri dahi katılabilirler ve bu sayede, kurumun yürürlükteki suiistimal
risk yönetimi sürecini görerek suiistimal fiillerinden kaçınabilirler.
Bir çalışanın kariyeri boyunca aldığı periyodik eğitimler, onun suiistimale karşı bilinç ve
uyanıklığını geliştirir ve öte yandan, kurumun suiistimal maliyetini azaltır. Eğitim
materyallerini üretmek ve yaymak için ne tip bir yöntemin kullanıldığından bağımsız olarak,
personelin suiistimal eğitimini kavrayıp kavramadığını test etmek bu konuya ilişkin en önemli
hedeflerden biridir. Bunu gerçekleştirmek için, yalnızca katılımı teyit etmeye değil, aynı
zamanda eğitimden gereken bilgilerin personel tarafından özümsenip özümsenmemiş
olduğunun belirlenmesini sağlayan kısa ve pratik sınavlar sağlamaya yarayan internet-tabanlı
anketler kullanılabilir.
25
C. Suiistimal Belirleme
Suiistimalin gerçekleşmekte ya da gerçeklemiş olduğunu gösteren uyarılar veya kanıtlar
sağlayacak belirleyici kontroller tasarlanır. Suiistimal davranışı ve suiistimal fiillerine karşı en
kuvvetli caydırıcılardan biri, etkili iç kontrollerdir. Önleyici ve belirleyici iç kontrolleri eş
zamanlı kullanmak, her türlü suiistimal risk yönetimi programının verimliliğini arttırır. Her ne
kadar belirleyici iç kontroller sayesinde suiistimalin bulunduğuna dair somut kanıtlar elde
edilebilecek olsa da, bu kontrollerin gerçekleştirilme amacı suiistimali önlemek değildir.
Risk ortamındaki değişimleri karşılamak için, suiistimal belirleme yöntemlerinin esnek, her
koşula uyarlanabilir ve sürekli değişen bir yapıda olmaları gereklidir. Önleyici tedbirler
görünür ve kolayca tespit edilebilir iken, belirleyici kontroller önleyici tedbirler kadar görünür
olmayabilirler (yani, arka planda işlev gösterirler).
Kurumlar, genelde, şüpheli faaliyetlerin çalışanlar tarafından bir anonim muhbir hattı
aracılığıyla rapor edeceklerine güvenmektedir. Personel geribildirim sistemi, kurum
dahilindeki birçok çalışanın organizasyonel sorunlar hakkında bildiklerini paylaşma
arzularından istifade eder. Yasadışı veya etik olmayan davranışlar hakkındaki endişelerini
bildirmeleri için personele, tedarikçilere ve diğer paydaşlara çeşitli seçenekler sunmak, bir
kurumun fiili suiistimal edimleri hakkında bir şeyler öğrenmek için izleyebileceği etkili bir
yoldur. Bu bilgileri edinmek için izlenebilecek yollar şunlardır:
 Davranış kuralları doğrulaması – Suiistimallerin önlenmesi ve tespit edilmesi
konusundaki sorumluluklara genel hatlarıyla işaret edilen bir yıllık davranış kuralları
belgesi imzalanırken, çalışanlardan bildikleri ihlal vakalarını rapor etmeleri istenebilir.
 Muhbir hatları – Bu yöntem, muhbirin anonim kalabileceği bir telefon hattı veya
internet-tabanlı bildirim sistemi şeklinde biçimlendirilebilir.
 İşten çıkış görüşmeleri – Sözleşmeleri feshedilmiş ya da istifa etmiş çalışanlarla işten
çıkış görüşmeleri gerçekleştirmek, suiistimal tertiplerini belirlemek konusunda
yardımcı olabilir. Bu eski çalışanlar, ayrıca, yönetimin dürüstlüğüyle ilgili bulgular
bulunup bulunmadığını belirlemek konusunda da yardımcı olabilir ve suiistimallere
imkân tanıyan koşullar hakkında bilgi verebilirler.
 Proaktif personel anketi – Çalışanların kurum dahilinde suiistimal ve etik olmayan
davranışlar hakkında bildiklerini öğrenmek için rutin personel anketleri
gerçekleştirilebilir. Bir proaktif ankette çalışanlardan anonim bilgiler elde edilebilir ve
bu sayede, kurum, suiistimal fiillerini, çalışanların ilgili bilgileri kendiliklerinden
vermeleri beklendiği taktirde yakalayacağından daha erken yakalayabilir.
Tüm bu yöntemlerde, geleneksel telefon görüşmeleri, internet formları, e-postalar, fakslar
ve/veya yüz yüze görüşmeler kullanılabilir.
Suiistimal belirlemeye yönelik diğer yöntemler arasında, iç denetim birimi, dış denetçiler ya
da yönetim tarafından yüksek suiistimal riski altındaki alanlarda gerçekleştirilen sürpriz
denetimler; olağandışı durumları veya değişiklikleri belirlemek için kritik verileri ve ilgili
eğilimleri sürekli olarak izlemek ve halka açık verileri ve/veya kişiye özel verileri, anlamlı
ticari işlemler, satıcı listeleri, personel görev listeleri ve diğer verilere karşı rutin olarak
ve/veya özel olarak eşleştirmek sayılabilir.
26
SUİİSTİMAL SORUŞTURMA
Kurum dahilinde görevi kötüye kullanan kişiler bulunduğuna dair bir endişe veya şüphe varsa,
kurumlar bu muhtemel suiistimal fiilleri için soruşturma başlatırlar. Suiistimal şüpheleri,
resmi bir şikayet süreci içerisinde, gayriresmi bir şikayet süreci içerisinde (örneğin, verilen
tüyolar doğrultusunda) ya da bir denetim çalışması içerisinde (örneğin, suiistimali test etmek
için tasarlanmış bir denetim) dile getirilmiş olabilir. Bir suiistimali soruşturmak, yapılan
analizin suiistimal riskinin önemli düzeyde olduğunu gösterdiği süreçlerde veya işlemlerde
suiistimal göstergelerini proaktif olarak tespit etmek üzere tasarlanmış bir denetim olarak
suiistimalleri denetlemekle aynı şey değildir.
Bir suiistimal soruşturması, spesifik ayrıntılar hakkında yeterli bilgi ve veriyi toplamak ve
suiistimal fiilinde bulunulup bulunulmadığını ve suiistimal gerçekleşmişse, ilgili suiistimal
fiiliyle bağlantılı kayıplar veya maruziyetleri, suiistimal suçuna kim(ler)in iştirak ettiğini ve
suçun nasıl işlendiği belirlemek için gerekli prosedürleri gerçekleştirmek gibi süreçlerden
oluşur. Masum insanların üzerinden şüphe bulutlarının kaldırılması, soruşturmalardan elde
edilen önemli sonuçlardan biridir.
Soruşturmalar, yalnızca ilgili soruşturmanın başlatılmasına neden olmuş olabilecek olayı
değil, suiistimal faaliyetinin tüm mahiyeti ve boyutlarını keşfetmek amacıyla gerçekleştirilir.
Soruşturma çalışmasında, potansiyel yasal takibat için gereken kanıtlar hazırlanır, belgelenir
ve muhafaza edilir.
Suiistimal soruşturmalarını gerçekleştiren veya bu soruşturmalara genellikle katılan taraflar
olarak iç denetçiler, avukatlar, soruşturmacılar, emniyet personeli ve kurum içinden veya
dışından başka uzmanlar sayılabilir.
Soruşturma faaliyetlerinin ve çözüme kavuşturma faaliyetlerinin kanunlara uygun olarak,
dikkat ve özenle yönetilmeleri gerekir. Yerel kanunlarda, soruşturmaların nasıl ve nerede
gerçekleştirilecekleri, disiplin ve kurtarma uygulamaları ve soruşturma iletişimleri hakkında
hükümler bulunuyor olabilir. Kurumun avukatlarıyla işbirliği çerçevesinde etkin bir çalışma
gerçekleştirmek ve suiistimal soruşturmasının gerçekleştirildiği ülkede düzenlenmiş
yürürlükteki kanunları öğrenmek, hem mesleki hem de hukuki olarak şirketin çıkarlarına en
iyi hizmet edecek yaklaşımdır.
A. Soruşturma Süreci
Soruşturmaların etkili olması için gereken politikaları ve prosedürleri geliştirme
sorumluluğunu da kapsayacak şekilde, soruşturma sürecine yönelik kontrolleri geliştirmekten,
elde edilen kanıtları muhafaza etmekten, soruşturmalardan alınan sonuçları idare etmekten,
raporlamadan ve iletişimlerden yönetim sorumludur. Bu gibi standartlar, genellikle bir
suiistimal politikasında belgelenirler; politikanın değerlendirilmesinde iç denetçiler de
yardımcı olabilir. Bu gibi politikalar ve prosedürlerde, bireylerin hakları, soruşturmaları
gerçekleştirmekle yetkilendirilmiş kişilerin vasıfları ve kalifikasyonları ve suiistimal fiilinin
gerçekleştirildiği ülkelerdeki yürürlükteki kanunlar dikkate alınmalıdır. Politikalar
kapsamında, ayrıca, kayıpları kurtarmak için yasal tedbirler almak ve hukuki veya cezai
takibat başlatmak da dahil, personeli, tedarikçileri veya müşterileri disipline etmek için
yönetimin en fazla ne yapabileceği de değerlendirilmelidir. Soruşturmaya katılanların
yetkilerini ve sorumluluklarını açıkça tanımlamak, özellikle de soruşturmacı ve avukatlar
arasındaki ilişkiyi açıkça ifade etmek yönetimin yerine getirmesi gereken önemli bir görevdir.
27
Devam etmekte olan bir soruşturma hakkında, özellikle de soruşturmaların ilk safhaları için
geçerli olmak üzere, yürütülen iç haberleşmeleri asgari düzeye indirmeye yarayan
prosedürleri tasarlamak ve bunlara uymak da yönetimin yerine getirmesi gereken önemli bir
diğer sorumluluğudur.
Politika kapsamında, bir suiistimal suçunun işlenmiş olup olmadığına karar vermek
konusunda soruşturmacının oynadığı rol belirtilmelidir. Suiistimal fillinin gerçekleştirilmiş
olup olmadığına ya soruşturmacı ya da yönetim karar verecektir; kurumun dış yetkili
mercileri haberdar edip etmemesi gerektiğine ise yönetim karar verecektir. Bazı ülkelerde
ancak ve sadece kanun uygulayıcıları veya adli merciler, bir suiistimal suçunun işlenmiş
olduğu yönünde bir hükümde bulunabilirler. Soruşturmada, kısaca, kurum politikasının ihlal
edilmiş olduğu ya da büyük ihtimalle bir suiistimalde bulunulmuş olduğu yönünde bir kanaate
varılabilir.
B. İç Denetçinin Soruşturmalardaki Rolü
İç denetim biriminin soruşturmalarda oynadığı rolün iç denetim tüzüğünde ve ayrıca,
suiistimal politikaları ve prosedürleri altında tanımlanması gereklidir. Örneğin, iç denetim
biriminin asli sorumluluğu suiistimal soruşturmaları olabilir veya soruşturmalar için
faydalanılan bir kaynak vazifesi görüyor olabilir veyahut soruşturmalara katılmaktan uzak
duruyor olabilir. İç denetim biriminin soruşturma sürecine dahil olmaktan kaçınmasının
nedeni, soruşturmaların etkililiğini değerlendirmekten sorumlu olması ya da soruşturmalarda
yer almak için gereken uygun kaynaklara sahip olmaması olabilir. Bu faaliyetlerin iç denetim
biriminin bağımsızlığı üzerindeki etkisi kabul edildiği ve gerektiği gibi idare edildiği
müddetçe, açıklanan bu rollerin tümü kabul edilebilir rollerdir.
Suiistimal soruşturma ekiplerinin alanlarındaki yeterliliklerini korumaları için suiistimal
tertipleri, soruşturma teknikleri ve yürürlükteki kanunlar hakkındaki bilgilerini güncel tutma
gibi bir sorumlulukları vardır. Soruşturmacılar ve adli tıp uzmanları için yürütülen ulusal ve
uluslararası eğitim ve sertifikasyon programları mevcuttur.
İç denetim birimi soruşturmadan sorumluysa, soruşturmayı şirket-içi ekip kurarak, dış
kaynaktan faydalanarak veya bunların her ikisini birden uygulayarak gerçekleştirebilir. Bazı
durumlarda, iç denetim birimi, denetim birimleriyle ilgili olmayan personeli de yardımcı
olmaları için kullanabilir. Soruşturma ekibini gecikmeden oluşturmak genellikle önemli bir
husus olarak göze çarpar. Kurumun büyük ihtimalle dış uzmanlara ihtiyacı olacaksa, CAE,
hizmet sağlayıcı(lar)ının yeterliliklerini önceden değerlendirip seçimini yapar; böylece, dış
kaynaklar, gerektiğinde hızla hazır hale getirilebilirler.
Soruşturma fonksiyonunun asli sorumluluğunun iç denetim birimine atanmamış olduğu
kurumlarda, iç denetim biriminden yine de bilgi toplama konusunda yardımcı olması ve iç
kontrol iyileştirmeleri için tavsiyelerde bulunması istenebilir.
C. Soruşturma Yapmak
Kurumun soruşturma prosedürleri veya protokolleri izlenerek, her soruşturma için ayrı bir
soruşturma planı geliştirilir. Baş soruşturmacı, etkin bir soruşturma gerçekleştirmek için
gereken bilgi birikimi, beceri düzeyi ve diğer yetkinlikleri belirler ve uygun ve yetenekli
kişileri soruşturma ekibine atar. Soruşturulmakta olan şahıslarla veya kurum personelinden
28
herhangi biriyle hiçbir potansiyel çıkar çatışmasına dahil olunmadığı yönünde bir güvence
elde etmek de bu sürecin bir parçasıdır.
Yapılan planda, aşağıda sayılan soruşturma faaliyetleri dikkate alınmalıdır:
 Gözetim, görüşmeler veya yazılı beyanlar yoluyla kanıt toplamak;
 Mevcut kanıtları belgelemek ve korumak; kanunların öngördüğü kanıt usul kurallarını
dikkate almak ve bu kanıtların şirkette nasıl kullanılacağını belirlemek;
 Suiistimalin boyutlarını ve kapsamını belirlemek;
 Suiistimal suçunu işlemek için kullanılan teknikleri belirlemek;
 Suiistimalin nedenini değerlendirmek ve
 Suiistimal faillerini belirlemek.
Bu sürece dahil olan herhangi bir noktada, soruşturmacı, şikayetin veya şüphenin asılsız ve
temelsiz olduğu sonucuna vararak kurumun soruşturma kapama sürecini izlemeye
başlayabilir.
Spesifik duruma ve soruşturma ekibinin hedeflerine bağlı olarak, her soruşturmada kullanılan
spesifik prosedürler değişecektir. Yaygın kullanılan soruşturma prosedürleri şunlardır:
 Kanıt elde etmek: Kanıtların toplanması ve hazırlanması, suiistimali veya görevi
kötüye kullanmayı anlama sürecinde geçilmesi önemli, kritik bir basamaktır ve
soruşturma ekibince varılan sonuçları desteklemek için gereklidir. Soruşturma ekibi,
iddiaların mahiyetine, gerçekleştirilen prosedürlerden alınan sonuçlara ve
soruşturmanın hedeflerine bağlı olarak, bilgisayar-destekli adli tıp prosedürlerinden
veya bilgisayar-destekli veri analizinden faydalanabilir. Elde edilen tüm raporlar,
belgeler ve kanıtlar, bir envanterde veya sistem günlüğünde kronolojik sırayla
kaydedilmelidir. Bazı kanıt örnekleri arasında şunlar bulunur:
o Basılı kopya formunda ve/veya elektronik formda (e-posta olarak veya kişisel
bilgisayarda saklanan bilgiler olarak) mektuplar, kısa notlar ve yazışmalar;
o Bilgisayar dosyaları, büyük defter kayıtları veya diğer finansal ya da elektronik
kayıtlar;
o BT veya sistem erişim kayıtları;
o Güvenlik kamerası videoları veya erişim kimlik kartı kayıtları gibi güvenlik
kayıtları ve zaman kayıtları;
o Dahili telefon kayıtları;
o Sözleşmeler, faturalar ve ödeme bilgileri gibi, hem kamuya açık alanda
bulunan hem de kurumca muhafaza edilen müşteri veya satıcı bilgi ve verileri;
29
o Devlet kurumlarınca tutulan şirket sicilleri gibi resmi kayıtlar veya her türlü
malvarlığı kayıtları ve
o Sosyal ağ siteleri gibi iç ve dış internet siteleri ve haber makaleleri.
 Görüşme yapmak: Soruşturmacı, tanıklar ve kolaylaştırıcı personel gibi kişilerle
görüşecektir. Normalde, suiistimalle suçlanan şahısla en uygun ve kullanılabilir kanıt
elde edildikten sonra görüşülür. Birçok soruşturmacı, ancak yeterli kanıtlara eriştikten
sonra suçlanan şahısla görüşmeyi tercih eder; böylece, bir itiraf elde etme şanslarını
arttırırlar. Suçlanan şahısla yapılan görüşmeye genelde iki kişi katılır: 1) deneyimli bir
soruşturmacı ve 2) görüşme sırasında not alan ve daha sonra gerekirse ve gerektiğinde
tanık olarak gösterilen başka bir kişi. Ayrıca, görüşmeden elde edilen tüm bilgilerin
doğru aktarılması ve açıklanması diğer bir önemli husustur.
Soruşturma faaliyetleri, soruşturma sürecinde uygun zamanlarda, yönetimle, avukatlarla ve
insan kaynakları ve sigorta riski yönetimi gibi diğer uzmanlarla koordine edilmelidir.
Soruşturmacılar, soruşturma kapsamındaki kişilerin hakları ve kurumun kendisinin itibarı
konusunda bilgi sahibi ve haberdar olmalıdırlar. Soruşturmacı, soruşturma sürecini tutarlı ve
tedbirli bir çerçeve dahilinde tutma sorumluluğuna sahiptir.
Suiistimaldeki suç ortaklığının seviyesi ve boyutları tüm kurum genelinde
değerlendirilmelidir. Önemli kanıtların yok olmaması veya bozulmaması açısından ve suça
iştirak etmiş olabilecek kişilerden alınan yanlış yönlendirici bilgilerden kaçınılması açısından
bu değerlendirme kritik bir mahiyet ve öneme sahip olabilir.
Soruşturmada, durum için uygun gözetim ve muhafaza zinciri prosedürleri izlenerek, toplanan
kanıtların yeterli düzeyde emniyet altında tutulmaları gerekir.
D. Suiistimal Soruşturmalarını Raporlamak
Suiistimal soruşturmalarını raporlama süreci, suiistimal soruşturmalarının durumu ve alınan
sonuçlar hakkında üst yönetim ve/veya yönetim kuruluyla yapılan çeşitli sözlü, yazılı, ara
veya nihai iletişimleri kapsar. Raporlar soruşturmanın başlangıcında ve soruşturma devam
ederken verilebilirler.
Soruşturma safhasının sonunda bir yazılı rapor verilebilir veya başka çeşit bir resmi iletişim
kurulabilir. Bu rapor; soruşturmaya başlama nedenini, zaman dilimlerini, gözlemleri, varılan
sonuçları, çözüm yollarını ve kontrolleri iyileştirmek için atılan düzeltici adımları (veya
tavsiyeleri) içerebilir. Soruşturmanın nasıl çözümlenmiş olduğuna bağlı olarak, raporun
soruşturmanın kapsamına giren bazı insanların gizliliklerini koruyacak şekilde kaleme
alınması gerekebilir. Soruşturmacı, raporu yazarken, bir yandan yasal şart ve sınırlamalara ve
kurumun politikaları ve prosedürlerine uymalı, diğer yandan ise yönetim kurulu ve yönetimin
ihtiyaçlarını göz önünde tutmalıdır.
Suiistimal raporlamasıyla ilgili ek mülahazalar şunlardır:
 Suiistimalle ilgili olarak öngörülen nihai raporların bir taslağını gözden geçirmesi için
avukata göndermek. Kurumun avukat-müvekkil gizliliği hakkına müracaat olanağının
30
bulunduğu ve bunu yapmayı seçmiş olduğu durumlarda, ilgili rapor avukata
gönderilir.
 Önemli suiistimal fiilleri veya güven aşınması vakaları yaşandığında, üst yönetim ve
yönetim kurulunu konudan zamanında haberdar etmek.
 Bir suiistimal soruşturmasından alınan sonuçlar, mali bilançoların açıklanmış olduğu
geçmiş bir veya daha fazla yılı kapsayacak şekilde, ilgili suiistimal fiilinin kurumun
finansal konumu ve operasyonel sonuçları üzerinde daha önceden fark edilmemiş ters
bir etkisinin bulunduğuna işaret edebilir. Bu gibi bir sonuca ulaşıldığında, üst yönetim
ve yönetim kurulunun konudan haberdar edilmeleri gerekir; böylece, bu organlar,
genellikle dış denetçilere konu hakkında danıştıktan sonra, uygun raporlamanın nasıl
olması gerektiği konusunda karar verebilirler.
Soruşturmayı iç denetim birimi gerçekleştiriyorsa, gereken görev iletişimleriyle ilgili bilgilere
IIA Standardı 2400: "Sonuçları Bildirmek" maddesi altında ulaşılabilir.
E. Suiistimal Vakalarını Çözüme Kavuşturmak
Çözüme kavuşturma süreci, bir suiistimal tertibi ve suiistimal fail(ler)i tamamen
soruşturulduktan ve kanıtlar gözden geçirildikten sonra, kurumun atacağı adımların
belirlenmesini kapsar. Suiistimal vakalarını çözüme kavuşturmaktan sorumlu olan taraf iç
denetim birimi veya soruşturmacı değil, yönetim ve yönetim kuruludur.
Çözüme kavuşturma süreci, aşağıda sayılan unsurların bazılarını veya hepsini kapsayabilir:
 Başlangıçta şüpheli konumunda olan ancak daha sonra masum oldukları ortaya çıkan
şahıslar açısından konunun kapanmasını sağlamak;
 Endişelerini rapor eden kişiler açısından konunun kapanmasını sağlamak;
 Bir çalışanı, kurumun politikaları, çalışma mevzuatı veya çalışma sözleşmelerine göre
disipline etmek;
 Bir personel, müşteri veya tedarikçiden, mahkemeye başvurulmadan kendi isteğiyle
gerekli tazminatı ödemesini talep etmek;
 Tedarikçilerle olan sözleşmeleri feshetmek;
 Olayı kanun uygulayıcılarına, düzenleyici organlara ve benzeri yetkili mercilere ihbar
etmek; suiistimal faili hakkında kovuşturma açmaları konusunda onları teşvik etmek
ve soruşturma ve kovuşturma süreçlerinde onlarla işbirliği yapmak;
 Suiistimale konu olan parayı kurtarmak için, hukuk davalarına veya benzeri yasal
yollara başvurmak;
 Sigortacıya tazminat talebi başvurusunda bulunmak;
31
 Suiistimal suçunu işleyen kişinin bağlı bulunduğu meslek derneğine bir şikayette
bulunmak ve
 Kontrollerde iyileştirmeler tavsiye etmek.
F. Suiistimal Vakaları Hakkında Kurulan İletişimler
Yukarıda değinilen suiistimal raporlamasına ek olarak, bir soruşturma çerçevesinde
kurulabilecek ve kamusal iletişimler ve planlı iç iletişimler olarak atıf yapılabilecek iki
iletişim tipi daha vardır.
Yönetim veya yönetim kurulu; avukatlar, insan kaynakları personeli ve CAE gibi kişilere
danıştıktan sonra, kurum dışı kuruluşları bilgilendirip bilgilendirmeme konusunda bir karar
verir. Kurum, belirli suiistimal fiili tiplerini devlet kurumlarına bildirmek gibi bir yükümlülük
altında olabilir. Bu devlet kurumları arasında, kanun uygulayıcıları, düzenleyici kurumlar
veya gözetim organları bulunur. Ayrıca, suiistimal durumlarında kurumun sigortacılarını,
bankacılarını ve dış denetçileri uyarması gerekebilir. Basına, kanun uygulayıcılarına veya
diğer üçüncü şahıslara konu hakkında kurum yönetimince yapılacak açıklama ve yorumların
avukatlar aracılığıyla koordine edilmesi en iyisidir. Normalde, dış duyuruları ve yorumları
yalnızca yetkilendirilmiş sözcüler yapar.
Bu süreç dahilinde alınması gereken en önemli kararlardan biri, suiistimal faili hakkında
kovuşturma açılıp açılmayacağıdır. Bu karar, genellikle avukatların görüşleri alındıktan sonra
yönetim ve yönetim kurulu tarafından verilir. Her ne kadar iç denetçilerin bu tip kararlar alma
yetkileri bulunmasa da, açılacak yasal kovuşturmalar sayesinde, ilgili suiistimal fail(ler)inin
başına gelenlerin topluma aksedeceğini ve bunun da muhtemel suiistimal faillerini suç
işlemekten caydırarak cesaretlerini kıracağını yönetime ve yönetim kuruluna kanıtlarıyla
gösterebilirler.
İç iletişimler, dürüstlük ve sağlamlıkla ilgili olarak bulunduğu konumu güçlendirmek, bir
kurum politikası ihlal edildiğinde uygun adımları attığını kanıtlamak (uygunsa ve uygun
olduğunda yasal kovuşturma da dahil) ve iç kontrollerin neden önemli olduklarını göstermek
için yönetim tarafından kullanılabilecek stratejik bir araçtır. Bu gibi iletişimler bir bülten
haberi veya yönetimden gelen bir kısa not formunda olabilir ya da ilgili suiistimal vakası,
kurumun suiistimal eğitim programında bir örnek olarak işlenebilir. Bu iletişimler, genellikle,
vaka, kurum dahilinde çözüme kavuşturulduktan sonra kurulurlar ve verilecek mesaj
açısından önemli olmayan veya ifşası kanuna aykırı olan spesifik soruşturma detaylarını veya
suçu işleyen faillerin adlarını içermezler. Bir soruşturma ve sonuçları, özellikle de suiistimal
vakası kamuya mal olduğunda, kurum genelinde düzeni bozacak önemli bir stres atmosferine
veya moral problemlerine neden olabilir. Yönetim, çalışanlar arasında güven, uyum ve
işbirliğini tekrar kurmak için personel toplantıları ve/veya ekip kurma stratejileri planlayabilir.
G. Öğrenilen Derslerin Analizi
Suiistimal vakasının soruşturması bittikten ve konu hakkında gereken iletişimler kurulduktan
sonra, yönetim ve iç denetim biriminin bir an durup öğrenilen dersleri düşünmesi ve
değerlendirmesi gerekir. Örneğin:
 Suiistimal nasıl oldu da gerçekleşti?
 Hangi kontrollerde başarısız olundu?
 Hangi kontroller etkisiz hale getirildi?
32







Suiistimal neden daha önce tespit edilemedi?
Yönetim, hangi tehlike işaretlerini atladı?
İç denetim birimi, hangi tehlike işaretlerini atladı?
Gelecekte suiistimaller nasıl önlenebilir veya daha kolay tespit edilebilir?
Hangi kontrolleri güçlendirmek gerekiyor?
Hangi iç denetim planlarını ve denetim basamaklarını geliştirmek gerekiyor?
Gereken ek eğitimler nelerdir?
Hem yönetim hem de iç denetçiler, öğrenilen dersler hakkında toplantılar düzenleyebilirler.
Bu toplantılarda alınacak dinamik geri bildirimlerde, suiistimal failleri ve suiistimal tertipleri
hakkında en güncel bilgi ve verilere ulaşmanın önemi üzerinde durulmalı ve bunların
suiistimal-kaynaklı kayıpları önlemek için izlenmesi gereken en iyi uygulamaların hayata
geçirilmesi konusunda hem iç denetçilere hem de suiistimalleri önlemekle görevli olan diğer
birimlere yardımcı olabilecekleri anlaşılmalıdır.
Yönetimin suiistimal politikaları ve prosedürlerinde, sürecin her aşaması için kimin yetki ve
sorumluluğa sahip olduğu tanımlanır. Bu faaliyetlerin iç denetim biriminin bağımsızlığı
üzerindeki etkisi kabul edildiği ve gerektiği gibi idare edildiği müddetçe, iç denetim birimi
sürece danışman sıfatıyla katkıda bulunabilir. Yönetime danışmanlık yapmanın yanı sıra, iç
denetçiler, soruşturmalarda aşağıda sayılan şekillerde faaliyet gösterebilirler:
 İlgili politikaları, prosedürleri ve yürürlükteki kanunları izlemesinde kuruma yardımcı
olmak amacıyla soruşturma sürecini izlemek (iç denetim biriminin soruşturmayı
gerçekleştirmekten sorumlu olmadığı hallerde);
 Zimmete geçirilmiş olan veya ilgili varlıkların yerlerini saptamak ve/veya emniyete
almak;
 Kurumun yasal takibatını, sigorta tazminat taleplerini veya diğer kurtarma planlarını
desteklemek;
 Kurumun soruşturma-sonrası iç ve dış raporlama ve iletişim planlarını ve
uygulamalarını değerlendirmek ve izlemek ve
 Önerilen kontrol iyileştirmelerinin uygulamasını izlemek.
İç denetçiler, normalde, soruşturmanın gerekçelerini ve unsurlarını değerlendirir ve
suiistimale neden olan kontrol zayıflıklarını iyileştirme konusunda yönetime tavsiyede
bulunurlar. İç denetçiler, gelecekte benzer suiistimallerin açığa çıkarılmasında yardımcı
olması için denetim programlarındaki basamakları tasarlayabilir veya “suiistimal denetimi”
programları geliştirebilirler.
33
34
SUİİSTİMALLE İLGİLİ İÇ KONTROLLER HAKKINDA BİR GÖRÜŞ
OLUŞTURMAK
Yönetim veya yönetim kurulu, iç denetçiden, kurumun suiistimalle ilgili uyguladığı iç kontrol
sistemi hakkında bir görüş bildirmesini isteyebilirler. Bu konu hakkında daha fazla bilgi
almak için aşağıdaki yayınlara bakınız:
 IIA’nın Uygulama Önerileri, 2410 serisi ve
 IIA Uygulama Rehberi, İç Kontroller Hakkında Görüş Açıklarken İç Denetim
Biriminin Dikkate Alması Gereken Tatbiki Mülahazalar
35
EK A – REFERANS MATERYALLER
Uluslararası İç Denetçiler Enstitüsü (IIA), Uygulama Önerisi 1210-1: Yeterlilik,
www.theiia.org
IIA, Uygulama Önerisi 1210-A1-1: İç Denetim Faaliyetini Desteklemek veya Tamamlamak
Amacıyla Dış Hizmet Sağlayıcılarından Hizmet Almak, www.theiia.org
IIA, Uygulama Önerisi 1220-1: Azami Mesleki Özen ve Dikkat, www.theiia.org
IIA, Uygulama Önerisi 2030-1: Kaynak Yönetimi, www.theiia.org
IIA, Uygulama Önerisi 2060-1: Üst Yönetim ve Yönetim Kuruluna Raporlamalar,
www.theiia.org
IIA, Yolsuzluğa Karşı Mücadeleye Katılmak (Joining the Fight Against Corruption), 2009,
www.theiia.org
IIA, Kötüye Kullanma, Suiistimal ve Rüşveti Önleme ve Belirlemede İç Denetimin Rolü (The
Role of Internal Auditing in Preventing and Detecting Misuse, Fraud and Bribery), Patty
Miller, Şubat 2007
IIA, SOX Bölüm 404: İç Kontrol Uygulayıcılarının Yönetim İçin Düzenlediği Bir Rehber (A
Guide for Management by Internal Controls Practitioners), ikinci baskı, IIA, 2008,
www.theiia.org
IIA Research Foundation, Suiistimal Riskini Değerlendirmek İçin Mali Olmayan Ölçütler
Kullanmak (Using Non-Financial Measures to Assess Fraud Risk), Brazel, Jones ve
Zimbelman, Ağustos 2008, www.theiia.org
Internal Auditor Magazine, “Suiistimal Riski Değerlendirmesi” (Fraud Risk Assessment),
Jonny Frank, Nisan 2004, www.internalauditoronline.org
Internal Auditor Magazine, “Başarılı Bir Suiistimal Riski Değerlendirmesi İçin Atılması
Gereken Dört Adım” (4 Steps to a Successful Fraud Risk Assessment), Paul Zikmund, Şubat
2008, www.internalauditoronline.org
Internal Auditor Magazine, “Risk Matrisinin Yeniden Değerlendirilmesi” (Risk Matrix
Revisited), Larry Hubbard, Nisan 2009, www.internalauditoronline.org
Internal Auditor Magazine, Suiistimal Sorununa Odaklanmak (Focusing on Fraud Issue),
Ekim 2009, www.internalauditoronline.org
Serbest Muhasebecilik Mali Müşavirlik
Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA), “Denetçinin Suiistimal Sorumluluğu
ve Mesleki Şüpheciliğin Önemi” (The Auditior’s Responsibility for Fraud and the Importance
of Professional Skepticism), 2008, www.acipa.org
36
Deloitte, Suiistimal ve Yasal Düzenleyici Ortam (Fraud & the Regulatory Environment),
Stefan DuChene, Mart 2006,
https://www.tmaccalgary.com/presentation/Stefan%20DuChene.ppt
KPMG LLP, Bir Suiistimalci Araştırmasının Profili (Profile of a Fraudster Survey), 2007,
www.us.kpmg.com
KPMG LLP, Suiistimal Risk Yönetimi: Önlemek, Belirlemek ve Cevap Vermek için Bir
Strateji Geliştirmek (Fraud Risk Management: Developing a Strategy for Prevention,
Detection and Response), 2006, www.us.kpmg.com
PricewaterhouseCoopers (PwC), İç Denetim 2012: İç Denetimin Geleceğini ve KontrolMerkezci Yaklaşımın Sahneden Çekilme Potansiyelini İnceleyen Bir Çalışma (Internal Audit
2012: A Study Examining the Future of Internal Auditing and the Potential Decline of a
Controls-centric Approach), 2007, www.pwc.com
Sertifikalı Suiistimal Araştırmacıları Derneği (ACFE)
Sertifikalı Suiistimal Araştırmacıları Derneği (ACFE) / Amerikan Yeminli Serbest
Muhasebeciler Enstitüsü (AICPA), Suiistimal Araçları (Fraud Tools), www.acfe.com
ACFE, Mesleki Suiistimal & Görevi Kötüye Kullanma Hakkında Ulus Karşılaştırmalı 2008
ACFE Raporu (2008 ACFE Report to the Nation on Occupational Fraud & Abuse), 2008,
www.acfe.com
ACFE, “Suiistimal Size ve Kurumunuza Nasıl Zarar Verir?” (How Fraud Hurts You and Your
Government Organization), http://www.acfe.com/resources/fraud-tools.asp?copy=video
ACFE,
“Örnek
Suiistimal
Politikası”
(Sample
http://www.acfe.com/documents/samplke_fraud_policy.pdf
Fraud
Policy),
Ortaklaşa Çıkarılan Makaleler
IIA, ACFE ve AICPA, Suiistimalin Neden Olduğu İş Risklerini Yönetmek: Bir Uygulama
Rehberi (Managing the Business Risk of Fraud: A Practical Guide), 2008, www.theiia.org
IIA, ACFE, Bilgi Sistemi Hesap Verebilirliği ve Kontrol Denetçileri, Finansal Yöneticiler
Enstitüsü, Yönetim Muhasebecileri Enstitüsü ve İnsan Kaynakları Profesyonelleri Derneği,
Suiistimal Karşıtı Yönetim Programları ve Kontrolleri: Suiistimali Önlemek, Caydırmak ve
Tespit Etmek İçin Yardımcı Rehber (Management Anti-Fraud Programs and Controls:
Guidance to Help Prevent, Deter and Detect Fraud), 2002
Muhtelif Yayınlar
Howard Silverstone ve Howard Davia, Suiistimal 101: Önlemek İçin Teknikler ve Stratejiler
(İkinci Baskı) (Techniques and Strategies for Prevention (Second Edition)), 2005
37
EK B – DİKKATE ALINMASI GEREKEN SORULAR
Denetim komitesi de dahil, kurumun tüm kademelerinde suiistimal hakkında uygun zamanda
uygun tartışmalar gerçekleştirilmesi, iç denetim biriminin bu alanda proaktif bir rol
üstlendiğini gösterir. İç denetçilerin suiistimal hakkında düzenli olarak sorabilecekleri
sorulardan bazıları şunlardır:
1. Kurumda, suiistimal soruşturmaları için sorumlulukları dağıtmaya ve atamaya yarayan
bir suiistimal yönetişim yapısı mevcut mu?
2. Kurumun bir suiistimal politikası var mı?
3. Kurum, iş yaptığı ülkelerde suiistimal fiilleri hakkındaki geçerli yürürlükteki kanunları
ve mevzuatı belirledi mi?
4. Kurumun suiistimal yönetim programı, iç denetimle koordinasyonu da kapsıyor mu?
5. Kurumun bir suiistimal yardım hattı var mı?
6. Denetim tüzüğünde, iç denetçilerin suiistimallerde oynadıkları roller ve üstlendikleri
sorumluluklar tanımlanıyor mu?
7. Kurum dahilinde suiistimal için belirleme, önleme, cevap verme ve bilinç ve uyanıklık
sorumlulukları atanmış mı?
8. Yönetim ve CAE, denetim komitesine suiistimaller hakkında güncel bilgi veriyor mu?
9. Yönetim, kurum dahilinde suiistimal konusunda bilinç ve uyanıklığı ve suiistimal
eğitimini destekliyor mu?
10. Yönetim, suiistimal riski değerlendirmelerine önderlik ediyor mu ve iç denetim
birimini değerlendirme sürecine dahil ediyor mu?
11. Suiistimal riski değerlendirmelerinden alınan sonuçlar, denetim planlama sürecinde
dikkate alınıyor mu?
12. Suiistimal hakkında periyodik olarak bilinç ve uyanıklık programları ve eğitim
programları tüm çalışanlar için düzenleniyor mu?
13. Suiistimalleri önlemek, tespit etmek ve
kullanabileceği otomatik araçlar mevcut mu?
soruşturmaktan
sorumlu
olanların
14. Yönetim, kendi sorumluluk alanlarındaki potansiyel suiistimal riski tiplerini belirleyip
tanımladı mı?
15. Yönetim ve CAE, meslek örgütlerinin hangisinden suiistimal hakkında rehberlik
alabileceklerini biliyorlar mı?
16. Yönetim ve iç denetçiler, suiistimalle ilgili mesleki sorumluluklarını biliyorlar mı?
38
17. Yönetim, suiistimalleri önlemek, tespit etmek ve soruşturmak için uygun kontrolleri
bir araya getirdi mi?
18. Yönetim, suiistimal soruşturmaları yapmak için gereken uygun becerilere sahip mi?
19. Yönetim ve iç denetim birimi, suiistimal kontrollerinin etkililik ve verimliliklerini
dönemsel olarak değerlendiriyorlar mı?
20. Suiistimal soruşturmalarıyla ilgili çalışma kağıtları ve destekleyici dokümanlar, uygun
koşullarda emniyet altında tutulup muhafaza ediliyor mu?
Not: Bu bir kontrol listesi değildir. Ne belirli bir kurumda suiistimal risklerini değerlendirmek
için gerekebilecek soruların tümünü içermekte, ne de sorulara verilen cevaplar temelinde
yöneltilmesi gerekebilecek takip sorularını kapsamaktadır. Dolayısıyla, denetçiler, kendi
araçlarını oluştururken ve suiistimal riskleri hakkında beyin fırtınası yaparken bu soru listesini
kullanabilirler.
39
EK C – SUİİSTİMAL RİSKİ DEĞERLENDİRMESİ ŞABLONU
Bu tablo, örnek niteliğinde bir suiistimal riski değerlendirmesi şablonu görevini görmektedir.
Bu şablonu kurumunuzda uygulanan suiistimal riski değerlendirmesi için uyarlarken çeşitli
düzenlemeler veya ayarlamalar yapmanız gerekmektedir.
Sahip
Suiistimal Riskleri
İnşaat
Departmanı
Yüklenici ve alt yüklenici
arasında yolsuzluk.




İhaleye fesat karıştırma;
Rüşvetler/gayriresmi
komisyonlar
İzleme
Kontroller





Fiyat
teklifinden
önce
yükleniciler araştırılır (mali
ödeme gücü, itibar).
Bir ana yüklenici (GC)
seçilirken,
resmi
ihale
prosedürleri
kullanılır.
Örnek: Kapalı Teklif Usulü.
Alt yüklenici seçimi: __ $
sınırını aşan tüm işler için,
GC tarafından rekabete açık
ihale düzenlenmesi gerekir.
İhale sürecinin sağlam ve
dürüst bir temelde devam
etmesini sağlamak için, alt
yüklenicilere İhale Teyit
Mektupları gönderilir.
Geçmiş suiistimal veya etik
ihlallerine yönelik taramalar
da dahil, arka plan kontrolü
yapılır. Ayrıca, Etik Beyanı
için GC’nin imzası alınır.
Suiistimal
yardım
hattı
numarası şantiyede görünür
bir yere asılır.
Sözleşmeye
uyulup
uyulmadığını belirlemek ve
usulsüzlükleri
araştırmak
amacıyla, seçilmiş projeler
için periyodik iç denetimler
tamamlanır.




İnşaat
Departmanı
Tedarik
Hukuk
İç Denetim
İhtimal
Etki
Orta
Orta
40
Sahip
Suiistimal Riskleri
İnşaat
Departmanı
Tasarım ve inşaat kusurları
(düşük
kalite
malzeme
kullanılmış
&
inşaat,
şartnamelere
uygun
gerçekleştirilmemiş).

İzleme
Kontroller


İtibar riski (şantiyede
yaralanma veya ölümle
sonuçlanan kaza).


İşin
kapsamı
hakkında
ayrıntılı
ifadeler
(şartnameler) içeren bir
inşaat sözleşmesi imzalanır.
İşin
takvime
uygun
ilerlediğini ve inşaatın ilgili
şartname
ve
kanunlara
uygun devam ettiğini teyit
etmek için, mimarlar, yerel
inşaat
kontrolörleri,
komisyoncu acenteler ve iş
sahibinin inşaat temsilcileri
şantiyeyi periyodik olarak
ziyaret ederler.
Suiistimal yardım hattı
numarası şantiyede görünür
bir yere asılır.
Sözleşmeye
uyulup
uyulmadığını belirlemek ve
usulsüzlükleri
araştırmak
amacıyla, seçilmiş projeler
için periyodik iç denetimler
tamamlanır.



İnşaat
Departmanı
Hukuk
İç Denetim
İhtimal
Etki
Orta
Yüksek
41
Sahip
Suiistimal Riskleri
İnşaat
Departmanı
Yüklenicinin çeşitli kalemleri
fazla göstermesi:








Fiyat;
Miktar;
Aynı mal veya hizmet
için iki defa ücret
istenmesi;
Sanal faturalar;
Alım
ıskontolarının
hesaba geçirilmemesi ve
İlgili taraf işlemleri.
İzleme
Kontroller






Yönetim, faturaları gözden
geçirir ve onaylar.
Her projenin harcamalarını
izlemek ve yatırım bütçesiyle
harcamalar arasındaki önemli
farkların
nedenlerini
belirlemek için proje maliyeti
izlenir.
Bütçe
aşımları
tüm
yönleriyle
araştırılır
ve
sözleşme fiyatında herhangi
bir
eskalasyon
veya
ayarlamadan önce onay
alınır.
İşin kapsamında yapılacak
herhangi
bir
değişiklik,
yönetime ait bir gözden
geçirme
ve
çalışma
başlamadan önce alınmış
onayla birlikte bir yazılı
değişiklik tahmini içerir.
İş sahibinin inşaat keşif
uzmanları, uygunluk ve
rekabetçilik
açısından
maliyet
artışlarını
veya
kredileri gözden geçirirler.
Sözleşmede,
ilgili
taraf
işlemleri veya iştiraklerin
açıklanması ve iş sahibi
tarafından
onaylanması
gerektiği belirtilir. Kredi
raporları elde edilir veya
rastgele internet aramaları
gerçekleştirilir.
Suiistimal
yardım
hattı
numarası şantiyede görünür
bir yere asılır.
Sözleşmeye
uyulup
uyulmadığını belirlemek ve
usulsüzlükleri
araştırmak
amacıyla, seçilmiş projeler
için periyodik iç denetimler
tamamlanır.






İnşaat
Departmanı
Sermaye
Tahsis
Komitesi
Hukuk
Keşif
Uzmanları
Kontrolörler
İç Denetim
İhtimal
Etki
Orta
Orta

42
Sahip
Suiistimal Riskleri
İnşaat
Gerçekleştirilememe (adem-i
Departmanı ifa)
İzleme
Kontroller





Hakedişlerin
yükleniciye
ödenebilmesi
için,
bir
Yüklenici
Rehin
Fekki
Belgesinin imzalanması ve
noter tasdikinden geçirilmesi
gerekir.
Yüklenicinin sözleşmeden
doğan
yükümlülüklerini
yerine getirmeme riskini
karşılamak için bir Kesin
Teminat Mektubu hazırlanır.
Proje işlerinin yüzde 100’ü
bitene ve yüklenici rehin
fekki belgeleri alınana kadar,
yüklenici
hakedişlerinin
belirli bir kısmı alıkonulur ve
ödenmez (pey akçesi).
Suiistimal
yardım
hattı
numarası şantiyede görünür
bir yere asılır.
Sözleşmeye
uyulup
uyulmadığını belirlemek ve
usulsüzlükleri
araştırmak
amacıyla, seçilmiş projeler
için periyodik iç denetimler
tamamlanır.

İş sahibi, şantiyede yapılan
işi izlemesi için bir proje
müdürü atar.
İş sahibi şantiye temsilcisi;
ekipmanlar
ve
şantiye
malzemeleri
kontrol
prosedürleri uygulamalarını
gözetler.
Şantiye güvenlik görevlileri
işe alınır.
Suiistimal
yardım
hattı
numarası şantiyede görünür
bir yere asılır.
Sözleşmeye
uyulup
uyulmadığını belirlemek ve
usulsüzlükleri
araştırmak
amacıyla, seçilmiş projeler
için periyodik iç denetimler
tamamlanır.



İhtimal
Etki
İnşaat
Departmanı
Kontrolörler
İç Denetim
Orta
Düşük
İnşaat
Departmanı
İç Denetim
Yüksek
Düşük

İnşaat
Departmanı
Malzemelerin / ekipmanların
işyerinden çalınması veya
başka bir yere götürülmesi







43
YAZARLAR

Gregory S. Dubis, CIA, CCSA, CISA, CFE

Abraham D. Akresh CPA, CGFM

Princy Jain: CIA, CCSA, CFE ve CA (Hindistan)

Lynn Morley, CIA, CGA

Theresa M. Phipps, CPA

Richard A. Schmidt, CPA, CIA, CFE
Gözden Geçirenler ve Katkıda Bulunanlar

Douglas J. Anderson, CIA, CPA

Steve Hunt, CIA, CISA, CGEIT, CBM

Ken Askelson, CIA, CPA, CITP

Rich Lanza, CPA, CFE, PMP

Peter Millar

Marilyn Prosch, Ph.D.

Donald E. Sparks, CIA, CISA, ARM
44
Enstitü Hakkında
1941 yılında kurulan The Institute of Internal Auditors (IIA) (Uluslararası İç Denetçiler
Enstitüsü), dünya genel merkezi Altamonte Springs, Fla., ABD’de bulunan bir uluslararası
meslek örgütüdür. IIA; iç denetim mesleğinin global sesi, tanınmış ve kabul edilmiş otoritesi,
genel kabul gören lideri, baş savunucusu ve baş eğitmenidir.
Uygulama Rehberleri Hakkında
Uygulama rehberleri, iç denetim faaliyetlerinin nasıl gerçekleştirilmeleri gerektiği konusunda
ayrıntılı bir kılavuz bilgisi sağlar. Bu rehberler; süreç ve prosedürler hakkında ve daha
spesifik olarak, araçlar ve teknikler, programlar ve basamak-basamak yaklaşımlar ve ayrıca
proje çıktısı örnekleri hakkında ayrıntılı bilgi ve veriler sunan belgelerdir. Pozisyon Raporları,
IIA’nın Uluslararası Mesleki Uygulamalar Çerçevesinin bir parçasıdırlar. Kuvvetle Tavsiye
Edilen rehberler kategorisinin bir parçası olarak, bunlara uyum zorunlu değildir, fakat
kuvvetle tavsiye edilirler ve bu rehberler, IIA’nın resmi inceleme ve onay sürecinden
geçirilmek suretiyle onaylanmışlardır. IIA’nın yayımladığı ve sunduğu başka yol gösterici
rehber materyalleri ve belgeleri için, lütfen www.theiia.org/guidance adresindeki web sitemizi
ziyaret ediniz.
Sorumluluğun Reddi Beyanı
IIA, bu dokümanı sadece bilgi vermek ve eğitim amacıyla yayımlamıştır. Bu rehber
materyalinin belirli somut münferit durum ve koşullara kesin cevaplar vermek gibi bir işlevi
veya amacı yoktur ve dolayısıyla, bu rehber sadece bir rehber ve kılavuz olarak görülmeli ve
böyle kullanılmalıdır. IIA, herhangi bir özel durumla karşılaştığınızda daima bağımsız uzman
görüşü ve tavsiyesi almanızı tavsiye eder. IIA, sadece bu rehbere dayanarak hareket eden
kişiler için herhangi bir sorumluluk kabul etmez.
Telif Hakkı Uyarısı
Bu pozisyon raporunun telif hakları, IIA’ya aittir. Bu rehberi çoğaltma izni almak için, lütfen
[email protected] adresinden IIA ile temas kurunuz.
IIA
THE INSTITUTE OF INTERNAL AUDITORS
[ULUSLARARASI İÇ DENETÇİLER ENSTİTÜSÜ)
GLOBAL GENEL MERKEZ
247 Maitland Ave.
Altamonte Springs, FL 32701 USA
Telefon
Faks
Web sitesi
: +1-407-937-1111
: +1-407-937-1101
: www.theiia.org
45