ÖZET

Suistimal, şirketlerin gelirlerinin %5'ini kaybetmesine neden olabilen bir risk iken, aslında bu riskle baş etmek mümkün. Her şirketin bu riskle baş etmek için, öncelikle mevcut süreçlerindeki riskleri ortaya koymasıyla başlayan bir "Suistimal Risk Yönetimi Programı" oluşturması gerekiyor. Peki, ama nasıl?

Anahtar Kelimeler: Suistimal Riski, Gelir Kaybı, Önleme, Ortaya Çıkarma, Tekrarını Engelleme.

GİRİŞ

Bir şirket yöneticisinin en büyük kâbuslarından biri şu olmalı: Bir sabah uyanıp, uzun yıllardır beraber dirsek çürüttüğü çalışanlarından birinin, şirketin yıllık brüt satışlarının %5'ine denk gelen bir tutarda suistimal gerçekleştirdiğini görmek!

Peki, aslında bunun hiç de uzak bir ihtimal olmadığını bilmek? Uluslararası Suistimal İnceleme Uzmanları Derneği ("ACFE")'nin iki yılda bir gerçekleştirdiği araştırma, hangi sektörde olursa olsun tüm şirketlerin, cirosunun %5'i ile %7'si arasında bir tutarı suistimal nedeniyle kaybetme riski olduğunu ortaya koymaktadır1. Üstelik bunu gerçekleştirenler, dışarıdaki kişi ve şirketlerle işbirliği yapsa da, nihayetinde şirketlerin kendi çalışanları; ücret ödedikleri, etik davranmalarını ve yüksek performans göstermesini bekledikleri, kendi çalışma arkadaşları...

Hâl böyle olunca, suistimal riskiyle baş etmek, yönetim kurullarına düşen önemli bir görev hâlini alıyor. Peki, mümkün mü? Başarılı ve şirkete özel bir "Suistimal Risk Yönetimi" politikasıyla elbette mümkün.

SUİSTİMAL RİSK YÖNETİMİ

Başarılı bir "Suistimal Risk Yönetimi Programı", üç aşamadan oluşur:

1) Tedbir Alma

Şirket yönetimlerinin suistimal konusunda ilk yapmaları gereken, suistimali önleyici tedbirler almaktır. Bunun için de yapılabilecek pek çok şey arasında en uygun maliyetli ve kolay olanlar, aşağıda özetlenmiştir:

  1. Suistimal Karşıtı Kültür Oluşturmak: Bu konunun sahibinin, şirketin üst düzey yönetimi olması; yapılan toplantılarda, tüm çalışanlara yazılan e-postalarda ve en önemlisi de verilen kararlarda, suistimalin, kim tarafından gerçekleştirilirse gerçekleştirilsin sıfır toleransla karşılaşacağının belirtilmesi gerekmektedir.
  2. Süreç Analizleri: Şirketin hassas süreçleri öncelikli olmak üzere; satış, satın alma, üretim, muhasebe, finans, insan kaynakları, bilişim teknolojileri, ar-ge gibi süreçleri üzerinde, suistimal önleme bakış açısıyla bir analiz yapılması, süreçteki risklerin ortaya çıkarılması ve gerekli kontrol mekanizmalarının konulması önemlidir. Böylelikle suistimal riski çok azaltılabilmekte, aynı zamanda da suistimal gerçekleştirme niyeti olan çalışanlara, bu konunun incelenip gözden geçirildiği gösterilerek onların bir adım geri atmaları sağlanabilmektedir.
  3. Politika ve Prosedürler: Yapılan analizlere uygun olarak, suistimal riskini azaltıcı sistemlerin şirket politika ve prosedürlerine dâhil edilmesi, yoksa bu prosedürlerin, bu sistemlerin de dâhil olduğu bir şekilde yazılması, iş yapış şekillerini standart ve kontrol edilebilir hale getirecektir.
  4. Davranış Kurallarının Oluşturulması (?): Her insanın değerleri farklı olduğu gibi, her şirket için de doğru ve yanlış davranışlar, uygun olan ve olmayan kararlar farklı olabilir. Şirketlerin, kendi çatısı altında doğru olan davranışları tanımladığı, insanlara işle ilgili verdikleri kararlarda yardımcı olacak "Davranış Kuralları"nı, bir diğer deyişle "İş Etiği Kuralları"nı, mümkünse şirket çalışanları ve yöneticilerinin de dâhil olduğu bir ekiple oluşturması önemlidir.

    Ancak "Davranış Kuralları"; yazılıp çekmecelerde, panolarda, intranetlerde unutulan bir doküman olmayıp; eğitimlerle, aktivitelerle hatırlatılan, üzerinde konuşulan, uygulama alanları tartışılan bir doküman olduğu takdirde suistimal riskini azaltıcı bir rol oynar.

    Hatta ileri aşamalarda, bu kurallardan, tedarikçilerin ve müşterilerin de haberdar edilmesi, onların da bu konuda eğitim alması sağlanabilir.
  5. Üçüncü Şahıs Değerlendirmeleri: Şirketlerin, suistimal riski ile karşılaşmalarına neden olan kişilerin, çalışanları, müşterileri ve tedarikçileri olduğu düşünülürse, bu paydaşların herhangi biriyle ilişki başlatmadan önce, ciddi bir değerlendirmeden geçirilmesi önemlidir. Bu, çalışan adayları için referans görüşmeleri, müşteri ya da tedarikçiler için de çalışılmaya başlamadan önce gerçekleştirilecek piyasa ve kredibilite araştırmaları olabilir.

2) Ortaya Çıkarma

Ne kadar tedbir alınırsa alınsın, konunun öznesi insan olunca, suistimal riskini sıfırlamak mümkün değildir. Bu nedenle önlemenin yanı sıra, ortaya çıkarmak için de sistemler kurulması önemlidir. Çünkü suistimallerin ortaya çıkma süresi ortalama 18 aydır ve bu, suistimalcinin şirketini, muhtemelen artan bir sıklık ve tutarla zarara uğrattığı anlamına gelir. Zararı en aza indirmek için de, suistimali mümkün olan en kısa zamanda ortaya çıkaracak mekanizmalar kurulması gerekir.

  1. Bildirim Mekanizması: Yapılan araştırmalar2, suistimalin en çok ortaya çıkmasını sağlayan metodun (%39.5), çalışanların yani suistimale en erken aşamada şahit olan kişilerin şüphelerini bildirebilecekleri bir raporlama mekanizması kurulması olduğunu göstermektedir. Bu nedenle de şirketlerin, kendilerine en uygun metodu belirleyip, bir raporlama mekanizması ve bu mekanizmanın kullanılması için de doğru kültürü oluşturmaları önem arz etmektedir.
  2. Veri Analizleri: Günümüzde şirketlerin çoğu, artık hem muhasebe sistemlerini hem de üretim, satış ve satın alma işlemlerini ERP dediğimiz programlar ile kayıt ve takip ediyorlar. Şimdilerde, veri analizi programları aracılığı ile şirketlerin, yukarıda anlatıldığı gibi daha önceden belirlenmiş risklerinin, çeşitli senaryolarla bu ERP'lere entegre edilmesi yöntemiyle, belirlenen riskler ortaya çıkar çıkmaz haberdar olunabilmektedir. Veri analizlerinin, bilgisayar programları üzerinden yapılmayan bölümleri olan stok sayımları, gizli müşteri, habersiz denetimler gibi prosedürler ise suistimallerin erken ortaya çıkarılması konusunda işe yaramaktadır. c) Soruşturmalar: Bildirimler şirket yönetimine ulaştıktan ya da herhangi bir şüphe hâsıl olduktan sonra, en önemli konu, ilk 48 saat içinde yapılacak çalışmalar ve alınacak önlemlerdir. Bu önlem ve çalışmaların, bir suistimal şüphesi doğmadan önce şirket yönetimleri tarafından, hukukçuların da görüşü alınarak bir protokole dönüşmesi ve tüm şirket yönetimi olarak, suistimal gibi aniden ortaya çıkan bir riske hazır bulunulması önemlidir. Suistimalin delilleri de, tıpkı diğer pek çok suç gibi, ilk şüphe ortaya çıktığında bulunması çok daha kolay delillerdir.

3) Tekrarından Kaçınma

Bir Çin atasözü, "her felaketin aynı zamanda bir fırsat da olabileceği"ni söyler. Suistimal de şirketlerin başına gelmesi hiç istenmeyen kötü olaylardan biri olmakla birlikte, eğer gerçekleşmişse, onu bir fırsata dönüştürmek, yapılabilecek en akıllıca tercihtir. Bunun için de suistimal ortaya çıkmadan önce ve çıktıktan sonra atılacak adımlar vardır.

  1. İletişim: Bir suistimal durumunda şirket içinde ve dışında gerçekleştirilecek iletişim büyük önem taşır. Çalışanların moral ve motivasyonu; müşterilerin, tedarikçilerin, finans kurumlarının, kamuoyunun ve kamu kurumlarının şirkete olan yaklaşımının olumsuz olmaması tamamen gerçekleşecek iletişime bağlıdır. Bu konuda başarılı olabilmek için de öncesinden hazırlıklı olmak gerekir.
  2. Kontrollerin / Politika ve Prosedürlerin Güncellenmesi: Suistimalin gerçekleşmesine olanak veren alanlar, kontrollerin yeterli olmadığı, doğru dizayn edilmediği ya da etkinliğini yitirdiği alanlardır. Bu nedenle, bu alanlar belirlenerek gerekiyorsa yeni kontrol mekanizmaları konulması, gerekiyorsa kontrol mekanizmalarının güncellenmesi, bunlara bağlı olarak da yeni işleyişi anlatan politika ve prosedürlerin güncel hale getirilmesi önem taşımaktadır. Böylece aynı konuda başka risklerle karşılaşılması olasılığı azaltılmış olur.
  3. Eğitimlerin Tekrarlanması: Gerek suistimalin daha çabuk ortaya çıkarılması, gerekse şirketteki kabul edilebilir ve edilemez davranışların netleştirilmesi için, belirli periyodlarda "İş Etiği Kuralları" eğitimlerinin ve "Suistimal Farkındalık" eğitimlerinin, yeni vaka çalışmalarıyla tekrarlanması, etkili bir yöntem olacaktır.

SONUÇ

Suistimal, her ne kadar şirketlere hem para hem motivasyon hem zaman hem kredibilite hem de itibar kaybettirebilen önemli bir risk olsa da bu riski ciddi düzeyde azaltmak mümkündür. Bunun içinse yapılacak tek şey, çok ciddi maliyetlere ve zaman kayıplarına neden olmayan, "Suistimal Risk Yönetimi Programları"nın hayata geçirilmesidir.

Footnotes

1. ACFE, Report to the Nations, 2016

2. ACFE, Report to the Nations, 2016

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.