YAZARLAR
Emrullah ÖNALAN
Mehmet Zeki İŞCAN
Cevat GERNİ
Hasan SAĞINDIK
Seyfullah TÜRKSOY
Menderes ALPKUTLU
Lütfü ŞEHSUVAROĞLU
Turan GÜVEN
M. Hanefi PALABIYIK
Kemal Polat
İrfan SÖNMEZ
Mustafa AKIN
Hacı GÜRHAN
Hafize ŞAHİNER
Fatma Sönmez
Ahmet ÜNAL
İrfan SEVİNÇ
Şahabettin YILDIZ
Oğuzhan ÖLMEZ
Ahmet Coşkun DÜNDAR
Muharrem BİTİREN
Mehmet SAĞLAM
Mete ÖZDİKİCİ
Ahmet ÖZTÜRK
Ufuk ÜNAL
B.BARIŞ KERİMOĞLU
M.Çağdaş ÇAYIR
Ahmet İZZETGİL
ERHAN HAŞLAK
Veysel AŞKIN
Suat UNGAN
Hayrullah DEMİR
Cemil İLBAŞ
Tahsin BULUT
Coskun KÖKEL
Bülent KARAKELLE
Senar BAŞAK
Küşat TAŞKIN
Orhan ARSLAN
Hakkı DURU
Hüseyin AKDOĞAN
Osman Kenan AKSOY
Hayrettin NEŞELİ
Kerim Alperen İBİŞ
R.Alparslan TOMBUL
Mehmet DOĞAN
Ali ARASOĞLU
Manaf BAGİRZADE
Zülfikar ÖZKAN
Veysi ERKEN
Abdulnasir KIMIŞOĞLU
Ömer YÜCE
Cengiz Yavilioğlu
Kemal YAVUZ
M.Lütfü YILDIZ
Orhan İBİŞOĞLU
Mehmet OKKALI
İsmet TAŞ
İsmail GÜVENÇ
M.Alperen ÇÜÇEN
Orhan KAVUNCU
Mustafa Toygar
Mete GÜNDOĞAN
Sadi SOMUNCUOĞLU
Ertugrul ASİLTÜRK
Yunus EKŞİ
Muhammet Esat KESKİN
Yücel OĞURLU
Aynur URALER
Hasan Gökhan Kotan
Mehmet Akif OKUR
Bozkurt Yaşar ÖZTÜRK
Mahmut Celal ÖZMEN
Fazlı POLAT
Mustafa İLBAŞ
Serkan AKIN
Musa IŞIN
Gündüz GÜNEŞ
Enver Alper GÜVEL
Necdet TOPCU
Onur ERSANÇMIŞ
Mehmet Bozdemir
Fahri Akmansoy
M. İkbal Bakırcı
M.Talât UZUNYAYLALI
Rubil GÖKDEMİR
Zeki ŞAHİN
Özkan ÖZKAYA
Dr. Muhsin YILMAZÇOBAN
İparhan UYGUR
Sami ŞENER
Hakkı ÖZNUR
Mehmet MUTLUOĞLU
Nurettin KALDIRIMCI
Ali Rıza MALKOÇ
Namık Kemal ZEYBEK
Atilla BİTİGEN
Mahmut Zeki ÇABUK
Emre KESKİN
Şener MENGENE
Selami BERK
Mehmet MUTLUOĞLU
Abdullah NEHİR
Gafur OTURAK
Recai ÇELİK
Ahmet Berhan YILMAZ
Nazmi ÖLMEZYİĞİT
Necdet BAYRAKTAROĞLU
Tarık Sezai KARATEPE
nikaO
Mustafa Duman
Ramazan ASLANBABA
Feyzullah BUDAK
Mahmut Esfa EMEK
Orhan SÖYLEMEZ
Asiye TÜRKAN
MİLLİ VİCDAN
KONUK MAKALELERİ
YOLSUZLUĞUN TESPİT VE ÖNLENMESİNDE BİLGİSAYAR DESTEKLİ DENETİM TEKNİKLERİ
Bu makale 3.Ulusal Kurumsal Yönetim, Yolsuzluk, Etik ve Sosyal Sorumluluk Konferansı'nda bildiri olarak yayınlanmıştır.
millivicdan.org - 1. Giriş
Günümüzde teknoloji insan hayatının tamamını etkisi altına almış durumdadır. İnsan oğlu bir yandan bu teknolojik imkanlardan faydalanıp yarar sağlamakla birlikte diğer yandan zarar görebilmektedir. Suiistimal açısından bakıldığı zaman ise bir çok suçlu teknolojinin sunduğu imkanları kullanarak suç işleyebilmektedir. Smith (2005) “Neredeyse her finansal suiistimalin oluşumunda muhakkak bir bilgisayar ve dijital dünyanın sunduğu bir ekipman vardır” demiştir. Volonino, Anzaldua and Godwin (2006) bilgisayar ortamında işlenen suçları ikiye ayırmıştır, bunlar bilgisayarın hedef olduğu diğeri de araç olduğu durumlardır. Bilgisayarın hedef olduğu suçlarda doğrudan yerel ağa veya bilgisayara saldırılar düzenlenir, çökmesine sebebiyet verilir veya doğrudan bilgisayarlar araç olarak kullanılarak bilgisayar içerisinde yer alan gizli verilerin elde edilmesi veya çıkar amaçlı kullanılması ile sonuç bulabilir. Dijital ortamdaki delliller fiziki delillere nazaran çoğunlukla farkında olmadan kolayca yok edilebilirler Smith (2005). Bu nedenle denetim bakışı ile teknoloji bir yerde suiistimale imkan tanıyan ve yardımcı olan bir düşman olarak nitelendirilebilir.
Teknolojik gelişmelerle birlikte artan suiistimal yöntem ve zararlarına paralel olarak suiistimal önlemede bilgisayar teknolojilinin kullanımı da artmıştır. Konuyla ilgili olarak yaşanmış en hızlı ve etkin gelişme doğrudan bu hedefe yönelik olarak hazırlanmış Bilgisayar Destekli Denetim Araç ve Teknikleri'nin (BDDAT) (Computer Asisted Audit Tools and Techniques ”“ CAATTs) gelişmesi ve suiistimal tespit noktasında kullanımının yaygınlaşmasıdır. (Pearson ve Singleton, 2008) CAATTs'i iç veya dış denetçilerin denetim kapsamında yer alan bilgi sistemlerinde yer alan verilerin denetlenmesi süreçlerinde kullanılan bilgisayar araç ve teknikleri olarak tanımlamıştır. (Grand, 2001) iç denetçiler tarafından kullanılan CAATTs'i şu şekilde sınıflandırmıştır: elektronik çalışma kağıtları, suiistimal tespit, bilgi edinme ve analizi, ağ güvenliği, sürekli gözetim, denetim raporlaması, denetim geçmişinin tutulduğu bir veri tabanı, elektronik ticaret ve internet güvenliği başlıkları altında değerlendirmiştir.
CAATTs'in denetçiler tarafından kullanılması yeni değildir, ancak iş hayatında bilgi sistemlerinin kullanımının artışı ile gelişmi hızlanmıştır (Ramamoorthi, 2004). Bilgi teknolojinin yaygınlaşması, modern bilgi teknolojilerinin getirdiği fonksiyonel ve ekonomik gelişim ile globalleşen açık ekonomiler ve rekabetçi piyasa şartları bilgi teknolojilerinin kullanımını arttırırken buna paralel olarak bilgi teknolojilerinin daha hızlı gelişmesini sağlamış ve denetim otomasyonlarını zorunlu hale getirmiştir (Berry, 2003; Bhimani, 1996; Abdel Hamed & Sweet, 1999). Bir taraftan denetçiler denetimde bilgi teknolojilerinin sağladığı yetkinlikleri kısmen de olsa elde edebilirken diğer yandan çalıştıkları işletmeler bilgi teknolojileri anlamında gelişmelerini sürdürmeye devam etmektedir (Elliot, 2002). Bir çok organizasyon iş süreçlerini desteklemek için sofistike bilgi sistemlerine yatırım yapmışlar aynı zamanda iş süreçlerini de bu bilgi sistemlerine uygun hale getirmişlerdir (Ramamoorthi, 2004). Ancak, teknolojik imkanlarında etkisi ile işlemler daha kompleksleşirken paralelinde faydaları kadar tespiti zor suiistimal ortamlarının oluşmasına ortam sağlamıştır. Bu nedenle CAATTs kullanımı gereksinimi giderek artmış ve her geçen gün organizasyonların farklı birimlerinde olası suiistimallere yönelik kontrollerin artışı zorunluluk haline gelmiştir. Bu durumun farkında olan organizasyonlarda kontrol ortamlarının sağlamlaştırılması, olası suiistimallere zamanında tespit edip müdahale edebilmek için yatırımlar yapmakta ve tam denetimi sağlamak üzere girişimlerde bulunmaktadır.
Bilgisayar destekli denetimin önemi giderek artış göstermektedir. Bu alanda bir çok çalışmalar, makaleler ve kitaplar yayınlanmıştır. Farklı sektörlere ve iş kollarına yönelik olarak hazırlanan bu çalışmaların paralelinde akademik camiada da ilgi artmakta, konu hakkında farklı bakış açısı ve yaklaşımlarla araştırmalar düzenlenmekte ve yayınlar yapılmaktadır. (Örnek: Neuron, 2003; Paukowits, 1998; Paukowits, 2000; Hudson, 1998; Pamukçu 1994; Çiftçi 2003; Erdoğan 1999; Türker 2001; Yılmaz 2007)
2. Suiistimal
Suiistimal, bir yada birden fazla kişinin katılımı ile kasti ve gizli olarak kendi çıkarlarına yönelik bir değeri eksik gösterme, yanıltma olarak tanımlanmıştır. Suiistimal insanlık tarihinin var oluşu kadar eskidir ve bir çok farklı formda karşımıza çıkabilmektedir. Son yıllarda artan teknolojik gelişmelerle birlikte suiistimalin çeşitlerinde de hızlı artışlar meydana gelmiştir (Bolton ve Hand 2002). Bu artışla birlikte karşı kontrol ve mücadele yöntemleri geliştirilmekte olmasına rağmen suiistimal işleme yöntemleri kontrol yöntemlerine göre daha çeşitli ve hızlı gelişmektedir. Suiistimal ile mücadelede diğer önemli handikap ise yeni bir suiistimal türünün işlenmeden önce bilinmesinin çok zor bazı durumlarda da imkansız oluşudur. İnsan zekasının bir ürünü olan suiistimal çeşitliliği sebebiyle tespiti ve mücadelesi çok zor olmakta, teknolojik imkanların getirdiği ve çoğu zaman farkedilemeyen eksikliklerde bunlara imkan tanımaktadır. Suiistimal türleri yeni çıkan bir virüse benzetilebilir, nasıl bir virüs ilk zararını vermeden virüs olduğu anlaşılamıyor ve farkedilemiyorsa aynı şekilde yeni bir suiistimal türü de işlenmeden tespiti neredeyse mümkün değildir.
Bu kadar çok çeşitliliğin ve belirsizliğin olduğu suiistimal yöntemlerinin ortaya çıkışıyla mücadelede en önemli adım yine teknolojinin getirdiği imkanların maksimum düzeyde kullanılması ile atılabilir. Bugüne kadar bu alanda bir çok yöntem ve teknolojik çözümler geliştirilmiş, her biri farklı alanlarda ve farklı bakış açıları ile konuya yaklaşmıştır. Önümüzdeki dönemlerin yine en önemli konularından olacak olan bu yöntem ve araçlar sayesinde suiistimal veya olası suiistimal konuları tespit edilmeye devam edilebilecektir. Nasıl suiistimal yöntemleri çeşitleniyorsa suiistimal ile mücadele yöntemleri de çeşitlenmeye devam edecektir. Suiistimalin en çok görüldüğü alanlar yine parasal büyüklüklerin, işlemlerdeki kompleksliğin ve işlem hacimlerinin en yüksek olduğu telekom, sigorta ve bankacılık sektörleridir. Bir çok müşteri ve işlem ile çalışan bu sektörlerde kontrol zor ve gizli ilişkileri çözümlemek ise neredeyse imkansızdır. İşlemlerin saliseler bazında gerçekleştiği ve sürekli bir devinim olduğu bu sektörlerde suiistimallerin incelenmesi ve tespiti de ancak yapılan bu işlemlerin zamanında kontrolü ile sağlanabilmektedir. Bu sebeple bu alanda yatırım yapan ilk organizasyonlarda yine bu sektörlerden olmuş ve veri analiz tekniklerini kullanarak işlemlerde yer alan suiistimal izlerini tespit, önleme ve inceleme süreçlerini oluşturmuşlardır (Decker 1998).
Suiistimalin bir çok farkı tür ve işleniş şekli olabilir, insanoğlunun hayali ile sınırlı olmasına rağmen suiistimalin temel güdüleri ve bıraktığı izler ortaktır. (Palshikar 2002) Farklı suiistimal şekillerinde içeriği ve oluşumu açısından benzerlikler olsada genel olarak aynı olmadıklarını belirtmiştir. Öteyandan farklı sektör, alan ve konumlara görede farklı suiistimal yöntemleri mevcuttur ( Bknz: ACFE Fraud Examiners Manual 2010 International Edition)
ACFE İç Suiistimal Ağacı
3. Veriye Dayalı Suiistimal Tespit ve Önleme
Günümüz dünyasında verinin artan önemi tartışma götürmez bir hal almıştır. Bir çok kurum geleceğe dair stratejilerini organizasyonun sahip olduğu verilerin bilgiye dönüştürülmesi, dış kaynaklı veri sağlayacı kurumlardan verinin satın alınması ve doğrudan açık kaynak olarak sunulan sosyal medya verilerinin (facebook, twitter vb.) kullanımı ile daha karlı iş olanakları sağlamaya yönelik çalışmalar yürütmektedir. Her bir organizasyon bazında bakıldığında gündelik yaşamın her adımı ile birlikte milyarlarca satır veri üretilmekte ve silolar halinde saklanmaktadır. Bu saklama işleminin ise maliyetini yine organizasyonlar karşılamak durumunda kalmaktadır. Verinin büyümesi ile birlikte verinin maliyeti de artmakta ve bir noktadan sonra veri hammaliyeliği halini almaktadır. Veri saklama ve oluşturma maliyetinin indirgenmesi için adımlar atılsada eldeki verinin doğru yorumlanarak değere dönüştürülmesi sağlanmadığı sürece bu çabalar yetersiz kalacaktır. Teknolojik gelişmelerle birlikte paralel olarak artan işlem hacimleri ve karmaşanın ürettiği bu maliyetin altından kalkılmasının tek yolu ise veriyi bilgiye dönüştürebilmekten geçmektedir.
4. Biligsayar Destekli Denetim Uygulamaları (CAATTs Applications)
Bilgisayar destekli denetim araç ve teknikleri bir önceki bölümde incelenmiştir. Bu bölümde ise CAATTs teknikleri uygulanarak geliştirilmiş ve doğrudan sonuç üreterek olası suiistimal vakalarının tespitini sağlayan uygulamalardan bahsedilecektir. Bu uygulamalar bugüne kadar denetim alanında kullanılan ve geliştirilen en yaygın kullanım alanı olan uygulamaları göstermektedir.
4.1. Uygulama 1: Veri Kalitesi
Bir kurumun öğrenme yetkinliği ve öğrendiklerini hayata geçirme yetkinliği gibi rekabet avantajı yakalamanın en önemli koşullarından biri, öğrenme yetkinliğine katkı yaratacak bilginin depolanması ve analiz edilebilir hale getirilmesidir ve bunun için temel şart kullanılacak verilerin kalitesi ve güvenilirliğidir.
Yanlış ya da birbiri ile tutarsız veriler, kurumların bugünkü ve gelecekteki iş problemlerini anlamasına engel olmaktadır. Sağlıksız verinin farkına varılıp bir an önce önlem alınıp düzeltilmez ise; kurumlarda kazanç kaybı, operasyonel gecikmeler ve memnuniyetsizlik gibi birçok konuda olumsuz sonuçlar doğuracak sağlıksız kararların alınmasına sebep olacaktır. PricewaterhouseCoopers tarafından “Global Data Management Survey”de kötü veri kalitesi yüzünden şirketlerin %75'inin net kar/zararında ciddi sarsıntı yaşadığı belirtilmiştir. The Data Warehousing Institute (TDWI) tarafından yapılan bir araştırmada, müşteri verisindeki kalite problemlerinin Amerika'da kurumlara yılda 600 Milyar doların üzerinde bir maliyet getirdiği saptanmıştır. Gartner, Inc., veri ambarı projelerinin %50'sinden fazlasının veri kalitesindeki problemleri giderememe nedeniyle başarısızlığa uğradığını belirtmiştir. Gartner, ayrıca kurumların işletme gelirlerinin %10 - %20'sinin veri kalitesi ile ilişkili problemlerin giderilmesi için harcandığı üzerinde durmaktadır.
Doğru kararlara ve doğru analiz sonuçlarına ancak bu analizlere konu olan verinin anlaşılabilir, kendi içinde anlamlı ve kaliteli olması şartı ile ulaşılabilir. Verilerin kalitesinin artırılması ve var olan verilerden analiz yapılmasının olanaksız olduğu ortamlarda verilerin anlamlı bileşenlerine organizasyonda bir bütün halinde saklanan bilgiler bileşenlerine ayrıştırılmadan anlamlı sonuçlar elde edilemez ki günümüzde Türkiye İstatistik Kurumu tarafından yürütülen ve uzun süredir devam eden Adres Kayıt Sistemi projesinde dahi en önemli adım var olan adreslerin bileşenlerinin tespit edilmesi ve adreslerin doğruluğunun tespit edilebilmesi olmuştur.
Veri kalitesi sürekli bir şekilde analiz ihtiyaçlarına hitap eden bilgi olarak tanımlanabilir. Kendine özgü olarak mantıksal ve tutarlı sırada bilginin düzenlenmesi süreci olarak da veri kalitesi tanımını yapmak mümkündür. Amaç; veriyi kuvvetlendirmek, zenginleştirmek, temizlemek ve birden fazla aynı amaca hizmet eden veriyi tek bir kayda indirmektir.
Bilgi kalitesi, sadece veri kalitesini ölçmek değildir, aynı zamanda kalitesiz bilginin iş maliyetlerini de ölçmek demektir. Bilgi kalitesini artırmak sadece veri temizleme için değil, süreç içerisinde tekerrür eden yapılardaki olası sorunların sebeplerini bulmak ve düzeltmek içindir.
Kurumlarda veri kalitesi sorununa neden olan başlıca etmenler aşağıdaki gibi sıralanabilir:
”¢ Tamlık: Verideki eksik bilgiler
”¢ Uygunluk: Standart dışı formatta saklanmış veriler
”¢ Anlaşılırlık: Verinin kullanıcılar tarafından anlaşılır olması
”¢ Tutarlılık: Birbiri ile çelişen bilgiler
”¢ Doğruluk: Yanlış veya eskimiş bilgiler
”¢ Tekerrür: Aynı bilginin farklı şekillerde tekrarlanması
”¢ Bütünlük: Bilgilerin arasındaki ilişkilerin saptanamaması
Kalite sorununa neden olan etmenler göz önüne alınarak var olan verinin denetimi yapıldığında eldeki verinin durumu tespit edilmiş olur.
Aynı verinin değişik yerlerde kopyalarının bulunması, bir yerde güncellenen verinin diğer yerde güncellenmemesi olasılığına ve bu durum da veri tutarsızlığına yol açar. Veritabanı sistemleri ve uygulamaların bir bütün olarak tasarlanmaması, alt sistemler arasında ilişkinin düzgün olarak kurulamaması ve birden çok uygulamada verilerin aynı veritabanı içinde ortak kullanılacak biçimde tasarlanması veri tekrarına neden olmaktadır.
Veri tabanları ya da veri ambarlarında veri tekrarı arttıkça, veri tutarsızlığı da artacaktır. Bir başka anlatımla, veri tutarlılığı ve veri tekrarı ters orantılı değişkenlerdir. Veri tekrarlamasını kontrol ederek veya ortadan kaldırarak veri tutarlılığına ulaşılabilir. Birleştirilmiş veri yönetimi, veri bütünlüğünü bir üst seviyeye taşıyacaktır. Veri tutarlılığı ve bütünlüğü arasında doğru orantı vardır.
ÖZET OLARAK SUNULAN ÇALIŞMANIN KAYNAKÇALRI;
KAYNAKÇA
Benford, F. 1938. “The law of anomalous numbers” Proceedings of the American Philosophical Society 78 (4): 551-572
Abdel-Hamed, Sengupta, K. & Sweet, (1999), “The Impact of Goals on Software Project” Management: An Empirical Investigation, MIS Quarterly, 23 (4) pp 531-555.
ACFE , Report to the Nations, Occupational Fraud and Abuse 2010
ACFE, Fraud Examiners Manual 2010 International Edition
Alberch, Steve; Albercht, Conan; Albercht, Chad; Zimbelman, Mark (2009) “Fraud Examination” 3th Edition,
Berry J., (2003), “Assume Nothing”, Audit Instead, Computerworld, 37, 14, 43
Bhimani, A. (1996), “Securing the Commercial Internet”, Communication of ACM, June 1996
Bozkurt, Nejat, (2000) “Muhasebe Denetimi”, 3. Baskı, Alfa Yayınları, İstanbul
Bozkurt, Nejat; Ataman, Ümit; Hacırüstemoğlu, Rüstem (2001) “Muhasebe Denetimi Uygulamaları”, Alfa Yayınları, İstanbul
Bozkurt, Nejat, (2009) “İşletmelerin Kara Deliği Hile-Çalışan Hileleri”, Alfa Yayınları,
İstanbul Çiftçi, Y. (2003). “Elektronik Bilgi İşlem Teknolojisindeki Gelişmeler ve Muhasebe Denetimi. Mali Çözüm”
Decker, P. March/April (1998). “Data Mining's Hidden Dangers.” Banking Strategies, 6-14.
ERDOĞAN, Melih, “Bilgisayar Kullanılan Muhasebe Sistemlerinde Denetim Süreci,” Anadolu Ünv. Yayınları No:276, Eskişehir, 1988
Elliot, R.K., (2002), Twenty-First Century Assurance, Auditing, a Journal of Practice & Theory, 21,1, 139-146.
G.K. Palshikar, (2002) “The Hidden Truth - Frauds and Their Control: A Critical Application for Business Intelligence,” Intelligent Enterprise, vol. 5, no. 9, 28-May-2002, pp. 46”“51.
Grand, C.L., (2001) “Use of Computer-Assisted Audit Tools and Technique (CAATTs) Part 1”, IT Audit, Vol. 4, October 1, The Institute of Internal Auditor,
Grand, C.L., (2001) “Use of Computer-Assisted Audit Tools and Technique (CAATTs) Part 2”, IT Audit, Vol. 4, October 15, The Institute of Internal Auditor,
Hudson, M.E., (1998), “CAATTs and Compliance.” Internal Auditor, 55(2): 25-27. Neuron B, (2003), “SAS 94: Issues and Opportunities,” InfoTech Update,12(1).
Pamukçu, Ayşe, “Muhasebede Bilgisayar Destekli Denetim Düzeni”, Yayınlanmamış Doktora Tezi, İstanbul, 2004
Paukowits, F., (2000) “Bridging CAATTS and Risk”, Internal Auditor, Vol. 57, Issue 2, p27
Paukowits, F., (1998) “Mainstreaming CAATTS”, Internal Auditor, Vol. 55, Issue 1, p19.
Pearson, TA & Singleton, TW (2008), “Fraud and forensic accounting in the digital environment”, Issues in accounting education, Vol. 23, No. 4, pp. 545-559, accessed 9-04-2010, http://www.ncjrs.gov/pdffiles1/nij/grants/217589.pdf
Ramamoorthi, Weindenmeer, (2004) “The Pervasive Impact of Information Technology on Internal Auditing,” Institute of Internal Auditors Inc, Chapter 9.
Richard J. Boltonand David J. Hand (2002) “StatisticalFraudDetection:AReview “ StatisticalScience 2002,Vol.17,No.3,235”“255
Smith, GS 2005, “Computer forensics: helping to achieve the auditor's fraud mission?”, Journal of forensic accounting, Vol. VI, No. 1, pp. 119-134, accessed 29-04-2010, eLearning@UOW
Türker, Masum, (2001) “Elektronik Ortamda Muhasebe ve Denetime Doğru”, Mali Çözüm Dergisi, İSMMMO Yayınları, Sayı:57, Ekim-Kasım-Aralık, 2001
Vlonino, L, Anzaldua, R & Godwin, J (2007), “Computer forensics principles and practices, Prentice Education”, Upper Saddle River, New Jersey
Yılmaz, Gökhan, (2007) “Muhasebe Denetiminde Bilgisayar Destekli Denetim Tekniklerinin İncelenmesi ve Bir Uygulama”, Yayınlanmamış Doktora Tezi, İstanbul, 2007
Günümüzde teknoloji insan hayatının tamamını etkisi altına almış durumdadır. İnsan oğlu bir yandan bu teknolojik imkanlardan faydalanıp yarar sağlamakla birlikte diğer yandan zarar görebilmektedir. Suiistimal açısından bakıldığı zaman ise bir çok suçlu teknolojinin sunduğu imkanları kullanarak suç işleyebilmektedir. Smith (2005) “Neredeyse her finansal suiistimalin oluşumunda muhakkak bir bilgisayar ve dijital dünyanın sunduğu bir ekipman vardır” demiştir. Volonino, Anzaldua and Godwin (2006) bilgisayar ortamında işlenen suçları ikiye ayırmıştır, bunlar bilgisayarın hedef olduğu diğeri de araç olduğu durumlardır. Bilgisayarın hedef olduğu suçlarda doğrudan yerel ağa veya bilgisayara saldırılar düzenlenir, çökmesine sebebiyet verilir veya doğrudan bilgisayarlar araç olarak kullanılarak bilgisayar içerisinde yer alan gizli verilerin elde edilmesi veya çıkar amaçlı kullanılması ile sonuç bulabilir. Dijital ortamdaki delliller fiziki delillere nazaran çoğunlukla farkında olmadan kolayca yok edilebilirler Smith (2005). Bu nedenle denetim bakışı ile teknoloji bir yerde suiistimale imkan tanıyan ve yardımcı olan bir düşman olarak nitelendirilebilir.
Teknolojik gelişmelerle birlikte artan suiistimal yöntem ve zararlarına paralel olarak suiistimal önlemede bilgisayar teknolojilinin kullanımı da artmıştır. Konuyla ilgili olarak yaşanmış en hızlı ve etkin gelişme doğrudan bu hedefe yönelik olarak hazırlanmış Bilgisayar Destekli Denetim Araç ve Teknikleri'nin (BDDAT) (Computer Asisted Audit Tools and Techniques ”“ CAATTs) gelişmesi ve suiistimal tespit noktasında kullanımının yaygınlaşmasıdır. (Pearson ve Singleton, 2008) CAATTs'i iç veya dış denetçilerin denetim kapsamında yer alan bilgi sistemlerinde yer alan verilerin denetlenmesi süreçlerinde kullanılan bilgisayar araç ve teknikleri olarak tanımlamıştır. (Grand, 2001) iç denetçiler tarafından kullanılan CAATTs'i şu şekilde sınıflandırmıştır: elektronik çalışma kağıtları, suiistimal tespit, bilgi edinme ve analizi, ağ güvenliği, sürekli gözetim, denetim raporlaması, denetim geçmişinin tutulduğu bir veri tabanı, elektronik ticaret ve internet güvenliği başlıkları altında değerlendirmiştir.
CAATTs'in denetçiler tarafından kullanılması yeni değildir, ancak iş hayatında bilgi sistemlerinin kullanımının artışı ile gelişmi hızlanmıştır (Ramamoorthi, 2004). Bilgi teknolojinin yaygınlaşması, modern bilgi teknolojilerinin getirdiği fonksiyonel ve ekonomik gelişim ile globalleşen açık ekonomiler ve rekabetçi piyasa şartları bilgi teknolojilerinin kullanımını arttırırken buna paralel olarak bilgi teknolojilerinin daha hızlı gelişmesini sağlamış ve denetim otomasyonlarını zorunlu hale getirmiştir (Berry, 2003; Bhimani, 1996; Abdel Hamed & Sweet, 1999). Bir taraftan denetçiler denetimde bilgi teknolojilerinin sağladığı yetkinlikleri kısmen de olsa elde edebilirken diğer yandan çalıştıkları işletmeler bilgi teknolojileri anlamında gelişmelerini sürdürmeye devam etmektedir (Elliot, 2002). Bir çok organizasyon iş süreçlerini desteklemek için sofistike bilgi sistemlerine yatırım yapmışlar aynı zamanda iş süreçlerini de bu bilgi sistemlerine uygun hale getirmişlerdir (Ramamoorthi, 2004). Ancak, teknolojik imkanlarında etkisi ile işlemler daha kompleksleşirken paralelinde faydaları kadar tespiti zor suiistimal ortamlarının oluşmasına ortam sağlamıştır. Bu nedenle CAATTs kullanımı gereksinimi giderek artmış ve her geçen gün organizasyonların farklı birimlerinde olası suiistimallere yönelik kontrollerin artışı zorunluluk haline gelmiştir. Bu durumun farkında olan organizasyonlarda kontrol ortamlarının sağlamlaştırılması, olası suiistimallere zamanında tespit edip müdahale edebilmek için yatırımlar yapmakta ve tam denetimi sağlamak üzere girişimlerde bulunmaktadır.
Bilgisayar destekli denetimin önemi giderek artış göstermektedir. Bu alanda bir çok çalışmalar, makaleler ve kitaplar yayınlanmıştır. Farklı sektörlere ve iş kollarına yönelik olarak hazırlanan bu çalışmaların paralelinde akademik camiada da ilgi artmakta, konu hakkında farklı bakış açısı ve yaklaşımlarla araştırmalar düzenlenmekte ve yayınlar yapılmaktadır. (Örnek: Neuron, 2003; Paukowits, 1998; Paukowits, 2000; Hudson, 1998; Pamukçu 1994; Çiftçi 2003; Erdoğan 1999; Türker 2001; Yılmaz 2007)
2. Suiistimal
Suiistimal, bir yada birden fazla kişinin katılımı ile kasti ve gizli olarak kendi çıkarlarına yönelik bir değeri eksik gösterme, yanıltma olarak tanımlanmıştır. Suiistimal insanlık tarihinin var oluşu kadar eskidir ve bir çok farklı formda karşımıza çıkabilmektedir. Son yıllarda artan teknolojik gelişmelerle birlikte suiistimalin çeşitlerinde de hızlı artışlar meydana gelmiştir (Bolton ve Hand 2002). Bu artışla birlikte karşı kontrol ve mücadele yöntemleri geliştirilmekte olmasına rağmen suiistimal işleme yöntemleri kontrol yöntemlerine göre daha çeşitli ve hızlı gelişmektedir. Suiistimal ile mücadelede diğer önemli handikap ise yeni bir suiistimal türünün işlenmeden önce bilinmesinin çok zor bazı durumlarda da imkansız oluşudur. İnsan zekasının bir ürünü olan suiistimal çeşitliliği sebebiyle tespiti ve mücadelesi çok zor olmakta, teknolojik imkanların getirdiği ve çoğu zaman farkedilemeyen eksikliklerde bunlara imkan tanımaktadır. Suiistimal türleri yeni çıkan bir virüse benzetilebilir, nasıl bir virüs ilk zararını vermeden virüs olduğu anlaşılamıyor ve farkedilemiyorsa aynı şekilde yeni bir suiistimal türü de işlenmeden tespiti neredeyse mümkün değildir.
Bu kadar çok çeşitliliğin ve belirsizliğin olduğu suiistimal yöntemlerinin ortaya çıkışıyla mücadelede en önemli adım yine teknolojinin getirdiği imkanların maksimum düzeyde kullanılması ile atılabilir. Bugüne kadar bu alanda bir çok yöntem ve teknolojik çözümler geliştirilmiş, her biri farklı alanlarda ve farklı bakış açıları ile konuya yaklaşmıştır. Önümüzdeki dönemlerin yine en önemli konularından olacak olan bu yöntem ve araçlar sayesinde suiistimal veya olası suiistimal konuları tespit edilmeye devam edilebilecektir. Nasıl suiistimal yöntemleri çeşitleniyorsa suiistimal ile mücadele yöntemleri de çeşitlenmeye devam edecektir. Suiistimalin en çok görüldüğü alanlar yine parasal büyüklüklerin, işlemlerdeki kompleksliğin ve işlem hacimlerinin en yüksek olduğu telekom, sigorta ve bankacılık sektörleridir. Bir çok müşteri ve işlem ile çalışan bu sektörlerde kontrol zor ve gizli ilişkileri çözümlemek ise neredeyse imkansızdır. İşlemlerin saliseler bazında gerçekleştiği ve sürekli bir devinim olduğu bu sektörlerde suiistimallerin incelenmesi ve tespiti de ancak yapılan bu işlemlerin zamanında kontrolü ile sağlanabilmektedir. Bu sebeple bu alanda yatırım yapan ilk organizasyonlarda yine bu sektörlerden olmuş ve veri analiz tekniklerini kullanarak işlemlerde yer alan suiistimal izlerini tespit, önleme ve inceleme süreçlerini oluşturmuşlardır (Decker 1998).
Suiistimalin bir çok farkı tür ve işleniş şekli olabilir, insanoğlunun hayali ile sınırlı olmasına rağmen suiistimalin temel güdüleri ve bıraktığı izler ortaktır. (Palshikar 2002) Farklı suiistimal şekillerinde içeriği ve oluşumu açısından benzerlikler olsada genel olarak aynı olmadıklarını belirtmiştir. Öteyandan farklı sektör, alan ve konumlara görede farklı suiistimal yöntemleri mevcuttur ( Bknz: ACFE Fraud Examiners Manual 2010 International Edition)
ACFE İç Suiistimal Ağacı
3. Veriye Dayalı Suiistimal Tespit ve Önleme
Günümüz dünyasında verinin artan önemi tartışma götürmez bir hal almıştır. Bir çok kurum geleceğe dair stratejilerini organizasyonun sahip olduğu verilerin bilgiye dönüştürülmesi, dış kaynaklı veri sağlayacı kurumlardan verinin satın alınması ve doğrudan açık kaynak olarak sunulan sosyal medya verilerinin (facebook, twitter vb.) kullanımı ile daha karlı iş olanakları sağlamaya yönelik çalışmalar yürütmektedir. Her bir organizasyon bazında bakıldığında gündelik yaşamın her adımı ile birlikte milyarlarca satır veri üretilmekte ve silolar halinde saklanmaktadır. Bu saklama işleminin ise maliyetini yine organizasyonlar karşılamak durumunda kalmaktadır. Verinin büyümesi ile birlikte verinin maliyeti de artmakta ve bir noktadan sonra veri hammaliyeliği halini almaktadır. Veri saklama ve oluşturma maliyetinin indirgenmesi için adımlar atılsada eldeki verinin doğru yorumlanarak değere dönüştürülmesi sağlanmadığı sürece bu çabalar yetersiz kalacaktır. Teknolojik gelişmelerle birlikte paralel olarak artan işlem hacimleri ve karmaşanın ürettiği bu maliyetin altından kalkılmasının tek yolu ise veriyi bilgiye dönüştürebilmekten geçmektedir.
4. Biligsayar Destekli Denetim Uygulamaları (CAATTs Applications)
Bilgisayar destekli denetim araç ve teknikleri bir önceki bölümde incelenmiştir. Bu bölümde ise CAATTs teknikleri uygulanarak geliştirilmiş ve doğrudan sonuç üreterek olası suiistimal vakalarının tespitini sağlayan uygulamalardan bahsedilecektir. Bu uygulamalar bugüne kadar denetim alanında kullanılan ve geliştirilen en yaygın kullanım alanı olan uygulamaları göstermektedir.
4.1. Uygulama 1: Veri Kalitesi
Bir kurumun öğrenme yetkinliği ve öğrendiklerini hayata geçirme yetkinliği gibi rekabet avantajı yakalamanın en önemli koşullarından biri, öğrenme yetkinliğine katkı yaratacak bilginin depolanması ve analiz edilebilir hale getirilmesidir ve bunun için temel şart kullanılacak verilerin kalitesi ve güvenilirliğidir.
Yanlış ya da birbiri ile tutarsız veriler, kurumların bugünkü ve gelecekteki iş problemlerini anlamasına engel olmaktadır. Sağlıksız verinin farkına varılıp bir an önce önlem alınıp düzeltilmez ise; kurumlarda kazanç kaybı, operasyonel gecikmeler ve memnuniyetsizlik gibi birçok konuda olumsuz sonuçlar doğuracak sağlıksız kararların alınmasına sebep olacaktır. PricewaterhouseCoopers tarafından “Global Data Management Survey”de kötü veri kalitesi yüzünden şirketlerin %75'inin net kar/zararında ciddi sarsıntı yaşadığı belirtilmiştir. The Data Warehousing Institute (TDWI) tarafından yapılan bir araştırmada, müşteri verisindeki kalite problemlerinin Amerika'da kurumlara yılda 600 Milyar doların üzerinde bir maliyet getirdiği saptanmıştır. Gartner, Inc., veri ambarı projelerinin %50'sinden fazlasının veri kalitesindeki problemleri giderememe nedeniyle başarısızlığa uğradığını belirtmiştir. Gartner, ayrıca kurumların işletme gelirlerinin %10 - %20'sinin veri kalitesi ile ilişkili problemlerin giderilmesi için harcandığı üzerinde durmaktadır.
Doğru kararlara ve doğru analiz sonuçlarına ancak bu analizlere konu olan verinin anlaşılabilir, kendi içinde anlamlı ve kaliteli olması şartı ile ulaşılabilir. Verilerin kalitesinin artırılması ve var olan verilerden analiz yapılmasının olanaksız olduğu ortamlarda verilerin anlamlı bileşenlerine organizasyonda bir bütün halinde saklanan bilgiler bileşenlerine ayrıştırılmadan anlamlı sonuçlar elde edilemez ki günümüzde Türkiye İstatistik Kurumu tarafından yürütülen ve uzun süredir devam eden Adres Kayıt Sistemi projesinde dahi en önemli adım var olan adreslerin bileşenlerinin tespit edilmesi ve adreslerin doğruluğunun tespit edilebilmesi olmuştur.
Veri kalitesi sürekli bir şekilde analiz ihtiyaçlarına hitap eden bilgi olarak tanımlanabilir. Kendine özgü olarak mantıksal ve tutarlı sırada bilginin düzenlenmesi süreci olarak da veri kalitesi tanımını yapmak mümkündür. Amaç; veriyi kuvvetlendirmek, zenginleştirmek, temizlemek ve birden fazla aynı amaca hizmet eden veriyi tek bir kayda indirmektir.
Bilgi kalitesi, sadece veri kalitesini ölçmek değildir, aynı zamanda kalitesiz bilginin iş maliyetlerini de ölçmek demektir. Bilgi kalitesini artırmak sadece veri temizleme için değil, süreç içerisinde tekerrür eden yapılardaki olası sorunların sebeplerini bulmak ve düzeltmek içindir.
Kurumlarda veri kalitesi sorununa neden olan başlıca etmenler aşağıdaki gibi sıralanabilir:
”¢ Tamlık: Verideki eksik bilgiler
”¢ Uygunluk: Standart dışı formatta saklanmış veriler
”¢ Anlaşılırlık: Verinin kullanıcılar tarafından anlaşılır olması
”¢ Tutarlılık: Birbiri ile çelişen bilgiler
”¢ Doğruluk: Yanlış veya eskimiş bilgiler
”¢ Tekerrür: Aynı bilginin farklı şekillerde tekrarlanması
”¢ Bütünlük: Bilgilerin arasındaki ilişkilerin saptanamaması
Kalite sorununa neden olan etmenler göz önüne alınarak var olan verinin denetimi yapıldığında eldeki verinin durumu tespit edilmiş olur.
Aynı verinin değişik yerlerde kopyalarının bulunması, bir yerde güncellenen verinin diğer yerde güncellenmemesi olasılığına ve bu durum da veri tutarsızlığına yol açar. Veritabanı sistemleri ve uygulamaların bir bütün olarak tasarlanmaması, alt sistemler arasında ilişkinin düzgün olarak kurulamaması ve birden çok uygulamada verilerin aynı veritabanı içinde ortak kullanılacak biçimde tasarlanması veri tekrarına neden olmaktadır.
Veri tabanları ya da veri ambarlarında veri tekrarı arttıkça, veri tutarsızlığı da artacaktır. Bir başka anlatımla, veri tutarlılığı ve veri tekrarı ters orantılı değişkenlerdir. Veri tekrarlamasını kontrol ederek veya ortadan kaldırarak veri tutarlılığına ulaşılabilir. Birleştirilmiş veri yönetimi, veri bütünlüğünü bir üst seviyeye taşıyacaktır. Veri tutarlılığı ve bütünlüğü arasında doğru orantı vardır.
ÖZET OLARAK SUNULAN ÇALIŞMANIN KAYNAKÇALRI;
KAYNAKÇA
Benford, F. 1938. “The law of anomalous numbers” Proceedings of the American Philosophical Society 78 (4): 551-572
Abdel-Hamed, Sengupta, K. & Sweet, (1999), “The Impact of Goals on Software Project” Management: An Empirical Investigation, MIS Quarterly, 23 (4) pp 531-555.
ACFE , Report to the Nations, Occupational Fraud and Abuse 2010
ACFE, Fraud Examiners Manual 2010 International Edition
Alberch, Steve; Albercht, Conan; Albercht, Chad; Zimbelman, Mark (2009) “Fraud Examination” 3th Edition,
Berry J., (2003), “Assume Nothing”, Audit Instead, Computerworld, 37, 14, 43
Bhimani, A. (1996), “Securing the Commercial Internet”, Communication of ACM, June 1996
Bozkurt, Nejat, (2000) “Muhasebe Denetimi”, 3. Baskı, Alfa Yayınları, İstanbul
Bozkurt, Nejat; Ataman, Ümit; Hacırüstemoğlu, Rüstem (2001) “Muhasebe Denetimi Uygulamaları”, Alfa Yayınları, İstanbul
Bozkurt, Nejat, (2009) “İşletmelerin Kara Deliği Hile-Çalışan Hileleri”, Alfa Yayınları,
İstanbul Çiftçi, Y. (2003). “Elektronik Bilgi İşlem Teknolojisindeki Gelişmeler ve Muhasebe Denetimi. Mali Çözüm”
Decker, P. March/April (1998). “Data Mining's Hidden Dangers.” Banking Strategies, 6-14.
ERDOĞAN, Melih, “Bilgisayar Kullanılan Muhasebe Sistemlerinde Denetim Süreci,” Anadolu Ünv. Yayınları No:276, Eskişehir, 1988
Elliot, R.K., (2002), Twenty-First Century Assurance, Auditing, a Journal of Practice & Theory, 21,1, 139-146.
G.K. Palshikar, (2002) “The Hidden Truth - Frauds and Their Control: A Critical Application for Business Intelligence,” Intelligent Enterprise, vol. 5, no. 9, 28-May-2002, pp. 46”“51.
Grand, C.L., (2001) “Use of Computer-Assisted Audit Tools and Technique (CAATTs) Part 1”, IT Audit, Vol. 4, October 1, The Institute of Internal Auditor,
Grand, C.L., (2001) “Use of Computer-Assisted Audit Tools and Technique (CAATTs) Part 2”, IT Audit, Vol. 4, October 15, The Institute of Internal Auditor,
Hudson, M.E., (1998), “CAATTs and Compliance.” Internal Auditor, 55(2): 25-27. Neuron B, (2003), “SAS 94: Issues and Opportunities,” InfoTech Update,12(1).
Pamukçu, Ayşe, “Muhasebede Bilgisayar Destekli Denetim Düzeni”, Yayınlanmamış Doktora Tezi, İstanbul, 2004
Paukowits, F., (2000) “Bridging CAATTS and Risk”, Internal Auditor, Vol. 57, Issue 2, p27
Paukowits, F., (1998) “Mainstreaming CAATTS”, Internal Auditor, Vol. 55, Issue 1, p19.
Pearson, TA & Singleton, TW (2008), “Fraud and forensic accounting in the digital environment”, Issues in accounting education, Vol. 23, No. 4, pp. 545-559, accessed 9-04-2010, http://www.ncjrs.gov/pdffiles1/nij/grants/217589.pdf
Ramamoorthi, Weindenmeer, (2004) “The Pervasive Impact of Information Technology on Internal Auditing,” Institute of Internal Auditors Inc, Chapter 9.
Richard J. Boltonand David J. Hand (2002) “StatisticalFraudDetection:AReview “ StatisticalScience 2002,Vol.17,No.3,235”“255
Smith, GS 2005, “Computer forensics: helping to achieve the auditor's fraud mission?”, Journal of forensic accounting, Vol. VI, No. 1, pp. 119-134, accessed 29-04-2010, eLearning@UOW
Türker, Masum, (2001) “Elektronik Ortamda Muhasebe ve Denetime Doğru”, Mali Çözüm Dergisi, İSMMMO Yayınları, Sayı:57, Ekim-Kasım-Aralık, 2001
Vlonino, L, Anzaldua, R & Godwin, J (2007), “Computer forensics principles and practices, Prentice Education”, Upper Saddle River, New Jersey
Yılmaz, Gökhan, (2007) “Muhasebe Denetiminde Bilgisayar Destekli Denetim Tekniklerinin İncelenmesi ve Bir Uygulama”, Yayınlanmamış Doktora Tezi, İstanbul, 2007