Giriş
Dolandırıcılık (fraud), aldatma (deception) ile ilgilidir. Neredeyse her kuruluşu tehlike bölgesine sokan dolandırıcılık riskine karşı aldatmanın bu türü, birinin söylediği kişi olmaması durumudur.
Kimlik sahtekârlığı [(identity fraud) bu kavram aynı zamanda kimlik hırsızlığı (identity theft) ile de değiştirilebilir] ve diğer cezai aldatma biçimleri, finansal hizmet şirketlerine, sigortacılara, sağlık hizmeti sağlayıcılarına ve devlet kurumlarına her yıl milyarlarca dolara mal olmaktadır. Bu büyük kuruluşlar dolandırıcılığın tek kurbanı olmaktan çok uzaktır. Sertifikalı Sahtekârlık Denetçileri Derneği’ne (Association of Certified Fraud Examiners) göre, küçük işletmeler 2002 yılından 2022 yılına kadar büyük kuruluşlara kıyasla daha yüksek bir dolandırıcılık sıklığıyla karşılaşmıştır. Bu dolandırıcılık vakaları genellikle şirket personeli ve hatta yöneticiler tarafından gerçekleştirilmektedir. Ancak diğerleri, her düzeydeki çalışanların, tanıdıkları birinden gelen meşru bir bağlantıya benzeyen, bir şirketi veri ihlaline veya korsan yazılım istilasına açık hale getirebilecek bir bağlantıya tıklamalarından kaynaklanabilir. Bir FBI[1] internet suçları raporunda, elektronik posta (e-posta) dolandırıcılıklarının 2018’den 2022’ye oranla %111 (yüzde 111) arttığı ve kurbanların 2022’de 2,7 milyar dolar kaybettiği belirtilmiştir.
Kuruluşların misyonu, büyüklüğü veya sektörü ne olursa olsun, dolandırıcılığın türü ne olursa olsun ve aldatmanın kaynağının kurum içi veya kurum dışı, bir gerçek kişi veya bir sahte kişi olup olmadığı ne olursa olsun, dolandırıcılık verilerini ve finansal kayıpları önleyebilecek stratejiler ve dijital araçlar mevcuttur.
1. Dolandırıcılığın Önlenmesi
Dolandırıcılığın önlenmesi, bir kuruluş içindeki dolandırıcılık faaliyetlerini caydırmayı, tespit etmeyi ve hafifletmeyi amaçlayan proaktif önlemlerin ve kontrollerin uygulanmasıdır.
Dolandırıcılığın önlenmesi, dolandırıcılığın ne olduğunun anlaşılmasıyla başlar. Dolandırıcılık, genellikle para olmak üzere değerli bir şey kazanmak için kasıtlı aldatmayı içerir. Yanlış beyanlar, yanıltıcı beyanlar veya yanıltmayı veya aldatmayı amaçlayan dürüst olmayan davranışlar yoluyla dolandırıcılık suçu işlenir. Dolandırıcılık riski, kurum içindeki veya dışındaki bir kişi veya grup tarafından gerçekleştirilen aldatma nedeniyle finansal kayıp olasılığını ifade eder. Bazı durumlarda failler hem içeriden hem dışarıdan, işbirliği içinde çalışabilirler. Dolandırıcılar her zaman en azından doğrudan para peşinde değildir. Bazı durumlarda, bir şirketin dijital verilerini isterler ve bu verileri çeşitli kötü şekillerde istismar edebilirler.
Dolandırıcılığın önlenmesi, dolandırıcılık risk yönetiminin üç temel ilkesinden [önleme, tespit/algılama ve soruşturma (prevention, detection, and investigation)] ilkidir. Dolandırıcılığın önlenmesi, dolandırıcılık riskini yönetmenin en iyi yoludur. Örneğin, devlet yardımlarını denetleyen kurumlar için dolandırıcılığı gerçekleşmeden önce önlemek, dolandırıcılıkla elde edilen faydaları geri almaya çalışmaktan daha kolay ve kesinlikle daha az maliyetli olabilir. Hukuk firmaları gizli verilerini korumak için müşteri portallarını kullanabilir ve her türden kuruluş, güçlü parolalar, iki faktörlü kimlik doğrulama ve ağ güvenlik yazılımının güncellenmesi gibi temel ancak önemli teknikleri izleyerek kendilerini dijital kaynaklı sahtekârlığa karşı koruyabilir.
Dijital odaklı daha büyük kuruluşlar bile bu temel dolandırıcılık önleme stratejileri konusunda gevşek davranabilir. Bir bilgisayar korsanı, Aralık 2023’te, eski şifreleri kullanarak 14 bin adet “23andMe” hesabındaki verilere erişmiştir. Oysa ikinci düzeyde bir kimlik koruması saldırıyı engelleyebilirdi.
Risk önleme, tüm dolandırıcılık faaliyetlerini durduramaz. Dolandırıcılar, kuruluşların en iyi çabalarını alt etmek için sürekli olarak yeni yollar geliştirmektedir. Ancak bu dolandırıcılık riski stratejileri, potansiyel olarak en zarar verici dolandırıcılık risklerini azaltmalarına yardımcı olabilir.
2. Dolandırıcılığın Önlenmesinin Önemli Olmasının Nedeni
Dolandırıcılığı önlemek için kuruluşların dolandırıcılık riskini yönetmesi gerekir. Risk yönetimi, şirketin hedeflerini veya finansal durumunu olumsuz yönde etkileyebilecek potansiyel riskleri veya belirsizlikleri belirleme, değerlendirme ve kontrol etme sürecidir.
2.1. Dolandırıcılığı önlemenin faydaları
Güçlü dolandırıcılık önleme programları aşağıdakiler de dâhil olmak üzere çok sayıda fayda sağlayabilir:
- Azalan finansal kayıplar;
- Geçerli düzenlemelere daha iyi uyum;
- Potansiyel dolandırıcılık konusunda çalışanların farkındalığı,
- İyileştirilmiş kurumsal yönetim.
2.2. Dolandırıcılığın önlenmesindeki zorluklar
Bununla birlikte, etkili dolandırıcılık riski yönetimini oluşturmak kolay değildir. Kuruluşların zorlukların ve hayata geçirilmesi (ve sürdürülmesi) zaman ve titizlik gerektiren en iyi uygulamalardan haberdar olması gerekir.
2.2.1. Fazla güvenme (trusting too much)
Hiç kimse uzun süredir çalışanların, müşterilerin veya satıcıların dolandırıcılık yapabileceklerine inanmak istemez. Bu olasılığı kabul etmek dolandırıcılığı önlemenin gerekli bir parçasıdır. Bununla birlikte, gerçekten güvenilir kişiler bile kimlik avı e-postalarının ve sahte mesajların gerçek görünmesini sağlamak için kullanılabilir. E-posta dolandırıcıları, dolandırıcı bir kişiye veya kuruluşa fon (hatta hediye kartı) göndermek için farkında olmadan hedeflere ulaşmak amacıyla sosyal mühendislik tekniklerini kullanırlar.
2.2.2. Karmaşıklık (complexity)
Bir kuruluş o kadar büyük olabilir ve kayıtları o kadar karmaşık olabilir ki, hileli işlemleri tespit etmek zor olabilir. Yakın zamandaki kötü şöhretli bir örnek, teknolojisinin kompakt otomatik cihazlar kullanarak hızlı kan testi gerçekleştirebileceğini iddia eden yüksek uçan bir girişim olan ‘Theranos’tur. Sadece iddialarının yanlış olduğu kanıtlanmakla kalmamış, aynı zamanda finansal öngörüleri de doğrulanmıştır. Theranos yöneticileri, büyük para sahibi yatırımcılarını 2014 yılında 100 milyon ABD[2] dolarının üzerinde, 2015’te ise 1 milyar doların üzerinde gelir elde edeceğine ikna etmek için muhasebe el çabukluğu yolunu kullanmıştır. O yıllardaki gerçek gelirlerin önemli ölçüde daha düşük olduğu ortaya çıkmış ve 2022 yılında şirketin liderleri elektronik dolandırıcılıktan mahkûm edilmiştir.
Dolandırıcılık da daha küresel hale gelmiştir. Kimlik avı saldırıları gerçekleştirmek, sahte banka hesapları açmak veya devlet yardımlarını çalmak için giderek daha inandırıcı sahte kimlikler yaratmak amacıyla kaynaklara ve dijital bilgi birikimine sahip ulus ötesi suç örgütleri tarafından çok sayıda dolandırıcılık faaliyeti gerçekleştirilmektedir.
2.2.3. Teknoloji
Teknolojik ilerlemeler organizasyonel başarı için yeni fırsatlar ve kötü aktörlerin dolandırıcılık yapması için yeni yollar sunabilir. Dolandırıcılar kendilerini şirket yöneticisi olarak gizleyebilir ve muhasebeden derhal sahte bir fatura ödemesini veya sahte bir banka hesabına para aktarmasını talep edebilir. Bu arada, daha “geleneksel” kimlik avı saldırıları, siber dolandırıcılık için başarılı kanallar olmaya devam etmektedir.
Dijital teknoloji, bireylerin ve dolandırıcılık çetelerinin, gerçek Sosyal Güvenlik numaralarını veya çalınan diğer bireysel verileri kullanarak sentetik kimlikler oluşturmasına olanak tanır. McKinsey Enstitüsü’ne göre, dünya çapındaki tüm dolandırıcılıkların yaklaşık %85’inde sentetik kimlikler yer almaktadır.
3. Dolandırıcılığın Nasıl Önleneceğini Anlamak
Dolandırıcılık riski hiçbir zaman ortadan kalkmayacak olsa da birçok dolandırıcının tespit edildiğini belirtmekte fayda vardır. Ancak bunun gerçekleşmesi birkaç maliyetli yıl alabilir. Kuruluşlar genellikle potansiyel dolandırıcılık sinyali olabilecek tehlike işaretlerini gözden kaçırmaktadır. Bu kırmızıçizgiler mutlaka gerçek dolandırıcılığın kanıtı değildir. Ancak bunlar kuruluşların bilmesi gereken risk faktörleridir.
3.1. Potansiyel dolandırıcılık faaliyetinin işaretleri
- Çalışanların tehlike işaretleri arasında imkânlarının ötesinde yaşamak, finansal zorluklar ve çalışma saatleri dışında ofiste tek başına vakit geçirmek yer alır. Uzaktan çalışma, çalışan sahtekârlığının tespitini daha da zorlaştırmıştır.
- Yönetimin kırmızıçizgilerine örnek olarak risk denetimleri ile ilgili sık sık yaşanan anlaşmazlıklar, kuruluşun finansal performansı konusunda çalışanlarla şeffaflığın olmayışı ve aşırı karmaşık finansal işlemler gösterilebilir.
- Sigortacıların ve finansal hizmet kuruluşlarının potansiyel kara para aklama belirtilerine karşı dikkatli olmaları gerekir. Bu tür uyarı işaretleri, potansiyel failin müşteri, aracılar veya satıcı olmasına bağlı olarak değişir. Kuruluşların kendi sektörlerine özel konularda dikkatli olmaları için kara para aklamayı önleme düzenlemelerine (anti-money laundering regulations) uymaları gerekir.
3.2. Dolandırıcılığın önlenmesi için en iyi uygulamalar
Bunlar neredeyse her türlü organizasyonun oluşturabileceği oldukça önemli risk stratejileridir:
3.2.1. Risk değerlendirmesi (risk assessment)
Risk değerlendirmesi, bir kuruluşun büyüklüğü, karmaşıklığı, sektörü ve hedefleri ile ilgili olarak karşılaştığı risklere bakmayı içermektedir. Dolandırıcılık riski değerlendirmesi, özellikle bir kuruluşun en duyarlı olduğu dolandırıcılık türlerini ve bunların nasıl meydana gelebileceğini belirler. Değerlendirmede, dolandırıcılık risklerini, olasılıklarına ve kuruluş için ne kadar tehlikeli olabileceklerine göre önceliklendirilir. Dolandırıcılık riskleri geliştiğinden ve yeni güvenlik açıkları ortaya çıktığından, bir kuruluşun risk değerlendirmesini düzenli olarak güncellemesi gerekir.
3.2.2. İç kontroller (internal controls)
İç kontroller dolandırıcılık riskinin en aza indirilmesinde önemli bir rol oynamaktadır. Kuruluş genelinde çeşitli taraflarca (ve bağımsız dış denetçiler tarafından) gerçekleştirilen risk denetimleri, dolandırıcılığın önlenmesi, tespit edilmesi ve soruşturulması çabalarının etkinliğini artırır. Kontroller de düzenli olarak gözden geçirilmeli ve güncellenmelidir.
3.2.3. Çalışanların eğitimi (employee training)
Dolandırıcılığın önlenmesine yönelik basit ama etkili bir strateji, kurum çalışanlarının karşılaşabilecekleri potansiyel dolandırıcılık riskleri konusunda eğitilmesidir. Açık bir örnek -çoğu kişinin üzüntüyle anladığı gibi her kuruluş için açık olmasa da- onlara kimlik avı e-postalarından ve diğer sahtekârlık iletişim biçimlerinden şüphelenmeyi öğretmektir.
3.2.4. Çoklu savunma hatları (multiple lines of defense)
Dolandırıcılığın giderek daha karmaşık hale gelmesiyle birlikte kuruluşların İnsan Kaynakları, muhasebe ve Bilgi Teknolojileri dâhil çok sayıda departmanı kapsayan bir risk yönetimi stratejisi geliştirmesi gerekir.
3.2.5. Dijital teknoloji araçları (digital technology tools)
Verilerin karmaşıklığı ve dolandırıcılık planlarının giderek daha karmaşık hale gelmesi nedeniyle, giderek daha fazla kuruluş dolandırıcılığın önlenmesi için teknoloji çözümlerinin kullanımını araştırmaktadır. Finansal hizmetler, sigorta ve devlet yardımlarıyla ilgilenen kuruluşlar için temel risk stratejilerinden biri kimlik doğrulamadır: müşterilerin, satıcıların ve sosyal haklara başvuranların söyledikleri kişi olduklarının tespit edilmesi. Birçok dolandırıcılık önleme uygulaması için dijital araçlar mevcuttur. Sahtekârlık faaliyetlerini gösterebilecek veri kalıplarını ve anormal işlemleri tanımlamak için yapay zekâ ve makine öğrenimini kullanan uygulamalar geliştirilmektedir.
Sonraki adım: Tespit/Algılama
Yine, önleme, dolandırıcılık riski yönetimine yönelik en iyi yaklaşımdır. Ancak bazen dolandırıcılık faaliyetleri en katı önleme zırhını bile aşabilir. İşte bu noktada, dolandırıcılık riski yönetiminin ikinci temeli olan dolandırıcılık tespiti devreye girmelidir. Dolandırıcılık tespitine yönelik teknikler, dolandırıcılığın kaynağı ister şirket içi ister dış olsun, finansal kayıplara ve veri ihlallerine yol açabilecek dolandırıcılık eylemlerini azaltabilir.
[1] FBI: [Federal Bureau of Investigation (ABD Federal Soruşturma Bürosu)]
[2] ABD: [Amerika Birleşik Devletleri].
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.