Yazılar

Temmuz ayı içinde, Metropolitan Bank & Trust Corp. (Metrobank)-Filipinler-, Metrobank' ın Kurumsal Hizmetler Bölümü başkanı Maria Victoria S. Lopez ve işbirlikçisi olduğu düşünülen iki kişi ile ilgili olarak suç duyurusunda bulundu. İhbar başvurusunun konusunu, ticari belgelerin tahrif edilmesi ve bu yolla gerçekleştirilen iki adet nitelikli hırsızlık oluşturuyordu.

Lopez tarafından biri, 2013, biri 2015 diğer ikisi ise 2017 yılı içinde dört adet çek düzenledi (manager’s check). Lopez’ in  21.02.203 tarihli P20.2 milyon; 26 Ocak 2015 tarihli P10.025 milyon; 21 Haziran 2017 tarihli P35.35 milyon ve 30 Haziran 2017 tarihli P30.3 milyon tutarındaki çekler ile toplamda yaklaşık 100 milyon Poundu zimmetine geçirdiği düşünülüyor. Tüm çekler Lopez tarafından onaylandı ve Sue Sai isimli kişinin hesabına geçirildi. Lopez ile birlikte, iş birliği şüphesi ile sorgulanan 2 kişinin avukatları, müvekkillerinin Lopez'e, kendilerine kişisel olarak verilen kredilerden ödeme yaptıklarını ve Lopez’ in Metrobank' tan para çaldığını bilmediklerini söylediler.

Sessiz "soygun" un en büyük kısmı, 16 Haziran 2017'de Metrobank' ın uzun süredir çalıştığı müşterisi Universal Robina Corp' nun 25 milyar Poundluk kredi limiti üzerinde düzenlenen, 900 milyon Poundluk sahte belge ile yapıldı. Büyük vurgun faiz hesaplarındaki tutarsızlığın denetçiler tarafından farkedilmesi üzerine ortaya çıktı. Yetkililer, bu dolandırıcılığın değerli bir müşterinin kredi hattı üzerinden yapılması nedeniyle, kontroller sırasında sorgulanmayarak, gözden kaçırılmış olabileceğini belirtti.

Olayın duyulması sonrası, yatırımcıların hisselerini satması ile Metrobank hisseleri hızlı şekilde düşüşe geçti. Metrobank’ın toplam kaybının 2.5 milyar Pound olduğu tahmin ediliyor.

Forbes haberine göre Metrobank 5.5 milyar dolarlık pazar payı ile top global 2000 listesinde yer alıyordu. 1962 yılında kurulan Bankanın, 12.500 çalışanı bulunuyor. 2016 yılında P18.1 milyar net gelir ve bu yılın ilk çeyreğinde P5.6 milyar gelir elde ettiğini bildiren Metrobank, P1.9 trilyon aktif varlığı ile Filipinlerin ikinci büyük bankası konumunda. Metrobank’ ın 959’i yurtiçinde, 202’i yurtdışında olmak üzere toplam 1.161 şubesi bulunuyor. Bankanın Başkanı Fabian S. Dee, ‘‘Banka her zamanki gibi çalışacaktır ve bankanın hiçbir müşterisi bu durumdan etkilenmeyecektir. Bankanın iç kontrol sistemi bu durumu aşmak için yeterlidir’’ şeklideki beyanı ile halka güvence verdi.

Zikredilen rakamlar ne kadar büyük olsa da bundan daha önemli olan asıl konu bankacılık sisteminin güçlü iç kontrol sistemlerine ne kadar ihtiyaç duyduğu. Bankacılık operasyonlarındaki zayıf kontrol sistemleri ve prosedürlerinin güçlendirilmesi veya elden geçirilmesi ve kamuoyunun korunmasına yönelik olarak, bankacılık endüstrisine ve düzenleyici mercilere büyük sorumluluklar düşüyor.

Nasıl ve Ne İçin?

Lopez 30 yıldır aynı banka için çalışan ve bir yıl sonra emekli olacak olan bir yöneticiydi. Bildirildiğine göre P250.000 aylık kazanca sahipti. 54 yaşındaki Lopez, Quezon Şehrindeki lüks bir yerleşim bölgesinde yaşıyordu ve en ucuz olanı Range Rover olan dokuz otomobile sahipti. Çocukları ABD’de ki okullara gidiyordu. Aslında şüphe uyandıracak bir yaşam tarzı kontrolü bile, Lopez’i çoktan ele veren bir kontrol olabilirdi.


Uzmanlara göre, Lopez’in bu sahte çek türünü nasıl düzenlediğini hayal etmek bile zor. Bu sahte çek türünün, bir kişinin sözü ve onayı ile periyodik olarak (dört yıldan fazla) düzenlenebilmesi ve tahsil edilmesi pek de mümkün değildir. Vadeli senetler, kredi limitleri, limitlerin kullanımı ve kredilerden düşüşler gibi işlemler bölümler arası kontroller ile işlenmeyi ve onaylanmayı gerektirmektedir. Peki bir banka görevlisi nasıl olmuştu da sorumluluk çizgilerini ve izin limitlerini tekrar tekrar aşarak banka fonlarından tekrarlanan hırsızlıklar gerçekleştirebilmişti? Metrobank muhasebe sistemleri Lopez'in karışık planlarına rağmen nasıl sorunsuz raporlar düzenleyebilmişti? Bunlar mali tablolara nasıl yansıtılmıştı? Banka denetçisi ne yapmış ya da ne yapmamıştı? Çünkü, Lopez’in planı kesinlikle varlıkları, yükümlülükleri ve tüm hesapları önemli derecede hareket ettirmiş olmalıydı. Düzenleyici kuruluş, ülkenin en büyük ikinci bankası konumundaki bir bankanın kontrol zafiyetlerini ve böylesi büyük değişiklikleri nasıl yakalayamamıştı?

 

Banka, Lopez’e planını uygulayabilmek için tek başına karar vermek konusunda çok fazla güç vererek, büyük ölçüde denetimsiz ve özgür alanlar bırakmış olabilir. Diğer bölüm ve birimlerde kontroller zayıf ya da hatalı olabilir veya kontroller göz ardı edilmiş olabilir. Örgütsel iş akışı ve sorumluluklar net ve şeffaf olmayabilir. Komuta kontrol zincirine saygı gösterilmemiş olabilir. Belki de kontrol eksikliği, bazı çalışanların yetki alanlarından daha fazla güce sahip olmalarına imkan vererek, kurum içinde gayri resmi bir örgüt yaratmış olabilir. Bu kontrol eksikliği, etik olmayan kişisel yakınlık ya da ortak hedefler nedeniyle üst kademelere daha yakın olabilmeleri yolu ile sağlanmış olabilir. Banka gibi operasyonlarda suçun gerçekleşmesi genellikle; suç ortakları, komplocular ve diğer pasif rızacıların varlığı ile mümkündür.

İlk ya da Tek Değil!

Filipinlerde bir başka bankada Haziran ayında bir bilgisayar hatası nedeniyle, üst üste iki gün süre ile çevrimiçi iletişim kesildi ve ATM'lere erişim sağlanamadı. Sorunun, bir bilgisayar programcısının tek başına yaptığı ve doğruladığı bir hatadan kaynaklandığı bildirildi. Bilgisayar programcısı, bazı banka hesaplarına ilişkin, para çekme, tarih / zaman parametreleri toplu girişinde hata yaptığını beyan etti.

Aynı zamanlarda başka bir banka, iki hafta boyunca, (Banco de Oro) bilgisayar korsanlarının yaptığı yetkisiz ATM çekimleri nedeniyle üç yerde 7 ATM’yi kapatmak zorunda kaldı. Banka aslında tahmin edilebilir bu durum için neden daha önce önlem almamıştı? Haber kaynağına göre, olaydan sonra banka yetkilisi, kontrolün bu sene sonuna kadar tamamlanacağına dair söz verdi.

2016 yılında kimlikleri tespit edilemeyen hackerlar, Bangladeş merkez bankasının ABD hesaplarından 81 milyon dolar çaldı ve çalınan paraları Filipinli bir bankaya ve Manila merkezli casinolara gönderdi. Sahte banka hesaplarını açan bir şube müdürüydü. Peki hesapları nasıl açtı ve sahibinin bilgisi olmaksızın var olduğu açık olan bir hesabı, para girişi sağlamak için nasıl kullandı? Üstelik Bankanın Genel Merkezinden verilen "ödeme durdurma" emrinden sonra, ilgili şubede, hesaplardan 58 milyon dolarlık çekim daha yapıldı.

Yetkililerin Değerlendirmeleri Önemli

Metrobank' ta gerçekleşen dolandırıcılık sonrasında düzenlenen basın toplantısında, Bankanın sözcüsü Ferdinand Lavin durumu tek bir cümle ile çok açık bir şekilde ifade ediyor “Bu konuda yaşanan en büyük kayıp bankacılık sisteminin güvenilirliği ve banka iç kontrol sistemleri ile ilgilidir.”

Üst düzey devlet yetkililerinden birinin konu ile ilgili ifadesi de oldukça çarpıcı :“Önemli bir suç gerçekleştiğinde asıl bakmamız gereken, kontrol sistemlerinin ve denetimlerin yeterliliğidir. Hepimizi güvenceye alacak olan budur.’’

 

Kaynak :

CNN Philippines, 08.02.2017

BusinessWorld-BW, 07.22.2017

Philippine Daily Inquirer-PDI, 07.22.2017

AFP, 07.21.2017

ABS-CBN News, 06.13.2017

Rappler, 05.16.2016

Inquirer, 14.07.2017

Forbes, Mayıs 2017

 

 

Ülkemizin prestijli üniversitelerinden birinin en üst yöneticisisiniz. Bir sabah ofisinize geliyorsunuz ve şöyle bir mektupla karşılaşıyorsunuz:

"Sayın Rektörüm,

Hukuk Fakültesi'nde bazı arkadaşların notları düşük olmasına rağmen, AKSİS (Öğrenci Otomasyon Akademik Kayıt Sistemi) üzerinden, bazı kişiler tarafından değiştirilerek geçer nota yükseltildi.’’

İhbar mektubunun ardından, Fakülte Dekanlığı' na derhal inceleme başlatılması talimatı veriyorsunuz. İhbarın gerçek olduğu ortaya çıkıyor; işlemler Hukuk Fakültesi öğrenci bürosundan gerçekleştirilmiş… Personelinizden S.Ö ve M.T.’ nin, o sırada izinde olan başka bir iş arkadaşlarının, yani başka bir personelinizin, şifresini kullanarak, aslında işlerin daha iyi yürütülmesi için uygulamaya alınan ve belki de son derece güvenli olduğunu düşündüğünüz öğrenci otomasyonu üzerinden, 8 öğrencinizin notlarını değiştirdiği tespit ediliyor.

İki personeliniz; sistemdeki verileri bozma, yok etme ve hukuka aykırı şekilde kazanç sağlama suçlarından cezalandırılması istemiyle Asliye Ceza Mahkemesine sevk ediliyor…

Yukarıdaki hikayeyi, ‘’skandal’’ başlığı altında yayınlanan bir haber olarak, üzülerek okuduk.

Etik dışı davranış, görevler ayrılığının uygulanmaması, uygun olmayan erişim yetkilendirmeleri, ihbar ve bildirim mekanizması boşluğu... Durum her yönü ile tam bir ‘’İç Kontrol’’ vakası.

Odadaki fil hikayesini duymuşunuzdur. Birçok operasyonel kontrol açığı da tıpkı o fil gibi kurumlarımızın içinde dolaşmakta, ancak kimse gördüm dememektedir. Büyük bir sorun çıkmadığı sürece de tehditlerle bir arada çalışılmaya devam edilmektedir.

Personel, iç kontrol sisteminde en önemli unsurdur.  Kontrol yaklaşımları büyük ölçüde insanların yetkinlik ve güvenilirlik seviyelerine dayandırılmaktadır. Çalışanlar yetkin ve güvenilir olduğunda, kontrol alanlarındaki diğer zayıflıkların üstesinden gelebilirler. Organizasyonlar, çalışanlarına büyük bir güven duyarak, genellikle ayrıntılı kontrol prosedürleri geliştirmeye ihtiyaç duymazlar. Ancak, en yetkin ve güvenilir çalışanlar bile tek başına yeterli bir iç kontrol sistemi oluşturmak için yetersizdir. En güvendiğiniz çalışanlarınız bile zaman içinde; bıkkın ve memnuniyetsiz hale gelebilir veya kendi işlerine ve işverenlerine ilişkin perspektiflerini değiştirebilirler. Bu nedenle, mutlaka güvene değil sisteme dayalı kontrol mekanizmaları oluşturulmalıdır. Kaldıki; kurumsal kültür içinde etik değerlerin bir bütün olarak yerleştirilmiş olması, etik ilkelerin tüm personel tarafından benimsendiğine ve uygulandığına inanılması son derece ütopiktir. Hele de etik davranışlar konusunda yeterli yönlendiricileriniz ve etkili araçlarınız bulunmuyorsa.

Olayda, iki kurum personeli etik dışı bir davranış sergileyerek, izindeki bir arkadaşlarının şifresini kullanmış ve muhtemelen maddi ya da manevi bir çıkar ilişkisi içinde 8 öğrencinin notları üzerinde değişiklik yapmışlar. Etik ihlallerinin her zaman gerçekleşebileceğinin peşinen kabulünden az önce bahsettik. Peki; bu iki personel, arkadaşlarının şifresini nasıl bilebilir? İzindeki personelin şifresi nasıl aktif durumda olabilir? Daha önce sisteme girişi yapılmış, ilan edilmiş notlar tek bir personelin kullanıcı adı ve şifresi ile nasıl değiştirilebilir?

Artırabileceğimiz bu sorular, Öğrenci Değerlendirme Sürecinin riskleridir aslında ve soruların cevapları risklere karşı alınması gereken kontrolleri basit bir şekilde bize verir. Tabi ki; operasyonel seviyede risk analizlerimizi gerçekleştirmiş, risklerimizi tespit etmiş ve gerekli kontrolleri tasarlamışsak.

Maalesef, iç kontrol sistemindeki boşlukları, pimi çekilmiş birer bomba gibi kurumlar ve yöneticileri sürekli olarak kucaklarında taşımaktalar. Aslında, çok basit çözümlerle yönetilebilecek sorunların birçoğu elimizdeki kaynakları doğru kullanamadığımız için büyük skandallara dönüşebiliyor.

Bilgisayarlı iş uygulamaları, gün geçtikçe artan hızda iş hayatının ayrılmaz bir parçası haline gelirken, insan kaynaklı kontrol boşluklarını dolduran bilgi sistemleri, yeni riskleri de beraberinde getiriyor. Manuel sistemlerde görevler ayrılığı büyük ölçüde bir kontrol mekanizması olarak kullanılmakla birlikte, bilgisayarlı sistemlerde bu kontrolün çok sık atlandığı görülmektedir. Hem manuel hem otomasyona dayalı iş uygulamalarında görevler ayrılığı mekanizması önemli bir kontroldür. Görevler ayrılığı, en basit şekilde, bir iş sürecinin, tek bir kişi tarafından başlanıp sürdürülmesi ve tamamlanmasının engellenmesi olarak tarif edilebilir. Her bir iş süreci içinde mutlak suretle veri girişi, kontrolü ve onaylanması aşamalarının bulunması ve bu aşamalarının ayrı kişilerce yürütülmesi gerekir. İş akış şeması hazırlamanın, iç kontrol açısından en temel fonksiyonlarından biri görevler ayrılığı mekanizmasını görsel olarak ortaya koyabilmek suretiyle gözden geçirmek ve gerekli durumda kontrol edilebilir olarak süreci yeniden tasarlamaktır. İç kontrol çalışmaları kapsamında hazırlanan iş akış şemalarında mutlaka bu hususa dikkat edilmelidir. Sadece manuel işlemler için değil otomasyon üzerinden yürütülen işlemler için de iş süreçleri tanımlanmalıdır. Birer prosedür olarak görülen ve hazırı varsa internet üzerinden alınarak kullanılan iş akış şemaları iç kontrol sisteminin güvenilirliği açısından anlamsız kalmaktadır. Hali hazırda kurumlarda bulunan bu aracın, risk ve kontrol bakış açısı ile revize edilmesi ve iç kontrol sistemi açısından hızlı bir şekilde işlevsel hale getirilmesi kurumlar için önemli bir kazanım olacaktır.

Bilgisayarlı iş sistemleri üzerinde, yetkilendirme tasarımı ciddi bir konudur. Veriyi kimin gireceği, kimin onaylayacağı, kimin raporlayabileceği, kimlerin sisteme erişim yetkisi olacağı, kimlerin hangi bilgilere ulaşabileceği vb. üzerinde düşünülmesi gerekmektedir. Girilen verilerin hatalı olması, gizli bilgilerin dışarı sızması, veriler üzerinde gerçekleştirilecek ihlaller… yetki tasarımının hatalı yapılması sonucu sıkça karşılaşılan risklerdir.  Ayrıca otomasyon şifrelerinin, personelin bu konudaki farkındalığının düşük olması nedeniyle paylaşılması, şifrelerin başkası tarafından kolayca tahmin edilebilecek şekilde atanması ve personel tarafından bu şifrelerin değiştirilmeden kullanılmaya devam edilmesi, sistemin kolay tahmin edilebilir şifreler belirlenmesine izin vermesi gibi boşluklar da yine sık gördüğümüz riskler arasındadır. Diğer yandan sisteme erişim süreleri de doğru şekilde tasarlanmalıdır. Personelin kurum dışından sisteme erişim yetkisinin olup olmayacağı, mesai saatleri dışında sistemin kullanılıp, kullanılmayacağı da doğru değerlendirilmelidir. Birçok kurumda, kurumdan herhangi bir sebeple ayrılan personelin bile kurum içi sistemlere erişim yetkisinin kaldırılması atlanmaktadır. Örnekte olduğu gibi izine çıkan personelin izin süresi içinde sisteme erişim yetkisinin devam etmesi ise, kurumlarda çok da önemsenmeyen bir durumdur. Öncelikle, izne ayrılan personel, uygun şekilde görevini ve devam eden işlerini devretmelidir. Devrettiği işler üzerinde, izin süresince herhangi bir yetkisi kalmadığı için, bu süre içinde şifrelerini kullanmaya da ihtiyaç duymamalıdır. Bu uygulamanın atlandığı durumlarda gerçekleşen çok sayıda risk örneği bulunmaktadır.

İç kontrol sistemi, kuruma ve yöneticilerine güvence veren bir yönetim aracıdır. İyi tasarlanmış bir iç kontrol sistemine sahip kurumlarda yöneticiler, aslında kolayca yönetilebilir sorunlar için büyük hesaplar vermek zorunda kalmazlar. Hem yönetici hem de personel güven içinde çalışabilir. Bu açıdan, kurumlarda iç kontrol suistimalleri hiçbir şekilde kabul edilebilir olmadığı gibi, yetersiz tasarlanmış kontrol sistemleri de kabul edilebilir değildir. İç Kontrol ve Risk Yönetimi, tüm kurumlar için öncelikli olarak ele alınması gereken bir iştir.

Yazıya bir üniversite haberi ile başladık yine Üniversiteler özelinde iç kontrol açısıdan önemli bir konu ile bitirelim. Ancak, birden fazla yönetim aracını (kalite,ISO, six sigma, yalın yönetim vb.) bir arada kullanmaya çalışan kurumlar için de güzel bir örnek olduğunu belirtelim.

Son dönemde hemen hemen bütün üniversitelerin gündemine oturan Yükseköğretim Kalite Güvence Standartları da Üniversitelerin iç kontrol sistemlerini destekleyen önemli bir araçtır. Öğrenci Değerlendirme Sürecinin güvenilirliği, iç kontrol için bir çalışma alanı iken, aynı zamanda Yükseköğretim kalite standartları için de bir değerlendirme alanıdır. Bu süreçte, Üniversite yönetimlerinin bu iki araç arasındaki ilişkiyi doğru bir şekilde yönetmeleri ve kalite güvence standartlarını iç kontrol sistemi içerisinde tamamlayıcı bir araç olarak değerlendirmeleri çok önemlidir. Birçok üniversite, başlayacak değerlendirmelere ilişkin olarak, kalite konusunda danışmanlık ya da ön değerlendirme hizmetlerine başvurmakta. Bu konuda Üniversitelerimize, kalite standartlarına uymak için dokümantasyon yığınlarına boğulmaktan uzak durmalarını önemle tavsiye ediyoruz. Yükseköğretim kalite güvence standartlarının da amaçları, tıpkı iç kontrol sisteminin de olduğu gibi; ölçme değerlendirme sisteminizi güvence altına almaktır, destek süreçlerinizde meydana gelebilecek ihlalleri önlemektir, etik dışı davranışların önüne geçmektir, teknolojiye ilişkin risklerini görebilmek ve yönetebilmektir… Risklerinizi yönetemedikten ve kontrol sisteminizi tüm süreçlerinizin başarısını garanti edecek şekilde tasarlayamadıktan sonra üretilecek hiçbir dokümantasyon, iş kalitenizi artırmayacaktır.