Her Şeyden Önce Riskini Anla!
Fikret SebilcioğluRisk bilinmez, yönetilmez ve tüm bu dikkatsizliğin sonunda gerçekleşirse bir şirket için zarar kaçınılmaz olur. Risk evreni bir şirket için çok geniş olabilir. Bu risk evreninde suistimal riskleri şirketler için anlaşılması ve yönetilmesi gereken kritik risklerin içindedir.
Suistimal risklerinin anlaşılması ve belirlenmesi süreci, aslında şirketin dışarıdan ve içeriden gelebilecek suistimal ataklarına karşı savunmasının olmadığı alanları tespit etmeye yönelik bir çabadır.
Suistimal riskleri birçok farklı yöntemle belirlenebilir. Bu riskleri anlama ve belirleme sürecinin başarısı için kullanılan yöntemin akılcı, sistematik, tutarlı ve şirkete uygun olması şart. Eğer bu süreç şirkete özel bir şekilde yürütülmez ise, önemli riskler kaçırılabilir veya güvenilir olmayan ve anlamsız sonuçlara ulaşılabilir. Bu da süreç başlamadan bitti anlamına gelir. Sarf edilen onca emek ve paranın üzerine soğuk bir su içmekten başka çare kalmaz.
Nasıl bir süreç ile risklerimizi anlayabilir ve belirleyebiliriz?
Aşağıda suistimal risklerini belirleyecek olan yöneticilere yardımcı olabileceğini düşündüğüm basit ve uygulanabilir bir çerçeve[1] sunmak istiyorum:
- Potansiyel yapısal risklerin belirlenmesi: Sürecin ilk ve en kritik kısmı. Burada şirketin uyguladığı kontroller olmadığı varsayılarak, maruz kalınan tüm risklerin bir listesi çıkarılır. Bu çalışmada aşağıda belirtilen konularda kilit kişilerin de içinde olduğu beyin fırtınası çalışmaları yapılarak potansiyel riskler belirlenir.
- Sektörün, iş süreçlerinin ve operasyonel faaliyetlerin dikkate alınarak suistimal türleri bazında risklerin analiz edilmesi ve belirlenmesi (yolsuzluk, varlıkların kötüye kullanılması, mali tablo hileleri, dış suiistimaller).
- Şirket çalışanları perspektifinden suistimallere neden olabilecek fırsatların ve suistimalciyi motive edecek veya işlediği suçu meşrulaştırmasına neden olabilecek alanların tespit edilmesi.
- Mevcut kontrollerin yöneticiler tarafından aşılması veya etkisiz hale getirilmesi.
- Belirlenen suistimal risklerinin gerçekleşme ihtimalinin değerlendirilmesi.
- Suistimal risklerinin şirkete yaratacağı etkinin hesaplanması.
- Şirkette teorik olarak hangi pozisyon ve departmanların suistimal yapma olasılığı olduğunun ve ne tür suistimaller yapılabileceklerinin değerlendirilmesi.
- Belirlenen potansiyel riskler ile şirketteki mevcut önleyici ve tespit edici kontrollerin karşılaştırılması.
- Mevcut kontrollerin verimli ve etkin bir şekilde çalışıp çalışmadığının doğrulanması.
- Yukarıda belirtilen prosedürlerin tümü yerine getirildikten sonra, çalışmayan veya hiç mevcut olmayan kontrollerden dolayı “kalan” suistimal risklerinin belirlenmesi.
- Kalan suistimal risklerinin yönetilmesi.
Şirketin ölçeği ve içinde bulunduğu sektör düşünülerek suistimal riskinin anlaşılması ve belirlenmesi sürecini basit, anlaşılabilir ve etkin bir şekilde yürüterek sonuca ulaşmak ve “kalan” riskleri tespit edip yönetmek, en akılcı çözüm olacaktır. Bu süreçleri mükemmeli yakalamak için çok karmaşık hale getirmek ise ne yazık ki çoğu zaman sonun başlangıcı olabiliyor.
Suistimal riskleri şirketler için hayati öneme sahip. Tarih suistimal risklerinden dolayı yok olan veya büyük zararlar gören şirket kazaları ile dolu. Bir şirkette böylesine önemli risklerin konuşulması, tartışılması ve yönetilmesi kadar meşru bir yaklaşım ve talep olamaz. Bu nedenle suistimal riskini konuşmaktan çekinmeyin, tartışmaya başlayın ve çalışanları cesaretlendirin. Riskini anlamak için kafa yormayan, risk gerçekleştiğinde neler olacağının farkında olamaz.
Risklerinizin farkında mısınız? Eğer suistimal risklerinizi siz yönetmezseniz, birileri sizin aymazlığınızın keyfini çıkarabilir.
[1] Kaynak: ACFE Fraud Examiners Guideline