Büyük tehdit kapıda: siber suistimal

Büyük tehdit kapıda: siber suistimal

Uluslararası vergi, denetim, danışmanlık şirketi KPMG, tüm dünyada içinde Türkiye’nin de bulunduğu 81 ülkeden 750 vakayı analiz ederek “bir suistimalcinin profilini" çıkardı. Türkiye'den de 8 örnek vakanın yer aldığı araştırmaya göre şirketlerin itibarına zarar veren, maddi kayıplara neden olan suistimallerin faili; erkek, 36-55 yaşında, saygın, mağdur kuruluşta en az 6 yıldır çalışıyor, operasyon veya finans bölümünde yönetici, bir ekiple hareket ediyor, teknolojiyi kullanıyor...

1000

KPMG'nin düzenli olarak yaptığı araştırma, şirketlerdeki suistimalcilerin portresini çiziyor. Bu yıl da araştırmadan çarpıcı sonuçlar çıktı. Buna göre suistimalcilerin yüzde 79'u erkek ancak kadın suistimalci sayısında da artış var. 2010'da yüzde 13 olan kadın suistimalci oranı bu yılki raporda yüzde 17'ye yükseldi. Kadın suistimalcilerin yüzde 45'i 36-45 yaş grubundan. Suistimali teknoloji kolaylaştırıyor, zayıf kontroller körüklüyor.

Tüm dünyadaki KPMG ofislerinin en sık bahsettiği yeni ve gelişen tehdit 'siber suistimal'. KPMG profesyonellerine göre şirketler aslında bu tehdidin farkında ancak başlarına geleceğini düşünmüyor. Bu nedenle çoğu zaman saldırıya
uğradıklarından bile haberleri olmuyor.

Bu yıl ilk kez KPMG tarafından soruşturulan 31 siber suistimal faili araştırmada yer aldı. Ancak KPMG'ye göre bu sadece buzdağının görünen yüzü. Tespit bile edilmemiş çok sayıda vaka olabileceği tahmin ediliyor. 750 örnek içindeki 31 failin büyük kısmı, mağdur şirketin genellikle dışarıdan suç ortaklarıyla işbirliği yapan çalışanları... 

KPMG'nin hazırladığı 'Bir suistimalcinin profili' araştırmasından başlıklar şöyle:

  • Suistimalle mücadele kontrolleri yeterince güçlü değil. 750 suistimalciyle ilgili yapılan araştırma, bu suistimal vakalarının en az dörtte üçünde zayıf iç kontrollerin bu duruma zemin hazırladığını ortaya koydu. Araştırmaya göre globalde yüzde 61 olan bu oran Avrupa'da yüzde 72'lik bir dilimi kapsıyor. 2013'e oranla, zayıf iç kontrolleri fırsat olarak gören suistimalcilerin oranında kayda değer bir sıçrama gözlendi.
  • Organize şekilde yapılan suistimalin oranı, bireysel suistimalin neredeyse iki katı kadar. Bunun nedeni, suistimalcilerin kontrollerden kaçınmak için çoğu zaman işbirliğine ihtiyaç duymaları. 5 veya daha fazla kişiden oluşan gruplar, tek başına veya küçük gruplar halinde hareket eden suistimalcilerden daha büyük finansal zararlar veriyorlar.
  • Suistimallerin yüzde 66'sı 1-5 yıl arasında gerçekleştirildi. Yüzde 27'si mağdur şirkete en az 1 milyon dolar ve üzerinde zarar verdi. Bu zararı verenlerin yüzde 34'ü işbirliği yapan suistimalciler. En az 1 milyon dolar maddi zarara neden olan suistimalcilerin yüzde 42'si şirket içinden.
  • Gruplar halinde çalışan suistimalcilerin sayısı yalnız kurtların iki katı.
  • İşbirliği en çok Latin Amerika ve Karayip ülkeleri ile Ortadoğu ve Afrika ülkelerinde yaygın. Avustralya ve Yeni Zelanda gibi Okyanusya ülkeleri ile ABD ve Kanada gibi Kuzey Amerika'nın suistimalcileri ise tek başlarına hareket etmeyi tercih ediyor.
  • İşbirliği yapanlar daha yüksek rakamlar elde ediyor üstelik uzun bir süre tespit edilemiyorlar.
  • Suistimalle mücadele mekanizmasının güçlü olduğu şirketlerde, bir başkasıyla işbirliği yapan suistimalcilerin yüzde 16'sı sıkı kontrolleri atlatabilmiş ve suçu işlemesi için başkasının aklını çelmiş.
  • İşbirliği olan 456 örneğin yüzde 52'si ihbarlar, diğer bildirimler ve tedarikçi ya da müşterinin şikayeti sonucu tespit edildi. 

Hem içeriden hem kıdemli

  • Suistimalcilerin yüzde 65'i mağdur şirkette çalışıyor, yüzde 21'i ise eski çalışanlar. Şirket çalışanı suistimalcilerin yüzde 38'i şirkette 6 yıldan uzun süre çalışmış.
  • Suistimalcilerin yüzde 35'i üst düzey yönetici ve direktörlerden oluşuyor.
  • Suistimalcilerin yüzde 38'i çevrelerinde oldukça saygı gören kişiler. Üstünlük duyguları, korku veya öfke duygularından güçlü. Profili çıkarılan suistimalciler çevrelerinde çoğunlukla 'otokratik' diye tanımlanıyor. Arkadaş çevrelerinde saygın bir kişi olarak görülüyorlar. Gösterişli bir hayatları yok.
  • Suistimalcilerin yüzde 44'ü şirketlerinde sınırsız yetkiye sahipler veya kontrolleri aşabiliyorlar. 
Hem içeriden hem kıdemli

Kadın suistimalci sayısı arttı

  • Araştırma örneklerindeki erkek suistimalci sayısı kadın suistimalci sayısının yaklaşık 5 katı. Kadın suistimalciler, erkeklerden daha alt pozisyonlarda görevli.
  • Suistimal eylemlerinde cinsiyetler arasında görülen farklar, kadınların şirket içinde yükselmeye başlamasıyla giderek azalıyor. Yönetim seviyesinde kadın suistimalci oranı 2010'da yüzde 28 iken 2015'te yüzde 38'e yükseldi.
  • Erkekler işbirliği yapmaya kadınlardan daha meyilli. Erkeklerin yüzde 66'sı işbirlikçi, kadınların yüzde 45'i. Ancak kadınlar eskiye oranla daha fazla işbirliği yapmaya başladı.
  • Suistimalcilerin yüzde 44'ü bildirim, şikayet veya resmi ihbar hattı sayesinde yüzde 22'si ise yönetim incelemesinde tespit edildi. 

Teknoloji iki ucu keskin kılıç

  • Suistimalcilerin yaklaşık dörtte biri teknolojiden faydalanıyor. Yüzde 60'ı 26-45 yaş arasında.
  • Gizli bilgilere elektronik yollardan izinsiz erişmek ve yapılan suistimali kamufle etmek için sahte muhasebe kayıtları oluşturmak araştırmada rastlanan örnekler arasında.
  • İlginç şekilde teknolojiden faydalanılan suistimallerde en düşük oran yüzde 18 ile Avrupa'da. En yüksek oran ise yüzde 30 ile Okyanusya, yüzde 20 ile Kuzey Amerika ve yüzde 28 ise Ortadoğu-Afrika'da.
  • Teknolojiden yararlanan suistimalcilerin yüzde 24'ü en yaygın yöntemle yani tesadüfen yakalandı. Teknolojiden faydalanılmayan suistimallerde bu oran yüzde 11.
  • Ortadoğu ve Afrika ülkelerindeki suistimallerin yüzde 24'ü enerji ve doğal kaynaklar sektöründe gerçekleşiyor. Okyanusya ülkelerinde ise yüzde 26'sı kamu sektöründe görülüyor. 

Suistimalin gerçeklesmesinde teknoloji nasıl kullanıldı?

Teknoloji iki ucu keskin kılıç

Siber suistimalci nasıl çalışıyor?

  • Teknoloji tabanlı suistimal faaliyetlerinin önemli bir türü olan siber suistimal tehlikesi giderek büyüyor ve pek çok şirket sorunun farkında olsa da bunun için fazla bir şey yapmıyor.
  • En yaygın görülen suistimal türü, zimmetine para geçirme, satın alma yolsuzlukları, suistimal amaçlı finansal raporlama.
  • Siber suistimallerin başlıca amacı kişisel bilgiler, fikri mülkiyet ve üst düzey yöneticilerin e-postalarını çalmak, şirket verilerine stratejik erişim sağlayarak hizmetlerin engellenmesine yol açmak şeklinde sıralanıyor.
  • FBI iş e-posta suçlarının ciddi şekilde arttığını ve dünyada 12 binden fazla kişinin bu suçun mağduru olduğunu belirtiliyor.
  • Bu tür suçlarda suistimalci, bir şirket çalışanına üst düzey yönetici tarafından gönderilmiş süsü verilen bir e-posta göndererek, yurtdışındaki bir banka hesabına para transfer etmesi talimatı veriyor. FBI, şirketlerin bu yöntemle 2013-2015 arası yaklaşık 1,2 milyar dolarlık zarara uğradıklarını belirtiyor.

Suistimalciyle nasıl mücadele edilir?

Bugünün suistimalci pofilini açıklayan KPMG Türkiye Risk Yönetimi Danışmanlığı Şirket Ortağı İdil Gürdil, "Suistimalle mücadele teknolojisinin anahtarı; milyonlarca işlemi hızla inceleyip şüpheli ögeleri ayırabilen veri analitiği" dedi. Gürdil, şu tavsiyelerde bulundu: Suistimalcinin profiline baktığımızda suistimalle mücadele için dört ana tavsiye ortaya çıkıyor:

  1. Teknolojiyle karşılık verin. Suistimalcilerin yüzde 24'ü teknolojiden faydalanmış. Oysa suistimalcilerin tespit edilmesinde proaktif veri analitiği araçlarının kullanılma oranı sadece yüzde 3 olmuş. Şirketler veri analitiği araçlarını daha fazla kullanmalı; bu araçlar kişisel davranışları, bilgisayar kullanımını, resmi kayıtları ve sosyal medyayı analiz ederek şüpheli işlemleri ortaya çıkarabiliyor. Şirketlerin hatası genelde piyasada hazır bulunan standart çözümleri satın almaları ve kendi şirketlerinin ihtiyaçlarına göre özelleştirmemeleri.
  2. Düzenli olarak tüm şirketi kapsayan suistimal risk değerlendirmeleri yapın, çünkü dünya değişiyor. Yeni düzenlemeler, yeni pazarlar, yeni teknolojiler, yeni iş ortakları, yeni organizasyon ve süreçler…
  3. Sadece şirketinize odaklanmayın, iş ortaklarınızı ve sizin adınıza iş yapan üçüncü tarafları yakın gözetim altında tutun, üçüncü taraflarla çalışmaya başlamadan önce risk temelli bir durum değerlendirmesi yapın ve sözleşmelerinizden “denetim yapma hakkı” maddesini eksik etmeyin.
  4. Şirketinizde suistimal farkındalığını artırın, etik kültürünüzü oluşturun, çalışanların suistimal riskini farkedebilecekleri ve nasıl aksiyon alacaklarını bildikleri bir ortam yaratın, çalışanları etik hattı gibi raporlama mekanizmaları kullanmak için cesaretlendirin.

Zayıf kontroller konusunda görüşler şöyle: 

"Zayıf kontroller suistimali körüklüyor. Araştırmada incelenen suistimalcilerin yüzde 75'i zayıf kontrollerin suistimale zemin sağlayan bir etken olduğunu belirttiler.  Zayıf kontroller, suistimal kurbanı olan şirketler için önemli bir sorun ve bu sorun büyümeye devam ediyor. Kontrollerin zayıf olması veya var olmaması nedeniyle suistimal suçunu işleme ya da buna teşebbüs etme fırsatı yakaladığını söyleyen kişilerin 2013'te yüzde 18 olan oranı bu yıl önemli bir artışla yüzde 27'ye yükseldi."

"Şirketler, ekonomik zorluklar nedeniyle suistimalle daha güçlü mücadele kontrollerine yatırım yapamıyor. Şirketlerin iş fırsatları arayışıyla yeni coğrafi pazarlara girmeleri ve bunların arasında yolsuzluğun yaygın olduğu ülkelerin bulunması da etkili. Bütçesi kısıtlı ve pazar payını artırmakta zorlanan şirketler, risk profillerini değiştirmeye yönelik etkin kontrollere yatırım yapmada biraz geri kalıyor."

Daha detaylı bilgi için:

Figen Tahiroğlu Würsching

Kurumsal İletişim ve Pazarlama, Kıdemli Müdür

Tel: +90 216 681 90 00

ftahiroglu@kpmg.com

© 2024 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., şirket üyelerinin sorumluluğu sundukları garantiyle sınırlı özel bir İngiliz şirketi olan KPMG International Limited ile ilişkili bağımsız şirketlerden oluşan KPMG küresel organizasyonuna üye bir Türk şirketidir. Tüm hakları saklıdır. 

Küresel KPMG ağının yapısı hakkında detaylı bilgi için kpmg.com/governance adresini ziyaret edebilirsiniz.

Bize ulaşın