Embed Size (px)
Citation preview
1
YOLSUZLUĞUN TESPİT VE ÖNLENMESİNDE BİLGİSAYAR DESTEKLİ DENETİM TEKNİKLERİ
KÜRŞAT TAŞKIN
3.Ulusal Kurumsal Yönetim, Yolsuzluk, Etik ve Sosyal Sorumluluk Konferansı’nda bildiri olarak yayınlanmıştır.
ÖZET
ACFE 2010 Yolsuzluk raporuna göre kurumlar toplam gelirlerinin %5’ini yolsuzluklar neticesinde kaybetmekte olup 2010 yılı için 2009 yılı verilerine dayanarak yapılan öngörü yolsuzluktan dolayı toplam kaybın 2.9 trilyon dolar olacağıdır. Artan ekonomik faaliyetler ve teknolojik gelişmelere paralel olarak kurum ve kişilere ait veri hacimleri hızla artmakta, kontrol edilemez bir noktaya doğru ilerlemekte ve yolsuzluk yöntemleri çeşitlenmektedir. Buna paralel olarak etkin bir denetimin önemi giderek artmaktadır. Klasik denetim yaklaşımı reaktif iken teknolojik gelişmeye paralel olarak gelişen “Bilgisayar Destekli Denetim Araç ve Teknikleri” (CAATTs) proaktif yaklaşım sergilemektedir. Bu makalede yeni nesil CAATTs yöntemleri ile yolsuzluk tespit ve önlemede getirdiği proaktif yaklaşım incelenmiştir.
Anahtar Kelimeler: Yolsuzluk, Bilgisayar Destekli Denetim Araç ve Teknikleri, CAATTs, BDDAT, Suiistimal
2
İçindekiler
1. Giriş ................................................................................................................................................................ 3
2. Suiistimal ........................................................................................................................................................ 4
3. Veriye Dayalı Suiistimal Tespit ve Önleme ..................................................................................................... 6
3.1. Anormallik ve Suiistimal ........................................................................................................................ 6
3.2. Veri Analiz Süreci ................................................................................................................................... 7
3.3. Suiistimal Tespitte Veri Analiz İşleyiş Süreçleri .................................................................................... 10
3.4. Veri Erişim Yöntemleri ......................................................................................................................... 13
3.5. Veri Analiz Yöntem ve Teknikleri ......................................................................................................... 14
3.5.1. Yöntem 1: Bilgisayar Destekli Denetim Araç ve Teknikleri (CAATTs) .......................................... 14
3.5.2. Yöntem 2: İstatistiksel Teknikler ................................................................................................. 22
3.5.3. Yöntem 3: Veri Madenciliği ve Yapay Sinir Ağları Teknikleri ....................................................... 23
3.5.4. Yöntem 4: İlişkisel Veri Analiz Araç ve Teknikleri ........................................................................ 24
4. Biligsayar Destekli Denetim Uygulamaları (CAATTs Applications) ............................................................... 24
4.1. Uygulama 1: Veri Kalitesi ..................................................................................................................... 24
4.2. Uygulama 2: Limit Kontrol Uygulaması................................................................................................ 26
4.3. Uygulama 3: Düz Tutar Kontrolü ......................................................................................................... 26
4.4. Uygulama 4: Yaşlandırma .................................................................................................................... 27
4.5. Uygulama 5: Karşılaştırmalı Mali Tablo Analizi (Yatay Analiz) ............................................................. 27
4.6. Uygulama 6: Mali Tabloların Yeniden Oluşturulması .......................................................................... 27
4.7. Uygulama 7: İcmal Tablo Oluşturma ................................................................................................... 27
4.8. Uygulama 8: Hareket Tablosu Oluşturma ............................................................................................ 28
4.9. Uygulama 9: Mutabakat İşlemleri ....................................................................................................... 28
4.10. Uygulama 10: FIFO Uygulaması ....................................................................................................... 28
4.11. Uygulama 11: Sıklık Uygulaması ...................................................................................................... 29
4.12. Uygulama 12: Parçalı İşlem Uygulaması .......................................................................................... 29
4.13. Uygulama 13: Şüpheli Tarih Değişim Uygulaması ........................................................................... 29
4.14. Uygulama 14: Trend Analizi ............................................................................................................. 29
4.15. Uygulama 15: Regresyon Analizi ..................................................................................................... 30
4.16. Uygulama 16: Kur Değerlemesi ....................................................................................................... 30
4.17. Uygulama 17: Hareketsiz Hesap Uygulaması .................................................................................. 30
4.18. Uygulama 18: Karşılıklı Çalışan Hesaplar Uygulaması ..................................................................... 31
4.19. Uygulama 19: Dikey Analiz .............................................................................................................. 31
4.20. Uygulama 20: Oran Analizleri .......................................................................................................... 31
3
1. Giriş Günümüzde teknoloji insan hayatının tamamını etkisi altına almış durumdadır. İnsan oğlu bir yandan bu teknolojik imkanlardan faydalanıp yarar sağlamakla birlikte diğer yandan zarar görebilmektedir. Suiistimal açısından bakıldığı zaman ise bir çok suçlu teknolojinin sunduğu imkanları kullanarak suç işleyebilmektedir. Smith (2005) “Neredeyse her finansal suiistimalin oluşumunda muhakkak bir bilgisayar ve dijital dünyanın sunduğu bir ekipman vardır” demiştir. Volonino, Anzaldua and Godwin (2006) bilgisayar ortamında işlenen suçları ikiye ayırmıştır, bunlar bilgisayarın hedef olduğu diğeri de araç olduğu durumlardır. Bilgisayarın hedef olduğu suçlarda doğrudan yerel ağa veya bilgisayara saldırılar düzenlenir, çökmesine sebebiyet verilir veya doğrudan bilgisayarlar araç olarak kullanılarak bilgisayar içerisinde yer alan gizli verilerin elde edilmesi veya çıkar amaçlı kullanılması ile sonuç bulabilir. Dijital ortamdaki delliller fiziki delillere nazaran çoğunlukla farkında olmadan kolayca yok edilebilirler Smith (2005). Bu nedenle denetim bakışı ile teknoloji bir yerde suiistimale imkan tanıyan ve yardımcı olan bir düşman olarak nitelendirilebilir.
Teknolojik gelişmelerle birlikte artan suiistimal yöntem ve zararlarına paralel olarak suiistimal önlemede bilgisayar teknolojilinin kullanımı da artmıştır. Konuyla ilgili olarak yaşanmış en hızlı ve etkin gelişme doğrudan bu hedefe yönelik olarak hazırlanmış Bilgisayar Destekli Denetim Araç ve Teknikleri’nin (BDDAT) (Computer Asisted Audit Tools and Techniques – CAATTs) gelişmesi ve suiistimal tespit noktasında kullanımının yaygınlaşmasıdır. (Pearson ve Singleton, 2008) CAATTs’i iç veya dış denetçilerin denetim kapsamında yer alan bilgi sistemlerinde yer alan verilerin denetlenmesi süreçlerinde kullanılan bilgisayar araç ve teknikleri olarak tanımlamıştır. (Grand, 2001) iç denetçiler tarafından kullanılan CAATTs’i şu şekilde sınıflandırmıştır: elektronik çalışma kağıtları, suiistimal tespit, bilgi edinme ve analizi, ağ güvenliği, sürekli gözetim, denetim raporlaması, denetim geçmişinin tutulduğu bir veri tabanı, elektronik ticaret ve internet güvenliği başlıkları altında değerlendirmiştir.
CAATTs’in denetçiler tarafından kullanılması yeni değildir, ancak iş hayatında bilgi sistemlerinin kullanımının artışı ile gelişmi hızlanmıştır (Ramamoorthi, 2004). Bilgi teknolojinin yaygınlaşması, modern bilgi teknolojilerinin getirdiği fonksiyonel ve ekonomik gelişim ile globalleşen açık ekonomiler ve rekabetçi piyasa şartları bilgi teknolojilerinin kullanımını arttırırken buna paralel olarak bilgi teknolojilerinin daha hızlı gelişmesini sağlamış ve denetim otomasyonlarını zorunlu hale getirmiştir (Berry, 2003; Bhimani, 1996; Abdel Hamed & Sweet, 1999). Bir taraftan denetçiler denetimde bilgi teknolojilerinin sağladığı yetkinlikleri kısmen de olsa elde edebilirken diğer yandan çalıştıkları işletmeler bilgi teknolojileri anlamında gelişmelerini sürdürmeye devam etmektedir (Elliot, 2002). Bir çok organizasyon iş süreçlerini desteklemek için sofistike bilgi sistemlerine yatırım yapmışlar aynı zamanda iş süreçlerini de bu bilgi sistemlerine uygun hale getirmişlerdir (Ramamoorthi, 2004). Ancak, teknolojik imkanlarında etkisi ile işlemler daha kompleksleşirken paralelinde faydaları kadar tespiti zor suiistimal ortamlarının oluşmasına ortam sağlamıştır. Bu nedenle CAATTs kullanımı gereksinimi giderek artmış ve her geçen gün organizasyonların farklı birimlerinde olası suiistimallere yönelik kontrollerin artışı zorunluluk haline gelmiştir. Bu durumun farkında olan organizasyonlarda kontrol ortamlarının sağlamlaştırılması, olası
4
suiistimallere zamanında tespit edip müdahale edebilmek için yatırımlar yapmakta ve tam denetimi sağlamak üzere girişimlerde bulunmaktadır.
Bilgisayar destekli denetimin önemi giderek artış göstermektedir. Bu alanda bir çok çalışmalar, makaleler ve kitaplar yayınlanmıştır. Farklı sektörlere ve iş kollarına yönelik olarak hazırlanan bu çalışmaların paralelinde akademik camiada da ilgi artmakta, konu hakkında farklı bakış açısı ve yaklaşımlarla araştırmalar düzenlenmekte ve yayınlar yapılmaktadır. (Örnek: Neuron, 2003; Paukowits, 1998; Paukowits, 2000; Hudson, 1998; Pamukçu 1994; Çiftçi 2003; Erdoğan 1999; Türker 2001; Yılmaz 2007)
2. Suiistimal Suiistimal, bir yada birden fazla kişinin katılımı ile kasti ve gizli olarak kendi çıkarlarına yönelik bir değeri eksik gösterme, yanıltma olarak tanımlanmıştır. Suiistimal insanlık tarihinin var oluşu kadar eskidir ve bir çok farklı formda karşımıza çıkabilmektedir. Son yıllarda artan teknolojik gelişmelerle birlikte suiistimalin çeşitlerinde de hızlı artışlar meydana gelmiştir (Bolton ve Hand 2002). Bu artışla birlikte karşı kontrol ve mücadele yöntemleri geliştirilmekte olmasına rağmen suiistimal işleme yöntemleri kontrol yöntemlerine göre daha çeşitli ve hızlı gelişmektedir. Suiistimal ile mücadelede diğer önemli handikap ise yeni bir suiistimal türünün işlenmeden önce bilinmesinin çok zor bazı durumlarda da imkansız oluşudur. İnsan zekasının bir ürünü olan suiistimal çeşitliliği sebebiyle tespiti ve mücadelesi çok zor olmakta, teknolojik imkanların getirdiği ve çoğu zaman farkedilemeyen eksikliklerde bunlara imkan tanımaktadır. Suiistimal türleri yeni çıkan bir virüse benzetilebilir, nasıl bir virüs ilk zararını vermeden virüs olduğu anlaşılamıyor ve farkedilemiyorsa aynı şekilde yeni bir suiistimal türü de işlenmeden tespiti neredeyse mümkün değildir.
Bu kadar çok çeşitliliğin ve belirsizliğin olduğu suiistimal yöntemlerinin ortaya çıkışıyla mücadelede en önemli adım yine teknolojinin getirdiği imkanların maksimum düzeyde kullanılması ile atılabilir. Bugüne kadar bu alanda bir çok yöntem ve teknolojik çözümler geliştirilmiş, her biri farklı alanlarda ve farklı bakış açıları ile konuya yaklaşmıştır. Önümüzdeki dönemlerin yine en önemli konularından olacak olan bu yöntem ve araçlar sayesinde suiistimal veya olası suiistimal konuları tespit edilmeye devam edilebilecektir. Nasıl suiistimal yöntemleri çeşitleniyorsa suiistimal ile mücadele yöntemleri de çeşitlenmeye devam edecektir. Suiistimalin en çok görüldüğü alanlar yine parasal büyüklüklerin, işlemlerdeki kompleksliğin ve işlem hacimlerinin en yüksek olduğu telekom, sigorta ve bankacılık sektörleridir. Bir çok müşteri ve işlem ile çalışan bu sektörlerde kontrol zor ve gizli ilişkileri çözümlemek ise neredeyse imkansızdır. İşlemlerin saliseler bazında gerçekleştiği ve sürekli bir devinim olduğu bu sektörlerde suiistimallerin incelenmesi ve tespiti de ancak yapılan bu işlemlerin zamanında kontrolü ile sağlanabilmektedir. Bu sebeple bu alanda yatırım yapan ilk organizasyonlarda yine bu sektörlerden olmuş ve veri analiz tekniklerini kullanarak işlemlerde yer alan suiistimal izlerini tespit, önleme ve inceleme süreçlerini oluşturmuşlardır (Decker 1998).
5
Suiistimalin bir çok farkı tür ve işleniş şekli olabilir, insanoğlunun hayali ile sınırlı olmasına rağmen suiistimalin temel güdüleri ve bıraktığı izler ortaktır. (Palshikar 2002) Farklı suiistimal şekillerinde içeriği ve oluşumu açısından benzerlikler olsada genel olarak aynı olmadıklarını belirtmiştir. Öteyandan farklı sektör, alan ve konumlara görede farklı suiistimal yöntemleri mevcuttur ( Bknz: ACFE Fraud Examiners Manual 2010 International Edition)
ACFE İç Suiistimal Ağacı
6
3. Veriye Dayalı Suiistimal Tespit ve Önleme Günümüz dünyasında verinin artan önemi tartışma götürmez bir hal almıştır. Bir çok kurum geleceğe dair stratejilerini organizasyonun sahip olduğu verilerin bilgiye dönüştürülmesi, dış kaynaklı veri sağlayacı kurumlardan verinin satın alınması ve doğrudan açık kaynak olarak sunulan sosyal medya verilerinin (facebook, twitter vb.) kullanımı ile daha karlı iş olanakları sağlamaya yönelik çalışmalar yürütmektedir. Her bir organizasyon bazında bakıldığında gündelik yaşamın her adımı ile birlikte milyarlarca satır veri üretilmekte ve silolar halinde saklanmaktadır. Bu saklama işleminin ise maliyetini yine organizasyonlar karşılamak durumunda kalmaktadır. Verinin büyümesi ile birlikte verinin maliyeti de artmakta ve bir noktadan sonra veri hammaliyeliği halini almaktadır. Veri saklama ve oluşturma maliyetinin indirgenmesi için adımlar atılsada eldeki verinin doğru yorumlanarak değere dönüştürülmesi sağlanmadığı sürece bu çabalar yetersiz kalacaktır. Teknolojik gelişmelerle birlikte paralel olarak artan işlem hacimleri ve karmaşanın ürettiği bu maliyetin altından kalkılmasının tek yolu ise veriyi bilgiye dönüştürebilmekten geçmektedir.
3.1. Anormallik ve Suiistimal
Denetim birimleri yıllardır organizasyon içi veya dışı anormallikler ile suiistimalleri tespite yönelik olarak çalışmaktadır. Buna yönelik olarak bilişim teknolojilerinden (excel, access vs) yararlanarak küçük veya büyük hacimli veriler üzerinde bir takım kontroller yapmaktadırlar. Bu hususta önemli bir ayrım noktası kullanılan yöntemlerdir. Geleneksel olarak adlandırılan istatistiksel örnekleme, hata bulma, toplam kontrolleri suiistimal tespitten ziyade anormalliklerin bulunmasında işe yaramaktadır. Muhasebe hataları çoğunlukla kontrol eksikliğinden kaynaklanmakta, hatanın kaynağında çoğunlukla kasıt ve kişisel çıkar bulunmamaktadır. Bunun yanında anormallikler çoğunlukla sistematik hatalardan kaynaklanmakta, geleneksel yöntemlerle tespiti yapılabilmektedir. Bu sebeple anormallikler ve hatalar çoğunlukla suiistimal olmamakta ve bünyesinde suçlu barındırmamaktadır. Bu tür hata ve anormalliklerin tespiti için istatistiksel örnekleme ile kontroller sağlanabilmekte ve hatalar tespit edilerek düzeltilebilmektedir.
Ancak sözkonusu suiistimal olduğunda ise bir yada birden fazla suçlunun bilinçli, isteyerek ve irade göstererek yapmış olduğu bir kasıt aranmaktadır. Suiistimal izleri çok sıklıkla rastlanabilecek ve örnekleme ile tespit edilebilecek izler olmamaktadır. Çoğunlukla bir yada bir kaç işlem içerisinde gizlenmiş olarak bulunmaktadır. Bir organizasyon içerisinde suiistimal olmadığını iddia edebilmek için organizasyonun bütün işlemlerinin tek tek incelenmesi ve ayrıca bütünsel olarakta değerlendirilebilmesi gerekmektedir. Bu sebeple suiistimal tespit “samanlıkta iğne aramaya” benzemektedir ve suiistimal inceleyicilerin her bir işlemi analiz edebilmesi beklenmektedir.
Günümüzde bütün işlemler kağıt ortamından çıkarak tamamen elektronik ortamda takip ve analiz edilebilir bir hal almıştır. Buna paralel olarak bir çok farkı yöntem, teknik ve araçlar geliştirilmiş ve inceleme konusu olan verinin tamamını incelemeye yönelik olarak kullanılmaktadır. Denetçiler verinin tamamını inceleyerek suiistimal izi arayabilmekte ve sonuçları yine elektronik olarak paylaşabilmektedir. Şurası unutulmamalıdırki her ne kadar
7
veri üzerinden bütün işlemler incelenebilsede doğrudan belge üzerinden yapılması gereken inceleme gereksinimi olabilmektedir. Bu nedenle istatistiksel örnekleme suisitmal incelemesi yapan analistlerin kullandığı yöntemlerden birisidir.
3.2. Veri Analiz Süreci
Suiistimal tespit için uygulanacak olan veri analiz sürecinin etkin olabilmesi için süreçlerin doğru anlaşılması ve olası suiistimal uygulamalarının akışının belirlenmesini gerektirmektedir. Doğrudan örnekleme yoluyla suiistimal izinin aranması etkin olmayan bir yöntem olup suiistimal inceleyicilerinin yeni metodlar, yeni teknikler ve bunlara hizmet eden yeni araçlara hakim olması gerekmekte ve veri odaklı çalışarak bütün veri üzerinden yapılacak analizlerin avantajlarından faydalanmaları gerekmektedir. Veri odaklı suiistimal tespit proaktif bir yapıya sahiptir. Anlalist suiistimal gerçekleşmesini beklemeden olası suiistimal noktalarını tespit edebilir, suiistimal semptomlarını düşünerek tasarlayabilir ve bu yönde doğrudan veri üzerinden analizler gerçekleştirerek kontrol altında tutabilir.
Proaktif Bir Suiistimal tespit aşağıdaki aşamalardan geçmektedir;
Adım 1: Faaliyet alanının anlaşılması
Proaktif suiistimal tespit süreci yapılan işin, faaliyet alanının veya inceleme altındaki birimin anlaşılması ile başlamaktadır. Suiistimal tespitin yapılabilmesi için olası suiistimal göstergelerinin bilinmesi ve bu yönde bir inceleme yapılması gerekmektedir. Bu sebeple analist belli hipotezlerle analizlerine başlamakta ve yapılan işin süreç ve mahiyeti ile ilgili derinlemesine bilgi sahip olması gerekmektedir. Analist’in önünde her zaman hipotez oluşturmadan doğrudan rastgele gözlem veya veri üzerinden analiz etme şansı bulunmaktadır, ancak bu tür incelemeler proaktifden ziyade reaktif durumlar yani suiistimalin gerçekleşmesinden sonra tespit edilebilecek vakalardır. Proaktif suiistimal tespitine yaklaşımda yapılan işlerin mahiyetinin anlaşılması süreci sadece faaliyetlerin incelenmesi, inceleme yapılacak birimlerle görüşmeler üzerine dayanmamalı aynı zamanda sektörel suiistimal örnekleri incelenmesi ve en önemlisi birimlerin üretmiş olduğu verilerde enteraktif yöntemlerle incelenmelidir. Organizasyonun sahip olduğu bilişim sistemleri ve bu sistemlerin ürettiği verilerin incelenmesi ile organizasyonun faaliyetlerinin ürettiği veriler ve bu veri üretim süreçlerinin ön incelemeye tabi tutulması proaktif suiistimal tespiti yapabilmenin önemli adımlarındandır.
İş ve süreçlerin anlaşılarak etkin proaktif suiistimal tespiti için uygulanması gereken temel adımlar ve yöntemler şunlardır;
Organizasyon içerisinde inceleme, departmanlarla görüşme, faaliyetlerin incelenmesi
Organizasyonun rekabet veya iletişim içerisinde olduğu üçüncü parti organizasyon faaliyetleri ve bağlantılarının incelenmesi
Sektörel geçmiş vakaların incelenmesi
Anahtar çalışanlarla ve alan uzmanları ile görüşmeler
Mali tabloların ve muhasebe kayıtlarının incelenmesi
8
Organizasyon iş süreçlerinin incelenmesi ve bu iş süreçlerinin ürettiği verilerin incelenmesi
Denetçilerle görüşmeler
Organizasyon içerisinde çalışanların gözlemlenmesi, farklı birimlerdeki çalışanlarla irtibata geçilerek görüşmeler yapılması
“Veri güdümlü proaktif suiistimal tespit ve incelemenin olmazsa olmaz kuralı kurum iş süreçlerinin incelenmesi ve bu iş süreçlerinin ürettiği verilerin tespit ve incelenmesinden geçer."
Adım 2: Olası Suiistimal Vakalarının Belirlenmesi
Yapılan işlerin anlaşılması, süreçlerin incelenmesi, veri oluşum süreçlerinin belirlenmesi ve incelenmesinin ardından önemli ikinci adım olası suiistimallerin gerçekleşme yollarının neler olduğunun, ne tür suiistimallerin gerçekleşebileceğinin ve bu suiistimal belirtilerinin neler olduğunun tespitidir. Bu aşamada organizasyonun farklı açılardan (organizasyon şeması, iş süreçleri, görev dağılımları, veri üreten ve saklanan sistemler vb.) ayrı ayrı taksonomilerinin oluşturulması ve sonrasında bu taksonomilerin birbirleri ile ilişkisinin belirlenerek organizasyon ontolojisinin oluşturulması gerçekleştirilmelidir. Ontoloji içerisinde her bir kalemin ayrıca değerlendirilerek oluşturabilecek oldukları olası suiistimal vakaları belirlenmeli ve her birine öncelikle ayrı ayrı sonrasında bütünsel olarak bakılmalıdır.
Örnek olarak bir analist doğrudan üretim, tahakkuk ve tahsilat departmanları veya satın alma departmanlarına odaklanabilir. Burada odaklanılacak noktaları ve her bir iş kolunun kendi içindeki yapısını inceleyerek olası suiistimallerin oluşum senaryolarını ve belirtileri (red-flag) belirlenmelidir. Organizasyon genelinde değerlendirme aşamasında ise kendi başına ayrıca değerlendirilen bu birimler arası ilişikiler organizasyon ontolojisi üzerinden ilişkilendirilerek bütünsel olarak bakılmalıdır. Bu aşamada analist ilk aşamada olduğu gibi daha birimlere özel görüşmeler yapmalıdır. Bu görüşmeler esnasında sorulabilecek sorulara şu örnekler verilebilir;
Anahtar oyuncular kimlerdir?
Ne tür çalışan, satıcı veya alıcılar ile birlikte çalışılmaktadır?
Yapılan işlere etkisi olan iç ve dış aktörler kimlerdir ve ne gibi bir etkileri yer almaktadır?
Geçmişte ne tür suiistimaller oluşmuş veya oluşmadan tespit edilmiştir?
Ne tür suiistimaller gerçekleşebilir? Çalışanların gördüğü eksiklikler nelerdir?
Çalışanlar veya yönetim ne tür suiistimaller işleyebilir?
Alıcılar veya satıcılar ne tür suiistimaller işleyebilir?
9
Bu süreçte analistler beyin jimnastiği yaparak ne tür suiistimaller işlenebileceği, kimler tarafından işlenebileceğine yöntelik tespitler yapmalıdır. Sektörel suiistimal örnekleri incelenmeli, özellikle dış kaynaklı alan uzmanları ile de görüşülerek çalışmalar yürütülmelidir.
Adım 3: Olası Suiistimal Belirtilerin Dökümantasyonu
Önceki adımlardan öğrenilen bilgilere göre olası suiistimal belirtileri dökümante edilmelidir. Çıkartılan bu olası suiistimal türleri ve belirtilerine göre organizasyon içerisinde ne tür göstergelerin belirti olabileceği ve erken uyarı sağlayabileceği konusunda çalışmalar ve beyin jimnastikleri yapılmalıdır. Literatürde “red-flag” kırmızı bayrak olarak nitelendirilen bu göstergeler listelenmeli ve uluslararası örnekleri de incelenmelidir. Kırmızı bayraklara örnek olarak artan alacaklar veya geciken avans kapatmaları gösterilebilir. Bu alanda yapılmış bir çok yerli ve uluslararası çalışmalar mevcuttur. Bu çalışmalar yine olası suiistimal göstergelerinin belirlenmesi için incelenmelidir. Kırmızı bayraklar belirlenirken doğrudan veri üzerinden analizler gerçekleştirilmelidir. Bugüne kadar yapılan çalışmalarda enteraktif veri analizleri ile önceden görülemeyen veya tahmin edilemeyen bir çok suiistimal vakasını ortaya çıkartmakta başarı sağlandığı görülmüştür. Uzman veri analistleri tarafından gerçekleştirilmesi gereken bu analizler ile veri üretim süreçleri ve üretilen verilerin içerisinde bulunabilecek potansiyel göstergeler belirlenmelidir. Bu alanda teknolojik imkanlarda kullanılarak bir çok yöntem ve teknik geliştirilmiştir, bu teknolojik imkanlardan faydalanılmalı ve riskli olabilecek noktalar doğrudan veri üzerinden yapılacak analizlerle belirlenebilinmelidir. Örnek olarak faturalama sisteminde kesilen faturaların fatura numaralarında oynama yapılıp yapılamayacağı, kullanılan sistemlerin buna müsade edip etmediği ve modüllerde oluşan kayıtların karşılıklı mutabakatının yapılıp yapılmadığı doğrudan veri üzerinden belirlenmelidir. Doğrudan belge üzerinden inceleme ile tespit edilemeyecek olan bu tür analizler için kaynak sistemlerden alınan ham veriler üzerinde çalışılmalı ve sistematik eksiklikler, suiistimale imkan tanıyan zayıf noktalar belirlenmeli ve birer kırmızı bayrak olarak tanımlanmalıdır.
Her suiistimal bir iz bırakır, her iz kendi ekosisteminde ele alınmalı ve değerlendirilmelidir. Suiistimali tespit edebilmek için yöneticiler, denetçiler, analistler, çalışanlar bu belirtileri (red-flags) farketmeli, derinlemesine inceleyerek gerçekten bir suiistimal olup olmadığını ortaya çıkartmalıdır. Ancak bir çok defa bu suiistimal göstergeleri göz ardı edilir veya derinlemesine incelenemez ve bu sebepten dolayı da suiistimaller ortaya çıkartılamamaktadır. Suiistimal belirtileri doğru analiz edilir se bir çok suiistimal proaktif olarak tespit edilerek önlenebilir.
Suiistimal belirtileri literatürde 6 ana grupta incelenmektedir.
Muhasebesel Belirtiler
İç kontorl Sistemindeki Zayıflıklar
Analitik Belirtiler
10
Müsriflik
Normal Olmayan Davranış Sergilemek
İhbar ve İpuçları
Adım 4: Teknolojik İmkanların Kullanılarak Olası Suiistimal ve Suiistimal Belirtilerinin Tespiti
Mantıksal ve enteraktif veri analizleri ile kırmızı bayrakların belirlenmesinden sonraki aşama doğrudan veri üzerinden farklı teknolojik imkanların (sonraki aşamada tartışılacaktır) kullanılarak analiz yapılması ve mevcut veri üzerinden sonuç üretilmesidir. Bu aşamada kullanılan en yaygın ve etkili yöntem CAATTs yöntemleridir, burada unutulmaması gereken farklı suiistimal türlerine ve zamanlamasına göre bu araç ve yöntemlerin değişkenlik arzettiğidir. Bu sebeple tek bir yöntem veya araç kullanmaktan ziyade doğru amaç için doğru araç ve tekniğin karma kullanılması ideal çözümdür.
Adım 5: Sonuçların Değerlendirilmesi
Temel veri analizleri yapıldıktan sonra elde edilen sonuçlar yine bilgisayar destekli ve doğrudan soruşturma usulleri kullanılarak değerlendirilmeli, incelenmelidir. Oluşan bulgular yeniden değerlendirilip, organizasyona özel olup olmadığı incelenmeli ve sonuçlar üzerinden eld edilme sebepleri üzerinde çalışılmalıdır. Organizasyon içerisinde bulunan anahtar çalışanlarla tekrar görüşmeler yapılıp ve sonuçlar değerlendirilmelidir. Sonuçların normal olup olmadığı, anormal ise tamlığı değerlendirilmelidir. Bu çalışmalar neticesinde suiistimal göstergeleri yeniden revize edilir, geliştirilir, kapsam dışı bırakılır veya yeni kırmızı bayraklara gösterge oluşturabileceği için eklemeler yapılabilir. Bu değerlendirme sırasında uygulanan anliz yöntem ve tekniklerinin etkinliği de değerlendirilir ve gerekli görüldüğünde revize edilir.
Adım 6: Olası Suiistimal Belirtilerini Araştırma
Gözden geçirme neticesinde suiistimal belirtisi olarak belirlenen vakalar detaylı incelemeye tabi tutulur. Yapılan tespitlerin mahiyeti, etkinliği, oluşum süreçleri değerlendirilir. İncelemeyi destekleyen ek bilgi talep edilir, ek veri gereksinimleri belirlenir ve yine bilgisayar destekli olarak yapılan her bir tespit üzerinde değerlendirmeler gerçekleştilir. Bu süreç çoğunlukla uzun sürer ve derinlemesine inceleme neticesinde bir çok yeni suiistimal göstergesi elde edilebilir. Bütün bu bulgular derlenerek en sonunda bir kanıya ulaşılır ve gerekirse organizasyon içerisinde gerekli aksiyonlar alınır.
3.3. Suiistimal Tespitte Veri Analiz İşleyiş Süreçleri
Suiistimal tespitte uygulanacak olan veri analiz süreçleri temel olarak dört ana aşamadan oluşmaktadır. Bunlar sırası ile planlama, veri erişim, veri analiz araç ve teknikleri, raporlama’dır. Bu aşamaların her biri aşağıda değerlendirilmektedir;
11
Adım 1: Planlama
Veri analizinin en temel aşamasıdır. Bu aşamaya sektörel uygulamalarda çoğunlukla yeterli önemin verilmediği deneyimlerden yola çıkılarak tespit edilmiştir. Suiistimal tespite yönelik olarak yapılacak veri analizlerinin doğru planlanması bir zorunluluktur. Planlama aşaması yapılacak olan incelemenin kapsamı ile doğrudan ilgilidir. Kapsam dahilinde organizasyon verilerinin ve ulaşılmak istenilen hedeflerin doğru bir şekilde belirlenmesi gerekmektedir. Planlamanın tam yapılamamasından dolayı çoğunlukla inceleme kapsamındaki verilerin tamamı elde edilememekte veya bu problemi ortadan kaldırmak için organizasyondan analizde kullanılmayacak veriler talep edilebilmekte ve operasyonel faaliyetlerini yürütmesinde sıkıntılar, gecikmeler oluşturulabilmektedir. Planlama uzman veri analistleri tarafından gerçekleştirilmeli, analizlerin derinleşebileceği boyutlarda göz önünde bulundurulmalı ve buna paralel olarak inceleme kapsamında gereksinim olmayan verilerin istenilerek organizasyona ek yük getirilmesinin önüne geçilmelidir. Planalma sırasında dikkat edilmesi gereken hususlar şunlardır;
İncelemenin kapsamı nedir? Kapsam dahilinde öncelikli olarak ne tür analizler gerçekleştirilecektir?
Analizlerin derinleşmesi gereksinimi varmıdır? Eğer derinleşmesi gerekirse bu yönde elde edilmesi gereken diğer veriler neler olmalıdır?
Organizasyona veri talebi ile ilgili bir plan sunulmalıdır. Bu planda temel veriler nelerdir, bu verileri destekler yan veriler nelerdir, olası istenilebilecek diğer özellikle geçmişe dönük veriler nelerdir gibi bilgiler olmalıdır.
Veriler incelenmeden önce organizasyonun sistemleri incelenmeli, veri oluşum süreçeri belirlenmeli ve bu süreçlere uygun mümkünse kaynağından ve orjinal oluşum şekli ile veri istenilmelidir, organizasyona bu yönde bilgi verilmeli ve veri hazırlık süreçlerinin maliyetlerinin düşürülmesi yönünde bir plan yapılmalıdır.
Veri erişim planlamasının ardından yapılacak analizler planlanmalı, her bir analiz neticesinde elde edilmesi olası sonuçlar dökümante edilmelidir. Yapılan analizler sırasında daha önce düşünülmemiş bir çok kontrol ve kırmızı bayraklar tespit edildiği sektörel deneyimlerle görülmüştür, bu sebepten dolayı analizler planlanırken geniş düşünülmeli ve her bir analizin diğer analizlerle ne gibi bağlantılarının olduğu değerlendirilmelidir.
Planlama esnasında organizasyon verileri önceden incelenmeli, olası veri kalitesi problemleri tespit edilmeli ve yapılacak analizlerin kapsamı bu yönde oluşturulmalıdır. Örnek olarak TCKN üzerinden bir analiz gerçekleştirilirken organizasyonun TCKN bilgilerinin ne kadar tam, ne kadar doğru olduğu göz önünde bulundurulmalı, eğer veri kalitesi problemleri oluşma riski varsa analiz yöntemleri buna göre planlanmalı gerekirse fuzzy yöntem kullanma seçeneğide göz önünde bulundurulmalıdır.
Planlama aşamasında sonraki aşamalarda gerçekleşebilecek olası aksaklı, yeni ihtiyaç, veri üzerinde veya sistematik hatalar göz önünde bulundurularak planlama yapılmalı, teknolojik gereksinimler buna göre belirlenmeli ve kurumun suiistimal ile mücadele politikaları da göz önünde bulundurularak seçimler yapılmalıdır. Bu seçimlere örnek olarak olası suiistimal belirtisine karşı kurumun ne tür bir aksiyon alacağı ve aksiyonun zamanlaması
12
belirlenmelidir. Organizasyonun olası her suiistimal belirtisine anında tepki vermesi ve aksiyon alması gibi bir politkası yada gereksinimi varsa bu yönde araştırmalar gerçekleştirilmeli, yöntem araç ve teknikler buna göre seçilmelidir.
Adım 2: Veri Erişimi
Veri analizinin yapılabilmesi için veri erişiminin yapılabilmesi gerekmektedir. Analize tabi olan verilerin belirlenmesi ve erişiminde öne çıkan konular şunlardır;
Elde edilen verilerin tamlığı ve doğruluğu
İnceleme kapsamında elde edilen veriler tam ve doğru olmalıdır. Verilerin tam ve doğruluğu ancak doğrudan veri kaynağına erişim ve ham veri üzerinde çalışarak mümkün olabilir. Analist veri oluşum süreçlerini incelediği gibi analiz için sağlanan verilerin aktarım süreçlerini de incelemeli ve konuya hakim olmalıdır. Bu aşamada uygulanacak en doğru ve önerilen erişim yöntemi kaynağından ve ham veri üzerinde çalışılmasıdır. Bu yöntemin kendi içerisinde barındırdığı sıkıntılar mevcuttur. Bu sıkıntıların başında ham verilerin çözümlemesinin zorluğu ve kaynak sistemlere getireceği yükler gelmektedir. Bu sebeple tam ve eksiksiz bir analizin gerçekleşebilmesi için bu sıkıntıları aşmaya yönelik planlama safhasında planlar oluşturulmalı gerekli ön çalışmalar yapılmalıdır. Bu yöntemin tam çalışabilmesi ayrıca analistin veri ve veri tabanlarına uzmanlığını gerektirmektedir. Analist hangi yöntemle alırsa alsın elde edilen verilerin tamlığı konusunda testler gerçekleştirmeli, aktarım sürecinden kaynaklanabilecek olası hataları bulmalı ve analizlerini bu bilgiye dayanarak gerçekleştirmelidir. Analist riskleri göz önünde bulundurarak analist aşağıdaki seçimleri yapmalıdır;
o Doğrudan erişim ile kaynağından ham veriyi alma ve birleştirme, bunun için gerekli bilgi ve altyapı gereksinimlerini tamamlamış olma ve yöntemin üretebileceği risklerle mücadele edebilme
o Doğrudan erişim imkanı yoksa yada bu konuda yeterli bilgi ve deneyime sahip değilse organizasyonun uzmanları tarafından oluşturulacak veriler ile çalışma. Bu durumda organizasyonun sağladığı verilerin aktarım süreçlerini inceleme, bu süreçlerin doğru veri ürettiğinden emin olma veya risklerine karşı organizasyonu bilgilendirme.
o Yukarıdaki iki yöntemi de uygulamadan doğrudan üretilen verilere güvenme ancak yanılma riskini de göz önünde bulundurma
Elde edilen verilerin analizin konusu ile uyumluluğu
Analist tarafından elde edilen verilerin analiz konusu ile uygunluğu test edilmelidir. Analist bu aşamada yine kullandığı analiz araçlarının imkanlarından faydalanmalı ve bu testleri gerçekleştirmelidir.
Elde edilen verilerin analiz edilebilir kalitede olup olmadığı
13
Etkin bir veri analizi için analiz edilecek verilerin veri kalitesinin de yeterli olması gerekmektedir. Veri kalitesi problemlerini suiistimal inceleme açısından iki aşamada ele alabiliriz.
Bunlardan ilki mevcut veriler içerisinde yer alan veri kalitesizliğinin bir suiistimal göstergesi olabileceği (eksik müşteri irtibata bilgileri, mükerrer adresler vs) durumudur. Diğer konu ise eksik veya yanlış olan veriler üzerinden yapılacak olan analizlerin sağlıklı olmayacağı gerçeğidir. Analist incelemeye konu olan veriler üzerinden bu iki farklı bakış açısı ile konuya yaklaşmalı, veri kalitesizliğini sadece sistemsel eksikliklere vermemeli, bu bulgularında birer suiistimal göstergesi olabileceğini akıldan çıkartmamalı aynı zamanda bu veri kalitesi problemlerini aşmak içinde gerekli düzenlemeleri yapmalıdır.
Elde edilen verilerin üretilme ve temin süreçleri
Analiz edilecek olan verilerin gerek sistem içerisinde üretilme süreçleri gerekse bu verilerin analiz edilmek üzere temin süreçleri incelenmeli ve bu süreçlerde olası yanlışlık veya hataların tespiti yapılmalıdır.
3.4. Veri Erişim Yöntemleri
Analiz edilecek verilere farklı yöntemlerle erişimler sağlanabilmektedir. En temel veri erişim yöntemleri olarak şunlar sıralanabilir;
Doğrudan veri tabanlarına erişim (ODBC)
Export – Import (txt, xls, xml, csv,pdf vb.)
Yazıcı dosyaları (spool files)
Doğrudan Veri Tabanlarına Erişim (ODBC)
Doğrudan veri tabanlarına erişerek ham veri üzerinden ve kaynak sistemlerden elde edilen veriler ile çalışmak en doğru ve etkin yöntemdir. Günümüzde bütün veri tabanları dış sistem veya programlarca erişimin sağlanabilmesi için veri aktarım süreçlerine izin vermektedir. Burada en yaygın kullanılan yöntem Open Database Connectivity (ODBC) sürücüleri üzerinden veri tabanlarına erişmek ve analiz konusu veriyi elde etmtekdir. Bir çok veri tabanı ayrıca kendi sürücülerini de geliştirmiş ve native bağlantı imkanı tanımaktadır. Bu yöntemin zorluğu kaynak sistemlere getirebileceği olası yükler ve ham verilerin çözümlemesinin daha çok teknik bilgi gerektirmesidir. Ancak tam bir analiz için muhakkak ulaşılması gereken ideal yöntemdir.
Export – Import (txt, xml, xls, csv,pdf vb.)
14
Veri tabanlarına doğrudan erişimden sonra tercih edilen ikinci yöntem ise sistemlerin üretmiş olduğu verilerden veya doğrudan veri tabanlarından verilerin Export (ihraç) edilmesi sonrasında analiz edilecek program veya ortama Import (ithal) edilmesidir. Günümüzde kullanılan en yaygın yöntem olup hızlı ve düzenlenmiş veriye ulaşım imkanı tanır. Hızlı analize başlamaya imkan tanıyan bu yöntemin en önemli dezavantajı dışarı verilen verilerin oluşum süreçlerinin bilinememesi, verilerin birleştirilerek aktarım sırasında doğrudan veri üzerinden anlaşılamayacak sistematik hatalara açık oluşu, verilerin aktarım sırasında gizlenebilme ve bozula ihtimali, veri tabanlarında ilişkisel olarak tutulmayan dummy kayıtlara erişimin mümkün olmayışıdır.
Yazıcı dosyaları (spool files)
Bu yöntem bir önceki export-import yöntemine benzemekle birlikte export-import yöntemin çalışmadığı özellikle kapalı sistemlerde analiz yapılacağı durumlarda kullanılır. Kaynak programlarda yazıyıca gönderilen rapor dosyaları doğrudan dosyaya gönderilir (print to file) veya yazıcı hafızasında tutulan spool dosyalarına erişilerek analiz edilecek sistem içerisine aktarılır. Bu yöntemde yine bir önceki yöntemin barındırdığı riskleri barındırır.
“Önerilen bir model: süreklilik arzedecek sistematik veri analiz sistemlerinde (örn: Sürekli Denetim Sistemi) amaçlı olarak bir veri mart’ı (datamart) kurulması önerilir. Bu sayede analize özgü geliştirilen bu datamart’a sürekli veri beslemesi sağlanarak analize hazır hale getirilebilir”
Adım 3: Veri Analiz Yöntem ve Tekniklerinin Kullanılması
Veri güdümlü proaktif suiistimal tespit’inin en önemli ve sonuca dönük olan aşamasıdır. Bu aşamada bugüne kadar farklı sektörler, farklı suiistimal türlerine göre farklı veri analiz araç ve yöntemleri geliştirilmiştir. Bu aşamada önemle vurgulanması gereken husus veri analiz araç ve tekniklerinin ihtiyaca uygun olarak seçilme gereksinimidir. Suiistimal ile mücadelede kullanılabilecek araç ve yöntemlerin doğru bir şekilde anlaşılarak amaca uygun olarak seçilmesi gerekmektedir.
Veri güdümlü proaktif suiistimal tespit ve önlemede en yaygın kullanılan yöntem ve teknikleri şu şekilde özetleyebiliriz;
3.5. Veri Analiz Yöntem ve Teknikleri
3.5.1. Yöntem 1: Bilgisayar Destekli Denetim Araç ve Teknikleri (CAATTs)
Bilgisayar destekli denetim araç ve teknikleri suiistimal tespit, önleme ve incelemede en yaygın kullanılan yöntemdir. Bunun en başta gelen sebebi ise bugüne kadar suiistimal tespit ve önleme ile daha çok denetim birimlerinin (iç ve dış denetim, kamu denetimi) sorumluluğunda olmasından kaynaklanmıştır. CAATTs araç ve teknikleri denetçiler için
15
geliştirilmiş yöntemler olup temel amacı analiz konusu farklı kaynak veya yapılarda olan verilere doğrudan erişim sağlanması, analiz konusu verilerin analiz edilebilir hale getirilerek doğrudan analistin karşısına konularak hızlı soru sorup cevaplarını alabilecek bir yapıda geliştirilmiş olmasıdır.
CAATTs araç ve tekniklerinin en önemli öne çıkan özelliği ve diğer yöntemlerden farklılığı önceden veri üzerinde modelleme gereksinimi olmadan doğrudan veri üzerinde çalışarak analistin analizlerini gerçekleştirebilmesidir. Bu amaç için üretilmiş olan araçlar (ACL, IDEA) ise öğrenmesi ve kullanması kolay, analisti veri ile buluşturan, hızlı soru sorup cevap almayı sağlayan, gerektiği durumlarda analistlerin iler düzey analizler yapmasına imkan tanıyan araçlardır.
En yaygın kullanılan CAATTs teknikleri şunlardır;
Sayısal Analizler (Digit Analysis)
İlk olarak 1881’de Amarikalı astronom Simon Newcomb’un kitapların ilk sayfalarının diğer sayfalara nazaran daha çok kirlendiğini farketmesi ile başlamıştır. 1938’de Frank Benford Newcomb’un gözlemlerini bir çok farklı veri kümesi için uygulamış ve teoremini oluşturmuştur. Benford teoremi olarak bilinen bu teorem ispatlanmış ve bir çok farklı alanda kullanılmaya başlanmıştır. Benford teorisine göre rassal olarak üretilmiş bir veri kümesinde sayısal değerlerin ilk basamaklarının 1 olma ihtimali 2 olma ihtimalinden, 2 olma ihtimali de 3 olma ihtimalinden daha yüksektir. Benford analizi veri içerisindeki anormallikleri tespitte kullanılan bir veri analiz tekniğidir. Daha spesifik olarak izah edilmek istenilirse rakamların tekrarlama sıralamasına göre, rakamların kombinasyonu üzerine dayalı bir tekniktir. Bulunan bu anormallikler anlizlerin derinleştirilmesi gereken alanları gösterir ve olası yanlış, suiistimal, işlem hatalarını gösterir. Bilgisayarlar tarafından yapılan bu tespitler büyük verilerde özellikle denetime yönelik örneklem yapılacak alanları gösterir. Veri kümesi içinde rakamların tekrar sıklığının kıyaslandığı kriter ise Benfor teorisince elde edilen referans rakamların doğada var oluş oranlarıdır. Bütün veriler için kullanılması anlamlı olmamakla birlikte finansal bir çok veride uygulanabilir bir analiz tekniğidir.
Unutulmamalıdırki Benford analizi doğrudan sonuç üretmeye odaklı değildir, ürettiği sonuçlar sadece daha fazla araştırma yapılması gereken bölümleri gösterir. bundan sonrası analistin bilgi birikimi, kişisel deneyimleri üzerine dayanır.
Benford Analizi Kullanım Uygunluğu
Benford analizi bütün veriler üzerinde kullanılamaz. Bu sebepten dolayı kullanmadan önce verilerin Benford analizine uygun olup olmadığı değerlendirilmelidir.
Aşağıdaki şartlarda Benford analizi kullanılabilir;
Eğer yapılan işlemlerin alt sınırı 0 veya 10’un katları değilse Benford analizi kullanılamaz
16
Veri içerisinde küçük sayılar büyüklerden daha fazla olmalıdır. Genel mantık olarak bir ülkedeki küçük kasabaların sayısı büyük şehirlere göre fazladır.
İşlem adetleri küçük olmamalıdır. En az bin adet işlemin olması gerekmektedir.
Sadece parasal veriler üzerinden işlem yapılabilir. Numerik formatta yazılmış bir telefon numarası üzerinden Benford analizi yapılamaz.
Analiz yapılacak veri benzer özellikler göstermelidir. Örnek olarak sadece alış faturaları, sadece kasa hareketleri olmalıdır. Kasa hareketleri ile banka hareketleri aynı anda Benford analizine tabi tutulamaz.
Benford Testleri
Benford analizleri genel analiz ve özel analizleri kapsamaktadır. Genel analizler veri üzerinde genel fikir sahibi olabilmenize yarayan ilk basamak testi, ikinci basamak testleri olup daha özel testler ise ilk ikibasamak birlikte testi, ilk üç basamak birlikte ve son iki basamak birlikte testi olarak kullanılmaktadır.
İlk Basamak Testi
Benford analizlerinde genel olarak ilk ve en yaygın kullanılan testtir. Testin net sonuç vermektense veri üzerindeki anormalliklerle ilgili olarak genel bilgi verir. Temel mantığı ise veri içerisindeki bütün parasal değerlerin ilk basamakları üzerinde sıklık bilgisi alır ve bunu Benford teorisinde yer alan dağılımlarla kıyaslar ve bu işlemi yaparken Z-istatistiğini kullanır. Benford teorisinde genel olarak %95 güven aralığı (1.96 z-istatistiği) kullanılır.
İkinci basamak testi
İkinci basamak testi de birinci basamak testi gibi genel bilgi veren bir testtir. Denetim örneği seçmekten ziyade veri içindeki anormallikleri gösteren daha genel bir bilgi vermek amaçlı kullanılmaktadır.
İlk iki basamak birlikte testi
İlk iki basamak testi doğrudan analiz edilecek örnekleri seçmek için kullanılan daha detaylı bilgi veren bir testtir. İlk iki basamak testi genel benford testlerine göre daha net sonuçlar verir. İlk iki basamak testini genel bendford testlerinde anormallikler olan bölgelerde kullanılır.
İlk üç basamak birlikte testi
İlk üç basamak birlikte testi üç basamaklı parasal değerlerin varyasonundan dolayı 900 adet sonuç üretir ve genel testlerden ziyade daha detaylı bir sonuç verir. Bu sayede bu veri kümesinde oluşan anormallikler kolayca tespit edilip analizin detaylandırılacağı alanı kolayca tespit edebilirsiniz.
17
Son iki basamak birlikte testi
Genel olarak son iki basamak testi uydurma sayılar ve yuvarlamaları analiz etmek için kullanılmaktadır. 00-99 arası toplam 100 adet kayıt üretir ve anormallikleri gösterir. Her bir varyasonun eşit dağılım sergilediği varsayımıyla yapılmaktadır.
Özelleştirilmiş Benford Testleri
Özelleştirilmiş benford testleri için önceki dönem (tarihsel) nümerik değer dağılımları ile cari dönem nümerik dağılımlar kıyaslanır. Bunu yapmak için her iki veri seti üzerinden sınıflandırmalar yapılır.
Tabakalandırma ve Özetleme Teknikleri (Stratification and Summarization)
Tabakalandırma kompleks veri kümelerini konu bazlı alt parçalara bölümleme tekniğidir. Bir çok veri tabanında veri içerisinde farklı tabakalar mevcuttur bunlara örnek olarak satıcılar, personel, firmalar, müşteriler, hesaplar verilebilir. Bütün bu konular bazında bütünlemesine analizler her zaman kesin ve net sonuçlar vermez, bu sebeple her bir konu bazlı analizlerin gerçekleştirilmesi gerekir. Örnek vermek gerekirse bir müşteri bazında yapılan satışların tamamı üzerinden yapılan bir ortalama ve standart sapma analizi bütün veri üzerinden genel bir sonuç verir. Genel ortalamanın üstünde veya altında kalan işlemleri tespit etmemizi sağlar. Halbuki burada daha önemli olan her bir müşteri bazında yapılan faturalandırma işlemlerinin yine o müşteri ile geçmiş ticari hacminden bilinen rakamlar üzerinden kıyaslanması gerekmektedir. Aksi taktirde toplam ana kütle içerisinde küçük gibi gözüken bir fatura, belli bir müşteri için çok büyük ve anormal olabilir. Tabakalandırma gerçekleştirilmediği durumda bu farklılıklar ortaya konulamaz.
Tabakalandırma özünde yeni bir teknik değildir, özellikle denetim camiasında yaygınlıkla kullanılan bir tekniktir. Örnek vermek gerekirse muhasebe denetimlerinin temelinde yevmiye kayıtları ve mizan yatmaktadır. Denetçiler yevmiye kayıtlarına ve mizana bütünsel olarak bakarlar ancak her bir hesap bazında yevmiyeleri alt parçalara (muavin defterlere) ayırarak detaylarına bakarlar. Muavin bazında inceleme bir tabakalandırma işlemidir.
Özetleme tekniği tabakalandırma tekniğinin geliştirilmiş halidir. Ana veri kümesini alt parçalara bölümlerken bu veriler üzerinden bir takım özetleme işlemleri gerçekleştirilir, alt toplamlar alınır ve sıklıkları (frequency) tespit edilir. Yine muhasebe denetiminden örnek vermek gerekirse mizan yevmiye defterinin özetlenmiş bir halidir. Başka bir örnek olarak her bir satıcı bazında yapılan ödeme yada faturalama işlemlerinin her bir satıcı ve dönem bazında trendlerinin incelenebilmesi için detay kayıtlardan özetleme yapılarak ödeme ve faturalama işlemleri tutarsal ve adetsel bazda incelenmelidir.
18
Tabakalama ve özetleme teknikleri farklı verileri türlerine göre farklılıklar arzetmektedir.
Her bir teknik farklı amaçlar için kullanılmaktadır.
- Sayısal alanlar üzerinden tabakalama ve özetleme
Sayısal değer ifade eden alanlar (tutar, miktar vb.) üzerinden gerçekleştirilen bir analiz tekniğidir. Bu sayede sayısal alanlar mahiyetine bakılmadan alt tabakalara ayrıştırılır. Çoğunlukla sayısal alanın minimum ve maksimum değerleri arasında 5-10 farklı alt tabaka oluşturulur ve bu tabakalara düşen sayısal değerlerin özet bilgisi alınır. Bu analiz tekniği sayesinde sayısal alan içerisindeki dağılım, yoğunlaşmalar ve anormallikler ortaya konulur.
- Karakter alanlar üzerinden tabakalama ve özetleme
Sayısal veya tarihsel değer ifade etmeyen alanlardır (müşteri numarası, hesap numarası, hesap kodu, stok kodu, personel sicil no vb.). bu alanlar üzerinden alınan tabakalama ve özetleme işlemi sonrasında örnek olarak her bir satıcı bazında dönem içerisinde yapılan toplam mal alımı ve yapılan ödeme tutarları hesaplanır, kaç farklı işlemle yapıldığı tespit edilir. Bu sayede satıcı bazında net ödenen, ortalama ödeme tutarları vb. bilgiler elde edilerek anormallikler ortaya konulabilir.
- Tarih alanları üzerinden tabakalama ve özetleme
Tarihsel değer ifade eden alanlar (işlem tarihi, vade tarihi vb.) üzerinden yapılan bir tabakalandırma ve özetleme işlemidir. Bu sayede belirlenen tarih periodları bazında (günlük, haftalık, aylık, üç aylık, yıllık vb.) tabakalandırma ve özetleme işlemleri gerçekleştirilerek dönemler bazındaki trendler analiz edilip anormallikler tespit edilebilir. Yine denetimde en yaygın kullanılan ve bütün alıcı, satıcı bazında genel resmi, olası suiistimal veya potansiyel zarar edilecek alıcı, satıcıları gösteren yaşlandırma tabloları bu teknik kullanılarak oluşturulur.
Trend Analizleri
Bir çok suiistimal vakası zaman içerisinde birim fiyat, miktar, maliyet, tutar, sıklık gibi sayısal verilerin değişimleri ile tespit edilebilir. Zaman içerisindeki değişimler izlenerek anormal durumlar tespit edilebilir ve detaylandırılabilir. Trend analizinden önce verilerin zaman üzerinde analiz edilebilir hale getirilmesi gerekmektedir. Bu noktada her bir işlemin işlem tarihi devreye girer ve buna göre bir veri analizi gerçekleştirilir. En yaygın ve temel trend analizi değişkenlerin zaman ekseni üzerinden grafiklendirilmesi normal dışı işlemlerin izlenmesi şeklinde gerçekleştirilir.
19
Küçük veri kümeleri için grafik üzerinden analiz kolay olsada büyük hacimli verilerde grafiksel gösterimin çok anlamı kalmamaktadır. Bu sebeple kullanılan CAATTs araçları vasıtasıyla zaman eksininde meydana gelen anormallikler tanımlanmalı ve detay kayıtlar bu kıstaslara göre filtrelenerek sonuçlar elde edilmelidir. Bu aşamada istatistiksek tekniklerden olan regresyon analizi kullanılabilir ve zaman eksininde trende uymayan kayıtların ayrıştırılması gerçekleştirilebilir.
Zaman ekseni üzerinde yapılacak analizlerde analizin ve yapılan işlerin mahiyetine göre farklı kıstaslara devreye girmektedir. Örnek olara bakılabilecek bir konu bir müşteriye yapılan satışlarda kullanılan fiyatların zaman içerisindeki değişim, ortalamalardan sapan işlemlerin tespiti olabileceği gibi zaman ekseni üzerinde hiç işlem gerçekleşmemiş olan dönemlerde suiistimal göstergesi olabilir.
Trend analizlerinde dikkat edilmesi gereken bir diğer konuda suiistimalin olası süreçleridir. Kimizaman suiistimal yıllara yayılır ve yapılan işlemler normal birer işlem gibi analistin karşısına çıkabilir. Bu sebeple analist değişimlerin ve anormalliklerin farkına varamayabilir, bu sebeple burada bahsi geçen bütün analiz tekniklerinin birlikte kullanılması, farklı bakışlarla inceleme yapılması gereklidir.
Bulanık Arama ve Eşleme (Fuzzy Matching)
Suiistimal araştırma ve incelemede en yaygın kullanılan tekniklerdendir. Suiistimal yapan kişi her zaman kensini gizlemek, farkedilmemek üzere işlemleri gerçekleştirir. Bu sebeple veri üzerinde bir takım küçük oynamalarla klasik sistemleri ve analiz tekniklerini faydasız hale getirebilir. Bulanık yöntemler gerçekte aynı olan ancak yazım farklılıklarından dolayı klasik sistemlerde farklı gözüken verilerin belli bir ihtimal ile aynı olduğunu söyleyen yada olabileceğine dair puan döndüren tekniklerdir. En yaygın kullanım alanları isim, adres, personel adres ve satıcı adres, telefon numaraları, banka hesapları, doğum yerleri, aynı aileden olma durumu gibi serbest metin girişi ile yapılan veriler üzerinden arama ve eşleme yapmaktır. Aşağıdaki tabloda örnek veri bozuluklukları mevcut olup ancak bulanık eşleme yöntemleri ile tespit edilebilecek verilerdir.
20
Doğrudan açıklama, isim adres gibi alanlardan yapılabilecek bu kontrollere ek olarak yine CAATTs içerisinde yaygın kullanılan farklı bulanık eşleme teknikleri mevcuttur. Örnek olarak aynı satıcının 7 günden az zaman aralığında kesmiş olduğu faturalar, fatura numaraları içerisinden sayısal olmayan karakterlerin ve fatura numaralarının başındaki ve sonundaki sıfırların atılmasında sonra elde edilen yeni fatura numarasındaki mükerrerliklerin bakılması bunlara örnek olarak verilebilir.
Mükerrerlik, Atlayan ve Sıra Analizi
Mükerrerlik
Denetimde en yaygın kullanılan ve kullanılması en kolay yöntemlerdendir. Temelinde yapılan ödeme, tahsilat, faturalandırma vb. işlemlerin mükerrerlik olup olmadığının kontrolleri gerçekleştirilir. Mükerrerlik denildiği zaman akla aynı kaydın birden fazla işlenmesi veya aynı fatura numarasının birden fazla işlenmesi gelmemelidir. Suiistimal odaklı olarak gerçekleştirildiği anda kayıtlara geçirilirken bilişim sistemlerinin izin verdiği farklı kombinasyonlarda işlemler gerçekleştirilebilmektedir. Örnek olarak gelen faturanın başında yer alan sıfırların atılarak sanki unutulmuş izlenimi vererek yeniden girişinin ve ödemesinin yapılması mükerrer bir işlemdir. bu sebeple mükerrerlik tespitte bir çok farklı teknikler geliştirilmiştir. Bu tekniklerin en yaygın ve başarılı kullanımı aşağıda izah edilmiştir;
Mükerrerik Kodu
Satıcı No Fatura No Fatura Tarihi Fatura Tutarı
AAAA Aynı Aynı Aynı Aynı
AAAF Aynı Aynı Aynı Farklı
AAFA Aynı Aynı Farklı Aynı
AFAA Aynı Farklı Aynı Aynı
FAAA Farklı Aynı Aynı Aynı
21
Tabloda bahsi geçen mükerrerlik kodlarının her birinin farklı anlamları vardır. Bunlar şunlardır;
AAAA: Her bir bilginin aynı olduğu kayıt bazında mükerrerliği gösterir. Suiistimal için kullanılan en basit mükerrerlik yoludur, genelde kayıt hatasından kaynaklanır. Halihazırda bir çok muhasebe programı bu mükerrerliğe imkan tanımaz.
AAAF: Aynı satıcıya ait faturanın aynı gün içerisinde farklı tutarlarla kaydedilmesi anlamına gelmektedir. Yaygın kullanılan tekniklerdendir ancak tespiti kolaydır. Burada dikkat edilmesi gereken diğer husus sistemlere göre farklılık arzedebileceği konusudur. Kaynak sistemlerden alınan fatura detay verileri üzerinden bu teknik uygulanmamalıdır, aksine fatura başlıklarının olduğu tablo üzerinden uygulanmalıdır.
AAFA: Aynı müşterinin aynı faturayı aynı tutarla farklı günlere kaydettiği anlamına gelmektedir. Doğrudan suiistimal göstergesi olabilecek niteliğe sahiptir.
FAAA: Aynı faturanın, aynı günde aynı tutarda farklı bir satıcı adına kaydedilmesi anlamına gelmektedir. Doğrudan suiistimal göstergesi olabilecek niteliktedir, ancak hata ile aktarılabileceği de unutulmamalıdır. Satıcıların farklı organizasyon olmalarından dolayı aynı fatura numarası ile aynı tarihte ve tutarta fatura gelmesi ihtimali çok düşük hatta imkansızdır. Bu sebeple özellikle bakılması gereken konulardandır. Mükerrerlik tespitte kullanılan diğer teknikler yine olası suiistimal belirtilerini gösteren tekniklerdir. Bunlara örnek olarak bit tutar bilgisinin %5+- aralığında olan başka bir tutar yakın kabul edilir ve bu iki tutar bilgisinin mükerrer olabileceği göz önünde bulundurulur. Zaman içerisinde farklı alanlarda uygulamalar ile geliştirilen bu (bulanık eşleme) teknik Marj Eşleme olarak kullanılmaktadır. Buradaki kritik olan husus doğrudan mahiyetine bakmaksızın belli bir marj %x altı veya üstü tutarların birbirleri ile aynı olabileceği ihtimalidir. Suiistimal gerçekleştirilirken dikkat çekmeden ana paranın altında veya üstünde işlem yapılır. Bu teknik sayesinde bu kayıtlar tespit edilir. Diğer bir mükerrerlik tespit tekniğide tutar bazında 2x, 3x olma durumlarıdır. Bir tutar bilgisinin iki katı olan başka bir tutar esasında mükerrerlik ifade edebilir. Sayısal değerler üzerinde mükerrerlik tespiti için geliştirilen diğer bir teknikte yine ilk 4 basamağı aynı olan ancak tutarsal olarak farklı anlam ifade eden değerlerin mükerrer olma olasılığıdır örn: 123,45 ile 1234,55 verilebilir.
Atlayan veya Sıra Takip Etmeyen Belgeler
CAATTs tekniklerinde suiistimal tespitine yönelik olarak kullanılan diğer iki teknikte doğrudan belgeyi ifade eden numaralar (fatura numarası, çek senet numarası, kayıt numarası, fiş numarası vb) üzerinden yapılan atlayan (gap) veya sıra takip etmeyen (sequence) belgelerin tespitidir. Bu sayede iptal edilmediği halde kesilmeyen faturalar veya çek senet koçanları tespit edilmektedir.
İlişkilendirme ve Eşleştirme Teknikleri (Relation – Join)
22
Veri güdümlü suiistimal incelemesinde kullanılan CAATTs teknikleri arasında yer alan ve doğrudan farklı kaynaklı veriler arası ilişkilendirme veya mutabakat (eşleme) sağlayarak analize imkan tanıyan tekniklerdir. Bu tekniğin temelinde analize konu birden fazla tabloların farklı kriterlerle ilişkilendirilmesi ve eşleştirilmesi sözkonusudur. Bu teknikler sayesinde örnek olarak fatura sistemi ile muhasebe sistemi mutabakatı gerçekleştirilebilir. Bu mutabakat sonrasında muhasebeleştirilmemiş faturalar tespit edilerek sebepleri araştırılır.
İzolasyon – Filtreleme – Sorgu Teknikleri
Analistin doğrudan veri üzerinden belirlediği kriterler üzerinden veri üzerinde izalosyon yapmasını sağlayan tekniklerdir. İzalosyon tekniklerinde sorgular oluşturulur ve bu sorgu sonuçları değerlendirilerek olası suiistimal vakaları tespiti yapılır. İzalosyon tekniğinin kullanım alanlarına şu örnekler verilebilir;
o Yapılan ödemelerin onay sınırları dahilinde yapılıp yapılmadığının belirlenmesi o Bildirim sınırlarına yakın yapılan ödemeler ki buna örnek olarak özellikle kara
para aklamayı önlemek için bankalardan yapılan ödemelerin 12.000YTL veya üstü işlemlerin bildirilmesi gerekliliği verilebilir (MASAK Şüpheli İşlem Bildirim Rehberi 2006). Bu bildirim sınırına giren ödemelerin hangi kayıtlar olduğu basit izalosyon teknikleri ile ortaya çıkartılabilir. Burda dikkat edilmesi gereken 11.990 YTL’nin bu limite girmemiş olmasıdır, bu sebeple kontroller sırasında bildirim tutarına yakın olan veya aynı günde aynı müşteri tarafından yapılan toplamda 12.000YTL’yi geçen ancak parçalanarak yapılmış işlemlerinde izasloyonu yapılması gerekmektedir.
o Açıklama içerisinde müşteri adlarını bulunduğu kayıtların izalasyonu vb.
Yeniden hesaplama teknikleri
CAATTs içerisinde bulunan ve yoğunlukla kullanılan diğer bir teknikte yeniden hesaplama teknikleridir. Bu sayede analist yapılan hesaplamaların doğruluğunu kontrol edebilir. Yeniden hesaplama doğrudan sayısal alanlar üzerinde dört işlemle gerçekleştirilebileceği gibi tarih verileri üzerinde gün farklarını bulma veya karakter değer ifade eden alanlar içerisinden yeniden hesaplamalarda mümkün olmaktadır. Bu sayede gelen veri üzerinden doğruluk kontrolleri gerçekleştirilebilmektedir.
CAATTs teknikleri tek başına kullanılabileceği gibi farklı teknikler bir arada kullanılarak analistierin bütün veri üzerinde analiz etme imkanları tanınmış olmaktadır.
3.5.2. Yöntem 2: İstatistiksel Teknikler
Suiistimal tespit ve önlemede istatistiksel yöntemler yaygın bir kullanım alanına sahiptir. İstatistiksel yöntemlerle veri üzerinden temel ve ileri düzey istatistik bilgileri oluşturularak elde edilen sonuçların hipotezlerle uyumlululuğu test edilir. Burada dikkat edilmesi gereken husus elde edilen sonuçların %100 kesinlik ifade etmeyeceğidir. Farklı varsayım ve
23
hipotezlere göre verilerin test edilmesi ve farklılıkların ortaya konulması bu yöntemin temelidir. İstatistiksel yöntemlerle aşağıdaki temel kontroller gerçekleştirilebilir;
Analiz konusu verilerin düzenlenerek eksik verilerin tamamlanması (tahmini değerler ile), hataların giderilmesi
Bir çok temel istatistik değerlerinin hesaplanması (ortalama, medyan, standart sapma, performans matrisleri, olasılık dağılımları vb.)
Analiz konusu verinin olasılık dağılımlarının oluşturulması ve testi
Profillendirme
Zaman serisi analizleri, regresyon analizleri
Korelasyon analizleri
Daha önceden belirlenmiş ve test edilmiş eğitim setleri ile kıyaslama ve farklılıkların ortayan konulması
Bu tekniklerden de anlaşılacağı üzere istatistiksel yöntemlerde analistin doğrudan analizlere etkisinden ziyade tekniklerin üretmiş olduğu ve olasılık hesaplarına dayalı bir takım sonuçlar üzerinden yorumlama gerçekleştirilir.
3.5.3. Yöntem 3: Veri Madenciliği ve Yapay Sinir Ağları Teknikleri
Veri madenciliği ve yapay sinir ağları tekniklerinde istatistiksel tekniklerden farklı olarak doğrudan veri üzerinden teknikler vasıtasıyla yorumlama katılması sözkonusudur. Temel veri madenciliği teknikleri olan sınıflandırma, özetleme ve segmentleme gibi teknikler kullanılır. Programlar vasıtasıyla içeriği ile ilgili çok net bilgi sahibi olunmayan veri kümeleri üzerinden tekniker olası paternleri tespit eder ve değişkenler arası bağlantıları oluşturur. Bu tespit esnasında yine istatistiksel teknikler kullanılır ve sonuçlar olasılığa dayalıdır. Teniklerin veri içerisinde önceden görülemeyen bağlantıları tespit etmesi beklenir.
Analliz konusu olan veriler içerisinde gözle veya algıyla görülemeyecek olan bağlantıların çıkartılmasında kullanılan yöntemlerdir. Bu sayede analistin veriye hakimiyeti artar ve bu sonuçlardan yola çıkarak farklı kurallar oluşturulabilir. Veri madenciliği ve yapay sinir ağlarının en yaygın kullanım alanı temel başlangıç analizlerinden sonra bir eğitim seti ile ile algoritmaların eğitilmesi, bu eğitim sonrasında yeni gelen verilerin eğitimden elde edilen kıstaslara göre yeniden değerlendirilerek yeni gelen verilerin skorlanması şeklindedir. Bu yöntemlerin üretmiş olduğu skorlar vasıtasıyla en riskli bölgeler tespit edilebilir.
Bu yöntemlerde unutulmaması gereken husus sonuçların hiç bir zaman kesinlik ifade etmeyeceği, kurulan modellerin her zaman test edilerek revizyon gereksiniminin olmasıdır. Sonuçlar tamamen tahminlere dayanır, ve kurulan model sürekli olarak güncel tutulmalı ve test edilmelidir. Bu yöntemlerin diğer bir handikap ise çalışma için tam, eksiksiz ve kaliteli veri gereksinimi olmasıdır. Aksi taktirde kurulan modeller yanlış ve yanıltıcı sonuçlar üretebilirler. Yöntemde en uzun süren aşama verilerin hazırlanması aşamasıdır, hızlı sonuç
24
almak için ideal bir yöntem değildir, uzun süreli arkada görülemeyen ilişkilerin çıkartılmasında kullanılması gereken bir yöntemdir.
3.5.4. Yöntem 4: İlişkisel Veri Analiz Araç ve Teknikleri
Proaktif suiistimal tespit ve önlemede yaygın kullanılan yöntemlerdendir. Temel mantığında nesne-bağlantı modelleri yatar ve görsellik sunan araç ve tekniklerdir. Verilerin tablolar halinde değilde doğrudan grafikler halinde tutulduğu, grafik halinde ifade edildiği tekniklerdir. Bazen sayfalarca yazı yerinde bir grafik üzerinde olayların incelenmesi çok daha hızlı ve görülemeyen bazı bağlantıların elde edilmesini sağlayabilmektedir. Temelinde ANACAPA metodu yatan bu teknikler özellikle istihbarat analizi alanında yaygın kullanılmaktadır.
Bu tekniklerin diğer bir kullanım alanı araştırma (investigation) aşamasıdır. Gerçekleşmiş olayların grafiksek olarak gösterimi ile çok hızlı sonuçlar elde edilebilir ve veri içerisinde gizli kalmış ilişkiler ortaya konulur.
4. Biligsayar Destekli Denetim Uygulamaları (CAATTs Applications)
Bilgisayar destekli denetim araç ve teknikleri bir önceki bölümde incelenmiştir. Bu bölümde ise CAATTs teknikleri uygulanarak geliştirilmiş ve doğrudan sonuç üreterek olası suiistimal vakalarının tespitini sağlayan uygulamalardan bahsedilecektir. Bu uygulamalar bugüne kadar denetim alanında kullanılan ve geliştirilen en yaygın kullanım alanı olan uygulamaları göstermektedir.
4.1. Uygulama 1: Veri Kalitesi
Bir kurumun öğrenme yetkinliği ve öğrendiklerini hayata geçirme yetkinliği gibi rekabet avantajı yakalamanın en önemli koşullarından biri, öğrenme yetkinliğine katkı yaratacak bilginin depolanması ve analiz edilebilir hale getirilmesidir ve bunun için temel şart kullanılacak verilerin kalitesi ve güvenilirliğidir.
Yanlış ya da birbiri ile tutarsız veriler, kurumların bugünkü ve gelecekteki iş problemlerini anlamasına engel olmaktadır. Sağlıksız verinin farkına varılıp bir an önce önlem alınıp düzeltilmez ise; kurumlarda kazanç kaybı, operasyonel gecikmeler ve memnuniyetsizlik gibi birçok konuda olumsuz sonuçlar doğuracak sağlıksız kararların alınmasına sebep olacaktır. PricewaterhouseCoopers tarafından “Global Data Management Survey”de kötü veri kalitesi yüzünden şirketlerin %75’inin net kar/zararında ciddi sarsıntı yaşadığı belirtilmiştir. The Data Warehousing Institute (TDWI) tarafından yapılan bir araştırmada, müşteri verisindeki kalite
25
problemlerinin Amerika’da kurumlara yılda 600 Milyar doların üzerinde bir maliyet getirdiği saptanmıştır. Gartner, Inc., veri ambarı projelerinin %50’sinden fazlasının veri kalitesindeki problemleri giderememe nedeniyle başarısızlığa uğradığını belirtmiştir. Gartner, ayrıca kurumların işletme gelirlerinin %10 - %20’sinin veri kalitesi ile ilişkili problemlerin giderilmesi için harcandığı üzerinde durmaktadır.
Doğru kararlara ve doğru analiz sonuçlarına ancak bu analizlere konu olan verinin anlaşılabilir, kendi içinde anlamlı ve kaliteli olması şartı ile ulaşılabilir. Verilerin kalitesinin artırılması ve var olan verilerden analiz yapılmasının olanaksız olduğu ortamlarda verilerin anlamlı bileşenlerine organizasyonda bir bütün halinde saklanan bilgiler bileşenlerine ayrıştırılmadan anlamlı sonuçlar elde edilemez ki günümüzde Türkiye İstatistik Kurumu tarafından yürütülen ve uzun süredir devam eden Adres Kayıt Sistemi projesinde dahi en önemli adım var olan adreslerin bileşenlerinin tespit edilmesi ve adreslerin doğruluğunun tespit edilebilmesi olmuştur.
Veri kalitesi sürekli bir şekilde analiz ihtiyaçlarına hitap eden bilgi olarak tanımlanabilir. Kendine özgü olarak mantıksal ve tutarlı sırada bilginin düzenlenmesi süreci olarak da veri kalitesi tanımını yapmak mümkündür. Amaç; veriyi kuvvetlendirmek, zenginleştirmek, temizlemek ve birden fazla aynı amaca hizmet eden veriyi tek bir kayda indirmektir.
Bilgi kalitesi, sadece veri kalitesini ölçmek değildir, aynı zamanda kalitesiz bilginin iş maliyetlerini de ölçmek demektir. Bilgi kalitesini artırmak sadece veri temizleme için değil, süreç içerisinde tekerrür eden yapılardaki olası sorunların sebeplerini bulmak ve düzeltmek içindir.
Kurumlarda veri kalitesi sorununa neden olan başlıca etmenler aşağıdaki gibi sıralanabilir:
Tamlık: Verideki eksik bilgiler
Uygunluk: Standart dışı formatta saklanmış veriler
Anlaşılırlık: Verinin kullanıcılar tarafından anlaşılır olması
Tutarlılık: Birbiri ile çelişen bilgiler
Doğruluk: Yanlış veya eskimiş bilgiler
Tekerrür: Aynı bilginin farklı şekillerde tekrarlanması
Bütünlük: Bilgilerin arasındaki ilişkilerin saptanamaması
Kalite sorununa neden olan etmenler göz önüne alınarak var olan verinin denetimi yapıldığında eldeki verinin durumu tespit edilmiş olur.
26
Aynı verinin değişik yerlerde kopyalarının bulunması, bir yerde güncellenen verinin diğer yerde güncellenmemesi olasılığına ve bu durum da veri tutarsızlığına yol açar. Veritabanı sistemleri ve uygulamaların bir bütün olarak tasarlanmaması, alt sistemler arasında ilişkinin düzgün olarak kurulamaması ve birden çok uygulamada verilerin aynı veritabanı içinde ortak kullanılacak biçimde tasarlanması veri tekrarına neden olmaktadır.
Veri tabanları ya da veri ambarlarında veri tekrarı arttıkça, veri tutarsızlığı da artacaktır. Bir başka anlatımla, veri tutarlılığı ve veri tekrarı ters orantılı değişkenlerdir. Veri tekrarlamasını kontrol ederek veya ortadan kaldırarak veri tutarlılığına ulaşılabilir. Birleştirilmiş veri yönetimi, veri bütünlüğünü bir üst seviyeye taşıyacaktır. Veri tutarlılığı ve bütünlüğü arasında doğru orantı vardır.
4.2. Uygulama 2: Limit Kontrol Uygulaması
Sayısal Limit Kontrolü
Herhangi bir alanda yer alan değerin, o alanla ilgili mevzuatta tariflenen olası en büyük ya da en küçük sayısal değerle karşılaştırılmasında kullanılan uygulamadır. Parasal tutar olarak belirli bir limitin altında ya da üstünde gerçekleşen işlemlerin yer aldığı alanlarda veya bir hesapta bulunması gereken azami veya asgari miktarı belirten alanlarda kullanılır.
Örnek 1: Kasadan tek seferde yapılan para çıkışlarının kontrolünde,
Örnek 2: Bir doktorun bir reçeteye tek seferde yazabileceği azami ilaç sayısının kontrolünde,
Örnek 3: Maaş hesaplamasına esas teşkil eden bordro alanlarının, örneğin gösterge, kontrolünde bu uygulama kullanılır.
Süre Limit Kontrolü
Belirli bir geçerlilik süresine sahip nesnelerden, mevzuata aykırı bir şekilde ilgili süreyi doldurmadan ya da doldurduktan sonra işleme girenlerin tespitinde kullanılan uygulamadır.
Örnek 1: 111 nolu hesaptan çıkışların 1 ay içinde yapılıp yapılmadığının kontrolü
Örnek 2: Reçetelerin 4 gün sonra geçerliliğini yitirmesi.
Örnek 3: Personelin raporlu gün sayısının ilgili bordro kaleminde doğuracağı kesintinin gerektiği şekilde yapılıp yapılmadığını kontrolünde bu uygulama kullanılır.
4.3. Uygulama 3: Düz Tutar Kontrolü
Bir muhasebe kaleminde sürekli olarak net değerlerin yer alması şüphe çekici bir durumdur. Düz tutar kontrolleri bu tip net değerlerin bulunduğu kayıtları incelemede kullanılan bir yöntemdir.
Örnek 1: Maaş hesaplamasına esas teşkil eden bordro alanlarında katsayılara bağlı alanlarda ondalıklı değerler beklenir.
27
4.4. Uygulama 4: Yaşlandırma
Yaşlandırma, cari hesaplarla ilgili borç veya ya da alacakların çeşitli zaman aralıklarına isabet eden kısımlarının bulunmasını sağlayan bir analiz türüdür. İncelediğimiz kayıtların belirli tarih aralıklarına göre yaşlandırılması ile zaman bazında sınıflandırma yapılarak inceleme yapılabilir. Başlangıç ve bitiş değerleri ile dönem aralıkları belirlenerek tarih aralıklarına göre kayıtların gruplanması sağlanabilir. Bu tarih aralıklarında alt toplamlar hesaplanabilir. Bu periyotlarda alt toplamlar alınarak anormal değerlerin oluştuğu zaman aralıkları tespit edilebilir. Bu sayede dönem sonu kalan bakiyelerin (müşteri, satıcı vb) geçmişe dönük olarak hangi dönemlerden geldiği veya ileri dönük olarak hangi dönemlerde tahsilat yada ödeme yapılacağı tespit edilir.
4.5. Uygulama 5: Karşılaştırmalı Mali Tablo Analizi (Yatay Analiz)
Birbirini izleyen aynı uzunluktaki dönemlerdeki mali tabloların karşılaştırılarak kalemlerin dönemler arasında gösterdikleri değişmelerin analizidir. Diğer işletmeler ile bir karşılaştırma söz konusu olmadığı için yatay analiz olarakta adlandırılabilir.
Yüzde Değişim = (Yıllar arasındaki tutar farkı / ilk yılın tutarı) * 100 Teknik birbirini izleyen iki yada daha fazla döneme ait mali tablolardaki tutarlar arasındaki değişimi artış yada azalış şeklinde tutar yada yüzde olarak, esas alınan döneme göre saptamak suretiyle uygulanır. Teknik miktarlarla ilgili çizelgelerin kullanımında da kullanılabilir. Bu durumda tutar farkı yerine miktar farkı kullanılacaktır. Ayrıca yöntem, iki tutar arasındaki farkı hem mutlak rakam hem de yüzde olarak göstermeye olanak sağlamakta ve böylece mutlak rakama oransal bir anlam vermek mümkün olabilmektedir.
4.6. Uygulama 6: Mali Tabloların Yeniden Oluşturulması
Organizasyonun belirli bir dönemde yaptığı işlemlerin muhasebe ilke ve kurallarına uygun olarak kaydedilmesi sonucunda, faaliyet sonuçlarının bir arada görüldüğü sonuç tablolarının oluşturulmasıdır. Temelde kullanılan mali tablolar Bilanço ve Gelir-Gider tablolarıdır. Uygulama ile bu mali tablolar yeniden oluşturulur ve organizasyonun beyanları ile kıyaslanarak farklılık nedenleri araştırılır.
4.7. Uygulama 7: İcmal Tablo Oluşturma
Kurumun belirli bir dönemde yaptığı işlemlerin, dönem sonu itibariyle kalan bakiyelerini göstrir. İcmal dökümleri analizlerde çok kritik noktalardır zira bu icmal tabloarı ile mali tabloların kıyaslanması gerçekleştirilerek farklılıklar ortaya konulur. Örnek olarak her bir stok kalemi bazında alınan yıl sonu icmal tablosu ile yıl sonunda olması gereken stok miktar ve
28
tutarları yeniden hesaplanmış olur. Bu sayede dönem içerisinde suiistimalin en yaygın ve en zor tespit edilen uygulamalarının bulunduğu üretim-stok kalemlerindeki olası suiistimaller tespit edilebilir.
4.8. Uygulama 8: Hareket Tablosu Oluşturma
Kurumun belirli bir dönemde yaptığı işlemlerin, herhangi bir zaman/süre kısıtı olmaksızın ayrıntılı bir şekilde dökümünün alınmasıdır. Hareket tabloları her bir hesap yada kalem (stok, satıcı, alıcı vb.) bazında seçili dönemlere göre (günlük, haftalık, aylık vb.) devir, giriş, çıkış ve kalan bilgilerini gösteren bir tablodur. Bu sayede dönem içerisindeki değişimler izlenebilir ve anormallikler tespit edilebilir.
4.9. Uygulama 9: Mutabakat İşlemleri
Mutabakat farklı iki kaynaktan gelen ve aynı bilgiyi içermesini beklediğimiz verilerin karşılaştırılarak farklılıkların ve aynılıkların tespit edilmesi işlemidir. Çoğunlukla muhasebe denetiminde kullanılsa da farklı alanlarda da uygulama alanları vardır. Mutabakat’ta ele alınan en az iki veri kaynağı ortak bilgiler üzerinden kıyaslanır, bu ortak alanlar uygulama açısından anahtar alanları temsil eder. Bu anahtar alanlar üzerinde aşağıda detayları aktarılan farklı mutabakat yöntemleri kullanılarak bir eşleştirme / karşılaştırma yapılır ve sonuçlar raporlanır. Mutabakatta kullanılan yöntemler şu şekildedir.
Mutabakat sadece dönem sonlarında değil yıl boyunca ihtiyaç duyulan her an yapılmalıdır. Mutabakat mutlak olarak özenle, titizlikle ve mutlaka yazılı olarak yada elektronik ortamda yapılmalıdır.
Birebir eşleme
Marjlı Eşleme
Toplam eşleme
Fuzzy Eşleme
4.10. Uygulama 10: FIFO Uygulaması
Fifo, İngilizce “First In, First Out” (İlk Giren – İlk Çıkar) kelimelerinin kısaltılmış biçimi olup, satın alınan hammaddeler içinde imalata satın alma tarihleri itibariyle önce satın alınmış olanın sevkedileceği esası üzerine kurulmuş bir fiyatlandırma yöntemidir. (FIFO yöntemi ticari bir işletmede uygulanmakta ise satışa gidecek mallar, satın alma tarihleri itibariyle önce satın alınan mallar olacaktır.) FIFO uygulaması ile stokların dönem sonu maliyetleri tespit edilir ve organizasyon içerisinde yer alan stokların beyan edilmiş dönem sonu stok bilgileri ve maliyetleri ile kıyaslanır. Farklılıklar tespit edilir ve derinlemesine inceleme yapılır. FIFO uygulaması hisse senetleri değerlemesinde de kullanılabilmektedir.
29
4.11. Uygulama 11: Sıklık Uygulaması
Sıklık analizi ile veri setindeki tüm kayıtların veya belirli bir kısmının yoğunluğu incelenebilir. Kayıtların gerekli kriterlere göre tekrar sayıları incelenerek ifade ettikleri anlama göre farklı kıstaslarla karşılaştırılmaları normal dışı işlemleri gösteren kayıtları tespit etmemize olanak sağlar. Sıklık analizini kullanarak hangi konular üzerinde yoğunlaşacağımıza karar verebiliriz. Örneğin bir şirketin hesaplarını incelediğimizi varsayalım. İşlem yoğunluğu fazla olan hesapları sıklık analizi ile tespit ederek öncelikle bu hesapları incelememiz daha doğru olacaktır. Çok fazla hareketin olduğu hesaplarda aradığımız işlemleri gözle tespit etmek mümkün değildir yada çok zaman alır. Ancak çok hareketli olmayan hesaplarda kayıt sayısı az olduğu için gözle inceleyerek bile aradığımız işlem kayıtlarını tespit edebiliriz. Hatta sıklık analizinden daha fazla yararlanmak için şöyle bir uygulama yapabiliriz. Bir hesaptaki işlem kayıtlarının farklı tarihlerdeki yoğunluğunu farklı tarihler için sıklık analizi yaparak elde edelim. Daha sonra farklı tarihler için elde ettiğimiz sıklık analizi sonuçlarını karşılaştırarak hesapta normal dışı bir işlem yoğunluğu olup olmadığını tespit edebiliriz.
4.12. Uygulama 12: Parçalı İşlem Uygulaması
Büyük tutarlı fonların, dikkat çekmemek ve resmi raporlama eşiklerinden kaçınmak amacıyla işlem sayısını arttırıp küçük miktarlara bölerek transfer edilmesiyle yapılan usulsüzlüğün tespiti için kullanılan uygulamadır.
Örnek 1: 1,5 milyon dolarlık bir tutar, ortalama 7 bin dolarlık 200'den fazla transfer işlemi yapılmak suretiyle aklanabilir. Bu uygulama sayesinde yapılan parçalı işlemler tespit edilmektedir.
4.13. Uygulama 13: Şüpheli Tarih Değişim Uygulaması
İşlem yapılamayacak tarihlerde (haftasonları yada tatil günlerinde) yapılan işlemlerin tespiti için kullanılacak uygulamadır.
Örnek 1: Hafta sonu bankadan para tahsil edilmesi gibi
Örnek 2: Nöbetçi olmadıkları halde pazar günü işlem yapan eczaneler gibi
Örnek 3: Bir sağlık çalışanının izinli olduğu dönemde, girişimsel işlem puanı elde edememesi gerekir.
4.14. Uygulama 14: Trend Analizi
Trend analizleri,sıkça kullanılan tekniklerden biridir. Temel esası bir hesaba ait bakiyelerin dönemler itibariyle değişimlerini bulunması ve analizine dayanmaktadır. Ayrıca trend analizi yardımıyla aralarında ilişki bulunan hesapların belli bir sürede gösterdikleri değişimler
30
karşılaştırılarak analiz yapılabilmektedir. Trend analizi denetçiler tarafından iki farklı amaç için kullanılmaktadır:
İlgili hesabın geçmiş dönemlere ait verilerinden yararlanarak, denetlenen dönemde olması beklenen bakiyeyi tahmin etmek ve kayıtlı değer ile karşılaştırmak,
İlgili hesabın geçmiş dönemlere ait verileri ile denetlenen döneme ait tutarın karşılaştırılarak, olağan olmayan bir değişim olup olmadığını incelemek.
Trend analizleri, denetimin yürütülmesi aşamasında genellikle incelenen hesabın denetçi tarafından beklenen tutarının belirlenmesinde kullanılmaktadır. Denetimin planlanması aşamasında ise, çalışmaların kapsamı belirlenirken, olağan olmayan dalgalanmaların veya beklenmeyen durumların belirlenmesi amacıyla trend analizleri kullanılabilir.
Trend Analizleri kendi içinde iki ana bölüme ayrılır:
Basit Trend Analizi
Regresyon Analizi
4.15. Uygulama 15: Regresyon Analizi
Bir hesabın bakiyesinin denetçi tarafından beklenen değerinin bulunması istendiğinde kullanılabilecek sağlam tekniklerden biri regresyon analizidir. Tekniğin esası, tahmini yapılacak kalemin etkilendiği değişkenler üzerine kurulmuştur. Örneğin bir işletmenin satış gelirleri, ekonomik koşullar, pazarlama ve üretim politikalarından etkilenebilir. Regresyon nalizinde bu değişkenlerden yararlanılarak kurulacak bir denklem yardımıyla denetlenen yılın satış gelirleri tahmin edilebilir.
4.16. Uygulama 16: Kur Değerlemesi
Yabancı para ve yabancı para ile olan alacak ve borçların değerlenmesi yabancı paralar başlığını taşıyan, Vergi Usul Kanunu’nun 280. Maddesinde yer almaktadır. Madde başlığı böyle olmakla birlikte yabancı parayla olan alacak ve borç senetlerinin reeskontuna ilişkin düzenlemeye de bu maddede yer verilmiştir. Söz konusu madde uyarınca yabancı paraların kural olarak borsa rayici ile değerlenmesi gerekir. Borsa rayicinin (oluşmasında) muvazaa olduğu anlaşılırsa bu rayiç yerine yeni paranın alış bedeli esas alınır. Ancak yabancı paranın borsa rayici yoksa değerlemeye uygulanacak kur Maliye Bakanlığı’nca tespit edilir.
4.17. Uygulama 17: Hareketsiz Hesap Uygulaması
Çalışması gerektiği halde herhangi bir giriş çıkış işlemi yapılmayan hesapların belirlenmesi. Hareketsiz hesaplar gerek bankacılık sisteminde gerekse muhasebe hesap analizlerinde olası suiistimali tespit için kullanılan bir uygulamadır. Bir bankada uzun süredir hareket görmeyen
31
bir hesap unutulmuş bir hesabı gösterdiği gibi hareketsiz olduğu halde harekete geçen bir hesap olası suiistimali göstermektedir. Benzer şekilde verilen bir avans hesabında uzun süreli hareket görmemesi demek bu avansın kapatılmadığını ve faizsiz finansman yapıldığı anlamına gelebilmektedir.
4.18. Uygulama 18: Karşılıklı Çalışan Hesaplar Uygulaması
Muhasebede çift taraflı kayıt sistemi olduğundan, her işlemde en az iki hesaba kayıt yapılmalıdır. Bu hesaplardan biri borç iken diğeri alacak olmalıdır. Aynı yevmiye kaydı içinde, birbirleriyle çalışması gereken hesaplardan herhangi biri alacak/borç çalışırken, karşılığında borç/alacak çalışan bir hesap beklenir. Bu uygulamada da bir hesap alacak çalıştığında karşılığında çalışması gereken hesabın, aynı yevmiye kaydında borç çalışmadığı durumlara bakılır. Bu uygulama aynı kontrolü borç/alacak durumu için de gerçekleştirir. Bu uygulama özellikle hesaptan çıkışların kontrolü ve hatalı yapılan kayıtların belirlenmesi için kullanılmaktadır.
4.19. Uygulama 19: Dikey Analiz
Dikey analiz bir işletmenin bilanço ya da gelir tablosundaki kalemlerin kendi grupları ve genel toplam içerisinde ne kadarlık bir yüzdeye sahip olunduğunun tespiti ile yorumlanmasına denir. Yatay analiz olarak da adlandırılan karşılaştırmalı mali tablolar analizinde mali tabloda seçilen kalemlerin yıllar itibariyle değişimi gözlenirken, dikey analizde bir yıla ait mali tablonun kalemlerinin nasıl bir yüzde dağılımı gösterdikleri gözlenerek bir yoruma ulaşılmaya çalışılır. Dolayısıyla dikey analizin amacı organizasyonun tek bir dönemdeki mali durumunun ve faaliyet sonuçlarının incelenmesidir. Yatay analizde yıllar itibariyle değişimin gözlenmesi dinamik bir analizi oluştururken, dikey analiz bir tek yılın incelenmesi nedeniyle statik analiz olarak adlandırılabilir. Dikey analiz çoğu kez yüzde yönetim ile analiz olarak da ifade edilir. Dikey Yüzdelerin belirlenmesinde mali tablo kalemlerinin grup toplamı ya da genel toplamı içindeki yüzdelerin bulunması esastır.
Grup toplamına göre dikey yüzde = (Hesabın tutarı / grup toplamı) *100
Genel toplama göre dikey yüzde = (Hesabın tutarı / aktif veya pasif toplamı) *100
4.20. Uygulama 20: Oran Analizleri
Bir işletmenin bir döneme ait mali tablolarında yer alan kalemler arasında matematiksel ilişki kurularak bulunan oranların incelenmesiyle yapılan analizdir. Oran analizinin amacı, işletmenin borç ödeme gücünü, varlıkların verimliliğini, yabancı kaynak kullanımını ve karlılığını ölçmektir. Uygulamada en çok kullanılan oran analizleri şunlardır;
Likitide Oranları,
Mali Oranlar,
32
Faaliyet Oranları,
Kârlılık Oranları.
Likitide Oranları
Likitide oranları, işletmenin kısa vadeli borç ödeme gücünü ölçmeye yarar. Bunun için dönen varlıkların toplamları ya da kalemleri ile kısa vadeli yabancı kaynaklar arasında çeşitli ilişkiler kurulur;
Cari Oran,
Asit-test Oranı,
Hazır Değerler Oranı,
Stokların Net Çalışma Sermayesine Oranı.
Mali Oranlar
Mali oranlar, organizasyonun finansmanında yabancı kaynaklardan yararlanma derecesini ölçmeye yarar. Mali oranlar ile işletme borçlarının mali yapı içerisindeki yeri ve bu mali yapının getirdiği sonuçlar araştırılır. Bu amaçla yabancı kaynakların öz kaynaklar karşısındaki durumu ile maddi duran varlıkların finansmanında kullanışları ve borçlanma giderlerinin dönem kârıyla karşılanışı ele alınır.
Mali oran analizinde kullanılan oranlar şunlardır;
Borçların Öz kaynaklara Oranı,
Kısa Vadeli Yabancı Kaynakların Öz kaynaklara Oranı,
Maddi Duran Varlıkların Öz kaynaklara Oranı,
Finansman Giderlerini Karşılama Oranı.
Faaliyet Oranları
Faaliyet oranları, organizasyonun sahip olduğu ve faaliyetlerini gerçekleştirmede kullandığı iktisadi varlıklarını verimli bir şekilde kullanılıp kullanılmadığının ölçümünde kullanılır. Diğer oran gruplarının yorumuna destek oluşturur. Bu amaçla varlıklar toplamı veya varlık kalemleri ile satışlar arasında ilişkiler kurulur. Varlıkların kullanılmaları sırasındaki etkinlik derecesini gösteren bu oranlara, “Verimlilik Oranları”, veya “Devir hızı” veya “Dönüşüm Katsayısı Oranları” da denir.
Karlılık Oranları
Karlılık oranları; likidite ile borç ve aktif yönetim politikalarının genel olarak tüm faaliyetlerin veya her bir faaliyetin verimliliği üzerindeki etkilerini gösteren oranlardır. Kar ile satışlar ve kaynaklar arasında bir ilişki kurarak işletmenin karlılığı ölçülür. Organizasyonun karlılığı işletme sahipleri ve ortakları açısından, işletmenin orta ve uzun vadede varlığını sürdürebilmesi açısından önemlidir. Çünkü kar organizasyonun yönetiminin başarısı olurken, ortakların kısa vadedeki geliri ve uzun vadede de yatırımların değer kazanmasının bir kaynağı olmaktadır. Sermayedarlar ve yatırımcılar, firmanın gelir yaratma ve karlılığını devam ettirebilme ve arttırabilme yeteneğiyle ilgilenir.
33
34
KAYNAKÇA
Benford, F. 1938. “The law of anomalous numbers” Proceedings of the American Philosophical Society 78 (4): 551-572
Abdel-Hamed, Sengupta, K. & Sweet, (1999), “The Impact of Goals on Software Project” Management: An Empirical Investigation, MIS Quarterly, 23 (4) pp 531-555.
ACFE , Report to the Nations, Occupational Fraud and Abuse 2010
ACFE, Fraud Examiners Manual 2010 International Edition
Alberch, Steve; Albercht, Conan; Albercht, Chad; Zimbelman, Mark (2009) “Fraud Examination” 3th Edition,
Berry J., (2003), “Assume Nothing”, Audit Instead, Computerworld, 37, 14, 43
Bhimani, A. (1996), “Securing the Commercial Internet”, Communication of ACM, June 1996
Bozkurt, Nejat, (2000) “Muhasebe Denetimi”, 3. Baskı, Alfa Yayınları, İstanbul
Bozkurt, Nejat; Ataman, Ümit; Hacırüstemoğlu, Rüstem (2001) “Muhasebe Denetimi Uygulamaları”, Alfa Yayınları, İstanbul
Bozkurt, Nejat, (2009) “İşletmelerin Kara Deliği Hile-Çalışan Hileleri”, Alfa Yayınları,
İstanbul Çiftçi, Y. (2003). “Elektronik Bilgi İşlem Teknolojisindeki Gelişmeler ve Muhasebe Denetimi. Mali Çözüm”
Decker, P. March/April (1998). “Data Mining's Hidden Dangers.” Banking Strategies, 6-14.
ERDOĞAN, Melih, “Bilgisayar Kullanılan Muhasebe Sistemlerinde Denetim Süreci,” Anadolu Ünv. Yayınları No:276, Eskişehir, 1988
Elliot, R.K., (2002), Twenty-First Century Assurance, Auditing, a Journal of Practice & Theory, 21,1, 139-146.
G.K. Palshikar, (2002) “The Hidden Truth - Frauds and Their Control: A Critical Application for Business Intelligence,” Intelligent Enterprise, vol. 5, no. 9, 28-May-2002, pp. 46–51.
Grand, C.L., (2001) “Use of Computer-Assisted Audit Tools and Technique (CAATTs) Part 1”, IT Audit, Vol. 4, October 1, The Institute of Internal Auditor,
Grand, C.L., (2001) “Use of Computer-Assisted Audit Tools and Technique (CAATTs) Part 2”, IT Audit, Vol. 4, October 15, The Institute of Internal Auditor,
Hudson, M.E., (1998), “CAATTs and Compliance.” Internal Auditor, 55(2): 25-27. Neuron B, (2003), “SAS 94: Issues and Opportunities,” InfoTech Update,12(1).
Pamukçu, Ayşe, “Muhasebede Bilgisayar Destekli Denetim Düzeni”, Yayınlanmamış Doktora Tezi, İstanbul, 2004
35
Paukowits, F., (2000) “Bridging CAATTS and Risk”, Internal Auditor, Vol. 57, Issue 2, p27
Paukowits, F., (1998) “Mainstreaming CAATTS”, Internal Auditor, Vol. 55, Issue 1, p19.
Pearson, TA & Singleton, TW (2008), “Fraud and forensic accounting in the digital environment”, Issues in accounting education, Vol. 23, No. 4, pp. 545-559, accessed 9-04-2010, http://www.ncjrs.gov/pdffiles1/nij/grants/217589.pdf
Ramamoorthi, Weindenmeer, (2004) “The Pervasive Impact of Information Technology on Internal Auditing,” Institute of Internal Auditors Inc, Chapter 9.
Richard J. Boltonand David J. Hand (2002) “StatisticalFraudDetection:AReview “ StatisticalScience 2002,Vol.17,No.3,235–255
Smith, GS 2005, “Computer forensics: helping to achieve the auditor’s fraud mission?”, Journal of forensic accounting, Vol. VI, No. 1, pp. 119-134, accessed 29-04-2010, eLearning@UOW
Türker, Masum, (2001) “Elektronik Ortamda Muhasebe ve Denetime Doğru”, Mali Çözüm Dergisi, İSMMMO Yayınları, Sayı:57, Ekim-Kasım-Aralık, 2001
Vlonino, L, Anzaldua, R & Godwin, J (2007), “Computer forensics principles and practices, Prentice Education”, Upper Saddle River, New Jersey
Yılmaz, Gökhan, (2007) “Muhasebe Denetiminde Bilgisayar Destekli Denetim Tekniklerinin İncelenmesi ve Bir Uygulama”, Yayınlanmamış Doktora Tezi, İstanbul, 2007
