Günümüzde şirketlerin neredeyse tamamının suistimallerden etkilendiği ve her yıl gelirlerinin %5’lik kısmını bu yolla kaybettikleri bilinmektedir.[1] Gerçekleşen bu suistimaller, şirketleri yalnızca maddi zarara uğratmakla kalmayıp çoğu zaman itibar kaybına da uğratabilmektedir.

Şirketlerde maddi ve manevi olarak ciddi boyutlarda kayıplara neden olan bu suistimallerin tespitinde, ihbar bildirim hatları şüphesiz en önemli yollardan biridir. Yapılan araştırmalarda dünya genelinde suistimallerin %43’ünün ihbar yoluyla tespit edildiği, bu ihbarların yarısının da şirket çalışanları tarafından bildirildiği görülmektedir. Ayrıca, ihbar bildirim hattı olan şirketlerde suistimallerin ortaya çıkma oranı %50 iken, bildirim hattı olmayan şirketlerde bu olasılık üçte bire kadar düşebilmektedir.1 Suistimal tespit yöntemleri konusunda Türkiye’deki oranlara bakıldığında ise en etkin yöntemin ihbar bildirim hatları kullanımı olduğu ve suistimallerin %73’ünün bu yolla tespit edildiği görülmüştür.[2] Dolayısıyla güçlü bir ihbar bildirim mekanizması, olası ihlal ve suistimalleri kritik boyutlara gelmeden önce çözme imkanı sunar.

İhbar bildirim hatları, bir suistimali tespit etmenin yanında; çalışanlar, tedarikçiler ve diğer iş ortakları ile şirket yönetimi arasındaki iletişimin artmasını da sağlayabilmektedir. Şirket çalışanları veya diğer paydaşlar tarafından fark edilen operasyonel konularda iyileştirmeye açık alanlar, böyle bir mekanizma ile rahatlıkla yönetime bildirilebilir ve bu sayede şirketin kısa sürede operasyonel süreçlerini iyileştirmesi için fırsat yaratılmış olur. Aynı zamanda çalışanlar ve diğer paydaşlar, etik veya hukuki açıdan bir ikilemde kaldıkları durumlarda da ihbar bildirim hatlarına başvurabilmektedirler.

İhbar bildirim hattına sahip şirketler, genellikle bu hattı yalnızca çalışanlarının kullanımına açmaktadırlar. Şüphesiz ki çalışanlar ihbar bildirim hatlarının en büyük kaynaklarıdır ve ihbar hatlarına yapılan bildirimlerin %50’si çalışanlardan gelmektedir. Buna karşın, %22 oranında müşterilerden ve %11 oranında tedarikçilerden de ihbar bildirim hatlarına bildirim geldiği görülmektedir.1 Dolayısıyla herhangi bir suistimalin veya olası çıkar çatışmasının tespitinde çalışanlar haricinde diğer paydaşların da önemli bir rolü olduğu anlaşılmaktadır.

İhbar bildirim hatlarının en önemli faydalarından biri de, bildirimde bulunabilecek kişilere, herhangi bir isim veya iletişim bilgisi paylaşmayarak anonim bildirim yapma imkanı sağlamasıdır. Yaygın kullanıma bakıldığında, ihbar bildirim hatlarının işleyişinde şirketler tarafından kullanıcılara anonim, yarı anonim ve açık bildirim olacak şekilde 3 farklı bildirim seçeneği sunulmaktadır. Anonim bildirimde kişiler hiçbir iletişim bilgisi paylaşmadan, yarı anonim bildirimde yalnızca bildirimi alan aracı kişi veya kurumlar ile isim ve/veya iletişim bilgisi paylaşarak (bu bilgilerin ilgili firma ile paylaşılmaması şartıyla) ve açık bildirimde isim ve/veya iletişim bilgisi paylaşarak ihbarda bulunabilmektedirler.

Ek olarak, Amerika Birleşik Devletleri Adalet Bakanlığı’nın[3] yayımlamış olduğu Kurumsal Uyum Programlarının Değerlendirilmesi Rehberi’nde (“Rehber”) 2019 yılında ilk kez anonim raporlama mekanizmasından ve öneminden bahsedilmiştir. Kurumsal bir bakış açısıyla bakıldığında, gerçekten anonim raporlama kanalları sunmanın, bildirim yapacak kişilerin güvenini kazanmaya yardımcı olduğu ve kişileri bildirim yapmaya teşvik ettiği anlaşılmaktadır. Bununla birlikte, Rehber’de 2020 yılında yapılan güncellemeye göre, şirketler yalnızca anonim bir raporlama mekanizması sunmakla yetinmemeli, bildirim hatlarına erişimi genişletmeyi hedeflemeli ve şirket çalışanlarıyla birlikte diğer tüm paydaşların kullanımına sunmayı da düşünmelidirler.

Özetle, etkin bir ihbar bildirim hattı kullanımının, organizasyonlara tam ve doğru bir şekilde katkı sağlayabilmesi için şirketlerin, etik ve uyum programlarına ihbar bildirim hatlarını mutlaka eklemesi ve bu hatları tüm paydaşların kullanımına sunması gerekmektedir.


İhbar Bildirim Hatlarına İlişkin Bazı Regülasyonlar

İhbar bildirim hattı, özellikle bir kanuna tabi değilse ülkeden ülkeye veya şirketten şirkete farklı şekillerde tasarlanabilmektedir. Bu mekanizmalar her ne kadar farklı şekillerde tasarlanmış olsa da özünde aynı amaca hizmet etmektedir.

Son yıllarda birçok ülkede, şirketler için ihbar bildirim hattı oluşturulmasına ve ihbarcıları korumaya yönelik yasalar yürürlüğe konmaya başlanmış ve bu konuda ihbar mekanizmalarına olan destek faaliyetleri artmıştır. Örneğin, 2002 Sarbanes-Oxley yasası Amerika’da halka açık şirketlerin anonim bir raporlama mekanizması kurmalarını zorunlu hale getirmiştir. Ek olarak, AB İşbirlikçi Direktifi[4], 17 Aralık 2021 tarihi itibariyle 50 veya daha fazla çalışanı olan tüm işletmelere, devlet kurumlarına ve 250 veya daha fazla çalışanı olan şirketlere, güvenli ve erişilebilir bir raporlama kanalı oluşturmalarına ilişkin zorunluluk getirmiştir.

Diğer yandan, organizasyonların ihbar bildirim hatlarına ilişkin birden fazla baz alabileceği referans noktası olmasına rağmen, bu hatlara ilişkin uluslararası kabul görmüş tek bir standart bulunmamaktadır. Bu referans noktaları büyük ölçüde yasal uyum yükümlülüklerine ilişkin olarak ihbar bildirim ve yönetim süreçlerinde ne yapılması gerektiğine odaklanmaktadır ancak şirketler için ihbar mekanizmalarını etkili bir şekilde nasıl kurgulayacaklarını anlamaları için uygun veya uygulanabilir değildir.


ISO 37002 İhbar Yönetim Sistemleri Standardı

Gün geçtikçe daha fazla sayıda organizasyon, yasal düzenlemelere veya etik normlara aykırı herhangi bir durumun ihbar edilebilmesine ilişkin yeni süreçler ve politikalar ortaya koymaktadır. Buna paralel olarak da ihbar yönetim süreçleri şirketten şirkete göre değişkenlik göstermekte, kimi şirketler tarafından yürürlüğe konan hatalı uygulamalar nedeniyle etkili olmayan, kullanılmayan ve hatta çalışanlar tarafından bilinmeyen ihbar bildirim hatları yönetilmektedir. Bu kapsamda, geçtiğimiz günlerde yayımlanan ISO 37002 İhbar Yönetim Sistemleri Standardı (“Standart”), ihbar bildirim programlarının kurulması ve  yönetilmesi ile ilgili kapsamlı bir kılavuzdur ve yalnızca AB İşbirlikçi Direktifi veya benzeri bir uygulamadan etkilenen organizasyonlar için değil dünya çapında geçerli ve uygulanabilirdir.

Standart ayrıca bir kuruluşun mevcut ihbar bildirim politikasını ve/veya prosedürünü iyileştirmesine, ayrıca geçerli olan ihbar bildirim mevzuatlarına uymasına yardımcı olabilmektedir. Standart’ın şirketlere uygulanması, kuruluşların faaliyetlerinin boyutuna, yapısına ve karmaşıklığına bağlı olarak farklılık gösterebilmektedir.

Yayımlanan Standart ile, kurulan ihbar bildirim mekanizmaları aracılığıyla suistimalin bildirimini teşvik etmek ve kolaylaştırmak, ihbarda bulunan kişileri ve ilgili diğer tarafları desteklemek ve korumak, suistimale ilişkin ihbarların uygun ve zamanında ele alınmasını sağlamak, kurumsal kültür ve yönetişimin iyileştirilmesini sağlamak ve hata yapma risklerini azaltmak amaçlanmaktadır.

Standart ayrıca, organizasyonlara güven, tarafsızlık ve koruma ilkelerine dayalı şeffaf ve etkin bir kurumsal ihbar sistemi kurulabilmesi için gerekli çerçeveyi belirlemeyi amaçlamaktadır. Şirketin tüm çalışanlarının, müşterilerinin, tedarikçilerinin ve benzeri diğer paydaşlarının yasal düzenlemelere veya etik kurallara ilişkin endişelerini güvenle bildirebilecekleri koruyucu bir ortam yaratmayı hedeflemektedir. Bu doğrultuda Standart, etik hatlara ilişkin yönetim ve karar verme mekanizmaları, risklerin saptanması ve yönetimi, farkındalık oluşturma, bildirimlerin raporlanması ve değerlendirme süreçleri, bildirim hatlarının denetimi, sürdürülebilirlik gibi çeşitli konuları içermekte ve bu konulara dair önerilen iyi uygulamalara değinmektedir.


ISO 37002 İhbar Yönetim Sistemleri Standardı’nın Bölümleri

ISO 37002 Standardı, güvenli raporlama kanallarının oluşturulması konusunda organizasyonlara rehberlik etmekte ve tavsiyeler vermektedir. Raporlama kanallarına ilişkin olan 8. bölümde, bildirim almanın daha yaygın ve önerilen yöntemleri için yönlendirmeler yer almaktadır. Standart’ın bu bölümünde ayrıca, bildirime konu olan duruma ait kritik bilgilerin alınmasını sağlamaya yardımcı olacak, bildirim sahibine sorulacak örnek sorular listesine de yer verilmiştir.

Diğer yandan, ihbar bildirim hatlarına ilişkin kapsamlı eğitimler ve bilinçlendirme, ihbar bildirim hatlarına uyum gerekliliklerini karşılama konusunda büyük önem arz etmektedir. Bu doğrultuda, eğitim ve farkındalık faaliyetleri ve ihbar bildirim mekanizmalarındaki iletişim için iyi uygulamalar, Standart’ın 7. bölümünde ele alınmıştır. Standart’ta ayrıca, ihbar bildirim sürecinin bütün aşamaları boyunca bildirimde bulunan kişilere geri bildirim sağlamanın önemine de yer verilmektedir. Standart’ta, bildirim sürecinde geri bildirim döngüleri oluşturmanın, iletişimin artmasına ve beklentilerin yönetilmesine yardımcı olacağı vurgulanmaktadır.

Standart, herhangi bir bildirime dahil olan tüm tarafların gizliliğinin korunmasının önemine ve gizliliğin şart olması gerektiğine özellikle vurgu yapmaktadır. Gizliliği sağlama amacı doğrultusunda, gizlilik ihlallerinin yönetimi prosedürlerinin oluşturulması veya ilgili tarafların kimliğini belirlemeye yönelik girişimlerin tanımlanmasının önemine dikkat çekildiği görülmektedir. Bunların yanında, veri koruma ve dokümante edilen bilgilerin kontrolü ile ilgili gerekliliklerden de bahsedilmektedir.

İhbar bildirim sürecinde, raporlama aşamasındaki risklerin değerlendirilmesi ve önlenmesi hakkında tavsiyelere Standart’ın ilgili bölümlerinde yer verilmiş olup potansiyel riskleri belirlemenin, ihbarların araştırılması aşamasında sürece katkı sağlayacağı ifade edilmiştir. Bunun yanı sıra, ihbarcıların korunması, raporların konuları ve diğer ilgili taraflar hakkında ayrıntılı yol haritası çizilmiş olup olası bir misilleme durumunda yapılacaklara ilişkin önerilerden bahsedilmiştir.

ISO 37002 standardı, bir ihbar bildirim mekanizması kurma ve yönetmeyle ilgili çeşitli zorluklara kapsamlı bir şekilde yer verdiği için, yalnızca belirli ülkelerdeki regülasyonlara tabi olan organizasyonlar için uygun olmakla kalmayıp aynı zamanda dünya çapında da geçerli bir rehber olarak kullanılabilir. Standart, bu alandaki küresel yasal düzenlemelere uyum gerekliliklerinin karşılanmasına yardımcı olabilir.

Bu Standart gibi uluslararası kabul görmüş rehberlerden ve iyi uygulama örneklerinden yararlanmak, yalnızca uyum yükümlülüklerinin yerine getirilmesini değil, aynı zamanda kuruluşların bu programlardan en etkin şekilde fayda sağlamalarına ve çalışanları ile güven içinde iletişim sağlayacakları bir köprü oluşturmasına da yardımcı olmaktadır.

[1] Uluslararası Suistimal İnceleme Uzmanları Derneği (ACFE) – 2020 Report to the Nations

[2] Türkiye Etik ve İtibar Derneği & KPMG Türkiye | 2019 CCO Anketi

[3] U.S. Department of Justice (DoJ)

[4] Avrupa Birliği İşbirlikçi Direktifi: EU Whistleblowing Directive

 


Kaynakça

https://www.iso.org/obp/ui/#iso:std:iso:37002:ed-1:v1:en

https://www.iso.org/standard/65035.html

https://whistleb.com/blog-news/iso-37002-whistleblowing-management-systems-the-new-global-standard-on-organisational-whistleblowing/

https://whistleb.com/blog-news/drafting-iso-37002-new-global-standard-on-whistleblowing-management-systems/

https://whistleb.com/blog-news/the-eu-whistleblower-protection-directive-background-and-main-elements/

https://www.fraud-magazine.com/article.aspx?id=4295009017

https://www.fraud-magazine.com/article.aspx?id=4295006405

https://www.navexglobal.com/blog/article/iso37002-and-the-eu-whistleblower-directive-a-complementary-coupling/

http://www.rekabetregulasyon.com/buzun-uzerinde-yurumek-isbirlikcilere-whistleblower-iliskin-ab-mevzuati-ve-ulkemize-etkileri/


 

Yazı: Elif Nazlı Işık – KPMG Türkiye Etik ve Uyum Hizmetleri Kıdemli Danışmanı
Burak Ülgen – KPMG Türkiye Etik ve Uyum Hizmetleri Kıdemli Müdürü
 
Makalelerdeki görüş ve yorumlar yazar veya yazarlara ait olup , Etik ve İtibar Derneği’nin konu ile ilgili düşüncelerini yansıtmamaktadır.