Risk yönetimi alanı, halka açık riskin olumsuz etkilerini kavramaya başladığından, ekonomik çöküşün ardından artan ana ilgi çekmiştir. Maalesef, birçok risk yönetimi uzmanı, hile rolünü mesleki görevleri kapsamında görmezden gelme eğilimindedir. Kurumların yıllık gelirlerinin % 5'ini hile yapmak için kaybettiği için, hileyle mücadelede güçlü bir hile duruşu ve proaktif, kapsamlı bir yaklaşım gerektiği açıktır. Kurumlar risk odaklılıklarını arttırırken, sahtekârlığı tespit etmek, caydırmak ve önlemek için önlemleri değerlendirme, uygulama ve iyileştirme fırsatını kullanmalıdırlar (Hess & Cottrell Jr, 2016, s. 13-18).
Hile risk yönetimi, bir kurumun kültürel yapısına yazılı politikalar, tanımlanmış sorumluluklar ve etkili bir program uygulayan devam eden prosedürler şeklinde dâhil edilmelidir. Program ve performansı hakkında gerekli bilgileri kendilerine iletmek için bu politikaları raporlamada hazırlarken kurul ve üst yönetim için net bir rol olması gerekir. En tepeden gelen ton, kurum genelinde hile önleme ve tespit algısına yansıtılacaktır (Chen, 2015, s.1-10).
Programı yürüten üst yönetime yeterli kaynaklara ve erişime sahip sorumlu bir kişinin olması önemlidir. Bu kişiden, programın tasarlanması ve değerlendirilmesi ve
uygun şekilde organizasyona iletilmesi ile görevlendirilmelidir. Organizasyonlar karmaşıklık, içsel risk ve büyüklük bakımından büyük farklılıklar gösterdiğinden, herkese uyan tek bir program yoktur, ancak tüm programlar gibi konuları ele alır:
Roller ve sorumluluklar
Hile bilinci
Çatışma açıklaması
Hile riski değerlendirmesi
Raporlama prosedürleri
Soruşturma süreci
Düzeltici eylem
Kalite güvencesi
Devam eden izleme
Hilenin önlenmesi ve tespiti için temel, kuruluşun amacı, endüstrisi (ürün veya hizmetler), karmaşıklığı, ölçeği ve ağ risklerine maruz kalmasıyla belirlenen asıl riskleri ele alan yapılandırılmış bir risk değerlendirmesidir. Değerlendirmenin amacı, geleneksel bir beklenen değer çerçevesinde risklerin türünü, olasılığını ve potansiyel maliyetini belirlemektir. Bu, kurumun program çabalarını, belirli bir riskin daha büyük veya daha az toleransını içerebilecek maliyet etkin azaltmaya yönelik olarak uyarlamasını sağlar.
Hile risklerini değerlendirmek, çalışanların - üst yönetim de dâhil olmak üzere kuruluşun kaynakları ile nasıl etkileşime girdiğine bakmakla ilgilidir. Teşvikleri ve fırsatları, çoğunlukla kurum tarafından belirlenen hile üçgeninin ayaklarından birini oluşturur. Bu nedenle, risk değerlendirme çabasının kontrolün, politikaların ve prosedürlerin belirli rollerle nasıl etkileşime girdiği konusunda çok net ve ayrıntılı olması gerekir. Bu risklerin kaynaklarının, özellikle ağa bağlı ve veriye bağlı işlemlerde, hem iç hem de dış olabileceğini not etmek önemlidir (Rucker, 2007).
Hilenin önlenmesi, olaydan sonra tespit edilmesinde çok tercih edilir. Uygulamada, sahtekarlığı önlemek için kurulan aynı sistemler ve kontrol, tespit edilmesine yardımcı olabilir (örneğin, belirli bir prosedür için görevlerin ayrılması, birinin potansiyel sahtekarlığı rapor etme konusunda yerinde olma şansını artırmaya yardımcı olabilir).
Bununla birlikte, önleme, hile bilinci, ortak politika ve prosedürlerin anlaşılması, bilgi uçuranlar için güvenli bir liman ve sahtekârlığın önlenmesinin önemi hakkında sürekli bir iletişimin kültürüne dayanmaktadır. Herkes hilenin mümkün olduğunu ve organizasyonun tespit mekanizmalarını geliştirdiği ciddi bir problemi bilirse, ortaya çıkma olasılığı daha düşüktür (Apostolou, Hassell, & Webber, 2001).
Kontrol, izleme ve raporlama sahtekârlığın daha hızlı tespit edilmesini sağlar. Önemli tespit önlemleri, bir ihbarcı politikası, zaman içinde standart dışı sonuçların potansiyel ve ortak göstergelerini vurgulamak için tasarlanan raporları ve insanları potansiyel sahtekârlığa karşı uyaran diğer kontrolü içerir. İzlenmezse bu göstergelerin kurulmasının hiçbir etkisi olmayacağını söylemeye gerek yoktur.
Harekete geçmek için doğru kişiye ulaşamayan bilgiler oluşturmak işe yaramaz. Hile önleme programının ilk planlamasındaki ana unsurlardan biri, bir sorunun çözülebilecek birine zamanında bilginin bildirilmesini sağlamak için sorumluluklar ve süreçler oluşturmaktır. Bu sistemler, güçlü yasal sonuçları olan cevapları tetiklemektedir, bu nedenle temel bileşenlerden biri, etkilenen tarafların yasal haklarını ve geçerli yasalara uyumu incelemektir.
İşletme üst yönetiminin işletme ile olan kurumsal yönetimle ilgili bilinci artmış olup işletmeye ve paydaşlara karşı olan sorumluluklarının ve yükümlülüklerinin neler olduğunu anlayışı daha da gelişmiştir. Bu süreçle ilgili olarak şu gibi aşamalar mevcuttur (AICPA,ACFE :10);
Yönetim kurulunun toplantı gündemlerine kurumsal yönetim anlayışını dahil etmesi,
Birden çok yönetim derecesine erişerek ihbar hattının etkili kontrolünü sağlaması,
Bağımsız adaylık süreçleri oluşturması,
En üst düzey yönetici (CEO), üst düzey mali işler sorumlu yöneticisi (CFO) ve şirketin üst düzey operasyon sorumlu yöneticisi (COO)’dan oluşan en etkili üst yöneticilerinin değerlendirilmesi, ücret planlamasının ve performans değerlendirmelerinin yapılması,
Yönetim kurulunun bağımsızlığına ve değerlendirme sürecine, risk minimize edici faaliyetlere, üst yönetim toplantılarına ve sistemli denetime aktif katılımın sağlanması gibi etkenler geliştirilmiştir.
Hile riski yönetimi sürecinde yönetim kurullarının aşağıdaki gibi bir yol izlemesi gerektiği düşünülmektedir (IIA, AICPA, ACFE :12);
İşletmelerde olabilecek hile risklerinin tespiti,
İşletmelerde hile risk programlamasının, işletmenin risk değerlendirme sürecinin ve stratejik planlamasının bir parçası kabul edilmelidir.
Yönetim kurulu potansiyel hilekârlarla ilgili olarak doğru ve zamanında müdahaleyi sağlayacak bir mekanizma oluşturulmasından sorumludur.
Kurul yönetim tarafından hazırlanan iç kontrolleri gözlemelidir.
Üst düzey yöneticilerin iş tanımları, personel istihdam süreci, başarı değerleme süreçlerini düzenleyerek uygun ortamı düzenlemelidir.
Gerektiğinde dışarıdan getirilecek uzman bilirkişilerle çalışabilmelidir. Hile riskiyle ilgili önemli olan konularda dış denetçilere kanıt sağlamaya yardım etmelidir.