Bir çalışan iş seyahatinden dönüyor. Masraf raporunu dolduruyor. Taksi fişi, restoran faturası, otel makbuzu ekliyor. Finans departmanı kontrol ediyor, onaylıyor, ödemeyi yapıyor. Klasik süreç.

Ama o fişlerden biri gerçek değil. ChatGPT’ye “İstanbul’da bir restoran fişi oluştur, tarih 15 Mart 2026, tutar 1.250 TL, restoran adı Beyoğlu Balıkçısı” yazdığınızda, birkaç saniye içinde gerçeğinden ayırt edilmesi zor bir fiş çıkıyor. Logo, KDV dökümü, fiş numarası, saat. Hepsi tutarlı. Hepsi sahte.

Bu artık teorik bir risk değil. Gerçekleşiyor. Ve hızla büyüyor.

Rakamlar Ne Diyor?

ACFE’nin (Association of Certified Fraud Examiners) 2024 Mesleki Dolandırıcılık Raporu’na göre küresel çalışan dolandırıcılığı kayıpları 3.1 milyar dolar. Bu sadece tespit edilen vakalar. ACFE’nin tahminine göre şirketler gelirlerinin yüzde 5’ini çalışan dolandırıcılığına kaybediyor.

Masraf raporu dolandırıcılığı bu kaybın önemli bir dilimi. Sahte fişler, şişirilmiş tutarlar, kişisel harcamaların iş gideri olarak gösterilmesi, mükerrer fatura sunumu. Bunlar yeni değil. Yeni olan şey: AI bunları çok daha kolay, çok daha ikna edici ve çok daha ölçeklenebilir hale getirdi.

AppZen’in verilerine göre sadece bir haftalık taramada 348 sahte fiş tespit edildi. Toplam tutar yaklaşık 25.000 dolar. En büyük tek sahte fiş 3.860 dolar. Ortalama sahte fiş tutarı 274 dolar. Küçük görünüyor ama sistemik olduğunda yıkıcı.

Daha çarpıcı bir veri: AppZen’in tespit ettiği şüpheli masraf raporlarının yüzde 14’ü AI tarafından üretilmiş belgeler içeriyordu. Bu oran birkaç yıl önce sıfırdı.

AI Sahte Fişi Nasıl Üretiyor?

İşin teknik tarafı şaşırtıcı derecede basit.

ChatGPT, Claude veya benzeri bir büyük dil modeline “şu formatta bir restoran fişi oluştur” diyorsunuz. Model size metin tabanlı bir çıktı veriyor. Bunu biraz formatlayıp PDF’e çeviriyorsunuz. Veya doğrudan sahte fiş üretmeye odaklanmış araçlar var. Bunlar template tabanlı çalışıyor: restoran türünü, ülkeyi, tutarı, tarihi giriyorsunuz, sistem gerçekçi bir fiş görüntüsü üretiyor.

Eski usul sahte fiş üretmek Photoshop gerektiriyordu. Gerçek bir fişi tarayıp üzerinde değişiklik yapmak, yazı tiplerini eşleştirmek, KDV hesaplamalarını tutturmak zahmetliydi. Ve düzenleme izleri bırakıyordu. Metadata’da değişiklik tarihi görünüyordu. Piksel düzeyinde tutarsızlıklar tespit edilebiliyordu.

AI ile üretilen fişlerde bu izler yok. Çünkü fiş düzenlenmemiş, sıfırdan üretilmiş. Dolayısıyla “düzenleme tespiti” yapan geleneksel araçlar işe yaramıyor. Fiş orijinal görünüyor çünkü teknik olarak orijinal. Sadece gerçek bir işleme dayanmıyor.

The Accounting Podcast’in sunucuları Blake Oliver ve David Leary, canlı yayında ChatGPT ile sahte fiş üretimini gösterdi. Dakikalar içinde, gerçek bir restorandan alınmış gibi görünen, tutarlı bilgiler içeren bir fiş ürettiler. Ve itiraf ettiler: çoğu finans ekibi bunu manuel kontrolle yakalayamaz.

Neden Bu Kadar Tehlikeli?

Sahte fiş dolandırıcılığı tek başına büyük tutarlar içermiyor. Ama tehlikesi üç katmanlı.

Birincisi, ölçeklenebilirlik. Eskiden sahte fiş üretmek emek yoğundu. Şimdi dakikalar içinde düzinelerce sahte belge üretilebiliyor. Bir çalışan her ay 5-6 sahte fiş eklerse, yılda 15.000 ila 20.000 dolar çalabilir. Bunu 50 çalışan yapıyorsa, kayıp 1 milyon dolara yaklaşıyor. Ve hiçbiri tek başına alarm tetikleyecek kadar büyük değil.

İkincisi, tespit zorluğu. Geleneksel masraf raporu kontrolü genellikle tutar eşiklerine, politika ihlallerine ve random sampling’e dayanıyor. “Bu fiş gerçek bir işletmeden mi geldi?” sorusunu soran kurum çok az. AI üretimi fişlerde yazı tipi tutarlı, KDV hesabı doğru, tarih ve saat makul. Manuel kontrolde yakalamak neredeyse imkansız.

Üçüncüsü, kültürel sinyal. Sahte fiş sunan bir çalışan, daha büyük dolandırıcılıklara da yatkın olabilir. ACFE verilerine göre masraf raporu dolandırıcılığı genellikle daha büyük şemaların başlangıç noktası. Bugün 300 dolarlık sahte fiş sunan çalışan, yarın tedarikçi kickback şemasına geçebilir. Sahte fiş bir erken uyarı sinyali.

İç Denetim Ne Yapmalı?

Bu konu doğrudan iç denetçilerin alanı. Ve geleneksel yaklaşımlar yetersiz kalıyor.

Fiş doğrulama süreçleri güncellenmeli. Sadece tutara ve politikaya bakmak yetmiyor. Fişin gerçekliğini doğrulamak gerekiyor. Bu, fişte adı geçen işletmenin gerçekten var olup olmadığını kontrol etmekle başlıyor. Google Maps’te arama, vergi numarası doğrulama, telefon numarası kontrolü. Basit ama etkili adımlar.

AI destekli tespit araçları devreye girmeli. AI ile üretilen sahte fişleri yakalamak için yine AI kullanmak gerekiyor. Bu araçlar fiş görüntüsündeki metadata tutarsızlıklarını, yazı tipi anomalilerini, logo kalitesini ve template kalıplarını analiz ediyor. Aynı template’ten üretilmiş birden fazla fiş tespit edilebiliyor. Farklı çalışanların aynı hash değerine sahip fiş sunması alarm tetikliyor.

Davranışsal analiz eklenmeli. Bir çalışanın masraf kalıpları aniden değişiyorsa — örneğin daha önce hiç taksi kullanmayan biri her ay düzenli taksi fişi sunuyorsa — bu bir kırmızı bayrak. Veya masraf raporları her zaman eşik değerinin hemen altındaysa, structuring yapılıyor olabilir.

Politika netleştirilmeli. Sahte veya manipüle edilmiş belge sunmanın sonuçları açıkça yazılmalı. Çoğu şirketin masraf politikasında “sahte fiş sunmayın” yazmıyor bile. Yazsın. Ve sonuçları belirtsin. Caydırıcılık önemli.

Random değil, risk bazlı denetim yapılmalı. Her masraf raporunu denetlemek mümkün değil. Ama yüksek riskli profilleri belirlemek mümkün. Sık seyahat eden çalışanlar, yüksek tutarlı masraf raporları, yeni çalışanlar, yakın zamanda şikayet veya performans sorunu olan çalışanlar. Risk bazlı örnekleme, kaynakları doğru yere yönlendiriyor.

Türkiye Bağlamı

Türkiye’de masraf raporu dolandırıcılığı yaygın ama nadiren konuşuluyor. Çoğu şirkette masraf raporları finans departmanı tarafından tutar bazlı kontrol ediliyor. Fişin gerçekliği sorgulanmıyor. “Fiş var mı? Tutar politika dahilinde mi? Tamam, öde.”

Türk vergi sistemi açısından sahte fatura zaten ciddi bir suç. VUK 359. madde kapsamında “sahte belge düzenleme ve kullanma” hapis cezası gerektiriyor. Ama bu genellikle şirketler arası sahte fatura düzenleme bağlamında uygulanıyor. Çalışanın masraf raporuna sahte fiş eklemesi aynı ciddiyetle ele alınmıyor.

Türk bankalarında ve büyük şirketlerde iç denetim birimleri masraf denetimi yapıyor. Ama AI üretimi sahte belgelere karşı hazır mısınız? Denetçileriniz bir fişin AI tarafından üretildiğini tespit edebilir mi? Muhtemelen bu soru çoğu kurumda henüz sorulmadı bile.

Bir de tedarikçi tarafı var. Sahte fatura düzenleyen tedarikçiler Türkiye’de bilinen bir sorun. Ama AI ile sahte fiş üreten çalışanlar yeni bir kategori. Ve bu kategori büyüyor.

Sonuç

Masraf raporu dolandırıcılığı glamorous bir suç değil. Büyük başlıklar yaratmıyor. Kimse 300 dolarlık sahte taksi fişi için haber yapmıyor.

Ama toplam kayıp milyarlarca dolar. Ve AI bu kaybı katlamak üzere.

Generatif AI’ın en az tartışılan ama en yaygın kötüye kullanımlarından biri bu. Deepfake CEO dolandırıcılığı manşetlere çıkıyor çünkü tek seferde milyonlarca dolar kaybediliyor. Ama her gün, her şirkette, küçük tutarlarda ama sistematik olarak yapılan sahte fiş dolandırıcılığı toplamda çok daha büyük bir kayıp yaratıyor.

İç denetçiler için mesaj net: masraf raporu denetiminizi güncelleyin. AI üretimi belgelere karşı hazırlıklı olun. Ve her sahte fişi sadece küçük bir kayıp olarak değil, daha büyük bir bütünlük sorununun erken uyarısı olarak değerlendirin.

Çünkü bugün sahte fiş üreten çalışan, yarın sahte tedarikçi faturası üretebilir. Araç aynı. Sadece tutar değişiyor.