GÜNDEME BAKIŞ - Sayıştay İZENERJİ raporunda 41 bulguya ver verildi "İşçilerin Yıllık Fazla Çalışma Saati Sınırının Aşılması" bulgusunda "İş Kanunu'nda yıllık olarak en fazla 270 saat fazla çalışma yaptırılabileceği belirtilmesine rağmen Şirket bünyesinde çalışan işçilere bu sınırlamanın üzerinde fazla çalışma yaptırıldığı görülmüştür" denildi.
"Araçların Şirket İşleri Dışında Kullanılması" başlığında ise önemli tespitlere yer verilerek şöyle denildi:
"Şirket araçlarının iş süreçleri dışında şahsi amaçlarla kullanıldığı görülmüştür. Şirket bünyesinde kullanılan araç takip sistemi ve görevlendirmelerin karşılaştırılması
sonucunda, araçlara ait konum verilerinin pek çok kez alınamamasına rağmen gerekli önlemler
alınmamıştır. Araçlara ilişkin konum ve görevlendirme verilerinin karşılaştırması neticesinde;
* Bir yönetim kurulu üyesinin diğer Şirket personelinden farklı olarak araç/şoför görevlendirmesi olmaksızın Haziran 2024 tarihine kadar bazen şoförlü bazen şoförsüz olarak
şirket aracını kullandığı, bazı günlerde Şirketin faaliyet gösterdiği adreslerin dışında
bulunduğu,
* Şirket Genel Müdür Yardımcısının işe ilk girişinden itibaren 2024 yılı sonuna kadara
kendisine herhangi bir müdürlüğün bağlı olmadığı, şirket aracını şoförlü olarak kullandığı, bazı
günlerde şirkete hiç gelmediği bazı günlerde ise birkaç saat uğrayıp Şirketten ayrıldığı, bazı
günlerde Şirketin faaliyet gösterdiği adreslerin dışında bulunduğu,
* Şirket Genel Müdür Vekilinin mart ayı araç ve şoför görev emrinde İzmir merkezde
görevli olduğu belirtilmesine rağmen başka il konumlarında bulunduğu,
anlaşılmıştır. Sayılan uygulamaların gerek mevzuat gerekse de şirket tarafından
çıkarılan yönergeleriyle bağdaşmadığı açıktır. Şirket yönetimi ve sorumlu olan personel şirket
menfaatleri doğrultusunda işlem tesis etmelidir.
ZARAR NEDENİYLE TAHSİL ET
Bu bağlamda şirket yeni yönetim Kurulunun şirket Genel Müdür Vekili ve Yardımcısı
ile araçların usule aykırı kullanılmasında ihmali olan İdari İşler Müdürü ve Araç Sevk
Birimindeki personelden söz konusu kullanımlar nedeniyle oluşan zararların tahsiliyle ilgili
gerekli süreci işletmesi gerekmektedir.
RAPORDAKİ DİĞER BULGULAR VE TESPİTLER ŞÖYLE.
BULGU 7: Alınmayan Danışmanlık Hizmet Ücretinin Ödenmesi.
Şirketin bir öğretim üyesinden danışmanlık hizmeti alımı sözleşmesi kapsamında
danışmanlık hizmeti satın aldığı, sonrasında danışmanlık hizmetini almasını gerektiren Şirket
faaliyetlerini Büyükşehir Belediyesine devretmesine ve herhangi bir hizmet almamasına
rağmen aylık ödemelere devam edildiği görülmüştür.
PEKÇOK GÜVENLİK AÇIĞI VAR
BULGU 10: Gerekli Tedbirlerin Alınmaması Nedeniyle Ticari Sır ve Kişisel
Verilerin Siber Saldırıya Uğraması ve Sonrasında Yapılması Gereken Bildirimlerin
Yapılmaması.
Gerekli güvenlik tedbirlerinin alınmaması nedeniyle ticari sırların ve kişisel verilerin
siber saldırılara uğraması sonucunda şirketin zarara uğraması neticesi yapılması gereken
bildirimin yapılmadığı ve tedbirlerin alınmadığı görülmüştür.
* Şirket tarafından 08.08.2022 tarihinde çıkarılan Şirket Ekipmanları Şifre Kullanım Prosedürünün “Şifre Koruma Standartları başlıklı” 5.3.4 nolu maddesi ile bütün personelin
kullanıcı şifrelerinin toplanmasının büyük bir veri güvenliği zaafiyeti oluşturduğu,
* Bilgi işlem sorumlusu tarafından aktarılan bilgiler çerçevesinde: Siber saldırı öncesi
erişim yetkili hesapların ve şifrelerin bulunduğu, dokümanların fiziksel ve dijital olarak
yönetim ile paylaşıldığı, paylaşılan kişi ve tüzel kişilerin ise Yönetim Kurulu Başkanı, Genel
Müdür Yardımcısı, İdari İşler Müdürü, Bilgi İşlem Sorumlusu, Bilgi İşlem Destek Uzmanı,
…Teknoloji Bilişim Çözümleri Ltd. Şti. ve gizlilik sözleşmesi yapılmayan … Bilgisayar AŞ
şirketlerinden oluştuğu,
* 2022 yılında bir firma tarafından, 2024 yılı başında ise İzmir Büyükşehir Belediyesi
tarafından yapılan sızma testleri sonucu raporlanan zaafiyetler ve alınması gereken önlemlerin
Şirket yönetimine bildirilmesine rağmen şirket yönetimi tarafından herhangi bir iyileştirme ve
tedbirin alınmadığı,
* Yönetim Kurulunun 24.09.2021 tarih ve 83 numaralı kararı ile Kişisel Verilerin
Korunması Kanunu kapsamında “Veri Sorumlusu İrtibat Kişisi” olarak şirket Avukatının
belirlendiği, verilen yetki çerçevesinde Avukat tarafından “Veri Sorumlusu” olarak Şirket
Tüzel Kişiliğinin belirlendiği,
* Ayrıca Şirket yetkilileri tarafından sunulan bilgiler kapsamında; şirket verileri
saldırıya uğramadan önce bilgi işlemle ilgisi olmayan personellerin sistem odasına giriş
yetkileri ve kartlarının bulunduğu, E-posta erişiminde herhangi bir bölgesel kısıtlama
bulunmadığı, yetki değişikliklerinin kayıt altına alınmadığı ve görev tanımı değişen personelin
eski görevine ait verilere erişebildiği gibi pek çok güvenlik açığının olduğu,
anlaşılmıştır.
ŞİRKET ÜZERİNDEN ANKET YAPILMIŞ
BULGU 17: Şirket Faaliyetleri ile İlgisi Olmayan Giderlerin Yapılması.
Şirketin ticari faaliyetleri ile ilgisi olmayan giderler yapılarak şirketin zarara uğratıldığı
görülmüştür. Şirketin ticari faaliyeti ile ilgisiz olduğu tespit edilen iki işin teknik şartnamesinde
işlerin konusu ve kapsamı şu şekildedir: “İzmir Büyükşehir Belediyesi İzenerji AŞ hizmet
performans araştırması faaliyet alanlarında tanınırlığı, hizmet kalitesini kamuoyu araştırması
ile ölçmek ve şirketin operasyonlarının iyileştirilmesi için veri temelli stratejik danışmanlık işi
adı altında “2500 kişi ile yüz yüze anket yapılması ve sonuç değerlendirme Raporu” alınması
işi kapsamında KDV dahil 600.000,00 TL ile 19-28 Nisan 2024 tarihleri arasında gerçekleştirilecek olan İzkitap Fest’de İzenerji AŞ’ye ayrılan 200 m2 tanıtım alanının imalat,
nakliye, montaj, tefriş, demontaj ve teknik destek hizmet alım işi kapsamında KDV dahil
600.000,00 TL tutarında harcamalar şirket bütçesinden ödenmiştir.
