Bir Üniversitede, Basit Bir Kontrol Açığının Skandala Dönüşme Hikayesi

Ülkemizin prestijli üniversitelerinden birinin en üst yöneticisisiniz. Bir sabah ofisinize geliyorsunuz ve şöyle bir mektupla karşılaşıyorsunuz:

"Sayın Rektörüm,

Hukuk Fakültesi\'nde bazı arkadaşların notları düşük olmasına rağmen, AKSİS (Öğrenci Otomasyon Akademik Kayıt Sistemi) üzerinden, bazı kişiler tarafından değiştirilerek geçer nota yükseltildi.’’

İhbar mektubunun ardından, Fakülte Dekanlığı\' na derhal inceleme başlatılması talimatı veriyorsunuz. İhbarın gerçek olduğu ortaya çıkıyor; işlemler Hukuk Fakültesi öğrenci bürosundan gerçekleştirilmiş… Personelinizden S.Ö ve M.T.’ nin, o sırada izinde olan başka bir iş arkadaşlarının, yani başka bir personelinizin, şifresini kullanarak, aslında işlerin daha iyi yürütülmesi için uygulamaya alınan ve belki de son derece güvenli olduğunu düşündüğünüz öğrenci otomasyonu üzerinden, 8 öğrencinizin notlarını değiştirdiği tespit ediliyor.

İki personeliniz; sistemdeki verileri bozma, yok etme ve hukuka aykırı şekilde kazanç sağlama suçlarından cezalandırılması istemiyle Asliye Ceza Mahkemesine sevk ediliyor…

Yukarıdaki hikayeyi, ‘’skandal’’ başlığı altında yayınlanan bir haber olarak, üzülerek okuduk.

Etik dışı davranış, görevler ayrılığının uygulanmaması, uygun olmayan erişim yetkilendirmeleri, ihbar ve bildirim mekanizması boşluğu... Durum her yönü ile tam bir ‘’İç Kontrol’’ vakası.

Odadaki fil hikayesini duymuşunuzdur. Birçok operasyonel kontrol açığı da tıpkı o fil gibi kurumlarımızın içinde dolaşmakta, ancak kimse gördüm dememektedir. Büyük bir sorun çıkmadığı sürece de tehditlerle bir arada çalışılmaya devam edilmektedir.

Personel, iç kontrol sisteminde en önemli unsurdur.  Kontrol yaklaşımları büyük ölçüde insanların yetkinlik ve güvenilirlik seviyelerine dayandırılmaktadır. Çalışanlar yetkin ve güvenilir olduğunda, kontrol alanlarındaki diğer zayıflıkların üstesinden gelebilirler. Organizasyonlar, çalışanlarına büyük bir güven duyarak, genellikle ayrıntılı kontrol prosedürleri geliştirmeye ihtiyaç duymazlar. Ancak, en yetkin ve güvenilir çalışanlar bile tek başına yeterli bir iç kontrol sistemi oluşturmak için yetersizdir. En güvendiğiniz çalışanlarınız bile zaman içinde; bıkkın ve memnuniyetsiz hale gelebilir veya kendi işlerine ve işverenlerine ilişkin perspektiflerini değiştirebilirler. Bu nedenle, mutlaka güvene değil sisteme dayalı kontrol mekanizmaları oluşturulmalıdır. Kaldıki; kurumsal kültür içinde etik değerlerin bir bütün olarak yerleştirilmiş olması, etik ilkelerin tüm personel tarafından benimsendiğine ve uygulandığına inanılması son derece ütopiktir. Hele de etik davranışlar konusunda yeterli yönlendiricileriniz ve etkili araçlarınız bulunmuyorsa.

Olayda, iki kurum personeli etik dışı bir davranış sergileyerek, izindeki bir arkadaşlarının şifresini kullanmış ve muhtemelen maddi ya da manevi bir çıkar ilişkisi içinde 8 öğrencinin notları üzerinde değişiklik yapmışlar. Etik ihlallerinin her zaman gerçekleşebileceğinin peşinen kabulünden az önce bahsettik. Peki; bu iki personel, arkadaşlarının şifresini nasıl bilebilir? İzindeki personelin şifresi nasıl aktif durumda olabilir? Daha önce sisteme girişi yapılmış, ilan edilmiş notlar tek bir personelin kullanıcı adı ve şifresi ile nasıl değiştirilebilir?

Artırabileceğimiz bu sorular, Öğrenci Değerlendirme Sürecinin riskleridir aslında ve soruların cevapları risklere karşı alınması gereken kontrolleri basit bir şekilde bize verir. Tabi ki; operasyonel seviyede risk analizlerimizi gerçekleştirmiş, risklerimizi tespit etmiş ve gerekli kontrolleri tasarlamışsak.

Maalesef, iç kontrol sistemindeki boşlukları, pimi çekilmiş birer bomba gibi kurumlar ve yöneticileri sürekli olarak kucaklarında taşımaktalar. Aslında, çok basit çözümlerle yönetilebilecek sorunların birçoğu elimizdeki kaynakları doğru kullanamadığımız için büyük skandallara dönüşebiliyor.

Bilgisayarlı iş uygulamaları, gün geçtikçe artan hızda iş hayatının ayrılmaz bir parçası haline gelirken, insan kaynaklı kontrol boşluklarını dolduran bilgi sistemleri, yeni riskleri de beraberinde getiriyor. Manuel sistemlerde görevler ayrılığı büyük ölçüde bir kontrol mekanizması olarak kullanılmakla birlikte, bilgisayarlı sistemlerde bu kontrolün çok sık atlandığı görülmektedir. Hem manuel hem otomasyona dayalı iş uygulamalarında görevler ayrılığı mekanizması önemli bir kontroldür. Görevler ayrılığı, en basit şekilde, bir iş sürecinin, tek bir kişi tarafından başlanıp sürdürülmesi ve tamamlanmasının engellenmesi olarak tarif edilebilir. Her bir iş süreci içinde mutlak suretle veri girişi, kontrolü ve onaylanması aşamalarının bulunması ve bu aşamalarının ayrı kişilerce yürütülmesi gerekir. İş akış şeması hazırlamanın, iç kontrol açısından en temel fonksiyonlarından biri görevler ayrılığı mekanizmasını görsel olarak ortaya koyabilmek suretiyle gözden geçirmek ve gerekli durumda kontrol edilebilir olarak süreci yeniden tasarlamaktır. İç kontrol çalışmaları kapsamında hazırlanan iş akış şemalarında mutlaka bu hususa dikkat edilmelidir. Sadece manuel işlemler için değil otomasyon üzerinden yürütülen işlemler için de iş süreçleri tanımlanmalıdır. Birer prosedür olarak görülen ve hazırı varsa internet üzerinden alınarak kullanılan iş akış şemaları iç kontrol sisteminin güvenilirliği açısından anlamsız kalmaktadır. Hali hazırda kurumlarda bulunan bu aracın, risk ve kontrol bakış açısı ile revize edilmesi ve iç kontrol sistemi açısından hızlı bir şekilde işlevsel hale getirilmesi kurumlar için önemli bir kazanım olacaktır.

Bilgisayarlı iş sistemleri üzerinde, yetkilendirme tasarımı ciddi bir konudur. Veriyi kimin gireceği, kimin onaylayacağı, kimin raporlayabileceği, kimlerin sisteme erişim yetkisi olacağı, kimlerin hangi bilgilere ulaşabileceği vb. üzerinde düşünülmesi gerekmektedir. Girilen verilerin hatalı olması, gizli bilgilerin dışarı sızması, veriler üzerinde gerçekleştirilecek ihlaller… yetki tasarımının hatalı yapılması sonucu sıkça karşılaşılan risklerdir.  Ayrıca otomasyon şifrelerinin, personelin bu konudaki farkındalığının düşük olması nedeniyle paylaşılması, şifrelerin başkası tarafından kolayca tahmin edilebilecek şekilde atanması ve personel tarafından bu şifrelerin değiştirilmeden kullanılmaya devam edilmesi, sistemin kolay tahmin edilebilir şifreler belirlenmesine izin vermesi gibi boşluklar da yine sık gördüğümüz riskler arasındadır. Diğer yandan sisteme erişim süreleri de doğru şekilde tasarlanmalıdır. Personelin kurum dışından sisteme erişim yetkisinin olup olmayacağı, mesai saatleri dışında sistemin kullanılıp, kullanılmayacağı da doğru değerlendirilmelidir. Birçok kurumda, kurumdan herhangi bir sebeple ayrılan personelin bile kurum içi sistemlere erişim yetkisinin kaldırılması atlanmaktadır. Örnekte olduğu gibi izine çıkan personelin izin süresi içinde sisteme erişim yetkisinin devam etmesi ise, kurumlarda çok da önemsenmeyen bir durumdur. Öncelikle, izne ayrılan personel, uygun şekilde görevini ve devam eden işlerini devretmelidir. Devrettiği işler üzerinde, izin süresince herhangi bir yetkisi kalmadığı için, bu süre içinde şifrelerini kullanmaya da ihtiyaç duymamalıdır. Bu uygulamanın atlandığı durumlarda gerçekleşen çok sayıda risk örneği bulunmaktadır.

İç kontrol sistemi, kuruma ve yöneticilerine güvence veren bir yönetim aracıdır. İyi tasarlanmış bir iç kontrol sistemine sahip kurumlarda yöneticiler, aslında kolayca yönetilebilir sorunlar için büyük hesaplar vermek zorunda kalmazlar. Hem yönetici hem de personel güven içinde çalışabilir. Bu açıdan, kurumlarda iç kontrol suistimalleri hiçbir şekilde kabul edilebilir olmadığı gibi, yetersiz tasarlanmış kontrol sistemleri de kabul edilebilir değildir. İç Kontrol ve Risk Yönetimi, tüm kurumlar için öncelikli olarak ele alınması gereken bir iştir.

Yazıya bir üniversite haberi ile başladık yine Üniversiteler özelinde iç kontrol açısıdan önemli bir konu ile bitirelim. Ancak, birden fazla yönetim aracını (kalite,ISO, six sigma, yalın yönetim vb.) bir arada kullanmaya çalışan kurumlar için de güzel bir örnek olduğunu belirtelim.

Son dönemde hemen hemen bütün üniversitelerin gündemine oturan Yükseköğretim Kalite Güvence Standartları da Üniversitelerin iç kontrol sistemlerini destekleyen önemli bir araçtır. Öğrenci Değerlendirme Sürecinin güvenilirliği, iç kontrol için bir çalışma alanı iken, aynı zamanda Yükseköğretim kalite standartları için de bir değerlendirme alanıdır. Bu süreçte, Üniversite yönetimlerinin bu iki araç arasındaki ilişkiyi doğru bir şekilde yönetmeleri ve kalite güvence standartlarını iç kontrol sistemi içerisinde tamamlayıcı bir araç olarak değerlendirmeleri çok önemlidir. Birçok üniversite, başlayacak değerlendirmelere ilişkin olarak, kalite konusunda danışmanlık ya da ön değerlendirme hizmetlerine başvurmakta. Bu konuda Üniversitelerimize, kalite standartlarına uymak için dokümantasyon yığınlarına boğulmaktan uzak durmalarını önemle tavsiye ediyoruz. Yükseköğretim kalite güvence standartlarının da amaçları, tıpkı iç kontrol sisteminin de olduğu gibi; ölçme değerlendirme sisteminizi güvence altına almaktır, destek süreçlerinizde meydana gelebilecek ihlalleri önlemektir, etik dışı davranışların önüne geçmektir, teknolojiye ilişkin risklerini görebilmek ve yönetebilmektir… Risklerinizi yönetemedikten ve kontrol sisteminizi tüm süreçlerinizin başarısını garanti edecek şekilde tasarlayamadıktan sonra üretilecek hiçbir dokümantasyon, iş kalitenizi artırmayacaktır.