Yazılar

Değişimi yönetmek zordur. Ancak daha zor olan, insanları değişimin gerekliliğine inandırabilmek, ikna edebilmektir. İç kontrol çalışmaları da hem kurumsal hem zihinsel bir değişim süreci gerektirir.

  • Çok yoğunuz, kendi işlerimizi bile yetiştiremiyoruz.
  • Bu sistem bize uygun değil.
  • Yeterli sayıda elemanımız yok.
  • Bizim işimiz farklı, böyle idari işler bize göre değil.
  • Daha önemli işlerimiz var.
  • Biz zaten işimizi yapıyoruz.

Kurumlarla yaptığımız ilk görüşmelerde, en sık karşılaştığımız cümleler, genellikle bu cümleler oluyor. Ön yargıları aşabildiğimizde ise çok hızlı ve doğru yol alabiliyoruz.


İç kontrolün bu temel sorununu çözebilmek için ihtiyacımız olan; aslında çok sık kullandığımız ‘‘Farkındalık yaratma’’ kavramı. Farkındalık yaratmak konusuna nasıl ve nereden başlamamız gerektiğini bilirsek, kurumsal ve zihinsel değişim sürecini yönetebilme başarımız artıyor.

 

Hepimiz durgun suya atılan bir taşın oluşturduğu halkaları gözlemlemişizdir. Durgun suya bir taş atıldığında oluşan titreşimle, önce küçük halkalar oluşur ve bu küçük halkaları, giderek büyüyen halkalar takip eder. Halkalar, taşı atanın yöntemi, taşın büyüklüğü ve ağırlığı ile orantılı olarak yaygınlaşır. Bu durumda, taşı kimin atacağı ve hangi taşların, nasıl atılacağı en önemli faktör olur.

İç kontrol çalışmalarında da ihtiyacımız olan, farkındalığı yüksek bir ekip, bu ekibin kullanabileceği doğru araçlar, neticede de elde edilecek halkalar halinde kuruma yayılan iç kontrol farkındalık ve kabullenme süreci. Doğru bir organizasyon tasarımı ile doğru yöntem ve araçların kullanımı, kurumların iç kontrol sistemi oluşturma konusunda yaşadıkları sorunları çözebilmektedir.

İç Kontrol ve Risk Yönetimine ilişkin olarak kurumsal alt yapının oluşturulması çalışmaları, özetle; kurum ve birim teşkilat şemalarının oluşturulması/revize edilmesi, görev tanımlarının oluşturulması (birim ve görev bazlı) /revize edilmesi, iç kontrol ve risk yönetimi politika belgesinin hazırlanması, süreç haritalarının hazırlanması (süreç hiyerarşisinin oluşturulması, süreç bağlantılarının tespiti, iş akışların hazırlanması), süreç bazlı risk analizinin yapılması (faaliyet risklerinin tespiti), stratejik risklerin analizi, risk yönetimi eylem planları ile iç kontrol eylem planının hazırlanması aşamalarından oluşmaktadır.

İç Kontrol ve Risk Yönetimi Sistemi alt yapısının oluşturulması çalışmasını, doğru bir ekip çalışması ile ortalama 12 ile 18 ay gibi süre içinde tamamlamak mümkündür.

İç Kontrol Ekibi Nasıl Organize Edilmeli?

Çekirdek Ekip;

Kurum içerisine en az beş kişiden oluşan profesyonel bir iç kontrol ekibi oluşturulmalıdır. Bu ekip, iç kontrol çalışmalarının en önemli unsuru olacaktır. Bu nedenle ekibin;

  • Ekip çalışmasına yatkın, iletişim ve raporlama becerileri yüksek,
  • İç kontrol ile ilgili üst seviyede teknik bilgi ve uygulama bilgisine sahip,
  • Kurumu iyi tanıyan, kişilerden oluşturulması önemlidir.

Ekip içerisinde mümkünse kurumun faaliyet alanına uygun şekilde seçilecek farklı yetkinliklere sahip kişilerin yer alması yararlı olacaktır  - Akademik personel, mühendis, doktor, iky uzmanı, avukat, mali işler ve satınalma konularında uzman kişiler vb.-. Bilindiği gibi iç kontrol, kurumun mali ve mali olmayan tüm faaliyetlerini kapsayan sistemsel bir yapıdır. Tüm faaliyetlere uygun bir sistem tasarımı için farklı bakış açıları ve yetkinliklerden yararlanılması doğru ve işleyen bir sistem tasarımı için son derece faydalı olacaktır.

Destek Ekip;

İç kontrol tek bir kişi ya da birim tarafından yapılabilecek bir iş değildir. Her birimin üst yönetime güvence verecek, kurumsal politika ve prosedürlere uygun bir iç kontrol sistemine sahip olması gerekmektedir. Bu sebeple çekirdek ekibe destek sağlayacak, daha büyük bir ekip, her bir birimden 1-3 kişiden oluşan çalışanlardan oluşacaktır. Destek ekibi oluşturan çalışanların seçiminde şu hususlara dikkat etmek önemlidir:

 

  • Seçilen kişilerden en az birinin, yönetim kademesinden ( şube müdürü seviyesinde) olması
  • Daha önce iç kontrol eğitimi almış ve iç kontrol uygulamalarında bulunmuş olması
  • Biriminin görev, yetki ve faaliyetleri konusunda yeterli bilgiye sahip olması
  • Ekip çalışmasına yatkın, iletişim ve raporlama becerilerinin kuvvetli olması


Ekiplerin Eğitimi

Çekirdek ekipte yer alan kişiler mutlaka iç kontrol konusunda profesyonel bir eğitim ile birlikte eğiticinin eğitimi benzeri bir eğitim de almış olmalıdırlar. Çünkü kurumda iç kontrol çalışmaları için doğru taşları atacak, mümkün olan en büyük ve fazla sayıda halkayı oluşturabilecek kişiler bu ekibin üyeleridir. Ekip üyelerinin her birinin, iç kontrol konusunda eğitim verebilecek yetkinliğe sahip olmaları gerekmektedir.

Destek ekip, yine profesyonel bir eğitim alabileceği gibi, çekirdek ekip üyeleri tarafından da eğitilebilecektir. Destek ekibin de kendi birimlerinde, iç kontrol konusundaki çalışmaları doğru şekilde anlatabilecek; birim yöneticisi, çekirdek ekip ve birim personeli arasındaki koordinasyonu sağlayabilecek bilgi ve yeteneğe sahip olması önemlidir. Destek ekip, taşa en yakın küçük ve güçlü halkalardır, ne kadar kuvvetli olursa, çalışmanın yayılma hızı o kadar kuvvetli olacaktır.

Kurumun tüm personeli, çalışmanın bir parçasıdır. Bu kişilerin çalışmanın çeşitli aşamalarında, katılımlarını sağlayacak yeterli bilgi ile beslenmeleri, sistem oluşturulması kısmı için yeterli olacaktır. Sistemin uygulanması aşamasında düzenli olarak gerçekleştirilecek farkındalık çalışmaları ile tüm kurum personelinin yetiştirilmesi sağlanacaktır. Ancak ilk aşamada sistemin oluşturulması ve çıktı üretilmesi önemlidir. Çıktı üretebilen, katma değer sağlayan bir sisteme çalışanları inandırmanız daha kolay olacaktır.

Yöntem ve Araçların Seçimi

İç kontrol konusunda iyi yetişmiş ve doğru eğitimler ile donatılmış bir ekip, kuruma en uygun, iç kontrol sistemi tasarım yönteminin seçimi konusunda da doğru bir karar verebilecektir. Bu aşamada çekirdek ekip tarafından yapılacak çalışmada; yurtiçinde ve yurtdışındaki iyi uygulama örnekleri ile benzer kurumlarda yapılan çalışmaların araştırılması, mümkünse yerinde incelenmesi, çalışmalarda yaşanan zorluklar, sistemin güçlü ve zayıf yönleri hakkında bilgi edinilmesi, yöntem tasarımı açısından faydalı olacaktır. Kurumda daha önce iç kontrol ile ilgili yapılan çalışmalar da incelenerek; ne derece başarılı olduğu, güçlendirilmesi gereken alanların neler olduğu, başarısız olan çalışmaların neden başarısız olduğu gibi açılardan analiz edilmesi ve değerlendirilmesi ile iç kontrol sisteminin tasarımı için uygun bir yöntem tespit edilmelidir.

Seçilen yönteme uygun olarak, yöntemin anlaşılmasını sağlamak için kullanılacak rehber dokümanlar da (sunumlar, rehberler, broşürle, çalışma takvimi) tespit edilip, hazırlanmalıdır. Ayrıca, eğitim ihtiyacı ile teknolojik ve fiziki ihtiyaçlar (toplantı salonu, bilgisayar, projeksiyon, otomasyon sistemi vb.) tespit ve temin edilmelidir.

Ekip Çalışmasının Organizasyonu

Çekirdek ekip, çalışma yöntemini belirleyecek, çalışmaların danışmanlık, eğitim, koordinasyon ve kontrol sürecini üstelenecek ekiptir. Bu ekip üyelerinin, mesailerinin tamamını (en az %80 ini) iç kontrol projesine ayırmaları gerekmektedir. Çekirdek ekip üyeleri arasında birimler ya da süreçler bazında bir görev dağılımı yapılmalıdır. Her bir ekip üyesinin rolü ve sorumluluk alanı açıkça tanımlanmalıdır.

Çekirdek ekip, öncelikle destek ekibe proje yönetim planının her aşaması hakkında detaylı bir eğitim vermeli, destek ekibin iç kontrol ve risk yönetimi konusundaki bilgi ihtiyacını karşılamalıdır. Eğimler sonunda, her bir ekip üyesi (çekirdek ekip ve destek ekip) teknik ve yöntemsel açıdan aynı dili konuşabiliyor olmalıdır.

Yukarıda bahsedilen ve proje yönteminde belirlenen her bir aşama için (teşkilat şemaları, görev tanımları, süreçler, iş akış şemaları, risk analizleri, risk yönetimi planı vb.) çekirdek ekip tarafından, her birimde bir adet pilot çalışma gerçekleştirilmelidir. Bu pilot çalışmalara birimlerin tüm personelinin katılımının sağlanması, başarı oranını artıracaktır. Pilot çalışmada, projenin amacı, yöntemi, çalışma planı ve takvimi, rehber dokümanların kullanımı hakkında bilgi verildikten sonra, uygulamalı çalışmalar gerçekleştirilmelidir.

Pilot çalışmalar sonrasında, her birim, kendi sorumluluğundaki çalışmaları, destek ekibin birim üyeleri gözetiminde tamamlamalıdır. Yapılan her çalışmaya mutlaka ilgili birim personelinin katılımı sağlanmaya çalışılmalıdır. İlgili birim personeli ile destek ekip üyesi personelin birlikte yürüteceği çalışmalar; hem kurum içi sahiplenmeyi kolaylaştıracak hem de her personeli uygulama aşamasına hazırlayan eğitim ve farkındalık sürecini de başlatacaktır. Ayrıca, şüphesiz, ilgili konu hakkında bilgi ve tecrübe sahibi uygulayıcıların katkısı ile hazırlanan çıktılar en doğru ve işe yarar çıktılar olacaktır.

Birimlerce yapılan tüm çalışmalar, destek ekip üyelerince gözden geçirildikten sonra, çekirdek ekip üyelerine iletilmelidir. Çekirdek ekip üyeleri, yapılan çalışmaları, iç kontrol standartlarına, mevzuata, kurumsal politikalara ve prosedürlere, çalışma yöntemine vb. uygunluk açısından değerlendirerek, nihai halini vereceklerdir.

Kontrol edilen tüm çalışmalar nihai hali verildikten sonra, yetkili kurul ve komisyonlar ile Üst Yönetimin onayına sunulacaktır. Onay mercileri, çalışma başında çekirdek ekip tarafından hazırlanan İç Kontrol ve Risk Yönetimi Politika Belgesinde yer alıyor olmalıdır.

Çalışma neticesinde asgari olarak, aşağıdaki rapor ve dokümanlar oluşmuş olmalıdır:

  • Teşkilat Şemaları
  • Birim Görev Tanımları (Çalışma Usul ve Esasları)
  • Bireysel Görev Tanımları
  • Hassas Görev Envanteri ve Prosedürleri
  • Görev-Yetki Devri Listesi
  • Süreç Haritası
  • İş Akış Şemaları
  • Risk Tanımları
  • Risk Seviye Tanımları (Doğal ve Kalıntı Risk)
  • Kontrol Faaliyeti Tanımları
  • Risk Kontrol Matrisleri
  • Süreç Risk Yönetimi Eylem Planı
  • Stratejik Risk Yönetimi Eylem Planı
  • İç Kontrol Eylem Planı
  • İç Kontrol ve Risk Yönetimi Yönergesi
    • Görev, yetki ve sorumluluklar
    • Raporlama ve iletişim yöntemi
    • İzleme yöntemi

Yukarıda sıralanan çalışma çıktıları, kurumunuz için uygulama aşamasına geçebilecek bir kurumsal alt yapıyı sağlayacaktır. Çıktıların oluşmasını sağlayacak tüm aşamaların doğru bir ekip çalışması ile gerçekleştirilmesi çalışmanın her aşamasını güvence altına alacaktır. Çekirdek ekip ve destek ekip üyeleri, bizzat yürüttükleri koordinasyon, tasarım ve danışmanlık görevleri ile iç kontrol ve risk yönetimi konusunda muazzam bir yetkinliğe sahip olacaklardır. Yaklaşık 40-60 kişiden oluşan bu ekip, uygulama aşamasında da izleme, değerlendirme ve güncelleme rolünü üstlenerek, halkaların büyüyerek yayılmasını sağlayacaklardır.

Rolünü doğru anlamış, benimsemiş, profesyonel ekiplerden oluşan bir çalışma ile başarılamayacak hiçbir iş yoktur. İç kontrol, doğru anlaşılıp, doğru tasarlandığında, yazının en başında yer alan ön yargılar ortadan kaldırılabilecek, aslında birer kurumsal probleme işaret eden; yeterli elemanımız yok, işimiz çok, hiç vaktimiz yok gibi sorunlara da sistem içerisinde çözümler üretilebilecektir.

 

Geçtiğimiz günlerde sağlık sektörü ile ilgili ‘‘Kartonla yelpazeli ameliyat’’ başlığı ile servis edilen bir haber okuduk. Olay, haber metninden anlaşıldığı kadarıyla şöyle gerçekleşiyor;

Hastane ameliyathanesinde iklimlendirme ve havalandırma sisteminde bir arıza meydana geliyor. Başka bir hastaneden, kullanılmayan klimaların hastane ameliyathanesine getirilmesi konusunda girişimde bulunuluyor. Hastanede bulunan dört ameliyathane için de geçerli bu durum. Hastanede acil durumlar dışındaki tüm ameliyatlar erteleniyor, bu havalandırma sorunu nedeniyle. Acil olarak gerçekleştirilmesi gereken bir ameliyat için ise karton bir malzeme, havalandırma sistemi yerine, yelpaze olarak kullanılıyor,. Olaydan bir ay kadar sonra söz konusu ameliyat sırasında çekilmiş olan görüntüler basına servis ediliyor.

Olayın basına yansımasının akabinde bir üst düzey yönetici tarafından söyle bir açıklama yapılıyor;

‘‘Görüntüler, 1 ay önce acil bir ameliyatta alınmış. Ameliyatı yapan hekim arkadaşımız arkası dönükken birisi yelleme yapıyor. Birileri de görüntü çekiyor. Muhtemelen bu planlanmış birşey de olabilir. Şu an klimanın montajı bitti. Yarından sonra ameliyathane normal çalışmaya başlayacak. Art niyet zaten orada. O eski görüntüler kurgulanmış. Bir komplo ile karşı karşıyayız. Gerekli soruşturmayı başlattık. Bu olaya karışanlar hakkında Cumhuriyet Savcılığına suç duyurusunda bulunacağız. Çünkü şehirde daha havalar ısınmış değil, yelpaze yapılacak kadar içeriler sıcak değil. Zaten önümüzdeki Ekim ayında hastane yeni hizmet binasına taşınacak. Bu nedenle yeni bir klima yerine Diyadin'le sorunu çözmek istedik."

Maalesef bu gibi bir durumla ilk defa karşılaşmıyoruz. Benzer durumlar, kurum ya da sektör ayırt etmeksizin çok sık gerçekleşiyor. Olayın birçok boyutu var ama durumu yönetim bilimi perspektifinden değerlendirip, başa sarma imkanımız olsa tabloyu şu şekilde değiştirebilirdik belki;

‘‘Ameliyathane prosedürleri tanımlıdır. Ameliyathanelerde kullanılması zorunlu makine, teçhizat ve ekipman tanımlanmış ve önceliklendirilmiştir. Acil kodlu ekipmanların yedekleri bulundurulmaktadır. Ameliyathanelerden birinde oluşabilecek bir sorun durumda yapılması gerekenler açıkça tanımlanmıştır. Hastane genelinde kullanılan tüm makine ve teçhizatın bakım onarım prosedürleri belirlenmiştir. Hepsinin kullanım ömürleri takip edilmektedir. Makine ve teçhizatın bakım onarımı düzenli olarak gerçekleştirilmektedir. Ameliyathane ısısına ilişkin kriterler tanımlanmış ve ısı ölçümü kullanım süresince düzenli olarak yapılmakta ve kayıt altına alınmaktadır. Ameliyathanede uyulması gereken kurallar belirlenmiştir. Kayıt cihazlarının hiçbir şekilde ameliyathaneye alınmaması konusunda gerekli kontroller sağlanmaktadır.’’

Meselenin özünde bir iç kontrol zaafiyeti olduğunu tahmin etmek çok zor değil. Operasyonel süreçlerde bir risk gerçekleşmiş ve neticede itibar kayıplarına sebep olan bir riske dönüşmüş.

‘‘İç kontrol ne için ve ne zaman lazım?’’ Sorusunun cevabı da tam burada; ‘‘İç kontrol, risk gerçekleşmeden önce, riskin krize dönüşmemesi için lazım.’’  

İç Kontrol ve Risk Yönetimi Sistemi, kurum, kurum çalışanları ve paydaşları için güvence sağlayan bir sistemdir. Kurumda etkin işleyen bir iç kontrol ve risk yönetimi sisteminin varlığı; faaliyetlerin sürekliliği için vazgeçilemez bir gerekliliktir. İç kontrolü sadece idari ya da mali bir faaliyet olarak görmek, sistemden sağlanacak faydanın kaçırılmasına neden olmakta, önemsiz gibi görünen kurumsal sorunlar, sistemsel zafiyetlere ve önemli kayıplara dönüşebilmektedir.


İç kontrol ve risk yönetimi sistemini birkaç gün ya da birkaç ay içinde kurabilmek mümkün değildir. Bu sistemlerin kurumda var olabilmesi ve kurum kültürü içine yerleşmesi yaklaşık 2 ila 5 yıl alır. Ancak doğru yerden başlanırsa çok kısa sürede kuruma fayda sağlayacak araçlar olarak etki göstermeye başlayabilirler.

 

Riskleri yönetmenin temel fonksiyonu, bir işi ilk seferde doğru ve tam yapabilmek, hata ortaya çıkmadan önlem alabilmektir. Bu bakış açısıyla süreç temelli risk yönetimi uygulamaları kurumun en kısa sürede fayda sağlayacağı uygulamalardır. Kurumun tüm süreçlerinin tanımlanması, faaliyetlerin nasıl yürütülmesi gerektiği ile ilgili kurum çalışanlarına rehberlik sağlar. Hatalı ya da eksik uygulamalar önlenerek, teamülen gerçekleştirilen uygulamalar yerine mevzuata uygun, verimli ve etkin şekilde tanımlanan süreçlerle faaliyetlerin işleyişi düzenlenmiş olur. Faaliyetlerin hangi aşamalarda kontrol edilmesi gerektiği belirlenir. Faaliyetler üzerinde süreç kontrolüne imkan verecek yol haritaları hazırlanmış olur. Süreçler üzerinde belirlenecek riskli alanlar ile her bir işlem adımında dikkat edilmesi gereken kritik hususlar tespit edilir. Her bir riskli işlem adımına ilişkin kontrol prosedürleri belirlenir. Riskin gerçekleşmesi halinde kurumun uğrayacağı zarar kontrol yöntemleri ile önlenebilir. Bu çalışma ile iç kontrol sisteminin, kontrol ortamı bileşenine ilişkin süreç prosedürlerinin belirlenmesi ihtiyacı ile birlikte risk değerlendirme ve kontrol faaliyetleri bileşenlerinin ilgili gereklilikleri operasyonel düzeyde tamamlanmış olur. Söz konusu faaliyetlerin düzenli olarak izlenmesi, kontrollerin uygulanıp uygulanmadığının takibi iç kontrolün izleme ve değerlendirme bileşeni için de bir güvence oluşturur.

 

Atul Gawande, Checklist Manifesto isimli kitabında sağlık sektöründe kontrol listelerinin ne kadar değerli olduğunu anlatmıştır. Kontrol listelerini, ‘‘İş yapmanın basit bilimi’’ olarak tanımlamış, kontrol listelerinin her gün yüzlerce hastanın hayatta kalmasına nasıl katkı sağladığını rakamlarla ortaya koymuştur. Kitapta aktarılan örneklerden biri şöyledir;

2001 yılında bir hastanede kontrol listeleri denenmeye karar verilir. Basit bir kağıda, kataterleri takarken kişilerin uygulaması gereken işlemler en basit şekilde, beş adımda sıralanır. Bu adımların, tanımlanan şekilde gerçekleştirilmemesi sonucu ortaya çıkacak risk hastada katater enfeksiyonunun gerçekleşmesidir. Hemşirelerden biri tanımlanan bu sürece uyulup uyulmadığını kontrol etmek için görevlendirilir.  Doktorlar hastaların üçte birinden fazlasında en az bir adımı atlarlar. Ardından, hemşireler doktorları hiçbir adımı atlamamaları konusunda uyarmakla yetkilendirilirler. Hatta bir sonraki aşamada hemşireler duruma direk müdahale etmek için yönetimin desteğini alırlar. 1 yıl sonra ortaya çıkan sonuç şaşırtıcıdır; 10 günlük katater enfeksiyonalarının oranı %11 den 0’a düşer.  Sadece o hastanede bu basit gibi görünen uygulama ile 15 ayda 43 enfeksiyon ve 8 ölümün önlendiği ve iki milyon dolarlık tasarruf sağlandığı kayıt altına alınır.

İç kontrol ve risk yönetimi sisteminden sağlanabilecek fayda için basit ama çarpıcı bir örnektir. Söz konusu basit uygulama kapsamında; mesleki etiğe uygun olmayan davranışlar takip edilir ve önlenir, süreç prosedürleri tanımlanır, kaynaklar korunur, risk gerçekleşmeden önce önlem alınır, hatalar azaltılır, faaliyetlerin etkinliği artırılır, gözetim faaliyetleri yürütülür, üst yönetimin desteği sağlanır, izleme ve raporlama faaliyetleri işletilir…

Tüm işlerde, en deneyimli personel bile belirli önlemlerin önemini kavramakta sıklıkla gaflete düşer. Her gün yaptığı iş rutininde bile bazı işlem adımlarını atlar ya da olması gerektiği gibi yapmaz. Faaliyetin beklenildiği şekilde gerçekleşmesi için gerekli kontrolleri uygulamaz. Bu durum kimi zaman, fark edilemeyecek ölçekte bir hata olarak kalırken, kimi zaman birbirini tetikleyerek büyüyen hatalar meydana getirir. Hangi ihmalin neye sebep olacağını kestirmek her zaman mümkün değildir. İşte bu sebeple işlerin doğru şekilde yürüdüğünü güvence altına alabilecek sistemlere ihtiyaç duyulur. İç kontrol ve risk yönetimi sistemi, bu güvenceyi kuruma sağlayabilecek en güçlü araçtır.

‘‘İç kontrol ne için ve ne zaman lazım?’’ sorusuna geri dönecek olursak; iç kontrol ve risk yönetimi sistemi, kurumda çalışan personelin görevini yerine getirirken, bir sistem içinde ve güvence altında çalışabilmesi için lazım, kurumdan hizmet alan kişilerin hizmet sunumunu güvence altına alabilmesi için lazım ama en çok yönetmesi, hatta haberdar olması bile mümkün olmayan operasyonel bir hatanın büyük bir krize dönüşmesi durumunu göğüslemek ve kamuoyuna açıklama yapmak zorunda kalacak olan yöneticiler için lazım, hem de hemen.