ÖSYM son 2 senedir skandallar ile çalkalanıyor. Önce, 2010 senesi içinde KPSS sorularının çalınması sonrası ortaya çıkan kopya skandalı, ardından da 2011 senesi içindeki YGS sınavında şifreli soruların bulunduğu iddiası ve sınav kağıtlarının hatalı okunması nedeniyle yaşanan diğer skandallar gündeme damgasını vurdu. Türkiye’de milyonlarca aileyi olumsuz etkileyen bu olayların gerek ÖSYM kurumunun itibarına, gerekse de kurumun yöneticilerine son derece olumsuz etkileri oldu. Bilindiği üzere, 2010 senesi içinde yaşanan skandal sonrası, savcılık incelemeleri devam ederken Prof. Dr. Ünal Yarımağan istifa etti. 2011 senesi içinde yaşanan “şifreli soru” ve “cevap kağıtlarının yanlış okunması” olayları nedeniyle de Prof. Dr. Ali Demir’in istifası isteniyor. Vatandaş nazarında kuruma duyulan güven son derece azalmış durumda.
Bu sorunlara ilişkin soruşturmalar devam ediyor. KPSS sorularının çalınması ile ilgili henüz herhangi bir sonuç elde edilemedi. YGS’deki şifre skandalına ilişkin olarak yürütülen soruşturmada Savcılık suç unsuru bulunmadığını ve kovuşturmaya gerek olmadığı yönünde karar verdi. Ancak Başkan Ali Demir, YGS Koordinatörü ve diğer bazı Yetkililer hakkında “görevi ihmal” ve “görevin kötüye kullanılması” iddialarına ilişkin YÖK Başkanlığı’ndan soruşturma için izin talep edildi.
Peki tüm bu olayların ve yaşanan skandalların sorumlusu gerçekten de kurumun en üst düzeyindeki bu iki yönetici mi? ÖSYM’de yaşanan sorunların sebepleri neler? Bu tür sorunların önlenmesi, tekrar etmemesi için ne yapılması gerekiyor?
Dünyanın önde gelen “iç denetim & risk yönetimi danışmanlık şirketlerinden” Altran Control Solutions’ın Türkiye Direktörü ve Bahçeşehir Üniversitesi Denetim Programları Koordinatörü olan Dr. Bertan Kaya, ÖSYM’de 2010 yılından bu yana yaşananları değerlendirdi ve yukarıdaki soruları cevapladı:
Bu sorunlar ÖSYM Başkanlarının art niyet, ihmal veya yetersizliğinden mi kaynaklanıyor?
Konuyla ilgili yasal süreçler devam ediyor. Bu süreçler tamamlanmadan kesin bir yargıda bulunmak veya görüş belirtmek doğru olmaz. Elbette Kurumlarının en yetkili kişileri olarak her İki Başkan’ın da bu olaylara ilişkin en azından “dolaylı” sorumluluğu var. Ancak bu sorumluluk, olaylar ile “doğrudan” ilgileri olduğu anlamında da gelmiyor. Burada sorunların çok daha farklı bir mekanizmadan kaynaklandığını görüyoruz. Sorunlar, süreç yönetimi ve iç kontrol sistemindeki zafiyetlerden kaynaklanıyor. Kurumun en değerli varlığı olan “bilgi varlıklarının” dışarı sızdırılması, çalınması veya bu varlıkların üçüncü şahıslara fayda sağlar şekilde manipüle edilmesinde en büyük neden ÖSYM’nin etkili ve sağlıklı işleyen bir iç kontrol sistemine sahip olmaması. Buna benzer veya farklı nitelikteki örnekleri geçmişte diğer kamu idarelerinde de gördük, görmeye devam ediyoruz. İç kontrol sistemi doğru tesis edilmemiş ve iyi işlemeyen her kurum burada benzer risklerle, skandallarla karşı karşıya kalabilir. Özetle, sayın Yöneticilerin belki de en büyük hataları, ÖSYM bünyesinde böylesi etkin bir iç kontrol sistemi oluşturamamış olmalarıdır. Üstelik 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, ülkemizde bu kanun kapsamına giren tüm kamu idarelerinde iç kontrol sistemleri oluşturulmasını zorunlu kılmaktadır. 5018 sayılı Kanunun çıkış sebeplerinden bir tanesi de kamu idarelerinin daha şeffaf, güvenilir, hesap verebilir olmalarıdır. 5018 sayılı Kanun ile İdarelerinin, kamu kaynaklarını etkin, verimli ve ekonomik kullanmaları, varlıklarını daha iyi korumaları, raporlama ve mali yönetimlerinin daha iyi olması ve vatandaşa daha iyi hizmet vermeleri hedeflenmiştir. Buna rağmen ülkemizde kamu idareleri bu konunun gereğini henüz yerine getirememiştir. Bunun en önemli sebeplerinden bir tanesi de İdarelerin üst yöneticilerinin konuya yeterince önem vermiyor olmalarıdır. ÖSYM’de yaşanan tüm bu skandallar, yeterli ve etkin bir iç kontrol sistemi ile önlenebilirdi. Her iki idarecinin de bu anlamda başarılı olamadıklarını söyleyebiliriz. Yetersiz iç kontrol sistemi her iki İdareciyi de zor durumda bırakmıştır.
ÖSYM’de son 2 yıldır yaşanan sorunları biraz daha detaylı ele alabilirsek, sorunlar tam olarak nereden kaynaklandı? İç kontrol sistemleri hangi noktalarda işlevsiz kaldı?
2010 senesinde meydana gelen KPSS sorularının çalınması olayı, soruların güvenliğini sağlamaya yönelik süreçlerdeki iç kontrol aksaklıklarından kaynaklanmıştır. 2011 yılındaki, şifre skandalı, “soru hazırlık sürecinden”, sınav kağıtlarının hatalı okunması da “sınav sonuçları değerlendirme sürecindeki” iç kontrol zafiyetlerinden kaynaklanmıştır. İlgili süreçlerden sorumlu olan yöneticilerin, bu tür riskleri önceden öngörüp, bunlara yönelik tedbir almamış olmaları veya aldılar ise bu tedbirlerin yetersiz kalmış olması sorunun ana kaynağıdır. Örneğin, 2010 senesindeki soruların çalınması iddialarını ele alalım. Soruların güvenliğini sağlamaya yönelik olarak ÖSYM’nin mutlaka bazı uygulamaları vardır. Örneğin kapalı devre çalışma sistemi ile soruların dışarı çıkışı engellenmiş olabilir. Buna ek olarak soruların kilitli ve erişme kapalı ortamlarda saklanması, alarm sistemleri, soruları hazırlayan kişiler ile sözleşmeler imzalanması ve buna benzer pek çok iç kontrol tedbiri alınmış olduğunu, kurum yöneticilerinin açıklamalarından biliyoruz. Peki bu iç kontroller ne kadar etkin? Bunlar düzenli olarak denetlenmiş mi? Yetersiz kontrollerin yerine yeni kontroller eklenmiş mi? Kurum genelinde riskler proaktif bir yaklaşım ile yönetiliyor mu? Bir risk tespit edilir edilmez, vakit geçirilmeden o riske yönelik tedbir alınıyor mu? Bunları bilemiyoruz. İşte tüm bu konular kurumun etkin bir iç kontrol sistemine sahip olmasına bağlıdır. Düzenli olarak denetlenen ve yönetim tarafından gözetilen bir iç kontrol sisteminiz yok ise, bu tür sorunları yaşamanız kaçınılmazdır. Yani kurumun üst düzey yöneticisinin, iç kontrol sistemini bir öncelik olarak gündemine alması gerekiyor. Arkadaşlar nasıl olsa tedbir alıyordur diye varsayarak, konuyu hafife almak, bu tür skandalların yaşanmasına yol açıyor. Benzer şekilde soru hazırlama ve sınav sonuçlarının değerlendirilmesi süreçlerinde de risklerin proaktif olarak tespit edilip, gerekli önlemlerin alınmadığı görülüyor.
ÖSYM’de yaşanan olaylar önceden öngörülebilir miydi? İç kontrol mekanizması bunu nasıl sağlıyor?
Kesinlikle, önceden öngörülebilirdi. İç kontrol sisteminin ana fonksiyonu zaten risklerin erkenden tespiti ve önlenmesidir. İç kontrol sistemi, kontrol ortamının iyileştirilmesi ile başlıyor. Yani kurum yönetiminin risklere ilişkin farkındalık kazanması, personelin görev ve sorumluluklarının ayırtına varması, kurum içindeki hassas iş ve görevlerin tespit edilmesi ve kurum içi etik kuralların benimsenmesi ve tüm iş prosedürlerinin yazılı hale getirilmesi ile kontrol ortamı iyileştiriliyor. Bu tür ortamlarda, risklerin erken tespiti ve önlenmesi çok daha kolay hale geliyor. Bir sonraki aşama, risklerin tespit edilmesi ve kuruma verebilecekleri potansiyel zararların belirlenmesi. Risk gerçekleşirse; maddi, itibar veya yasal kayıplar yaşanabiliyor. Bunların net bir şekilde ortaya koyulması gerekiyor. Kurumu etkileyebilecek tüm risklerin açıkça belirlenmiş olması, bunlara yönelik tedbirlerin sorgulanmasını gerektiriyor. Risklerin tespiti sonrası sıra bunların yönetilmesine geliyor. Burada devreye iç kontroller giriyor. Mevcut kontroller değerlendiriliyor ve yeterli olup olmadıkları ortaya koyulur. Yetersiz iç kontroller, yenileri ile değiştirilirken, kontrol eksiklikleri olan alanlarda ilave iç kontrol tedbirleri alınıyor. Tahminimizce ÖSYM’de en büyük sıkıntı bu noktada yaşandı. Yani riskler tespit edilmiş olsa da, iç kontroller etkinlik ve yeterlilik açısından değerlendirme altına alınmadı. Bunu kim yapacaktı? Elbette ki kurum üst yönetimi ve diğer yöneticiler. Bir de denetim noktasında iç denetim mekanizmalarının büyük önemi var. İç denetimin yöneticiler tarafından aktif olarak çalıştırılması gerekiyor. Eğer iç denetim aktif değilse, bu tür kontrol zafiyetlerine yönelik yeterli tedbir alabilmek mümkün olmuyor. İç denetim, hem riskleri tespit eden, hem de bunlara yönelik iç kontrol tedbirlerini sorgulayan bir mekanizma olarak büyük önem taşıyor. ÖSYM’de iç denetim fonksiyonuna da gereken önemin verilmemiş olması muhtemel hatalardan bir tanesi olarak dikkat çekiyor.
İç kontrol Türkiye için oldukça yeni bir kavram. Ülkemizde ve dünyada durum nedir?
Dünyanın önde gelen tüm gelişmiş ülkelerinde iç kontrol sistemleri gerek kamuda gerekse de özel sektörde en çok önem verilen konulardan bir tanesidir. 1990’lı yılların ilk yarısından bu yana, bu ülkelerin hükümetleri ve büyük özel sektör şirketlerinin bünyelerinde iç kontrol sistemleri kurmak için büyük çaba gösterdiklerini görmekteyiz. Özellikle 2000’li yılların başında yaşanan Enron, WorldCom gibi skandallar sonrası konu daha da büyük önem kazandı. ABD ve dünyanın genelinde, SOX kanunu gibi bazı kanunlar yardımı ile yatırımcıların korunması yolunda çok önemli adımlar atıldı. Özellikle halka açık şirketlerde iç kontrol sistemleri oluşturmak ve bunların etkin işleyişini takip etmek zorunlu hale geldi. Özellikle iyi yönetişim ilkeleri çerçevesinde, bu ülkelerdeki kamu idareleri de bünyelerinde iç kontrol sistemleri oluşturdular. Bu ülkelerde hem kamuda, hem de özel sektörde iç denetim konusu ön plana çıktı. İç kontrol sistemlerinin vazgeçilmez bir unsuru olan ve iç kontrol sistemlerini denetleyen iç denetçiler, kurumlarının sağlıklı iç kontrol sistemleri oluşturmaları yönünde önemli katkılarda bulundular. İç kontrol konusunda bugün dünyada, özellikle de iş çevrelerinde gelinen nokta, iç kontrolün vazgeçilmezliğidir. Yöneticiler, iç kontrol sistemleri ile kendilerini güven altına almaktadırlar. İç kontrol, gerek kamu gerekse de özel sektör işletmelerinde suistimallerin önlenmesi, verimsizliklerin ortadan kaldırılması, yasa ve düzenlemelere uyum ile çıkar sahiplerinin haklarının korunması konularında en önemli mekanizma olarak kabul edilmektedir.
Avrupa Birliği’nde iç kontrol konusuna özel önem veriliyor. AB Mali Yönetim sisteminde iç kontrol konusu büyük önem taşımaktadır. AB’ye üye olan ve aday ülkelerin tamamında, kamu idarelerinde iç kontrol sistemleri oluşturulması zorunludur. Ülkemizde de Mali Fasıl müzakereleri sırasında gündeme alınmış olan iç kontrol konusu, 5018 sayılı Kanun içinde yer almış ve ülkemiz kamu idarelerinde mali yönetim ve kontrol çerçevesinde zorunlu hale gelmiştir. Ülkemiz özel sektör işletmelerine bakıldığında SPK mevzuatına tabi ve hisseleri borsada işlem gören şirketler, aracı kurumlar ve Bankaların iç kontrol sistemleri oluşturduklarını görüyoruz. Yeni TTK’nın tam anlamıyla yürürlüğe girmesi ile tüm sermaye şirketlerinde risklerin erken teşhisi ve önlenmesi hükümleri çerçevesinde, etkin iç kontrol sistemleri oluşturulması kaçınılmaz hale gelecektir.
Bugün ÖSYM’de yaşanan sorunlar veya diğer riskler yarın başka Kamu İdarelerini de tehdit edebilir mi? Diğer Kamu İdareleri benzer sorunları yaşamamak için ne yapmalılar?
İç kontrol sistemini oluşturmamış olan hiçbir kamu idaresinin üst yöneticisi gece rahat uyuyamaz. İç kontrol sistemi olmayan hiçbir idare kendisini karşı karşıya olduğu iş risklerine karşı yeterli düzeyde koruyamaz. Şunu açıkça ifade etmek istiyoruz; kamu idarelerinin üst düzey yöneticileri mutlaka bu konunun üstüne gitmeliler. Ancak mevcut duruma bakıldığında, idarelerimizin üst düzey yöneticilerinin ekseriyetle konuya hak ettiği önemi vermediklerini görmekteyiz. Bunun en büyük sebebi, değerli yöneticilerimizin iç kontrol konusunda yeterli düzeyde bilgi ve ilgi sahibi olamamaları. Ülkemizde iç kontrol ile ilgili akademik ve mesleki bilgi üreten kurum ve kuruluşların yetersiz olduğu dikkat çekiyor. İç kontrol konusu ne akademik yazında ne de mesleki yayınlarda yeterli kadar yer almıyor. Konuyla ilgili uzmanlık bulmak da kolay olmuyor. İç kontrolün önemi yeterince bilinmediğinden, konuya sadece kanuni bir zorunluluk olarak ve kağıt üzerinde halledilmesi gereken bir iş olarak bakılıyor. Kanun böyle emretmiş, asgari yükümlülükleri yerine getirip, işimize bakalım görüşü hakim. Oysa ki iç kontrol bir külfet değil, bir nimet.
İç kontrolün ne olduğu, nasıl kurulabileceği, etkinliğinin nasıl sağlanacağı İdarelerimizin %90’ı tarafından bilinmiyor. Ülkemizde tüm kamu idarelerinin 30.06.2011 tarihine kadar bünyelerinde iç kontrol sistemleri oluşturmaları gerekirken, bu konuda adım atmış ve sistem kurmayı başarmış İdare sayısı maalesef bir elin parmaklarını geçmiyor. Bu durumda, tüm kamu idareleri ve onların üst düzey yöneticileri risk altındadır. ÖSYM’de yaşanan olayların benzerleri ve/veya farklıları diğer kamu idarelerinde de gerçekleşebilir. Bunun önüne geçmenin tek yolu iç kontrol sistemleri oluşturmaktır. İdarecilerimiz ÖSYM’de yaşananların, bir gün kendi idarelerinde de gerçekleşebileceğini bilmeliler. Her platformda, her ortamda kamu idarelerinden üst düzey yöneticilere bunu anlatmaya çalışıyoruz. İç kontrol sistemlerinin doğru kurulması halinde, bu sistemlerin kamu idarelerinde suistimalleri, hileli işlemleri, verimsizlikleri, kanunsuzlukları ve hataları büyük oranda azaltacağına inanıyoruz. Bu anlamda, 5018 sayılı Kanun ülkemiz açısından büyük bir şanstır. Yakın zamanda ÖSYM bünyesinde de etkin bir iç kontrol sistemi tesis edilerek, ÖSYM’nin yeniden eski itibarını ve saygınlığını kazanacağına yürekten inanıyoruz.
İdareler bünyelerinde etkin birer iç kontrol sistemi oluşturmak için ne yapmalılar?
Bu konuda Türkiye’de uzman, tecrübeli danışmanlık şirketleri var. Bu şirketler risk yönetimi & iç kontrol danışmanlığı veren, bu konularda ciddi bir know-how’ a sahip şirketlerdir. Bu şirketlerden faydalanmak gerekiyor. İç kontrol ile ilgili eğitim alınması iyi bir başlangıç olabilir. Diğer bir alternatif ise danışmanlık almak. Danışmanlık almak, danışman kullanmak ABD ve AB’de kamu sektöründe son derece yaygın bir uygulamadır. Türkiye’de ise İdarelerimizin danışman ile çalışmaya sıcak bakmadıklarını görmekteyiz. Oysa ki doğru danışman ile çalışmak, yetkin danışmanlardan destek almak işi oldukça kolaylaştırıyor ve hızlandırıyor. Ancak konu iç kontrol sistemi oluşturmak gibi hassas bir konu olunca, danışmanlarda mutlaka bu alanda yetkinlik aranması gerekir. Danışmanların iç kontrol sistemi oluşturma konusunda yerel ve uluslar arası ölçekte tecrübeye sahip olmaları şarttır. Bu konuların dışında, İdarelerin özellikle AB’deki benzer İdareleri ziyaret ederek, buralardaki iç kontrol sistemleri hakkında bilgi almaları da yine sağlıklı iç kontrol sistemleri kurabilmek için etkili bir yöntem olacaktır. Ancak ne olursa olsun, en önemli husus İdarelerin Üst Yöneticilerinin konuya gereken önemi vermeleridir. İdarelerde iç kontrol sistemleri oluşturmakla görevlendirilen personele gereken üst yönetim desteği ve kaynaklar sağlanmalıdır.