ÖSYM ile ilgili uzun yıllar önce bir yazı yazmıştım ve bu kuruma kim Başkan olursa olsun sonu hüsranla biter mahiyetinde bir şeyler söylemiştim. Bunu söyleme sebebim ÖSYM’ deki sorunun ne olduğunu bilmemdi. Sorun net bir iç kontrol zafiyeti. ÖSYM’ de etkili bir iç kontrol sistemi bulunmaması, hizmet verilen milyonlarca paydaş kadar, en tepedeki yöneticilerin de zarar görmesine neden oluyor.

 

ÖSYM’ de iç kontrol zafiyeti, muhtemelen iç kontrolün sadece dokümantasyon seviyesinde kalmış olması ile alakalı. Oysa iç kontrol sınav planlama, sınav hazırlık, sınav ve sınav sonrası değerlendirme süreçleri ile (değer zinciri), destek süreçleri ve kullanılan tüm yazılım sistemleri içine entegre edilmeli idi. Bu entegrasyon yapılmadığından olsa gerek, her 2-3 senede bir ciddi sorun yaşanıyor.

 

Peki ÖSYM ne yapmalı?

 

Üst yönetimden başlayarak, en alta kadar bir iç kontrol farkındalığı geliştirilmesi şart. Bu anlamda kurum içinde etkili birer bir iç kontrol ve iç denetim fonksiyonu oluşturulması veya mevcut ise güçlendirilmesi gerekiyor. ÖSYM ülkemizin stratejik kurumlarından bir tanesi ve stratejik ve operasyonel risklerini iyi yönetmek zorunda. Bu algı ve bilinç, özellikle üst yönetime kazandırılmalı.

 

Sonraki adım, iç kontrol ve risk yönetimi için kurum genelinde yetki ve sorumluluklar ile işleyişi açıklayan kısa ama açık ve net bir politika ve prosedür mevzuatı oluşturulması. COSO 2013 ve Kamu İç Kontrol Standartları baz alınmalı.

 

Bir sonraki aşamada, ÖSYM’ de öncelikle tüm iş süreçleri (değer zinciri başta olmak üzere), bilgi teknolojileri ve yönetsel faaliyetlerin bir öz değerlendirmesinin yapılması gerekli. Süreç tasarımları, iş akışları, bilgi sistemleri ile entegrasyonu, BT güvenlik açıkları, süreçlerdeki operasyonel riskler ve kontrol faaliyetleri değerlendirilmeli. Gerekirse bu konuda kurum dışı uzmanlardan da destek alınabilir. Örneğin dış uzmanlara ücret ödemek istenmiyor ise, kamu iç denetçilerinden oluşan bir gruptan ücretsiz danışmanlık alınabilir. Bu işe gönüllü olacak iç denetçiler olacağını düşünüyorum.

 

Son aşamada kontrol zafiyetleri ve boşlukları eylem planları ile kapatılmalı. Ayrıca etik kurallar, görev tanımları ve sorumluluklar kurumsal bir performans değerlendirme mekanizması içinde yer alarak, risk yönetimi ve kontrol sorumlulukları, performansın parçası haline getirilmeli. Ayrıca, kontrol faaliyetleri yazılımlar ve sistemler üzerine taşınarak, süreklilik ve devamlılık sağlanmalı.

 

ÖSYM ancak bu şekilde güçlü bir iç kontrole sahip olur ve geleceğe güvenle bakabilir.