İnanılmaz di mi ???? Çünkü, kontrol faaliyetleri, riski yönetmek için kullandığımız araçlar. Ancak risk yönetimi çalışmalarında en az baktığımız ve en kötü olduğumuz yer maalesef burası.

Ecza deposu metaforu ile bir bakalım neler bulacağız. İçinde yüzlerce ilacın olduğu bir ecza deposu düşünün. İlaçları bilirsiniz, hepsi birer prospektüse sahipler. Prospektüsler ise ilacın içinde yer alan maddeler, yan etkiler, ilacın nasıl kullanılacağı, ilacı kimlerin hangi koşullarda kullanabileceği, saklanma koşulları ve üretici firma gibi bilgileri içerir. Peki, şimdi üzerinden isimleri silinmiş, prospektüsleri olmayan ilaçlarla dolu bir ecza deposu düşünün????

Kontrol faaliyetleri; ilaçlar. Onları riskleri tedavi etmek için kullanıyoruz. Kimini sağlıklı yaşamı devam ettirmek için kullanıyoruz kimini hastalıkları iyileştirmek için. Ancak hepsinin bir amacı var, birini bir diğerinin yerine kullanamıyor, belirlenen dozu aşamıyor, belirli kurallara uyarak fayda sağlayabiliyoruz.

Kontrol Faaliyeti Havuzunuz Hangi Ecza Deposuna Benziyor?

- Bütün kontrol faaliyetlerinizin yer aldığı bir listeniz var mı?

- Kontrol faaliyetleriniz risklerinizle ilişkilendirilmiş mi?

- Kontrol faaliyetleriniz iş süreçlerinizle ilişkilendirilmiş mi?

- Kontrol faaliyetleriniz stratejik hedeflerinizle ilişkilendirilmiş mi?

- Anahtar kontrolleriniz tanımlı mı?

- Otomatik ve manuel kontrollerinizi ayrı ayrı listeleyebiliyor musunuz?

- Kontrol faaliyetlerinizin uygulama, gözetim ve denetim sorumluları belirli mi?

- Kontrol faaliyetlerinizin uygulama sıklıkları belirli mi?

- Kontrol faaliyetlerinizin prosedürleri var mı?

- Kontrol faaliyetleriniz uyum gereklilikleri ile 'politika ve prosedürlerle' ilişkilendirilmiş mi?

- Kontrol faaliyetlerinin test yöntemleri ve sıklıkları belirli mi?

- Kontrol faaliyetlerinizi hangi sıklıkla test ediyorsunuz?

- Kontrol faaliyetlerinin kim tarafından/ne zaman ve ne için tasarlandığını biliyor musunuz? (Bazen keyfi bir uygulama olabiliyor ve uygulamayı başlatan kişi yıllar önce kurumdan ayrılmış oluyor :))

- Geçerli olmayan kontrol faaliyetleriniz var mı?

- Kontrol faaliyetleri maliyet etkin mi?

- Kontrol faaliyeti yeterliliğini değerlendirdiğiniz kriterleriniz var mı?

- Kontrol faaliyetlerine ilişkin bir kategorizasyonunuz var mı?

Örneğin,

Bu yıl iş sürekliliğine ilişkin kontrolleri iyileştirmek istiyoruz desek, bir çırpıda bu kontrolleri, ilişkili riskleri, süreçleri, hedefleri, çalışma gruplarını ve bu kontrollerle ilişkili diğer kontrolleri listeleyebilir misiniz?

Ya da bu yıl ürün yönetimine ilişkin riskleri iyileştirmek istiyoruz desek, hangi kontrolleri ele almaktan bahsediyor olabiliriz? Hangi kontroller çalışmıyor ya da hangi alanlarda kontrol boşluğu var?

Ya da bir süreç iyileştirme çalışması yapsak, yerinden oynatmamamız gereken kontroller nelerdir listeleyebilir misiniz?

Riski yönetecek araçlarınızı yönetemiyorsanız, sizce riski yönetebilir misiniz?