Giriş

Bir Onaylanmış Kuruluş denetçisi olarak çok sayıda iç denetim raporu okuyorum. İyi olanlar bana firmanın benden önce kendi boşluklarını bulduğunu söyler. Kötü olanlar ise denetimin sadece MDR gereği yapıldığını gösterir.

Bu iki tür iç denetim arasındaki fark, kontrol listesinin uzunluğu değildir. Fark, niyette yatar. İyi kurgulanmış bir kontrol listesi insanları dürüst konuşmaya zorlar, rahatsız edici bulguları ortaya çıkarır ve "belgelendi" ile "çalışıyor" aynı şeydir gibi rahat varsayımı sarsıyor. Zayıf bir listeyse yalnızca herkesin zaten duymak istediğini teyit eder.

Sizin MDR iç denetim listeniz neleri içermeli ve ben özellikle nelere bakıyorum gelin birlikte inceleyelim.

1. 1. Organizasyonel Yapı ve Hukuki Netlik

İlk baktığım şey: 👉 Her prosesin bir sahibi var mı?

Kulağa basit gelebilir, ama sahipsiz prosesler gördüğüm en yaygın organizasyonel zayıflık kaynağı — ve QMS'lerine ciddi yatırım yapmış firmalarda bile şaşırtıcı derecede sık karşılaşıyorum. Bir prosesin başına bir isim yazılmadığında, proses ortadan kaybolmaz. Ekipler arası boşluğa düşer. Şikâyet yönetimi teknik olarak vardır ama döngüyü kapatmaktan kimse sorumlu değildir. Tedarikçi değerlendirmesi iki yılda bir yapılır, çünkü herkes başka birinin takip ettiğini varsayar. Risk dosyası reaktif olarak güncellenir, çünkü güncel tutmaktan sorumlu tek bir kişi yoktur.

Standart maddelerin yine yerinde olması gerekir — hukuki statü, sahiplik yapısı, raporlama hatları, görev ve yetkiler, ana şirket ilişkileri — ama bir denetçi olarak benim doğruladığım sadece dokümantasyon değil. Sizin yapınızın gerçekten hesap verebilirlik üretip üretmediğini doğruluyorum.

İç denetiminize eklenmesi değerli birkaç soru:

• KYS' nizdeki her kilit proses için, performans değerlendirmesi o prosesin işleyip işlemediğini yansıtan tek bir kişi söyleyebiliyor musunuz?
• İki ekibin “paylaşıyoruz” dediği prosesler var mı? Paylaşılmış sahiplik neredeyse her zaman “gerçek sahiplik yok” demektir.
• Bir yıldan uzun süredir güncellenmemiş prosedürlere bakın. Sebep nadiren “gerekmiyordu” olur — genellikle onları tekrar elden geçirmeye yetecek kadar kimsenin kendini sorumlu hissetmediği için güncellenmemiştir.

Net bir organizasyonel yapı, parlak bir organizasyon şemasına sahip olmakla ilgili değildir. Her sorumluluğun birinin masasına düştüğünden emin olmakla ilgilidir. Sahiplik gerçek olduğunda boşluklar erken yüzeye çıkar. Sahiplik dağılmışsa boşluklar dış denetimler sırasında yüzeye çıkar — ve o noktada artık iyileştirmiyor, açıklıyorsunuzdur.

2. Bağımsızlık ve Tarafsızlık

Bir Onaylanmış Kuruluş denetçisi olarak çok sayıda iç denetim raporu okuyorum. İyi olanlar bana firmanın benden önce kendi boşluklarını bulduğunu söyler. Kötü olanlar bana denetimin MDR gerektirdiği için yapıldığını söyler — firmanın gerçekten neyin yanlış olduğunu öğrenmek istediği için değil. Bu iki tür iç denetim arasındaki fark, kontrol listesinin uzunluğu değildir. Niyettir. İyi tasarlanmış bir kontrol listesi dürüst konuşmaları zorlar, rahatsız edici bulguları gün yüzüne çıkarır ve “belgelenmiş” ile “çalışıyor” eşitliği gibi rahat varsayımları sorgular. Zayıf olan ise herkesin zaten inanmak istediği şeyi onaylar. Peki MDR iç denetim kontrol listenizde ne olmalı? Sizin denetiminizi denetliyor olsaydım neye bakacağımı paylaşıyorum.

Cevap evetse, dokümantasyona bakmadan önce bir problem var demektir. Üretim ve kalitenin temelde farklı motivasyonları vardır. Üretim sevkiyat yapmak ister — teslim tarihlerini tutturmak, siparişleri karşılamak, gelir hedeflerine ulaşmak. Kalite ise gerektiğinde sevkiyatı durdurmaya, parti reddetmeye, ürün lansmanını ertelemeye razı olmalıdır. Aynı kişi iki şapkayı birden taktığında, sistem kendini sorgulama yeteneğini kaybeder. Kalite kararları sessizce üretim baskısına tabi hâle gelir — kimse bilinçli olarak böyle olmasını istemese bile.

Bu, yapısal çıkar çatışmasının en net örneklerinden biridir ve özellikle maliyet düşürmek için rolleri birleştiren küçük üreticilerde sıkça görülür. MDR'nin bu birleştirmeye izin vermemesinin bir sebebi vardır: bağımsızlık organizasyon şemasına tasarlanmalıdır, sadece bir politika dokümanında iddia edilmemelidir.

İç denetiminiz şunları doğrulamalı:

• Üretim ve kalite arasında fonksiyonel ayrım, ve üst yönetime ulaşana kadar buluşmayan raporlama hatları
• Kalite kararlarını imzalayan kişilerin üretim çıktısı veya ticari hedeflerle ilgili doğrudan sorumluluğu olup olmadığı
• Yalnızca mevcut değil, firma büyüdükçe, yeniden yapılandıkça veya yeni işe alımlar yapıldıkça ortaya çıkan yeni çatışmaları da tanımlama ve yönetme prosedürleri
• Karar vericilerin bir sürüm onayını reddedebileceğine veya kaygılarını ticari baskı olmadan üst seviyeye taşıyabileceğine dair belgeli kanıt

Algılanan çıkar çatışmaları da MDR kapsamında önemlidir. Makul bir dışarıdan bakan kişi sizin yapınıza bakıp “bu kişi nasıl bağımsız olabilir ki?” diye soracaksa — o kişinin pratikte nasıl davrandığından bağımsız olarak elinizde gelmekte olan bir bulgu vardır.

Denetlediğim en güçlü firmalar bağımsızlığı bir varlık olarak görür. İşe alım kararlarına, raporlama yapılarına ve teşvik planlarına bunu gömerler. En zayıfları ise bağımsızlığı politika dokümanındaki bir paragraf olarak görür ve kimsenin onu fazla dikkatli okumamasını umar.

3. Gizlilik ve Bilgi Kontrolü

Hassas verilerin işlenmesi sıkı kontrol gerektirir.

İç denetiminiz; gizlilik prosedürlerinin tanımlandığını ve uygulandığını, bilgiye erişimin kısıtlandığını ve kontrol edildiğini, personelin gizlilik yükümlülüklerini anlayıp bunlara uyduğunu ve tüm uygunluk değerlendirme faaliyetleri boyunca bilginin korunduğunu teyit etmelidir.

Bu özellikle klinik ve teknik dokümantasyon için kritiktir.

4. Sorumluluk ve Finansal Sürdürülebilirlik

Finansal sağlamlık çoğu zaman göz ardı edilir ama esastır.

Denetiminizin şunları kapsadığından emin olun: faaliyetlerinizle uyumlu yeterli sorumluluk sigortası, cihazlarınızın risk profilini yansıtan teminat, yeterli finansal kaynakların mevcudiyeti ve uzun vadeli operasyonel sürdürülebilirlik.

Bu, bir organizasyon olarak güvenilirliğinizi ve itibarınızı gösterir.

5. Kalite Yönetim Sistemi (KYS)

KYS, MDR uyumunun bel kemiğidir — ama bir Onaylanmış Kuruluş denetçisi olarak her denetimde döndüğüm soru şu: bu KYS gerçekten firmaya mı ait, yoksa onu kuran danışmana mı?

Bu sahada gördüğüm en rahatsız edici desenlerden biri. Tamamen bir dış danışmana devredilmiş — ve hiçbir zaman firmanın kültürüne nüfuz etmemiş — bir KYS, kâğıt üzerinde eksiksiz görünür, ama kalite ekibinin dışındaki biriyle konuşur konuşmaz dağılır. Mühendisler prosedürleri tanımaz. Satış, şikâyetlerin nasıl aktığını bilmez. Yönetim gözden geçirmeleri liderliğin gerçek kararları gibi değil, bir danışmanın raporu gibi okunur.

KYS, bir sözleşmenin sonunda teslim edilen bir çıktı değildir. Firmanın nasıl işlediğidir. Bu yüzden iç denetiminiz standart maddelere baktığında — KYS kuruldu mu, doküman kontrolü etkin mi, CAPA'lar kapatıldı mı, yönetim gözden geçirmeleri yapıldı mı — bir katman daha derine inin:

• Kalite ekibi dışından üç çalışana QMS'inizdeki bir temel prosesi kendi sözleriyle tarif etmesini isteyin. Yapamıyorlarsa, sistem henüz içeride sahiplenilmemiş demektir.
• Yönetim gözden geçirme tutanaklarının tonunu okuyun. Bir dış tarafın yazmış gibi geliyorsa, bu araştırılmaya değer bir işarettir.
• Kâğıt üzerindeki prosedür sahipliğini, işi günlük olarak gerçekten kimin yaptığıyla karşılaştırın. Buradaki uyumsuzluk gelmekte olan bir bulgudur.

Sadece klasör içinde ve danışman çıktısı olarak var olan bir KYS, ne hastalarınızı ne de işinizi korur. Denetimlerde karşılaştığım en güçlü sistemler — minimal bulguyla geçenler — gömülü hissedilir. İnsanlar bir dokümana bakmadan prosedürlerinden doğal olarak bahseder. Gerçek bir KYS böyle görünür.

6. İç Denetim Sisteminin Etkinliği

Kendi denetimim sırasında bir firmanın iç denetim raporlarını incelediğimde, iki desen bana sürecin gerçek mi yoksa performatif mi olduğunu anında söyler — ve hiçbiri prosedürlerin kâğıt üzerinde var olup olmadığıyla ilgili değildir.

Birincisi, raporun kendisinin formatıdır. Denetim kontrol listeniz el yazısıyla dolduruluyorsa — basılmış bir formun üstüne kalem-kâğıt girdileri — bu denetimin gerçekten ne zaman yapıldığını sorgulamaya başlarım. Olgun iç denetim sistemleri, girdileri zaman damgalayan, denetçi kimliğini takip eden ve değiştirilemez bir kayıt oluşturan elektronik araçlar kullanır. El yazısıyla doldurulmuş formlar, denetim sırasında ne kadar kolay doldurulabiliyorsa, ben sahaya gelmeden önceki sabah da o kadar kolay doldurulabilir. Yanlış olmak zorunda değiller, ama hesap verebilirlik için kurulmamış bir sistemin sinyalidir.

İkincisi, raporun ne bulduğudur. Birden fazla bölümde “Doküman incelendi, bulgu yok” gibi girdiler görüyorsam — ya da daha kötüsü, sıfır bulgulu bir denetim raporu görüyorsam — gerçekten endişelenirim. Kapsamlı bir iç denetim her zaman bir şeyleri gün yüzüne çıkarır: iyileştirilebilecek bir proses, biraz güncelliğini yitirmiş bir prosedür, bulunması zor bir eğitim kaydı. Sıfır bulgu mükemmel bir QMS anlamına gelmez. Denetimin ya yeterince derine inmediği ya da denetçinin gerçekten gördüğünü yazmaya rahat olmadığı anlamına gelir.

Anlamlı bir denetim raporu kâğıt üzerinde şöyle görünür:

• Spesifik kanıtlar incelenmiştir (kayıt numaraları, doküman versiyonları, örneklem büyüklükleri)
• Neyin kontrol edildiği ile neyin sonuçlandırıldığı arasında net bir ayrım vardır
• Bulgular dağılım gösterir — bazı küçük iyileştirmeler, bazı netleştirmeler, ara sıra daha ciddi bir şey
• Dürüst dil kullanılır. Her yerde “yeterli” ve “uygun” tekrarlanıyorsa, bunun kendisi bir kırmızı bayraktır.

İç denetimler dış denetimlerin provası değildir. Firmanın kendi boşluklarını özel olarak bulma şansıdır. İç denetimleriniz tertemiz çıkmaya devam ederken dış denetimleriniz sürekli bulgu vermeyse, soru QMS'inizde problem olup olmadığı değildir — iç denetim sisteminizin onları bulacak kadar dürüst olup olmadığıdır.

7. Personel Yetkinliği ve Tarafsızlığı

Güvenilir bir iç denetim için yetkin ve tarafsız personel esastır.

Kontrol listeniz; personelin niteliklerinin ve deneyiminin belgelendiğini, tüm faaliyetler için yeterli kaynağın mevcut olduğunu, eğitim programlarının uygulandığını ve sürekli güncellendiğini, sorumlulukların ve yetki seviyelerinin net olarak tanımlandığını doğrulamalıdır.

Buna ek olarak, denetçi bağımsız olmalı ve kanıta dayalı tarafsız kararlar verebilmelidir.

İç denetiminizi dış kaynaklı olarak yürütmeyi tercih edebilirsiniz; bu son derece etkili bir yaklaşım olabilir. Ancak aynı kişinin veya kuruluşun aynı anda size danışmanlık hizmeti vermediğinden emin olmak kritik önem taşır. Bu, çıkar çatışması yaratır ve tarafsızlıkla ilgili ciddi bulgulara yol açabilir.

Hem yetkin hem de gerçekten bağımsız bir denetçi seçmek, güvenilirliğin korunması ve Onaylanmış Kuruluş denetimlerinin geçilmesi açısından kilit öneme sahiptir.

Sonuç

Onaylanmış Kuruluş tarafında geçirdiğim yıllardan sonra en net gördüğüm desen şu: dış denetimlerde zorlanan firmalar genellikle dokümanı eksik olanlar değildir. Dokümanları olan ama o dokümanların firmanın gerçekte nasıl çalıştığını yansıtmadığı firmalardır.

Gerçek bir iç denetim QMS'inizi iyi göstermeye çalışmaz. QMS'inizin gerçekten çalışmasını sağlamaya çalışır — ki bu daha zor, daha rahatsız edici ve sonsuz kat daha değerlidir. İç denetiminizin gün yüzüne çıkardığı her boşluk, sonradan bana açıklamak zorunda kalmayacağınız bir boşluktur.

Kontrol listenizi güvenli cevapların değil, dürüst soruların etrafında kurarsanız, gerisi kendiliğinden hâllolur. Dış denetimler bir stres testi olmaktan çıkar ve zaten bildiğiniz şeyin onayına dönüşür.

B+ Solutions'da her çalışmaya kattığımız bakış açısı budur — doğrudan Onaylanmış Kuruluş deneyimiyle bilgilendirilmiş, denetçilerin gerçekten neye baktığı etrafında yapılandırılmış, kâğıt üzerinde değil pratikte çalışan sistemlere odaklı.

Hedeflediğiniz denetim hazırlığı buysa, konuşalım.