(En Anbud365-kommentar) Kan en stor del av Norge bli mørklagt, nettforbindelse bli borte og oppvarming koblet ut på grunn av det offentliges mangel på oppfølging av IKT-kontrakter? Riksrevisjonens undersøkelse av IKT-sikkerheten i kraftforsyningen er grunnen til at vi er kommet på den – fryktelige – tanken. Kanskje er ikke IKT-sikkerheten hos leverandørene god nok og få sjekker at den er patent. Det føyer seg inn i et mønster. Kontraktsoppfølging er ikke noe så mange satser tid og ressurser på, selv om det er der gevinstene kan hentes ut. En «gevinst» er også at noe kan gå fryktelig galt.
Riksrevisjonen har undersøkt hvordan det er med Norges vassdrags- og energidirektorat (NVE) og IKT-sikkerheten i vannforsyningen. Energiselskapene har i betydelig grad konkurranseutsatt driften av sine IKT-systemer. Dermed er IKT-sikkerhet og beredskap i stor grad avhengig av leverandørenes IKT-sikkerhet. Mange av selskapene er små og står ikke sterkt i kontraktforhandlinger med leverandørene, som tidvis er gigantselskaper. Og bare en av seks rapporterer at de har gjennomført tilsyn hos leverandøren etter kontraktsinngåelsen. NVE kan, ifølge revisjonsrapporten, heller ikke føre tilsyn med leverandørenes IKT-sikkerhet eller beredskapskapasitet.
Dette er selvsagt alvorlig. Meget alvorlig. Det er ingen grunn til å tvile på at leverandørene ikke leverer det beste innenfor IKT. Men her, som så ofte mange andre steder i det offentlige, er kontraktsoppfølgingen et svakt ledd. Merkelig nok. Vi sivilister er nøye på å sjekke at vi får det vi betaler for. I det offentlige er ikke det – generelt sett – blant de fremste dydene. For våre skattepenger – igjen generelt – kjøpes det varer og tjenester ikke alle virksomheter prioriterer å sjekke at man får til den kvalitet man har bedt om. At det likevel går rimelig bra, skyldes at næringslivet som får kontrakt, for det aller meste er på tå hev med sine leveranser i frykt for å tape neste anbudsrunde.
Tid og ressurser til kontraktsoppfølging
Av modenhetsundersøkelsen 2020 til Direktoratet for forvaltning og økonomistyring (DFØ) fremgår det at bare 20% av ressursene brukes i kontraktsoppfølgingsfasen, selv om det er der gevinstene tas ut. Færre sier de har tilstrekkelig tid og ressurser til kontraktsoppfølging i 2020 enn i 2018.
Dette er selvsagt et uttrykk for bevisste valg fra administrativ (og politisk) nivå. Noen ganger kan det være slik at innkjøpsfunksjonen i virksomheten ikke er sterke nok og taper i kampen om de årlige bevilgningene. Eller når det er tale om omorganiseringer. Andre ganger kan det skyldes at ledelsen ikke helt ser poenget med for mye ressurser til innkjøpsfunksjonen. I enkelte tilfeller kan man nok regne med at det er en kombinasjon av dette. I staten kan tildelingsbrevene være en kanal som regjeringen kan benytte til å skjerpe departementer og underliggende etater – og andre statlige underlagt regelverket for offentlige anskaffelser. I kommunene råder selvstyret, men man kan håpe på at representanter for de samme politikerne som på Stortinget hyller anskaffelser som viktig verktøy, også ser at man må følge opp for å se om gevinstene av kjøpene virkelig kommer. Det er ikke uvanlig å sjekke resultatet når man har benyttet et verktøy.
Useriøse aktører og proffe innkjøpere
Vi har skrevet det før, men gjentar det gjerne: Gode, profesjonelle innkjøp kan over tid spare inn kostnadene til innkjøpere og de kan sikre virksomheten bedre kvalitet til bedre priser. Og de kan bidra til å «oppdra» næringslivet til å ta samfunnsansvar. Det siste er ikke så vanskelig, fordi enhver leverandør til det offentlige vil gjerne forbli det. Og da innretter de seg gjerne etter kundenes krav. Bortsett fra noen useriøse, der nettopp kontraktsoppfølging er et av flere viktige verktøy. Gjett om ikke de useriøse vet hvor kontraktsoppfølgingen er ikke-eksisterende! Hverken på dette eller andre felter får man resultater med mindre man høster gevinstene, og de får man ved å bruke tid og ressurser til å følge opp kontraktene.
Så kan man si at kjøper man kontorstoler og brukerne mener de ikke får det de ville ha til avtalt tid, går «internalarmen». En grei form for kontraktsoppfølging. Men nå er det slik at digitaliseringen er for full fart inn i det offentlige. Da er det egentlig ikke varene, men først og fremst tjenestene som er avgjørende. Holder de mål, holder de kravene man har stilt?
Digitalisering og skytjenester
Flere offentlige virksomheter har erfaringer med å slippe konsulenter inn for å digitalisere. I noen tilfeller er det endt med katastrofe. Kanskje har ikke egen kompetanse vært god nok til å kunne gjennomføre kontraktsoppfølgingen på et riktig nivå. Rett nok gir dette læring, og det er jo nyttig å ha med seg.
Skytjenester er på vei inn. Her er kontraktsoppfølgingen en spesiell utfordring, og det dreier seg ikke bare om kompetent «egenkompetanse», men også om å sikre seg kontrakter det er rimelig effektivt å kunne følge opp. Store, internasjonale selskaper setter sine vilkår. Man blir på mange måter med på deres banehalvdel. Kanskje er skytjenestene av en slik verdi, at det er det beste av mulige alternativer. I effektiviseringens tjeneste.
Kraft og personvern
Da er vi tilbake til IKT-sikkerheten i kraftforsyningen. Den er av kritisk betydning. Svikt her kan få konsekvenser vi leter etter ord for å beskrive. Ansvaret for ikke å ha sørget for at leverandøren har tilstrekkelig sikkerhet, ligger hos oppdragsgiverne. Det hjelper ikke den dagen sikkerheten svikter. Og det er personvern. For å nevne et annet eksempel. Allerede ved anskaffelse av smittestoppapp’er oppdaget noen nasjonale myndigheter at leverandøren var underlagt amerikansk lovgivning som forutsetter at USAs myndigheter kan kreve alle persondataene utlevert. I smittestoppapp’ene var det helsedata.
Utfordringen står i kø. Men det offentlige Norge følger ikke opp kontrakter. Mindre og mindre tid og ressurser brukes til formålet. La oss håpe at de 20% som brukes til kontraktoppfølgingsfasen, er å finne i virksomheter der det er snakk om samfunnskritiske anskaffelser. Riksrevisjonen sjekk av IKT-sikkerheten i kraftforsyningen tok fra oss den illusjonen.
God påske – det trenger vi av denne og andre grunner.
Bli den første til å kommentere på "Påsketanker om hvor galt det kan gå om kontrakter ikke følges opp"