Overblik: Skandaleramt it-system til en kvart milliard kan blive 100 millioner dyrere

Illustration: REDPIXEL.PL/Bigstock
Konsulenter anbefaler to forskellige dyre løsninger til, hvordan Arbejdsskadestyrelsens strandede Proask-system kommer videre. Skrotning er nærliggende. Tåget fremstår konsulenternes egen rolle i forløbet, der på trods af to-cifrede millionbeløb ikke i tide fik stoppet det løbske projekt.

Den endelige dom over Arbejdsskadestyrelsens nye it-system Proask lader vente på sig. Systemet har sammenlagt kostet i omegnen af en kvart milliard kroner, men er i sin nuværende form uegnet til at blive sat i fuld drift.

Version2 har fået aktindsigt i det udkast til en rapport fra konsulentfirmaet Deloitte, som i januar fik Arbejdsskadestyrelsen og siden beskæftigelsesministeren til at gribe fat om ledningen og gøre klar til at trække stikket ud på Proask.

Læs også: Mette Frederiksen: Svært at se det kuldsejlede it-projekt Proask blive færdigt

Deloitte-rapporten er en vurdering af Proask-systemets nuværende tilstand, og hvilke muligheder Arbejdsskadestyrelsen har for at komme videre mod at få et system, som virker.

Store dele af den rapport, Version2 har modtaget, er imidlertid slettet med henvisning til, at styrelsen formentligt skal ud i et nyt udbud. 46 ud af rapportens 68 sider er således slettet helt eller delvist.

Derfor giver rapporten intet indblik i, hvorfor Deloitte når frem til, at de op mod 250 millioner, der er brugt på Proask, er en spildt investering, som staten i sidste ende blot skal acceptere som 'sunk cost' - altså at det ikke kan betale sig at kaste gode penge efter dårlige.

Deloitte-rapporten opstiller dog fire scenarier, som også er behandlet i en tidligere rapport fra konsulentfirmaet Gartner.

1) Fortsæt med det gamle system, der blev taget i brug i 1991.

2) Investér yderligere i Proask med henblik på at gøre det brugbart.

3) Genbrug dele af Proask til et nyt system.

4) Køb et helt nyt system.

Deloitte anbefaler det sidste scenarie. Gartner-rapporten, som blev udfærdiget i april 2013, anbefaler derimod scenarie nummer to, hvor Proask gøres færdigt i samarbejde med leverandøren Steria.

Argumentet for den begrænsede aktindsigt i Deloitte-rapporten er, at den angiveligt indeholder oplysninger, som kan spænde ben for Arbejdsskadestyrelsen, hvis der skal være et nyt udbud.

Deloitte var ét af de konsulentfirmaer, som var med til at rådgive Arbejdsskadestyrelsen i forbindelse med udfærdigelsen af udbudsmateriale og kravspecifikation til Proask i 2008. En del af rapporten om Proask handler om de mulige standardsystemer, styrelsen kan basere en eventuel afløser på, og det afsnit er formentligt slettet for ikke give bestemte løsninger en fordel eller ulempe i et udbud.

Det samme gælder dele af den tekniske analyse af Proask såsom applikationskomponenter og datamodel. Andre afsnit omhandler et review af kildekoden i dele af systemet, som Deloitte har udført. Den del er også udeladt. Vi kender altså ikke Deloittes vurdering af Sterias arbejde.

Så hvordan står Arbejdsskadestyrelsen i dag?

Kør videre med systemet fra 1991

Når Arbejdsskadestyrelsen og Beskæftigelsesministeriet har orienteret Folketingets finansudvalg om status for Proask-projektet, så har det eksisterende system, SJP, fremstået som en brændende platform med en kort tidshorisont, før det ville blive vanskeligt og dyrt at vedligeholde.

Gartner vurderede således, at det vil være muligt at holde SJP kørende i yderligere 2 til 3 år. Gartner anser det ikke for realistisk at fortsætte på længere sigt med SJP, fordi det bygger på en række forældede teknologier. Eksempelvis foregår dokumentvisning i Wordperfect 5.1.

Læs også: Kriseramt it-system var en prøveklud og et højrisikoprojekt fra begyndelsen

Ifølge Deloitte består SJP af seks komponenter, hvoraf blot to supporteres af leverandørerne i dag, og for de fire, som ikke længere supporteres, er der ingen migreringsvej til nye versioner. Det er således ikke muligt at opgradere komponenterne og ad den vej vedligeholde SJP.

Deloitte skriver direkte, at de seks komponenter er så tæt integreret, at hvis man begynder at udskifte komponenterne vil det betyde omfattende ændringer og risiko for ustabilitet.

»En migrering vil derfor i praksis betyde, at en meget stor kodebase, der er udviklet på i mere end 20 år, skal omskrives i stort omfang, hvilket vil være en massiv opgave med meget stor risiko,« lyder det i rapporten.

Arbejdsskadestyrelsen anvender lige nu SJP til sagsbehandlingen, fordi Proask ikke fungerer. Men ifølge både Gartner og Deloitte er det altså ikke realistisk at fortsætte på denne måde meget længere, end det er nødvendigt for at få en fungerende afløser på plads.

Få Proask til at virke

Ifølge Gartner-rapporten er der flere lavthængende frugter i Proask-arkitekturen, som kan forbedres på baggrund af de erfaringer, man har gjort sig med det nuværende system. Gartner mente i april 2013, at selve arkitekturen så ud til at være sund i forhold til opgaven. Vel at mærke vurderet ud fra beskrivelsen.

Det umiddelbart største arkitektoniske problem, Gartner pegede på, er den specialudviklede Windows-klient, som er den primære brugerflade for brugerne af Proask. Den vil formentligt være dyrere at vedligeholde end en nyere løsning, som ofte vil være baseret på en browser.

Gartner peger imidlertid også på flere ting i arkitekturen, som er mindre hensigtsmæssige. Eksempelvis er der implementeret Novell Access Manager til adgangskontrol, mens alle andre systemer i styrelsen benytter Active Directory. Men faktisk er der bygget en adgangskontrol ind i selve Proask, så Novell-komponenten er helt overflødig ifølge Gartner.

Tilsvarende har Proask sin egen dedikerede Microsoft Exchange-server, der blot videresender mails fra Proask til Statens IT's mailserver.

Et af de nuværende problemer med Proask er svartider i systemet, som muligvis skyldes den ESB, der er en central komponent i den serviceorienterede arkitektur, som Proask bygger på. ESB'en er udviklet specifikt til Proask og bygger på Microsoft Biztalk. Men en specialudviklet ESB gør det vanskeligt at søge efter problemer med ydelsen, påpeger Gartner. En ESB baseret på en standardløsning ville give medfølgende værktøjer til at afhjælpe problemer.

Deloittes vurdering af dette scenarie er slettet i den rapport, Version2 har modtaget.

Brug fundamentet fra Proask til et nyt system

Hvis Gartner har ret i sin vurdering af, at der ligger et sundt fundament under Proask, så er det nærliggende at tro, at det er muligt at genbruge dele af Proask-infrastrukturen og -arkitekturen i en ny løsning i stedet for at begynde forfra.

Problemet er imidlertid, at styrelsen alligevel skal ud i et nyt udbud, og det vil kunne tage lige så lang tid at fjerne de usunde dele af Proask og erstatte dem, som at implementeret noget helt nyt baseret på standardkomponenter.

Hverken Gartner eller Deloitte anbefaler dette scenarie. Det vil ifølge Gartner være dyrere end at reparere Proask, men billigere end et helt nyt system. Projektet vil kunne gennemføres for mellem 30 og 40 millioner kroner.

Skrot hele Proask og køb nyt

Deloitte anbefaler et helt nyt system. Denne model er ifølge Gartner den dyreste. Det indebærer, at stort set alt det udførte arbejde og indkøbte systemer bliver skrottet. I stedet skal styrelsen sende en ny løsning i udbud.

Her anbefaler både Gartner og Deloitte et system baseret på standardsystemer. Mens Arbejdsskadestyrelsen var meget tidligt ude i forhold til et automatiseret sagsbehandlingssystem i 2008, så er der siden kommet flere standardløsninger på markedet, som vil kunne tilpasses.

Det vil dog ikke være helt billigt. Ifølge Gartner vil et helt nyt system koste Arbejdsskadestyrelsen mellem 60 og 100 millioner kroner og tage tre år at få implementeret. Deloittes vurdering af omkostningerne til et nyt system er slettet fra Version2's kopi af rapporten.

I det billede skal dog også medtages, at regnestykket for Proask ikke blot handler om anskaffelsesprisen, men også om driftsomkostninger, vedligeholdelse og gevinster ved effektivisering af arbejdsgange. Det kan på længere sigt give et standardsystem en fordel.

Hvad gik galt?

Hverken Gartner eller Deloitte placerer i det materiale, Version2 har fået indsigt i, et ansvar for, hvorfor Proask ikke fungerer. Version2 har også søgt om aktindsigt i de rapporter, der var grundlaget for, at Arbejdsskadestyrelsen overtog Proask fra Steria, men har fået afslag med begrundelse om, at rapporterne indeholdt oplysninger om leverandørens forretningsforhold.

Med de oplysninger, der er slettet i Deloitte-rapporten har vi altså endnu ikke et klart overblik over, hvad de aktuelle problemer med Proask konkret går ud på. Vi ved fra andre dokumenter, at der var problemer allerede ved overdragelsen, blandt andet fordi det driftsmiljø Statens IT leverede, ikke svarede til Sterias eget testmiljø.

Læs også: Nyt offentligt it-system vakler: Fem gange langsommere end system fra 1991

Sterias rolle i problemerne er også uvis. Leverandøren har været underlagt en kontrakt med fast pris. En stor del af de høje meromkostninger til udviklingen af Proask i forhold til budgettet er således kommet fra brugen af eksterne konsulenter undervejs. Steria har på sin side måttet betale bod og lægge yderligere udviklingstimer i projektet.

Læs også: Styrelse brugte mindst 14,4 millioner kroner ekstra på konsulenter til it-fiasko

Gartner-rapporten afslører dog også en usædvanligt kompleks arkitektur med 119 servere, hvilket synes temmelig højt. Brugen af visse komponenter som Novell Access Manager i et miljø, der ellers styres af Active Directory, tyder også på, at der har været problemer eller manglende kommunikation mellem dem, der har udfærdiget kravspecifikationerne til Proask, og dem der står for styrelsens it-drift.

Kravspecifikationen og udbudsmaterialet blev udfærdiget med hjælp fra Deloitte og PA Consulting. Sidstnævnte var også inde over Proask-projektet som ekstern rådgiver undervejs og Deloitte altså nu igen.

Læs også: Rapport afslører: Kodefejl og rod i projektstyringen sendte tidligt stort it-projekt på katastrofekurs

PA Consulting påpegede i et review i januar 2011, at arkitekterne på projektet var overbelastede. Det betød, at eksempelvis en afgørende test blev udført på baggrund af kravspecifikationen frem for dokumentationen for det implementerede system.

Ifølge nuværende beskæftigelsesminister Mette Frederiksen var der imidlertid ingen, som før den sidste rapport fra Deloitte, havde sagt, at Proask måske skulle stoppes.

Et nærliggende spørgsmål er derfor, om Arbejdsskadestyrelsen har fået fuld valuta for det tocifrede millionbeløb, styrelsen har betalt eksterne konsulenter til rådgivning undervejs. Hvis ingen af de eksterne konsulenter, som fulgte forløbet og fik indblik i arkitekturen, påpegede problemer, så står vi med to mulige konklusioner:

Enten var det umuligt at se, at Proask var på katastrofekurs, før det var for sent. Eller også har de eksterne konsulenter ikke fungeret som den sikkerhedsventil, de måtte forventes at være, når de indkaldes til at vurdere et projekt undervejs.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Adam Tulinius

"Overblik: Skandaleramt it-system til en kvart milliard kan blive 100 millioner dyrere"

Ok, jeg antager i bruger "milliard" for at få det til at lyde af mere, men det ville være rart hvis i ikke blandede enheder/prefix, og i stedet skrev 250 millioner + 100 millioner, i stedet for at skrive 1/4 milliard + 100 millioner.

På forhånd tak. ;-)

  • 5
  • 0
Olav M.j. Christiansen Blogger

Det må være din behagelige spøg!

En evt. IT-havarikommission vil formodentlig blive en endnu større IT-skandale end alle de andre skandaler tilsammen:

  • Den vil jo først gøre noget, når et projekt er 'havareret' (og hvem skal i øvrigt definere hvornår det er sket?) - på det tidspunkt er det jo alt for sent at gøre noget.
  • En kommission vil formodentlig blot påpege ting, som allerede er kendt i branchen, dvs. at man skal følge forskellige 'best practices' - intet nyt under solen.
  • En kommission vil både forsinke og fordyre de projekter, som allerede er blevet for dyre og forsinkede i forvejen.

Glem det. Det er et meget dårligt og uovervejet forslag. Havarikommissioner kan bruges af f.eks. transportbranchen, men IT-projekter er ikke lige så veldefinerede, at man kan finde den ultimative sandhed - allerhøjest en syndebuk.

  • 4
  • 10
Niels Henrik Sodemann

Den vil jo først gøre noget, når et projekt er 'havareret' (og hvem skal i øvrigt definere hvornår det er sket?) - på det tidspunkt er det jo alt for sent at gøre noget


Det var muligt at man kunne lære noget, således at det ikke sker igen.

En kommission vil formodentlig blot påpege ting, som allerede er kendt i branchen, dvs. at man skal følge forskellige 'best practices' - intet nyt under solen.


Det er muligt at årsagerne er kendt i branchen, men det du jo så indirekte siger er at ”branchen” havarerer projekterne uanset. Hvis det virkeligt er tilfældet, er det jo stadig en læring, som kan bidrage fremadrettet.

Havarikommissioner kan bruges af f.eks. transportbranchen, men IT-projekter er ikke lige så veldefinerede, at man kan finde den ultimative sandhed - allerhøjest en syndebuk.


IT-havarikommission skal eksplicit ikke finde syndebuk / lave ansvarsplacering, men afdække årsagerne til et givet havari.
Vi snakker jo ikke om peanuts, men om gigantiske nedsmeltninger. Vi kan da ikke bare feje det ind under gulvtæppet.
Luftfart er da minimum lige som komplekst som IT-projekter. Her er det en fast rutine at afdække årsager til havarier, med henblik på at forhindre gentagelser. Der er næppe nogen der vil betvivle at netop havarikommisionernes arbejde har været helt central for at forhindre at fly falder ned fra lusten.

  • 7
  • 1
Allan Astrup Jensen

En IT Haverikommission er en god ide, men den vil pt. drukne i arbejde. Lad os nu få et 2-års moratorium for nye offentlige IT-projekter og i mellemtiden bygge en "in-house" ekspertise op i kravspecificering og styring af fremtidige IT projekter. Måske er det ikke altid nødvendigt med nyudvikling. Måske er der allerede systemer der kan bruges (det var der for rejsekortet). Det er for mange individuelle ønsker og de externe konsulenter der koster kassen.

  • 2
  • 1
Olav M.j. Christiansen Blogger

Det var muligt at man kunne lære noget, således at det ikke sker igen.

Men den slags er jo gjort mange gange før, og det skal man selvfølgelig gøre løbende. Det bør være en fast del af alle projekter at man lærer både af gode og dårlige oplevelser, og det kræver bestemt ikke en dyr og bureaukratisk konstruktion i form af en IT-havarikommission.

F.eks. har den engelske stat for nogle år siden gennemgået en masse tidligere udførte projekter, og har ud fra det fastlagt et sæt metoder til at styre og udføre projekter under betegnelsen PRINCE2

Det er muligt at årsagerne er kendt i branchen, men det du jo så indirekte siger er at ”branchen” havarerer projekterne uanset. Hvis det virkeligt er tilfældet, er det jo stadig en læring, som kan bidrage fremadrettet.

Spørgsmålet er vel hvem der skal lære noget. Ofte er det jo slet ikke folk fra IT-branchen, der tager de endelige beslutninger i de store projekter, men f.eks. DJØF'er.

Måske er du heldig at have en dygtig og erfaren projektleder/programleder med IT-erfaring, måske har du nogle dygtige udviklere m.v. på et projekt, men hvis den øverste ledelse træffer nogle (set med en IT-persons øjne) uheldige beslutninger, er der ikke altid så meget at gøre ved det. Ofte går der jo politik i projekterne, og så har det intet med teknik at gøre.

IT-havarikommission skal eksplicit ikke finde syndebuk / lave ansvarsplacering, men afdække årsagerne til et givet havari.
Vi snakker jo ikke om peanuts, men om gigantiske nedsmeltninger. Vi kan da ikke bare feje det ind under gulvtæppet.
Luftfart er da minimum lige som komplekst som IT-projekter. Her er det en fast rutine at afdække årsager til havarier, med henblik på at forhindre gentagelser. Der er næppe nogen der vil betvivle at netop havarikommisionernes arbejde har været helt central for at forhindre at fly falder ned fra lusten.

Luftfart kan godt være komplekst ja, men det kan stadig ikke sammenlignes med et IT-projekt. Du kan bedre sammenligne det med IT-drift, som jo er en helt anden størrelse (med andre udfordringer).

I øvrigt: At 'afdække årsagerne' til et havari vil da også være med til at placere et ansvar. Det må da nødvendigvis hænge sammen.

Vi er helt enige om at der kan og skal gøres noget, men en IT-havarikommission (som jeg opfatter den) vil ikke give noget som helst.

  • 0
  • 3
Niels Henrik Sodemann

F.eks. har den engelske stat for nogle år siden gennemgået en masse tidligere udførte projekter, og har ud fra det fastlagt et sæt metoder til at styre og udføre projekter under betegnelsen PRINCE2

Mon ikke der er brugt PRINCE2 eller lignende på PROASK?
IT-projekterne i den engelske stat står absolut ikke tilbage for det vi lykkedes med i Danmark. NHS patient system har ind til videre kostet de Engelske skatteydere mere end 10 mia. pund. Jeg kan hurtigt finde en håndfuld andre havarede Engelske offentlige IT-projekter.

Luftfart kan godt være komplekst ja, men det kan stadig ikke sammenlignes med et IT-projekt

Hvorfor kan havari på f.eks. en ny flytype, der falder ned fra himmelen ikke sammenlignes med et havareret IT-projekt? (jeg minder her igen om ”De Havilland Comet”, se: http://bizzen.blogs.business.dk/2014/02/23/lad-os-fa-en-it-havarikommiss... )

I øvrigt: At 'afdække årsagerne' til et havari vil da også være med til at placere et ansvar. Det må da nødvendigvis hænge sammen.

Nej, ansvar er baseret på den indgåede aftale / kontrakt.

  • 1
  • 0
Janus Knudsen

Om jeg begriber sådan en tåbelighed der her er begået. Gang på gang ser vi monstrøse IT-projekter hvor alt skal presses igennem ned til mindste detalje. Tekniske projektledere uden idé om brugere og domænet fører alt for ofte til systemer der ikke tilfredsstiller brugsmønsteret.

De projektledere der sidder på det her projekt burde holde et møde og spørge hinanden om det virkelig er måden at drive et projekt på i 2014.

Det står soleklart for mig hvorfor sådanne projekter koster 100vis af millioner, men totalt tåget at man ikke kan finde ud af at følge en langt mere tidssvarende strategi kan løse opgaven for en væsentlig mindre pris.

  • 2
  • 0
Niels Henrik Sodemann

Når man har afdækket årsagerne, kan man tildele ansvaret. Når man har tildelt ansvaret, kan en sanktion indtræffe. Objektiv tildeling af ansvar er domstolenes arbejde.

Det kræver at årsagen er sammenfaldende med en misligholdelse af en aftale. I Proask sagen har der været tese om rigtig mange årsager, som ikke nødvendigvis bunder i en misligholdelse af en aftale.

  • 2
  • 0
Niels Henrik Sodemann

Hvis der er en misligholdelse af en aftale, er denne et udtryk for en effekt, der beror på en årsag.

I Proask er der én central aftale, nemlig fastprisaftalen mellem Kunden (ASK) og Leverandøren (Steria). Herudover en række øvrige aftaler:
1) Aftale med PA om konsulentbistand
2) Aftale med Kammeradvokaten om juridisk bistand samt udarbejdelse af kontrakt
3) Aftale med Deloitte om udarbejdelse af rapport om systemets tilstand
4) Aftale med Gartner om udarbejdelse af rapport om systemets tilstand

Det væsentlige her er at Kunden har accepteret at den af Leverandøren leverede løsning lever op til kontraktens krav ved godkendelse af overtagelsesprøven, samt at det leverede system lever op til de driftsmæssige krav ved godkendelse af driftsprøven.
Aftalerne (1) til (4) er sandsynligvis af typen hvor der alene garanteres et antal timer til en given pris og helt uden ansvar for at der tilvejebringes et kørende system.
Så i den givne sag er det svært at se at der foreligger en misligholdelse. Alligevel er der en forventning om en udgift til skatteborgerne på 250 mio.

  • 1
  • 0
Niels Henrik Sodemann

En - af kunden - godkendt overtagelsesprøve friholder ikke leverandør for misligehold.

I praksis, Jo!

Men det er sådan set underordnet. Årsagen kan som nævnt ligge rigtig mange andre steder end de som er reguleret af den pågældende kontrakt.

Det bør undersøges til bunds, med henblik på at sikre at det ikke sker igen. IT-havarikommission er endog rigtig godt bud.

  • 2
  • 0
Michael Weber

I praksis, Jo!

Men det er sådan set underordnet. Årsagen kan som nævnt ligge rigtig mange andre steder end de som er reguleret af den pågældende kontrakt.

Det bør undersøges til bunds, med henblik på at sikre at det ikke sker igen. IT-havarikommission er endog rigtig godt bud.

Det er mit indtryk, at retspraksis på området er mangelfuldt.

En IT-havarikommission vil være en god idé.
Den kunne starte med at se på effekten af eventuelle fejl og fastslå årsagerne.
Og derfra finde ud af, hvem der har ansvaret for fejlen(e).

Med en sådan rapport, kan én af parterne så vælge at gå til domstolene eller lade være. For domstolene vil det være nemmere - med en rapport fra en IT-haverikommision - at fastslå, hvem der har ansvaret og om der er et eventuelt misligehold af en kontrakt.

Leverandør kan jo godt være ansvarlig - teknisk set - men kontraktligt ikke.
(F.eks. vag formuleret kontrakt.)

  • 0
  • 0
Niels Henrik Sodemann

En IT-havarikommission vil være en god idé.

Godt at høre at vi er enige ;-)

IT-havarikommission vil klart være det mest værdiskabende tiltag ifm. havarierne på de offentlige IT-projekter.

Den "mørklægning" som der bla. forsøges med på bla. Proask er desværre ikke unormal og efter min klare overbevisning blandt årsagerne til havarierne. En rimelig rettidig omhu i omgang med offentlige midler bør være en præmis, herunder at tage ved lære og forhindre gentagelser.

  • 2
  • 0
Log ind eller Opret konto for at kommentere