Fine betragtninger / svar, dog uden at komme til noget nyt / det essentielle. Hvad er årsagen, hvorfor får ”det” lov til at fortsætte, hvem er de ”man” der fastholder det nuværende juridiske paradigme?
Det er ligesom så meget andet indenfor it. Hvis man ikke ved hvad der går galt, er det svært at tage ved lære og sikre at man ikke gentager samme fejl.
Måske et forslag til @version2 for et opfølgende interview med Ole Horsfeldt?
Udbudsreglerne har en væsentlig del af skylden.
Nok nærmere ”Den særegne Danske fortolkning af Udbudsreglerne”. EU’s udbudsregler bliver fortolket og frem for alt benyttet på mere pragmatisk vis i andre EU lande.
Man er i flere lande kommet til den erkendelse som du beskriver. I de lande ligner software udbud mere noget der er relateret til software end et anlægsarbejde.
Når du skal anskaffe ny bil, hvad tror du så bedst nedsætter risikoen for et fejlkøb? En hyldemeter teknisk info, certificeringer og diverse CV'er fra hver bilfabrik? Eller en prøvetur (evt. i modellen før) samt relevante anmeldelser fra andre bilkøbere og uafhængige (praktiske) testvirksomheder?
Nej for ….., ingen som I absolut INGEN kunne I deres vildeste fantasi forestille sig at lave indkøb sådan som det er praksis på de offentlige it-projekter, hvis man gør det for egne penge / ressourcer.
Alle vil selvfølgelig kigge på mulige løsninger, have dialog med relevante leverandører, prøve dele af / hele løsninger i en periode, drøfte pris, forhandle osv. osv. Det hele foregår i dag i en uendelig rigid proces og nærmest ”build to fail”. Desuden så det hele helst skal foregå i dølgsmål og med meget lukkede processer.
Nu har det blot været praksis at lave det på den særegne udbudsform vi har i Danmark gennem de sidste +20 år og unægtelig ikke med særlig stor succes. Man har i mange andre EU lande fundet ud af at gøre det en del anderledes og som en fornuftig indkøber ville gøre det. Hvorfor skal vi acceptere at cirkusset fortsætter i Danmark uden at den fundamentale struktur og proces laves om?
Beklager, men skyttegravskrig indenfor umulige rammer løser intet. Nogen bliver nød til at tage affære og få lavet rammerne / strukturen om. Det kan kun starte der hvor rammerne bliver sat.
Uden sådanne krav til omdømmehåndtering samt krav til at leverandøren på udbud tidspunktet kan demonstrere lignende løsninger med en rimelig funktionalitet, er jeg enig i at et udbudssystem er det rene gøgl.
Joker du? Det er jo netop sådan prækvalifikationsprocessen fungere i Danmark.
Alle kan anmode om at blive prækvalificerede. Der er oftest krav til omsætning inden for området og en ”pæn” soliditet som dokumenteres i prækvalifikations materialet.
Herefter en omfattende gennemgang af de påtænkte medarbejderes CV’er, deres erfaringer med lignende projekter og desuden en oplistnings af de projekter virksomheden succesfuld har udført.
Med en behandlingstid på ca. 3-5 uger vende opdragsgiver så tilbage til 3-6 virksomheder, der er blevet erklæret egnet til at løfte den udbudte opgave. De udvalgte virksomheder får så tilsendt de 3-20 ringbind med vandfaldskontrakten samt en myriade af ufravigelige krav. Man har så ca. 40 dage til at aflevere et tilbud.
Så på nogen som helt måde at anfægte at de virksomheder som man prækvalificerer er de rigtigt, er blot et selvmål, der tydeliggør hvor syg processen / strukturen er.
Man kunne også omvendt spørge, hvorfor Lars Frelle tillader statslige myndigheder at kaste kravspecifikationer på 1.000 sider ud på markedet når alle ved, at det ikke er den måde, man får den bedste løsning på?
Fordi rammesætningen af it-projekterne ikke bestemmes af Lars Frelle, men af Kammeradvokaten. Kammeradvokaten har ikke til opgave at sikre god it-understøttelse i det offentlige, men at sikre retfærdighed for borgere, samt for virksomheder i EU.
Kammeradvokatopgaven har ligget hos samme private advokatfirma de sidste 80 år uden konkurrenceudsættelse. Mon ikke også at en stort del af tilgangen blot er en konsekvens heraf og som beskrevet i monopol teori.
Hvordan er kvaliteten af de rapporter du modtager?
Det er ikke rapporter, men fungere som følgende. Vi opretter et timeslot på f.eks. en måned hvor godkendte hackere så prøver at finde huller i vores system.
Hvis de finder et hul og/eller det der ligner et hul opretter de en rapport på en portal, inkl. en beskrivelse af hvad præcis man gør for at udnytte hul. Der er ca. en A4 side i omfang i gennemsnit. Vi skal så vurdere beskrivelse af hul samt kritikallitet. Når vi godkender en rapport trækkes bounty på mellem$100 og $1500 på vores konto.
Vi startede på et niveau hvor vi havde lukket alle huller fra McAfee Secure, samt var PCI complient og relativt sikre på at alt var i orden. Jeg tror at vi har lukket mere end 50 huller siden dengang (og betalt en del bounty).
Eller benytte platform som danskstartede https://cobalt.io. Vi har brugt dem i nogle år og man må bare konstatere at det er relative vildt hvor mange huller der er I vores kode, som vi har ment var i orden.
Det er selvfølgelig ekstremt frustrerende når huller bliver fundet, både fordi de skal rettes, men også fordi vi skal betale en Bounty på mellem $100 og $1500.
Rigtig meget pen test i det offentlige sker efter ”lænestols modellen”, med traditionelle konsulenter / værktøjer. Man må bare konstatere at hackerne ude i den store verden, har et kæmpe forspring i viden og værktøjer. Det er selvfølgelig derfor, der dukker som mange sager op.
PS: Frederiksberg / KMD sagen havde minimum givet en $1500 bounty.
Nu sad jeg selv for 20+ år siden og skrev offentlige udbud. Og kan genkende det du skriver. Men jeg ville ikke kalde det en EU retfærdigheds kultur.
Måske du kan huske fra dengang at der på de store udbud blev brug en kontrakt, som beskrev hvad der skulle leveres (kravspec.), hvornår det skulle leveres, en formel overtagelsesprøve og en driftsprøve, samt en række bestemmelser om hvem der er ansvarlig for hvad.
Som du måske også husker, så var meget af denne måde at gøre det på fastlagt af Kammeradvokten og fulgt op på af Rigsrevisionen, hvis det ikke gik godt. Alt hvad du har lavet, har blot været at udfylde nogle bilag i denne fastsatte ramme.
De to, der styrer ”festen” har til opgave at sikre retfærdighed for borgere samt virksomheder i EU. Det har ikke direkte noget med kultur, dårlige chefer etc. etc. at gøre. Det du (og jeg) lavede for +20 år siden har ikke ændret sig i Danmark. Det er stadig samme rammer og samme resultater.
Jeg har ret svært ved at acceptere at ”sikre retfærdighed” og lave gode it-projekter skulle have noget med hinanden at gøre. Som jeg har beskrevet det tidligere i denne post, så er denne fasttømrede sammenblanding ikke en præmis, men blot en særegen Dansk fortolkning af EU regler.
Prøv f.eks. at se på den sviner Rigsrevisionen langer ud efter Skatteministeriet i en ny rapport for den "mangelfulde styring af økonomien i udviklingen" af et nyt system til vurdering af ejendomme. Skatteministeriet forsøger for en gangs skyld at gøre det på en anden måde end ”retfærdigheds” / anlægs paradigmen.
Men jeg kunne forestille mig, at man arbejder under næsten umulige forhold. Jeg har været der.. jeg har siddet i en EA afdeling .. nej faktisk et par stykker, hvor det .. ja kørte fuldstændigt af sporet. Hvor den 'lokale topledelse' simpelt hen slagtede afdelingen fordi den var "farlig".
Det har, som du rigtigt påpeger, være i gang siden 2003. Så snart 15 år på bagen, hvor ”gode folk” har forsøgt at skabe ordentlig it-understøttelse i det offentlige, herunder på mange af store projekter, der er kørt i hegnet.
De ”gode folk” indenfor projektledelse, EA, drift mv. både fra leverandørerne og kunderne selvfølgelig gjort deres bedste for at skabe gode projekter. Der er sikkert nogle steder for ledelses forankringen af EA og/eller projekterne ikke har været god nok. Jeg har dog også deltaget i projekter hvor topledelsens / direktionens deltagelse og indsigt har været helt i top.
Det du overser, er at ”festen” styres af helt andre agendaer end de agendaer som gode direktioner og ”gode folk” som drømmer om. Agendaen er primært at yde borgerne samt virksomheder i EU retfærdighed. De der styre denne agenda er derfor mere optaget af at alt skal beskrives, at der er et entydigt ansvar projektets elementer, således at ansvar kan placeres. Derfor ender det ofte med at der går 5-7 år fra en projekt ide fødes og indtil der er en leverance klar til en overtagelsesprøve. Alene de 5-7 år gør at sandsynligheden for at teknologiske forandringer undervejs toppet af andre ændringer gør det uendeligt svært at skabe et ordentligt projekt.
Det simple forhold, at der er stor diskrepans mellem den overordnede retfærdigheds agenda og projektets agenda, gør det uendeligt svært for ”gode folk” at få lavet ordentlige projekter. Dermed ender det jo så også med at ”gode folk” selv bliver en del af problemet.
kopi af Hvidbogen og EA frameworket fra ca. 2013 liggende.
2003, skulle der have stået.
Så måske er 'a few good men' (m/k) placeret på det rigtige sted på det rigtige tidspunkt det der skal til.. igen.. en lavine (som har meget momentum) starter også med at en mindre mængde sne begynder at skride....
Ja, der er helt sikkert gode folk ”derude” og det har der sådan set været i rigtig rigtig mange år. Jeg har en kopi af Hvidbogen og EA frameworket fra ca. 2013 liggende. Der er selvfølgelig sket lidt justeringer, ligesom der også er sket lidt justeringer på de standard kontrakter som benyttes. Jeg har også haft kolleger der som eksterne konsulenter har bidraget i arbejdet fra ca. dengang.
Status er blot at stort set intet er ændret over de sidste 15 år. Prøv en gang at kigge på denne posts overskrift. Hvor mange dekader skal vi fortsætte med at tro på at lidt ”sne” kan føre til fundamentale ændringer`?
Med ændringer mener jeg ikke lidt ekstra ressourcer til de der laver ”sne”, men at projekterne ikke bliver ved med at ende i hegnet.
@Jesper IMHO så virker den model man kører med i øjeblikket ikke. Det der udbydes bør i så høj grad som muligt være reduceret til kuglepen udbud, set med IT-øjne.
Det er jeg enig i. Problemet er blot, at det ikke bliver lavet om. Der er simpelthen for mange modstridende tese om hvad problemet og dermed hvad løsningen er.
Og så skal de offentlig selv være istand til at binde disse ting sammen til et projekt.
Hvor forestiller du dig at forandringen skal komme fra?
Det er sikkert rigtigt - men hvorfor i al verden har vi dog gjort det? I mine øjne "skummelt".
”Hvorfor” taber sig i historien. Kammeradvokatens virke nedstammer i vid udstrækning fra enevælden i Danmark. Siden 1936 har embedet været besat af en partner fra advokatfirmaet Poul Schmith ved kongelig udnævnelse og efter 2015 ved aftale med firmaet som helhed gennem Finansministeriet.
Der er sådan set ikke noget underligt i at monopoler kan give uhensigtsmæssigheder, det er beskrevet i temmelig meget litteratur.
Det mystiske er sådan set, at der ikke er en central placeret embedsmand eller politikker, der sådan bare på abstrakt plan, vurdere om det er hensigtsmæssigt at have en monopol virksomhed til at sætte rammerne for it-projekterne, have en væsentlig aktie i igangsættelsen samt står for den efterfølgende oprydning når de samme projekter er kørt i hegnet.
Hvis det ikke er sandt - hvilken begrundelse har vi så herhjemme for at foretrække "dølgsmål"?
Danmark er så vidt jeg ved det eneste EU land der har givet de-facto monopol til et privat advokatfirma til at håndtere disse projekter. Mon ikke blot det er en konsekvens heraf?
Det lyder interessant. Kan du uddybe?
Med ”anlægs tilgang” mener jeg, at vi i Danmark tænker it projekter som et anlægsarbejde, altså med en monster vandfalds kontrakt med fast pris, fast tidsplan og tusindvis af siders kravspecifikation. Uanset at det f.eks. er i modstrid med Bonnerup rapportens anbefalinger fortsætter det. Med ”dølgsmål” mener jeg man forsøger at holde projekternes forhold hemmelige, i stedet for at have en mere åben lærende tilgang. Det gælder både før projekterne igangsættes, mens de afvikles og særligt hvis det bliver kørt i hegnet. For at tage et eksempel, så fastlægger EFI kontrakten leverandøren tavshedspligt.
De ”brune kuverter” har jeg set i et par af de nye EU lande sydpå. Jeg har medarbejdere fra et af landene og der er ikke noget der tyder på at der er sket en forbedring på det seneste.
Det er min opfattelse at Danmark ligger helt i top indenfor EU ifm. retfærdig og objektiv udvælgelse af leverandører på EU udbud. Jeg har ikke noget empiri der understøtter opfattelsen og der er jo også verserende sager i Danmark, det måske giver et andet billede.
Så i praksis er lovgrundlaget langt fra ens, nogen gang MEGET langt fra...
Nej, det er faktuelt forkert.
Indkøb er reguleret af et fælles EU direktiv (http://eur-lex.europa.eu/legal-content/DA/TXT/?qid=1424946753358&uri=CELEX:32014L0024).
På samme vis er en række områder reguleret af fælles EU lovgivning. Det gælder f.eks. indenfor told, fiskeri, landbrug, innovation, visering mm.
Jeg mener så at der er et underliggende problem igen under det her, nemlig et politisk problem, at den implementering af vores politiske system, ikke fremmer fagligheden i de ting, som man politisk beskæftiger sig med.
Nu er der jo en del af de offentlige it-projekter, som har deres rod I fælles EU lovgivning og/eller forordninger. I disse projekter er lovgrundlag 100% ens. Jeg har været inde over en række sådanne projekter også udenfor Danmark. Pga. af størrelse af disse projekter, køres de efter EU udbudsdirektiv.
Det har gjort specielt 2 ting klokkeklare for mig:
- Der er meget stor varians in processen omkring udbud i de lande jeg kender / har medvirket i. Nogle steder langt mere i den retning som du forslår. Få steder med samme anlægs / dølgsmåls tilgang som i Danmark men også steder med brune kuverter osv.
- Der er meget stor forskel i succesraten ifm. implementering på den samme forordning mellem landene. En række af de udskældte firmaer herhjemme er også centrale spillere i andre lande og projekter har været alt fra succes og til noget med lagt værre udgang end i Danmark. I England har de bla. kunne krydre en offentligt katastrofe projekt med sexskandaler og 2 fyrede ministre.
Når man se på de sammenlignelige projekter og de varians der finde kan det ikke alene være ”et politisk problem”, men må indeholde væsentlig elementer af forskellige rammebetingelser samt selve udførslen.
Der er ekstremt mange aktører indblandet i disse projekter, Folketingets Finansudvalg, ministerier, styrelsers, konsulenthuse, Kammeradvokaten, advokatfirmaer generelt, Rigsrevisionen, leverandørerne, pressen, Digitaliseringstyrelsen, IT Projektrådet osv. Alle aktørerne har autopilot på hver gang problemerne diskuteres og kommer altid med gode løsningsforslag, der lige netop understøtter deres egen berettigelse.
Ingen, som i absolut ingen, vil opsætte sådan et omfattende system af ”toldere og farisæere” hvis de skal drive projekter for egne ressourcer. Mon ikke blot at mange af disse har glemt, at de er til for borgernes skyld, ikke deres egen.
Min take som altid, man bliver nød til at kende årsagerne før man kan løse problemerne.
Jeg tror ikke man får styr på tingene i offentligt regi før man går EA vejen. Og det er man IMHO ikke på vej til.
Hvis du har ret, så er Rådet en ren katastrofe, da den garant man læner sig op ad 100% skærmer for de reelle problemer...
Derfor er det vigtigt, at det de får præsenteret har været 'tygget' af IT-folk (Meget meget gerne EA'ere), så det IT-faglige også er i orden.
Så du mener, at rådet har sat projektet i grøn fra før det startede og til næst seneste evaluering uden at undersøge om har været lavet behørigt teknisk / EA arbejde på projektet?
Er der nogen, der kan fortælle mig, hvor Statens It-projektråd er henne i denne her sag? De er jo sat på jorden for at hindre at statslige it-projekter over 10 mio.kr. går galt. Har de også fejlet?
Nej da, men de har da konstateret at ”Projektet har ikke oplyst varigheden af forsinkelsen og en evt. budgetoverskridelse, hvilket It-projektrådet finder beklageligt. It-projektrådet har tildelt et rødt trafiklys på baggrund af de forelagte oplysninger.” for at citere Statens projektråds seneste rapport.
Forhindre er der jo så ikke ligefrem tale om, men de har da både fundet det beklageligt og så givet et rødt trafiklys i bagspejlets klare lys.
“When will they ever learn?”
Niels Henrik Sodemann