Artikel top billede

(Foto: Anatoly Vartanov (c) 2008 / Anatoly Vartanov aka UltraONE)

Stor rapport afslører: Derfor kørte Polsag helt af sporet

En skræk-rapport fra Rigsrevisionen afslører det ene svigt efter det andet under det skandaleramte Polsag-projekt. Her får du den fulde forklaring på, hvorfor det gik så galt.

Læs også: Hård kritik: Rigspolitiet får tærre tæsk for Polsag

Rigsrevisionens rapport om Polsag-projektet afslører det ene svigt efter det næste.

For at begynde et sted i den mere end 50 sider lange rapport, så var det droppede it-projektet med flere års forsinkelser og en regning på over en halv milliard kroner længe uden ledelsesmæssig forankring.

"Frem til 2010 forankrede Rigspolitiet ikke Polag i den øverste ledelse på en måde, der tog højde for, at projektet ville få betydelige konsekvenser for hele politiets organisation og derfor krævede en stærk ledelsesmæssig forankring," hedder det i rapporten, som Computerworld er kommet i besiddelse af.

Både Justitsministeriet og Rigspolitiet får kritik i undersøgelsen. Hovedleverandøren, CSC, bliver ikke på samme måde sat under lup.

"Vi behandler i beretningen nogle af de mange årsager til, at Polsag blev lukket. Det er i den forbindelse vigtigt at understrege, at vores revisionsadgang omfatter Justitsministeriet og Rigspolitiet. Beretningens resultater afspejler dette, selv om udfaldet af Polsag-projektet også var et resultat af leverandørens indsats," skriver revisionen i rapporten.

Grundlaget for at hive nødbremsen

Rigsrevisionen har blandt andet undersøgt, hvad Justitsministeriets grundlag var for at lukke Polsag.

Her peger man på, at Justitsministeriet inddrog "både økonomiske, tekniske og leverandørmæssige risici, der var relevante for at vurdere projektets fremtid, i grundlaget for at lukke Polsag."

"De tekniske undersøgelser, der indgik i grundlaget for at lukke Polsag, rejste alvorlig tvivl om svartiderne, men konsekvenserne af undersøgelsernes resultater var usikre," hedder det også.

Men udvalget, der anbefalede at lukke Polsag, var opmærksom på usikkerheden og lagde vægt på, at svartiderne endnu ikke var tilfredsstillende dokumenteret, står der.

De ekstra millionregninger

Kritikken er imidlertid hård, når det gælder Justitsministeriets information til Folketinget om midler til projektet.

Læs mere her.

Rent faktisk anbefaler Rigsrevisionen, at Finansministeriet overvejer, "hvordan bevillingsmyndighederne fremadrettet orienteres i tide, når et it-projekt udvikler sig anderledes
end forventet".

Udvidelsen af budgettet på 72 procent fra 2007 til 2010 kunne ifølge Justitsministeriet henføres til "tekniske miljøer, nye udviklingspakker, forsinkelser og designændringer og en ny reserve."

"Den største enkeltstående årsag til fordyrelsen var etablering og drift af tekniske miljøer, der øgede bevillingen med 75,2 mio. kr. (2010-priser)" hedder det i rapporten.

Endvidere var udviklingen af Polsag-projektet var opdelt i såkaldte udviklingspakker.

"En del af fordyrelsen, i alt 62,3 mio. kr. (2010-priser), skyldtes 2 nye udviklingspakker, der tilføjede ny funktionalitet
i forhold til de oprindelige krav," hedder det videre.

Men dertil kommer de interne ressourcer hos politiet.

Interne ressourcer på 100 mio plus

Og de interne ressourcer oplyste man ikke noget om forinden.

"Det er Rigsrevisionens opfattelse, at de interne resurser var en væsentlig forudsætning for at realisere projektet, hvorfor det havde været naturligt, om Justitsministeriet havde oplyst det forventede omfang af de interne omkostninger i aktstykkerne i 2007 og 2010," hedder det i rapporten.

De interne lønomkostninger omfattede blandt andet tid brugt på projektledelse, test og uddannelse og støtte af brugerne, oplyses det.

Post på 145 millioner kroner

Projektet endte med at koste cirka 567 millioner kroner, hvoraf de cirka 145 millioner kroner gik til interne lønomkostninger, oplyser Rigsrevisionen i rapporten.

Fra 2007 til 2010 blev bevillingen til Polsag iøvrigt udvidet med 72 procent fra 236 millioner kroner til 405,5 millioner kroner.

Selvom den måde, Rigspolitiet styrede projektøkonomien på, "gav tidstro og deltaljerede økonomioplysninger" ifølge revisionen, så medtog man ikke andre udgifter.

"Interne resurser indgik dog ikke i styringen af projektøkonomien, selv om de havde et betydeligt omfang," lyder det fra Rigsrevisionen.

Desuden betalte man regninger til leverandøren CSC, selvom man slet ikke have hjemmel til det, fremgår det af rapporten.

CSC-fakturaer betalt uden hjemmel

Under overskriften "Bevillingsoverholdelse - betaling uden hjemmel" behandler Rigsrevisionen dette punkt.

Efter at Rigspolitiet og leverandøren i efteråret 2008 aftalte at replanlægge projektet, men inden kontrakten blev underskrevet, gik leverandøren i gang med de nye opgaver, oplyses det.

"Leverandøren fremsendte fakturaer for opgaverne, men Rigspolitiet betalte dem ikke i starten, blandt andet med henvisning til, at kontrakten var underskrevet
med forbehold for bevillingsmæssig godkendelse, og at en sådan endnu ikke var opnået."

Betaling før hjemmel

Men en stikprøve viste har også vist betaling uden hjemmel.

"Rigsrevisionens stikprøve af udvalgte fakturaer relateret til replanlægningen har vist, at Rigspolitiet i marts 2010 betalte en faktura på 18 millioner kroner for ydelser under den replanlagte kontrakt."

"Det skete, før der var bevillingsmæssig hjemmel hertil. Den hjemmel opnåede Justitsministeriet først med Finansudvalgets godkendelse af aktstykke nr. 66 af 30. november 2010.
Betalingen omfattede aktiviteter gennemført i perioden juni 2009 - september 2009," hedder det i rapporten.

Rigspolitiet har dog oplyst, at to tredjedele af de i alt 18 millioner kroner vedrørte opgaver under den nye kontrakt, ifølge rapporten.

"Det svarer til, at Rigspolitiet betalte 12 millioner kroner, før der var hjemmel til det," skriver Rigsrevisionen.

Justitsministeriet har oplyst, at Rigspolitiet efterfølgende modtog yderligere fakturaer fra leverandøren, men at disse først blev betalt den 17. december 2010 umiddelbart efter, at Finansudvalget godkendte aktstykke nr. 66 af 30. november 2010, oplyses det.

"Rigspolitiet har oplyst, at leverandøren i alt fremsendte 11 fakturaer til en samlet værdi af 46,7 mio. kr. under den replanlagte kontrakt, og af de 11 blev kun den ene faktura på 18 mio. kr. betalt, før der var hjemmel til det," fremgår det af rapporten.

Angiveligt skulle der have været "stort fokus på og dialog
mellem myndighederne" - altså Rigspolitiet og Justitsministeriet - om at "sikre, at fakturaer under den replanlagte kontrakt ikke blev betalt, inden Justitsministeriet havde opnået hjemmel".

Men ikke alt gik efter planen. I hvert fald endte det langt fra en standard-løsning, som man endte med at få.

Så meget blev special-udviklet

I slutningen af 2004 fik politiet en konsulent til at vurdere, om Polsag kunne baseres på to FESD-leverandørers løsninger, fremgår det.

"Den 3. leverandør inden for rammeaftalen ønskede ikke at deltage," skriver Rigsrevisionen, der heller ikke nævner navnene på det to andre leverandører.

Men analysen lå færdig i september 2005.

"Konsulenten vurderede overordnet, at det var muligt for Rigspolitiet at anskaffe en FESD-baseret løsning, ligesom det var muligt at gennemføre de fornødne tilpasninger på en måde, så det ifølge konsulenten var i overensstemmelse med
FESD-rammeaftalen og udbudsreglerne," står der i rapporten.

"Den valgte leverandør gjorde under analysen opmærksom
på, at en løsning inden for FESD-rammen baseret på Captia ikke var den bedste løsning teknisk set, og at mængden og typen af specialudvikling ville være stor," står der i rapporten.

Ministerium: Ikke klart bedskab
Men det blev der ikke lyttet til.

"Justitsministeriet har oplyst, at leverandørens udmelding ikke blev opfattet som et klart budskab om, at det var mere risikofyldt at anskaffe Polsag inden for end uden for FESD-rammeaftalen," fremgår det af rapporten.

Justitsministeriet har videre oplyst, at "også en løsning med 100 procent nyudvikling ville være kompleks og risikofyldt, og at der ikke fandtes standardløsninger, der kunne opfylde
politiets behov".

"Endelig har ministeriet oplyst, at det allerede fra starten af Polsag-projektet var klart, at Polsag udviklet inden for FESD-rammeaftalen ville forudsætte betydelig specialudvikling."

Rigsrevisionen er da også kritisk på dette punkt.

"At det tidligt var klart, at den valgte løsning forudsatte betydelig udvikling, betyder efter Rigsrevisionens opfattelse, at Rigspolitiet i designet og udviklingen af Polsag burde have været ekstra opmærksom på ikke at øge omfanget yderligere," står der i rapporten.

"Rigsrevisionens eksterne it-eksperts gennemgang af udvalgte designdokumenter viser, at Polsag nu indebar en betydeligt større udviklingsopgave, end der måtte forventes ud fra
kontraktens løsningsbeskrivelser."

"Blandt andet krævede designet cirka 500 kundespecifikke tabeller ud over de cirka 300 tabeller, der var indeholdt i Captia."

Også eksterne konsulentrapporten pegede på det ømme punkt.

"I 2009-rapporten blev det konstateret, at underleverandørens tidsforbrug til designet af Polsag blev 7 gange højere end de estimater, der lå til grund for kontrakten," hedder det, ligesom det oplyses at underleverandøren dog selv afholdt ekstraomkostningerne.

"I den eksterne konsulentundersøgelse fra 2011 blev det vurderet, at 80 procnet af den samlede leverance var skræddersyet, mens 20 procnet var standard. Ifølge konsulentundersøgelsen var det modsatte tilfældet for de fleste andre kunder," hedder det dog om en anden konsulentrapport.

Dertil kom, at kontraktstyringen ikke var iorden.

Kontrakterne hang ikke sammen

Rigsrevisionen er også efter den måde, kontrakterne under projektet var skruet sammen på.

"Der var ikke sammenhæng mellem de forskellige kontrakter, som Rigspolitiet benyttede til at anskaffe Polsag. Fx måtte Rigspolitiet i en periode betale for drift af testmiljøer, selv om de ikke kunne bruges, fordi Polsag-applikationen, der skulle bruge miljøerne, var blevet forsinket," hedder det i den mere end 50 sider lange rapport.

Derudover fremgår det, at betalingen af leverandøren under hovedkontrakten, som var den økonomisk største, ikke var knyttet til indholdet af leverancen, men alene til de forbrugte timer hos leverandøren.

"Det var set i lyset af det betydelige udviklingsarbejde uhensigtsmæssigt ikke at sikre en kobling mellem betalinger og leverancer. Kombineret med at projektet ikke var opdelt i
selvstændige faser, hvor Rigspolitiet kunne stoppe op og få vished om projektets kvalitet, gav det Rigspolitiet begrænsede styringsmuligheder over for leverandøren," hedder det.

Fik ingen garanti for samlet svartid

Også svartiderne skulle styres via kontrakter, men også her var der bøvl.

"Rigspolitiet opstillede krav til Polsags svartider i kontrakten, men kunne ikke få leverandøren til at garantere den samlede svartid, når systemet skulle kommunikere med andre
it-systemer."

"Det medførte en risiko for, at systemet kunne leve op til de kontraktuelt fastsatte svartider for Polsag, men stadigvæk give brugeren en utilfredsstillende oplevelse af svartiderne, når randsystemerne blev koblet på," hedder det i rapporten.

Alt i alt var kontrakterne et problem.

"Kontraktgrundlaget voldte undervejs problemer for Rigspolitiet," står der i rapporten.

Det hele blev heller ikke lettere af, at der manglede skriftlig dokumentation - angiveligt så Rigspolitichefen kun ét Polsag-papir.

Èt Polsag-papir til Rigspolitichefen

"Der har i forløbet været mangel på skriftlighed om en række centrale beslutninger, fx ved valget af leverandør og beslutningen om at gå i pilotdrift på Bornholm," fremgår det af rapporten.

"Det har efter Rigsrevisionens opfattelse begrænset Rigspolitiets løbende overblik over det hidtidige sagsforløb i et så omfattende og langstrakt projekt," konkluderes det.

Faktisk har det også hindret Rigsrevisionens arbejde.

"Rigsrevisionen har i undersøgelsen ikke haft adgang til et fuldstændigt materiale. Det skyldes 2 forhold."

"For det første har Rigspolitiets ledelsesbehandling været karakteriseret ved manglende skriftlig dokumentation. Rigspolitiet har oplyst, at alle væsentlige, overordnede spørgsmål fra programmets start blev forelagt og godkendt af rigspolitichefen, og at disse drøftelser foregik på et mundtligt grundlag i overensstemmelse med de samarbejdsprocedurer, der generelt var gældende i politiet på det tidspunkt. Derfor er ledelsesmæssige overvejelser og beslutninger ikke dokumenteret."

Mere end et år uden styre-referater

"For det andet har Rigspolitiet kun i begrænset omfang kunnet dokumentere møder i leverandørstyregruppen i en periode fra april 2010 og frem til september 2011," hedder det i rapporten.

Men det måske mest iøjnefaldende er - på trods af million-projektet manglende forankring i topledelsen - at Rigspolitichefen ikke så ret mange Polsag-papirer.

I hvert fald hedder det i rapporten:

"Rigsrevisionen har ved sin sagsgennemgang kun fundet dokumentation for 1 skriftlig forelæggelse for rigspolitichefen om POLSAG, og Rigspolitiet har ikke kunnet identificere yderligere."

Anderledes har der været "produceret store mængder skriftligt materiale i projektforløbet, fx i de tekniske spor i form af testrapporter."

"Men de centrale beslutninger truffet af projektledelsen og den øverste ledelse, fx i overgangene mellem forskellige faser i projektet, blev generelt ikke bakket op af skriftligt materiale," hedder det.

Heller ikke valget af leverandør blev dokumenteret.

"Beslutningen blev baseret på en konsulentrapport fra september 2005. Den målte 2 mulige FESD-leverandører på 6 forskellige parametre, men pegede ikke på den ene frem for den anden. Rigspolitiet udarbejdede derudover ikke et skriftligt beslutningsgrundlag ved valget af leverandøren."

"Rigspolitiet har oplyst, at det indledende leverandørvalg blev truffet ved en mundtlig forelæggelse for rigspolitichefen," står der i rapporten.

Desuden blev økonomien i projektet, der endte med at blive en regning på over en halv milliard kroner, styret via et regneark.

Eksterne konsulenter og regneark

Netop økonomien i projektet bar også præg af stor brug af eksterne konsulenter.

"Rigspolitiet har opgjort, at Rigspolitiet i perioden 2007 - maj 2012 anvendte cirka 73 millioner kroner på eksterne konsulenter, hvilket på daværende tidspunkt udgjorde 20 procent af omkostningerne til Polsag (ekskl. interne lønomkostninger)," står der i rapporten.

"Der er dermed tale om, at konsulentforbruget udgjorde en betydelig andel af omkostningerne til Polsag-programmet," konkluderes det.

Især var det dog et problem, at Rigspolitiet selv manglede folk til projektledelse.

"Omfanget oversteg langt det forventede niveau og betød, at også centrale roller, der burde have været forankret i Rigspolitiets egen organisation, blev varetaget af eksterne konsulenter," hedder det i rapporten.

Ros til regneark

Rapporten om det skandaleramte projekt har dog også visse punkter, der ikke får kritik med på vejen.

Under behandlingen af Rigspolitiets interne styring af projektøkonomien oplyses det, at "for at understøtte styringen af Polsag-programmet udarbejdede Rigspolitiet et regneark,
der blev brugt til at udgiftsstyre programmet."

"Oplysningerne i regnearket var ifølge Rigspolitiet mere tidstro og mere deltaljerede end i Navision (økonomisystem brugt i staten, red), hvor regnskabsoplysningerne ofte først bliver registreret 1 måned efter, en faktura er modtaget," hedder det i rapporten.

Regnearket blev brugt til at opstille budgetter på baggrund af for eksempel betalingsplaner og indgåede
kontrakter," oplyses det.

"Modtagne fakturaer blev registreret i regnearket forud for betalingen i regnskabssystemet, hvilket gav et aktuelt billede af udviklingen i budgetter og forbrug under Polsag-
programmet."

Regnearket gjorde det således muligt for projektets økonomiansvarlige at følge budgetter og forbrug.

Men "Rigspolitiet har ikke kunnet dokumentere ledelsesbehandlingen af projektets økonomiske status, da Rigspolitiet ikke har gemt materialet".

Dog har Rigsrevisionens gennemgang vist, at sammenhængen til regnskabsoplysningerne i Navision ikke har været klar, for eksempel "har Rigspolitiet ikke kunnet dokumentere, at der har været foretaget afstemning mellem enkeltposter i henholdsvis Navision og regneark".

Men konklussionen er dog, at regnearket har bestået.

"Rigsrevisionen har gennemgået sammenhængen mellem anlægsposterne i Navision og regnearket. På trods af en mindre uforklaret difference på under 1 % af anlægssummen vurderer Rigsrevisionen imidlertid, at regnearket har udgjort et tilstrækkeligt grundlag for den løbende styring af projektøkonomien".




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere